Skandal um Bundestrojaner: Bund weist alle Schuld von sich

Es ist ein informationeller Supergau – wenn auch, wie es scheint, nur auf Länderebene. Wie der bayerische Innenminister Joachim Herrmann (CSU) gestern bestätigte, handelt es sich bei der vom Chaos Computer Club (CCC) geknackten Schnüffelsoftware um ein Überwachungsprogramm, das bei bayerischen Behörden zum Einsatz kam. Das Bundesinnenministerium hatte zuvor die Vermutung, der Trojaner sei auch durch Bundesbehörden genutzt worden, zurückgewiesen. Noch nicht geklärt ist laut Herrmann, ob es sich bei der vorliegenden Datei um eine Testversion oder um die tatsächlich in Bayern eingesetzte Software handelt. Sollte sich bewahrheiten, dass staatliche Institutionen in Bayern und anderswo nicht nur Telefonie, Email und Chat überwacht haben, sondern Rechner weitergehend manipulierten, wäre das ein Verstoß gegen die Rechtsprechung des Bundesverfassungsgerichts.

Der Vorwurf

Die Untersuchung eines mutmaßlichen „Staatstrojaners“, der dem Chaos Computer Club zugespielt worden war, ergab nach Ansicht des CCC, dass das Programm über das verfassungsmäßig erlaubte Maß hinaus Daten sammeln könnte. Der Trojaner, der, wie nun bekannt wurde, vom hessischen Unternehmen DigiTask programmiert wurde, könne Screenshots anfertigen und Skype- und andere für den Versand im Netz verschlüsselte Gespräche abhören. Außerdem könnten mit der Software auch beliebige andere Schadmodule nachgeladen und ausgeführt werden und somit weitergehenden Angriffen Tür und Tor öffnen. Dies könne auch Dritten den Zugriff auf die Rechner ermöglichen. Sogar ein digitaler großer Lausch- und Spähangriff sei möglich, indem ferngesteuert auf das Mikrofon, die Kamera und die Tastatur des Computers zugegriffen werden könne. Der CCC spricht von einem technisch „katastrophalen Gesamtumfeld“.

Der Hintergrund

Der Einsatz eines solchen Trojaners ist nicht zuletzt ein Schlag ins Gesicht des Bundesverfassungsgerichts. Das erklärte im Februar 2008 eine Änderung des Verfassungsschutzgesetzes des Landes Nordrhein-Westfalen mit den im Grundgesetz festgeschriebenen Persönlichkeitsrechten für „unvereinbar und nichtig“. Das Gesetz sah „Online-Durchsuchung“ vor. Dabei wies es unter anderem nachdrücklich auf die Verschiedenartigkeit von Telekommunikation und der netzwerkgestützten Onlinekommunikation hin. Der Unterschied scheint klar: Während über die eine „nur“ die Gespräche eines Tatverdächtigen nachvollzogen werden können, bedeutet der Zugriff auf den Rechner einen weit tieferen Eingriff, schließt er doch private Informationen, Dateien, Schriftstücke, in weit größerem Umfang ein und gleicht damit eher einer Hausdurchsuchung. Durch eine länger andauernde Überwachung der Nutzung des Rechners können zudem flüchtige Daten wie etwa Passwörter und weitere Informationen über das Nutzungsverhalten des Betroffenen erhoben werden.

Die Rechtslage

Die Hürden, die das BVG mit dem Urteil von 2008 für umfassende Online-Durchsuchungen – das heißt die Untersuchung aller auf einem PC gespeicherten Inhalte nach einem Zugriff über dessen Netzwerkverbindung – einzog, sind dementsprechend hoch: Diese seien nur bei einer konkreten Gefahr für ein „überragend wichtiges Rechtsgut“ zulässig – also bei Gefahr für Leib, Leben und Freiheit oder bei Bedrohungen, die den Bestand des Staates oder die Grundlagen der menschlichen Existenz berührten. Vor jeder Online-Durchsuchung und jedem Abhören von digitalen Gesprächen auf einem Computer muss ein Richter über die Aktion entscheiden. Mit dem Grundsatzurteil hatte das Gericht nach den Worten seines damaligen Präsidenten Hans-Jürgen Papier erstmals ein „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ geschaffen. Dieses neue Computer-Grundrecht leitete das Gericht aus dem allgemeinen Persönlichkeitsrecht ab – wie bereits 25 Jahre vorher auch das Recht auf „informationelle Selbstbestimmung“ (Datenschutz). Nach dem Karlsruher Urteil musste der damalige Innenminister Wolfgang Schäuble (CDU) das auf Bundesebene greifende Bundeskriminalamtgesetz anpassen. Möglich blieben solche heimlichen Online-Durchsuchungen von Computern – seither muss der Generalbundesanwalt vor möglichen Aktionen aber einen entsprechenden Antrag stellen. Auch einige Länder haben gesetzliche Regelungen für die Online-Überwachungen geschaffen, darunter auch Bayern.

Das Problem

Das Problem, das Ermittlungsbehörden und Gesetzgeber seither haben: Einerseits ist der Zugriff auf Computer mit den genannten hohen Hürden geschützt. Andererseits ist er aber auch zunehmend notwendig, um an das zu gelangen, was für die Arbeit von Ermittlungsbehörden schon länger obligatorisch ist: die Telefonkommunikation eines Verdächtigen. Denn die Rate der Gespräche, die gerade international über Skype oder andere Online-Telefondienste geführt wird, steigt stetig. Da bei diesen IP-Telefonie-Diensten die Sprachinformationen zumeist direkt am Rechner verschlüsselt werden, muss hier bereits zugegriffen werden. Das Instrument, das dabei benutzt wird, ist die sogenannte „Quellen-Telekommunikationsüberwachung“ (Quellen-TKÜ). Dabei wird auf dem Computer, mit dem die zu überwachende Kommunikation getätigt wird, ein Trojaner installiert, welcher die Kommunikation vor der Verschlüsselung mitschneidet und an die Ermittlungsbehörde übermittelt. Dass dabei eine begrenzte Überwachung allerdings praktisch kaum zu gewährleisten ist, wusste das BVG schon 2008: „Wird ein komplexes informationstechnisches System zum Zweck der Telekommunikationsüberwachung technisch infiltriert (’Quellen-Telekommunikationsüberwachung’), so ist mit der Infiltration die entscheidende Hürde genommen, um das System insgesamt auszuspähen“, so das Gericht. Die dadurch bedingte Gefährdung gehe weit über die hinaus, die mit einer bloßen Überwachung der laufenden Telekommunikation verbunden sei.

Der Status quo

Dementsprechend ist die Überwachung von Rechnern durch den Staat Praxis. Das BKA bestritt zwar am Sonntag, dass die nun beim CCC untersuchte Software von Bundesbehörden benutzt wird – dass es über ein solche verfügt und die Trojaner auch einsetzt, bestreitet das BKA allerdings nicht. Das BKA, der Verfassungsschutz und auch der Zoll sowie mehrere Bundesländer setzen sogenannte „fernforensische Software“ ein. Wie häufig die Quellen-TKÜ und die Online-Durchsuchung eingesetzt werden, dazu wollte das BKA am Montag keine Auskunft geben. Nach Angaben des Bundesinnenministeriums ist die volle Online-Durchsuchung, bei der tatsächlich auf alle Partitionen eines Informationssystems zugegriffen wird, in zwei Bundesländern, die sogenannte „Quellen-TKÜ“ in vier anderen Bundesländern Praxis. Auf Anfrage des Tagesspiegels teilte das Landeskriminalamt Berlin mit, in der Hauptstadt würden überhaupt keine Trojaner eingesetzt. Aus Bayern ist mindestens ein Fall aus dem Jahr 2009 bekannt, in dem die Ermittlungsbehörden auch Screenshots eines Verdächtigen sammelten, eine Ermittlung, die im Nachhinein vom Landgericht Landshut für nicht rechtmäßig erklärt wurde. Das Land Rheinland-Pfalz teilte mit, es habe die Quellen-TKÜ bislang einmal eingesetzt. Auch nach Ansicht von Anwälten ist der Einsatz von Späh-Software bislang insgesamt selten. Die Online-Durchsuchung sei weitgehend auf die Terrorabwehr beschränkt. Der Düsseldorfer Strafrechtsanwalt Udo Vetter berichtet von einem Fall, in dem im Zusammenhang mit einem Terrorverdacht eine solche Software zum Einsatz kam. Die Überwachung habe in diesem Fall mehrere Tage gedauert, es wurden nicht nur Telefongespräche, sondern praktisch alle Aktivitäten, die der Verdächtige an seinem Computer vornahm, dokumentiert, etwa Googleanfragen und welche Übersetzungsdienste genutzt wurden.

Die Software

Laut Bundesinnenministerium (BMI) ist die Software für Überwachungsmechanismen auf dem freien Markt erhältlich. Dort beziehen auch die Bundesbehörden ihre Trojaner. Die Programme, so BMI-Sprecher Markus Beyer, seien in der Regel sehr umfänglich. Sie werden dann von den Behörden gestutzt, um sie der deutschen Rechtslage anzupassen. Das BKA verwende grundsätzlich keine Software, die in Intervallen Screenshots, also Abbilder der Bildschirmanzeigen, produziere. Diese Funktion hatte die Software, die der CCC auf den ihm zugespielten Festplatten gefunden hat. „Das ist einer der Gründe, warum wir davon ausgehen, dass es sich nicht um von Bundesbehörden eingesetzte Software handelt“, so Beyer. Beyer sagte weiter, die Bundesbehörden würden die Software für jede einzelne Ermittlung anpassen. Dieselbe Auskunft gab auch das bayerische Innenministerium.

Die Zukunft

Die weitere Aufarbeitung des CCC-Coups, die Beantwortung der Frage, ob und welche Behörde die hochgradig defizitäre Software zu welchen Zwecken eingesetzt hat, ist mit dem Geständnis aus Bayern ins Rollen gekommen. Die Frage ist nun, welche Behörde in welchem Land zu welcher Zeit mit der Software gearbeitet hat. Aus Bayern war bereits im Frühjahr bekannt geworden, dass bayerische Ermittler mit einer Software nicht nur Telefongespräche überwachen, sondern auch alle 30 Sekunden Bildschirmfotos (Screenshots) vom Rechner eines Verdächtigen aufgenommen hatten, sobald dieser den Internet-Browser oder die Software zur Internet-Telefonie benutzte. An dieser Stelle kommt dann auch der Bund wieder ins Spiel, wurde doch ein spezifischer Trojaner nach Aussagen des Landshuter Anwalts Patrick Schladt bei einer Kontrolle durch den Zoll auf dem Münchener Flughafen auf den Rechner eines seiner Mandanten aufgespielt. Auch wenn die Maßnahme von bayerischen Behörden kontrolliert worden sei, stehe für ihn außer Frage, dass Stellen des Bundes – etwa der Zoll – beteiligt gewesen seien, heißt es in einer Mitteilung, die das Internet-Portal „ijure.org“ veröffentlichte. Neben der Frage nach dem konkreten Einsatzfeldes des derzeit in der Diskussion befindlichen Trojaners steht jedoch eine weitaus grundsätzlichere im Raum: jene nach einem Recht, das umfassende Ermittlungsarbeit ebenso gewährleistet wie Privat- und Intimsphäre von Tatverdächtigen im Zeitalter der vernetzten Vollkommunikation.

(mit dpa)