Was darf der „Bundestrojaner“?
Seit geraumer Zeit ist er in aller Munde, auch wenn keiner so recht weiß, was es damit eigentlich genau auf sich hat: der „Bundestrojaner“. Wir geben Ihnen die Antworten auf die am häufigsten gestellten Fragen zu Funktion, rechtlichen Grundlagen und Anforderungen an den „Staatstrojaner“.
Was ist der „Bundestrojaner“ überhaupt?
Beim sogenannten „Bundestrojaner“ handelt es sich um eine Software, die heimlich – oder zumindest ohne Kenntnis des Betroffenen – auf einem Rechner installiert wird. Aus diesem Umstand resultiert auch der Name: bei der Installation gibt es – technisch betrachtet – keinen Unterschied zwischen dem „Bundestrojaner“ und einem anderen Schädling. Da es sowohl „Bundes-„, als auch „Landes-Trojaner“ gibt, sprechen wir in diesem Artikel ab jetzt vom „Staatstrojaner“.
Welche Funktionen hat der „Staatstrojaner“?
Nach aktueller Sprachregelung handelt es sich bei dem Programm um eine „Remote Forensic Software“, was bedeutet, dass man damit einen Rechner aus der Ferne („remote“) gerichtsverwertbar („forensisch“) untersuchen kann. Die grundlegende Funktion des Programms ist, verschlüsselte Telefonate (z.B. unter Nutzung von „Skype“) überwachen zu können. In dem vom CCC untersuchten Programm waren jedoch noch andere, wesentlich weiter gehende Funktionen enthalten, wie z.B. die Möglichkeit, Screenshots anzufertigen oder zusätzliche Komponenten (deren Funktion sich nicht näher spezifizieren lässt) herunterzuladen und zu installieren.
Warum braucht der Staat eigentlich „Staatstrojaner“?
In den Täterkreisen ist es längst ein offenes Geheimnis, dass man relativ leicht verschlüsselt kommunizieren und sich so dem Zugriff staatlicher Überwachung entziehen kann. Die Entschlüsselung der aufgezeichneten Netzwerkdaten ist – je nach verwendeter Software – außerordentlich schwierig bis unmöglich. Aus diesem Umstand heraus hat sich die Forderung nach einer „Quellen-TKÜ“ entwickelt.
Was ist die „Quellen-TKÜ“ überhaupt?
Dass die Überwachung einer Telekommunikationsverbindung („Telekommunikationsüberwachung“ oder auch „TKÜ“) nur dann erfolgversprechend ist, wenn die Daten nicht verschlüsselt übertragen werden, ist vom Grundsatz her klar und unstrittig. Um dem Staat für den Fall einer verschlüsselten Verbindung die Möglichkeit zu schaffen, auch diese zu überwachen, will man an die „Quelle“ der Verbindung heran. Also dort, wo die Daten noch unverschlüsselt zur Verfügung stehen. Das ist im Fall einer computergestützten Kommunikation der Rechner, der zum Telefonieren genutzt wird. Hier kann man ohne großen Aufwand die Gesprächsdaten abfangen und auswerten.
Wann darf der Staat eine Quellen-TKÜ einsetzen und was darf er dabei auswerten?
Nachdem das Bundesverfassungsgericht in seinem Urteil vom 27. Februar 2008 ein neues Grundrecht auf „Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ formuliert hat, wurde die Überwachung von computergestützter Kommunikation etwas eingeschränkt. Nach derzeitiger Rechtsprechung und Rechtslage ist davon auszugehen, dass wohl die gesprochene Kommunikation überwacht werden darf (analog zur Telefonüberwachung), darüber hinausgehende Überwachungen (wie z.B. die Anfertigung von Screenshots) wurden von Gerichten mittlerweile als rechtswidrig eingestuft. Eine klare Definition, wann wer was überwachen darf, fehlt weitgehend. Aus diesem Grund streiten sich aktuell auch die Juristen, was überhaupt sein darf.
Muss ich Angst haben, dass mein Privatleben vom Staat ausgespäht wird?
Der Aufwand, eine Quellen-TKÜ mit Hilfe eines „Bundes-“ oder „Landestrojaners“ durchzuführen, ist immens. Hierdurch werden personelle und technische Ressourcen in einem Umfang benötigt der klar den Schluß zulässt, dass es sich hierbei um eine Ausnahmemaßnahme handelt, die allein für die Aufklärung schwerer und schwerster Kriminalität und der Abwehr von erheblichen Gefahren für hochwertige Rechtsgüter zu rechtfertigen ist. Zudem besteht bei der Quellen-TKÜ ein absoluter Richtervorbehalt. Das bedeutet, dass die zur Quellen-TKÜ befugten Behörden zunächst mal einem Richter erklären müssen was sie vorhaben und welche Ergebnisse sie sich von der Maßnahme erwarten. Nur wenn der Richter der Maßnahme zustimmt, darf sie umgesetzt werden. Die Gefahr, von einem Straftäter unter Nutzung eines „normalen“ Trojaners ausgespäht zu werden, ist deutlich größer. Man sollte sein Hauptaugenmerk darauf richten, dass man sich gegen diese Angriffe schützt.
Erkennt mein Virenscanner den „Staatstrojaner“?
Die Hersteller von Antivirensoftware haben bei den „Staatstrojanern“ im Prinzip das gleiche Problem wie bei allen anderen Trojanern: man erkennt sie im Regelfall erst dann, wenn man einmal ein solches Programm in Händen hielt und untersucht hat. Im Normalfall sollte das aber eher unwahrscheinlich sein, wenn das Programm ordentlich entwickelt wurde. Auch wenn alle Hersteller von Antivirenprogrammen erklärt haben, nicht mit staatlichen Behörden zusammen zu arbeiten und bewusst „Erkennungslücken“ einzubauen, hat doch der aktuelle Fall gezeigt, dass der „Staatstrojaner“ erst dann von den Sicherheitsprogrammen erkannt wurde, nachdem er den Antivirenherstellern vorlag. Für die Zukunft ist nichts anderes zu erwarten.
Was wäre vom „Staatstrojaner“ zu erwarten, wenn er legal eingesetzt werden soll?
Zunächst mal müsste eine klare gesetzliche Regelung geschaffen werden. Aktuell gibt es in jedem Bundesland verschiedene Regelungen und wieder andere auf Bundesebene. Eine einheitliche Regelung ist aber nicht in Sicht.
Technisch gesehen müsste der Trojaner so aufgebaut sein, dass er forensischen Grundsätzen genügt. Das bedeutet, dass die Funktionen auf die begrenzt sein müssen, die im richterlichen Beschluss definiert sind. Zusätzliche Funktionen – unter Umständen auch „Updatefunktionen“ – sollten nicht enthalten sein um die Integrität der gewonnenen Daten nicht zu gefährden. Zudem darf der Trojaner die Inhalte auf der Festplatte nicht verändern können. Das ist technisch schwierig, da schon allein die Installation des Programms auf dem Rechner de facto Daten verändert. Wo es sich also nicht ganz vermeiden lässt, müssen die notwendigen Änderungen lückenlos dokumentiert werden und nachvollziehbar sein. Weiter wäre zu erwarten, dass der Trojaner die Daten zu den Auswerterechnern hin ausschließlich verschlüsselt überträgt und dazu eine Technik verwendet, die nach derzeitigem Stand als sicher gilt. Auch wäre es technisch möglich (und forensisch sinnvoll), wenn man die Funktion des Trojaners auf einen bestimmten Rechner beschränkt. Damit würde vermieden werden, quasi versehentlich einen unbeteiligten Rechner auszuspähen. Wenn man aus Gründen der Geheimhaltung schon nicht den Quellcode des Trojaners veröffentlicht, so sollte er zumindest für eine unabhängige Begutachtung zur Verfügung stehen.
Zusammenfassung
Dass die staatlichen Organe bei der Verhütung und Verfolgung von Straftaten auf neue Entwicklungen reagieren können müssen ist unstrittig. Zumindest darf man dann aber in einem Rechtsstaat erwarten, dass es einen klar definierten rechtlichen Auftrag mit entsprechender gesetzlicher Befugnis gibt (was momentan nur eher begrenzt der Fall ist). Zudem ist es unbedingt notwendig, dass eine Software mit einer solchermaßen tief ins Privatleben eingreifenden Funktion auch umfangreichen technischen Qualitätskriterien entspricht, die die Sicherheit der staatlichen Maßnahme garantieren. Davon kann bei dem vom CCC untersuchten Exemplar jedenfalls keine Rede sein.