24.11.2011 · Als staatliche Behörden dabei ertappt wurden, dass sie mit unerlaubten Methoden private Computer ausspionierten, setzten sofort hehre Versprechungen ein. Geändert hat sich wenig.
Von Constanze Kurz
© dpa
Hier ist das hölzerne Pferd zuhause: die Firma Digitask programmierte den Staatstrojaner
Zu Beginn der Diskussionen um polizeiliche Computerspionage im Jahr 2007 besänftigte der BKA-Präsident Jörg Ziercke die Öffentlichkeit mit klaren Aussagen zum Vorgehen bei der Rechnerinfiltration: Jede Software werde ein sorgfältig geprüftes Unikat sein, vor allem aber würde der Quellcode aus Gründen der Beweissicherung dem zuständigen Richter vorgelegt werden. Falsches Beweismaterial auf einem betroffenen Rechner zu deponieren, würde so erschwert.
Doch kein Richter hat bisher den Bauplan des Trojaners zu Gesicht bekommen. Die Praxis der „Ferndurchsuchungen“ von Computern hat mit den Versprechungen nichts gemein, wie eine Antwort des Bundesinnenministeriums auf eine umfangreiche parlamentarische Anfrage zeigt. Der Schleier um das heimliche Fahndungsinstrument lüftet sich nur teilweise und nur langsam, obgleich es seit den Veröffentlichungen zum Staatstrojaner nicht an Versprechen der Verantwortlichen mangelte, zur Aufklärung der Missstände beizutragen.
Doch im Bund wie in den Ländern scheint das Aufklärungsinteresse erloschen. Die Mehrzahl der Länder musste den Einsatz der Spionagesoftware unterdessen zwar einräumen. Allein Baden-Württemberg setzte neun verschiedene Varianten des Trojaners ein, allesamt vom bevorzugten Anbieter Digitask - allesamt ohne Einsicht in den Quellcode. Weitergehende Bemühungen um Transparenz und rechtliche Klarstellung bleiben spärlich.
Also bleibt weiterhin im Dunkeln, wie eine Spionagesoftware zum Abhören der Internettelefonate vernünftig von einer Online-Durchsuchung abgegrenzt werden könnte. Siebenmal führte das BKA laut Regierungsstatistik die Auskundschaftung per Online-Durchsuchung bisher durch, achtzehn Personen waren betroffen. Es soll sich allerdings um eine eigene Software handeln, deren Entwicklung bisher 680 000 Euro gekostet hat.
Das Bundesinnenministerium gab die Existenz der „Remote Forensic Software User Group“ zu, die bei ihrer Gründung im Jahr 2008 schlicht „DigiTask User Group“ hieß und vom BKA zum diskreten Interessenabgleich unter Anwendern einberufen wurde. Die Trojaner-Kungelrunde tauschte sich nicht nur über deutsche Landesgrenzen hinweg zum Einbrechen in Computer aus, sondern auch mit ausländischen Ermittlern, etwa der Schweizer Bundespolizei. Auch bei polizeiinternen „Netzwerkforensik“- Tagungen und im Verfassungsschutzverbund wurden Erfahrungen geteilt.
Bundesinnenminister Hans-Peter Friedrich beteuerte anfangs, es gebe keine Hinweise, dass die zum Bundesinnenministerium gehörenden Behörden die nun nicht mehr ganz so geheime Software anwenden würden. Nun jedoch zeigt sich durch die Antwort auf die parlamentarische Anfrage, dass BKA und Bundespolizei sowie der dem Finanzministerium unterstellte Zollfahndungsdienst ebenfalls Kunden von Digitask sind. Doch auch in diesen Behörden kennt niemand den Quellcode.
Kann ohne die Kenntnis dieses Quelltextes der Software überhaupt den Vorgaben nach dem Urteil des Bundesverfassungsgerichts entsprochen werden? An die Stelle der präzisen Durchsicht des Quelltextes trat nach Angaben des Bundesinnenministeriums ein Anwendungstest des Funktionsumfangs, der die einzige Überprüfung der Spionagesoftware auf ihre rechtliche Zulässigkeit und technische Qualität blieb. Aber die Aussagekraft eines solchen Tests ist so groß, als würde man bei einer Prüfung der Inhaltsstoffe und der Verträglichkeit von Babynahrung außen auf das Glas schauen.
Deshalb will der mit der Prüfung auf Landesebene betraute bayerische Datenschutzbeauftragte die Durchsicht fordern. Der Chef des LKA Bayern deutete bereits bei einem Fachgespräch diese Woche im Landtag in München an, dass der Lieferant Digitask signalisiert habe, den Quelltext herauszugeben.
Doch die Erkenntnis der Bayern hat sich noch nicht nach Berlin herumgesprochen. Eine Überarbeitung des Trojaners sieht das Bundesinnenministerium nicht als geboten an. Vor den eklatanten Mängeln wie der fehlenden Kommando-Authentifizierung in den verschiedenen Softwareversionen, die nun bekannt sind, verschließt die Regierung die Augen. Dass die Befehle an den Trojaner nicht verschlüsselt und damit durch Dritte leicht zu kapern sind, kümmert wenig.
Welche rechtliche Grundlage Ermittler heranziehen dürfen, um mittels der Computerinfiltration nicht nur Skype-Gespräche, sondern auch Chat-Kommunikation oder die Benutzung von Browsern wie Firefox, Opera oder Internet Explorer zu belauschen, machte das Bundesinnenministerium deutlich: Es geht weiterhin davon aus, dass Paragraph 100a der Strafprozessordnung als Ermächtigungsgrundlage ausreicht, trotz der gegenteiligen Bewertungen im juristischen Schrifttum, dem Urteil des Bundesverfassungsgerichts mit der Maßgabe technischer Vorkehrungen und rechtlicher Beschränkungen sowie vergangener Entscheidungen von Gerichten wie dem Landgericht Hamburg. Dieses begründete bereits 2008 die Unzulässigkeit der Anwendung dieser Vorschrift schlüssig mit dem Argument, dass dieser Paragraph auf die Geheimsphäre des Telekommunikationsanbieters ziele, nicht aber auf eine Rechner-Infiltration bei einem Betroffenen.
Skype, der Anbieter für Internettelefonie, um deren Abschnorcheln es beim Staatstrojaner in erster Linie geht, lässt auf seiner Website derweil wissen, dass „personenbezogene Daten, Kommunikationsinhalte oder Verkehrsdaten Justiz-, Strafvollzugs- oder Regierungsbehörden zur Verfügung“ stünden - ganz ohne das Schnüffeln in den digitalen Nutzerhirnen.
Warum das Ministerium diese grundrechtsschonende Form der Überwachung anstelle des Trojaners nicht in Betracht zieht und was sich hinter den Kulissen abspielt, bleibt auch nach der Beantwortung der Fragen ungewiss. Zumindest ein Versprechen Zierckes ist laut Angaben des Bundesinnenministeriums aber erfüllt worden: Es gab keine verdeckten Wohnungseinbrüche, um den Trojaner zu installieren - zumindest nicht bei den Polizeibehörden. Doch was die Geheimdienste alles unternehmen, scheint der Kontrolle - nicht nur bei Trojanern - ohnehin längst entzogen.
