Bundestrojaner

Klicken, spähen, lauschen

| Lesedauer: 6 Minuten
Manuel Bewarder und Claudia Ehrenstein

Um "konkrete Gefahren" abzuwehren, dürfen die deutschen Sicherheitsbehörden heimlich die Computer von Verdächtigen ausspionieren. So steht es im Bundeskriminalamtsgesetz. Doch die dafür nötige und eingesetzte Software kann offensichtlich viel mehr als verfassungsrechtlich erlaubt ist, warnt der Chaos Computer Club (CCC): "Das ist der digitale große Lausch- und Spähangriff."

Die Ermittler können demnach mit einem Trojaner nicht nur Telefongespräche abhören, bevor diese verschlüsselt über das Internet weitergeleitet werden. Sie können auch Mikrofon und Kamera des Computers aktivieren und als Wanze zur Überwachung der Wohnung nutzen. Der digitale Spion kann Dateien durchzusuchen und auch E-Mails lesen, die nie abgeschickt wurden. Das Programm könne sogar unbemerkt Dateien verändern oder Fotos hochladen, schreibt Frank Rieger vom CCC in einem Beitrag für die "Frankfurter Allgemeine Sonntagszeitung".

Technisch ließen sich "so digitale Beweismittel problemlos erzeugen, ohne dass der Ausspionierte dies verhindern oder auch nur beweisen könnte".

Rufe nach Untersuchungsausschuss

Trojaner können per E-Mail auf einen Computer eingeschleust werden. Möglich ist zudem, die Zielperson durch eine unverdächtige Website anzulocken oder durch einen gezielten Internet-Angriff in den Computer einzudringen.

Im Vorfeld der Enthüllung des CCC hatte ein Sprecher des Bundesinnenministeriums eingeräumt, dass staatliche Stellen Programme zu Telekommunikationsüberwachung an der Quelle (Quellen-TKÜ) einsetzen. Dabei hielten sich die Ermittler an die gesetzlichen Vorgaben, die im BKA-Gesetz und in diversen Landesgesetzen festgeschrieben seien. Die Aktionen müssten auch immer durch einen Richter angeordnet sein.

Stimmen nun aber die Vorwürfe des CCC, halten sich die Strafverfolger in Deutschland nicht an diese Grenzen.

Dieter Wiefelspütz, innenpolitischer Sprecher der SPD-Bundestagsfraktion, mahnte, die Hinweise der CCC-Hacker ernst zu nehmen. Schon in der nächsten Sitzungswoche werde sich der Innenausschuss des Bundestags damit befassen. Piratenpartei-Chef Sebastian Nerz forderte die ehemaligen Bundesinnenminister Wolfgang Schäuble und Thomas de Maizière (beide CDU) auf, sich zu den Vorwürfen zu äußern. Sollte es sich um einen Trojaner handeln, der gegen sämtliche verfassungsrechtliche Auflagen verstoße, dann habe der Missbrauch "eine Dimension wie die Spiegel-Affäre". Auf jeden Fall müsse dann ein parlamentarischer Untersuchungsausschuss eingesetzt werden. Wenn der Bund den Einsatz solcher Trojaner billige, "dann müssen die Verantwortlichen - im Extremfall Bundesinnenminister Hans-Peter Friedrich (CSU) und BKA-Chef Jörg Ziercke - zurücktreten", forderte Nerz im Gespräch mit der Morgenpost.

Bundesjustizministerin Sabine Leutheusser-Schnarrenberger (FDP) sagte, ihre Partei habe immer vor den Gefahren staatlicher Schnüffelsoftware gewarnt. "Wenn die Vorgaben des Bundesverfassungsgerichts in der Praxis durch die Technik nicht eingehalten werden, verschwindet das Vertrauen der Bürger."

Der Vorsitzende des Bundestagsinnenausschusses, Wolfgang Bosbach (CDU), sagte dem "Tagesspiegel": "Diese massiven Vorwürfe müssen aufgeklärt werden." Dirk Heckmann, Professor für Internetrecht an der Universität Passau und Mitglied im CSU-Netzrat sagte, es genüge nicht, den Einsatz von Trojanern durch gesetzliche Befugnisse zur Online-Durchsuchung zu regeln: "Die rechtskonforme technische Umsetzung dieser Befugnis muss auch tatsächlich sichergestellt sein, am besten durch das Zertifikat einer kompetenten unabhängigen Kontrollinstanz."

Im Februar 2008 hatten die Karlsruher Richter die Regelungen Nordrhein-Westfalens zur Online-Durchsuchung gekippt und grundsätzlich strenge Auflagen formuliert. Danach sollte sich das Ausspähen von Computern auf die sogenannte Telekommunikationsüberwachung an der Quelle beschränken und nur nach einem richterlichen Beschluss erlaubt sein. Schon bei der Anhörung des Bundesverfassungsgerichts hatten Computerexperten vor dem Missbrauchspotenzial gewarnt. Datenschützer von Bund und Ländern befürchteten erhebliche Eingriffe in Grundrechte.

Unklar ist, wie oft tatsächlich schon ein Trojaner zum Einsatz gekommen ist. Die Landeskriminalämter Baden-Württembergs und Bayerns sollen jeweils in fünf Fällen Online-Durchsuchungen durchgeführt haben, meldete erst im Juli die Zeitschrift "Computer Bild". Demnach soll das BKA entsprechende Software nur einmal genutzt haben. Ein Sprecher des Bundesinnenministeriums versicherte am Sonntag, das BKA habe zumindest den von den CCC-Hackern dargestellten Trojaner nicht eingesetzt: "Was auch immer der CCC untersucht hat oder zugespielt bekommen haben mag, es handelt sich nicht um einen sogenannten Bundestrojaner." Ob aber andere Ermittlungsbehörden die Überwachungssoftware eingesetzt haben könnten, ließ er offen: "Im Übrigen sind die zuständigen Justiz- und Sicherheitsbehörden des Bundes und der Länder jeweils eigenständig für die Einhaltung technischer und rechtlicher Vorgaben verantwortlich."

Daten werden in die USA geschickt

In den vergangenen Wochen waren beim CCC mehrere Computerfestplatten mit der Überwachungssoftware anonym eingetroffen, die von den CCC-Hackern genau untersucht wurden. Dabei stellten sie fest, dass dieser Trojaner nicht nur mehr kann als er darf, sondern auch noch erhebliche Sicherheitslücken aufweist. So könnten Dritte relativ leicht die Kontrolle über einen Computer übernehmen, der mit dem Trojaner infiltriert wurde. Hinweise darauf, wer den Trojaner programmiert hatte, fanden die CCC-Hacker indes nicht. "Schockiert" waren sie vielmehr, dass der deutsche Staatstrojaner die Ergebnisse der Online-Schnüffelei offensichtlich rund um den Globus hin und her sendet. "Zur Tarnung der Steuerzentrale werden die ausgeleiteten Daten und Kommandos obendrein über einen in den USA angemieteten Server umgelenkt", heißt es in der Analyse des Clubs. "Die Steuerung der Computerwanze findet also jenseits des Geltungsbereiches des deutschen Rechts statt. Durch die fehlende Kommando-Authentifizierung und die inkompetente Verschlüsselung ... stellt dies ein unkalkulierbares Sicherheitsrisiko dar."

Bevor der Club mit seinen Erkenntnissen an die Öffentlichkeit ging, hatte er nach eigenen Angaben den Bund informiert, um laufende Ermittlungen nicht zu gefährden.

Grünen-Chefin Claudia Roth zeigte sich alarmiert. Das Ausspionieren aller privaten Vorgänge auf einem privaten Computer bedeute einen massiven Eingriff in die verfassungsrechtlich geschützte Privat- und Intimsphäre. Die Vorwürfe müssten umgehend und umfassend aufgeklärt, der Einsatz der fraglichen Software müsse sofort gestoppt werden. Für Konstantin von Notz, netzpolitischer Sprecher der Grünen-Bundestagsfraktion, stellt sich grundsätzlich die Frage, ob eine Online-Durchsuchung überhaupt verfassungsmäßig durchführbar ist.