committing page revision 1

author: 46halbe <46halbe@berlin.ccc.de> 2012-02-18 21:36:20 +0000
committer: 46halbe <46halbe@berlin.ccc.de> 2020-05-23 13:39:12 +0000
commit: a8bfe4cbe6c08dc41bbe439ad12abefe77e9ba0d (patch)
tree: 4c3a96dc7c70d781e898da8eb83bfb829c61a1ea /updates/2012
parent: c07dc096baa1477611cd872a47d89152e35d15f4 (diff)
1 files changed, 122 insertions, 0 deletions
diff --git a/updates/2012/schaar-bericht.md b/updates/2012/schaar-bericht.md
new file mode 100644
index 00000000..9589ab6e
--- /dev/null
+++ b/updates/2012/schaar-bericht.md
@@ -0,0 +1,122 @@
+title: Bericht des Bundesdatenschutzbeauftragten zum Staatstrojaner geleakt
+date: 2012-02-18 21:16:00 
+updated: 2012-02-18 21:36:20 
+author: office
+tags: update, pressemitteilung
+In den bisher vierzig Fällen des Einsatzes von Spionagesoftware durch polizeiliche Bundesbehörden wurden in einem Bericht des Bundesdatenschutzbeauftragten schwere Verstöße gegen geltendes Recht beanstandet. Die Ermittler schreckten auch nicht vor dem Aufzeichnen und einer Verschriftlichung von Telefonsex-Dialogen zurück.
+<!-- TEASER_END -->
+Als der Chaos Computer Club (CCC) den Staatstrojaner enttarnte \[1\],
+wurde nach einigen Tagen der innenministeriellen Konfusion und des
+verwirrten Abstreitens Besserung, vor allem aber Aufklärung und
+Transparenz versprochen. Die Datenschutzbeauftragten in Bund und Ländern
+sollten sich des Falles annehmen und gründlich hinterfragen, was sich an
+verfassungsrechtlichen Problemen und technischen Unzulänglichkeiten
+angehäuft hatte.\
+\
+Der Bericht des bayerischen Landesdatenschutzbeauftragten steht noch
+aus, doch der Bericht des Bundesdatenschutzbeauftragten Peter Schaar zu
+seinen Untersuchungen zum Thema Staatstrojaner liegt nun öffentlich vor.
+Nicht direkt freiwillig, eigentlich sollte dieser Text unter Verschluß
+bleiben. Nun ist der Datenschutz-Bericht trotzdem der Öffentlichkeit
+zugänglich geworden und bestätigt viele Befürchtungen. Das
+Bundeskriminalamt (BKA) und das Finanzminister Wolfgang Schäuble
+unterstellte Zollkriminalamt (ZKA) sind demnach ebenfalls
+DigiTask-Kunden, für das BKA existiert sogar ein Rahmenvertrag.\
+\
+Eine tatsächliche tiefgehende inhaltliche Prüfung der
+Staatstrojanerversionen war auch Schaar nicht möglich – keine der
+Bundesbehörden hatte Zugang zum Source Code. Das BKA weigerte sich
+zudem, den Prüfern den Binärcode zur Einsicht zu überlassen.\
+\
+Zollkriminalamt und Bundespolizei ließen noch weniger
+Kontrollmöglichkeiten als das quasi im Blindflug ohne Quellcode
+agierende BKA: Nicht einmal die Software selbst, keinerlei
+Versionskontroll-Möglichkeiten oder auch nur ordentliche Handbücher
+lagen vor. Teilweise wurde das Ausspionieren komplett an DigiTask
+ausgelagert. Damit wurde die Ermittlung vollständig als Auftrag an eine
+private Firma vergeben.\
+\
+Drastisches Beispiel ist ein ganz klar zum geschützten Kernbereich
+gehörendes Telefonsex-Gespräch, das in Schaars Bericht dokumentiert
+wird: Die Ermittler vermerkten akkurat "Liebesbeteuerungen" und
+"Selbstbefriedigungshandlungen" zwischen "15.52 Uhr und 16.01 Uhr".
+Dieser klare Eingriff in den grundgesetzlich absolut geschützten
+Kernbereich der privaten Lebensgestaltung führte nach der Aufzeichnung
+nicht einmal zur Löschung, wie es geboten gewesen wäre.\
+\
+Auch die Löschung des Staatstrojaners nach Ablauf der vom Richter
+genehmigten Frist bereitete den Behörden Schwierigkeiten, sie wurde
+aufgrund technischer Unzulänglichkeiten auch schon mal um mehr als einen
+Monat überzogen. Ohnehin war der Löschvorgang nur ein logisches Löschen,
+die Software ist also einfach wiederzufinden, da sie nicht überschrieben
+wurde. Dies ist bei dem amateurhaften DigiTask-Spionageprodukt auch gar
+nicht vorgesehen.\
+\
+Offenbar planen die Behörden dennoch weiter mit dem Skandallieferanten
+DigiTask zusammenzuarbeiten. Er soll laut dem Bericht mit technischen
+Erweiterungen beauftragt worden sein, konnte bisher jedoch nicht
+liefern.\
+\
+Ohne ausreichende rechtliche Grundlage wurde der Staatstrojaner in Bund
+und Ländern dutzendfach eingesetzt, um die Computer von Verdächtigen zu
+infiltrieren. Schaar kommt zu dem Ergebnis, daß der Gesetzgeber
+nachbessern muß. Sowohl § 100a StPO als auch § 23z
+Zollfahndungsdienstgesetz seien keine hinreichende Rechtsgrundlage, da
+sie dem Urteil aus Karlsruhe nicht genügten. Warum die Ermittler nicht
+direkt an Skype herantreten, ist Schaar ohnehin nicht ersichtlich.\
+\
+Grundsätzlich stellt sich die Frage, inwieweit auch die richterlichen
+Beschlüsse hinterfragt werden müssen. Schaar gibt hier mangels
+Zuständigkeit keine Bewertung ab. Es bleibt zu fordern, daß in Zukunft
+der Richterbeschluß – besonders bei intensiven Grundrechtseingriffen –
+einer Prüfung auf Rechtmäßigkeit unterzogen werden kann.\
+\
+Schaars Bericht belegt auch, daß die Staatstrojaner-Spezialexperten bei
+der Programmierung schlampten. Die Fernsteuerschnittstelle des
+behördlichen Infiltrationsprogrammes kann von praktisch jedem beliebigen
+Angreifer genutzt und gesteuert werden. Die Kommandos zum Trojaner waren
+darüberhinaus weder verschlüsselt noch authentifiziert, und die Daten,
+die die Computerwanze zurückschickte, waren mit dem immer gleichen
+AES-Schlüssel kodiert.\
+\
+Schaars Bericht rügt auch, daß die in naher Zukunft geplante
+Einsichtnahme in den Quelltext bei DigiTask keine tatsächliche Prüfung
+ersetzen würde. Das BKA selbst sah sich nicht einmal in der Lage zu
+prüfen, ob der AES-Schlüssel, den der CCC im Rahmen der
+Staatstrojaner-Veröffentlichung publiziert hatte, auch in der vom BKA
+genutzten Software steckt.\
+\
+Dafür gibt es nur zwei Erklärungen: Entweder hat das BKA klaffende
+Kompetenzlücken oder wollte absichtlich eine ordentliche Auskunft
+schuldig bleiben. Schaar sah sich durchaus in der Lage eine solche
+Prüfung selbst durchzuführen und bestätigte, daß der AES-Schlüssel auch
+beim BKA derselbe wie in den vom CCC veröffentlichten
+Staatstrojaner-Versionen ist.\
+\
+Aus dem Bericht geht weiter hervor, daß auch beschlagnahmte Rechner
+heimlich infiltriert und an die Besitzer zurückgegeben wurden. Das ist
+ein weiterer klarer Rechtsbruch, da eine Beschlagnahme nur der Sicherung
+von Beweisen dienen darf.\
+\
+Es wird leider niemanden überraschen: Nicht um Terrorismus oder
+Menschenhandel ging es in vielen geprüften Einsatzfällen, es waren in
+der Mehrzahl die üblichen Verstöße gegen das Betäubungsmittelgesetz.\
+\
+Links:\
+\
+\[1\] [Chaos Computer Club analysiert
+Staatstrojaner](http://ccc.de/de/updates/2011/staatstrojaner)\
+\
+\[2\] [geleakter Bericht bei
+Indymedia](http://linksunten.indymedia.org/de/system/files/data/2012/02/4364782314.pdf)
+(pdf)\
+\
+\[3\] [geleakter Bericht in
+html](http://bka.net.in/bundesbeauftragter-datenschutz-informationsfreiheit/bundestrojaner.html)\
+\
+\[4\] [Mirror des geleakten
+Berichts](http://www.ccc.de/system/uploads/103/original/Schaar-Bericht.pdf)
+(pdf)
author	46halbe <46halbe@berlin.ccc.de>	2012-02-18 21:36:20 +0000
committer	46halbe <46halbe@berlin.ccc.de>	2020-05-23 13:39:12 +0000
commit	a8bfe4cbe6c08dc41bbe439ad12abefe77e9ba0d (patch)
tree	4c3a96dc7c70d781e898da8eb83bfb829c61a1ea /updates/2012
parent	c07dc096baa1477611cd872a47d89152e35d15f4 (diff)

diff --git a/updates/2012/schaar-bericht.md b/updates/2012/schaar-bericht.md new file mode 100644 index 00000000..9589ab6e --- /dev/null +++ b/updates/2012/schaar-bericht.md
@@ -0,0 +1,122 @@
	1	title: Bericht des Bundesdatenschutzbeauftragten zum Staatstrojaner geleakt
	2	date: 2012-02-18 21:16:00
	3	updated: 2012-02-18 21:36:20
	4	author: office
	5	tags: update, pressemitteilung
	6
	7	In den bisher vierzig Fällen des Einsatzes von Spionagesoftware durch polizeiliche Bundesbehörden wurden in einem Bericht des Bundesdatenschutzbeauftragten schwere Verstöße gegen geltendes Recht beanstandet. Die Ermittler schreckten auch nicht vor dem Aufzeichnen und einer Verschriftlichung von Telefonsex-Dialogen zurück.
	8
	9	<!-- TEASER_END -->
	10
	11	Als der Chaos Computer Club (CCC) den Staatstrojaner enttarnte \[1\],
	12	wurde nach einigen Tagen der innenministeriellen Konfusion und des
	13	verwirrten Abstreitens Besserung, vor allem aber Aufklärung und
	14	Transparenz versprochen. Die Datenschutzbeauftragten in Bund und Ländern
	15	sollten sich des Falles annehmen und gründlich hinterfragen, was sich an
	16	verfassungsrechtlichen Problemen und technischen Unzulänglichkeiten
	17	angehäuft hatte.\
	18	\
	19	Der Bericht des bayerischen Landesdatenschutzbeauftragten steht noch
	20	aus, doch der Bericht des Bundesdatenschutzbeauftragten Peter Schaar zu
	21	seinen Untersuchungen zum Thema Staatstrojaner liegt nun öffentlich vor.
	22	Nicht direkt freiwillig, eigentlich sollte dieser Text unter Verschluß
	23	bleiben. Nun ist der Datenschutz-Bericht trotzdem der Öffentlichkeit
	24	zugänglich geworden und bestätigt viele Befürchtungen. Das
	25	Bundeskriminalamt (BKA) und das Finanzminister Wolfgang Schäuble
	26	unterstellte Zollkriminalamt (ZKA) sind demnach ebenfalls
	27	DigiTask-Kunden, für das BKA existiert sogar ein Rahmenvertrag.\
	28	\
	29	Eine tatsächliche tiefgehende inhaltliche Prüfung der
	30	Staatstrojanerversionen war auch Schaar nicht möglich – keine der
	31	Bundesbehörden hatte Zugang zum Source Code. Das BKA weigerte sich
	32	zudem, den Prüfern den Binärcode zur Einsicht zu überlassen.\
	33	\
	34	Zollkriminalamt und Bundespolizei ließen noch weniger
	35	Kontrollmöglichkeiten als das quasi im Blindflug ohne Quellcode
	36	agierende BKA: Nicht einmal die Software selbst, keinerlei
	37	Versionskontroll-Möglichkeiten oder auch nur ordentliche Handbücher
	38	lagen vor. Teilweise wurde das Ausspionieren komplett an DigiTask
	39	ausgelagert. Damit wurde die Ermittlung vollständig als Auftrag an eine
	40	private Firma vergeben.\
	41	\
	42	Drastisches Beispiel ist ein ganz klar zum geschützten Kernbereich
	43	gehörendes Telefonsex-Gespräch, das in Schaars Bericht dokumentiert
	44	wird: Die Ermittler vermerkten akkurat "Liebesbeteuerungen" und
	45	"Selbstbefriedigungshandlungen" zwischen "15.52 Uhr und 16.01 Uhr".
	46	Dieser klare Eingriff in den grundgesetzlich absolut geschützten
	47	Kernbereich der privaten Lebensgestaltung führte nach der Aufzeichnung
	48	nicht einmal zur Löschung, wie es geboten gewesen wäre.\
	49	\
	50	Auch die Löschung des Staatstrojaners nach Ablauf der vom Richter
	51	genehmigten Frist bereitete den Behörden Schwierigkeiten, sie wurde
	52	aufgrund technischer Unzulänglichkeiten auch schon mal um mehr als einen
	53	Monat überzogen. Ohnehin war der Löschvorgang nur ein logisches Löschen,
	54	die Software ist also einfach wiederzufinden, da sie nicht überschrieben
	55	wurde. Dies ist bei dem amateurhaften DigiTask-Spionageprodukt auch gar
	56	nicht vorgesehen.\
	57	\
	58	Offenbar planen die Behörden dennoch weiter mit dem Skandallieferanten
	59	DigiTask zusammenzuarbeiten. Er soll laut dem Bericht mit technischen
	60	Erweiterungen beauftragt worden sein, konnte bisher jedoch nicht
	61	liefern.\
	62	\
	63	Ohne ausreichende rechtliche Grundlage wurde der Staatstrojaner in Bund
	64	und Ländern dutzendfach eingesetzt, um die Computer von Verdächtigen zu
	65	infiltrieren. Schaar kommt zu dem Ergebnis, daß der Gesetzgeber
	66	nachbessern muß. Sowohl § 100a StPO als auch § 23z
	67	Zollfahndungsdienstgesetz seien keine hinreichende Rechtsgrundlage, da
	68	sie dem Urteil aus Karlsruhe nicht genügten. Warum die Ermittler nicht
	69	direkt an Skype herantreten, ist Schaar ohnehin nicht ersichtlich.\
	70	\
	71	Grundsätzlich stellt sich die Frage, inwieweit auch die richterlichen
	72	Beschlüsse hinterfragt werden müssen. Schaar gibt hier mangels
	73	Zuständigkeit keine Bewertung ab. Es bleibt zu fordern, daß in Zukunft
	74	der Richterbeschluß – besonders bei intensiven Grundrechtseingriffen –
	75	einer Prüfung auf Rechtmäßigkeit unterzogen werden kann.\
	76	\
	77	Schaars Bericht belegt auch, daß die Staatstrojaner-Spezialexperten bei
	78	der Programmierung schlampten. Die Fernsteuerschnittstelle des
	79	behördlichen Infiltrationsprogrammes kann von praktisch jedem beliebigen
	80	Angreifer genutzt und gesteuert werden. Die Kommandos zum Trojaner waren
	81	darüberhinaus weder verschlüsselt noch authentifiziert, und die Daten,
	82	die die Computerwanze zurückschickte, waren mit dem immer gleichen
	83	AES-Schlüssel kodiert.\
	84	\
	85	Schaars Bericht rügt auch, daß die in naher Zukunft geplante
	86	Einsichtnahme in den Quelltext bei DigiTask keine tatsächliche Prüfung
	87	ersetzen würde. Das BKA selbst sah sich nicht einmal in der Lage zu
	88	prüfen, ob der AES-Schlüssel, den der CCC im Rahmen der
	89	Staatstrojaner-Veröffentlichung publiziert hatte, auch in der vom BKA
	90	genutzten Software steckt.\
	91	\
	92	Dafür gibt es nur zwei Erklärungen: Entweder hat das BKA klaffende
	93	Kompetenzlücken oder wollte absichtlich eine ordentliche Auskunft
	94	schuldig bleiben. Schaar sah sich durchaus in der Lage eine solche
	95	Prüfung selbst durchzuführen und bestätigte, daß der AES-Schlüssel auch
	96	beim BKA derselbe wie in den vom CCC veröffentlichten
	97	Staatstrojaner-Versionen ist.\
	98	\
	99	Aus dem Bericht geht weiter hervor, daß auch beschlagnahmte Rechner
	100	heimlich infiltriert und an die Besitzer zurückgegeben wurden. Das ist
	101	ein weiterer klarer Rechtsbruch, da eine Beschlagnahme nur der Sicherung
	102	von Beweisen dienen darf.\
	103	\
	104	Es wird leider niemanden überraschen: Nicht um Terrorismus oder
	105	Menschenhandel ging es in vielen geprüften Einsatzfällen, es waren in
	106	der Mehrzahl die üblichen Verstöße gegen das Betäubungsmittelgesetz.\
	107	\
	108	Links:\
	109	\
	110	\[1\] [Chaos Computer Club analysiert
	111	Staatstrojaner](http://ccc.de/de/updates/2011/staatstrojaner)\
	112	\
	113	\[2\] [geleakter Bericht bei
	114	Indymedia](http://linksunten.indymedia.org/de/system/files/data/2012/02/4364782314.pdf)
	115	(pdf)\
	116	\
	117	\[3\] [geleakter Bericht in
	118	html](http://bka.net.in/bundesbeauftragter-datenschutz-informationsfreiheit/bundestrojaner.html)\
	119	\
	120	\[4\] [Mirror des geleakten
	121	Berichts](http://www.ccc.de/system/uploads/103/original/Schaar-Bericht.pdf)
	122	(pdf)