summaryrefslogtreecommitdiff
path: root/updates
diff options
context:
space:
mode:
author46halbe <46halbe@berlin.ccc.de>2012-02-18 21:36:20 +0000
committer46halbe <46halbe@berlin.ccc.de>2020-05-23 13:39:12 +0000
commita8bfe4cbe6c08dc41bbe439ad12abefe77e9ba0d (patch)
tree4c3a96dc7c70d781e898da8eb83bfb829c61a1ea /updates
parentc07dc096baa1477611cd872a47d89152e35d15f4 (diff)
committing page revision 1
Diffstat (limited to 'updates')
-rw-r--r--updates/2012/schaar-bericht.md122
1 files changed, 122 insertions, 0 deletions
diff --git a/updates/2012/schaar-bericht.md b/updates/2012/schaar-bericht.md
new file mode 100644
index 00000000..9589ab6e
--- /dev/null
+++ b/updates/2012/schaar-bericht.md
@@ -0,0 +1,122 @@
1title: Bericht des Bundesdatenschutzbeauftragten zum Staatstrojaner geleakt
2date: 2012-02-18 21:16:00
3updated: 2012-02-18 21:36:20
4author: office
5tags: update, pressemitteilung
6
7In den bisher vierzig Fällen des Einsatzes von Spionagesoftware durch polizeiliche Bundesbehörden wurden in einem Bericht des Bundesdatenschutzbeauftragten schwere Verstöße gegen geltendes Recht beanstandet. Die Ermittler schreckten auch nicht vor dem Aufzeichnen und einer Verschriftlichung von Telefonsex-Dialogen zurück.
8
9<!-- TEASER_END -->
10
11Als der Chaos Computer Club (CCC) den Staatstrojaner enttarnte \[1\],
12wurde nach einigen Tagen der innenministeriellen Konfusion und des
13verwirrten Abstreitens Besserung, vor allem aber Aufklärung und
14Transparenz versprochen. Die Datenschutzbeauftragten in Bund und Ländern
15sollten sich des Falles annehmen und gründlich hinterfragen, was sich an
16verfassungsrechtlichen Problemen und technischen Unzulänglichkeiten
17angehäuft hatte.\
18\
19Der Bericht des bayerischen Landesdatenschutzbeauftragten steht noch
20aus, doch der Bericht des Bundesdatenschutzbeauftragten Peter Schaar zu
21seinen Untersuchungen zum Thema Staatstrojaner liegt nun öffentlich vor.
22Nicht direkt freiwillig, eigentlich sollte dieser Text unter Verschluß
23bleiben. Nun ist der Datenschutz-Bericht trotzdem der Öffentlichkeit
24zugänglich geworden und bestätigt viele Befürchtungen. Das
25Bundeskriminalamt (BKA) und das Finanzminister Wolfgang Schäuble
26unterstellte Zollkriminalamt (ZKA) sind demnach ebenfalls
27DigiTask-Kunden, für das BKA existiert sogar ein Rahmenvertrag.\
28\
29Eine tatsächliche tiefgehende inhaltliche Prüfung der
30Staatstrojanerversionen war auch Schaar nicht möglich – keine der
31Bundesbehörden hatte Zugang zum Source Code. Das BKA weigerte sich
32zudem, den Prüfern den Binärcode zur Einsicht zu überlassen.\
33\
34Zollkriminalamt und Bundespolizei ließen noch weniger
35Kontrollmöglichkeiten als das quasi im Blindflug ohne Quellcode
36agierende BKA: Nicht einmal die Software selbst, keinerlei
37Versionskontroll-Möglichkeiten oder auch nur ordentliche Handbücher
38lagen vor. Teilweise wurde das Ausspionieren komplett an DigiTask
39ausgelagert. Damit wurde die Ermittlung vollständig als Auftrag an eine
40private Firma vergeben.\
41\
42Drastisches Beispiel ist ein ganz klar zum geschützten Kernbereich
43gehörendes Telefonsex-Gespräch, das in Schaars Bericht dokumentiert
44wird: Die Ermittler vermerkten akkurat "Liebesbeteuerungen" und
45"Selbstbefriedigungshandlungen" zwischen "15.52 Uhr und 16.01 Uhr".
46Dieser klare Eingriff in den grundgesetzlich absolut geschützten
47Kernbereich der privaten Lebensgestaltung führte nach der Aufzeichnung
48nicht einmal zur Löschung, wie es geboten gewesen wäre.\
49\
50Auch die Löschung des Staatstrojaners nach Ablauf der vom Richter
51genehmigten Frist bereitete den Behörden Schwierigkeiten, sie wurde
52aufgrund technischer Unzulänglichkeiten auch schon mal um mehr als einen
53Monat überzogen. Ohnehin war der Löschvorgang nur ein logisches Löschen,
54die Software ist also einfach wiederzufinden, da sie nicht überschrieben
55wurde. Dies ist bei dem amateurhaften DigiTask-Spionageprodukt auch gar
56nicht vorgesehen.\
57\
58Offenbar planen die Behörden dennoch weiter mit dem Skandallieferanten
59DigiTask zusammenzuarbeiten. Er soll laut dem Bericht mit technischen
60Erweiterungen beauftragt worden sein, konnte bisher jedoch nicht
61liefern.\
62\
63Ohne ausreichende rechtliche Grundlage wurde der Staatstrojaner in Bund
64und Ländern dutzendfach eingesetzt, um die Computer von Verdächtigen zu
65infiltrieren. Schaar kommt zu dem Ergebnis, daß der Gesetzgeber
66nachbessern muß. Sowohl § 100a StPO als auch § 23z
67Zollfahndungsdienstgesetz seien keine hinreichende Rechtsgrundlage, da
68sie dem Urteil aus Karlsruhe nicht genügten. Warum die Ermittler nicht
69direkt an Skype herantreten, ist Schaar ohnehin nicht ersichtlich.\
70\
71Grundsätzlich stellt sich die Frage, inwieweit auch die richterlichen
72Beschlüsse hinterfragt werden müssen. Schaar gibt hier mangels
73Zuständigkeit keine Bewertung ab. Es bleibt zu fordern, daß in Zukunft
74der Richterbeschluß – besonders bei intensiven Grundrechtseingriffen –
75einer Prüfung auf Rechtmäßigkeit unterzogen werden kann.\
76\
77Schaars Bericht belegt auch, daß die Staatstrojaner-Spezialexperten bei
78der Programmierung schlampten. Die Fernsteuerschnittstelle des
79behördlichen Infiltrationsprogrammes kann von praktisch jedem beliebigen
80Angreifer genutzt und gesteuert werden. Die Kommandos zum Trojaner waren
81darüberhinaus weder verschlüsselt noch authentifiziert, und die Daten,
82die die Computerwanze zurückschickte, waren mit dem immer gleichen
83AES-Schlüssel kodiert.\
84\
85Schaars Bericht rügt auch, daß die in naher Zukunft geplante
86Einsichtnahme in den Quelltext bei DigiTask keine tatsächliche Prüfung
87ersetzen würde. Das BKA selbst sah sich nicht einmal in der Lage zu
88prüfen, ob der AES-Schlüssel, den der CCC im Rahmen der
89Staatstrojaner-Veröffentlichung publiziert hatte, auch in der vom BKA
90genutzten Software steckt.\
91\
92Dafür gibt es nur zwei Erklärungen: Entweder hat das BKA klaffende
93Kompetenzlücken oder wollte absichtlich eine ordentliche Auskunft
94schuldig bleiben. Schaar sah sich durchaus in der Lage eine solche
95Prüfung selbst durchzuführen und bestätigte, daß der AES-Schlüssel auch
96beim BKA derselbe wie in den vom CCC veröffentlichten
97Staatstrojaner-Versionen ist.\
98\
99Aus dem Bericht geht weiter hervor, daß auch beschlagnahmte Rechner
100heimlich infiltriert und an die Besitzer zurückgegeben wurden. Das ist
101ein weiterer klarer Rechtsbruch, da eine Beschlagnahme nur der Sicherung
102von Beweisen dienen darf.\
103\
104Es wird leider niemanden überraschen: Nicht um Terrorismus oder
105Menschenhandel ging es in vielen geprüften Einsatzfällen, es waren in
106der Mehrzahl die üblichen Verstöße gegen das Betäubungsmittelgesetz.\
107\
108Links:\
109\
110\[1\] [Chaos Computer Club analysiert
111Staatstrojaner](http://ccc.de/de/updates/2011/staatstrojaner)\
112\
113\[2\] [geleakter Bericht bei
114Indymedia](http://linksunten.indymedia.org/de/system/files/data/2012/02/4364782314.pdf)
115(pdf)\
116\
117\[3\] [geleakter Bericht in
118html](http://bka.net.in/bundesbeauftragter-datenschutz-informationsfreiheit/bundestrojaner.html)\
119\
120\[4\] [Mirror des geleakten
121Berichts](http://www.ccc.de/system/uploads/103/original/Schaar-Bericht.pdf)
122(pdf)