summaryrefslogtreecommitdiff
path: root/updates/2012/schaar-bericht.md
blob: f90975f6495a1d3194cb1aab9e4cb3ff615f079c (plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
title: Bericht des Bundesdatenschutzbeauftragten zum Staatstrojaner geleakt
date: 2012-02-18 21:16:00 
updated: 2012-02-25 23:13:32 
author: office
tags: update, pressemitteilung

In den bisher vierzig Fällen des Einsatzes von Spionagesoftware durch polizeiliche Bundesbehörden wurden in einem Bericht des Bundesdatenschutzbeauftragten schwere Verstöße gegen geltendes Recht beanstandet. Die Ermittler schreckten auch nicht vor dem Aufzeichnen und einer Verschriftlichung von Telefonsex-Dialogen zurück.

<!-- TEASER_END -->

Als der Chaos Computer Club (CCC) den Staatstrojaner enttarnte \[1\],
wurde nach einigen Tagen der innenministeriellen Konfusion und des
verwirrten Abstreitens Besserung, vor allem aber Aufklärung und
Transparenz versprochen. Die Datenschutzbeauftragten in Bund und Ländern
sollten sich des Falles annehmen und gründlich hinterfragen, was sich an
verfassungsrechtlichen Problemen und technischen Unzulänglichkeiten
angehäuft hatte.\
\
Der Bericht des bayerischen Landesdatenschutzbeauftragten steht noch
aus, doch der Bericht des Bundesdatenschutzbeauftragten Peter Schaar zu
seinen Untersuchungen zum Thema Staatstrojaner liegt nun öffentlich vor.
Nicht direkt freiwillig, eigentlich sollte dieser Text unter Verschluß
bleiben. Nun ist der Datenschutz-Bericht trotzdem der Öffentlichkeit
zugänglich geworden und bestätigt viele Befürchtungen. Das
Bundeskriminalamt (BKA) und das Finanzminister Wolfgang Schäuble
unterstellte Zollkriminalamt (ZKA) sind demnach ebenfalls
DigiTask-Kunden, für das BKA existiert sogar ein Rahmenvertrag.\
\
Eine tatsächliche tiefgehende inhaltliche Prüfung der
Staatstrojanerversionen war auch Schaar nicht möglich – keine der
Bundesbehörden hatte Zugang zum Source Code. Das BKA weigerte sich
zudem, den Prüfern den Binärcode zur Einsicht zu überlassen.\
\
Zollkriminalamt und Bundespolizei ließen noch weniger
Kontrollmöglichkeiten als das quasi im Blindflug ohne Quellcode
agierende BKA: Nicht einmal die Software selbst, keinerlei
Versionskontroll-Möglichkeiten oder auch nur ordentliche Handbücher
lagen vor. Teilweise wurde das Ausspionieren komplett an DigiTask
ausgelagert. Damit wurde die Ermittlung vollständig als Auftrag an eine
private Firma vergeben.\
\
Drastisches Beispiel ist ein ganz klar zum geschützten Kernbereich
gehörendes Telefonsex-Gespräch, das in Schaars Bericht dokumentiert
wird: Die Ermittler vermerkten akkurat "Liebesbeteuerungen" und
"Selbstbefriedigungshandlungen" zwischen "15.52 Uhr und 16.01 Uhr".
Dieser klare Eingriff in den grundgesetzlich absolut geschützten
Kernbereich der privaten Lebensgestaltung führte nach der Aufzeichnung
nicht einmal zur Löschung, wie es geboten gewesen wäre.\
\
Auch die Löschung des Staatstrojaners nach Ablauf der vom Richter
genehmigten Frist bereitete den Behörden Schwierigkeiten, sie wurde
aufgrund technischer Unzulänglichkeiten auch schon mal um mehr als einen
Monat überzogen. Ohnehin war der Löschvorgang nur ein logisches Löschen,
die Software ist also einfach wiederzufinden, da sie nicht überschrieben
wurde. Dies ist bei dem amateurhaften DigiTask-Spionageprodukt auch gar
nicht vorgesehen.\
\
Offenbar planen die Behörden dennoch weiter mit dem Skandallieferanten
DigiTask zusammenzuarbeiten. Er soll laut dem Bericht mit technischen
Erweiterungen beauftragt worden sein, konnte bisher jedoch nicht
liefern.\
\
Ohne ausreichende rechtliche Grundlage wurde der Staatstrojaner in Bund
und Ländern dutzendfach eingesetzt, um die Computer von Verdächtigen zu
infiltrieren. Schaar kommt zu dem Ergebnis, daß der Gesetzgeber
nachbessern muß. Sowohl § 100a StPO als auch § 23z
Zollfahndungsdienstgesetz seien keine hinreichende Rechtsgrundlage, da
sie dem Urteil aus Karlsruhe nicht genügten. Warum die Ermittler nicht
direkt an Skype herantreten, ist Schaar ohnehin nicht ersichtlich.\
\
Grundsätzlich stellt sich die Frage, inwieweit auch die richterlichen
Beschlüsse hinterfragt werden müssen. Schaar gibt hier mangels
Zuständigkeit keine Bewertung ab. Es bleibt zu fordern, daß in Zukunft
der Richterbeschluß – besonders bei intensiven Grundrechtseingriffen –
einer Prüfung auf Rechtmäßigkeit unterzogen werden kann.\
\
Schaars Bericht belegt auch, daß die Staatstrojaner-Spezialexperten bei
der Programmierung schlampten. Die Fernsteuerschnittstelle des
behördlichen Infiltrationsprogrammes kann von praktisch jedem beliebigen
Angreifer genutzt und gesteuert werden. Die Kommandos zum Trojaner waren
darüberhinaus weder verschlüsselt noch authentifiziert, und die Daten,
die die Computerwanze zurückschickte, waren mit dem immer gleichen
AES-Schlüssel kodiert.\
\
Schaars Bericht rügt auch, daß die in naher Zukunft geplante
Einsichtnahme in den Quelltext bei DigiTask keine tatsächliche Prüfung
ersetzen würde. Das BKA selbst sah sich nicht einmal in der Lage zu
prüfen, ob der AES-Schlüssel, den der CCC im Rahmen der
Staatstrojaner-Veröffentlichung publiziert hatte, auch in der vom BKA
genutzten Software steckt.\
\
Dafür gibt es nur zwei Erklärungen: Entweder hat das BKA klaffende
Kompetenzlücken oder wollte absichtlich eine ordentliche Auskunft
schuldig bleiben. Schaar sah sich durchaus in der Lage eine solche
Prüfung selbst durchzuführen und bestätigte, daß der AES-Schlüssel auch
beim BKA derselbe wie in den vom CCC veröffentlichten
Staatstrojaner-Versionen ist.\
\
Aus dem Bericht geht weiter hervor, daß auch beschlagnahmte Rechner
heimlich infiltriert und an die Besitzer zurückgegeben wurden. Das ist
ein weiterer klarer Rechtsbruch, da eine Beschlagnahme nur der Sicherung
von Beweisen dienen darf.\
\
Es wird leider niemanden überraschen: Nicht um Terrorismus oder
Menschenhandel ging es in vielen geprüften Einsatzfällen, es waren in
der Mehrzahl die üblichen Verstöße gegen das Betäubungsmittelgesetz.\
\
Links:\
\
\[1\] [Chaos Computer Club analysiert
Staatstrojaner](http://ccc.de/de/updates/2011/staatstrojaner)\
\
\[2\] [geleakter Bericht bei
Indymedia](http://linksunten.indymedia.org/de/system/files/data/2012/02/4364782314.pdf)
(pdf)\
\
\[3\] [geleakter Bericht in
html](http://bka.net.in/bundesbeauftragter-datenschutz-informationsfreiheit/bundestrojaner.html)\
\
\[4\] [Mirror des geleakten
Berichts](http://www.ccc.de/system/uploads/103/original/Schaar-Bericht.pdf)
(pdf)