O’zapft is: Überwachungsrepublik Deutschland

Dem Chaos Computer Club (CCC) wurde der Quellcode des sog. Behördentrojaners zugespielt, den man aus der öffentlichen Diskussion als Bundestrojaner und aus der Strafrechtspraxis auch als Bayern-Trojaner kennt.

Die Analyse des CCC ist ebenso erschreckend wie vorhersehbar. Das Tool ermöglicht eine umfassende Onlinedurchsuchung, die weit über das hinausgeht, was bislang offiziell bekannt war.

Man wusste bereits aus einer Entscheidung des Landgerichts Landshut, dass das bayerische LKA das Programm einem Verdächtigen während der Sicherheitsüberprüfung am Münchener Flughafen auf sein Notebook gespielt hatte und, dass das Tool immer dann, wenn der Verdächtige mit seinem Browser online war, alle 30 Sekunden einen Screenshot angefertigt hat, der dann an das LKA geschickt wurde. Im konkreten Fall waren es über 60.000 Screenshots, die das bayerische Landeskriminalamt auf diese Weise erlangt hat.

Die Analyse des CCC zeigt nun, dass die Software neben der Überwachung der Skype-Telefonie und der Aufzeichnung und Weiterleitung von Browser-Screenshots noch eine Reihe weiterer Überwachungsfeatures enthält. In der Pressemitteilung des CCC heißt es hierzu:

So kann der Trojaner über das Netz weitere Programme nachladen und ferngesteuert zur Ausführung bringen. Eine Erweiterbarkeit auf die volle Funktionalität des Bundestrojaners – also das Durchsuchen, Schreiben, Lesen sowie Manipulieren von Dateien – ist von Anfang an vorgesehen. Sogar ein digitaler großer Lausch- und Spähangriff ist möglich, indem ferngesteuert auf das Mikrophon, die Kamera und die Tastatur des Computers zugegriffen wird.

Zusätzlich bedenklich ist es, dass der Staatstrojaner die ausgespähten Daten zunächst an einen Server eines kommerziellen Providers in Ohio (USA) übermittelt. Offenbar ist den deutschen Behörden die Rechtswidrigkeit ihres Tuns bewusst, weshalb man es vermeidet, den Datenaustausch über einen deutschen, evtl. sogar behördlichen Server abzuwickeln.

Wenn man immer wieder hört – z.B. vom BKA – dass dieser Behördentrojaner nicht zum Einsatz kommt, sollte man dem keinen Glauben schenken. Die Strafverfolgung ist in Deutschland Ländersache, weshalb auf das BKA vermutlich tatsächlich die niedrigste Anzahl von Einsätzen entfallen dürfte. Demgegenüber scheinen die Landeskriminalämter und damit auch die Staatsanwaltschaften durchaus regelmäßigen Gebrauch von diesem Programm zu machen. In Bayern hat die Staatsregierung eingeräumt, dass der Trojaner in fünf Fällen zu Zwecken der Strafverfolgung eingesetzt worden ist. Man darf annehmen, dass die Situation in anderen Bundesländern ähnlich ist.

Die rechtliche Bewertung ist übrigens sehr eindeutig. Für eine (heimliche) Onlinedurchsuchung existiert in Deutschland derzeit überhaupt keine Rechtsgrundlage – und es wäre auch fraglich ob eine solche verfassungskonform ausgestaltet werden könnte – weshalb der Einsatz des Beh…