Dienstag, 19. März 2024

Archiv

Software für Bundeskriminalamt
Neuer Bundestrojaner kurz vor Genehmigung

Bald könnte der Staat wieder in die Rechner verdächtiger Bürger eindringen. Das Bundeskriminalamt hat einen eigenen Trojaner entwickeln lassen, der in den kommenden Wochen die Einsatzgenehmigung erhalten soll, wie dem Deutschlandfunk bestätigt wurde. Der Chaos Computer Club und Grüne bleiben skeptisch, ob die neue Software den Vorgaben des Bundesverfassungsgerichts entspricht.

Von Falk Steiner | 22.02.2016
    Ein mit "PRIVAT" gekennzeichneter Ordner auf dem Bildschirm eines Computers.
    Bald soll es einen neuen Bundestrojaner geben (Karl-Josef Hildenbrand/dpa)
    Wie dem Deutschlandfunk von Bundeskriminalamt und Bundesinnenministerium bestätigt wurde, steht das als Bundestrojaner bekannt gewordene Ermittlungsinstrument kurz vor der notwendigen Freigabe für den Einsatz. Schon in dieser Woche könnte es soweit sein. Bei dem vom Bundeskriminalamt nun für den Einsatz vorgesehenen Programm handelt es sich um eine Eigenentwicklung, die ursprünglich schon im Herbst 2015 zur Verfügung stehen sollte. Die Software soll ausschließlich für die sogenannte Quellen-Telekommunikationsüberwachung eingesetzt werden. Dabei soll die per Computer oder Smartphone stattfindende digitale Kommunikation eines Verdächtigen über das Internet den Ermittlern zugänglich gemacht werden.
    Verfassungsrichter setzten Grenzen
    Das Bundesverfassungsgericht hatte im Februar 2008 über die Regelung im nordrhein-westfälischen Landesverfassungsschutzgesetz zur Online-Durchsuchung entschieden und diese für nichtig erklärt. Dem Vorhaben setzten die Karlsruher Richter dabei für die Zukunft Grenzen: nur bei überragend wichtigen Rechtsgütern könne ein heimlicher Fernzugriff auf Computer durch die Behörden möglich sein. Darunter fielen die Gefahr für Leib und Leben oder Straftaten gegen den Bestand des Staates. Doch auch hier müssen, so die Richter, bestimmte Tatsachen für den Verdacht vorliegen, und ein Richter muss den Einsatz genehmigen. Es gebe, so die Verfassungsrichter in Fortentwicklung der bereits bekannten Grundrechte, auch ein Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme.
    Kritik vom Chaos Computer Club
    Die rechtlichen Hürden für eine reine Überwachung der vom Endgerät aus stattfindenden Telekommunikation per Software definierten die Richter jedoch als geringer als die für den Zugriff auf den gesamten Computer und seine Inhalte. Genau diese Aufgabe soll der nun neu entwickelte Bundeskriminalamt-Trojaner erfüllen, der nun vor der Betriebsgenehmigung steht. Ermittlungsbehörden argumentieren damit, dass dies der einzige Weg sei, bereits vor der Verschlüsselung von Kommunikation mitlesen und -hören zu können. Dass die Software rein auf Kommunikationsvorgänge beschränkt sein kann, halten Experten jedoch für kaum möglich. "Die prinzipielle Unterscheidung zwischen einem Trojaner, der nur Kommunikation ausleiten soll und einem, der generell auch zum Beispiel zur Raumüberwachung geeignet ist, ist nicht zu treffen", sagt Frank Rieger, Sprecher des Chaos Computer Clubs dem Deutschlandfunk.
    "Letzten Endes ist ein Trojaner, der, sagen wir mal, Skype abhören soll, ein Raumüberwachungstrojaner, der nur zufällig nur dann angeht, wenn Skype gerade läuft. Technisch gibt es da keine großen Unterschiede." Rieger hatte mit anderen Hackern im Jahr 2011 einen Trojaner analysiert, den eine bayerische Polizeibehörde nutzte. Dazu wurden Festplatten eines Verdächtigen ausgewertet, die dessen Anwälte zur Verfügung stellten. Die Analyse ergab, dass die Software den Anforderungen des Bundesverfassungsgerichtes kaum standhalten konnte. Die Software ermöglichte einen weitgehenden Zugriff auf die Systeme der Verdächtigen, auch wenn Behördenvertreter beteuerten, diese ausschließlich für Telekommunikationsüberwachungszwecke eingesetzt zu haben. Die Karlsruher Richter hatten 2008 aber auch technische Beschränkungen der Fähigkeiten der Software eingefordert. CCC-Sprecher Frank Rieger hält das für zwingend notwendig: "Man schaut den Leuten quasi beim Denken zu, wenn man ihre Tastatur mitliest." Er glaube nicht, dass das Bundeskriminalamt diese Hürden nun vollständig erfüllen könne.
    Grüne: Staat darf keine Sicherheitslücken ausnutzen
    "Wir haben Verständnis für die Bedürfnisse der Sicherheitsbehörden, trotzdem: in einem Rechtstaat heiligt eben nicht der Zweck die Mittel", sagt Konstantin von Notz, stellvertretender Vorsitzender der Bundestagsfraktion Bündnis 90/Die Grünen gegenüber dem Deutschlandfunk. Er hält auch die Vorgehensweise, über die Ausnutzung von Sicherheitslücken die Rechner Verdächtiger mit der Software zu infizieren, für rechtlich wie technisch problematisch. "Der Staat hat die Aufgabe, diese Sicherheitslücken umgehend zu schließen." Es könne nicht sein, dass "der Staat für seine eigenen Interessen Sicherheitslücken ausnutzt, statt 99, Periode 9 Prozent der Bürger zu schützen", so von Notz. Der von der bayerischen Polizei genutzte Trojaner, den die Hacker vom Chaos Computer Club 2011 analysierten, wurde nach der Veröffentlichung auf den Virenerkennungslisten aller gängigen Antivirusprogramme hinzugefügt.
    CCC: Ein Markt für Geheimdienste und Kriminelle
    Für CCC-Sprecher Frank Rieger kommen noch weitere grundsätzliche Probleme hinzu. So sei es oftmals schwierig, das Zielgerät eindeutig zu identifizieren, dadurch könnten die falschen Geräte angegriffen werden. Und dadurch, dass derzeit genutzte Sicherheitslücken später geschlossen würden und danach andere genutzt werden müssten, könne der Staat gezwungen sein, das Wissen um neue und noch unbekannte Sicherheitslücken einzukaufen, damit seine Eigenentwicklung nicht unnütz wird. Rieger befürchtet, dass Polizeibehörden dadurch in einen Markt einträten, in dem sich sonst Geheimdienste und Kriminelle tummelten.
    Kooperation mit umstrittener Softwarefirma
    Das Bundeskriminalamt hatte parallel zur Eigenentwicklung auch bei einer umstrittenen Firma eine Software zur Quellentelekommunikations-Überwachung bestellt. Laut BKA ist die Anpassung des Produkts FinFisher der deutsch-britischen Firma Elaman/Gamma International noch nicht abgeschlossen, soll jedoch im Anschluss an die Eigenentwicklung weiter vorangetrieben werden. Kanadische Forscher haben in den vergangenen Jahren Steuerungsinstallationen der Software auch in repressiven Regimen wie Saudi-Arabien, Bahrain, Äthiopien und Turkmenistan ausfindig gemacht. Wegen dieses Einsatzes ihrer Produkte in Unrechtsregimen stand Gamma wiederholt öffentlich in der Kritik.
    Im Laufe des Jahres 2016 will das Bundesverfassungsgericht auch seine Entscheidung im Fall des BKA-Gesetzes von 2008 verkünden - umstritten waren in dem Verfahren unter anderem die Paragrafen 20k und 20l des BKA-Gesetzes, die Online-Durchsuchung und Quellen-Telekommunikationsüberwachung regeln sollen. Der Präsident des Bundeskriminalamtes Holger Münch stand dem Deutschlandfunk vergangene Woche nicht für eine Stellungnahme zur Verfügung.