Gerd Pasch: In der Pressemitteilung des Bundesgerichtshofs heißt es: "Die heimliche Durchsuchung der im Computer eines Beschuldigten gespeicherten Dateien mit Hilfe eines Programms, das ohne Wissen des Betroffenen aufgespielt wurde (verdeckte Online-Durchsuchung), ist nach der Strafprozessordnung unzulässig. Es fehlt an der für einen solchen Eingriff erforderlichen Ermächtigungsgrundlage." Manfred Kloiber, worum genau geht es, technisch gesehen:
Manfred Kloiber: Es geht um eine neue Methode der Onlineüberwachung, die in Fachkreisen "Bundestrojaner" genannt wird. Konkret hatte das Bundeskriminalamt im November des letzten Jahres vor, einen Computer eines Verdächtigen durch Einsatz eines "Trojanischen Pferdes" auszuspähen. Ein trojanisches Pferd wird üblicherweise von Computerkriminellen auf die Rechner ihrer Opfer geschleust, damit der Trojaner dort zum Beispiel Kontendaten ausspäht oder den Rechner kapert, um über ihn Spam zu verbreiten. Beim Bundestrojaner geht es nun darum, mit Hilfe des Spionageprogramms die Festplatten von Verdächtigen zu überprüfen. Und zwar über das Internet, ohne dass der Verdächtige davon erfährt. Dass nun die Polizei solche Methoden einsetzt, das hat ein Ermittlungsrichter verboten. Die Generalbundesanwältin hat dagegen Beschwerde eingelegt. Und der BGH hat die Entscheidung heute bestätigt. Grund für das Verbot dieser Maßnahme ist, dass eine Durchsuchung grundsätzlich offen und unverdeckt laufen muss, was beim Einsatz eines Trojaners nicht gegeben ist. Für eine verdeckte Durchsuchung gibt es kein Gesetz, das müsste also nachgeholt werden. Und Bundesinnenminister Schäuble fordert bereits eine neue Rechtsgrundlage, er hält also am Bundestrojaner fest.
Pasch: Wenn ein Bundestrojaner ein Schadprogramm ist – so wie es auch von Internet-Kriminellen eingesetzt wird - wäre es dann nicht ohnehin eine stumpfe Waffe, weil Sicherheitsprogramme auf dem PC den Trojaner abfangen würden?
Kloiber: Nun, potenziell stimmt dies natürlich. Aber das BKA hat bereits einen Etat von 200.000 Euro und zwei Stellen eingeplant, um entsprechende Technologien zu entwickeln, die den Bundestrojaner eben für Schutzprogramme unsichtbar machen. Es gibt Gerüchte, dass es auf jeden Fall zur Zusammenarbeit zwischen den Herstellern der Schutzprogramme und der Regierung kommt beziehungsweise es schon Austausch gab. Technisch gesehen müsste die Regierung nur eine Beschreibung der charakteristischen Merkmale ihres Trojaners, die so genannte Signatur an die Hersteller melden, damit diese dann den Trojaner bewusst nicht erkennen. Das große Risiko dabei ist, dass es zu einem ganz großen Vertrauensverlust nicht nur für die Hersteller der Schutzprogramme, sondern auch für staatliche Beratungsstellen in Sachen Internetsicherheit kommen würde. Die Internetseite "BSI für Bürger" des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist bislang eine gute Informationsquelle in Sachen Computerkrankheiten. Ihr Ruf würde sicherlich durch einen staatlichen Computerspitzel leiden.
Pasch: Herr Kloiber, abgesehen von den politischen und Datenschutzrelevanten Implikationen dieses Ansinnens: Gibt es denn auch technische Gefahren der Methode?
Kloiber: Die gibt es auf jeden Fall, denn es ist ja nicht so, dass sich nur die Kriminalisten für diese Technologie interessieren. Genauso könnte es ja sein, dass auch Kriminelle oder ausländische Geheimdienste genauso den Bundestrojaner als Mittel einsetzen können. Sie müssten nur die Technologie abkupfern und dann würden die Sicherheitsprogramme auch den Trojaner der Mafia oder des Geheimdienstes nicht mehr erkennen. Wir hätten eine riesige Sicherheitslücke. Genauso könnte auch die Kommunikation des Trojaners mit der Polizeidienststelle abgehört werden - oder es könnten schlichtweg auch falsche Informationen eingespeist werden. Insgesamt, so kritisiert zum Beispiel auch der Bundesbeauftragte für den Datenschutz, Peter Schaar, gibt es neben den Datenschutzrechtlichen auch zu viele technische Risiken.
Manfred Kloiber: Es geht um eine neue Methode der Onlineüberwachung, die in Fachkreisen "Bundestrojaner" genannt wird. Konkret hatte das Bundeskriminalamt im November des letzten Jahres vor, einen Computer eines Verdächtigen durch Einsatz eines "Trojanischen Pferdes" auszuspähen. Ein trojanisches Pferd wird üblicherweise von Computerkriminellen auf die Rechner ihrer Opfer geschleust, damit der Trojaner dort zum Beispiel Kontendaten ausspäht oder den Rechner kapert, um über ihn Spam zu verbreiten. Beim Bundestrojaner geht es nun darum, mit Hilfe des Spionageprogramms die Festplatten von Verdächtigen zu überprüfen. Und zwar über das Internet, ohne dass der Verdächtige davon erfährt. Dass nun die Polizei solche Methoden einsetzt, das hat ein Ermittlungsrichter verboten. Die Generalbundesanwältin hat dagegen Beschwerde eingelegt. Und der BGH hat die Entscheidung heute bestätigt. Grund für das Verbot dieser Maßnahme ist, dass eine Durchsuchung grundsätzlich offen und unverdeckt laufen muss, was beim Einsatz eines Trojaners nicht gegeben ist. Für eine verdeckte Durchsuchung gibt es kein Gesetz, das müsste also nachgeholt werden. Und Bundesinnenminister Schäuble fordert bereits eine neue Rechtsgrundlage, er hält also am Bundestrojaner fest.
Pasch: Wenn ein Bundestrojaner ein Schadprogramm ist – so wie es auch von Internet-Kriminellen eingesetzt wird - wäre es dann nicht ohnehin eine stumpfe Waffe, weil Sicherheitsprogramme auf dem PC den Trojaner abfangen würden?
Kloiber: Nun, potenziell stimmt dies natürlich. Aber das BKA hat bereits einen Etat von 200.000 Euro und zwei Stellen eingeplant, um entsprechende Technologien zu entwickeln, die den Bundestrojaner eben für Schutzprogramme unsichtbar machen. Es gibt Gerüchte, dass es auf jeden Fall zur Zusammenarbeit zwischen den Herstellern der Schutzprogramme und der Regierung kommt beziehungsweise es schon Austausch gab. Technisch gesehen müsste die Regierung nur eine Beschreibung der charakteristischen Merkmale ihres Trojaners, die so genannte Signatur an die Hersteller melden, damit diese dann den Trojaner bewusst nicht erkennen. Das große Risiko dabei ist, dass es zu einem ganz großen Vertrauensverlust nicht nur für die Hersteller der Schutzprogramme, sondern auch für staatliche Beratungsstellen in Sachen Internetsicherheit kommen würde. Die Internetseite "BSI für Bürger" des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist bislang eine gute Informationsquelle in Sachen Computerkrankheiten. Ihr Ruf würde sicherlich durch einen staatlichen Computerspitzel leiden.
Pasch: Herr Kloiber, abgesehen von den politischen und Datenschutzrelevanten Implikationen dieses Ansinnens: Gibt es denn auch technische Gefahren der Methode?
Kloiber: Die gibt es auf jeden Fall, denn es ist ja nicht so, dass sich nur die Kriminalisten für diese Technologie interessieren. Genauso könnte es ja sein, dass auch Kriminelle oder ausländische Geheimdienste genauso den Bundestrojaner als Mittel einsetzen können. Sie müssten nur die Technologie abkupfern und dann würden die Sicherheitsprogramme auch den Trojaner der Mafia oder des Geheimdienstes nicht mehr erkennen. Wir hätten eine riesige Sicherheitslücke. Genauso könnte auch die Kommunikation des Trojaners mit der Polizeidienststelle abgehört werden - oder es könnten schlichtweg auch falsche Informationen eingespeist werden. Insgesamt, so kritisiert zum Beispiel auch der Bundesbeauftragte für den Datenschutz, Peter Schaar, gibt es neben den Datenschutzrechtlichen auch zu viele technische Risiken.