Bayerischer Trojanereinsatz war mangelhaft oder sogar rechtswiedrig

Der Datenschutzbeauftragte des Landes Bayern hat den Einsatz von Trojanern zur Überwachung untersucht und kritisiert die mangelhafte Software als verfassungswidrig. Die Versäumnisse sieht er bei den verantwortlichen Behörden und dem Gesetzgeber.

In Bayern kam die Software der Firma DigiTask von 2008 bis Ende 2011 rund 23 mal zum Einsatz um Kommunikation über Computer auszuspähen. Der Chaos Computer Club hatte im Oktober des vergangenen Jahres eine Analyse diese Trojaners vorgelegt und sowohl die Software als auch deren Einsatz heftig kritisiert.

Der Bayerische Landesbeauftragte für den Datenschutz, Thomas Petri, hat nun seinen offiziellen Bericht vorgelegt. Er folgt darin der Argumentation der des CCC und bemängelt, dass der Trojaner prinzipiell dazu geeignet gewesen sei, unzulässig Daten zu erheben und beliebig Programme auf den Rechner der Zielperson zu übertragen. Allein dieser Umstand sowie weitere Funktionalitäten, lassen sich nicht mit den Vorgaben des Bundesverfassungsgerichts in Einklang bringen.

Die Behörden hätten sich vom Hersteller des Trojaners zusichern lassen müssen, dass keine Funktionalität enthalten ist, die den Überwachungsauftrag den der Gesetzgeber vorsieht übersteigt. Auch hätten die verantwortlichen Stellen auf Einblicke in den Quellcode der Software bestehen müssen, um dese Aussage zu kontrollieren. Anhaltspunkte für einen Missbrauch lägen allerdings nicht vor, heißt es in dem Bericht. „Mangels hinreichender Dokumentation“ könne aber auch nicht nachvollzogen werden, wie die einzelnen Maßnahmen von der Firma vorbereitet und durch das Landeskriminalamt umgesetzt wurden.

Die Polizei als handlanger?

Nicht geprüft werden könne weiter, ob die eingesetzten Trojaner nach Abschluss der Maßnahme wieder von den Computern der Zielpersonen entfernt werden konnte. Der eingesetzte Server, über den die Kommunikation von Ermittlern und Trojanern lief, sei vom Landeskriminalamt gekündigt worden. Dabei sind keine „gebotenen“ Vorkehrungen getroffen worden, dass nicht jemand anderes die in der Zwischenzeit freigewordene IP-Adresse bekommt und mit noch aktiven Trojanern kommunizieren könnte. Gerade diesere Punkt ist besonders schlimm da hier das Landeskriminalamt aus Unwissenheit zum handlanger von Hackern werden könnte – immerhin hat das LKA durch vorbenannten Umstand die Tür zum vormals überwachten Rechner offen stehen lassen.

Verschlüsselung „gerade noch“ wirkungsvoll

Die vom Chaos Computer Club als ungenügend kritisierte Verschlüsselung der Kommunikation zwischen Trojaner und dem Server nennt der Datenschützer „gerade noch“ wirkungsvoll. Die Steuerung des Trojaners hingegen entspreche „nicht den üblichen datenschutzrechtlichen Anforderungen an einen sicheren Betrieb“. Kritisiert werden in diesem Zusammenhang die laschen Zugriffsverwaltung und die ungenügende Protokolldateien.

Datenschützer Petri sieht den Gesetzgeber in der Pflicht.

Sollten Ermittler weiterhin auf Quellen-Telekommunikationsüberwachung setzten, müsse die Strafprozessordnung entsprechend angepasst werden. Hier muß der „erhöhten Eingriffsintensität“ der dieser Maßnahme Rechnung getragen werden, die sich von der Überwachung von Telefonen grundliegend unterscheidet.

Auch ist es aus verfassungsrechtlicher Sicht äußerst problematisch, wenn neben einer laufenden Kommunikation weitere Daten erhoben würden. Sollte etwa das Auslesen von Softwarelisten erlaubt sein, wozu die Strafprozessordnung bisher keinerlei Angaben macht, müsse gefragt werden, inwieweit sich die Quellen-TKÜ überhaupt noch von einer Online-Durchsuchung unterscheidet.

Besonders heikel ist auch, dass durch die Software der Bildschirminhalt der Überwachten Rechner fotografiert werden kann. Ob davon immer Gebrauch gemacht wurde, konnte nicht mehr festgestellt werden. Mindestens bei einer Maßnahme fertigte der Trojaner nach Pressemeldungen auch solche Bildschirmfotos an, innerhalb von drei Monaten enstanden auf diese Weise rund 60.000 Screenshots.

Wie einem Interview des Deutschlandfunk zu erfahren war, sieht auch der Vorsitzende der Polizeigewerkschaft GDP, Herr Bernhard Witthaut dringenden handlungsbedarf bei der Gesetzgebung, wenn es um den Einsatz von oben Beschriebenen Überwachungsmaßnahmen geht.

Matthias A. Walter, http://www.tec4net.com

EDV-Sachverständiger und Datenschutzauditor

————————————————————————————————————————-

Quellen und Links:

Der Bericht des Datenschutzbeauftragten
http://www.datenschutz-bayern.de/0/bericht-qtkue.pdf

Interview des Deutschlandfunk
http://www.dradio.de/dlf/sendungen/interview_dlf/1575515/

Chaos Computer Club knackt „Bundestrojaner“
http://www.badische-zeitung.de/deutschland-1/chaos-computer-club-knackt-bundestrojaner-x2x–50424919.html

tec4net berät Sie gerne zu allen Themen rund um die Themen Datenschutz, IT-Sicherheit und Zertifzierung nach ISO 27001

orformulierten Vertrag