Staatstrojaner – Darf ein weiterer Einsatz folgen?
Der bayerische Landesbeauftragte für Datenschutz hat seinen Prüfbericht zur Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) vorgelegt. Anlass war der Vorwurf des Chaos Computer Clubs (CCC), der Trojaner zur Durchführung der Quellen-TKÜ könne nicht nur sehr persönliche Daten herausfinden, sondern enthalte auch eine Funktion mit der aus der Entfernung Schadsoftware nachgeladen und ausgeführt werden könne.
Daraufhin untersuchte der Datenschutzbeauftragte die Binärdatei eines Trojaners, den das Land Bayern in den Jahren zwischen 2008 und 2011 23 Mal verwendet hatte, um eine Quellen- TKÜ durchzuführen. Die Software enthalte auf alle Fälle mehr, als die gesetzlich dürfe, so der Vorwurf des CCC im vergangenen Jahr.
Das Bayerische Staatsministerium des Innern bat daraufhin den Landesbeauftragten für Datenschutz zu einer Überprüfung der Software. Der Datenschutzbeauftragte Dr. Thomas Petri ließ sich daraufhin vom zuständigen Landeskriminalamt (LKA) die Unterlagen, sowie Software und Akten geben.
Auf diese vorgenommene Überprüfung bezieht sich sein Bericht. Dabei konnte er lediglich abgeschlossene Fälle überprüfen, somit 14 von 23. Das wesentliche Problem seiner Überprüfung war es demnach, dass nicht genau festgestellt werden konnte, wie der Einsatz der Software abgelaufen ist. Eine ordnungsgemäße Dokumentation seitens der Ermittlungsbehörde habe nämlich nicht stattgefunden. Zudem habe die Herstellerfirma DigiTask dem Datenschutzbeauftragen zwar einen Einblick in den Quellcode angeboten, stellte diesen jedoch unter die Bedingung eines Geheimhaltungsvertrages. Aufgrund seiner Prüf- und Berichtspflicht konnte Dr. Petri darauf nicht eingehen und somit lediglich die Binärdaten einsehen.
In seinem Bericht stellt er fest, dass bei der Anwendung von Software eines sogenannten Staatstrojaner in Bayern schwere Fehler gemacht worden sind. Er fordert, dass Konsequenzen von Strafverfolgungsbehörden und dem Gesetzgeber gezogen werden.
Schon die mangelnde Dokumentation führt aufgrund der Eingriffsintensität zu einem Verstoß gegen § 9 des Bundesdatenschutzgesetzes beziehungsweise Art. 7 des Bayerischen Datenschutzgesetzes. Nach Auffassung des Datenschutzbeauftragten waren die Aufträge an die Firma DigiTask bereits deswegen nicht ordnungsgemäß, da die Quellcodes nicht offen eingesehen werden können. Zudem wird im Bericht hervorgehoben, dass das DigiTask-Personal weder verpflichtet worden sei, bei Fernwartung das Datengeheimnis zu wahren, noch gehalten gewesen sei, die rechtlich zulässigen Überwachungsfunktionen einzuhalten.
Zudem kritisiert Petri die technische Konzeption der Software. Grundsätzlich sei es nämlich technisch möglich, dass der Trojaner eine Begrenzung auf bestimmte Überwachungsfunktionen enthält. Doch gerade an dieser habe es in den überprüften Fällen gefehlt.
Zulässig ist eine Quellen-TKÜ lediglich zur Überwachung der Telekommunikation. Alle weitergehenden Maßnahmen – und somit auch die sogenannte “Online-Durchsuchung” – sind unzulässig. Bei den überprüften Maßnahmen konnten in vier Maßnahmen Aufzeichnungen von Anwendungsfensterinhalten (Applicationshots) von Browsern durchgeführt werden. In zwei weiteren Maßnahmen konnten nur Applicationshots von Instant Messengern gefertigt werden. In anderen Fällen hat der Datenschutzbeauftragte festgestellt, dass die Software nicht nur die Übertragung eines Browserfensters, sondern auch eines gesamten Bildschirms ermöglicht. Dies hätte nicht möglich sein dürfen.
Ob das LKA Bayern von diesen beschriebenen weitergehenden Funktionen Gebrauch gemacht hat oder nicht, ist aufgrund der Beschränkung der Untersuchung auf Binärdateien nicht zu sagen.
Zudem prangert der Prüfbericht an, dass die Software vom LKA nicht sofort und automatisch deinstalliert wurde. Dies hat zur Folge, dass eine Deinstallation nur noch dann möglich ist, wenn der Proxy-Server in Betrieb bleibt. Problematisch ist dies insbesondere bei Servern im Ausland. Bei solchen muss das LKA die dauerhafte Verfügbarkeit sichern. Ob dies geschehen ist, kann nicht nachvollzogen werden.
Doch auch nach einer erfolgreichen Deinstallation besteht offensichtlich noch die Gefahr, dass die Überwachungssoftware wieder aktiv wird. Der Zeitpunkt für die Reaktivierung lässt sich jedoch nicht eingrenzen. Das LKA habe sich sogar gegen die Option einer automatischen Deinstallation entschieden. Es wollte verhindern, dass es bei einer Verlängerung der Überwachungsmaßnahme die Zugriffsmöglichkeit verliert. Dies stellt eine Gefahr für Daten auf dem Rechner dar. Die Gegebenheiten sind demnach in Bezug auf das Grundrecht auf Integrität informationstechnischer Systeme und aus datenschutzrechtlicher Sicht als nicht ausreichend bewertet worden.
Zudem, so Petri, war die Überwachungskonsole nach jetzigem Verständnis unzureichend gesichert. Auch wurde sie ohne Sicherheitsupdates betrieben, was von ihm als “sehr bedenklich” gewertet wird. Hervorzuheben ist auch, dass dem Datenschutzbeauftragten aus den angeforderten Akten und Unterlagen des LKA nicht ersichtlich war, ob die jeweils Betroffenen – wie gesetzlich vorgeschrieben – nachträglich von der Überwachung benachrichtigt worden sind oder nicht.
Fazit des Prüfberichtes ist, dass die gesetzlichen Voraussetzungen der Quellen-TKÜ genauer geregelt und die Fehler behoben werden müssen.
Petri empfiehlt für die weitere Anwendung der Quellen-TKÜ, dass Gesetze geschaffen werden, die den besonderen Eingriffscharakter angemessen berücksichtigen.