Staatstrojaner – Darf ein weiterer Einsatz folgen?

Quelle: CCC.

Daraufhin untersuchte der Datenschutzbeauftragte die Binärdatei eines Trojaners, den das Land Bayern in den Jahren zwischen 2008 und 2011 23 Mal verwendet hatte, um eine Quellen- TKÜ durchzuführen. Die Software enthalte auf alle Fälle mehr, als die gesetzlich dürfe, so der Vorwurf des CCC im vergangenen Jahr.

Das Bayerische Staatsministerium des Innern bat daraufhin den Landesbeauftragten für Datenschutz zu einer Überprüfung der Software. Der Datenschutzbeauftragte Dr. Thomas Petri ließ sich daraufhin vom zuständigen Landeskriminalamt (LKA) die Unterlagen, sowie Software und Akten geben.

Auf diese vorgenommene Überprüfung bezieht sich sein Bericht. Dabei konnte er lediglich abgeschlossene Fälle überprüfen, somit 14 von 23. Das wesentliche Problem seiner Überprüfung war es demnach, dass nicht genau festgestellt werden konnte, wie der Einsatz der Software abgelaufen ist. Eine ordnungsgemäße Dokumentation seitens der Ermittlungsbehörde habe nämlich nicht stattgefunden. Zudem habe die Herstellerfirma DigiTask dem Datenschutzbeauftragen zwar einen Einblick in den Quellcode angeboten, stellte diesen jedoch unter die Bedingung eines Geheimhaltungsvertrages. Aufgrund seiner Prüf- und Berichtspflicht konnte Dr. Petri darauf nicht eingehen und somit lediglich die Binärdaten einsehen.

In seinem Bericht stellt er fest, dass bei der Anwendung von Software eines sogenannten Staatstrojaner in Bayern schwere Fehler gemacht worden sind. Er fordert, dass Konsequenzen von Strafverfolgungsbehörden und dem Gesetzgeber gezogen werden.

Schon die mangelnde Dokumentation führt aufgrund der Eingriffsintensität zu einem Verstoß gegen § 9 des Bundesdatenschutzgesetzes beziehungsweise Art. 7 des Bayerischen Datenschutzgesetzes. Nach Auffassung des Datenschutzbeauftragten waren die Aufträge an die Firma DigiTask bereits deswegen nicht ordnungsgemäß, da die Quellcodes nicht offen eingesehen werden können. Zudem wird im Bericht hervorgehoben, dass das DigiTask-Personal weder verpflichtet worden sei, bei Fernwartung das Datengeheimnis zu wahren, noch gehalten gewesen sei, die rechtlich zulässigen Überwachungsfunktionen einzuhalten.

Zudem kritisiert Petri die technische Konzeption der Software. Grundsätzlich sei es nämlich technisch möglich, dass der Trojaner eine Begrenzung auf bestimmte Überwachungsfunktionen enthält. Doch gerade an dieser habe es in den überprüften Fällen gefehlt.

Zulässig ist eine Quellen-TKÜ lediglich zur Überwachung der Telekommunikation. Alle weitergehenden Maßnahmen – und somit auch die sogenannte “Online-Durchsuchung” – sind unzulässig. Bei den überprüften Maßnahmen konnten in vier Maßnahmen Aufzeichnungen von Anwendungsfensterinhalten (Applicationshots) von Browsern durchgeführt werden. In zwei weiteren Maßnahmen konnten nur Applicationshots von Instant Messengern gefertigt werden. In anderen Fällen hat der Datenschutzbeauftragte festgestellt, dass die Software nicht nur die Übertragung eines Browserfensters, sondern auch eines gesamten Bildschirms ermöglicht. Dies hätte nicht möglich sein dürfen.
Ob das LKA Bayern von diesen beschriebenen weitergehenden Funktionen Gebrauch gemacht hat oder nicht, ist aufgrund der Beschränkung der Untersuchung auf Binärdateien nicht zu sagen.

Zudem prangert der Prüfbericht an, dass die Software vom LKA nicht sofort und automatisch deinstalliert wurde. Dies hat zur Folge, dass eine Deinstallation nur noch dann möglich ist, wenn der Proxy-Server in Betrieb bleibt. Problematisch ist dies insbesondere bei Servern im Ausland. Bei solchen muss das LKA die dauerhafte Verfügbarkeit sichern. Ob dies geschehen ist, kann nicht nachvollzogen werden.

Doch auch nach einer erfolgreichen Deinstallation besteht offensichtlich noch die Gefahr, dass die Überwachungssoftware wieder aktiv wird. Der Zeitpunkt für die Reaktivierung lässt sich jedoch nicht eingrenzen. Das LKA habe sich sogar gegen die Option einer automatischen Deinstallation entschieden. Es wollte verhindern, dass es bei einer Verlängerung der Überwachungsmaßnahme die Zugriffsmöglichkeit verliert. Dies stellt eine Gefahr für Daten auf dem Rechner dar. Die Gegebenheiten sind demnach in Bezug auf das Grundrecht auf Integrität informationstechnischer Systeme und aus datenschutzrechtlicher Sicht als nicht ausreichend bewertet worden.

Zudem, so Petri, war die Überwachungskonsole nach jetzigem Verständnis unzureichend gesichert. Auch wurde sie ohne Sicherheitsupdates betrieben, was von ihm als “sehr bedenklich” gewertet wird. Hervorzuheben ist auch, dass dem Datenschutzbeauftragten aus den angeforderten Akten und Unterlagen des LKA nicht ersichtlich war, ob die jeweils Betroffenen – wie gesetzlich vorgeschrieben – nachträglich von der Überwachung benachrichtigt worden sind oder nicht.

Fazit des Prüfberichtes ist, dass die gesetzlichen Voraussetzungen der Quellen-TKÜ genauer geregelt und die Fehler behoben werden müssen.

Petri empfiehlt für die weitere Anwendung der Quellen-TKÜ, dass Gesetze geschaffen werden, die den besonderen Eingriffscharakter angemessen berücksichtigen.

Redaktion

View Comments

  • ... ein privates Unternehmen, z. B. aus der Werbebranche, würde überführt sich bei Eingriffen auf fremde Rechner "genauso" gesetzeskonform verhalten zu haben, wie unsere staatlichen Stellen ...

    Dabei stellt sich mir die Frage: Wie motivierend ist das Vorgehen des LKA für den Normalbürger sich ebenfalls "besonders" gesetzestreu zu verhalten??

  • So haarsträubend der Bericht des Datenschutzbeauftragten hiermit auch ausfällt - in der breiten Oeffentlichkeit wird er wohl kaum nennenswerten Widerhall finden. Die bisher selten leisen Gewerkschaft der Polizei und Vertretungen der Sicherheitsbehörden beschweren sich ja regelmäßig über "lästige" Datenschutzbestimmungen, die nicht selten als von "Fachidioten" gestrickt unnötig überzogen gelten.

    Dabei dürfte der Bericht lediglich die Spitze des Eisberges abbilden, denn längst hat das Heim PC Nutzerverhalten bereits Einzug in mehr und mehr Dienststellen gefunden und die Admins, die auf die Einhaltung der gesetzlichen Bestimmungen pochen, gelten als "kleinliche Spielverderber" oder "realitätsfremd, vor allem bei jenen, denen informatirische Grundrechte der Bürger ebenso fremd scheinen wie die mit einem solchen Verhalten verbundenen Sicherheitsimplikationen.

    Datenschützer haben bis heute keinen leichten Stand und aus der Sicht vieler Beamten wie Politiker gar keine nennenswerte Bedeutung - in nicht wenigen Behörden wird jemand (weil ja gefordert) zum "Datenschutzbeauftragten" bestimmt, ohne einschlägige Aus- oder Fortbildung, ja manchmal sogar ohne dessen Wissen.

    Dennoch wird der "Ausbau" der technologischen Ueberwachung kräftig weitergehen. Hauptargument: "Was technisch möglich ist, das müssen wir auch tun, wenn es zB um Kindesmißbrauch oder Kinderporno geht". Technisch möglich aber auch wäre heute schon jede Privatwohnung mit WebCams und Mikrofonen zu bestücken...

  • das konsequente "Vergessen", den Überwachten und vor allem die Mitbetroffenen zu informieren, liesse sich vielleicht in den Griff kriegen - z.B. mit einem Anspruch darauf, dass sich im Zweifelsfall der Dienstherr in einem persönlichen Gespräch entschuldigen muss

  • Das sich dieser Datensch-m-utzstaat einen feuchten Dreck um seine eigenen Datenschutzgesetzte schert ist überdeutlich an dem wiederholten Ankauf von ‚Steuer-CDs‘ mit sowohl nach deutschem als auch nach Schweizer Recht illegal beschafften Kundendaten Schweizer Banken aus der Schweiz zu erkennen.
    Als wenn diese ‚schäublistische‘ Rechtsbeugung nicht schon erschreckend genug wäre, wird das ganze durch die Politik - nahezu jeder ‚Couleur‘ - darüber hinaus noch mit rechts-populistischer hell-brauner Sauce ‚a la‘ „Deutsche Steuern und deutsche Steuerdaten für brave deutsche Bürger“ medienwirksam und in der Fläche sogar mit aus meiner Sicht erschreckend naiver und ebenso erschreckend häufiger Zustimmung gerechtfertigt.
    Im Umfeld eines Republikaners bei der REP würde ich diese Richtung in der Argumentation wohl als ‚unangemessen, aber durchaus nicht unerwartet‘ durchgehen lassen, für alle anderen politischen Gruppierungen, Parteien und Politiker in Regierungsverantwortung und/oder Opposition kommt diese Argumentationsweise einem selbsterklärten rechtsstaatlichen Bankrott gleich.
    Da leider ich unter extremem ‚Fremdschämen ein Deutscher zu sein‘, wenn zum Beispiel ein amtierender Finanzminister des Landes NRW den öffentlich-rechtlichen Rundfunk für solche ‚Propaganda‘ missbraucht.
    Mit dem immer wieder propagierten Übergang ins Informations- , sprich Daten-, zeitalter sollte man erwarten können das Datenschutz auf allen und insbesondere allen staatlichen Ebenen ernst genommen wird.
    ‚Freiheit‘ beginnt und endet im Kopf.
    Ich persönlich glaube, wir sind dem ‚schäublistischen‘ oder auch ‚orwellschen‘ Ende dieser Freiheit näher als gemeinhin angenommen wird.

  • Das eigentliche Problem ist meines Erachtens nicht das (möglicherweise obendrein lächerlich schlecht programmierte) Stückchen Software das sich hinter der Bezeichnung ‚Bundes-Trojaner‘ verbirgt, beziehungsweise der individuelle Schutz vor dessen unerwünschten Einsatz auf persönlicher Hardware.
    Das sollte so jeder halbwegs begabte Computerbenutzer selbst bewerkstelligen können.

    Das Problem ist der nachlässige, fahrlässige, grobfahrlässige und auch mutwillige Missbrauch der ungerechtfertigt und oft auch unberechtigt gesammelten Daten und die Zusammenführung, Verdichtung und Konsolidierung solcher Datensammlungen, der Missbrauch auch dieser verdichteten Daten auch und insbesondere durch unseren Staat und dessen Organe.

    Sind die Daten erst einmal gesammelt und verfügbar ist der Missbrauch auch nicht mehr fern, siehe zum Beispiel Steuer-CDs, …

    Eine der Aufgaben eines Rechtsstaates sollte es daher zu allererst sein solche blinden Datensammlungen zu unterbinden und falls vollkommen unvermeidbar, hier wenigstens für die entsprechenden Rahmenbedingungen für eine sichere und verantwortungsvolle Nutzung solcher Daten sowohl und insbesondere innerhalb der staatlichen Organe als auch außerhalb zu sorgen und das individuelle Recht auf informationelle Selbstbestimmungen zu gewährleisten.

    Diese Aufgabe leistet unser Staat, insbesondere mit dem rasanten Fortschreiten der allgemeinen ‚Schäublisierung‘ seit der namensgebende Politiker unterschiedlichste Ämter auf Bundesebene bekleidet und /oder bekleidet hat, nicht. Punkt.

    Nochmal:
    Diese Aufgabe leistet unser Staat nicht.

    Schlimmer noch:
    Unser Staat und seine Organe bedienen sich in einer in jeder Hinsicht unangemessenen Art und Weise an den Daten aller Bürger, siehe zum Beispiel die mangelhafte Umsetzung der Vorratsdatenspeicherung, …
    Unser Staat und seine Organe begünstigen und betreiben Datenhehlerei und Datendiebstahl in weitreichendem Umfang, siehe zum Beispiel Steuer-CDs, …
    Unser Staat und seine Organe missachten und ignorieren eigene Gesetze, siehe zum Beispiel Steuer-CDs, Bundes-Trojaner, …
    Mit Beginn des derzeit herrschenden ‘Schäublizismus‘ werden diese offensichtlichen Rechtsbeugungen häufig durch unangemessene und willkürliche Anpassungen der entsprechenden Gesetze und Bestimmungen kompensiert, siehe zum Beispiel die Gesetzgebung für den direkten Zugriff auf individuelle Bankdaten durch Finanzbehörden.

    Ein Schelm der sich dabei an die Methoden der ehemaligen Staatssicherheit in der ehemaligen Deutschen (Un-)Demokratischen Republik erinnert fühlt.

    Wir sind in einem rasanten rechtsstaatlichen Abwärtstaumel und lassen uns mit Scheindebatten über zum Vorratsdatenspeicherung, Steuer-CDs, Bundestrojaner abspeisen.

    Dieser Staat und seine Organe betreiben und begünstigen Datenmissbrauch aus Gründen die in der allgemeinen Rechtsprechung als ‚niedere Beweggründe‘ geführt werden.

    Dieser Staat und seine Organe schaffen einen in vielfältiger Hinsicht günstiges Umfeld für Datenmissbrauch jedweder Art in dem er diesen Missbrauch geradezu lehrbuchhaft und exemplarisch vorlebt.

    Dieser Staat und seine Organe bedienen sich selbst !

    Auch wenn ich es schon mal geschrieben habe:
    ‚Freiheit‘ beginnt und endet im Kopf.
    Ich persönlich glaube, wir sind dem ‚schäublistischen‘ oder auch ‚orwellschen‘ Ende dieser Freiheit näher als gemeinhin angenommen wird.

    Es ist an der Zeit sich seiner Daten zu wehren.

Recent Posts

S/4HANA-Migration: Verzögerung vorprogrammiert?

SAP S/4HANA-Transformationen sind äußerst komplex und verlaufen oft nicht wie geplant – oder scheitern sogar…

3 Stunden ago

Black Friday: Ein Blick auf den Schnäppchen-Hype

Der Black Friday, der in den USA traditionell am Freitag nach Thanksgiving gefeiert wird, hat…

3 Stunden ago

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

3 Tagen ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

3 Tagen ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

4 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

4 Tagen ago