Offizieller Prüfbericht Bayerischer Trojanereinsatz war mangelhaft

Der Beauftragte für den Datenschutz in Bayern hat den Einsatz von Trojanern zur Überwachung untersucht - und kritisiert die mangelhafte Software als verfassungswidrig. Die Schuld daran sieht er bei Behörden und dem Gesetzgeber.

Trojaner-Code: Im Oktober 2011 analysierte der Chaos Computer Clubs den Staatstrojaner
dapd

Trojaner-Code: Im Oktober 2011 analysierte der Chaos Computer Clubs den Staatstrojaner


Hamburg - Insgesamt 23 Mal griffen die Ermittler zum Trojaner: In Bayern wurde von 2008 bis Ende 2011 eine Software der Firma DigiTask eingesetzt, um Kommunikation über Computer auszuspähen. Der Chaos Computer Club hatte im Oktober des vergangenen Jahres eine Analyse des Trojaners vorgelegt und sowohl die Software als auch ihren Einsatz heftig kritisiert.

Nun hat der der Bayerische Landesbeauftragte für den Datenschutz, Thomas Petri, seinen offiziellen Bericht (PDF) vorgelegt. Er folgt darin der Argumentation der Hacker und bemängelt, dass der Trojaner prinzipiell dazu geeignet gewesen sei, unzulässig Daten zu erheben und beliebig Programme auf den Rechner der Zielperson nachladen zu können. Dies lasse sich nicht in Einlang mit den Vorgaben des Bundesverfassungsgerichts bringen.

Die Behörden hätten sich vom Hersteller des Trojaners zusichern lassen müssen, dass keine "überschießende Funktionalität" vorhanden sei. Auch hätte der Staat auf Einblicke in den Quellcode der Software bestehen müssen. Anhaltspunkte für einen Missbrauch lägen nicht vor, heißt es in dem Bericht. "Mangels hinreichender Dokumentation" könne nicht nachvollzogen werden, wie die einzelnen Maßnahmen von der Firma vorbereitet und dem Landeskriminalamt umgesetzt wurden.

Nicht geprüft werden könne, ob die eingesetzten Trojaner nach Abschluss der Maßnahme wieder von den Computern der Zielpersonen entfernt werden konnte. Der eingesetzte Server, über den die Kommunikation von Ermittlern und Trojanern lief, sei vom Landeskriminalamt gekündigt worden. Dabei seien keine "gebotenen" Vorkehrungen getroffen worden, dass nicht jemand anderes die freigewordene IP-Adresse bekommt und mit noch aktiven Trojanern kommunizieren könnte.

Verschlüsselung "gerade noch" wirkungsvoll

Die vom Chaos Computer Club als ungenügend kritisierte Verschlüsselung der Kommunikation zwischen Trojaner und dem Server nennt der Datenschützer "gerade noch" wirkungsvoll. Die Steuerung des Trojaners hingegen entspreche "nicht den üblichen ... datenschutzrechtlichen Anforderungen an einen sicheren Betrieb". Kritisiert werden lasche Zugriffsverwaltung und ungenügende Protokolldateien.

Datenschützer Petri sieht den Gesetzgeber in der Pflicht. Falls Ermittler weiterhin auf Quellen-Telekommunikationsüberwachung setzten, müsse die Strafprozessordnung entsprechend angepasst werden. So müsse der "erhöhten Eingriffsintensität" der Maßnahme Rechnung getragen werden, die sich von der Überwachung von Telefonen unterscheide.

Es sei aus verfassungsrechtlicher Sicht "äußerst problematisch", wenn neben einer laufenden Kommunikation weitere Daten erhoben würden. Sollte etwa das Auslesen von Softwarelisten erlaubt sein, wozu die Strafprozessordnung bisher keinerlei Angaben macht, müsse gefragt werden, inwieweit sich die Quellen-TKÜ überhaupt noch von einer Online-Durchsuchung unterscheide.

Besonders heikel: In vier Fällen hätte das Browserfenster fotografiert werden können, in zwei Fällen nur Chatfenster, in zwei weiteren Fällen der gesamte Bildschirm der Zielperson. Ob davon auch Gebrauch gemacht wurde, habe nicht festgestellt werden können. Mindestens bei einer Maßnahme fertigte der Trojaner nach SPIEGEL-Informationen Bildschirmfotos an, innerhalb von drei Monaten rund 60.000 Stück.

ore

Mehr zum Thema


insgesamt 8 Beiträge
Alle Kommentare öffnen
Seite 1
hanfiey 02.08.2012
1. Bauäugig
Dieser Datenschützer hat nicht daran gedacht das es wohl Absicht war Funktionen Nachzuladen und auf Erweiterbarkeit zu achten wenn es nötig sein sollte. Wie sollen wir sonst Sicherheit im inneren haben wenn wir nicht mal Demonstranten überwachen können? Über die Handys läuft das ja schon ganz gut mit der Funkzellenabfrage und bei Rechnern soll das nicht sein?. Die hohen Kosten rechnen sich nunmal nur bei längerer Einsatzdauer und bei der Halbwertszeit der Hardware ist das doch verständlich das auch Tabletts und Smartfones überwacht werden wollen. Das das alles überhaupt gegen das Grundgesetz ist interessiert doch niemanden und das wird ausgenutzt. Bürger lasst Euch nicht verarschen!.
funnyone2007 02.08.2012
2.
Zitat von sysopdapdDer Beauftragte für den Datenschutz in Bayern hat den Einsatz von Trojanern zur Überwachung untersucht - und kritisiert die mangelhafte Software als verfassungswidrig. Die Schuld daran sieht er bei Behörden und dem Gesetzgeber. http://www.spiegel.de/netzwelt/netzpolitik/0,1518,847832,00.html
mich würde mal interessieren wieviel der 23 Fälle schwere Kirminlalität waren.. also bei welchen ging es um Mord, Terrorismus? Nur für solches war der Einsatz vom Bundesverf. gericht erlaubt. Kann man irgendwo nachsehen welche Fälle das waren?
-mowgli- 02.08.2012
3.
Zitat von funnyone2007mich würde mal interessieren wieviel der 23 Fälle schwere Kirminlalität waren.. also bei welchen ging es um Mord, Terrorismus? Nur für solches war der Einsatz vom Bundesverf. gericht erlaubt. Kann man irgendwo nachsehen welche Fälle das waren?
Die sogenannten Anlasstaten wurden vom Verfassungsgericht ua. hier präzisiert: Das Bundesverfassungsgericht (http://www.bundesverfassungsgericht.de/entscheidungen/rs20111012_2bvr023608.html) Es verwundert auch nicht, dass der Bericht des Datenschützers kaum auf 2 BvR 236/08 - - 2 BvR 237/08 - - 2 BvR 422/08 - eingeht. Der Einsatz einer Software ist demnach nicht verfassungswidrig, nur weil die Software mehr Möglichkeiten anbietet. Sonst wäre bei Polizisten das Tragen einer Schusswaffe auch verfassungswidrig, weil damit auch unschuldige Bürger getötet werden könnten.
Sique 02.08.2012
4. Das wäre möglich gewesen.
Zitat von hanfieyDieser Datenschützer hat nicht daran gedacht das es wohl Absicht war Funktionen Nachzuladen und auf Erweiterbarkeit zu achten wenn es nötig sein sollte. Wie sollen wir sonst Sicherheit im inneren haben wenn wir nicht mal Demonstranten überwachen können? Über die Handys läuft das ja schon ganz gut mit der Funkzellenabfrage und bei Rechnern soll das nicht sein?. Die hohen Kosten rechnen sich nunmal nur bei längerer Einsatzdauer und bei der Halbwertszeit der Hardware ist das doch verständlich das auch Tabletts und Smartfones überwacht werden wollen. Das das alles überhaupt gegen das Grundgesetz ist interessiert doch niemanden und das wird ausgenutzt. Bürger lasst Euch nicht verarschen!.
Das Problem war nicht die Erweiterbarkeit an sich, sondern die unbegrenzten Nachlademöglichkeiten. Wenn zum Beispiel nur signierte Binaries nachgeladen werden können, wäre das eine denkbare Absicherung. So konnte beim Bundestrojaner praktisch jeder Binaries nachladen, der die Schnittstelle kannte, auch zum Beispiel jemand, der einen anderen reinreiten will und die Behörden als Trojanisches Pferd missbraucht. Stellen Sie sich einen Informanten in der organisierten Kriminalität vor, der die Konkurrenz ausschalten will, indem er Gerüchte über terroristische Aktivitäten streut und dann über die nicht überwachte Schnittstelle Kinderpornographie nachlädt! (Dies ist übrigens eines der generellen Probleme mit der Quellen-TKÜ, man kann nicht wirklich unterscheiden, welche der ermittelten Daten vom Überwachten stammen und welche von außen eingepflanzt wurden. Es hat einen Fall in Großbritannien gegeben, wo ein Beschuldigter nachweisen konnte, dass sein Rechner mit einem Trojanischen Pferd verseucht war, und der deswegen erfolgreich argumentieren konnte, dass die als Beweis vorgebrachten Logfiles und Datenabzüge wertlos seien.)
derdriu 02.08.2012
5.
Ich erinnere mich vage an eine Aussage der Kripo, dass ihnen der Trojaner nicht wirklich geholfen hätte und dass die Fälle, die aufgeklärt wurden mit Hilfe des Trojaners auch ohne Ausspähen der PCs aufgeklärt worden wären. Dürfen PCs nicht so oder so "abgehört" werden bzw. ausgespäht? Der unangehme Teil ist wohl, dass man dafür einen richterlichen Beschluss braucht. Aber so ein Trojaner ist eine feine Sache. Da sucht man nach Beweisen für einen Mord, dann findet man noch "Raub"kopien und falsche Steuererklärungen... Da kann schön alles gleichzeitig auf den Tisch bringen. Macht dann auch nichts, wenn man keine Morddrohungen findet.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.