Online-Durchsuchungen

Online-Durchsuchungen

Rechtsgrundlage

Die Rechtsgrundlage oder auch Ermächtigungsgrundlage für geheime Online-Durchsuchungen ist ein zentraler Streitpunkt zwischen den beteiligten Parteien, Interessensvertretern und den bislang damit befassten Richtern und Rechtspolitikern. Bislang ist die Rechtslage noch weitestgehend unklar und umstritten. Für die bereits durchgeführten Online-Durchsuchungen zwischen 2005 und 2007 wurde eine Dienstanweisung des damaligen Innenministers Otto Schily als Rechtsgrundlage verwendet. Diese kam nach damaligen Bitten des Präsidenten des Bundesamtes für Verfassungsschutz Heinz Fromm zustande. Erst mehrere Monate nach der Ausfertigung der Anweisung wurde dabei das Parlamentarische Kontrollgremium, das die Arbeit der Geheimdienste überwachen soll, über die Maßnahme informiert. Das Gremium überblickte zum damaligen Zeitpunkt allerdings nicht die Brisanz der geheimen Dienstanweisung. Klar ist allerdings, dass aktuell im Strafprozessrecht keine Ermächtigungsgrundlage existiert, so der Bundesgerichtshof in einer Entscheidung vom 31.01.2007. (Az.: StB 18/06).

Grundsätzlich muss dabei unterschieden werden, ob die Online-Durchsuchung zu Zwecken der Strafverfolgung nach der Strafprozessordnung, zur Gefahrenabwehr oder zur Nutzung durch Geheim- und Nachrichtendienste für die Informationsbeschaffung eingesetzt werden soll.

Nachdem das Bundeskanzleramt eingestehen musste, dass die in der Öffentlichkeit zunächst noch als fixe Idee diskutierten Online-Durchsuchungen bereits Realität waren, wurden diese vorerst gestoppt. Bereits kurz zuvor hatte die Bundesregierung auf die Frage, welche Rechtsgrundlage nach ihrer Einschätzung künftig für Online-Durchsuchungen zum Tragen kommen solle in der Antwort auf eine kleine Anfrage (Drucksache 16/3787, 28.12.2006) erklärt, dasszu prüfen sei, ob eine Rechtsgrundlage geschaffen werden müsse, sofern diese noch nicht existiere. Nachdem der 3. Strafsenat des Bundesgerichtshofs keine existierende Rechtsgrundlage für Online-Durchsuchungen in den rechtlichen Vorschriften der Strafprozessordnung gesehen hatte, ist das Bundesministerium des Innern dabei eine entsprechende rechtliche Legitimation zu schaffen. Ein entsprechender Gesetzesentwurf existiert bereits.

Das Bundesland Bayern hat angekündigt, einen entsprechenden Gesetzesentwurf für den Einsatz von Online-Durchsuchungen im Rahmen der Strafverfolgung auf den Weg zu bringen. Dieser solle dann als Änderungsantrag zu einem entsprechenden Gesetzesentwurf der Bundesregierung im Bundesrat eingebracht werden. Der Chaos Computer Club hat Ende August einen Entwurf des neuen BKA-Gesetzes (Stand 11.07.2007) auf seiner Website veröffentlicht. Danach soll der Einsatz von Online-Durchsuchungen mit Hilfe des so genannten Bundestrojaners ohne Zustimmung eines Richters möglich sein. Auch sieht der Gesetzesentwurf keine Verpflichtung zur nachträglichen Benachrichtigung des Betroffenen einer solchen Maßnahme vor. Für den Einsatz des Trojaners existiert dabei beispielsweise die Idee, dass eMails offizieller Stellen und Behörden gefälscht und mit einem schadhaften Trojaner im Anhang an Betroffene verschickt werden sollen.

Das Bundesland Nordrhein-Westfalen hat bei der Frage der Online-Durchsuchungen durch Nachrichtendienste bislang eine Vorreiterstellung inne. Sie hat dem Landesamt für Verfassungsschutz in § 5 Abs. 2 Nr.11 VSG NRW seit dem 30.12.2006 erlaubt, Informationen mit Hilfe dieser Methode zu beschaffen. Im Gesetz heißt es dazu: "K ommunikationseinrichtungen beziehungsweise die Suche nach ihnen, sowie der heimliche Zugriff auf informationstechnische Systeme auch mit Einsatz technischer Mittel“ zur Beschaffung von Informationen sind erlaubt. Gegen die Anwendung dieser Ermächtigungsgrundlage wurde allerdings Verfassungsbeschwerde eingelegt. Die Verhandlung vor dem Bundesverfassungsgericht beginnt am 10. Oktober 2007 (Link: http://www.bundesverfassungsgericht.de/pressemitteilungen/bvg07-082.html ). Das Urteil wird mit großer Spannung erwartet, da sich alle Beteiligten davon mehr Klarheit über Voraussetzungen, Möglichkeiten und Anwendungsschranken der Online-Durchsuchung in der Praxis erwarten.

Recht, Technik und Standpunkte

Seit Monaten ist das Thema der so genannten Online-Durchsuchung in aller Munde. Nicht erst seit dem Fahndungserfolg des Bundeskriminalamt (BKA) gegen mutmaßliche Mitglieder der "Islamischen Dschihad-Union" in der letzten Woche hat die öffentliche Diskussion stark zugenommen. Die einen sehen Online-Durchsuchungen als notwendiges Mittel im Kampf gegen Terrorismus, die anderen befürchten einen massiven Eingriff in die Privatsphäre und die Grundrechte der Bürger. Theoretisch sind alle Inhaber eines Computers mit Internetanschluss von dieser Maßnahme betroffen.

Nahezu jeden Tag gibt es neue Informationen, Statements oder Enthüllungen zu den Plänen des Bundesministeriums des Innern (BMI), die Online-Durchsuchungen möglichst schnell durchzusetzen. In der Vergangenheit haben diese bereits stattgefunden. Im April 2007 musste das Bundeskanzleramt eingestehen, dass die Praxis der umstrittenen Online-Durchsuchungen bereits seit 2005 Realität war. Als Rechtsgrundlage für das Ausspionieren privater Computer diente dabei lediglich eine interne Dienstvorschrift des damaligen Bundesinnenministers Otto Schily. Der Bundesgerichtshof hatte jedoch bereits am 31.01.2007 die Online-Durchsuchungen mangels Rechtsgrundlage für rechtswidrig erklärt. Daraufhin musste auch das Bundesinnenministerium seine Aktivitäten stoppen.

Bereits der Begriff der "Online-Durchsuchung" ist dabei ungenau und irreführend. Es handelt sich bei den geplanten Maßnahmen nicht um einen Sonderfall der Durchsuchung nach den §§ 102 ff. StPO. Es sollen vielmehr zur Ausforschung von Daten gesondert entwickelte und programmierte Softwareprogramme (Trojanische Pferde oder auch der "Bundestrojaner" zum Einsatz kommen. Zentraler Unterschied zur klassischen Durchsuchung nach dem Strafprozessrecht ist, dass das Ausspionieren des Computers ohne Wissen des Nutzers geschieht. In der Strafprozessordnung ist die Durchsuchung aber durch die Kenntnis des Betroffenen, dass diese stattfindet - dem so genannten offenen Vorgehen - gekennzeichnet. Zudem sind bei der Durchsuchung Ermittlungsbeamte körperlich anwesend. Bei der Online-Durchsuchung ist dies gerade nicht der Fall.

Nun geht es darum, ob, unter welchen Voraussetzungen und auf welcher Rechtsgrundlage Online-Durchsuchungen vorgenommen werden dürfen. Gestritten wird dabei insbesondere auch um den Einsatz eines so genannten Bundestrojaners, mit dessen Hilfe Spionageprogramme auf die privaten PCs geladen werden sollen, um eine Überwachung, Ausspähung oder die Kopie der Festplatte vornehmen zu können. Im aktuellen Topthema haben wir den Stand der Diskussion, die Pläne des Bundesinnenministers Schäuble und die verfassungsrechtlichen Voraussetzungen und Rahmenbedingungen zusammengefasst.

Entscheidungen der Gerichte

Zur Zeit besteht auch innerhalb des Bundesgerichtshofs Uneinigkeit über die rechtssichere Anwendbarkeit von Online-Durchsuchungen. Im Februar 2006 hat ein Richter am Bundesgerichtshof unter Berücksichtigung der strafprozessualen Vorschriften für Haus- und Wohnungsdurchsuchungen die verdeckte Online-Durchsuchung mit Hilfe des Einsatzes eines Trojaners von Laptop und Computer eines Beschuldigten aufgrund der Ermächtigungsgrundlage in § 102 StPO angeordnet (Az.: 3 BGs 31/06, Beschluss vom 21.02.2006). Allerdings hat ein anderer Richter am Bundesgerichtshof im Dezember 2006 einen Antrag des Generalbundesanwalts für eine weitere Online-Durchsuchung abgelehnt. Er begründete seine Entscheidung insbesondere damit, dass eine Vergleichbarkeit mit der Durchsuchung von Wohnungen nicht gegeben sei, da das notwendige Merkmal der offenen Durchsuchung nicht erfüllt sei. Gegen diese Entscheidung hatte der Generalbundesanwalt dann erfolglos Beschwerde eingelegt.

Der Bundesgerichtshof hat am 31.01.2007 entschieden, dass die heimliche Durchsuchung von Privat-PCs eines Beschuldigten mangels existierender Rechtsgrundlage gegen das Recht verstößt. Im Rahmen der Strafverfolgung fehle die notwendige Ermächtigungsgrundlage in der Strafprozessordnung (StPO). Lediglich die so genannte "offene Durchsuchung" ist dabei in §§ 102 ff. StPO geregelt. Zusammenfassend stellte das Gericht dabei fest: "Nach alledem ist es den Ermittlungsbehörden -unabhängig davon, wonach gesucht wird- verboten, eine richterliche Durchsuchungsanordnung bewusst heimlich durchzuführen, um auf diese Weise dem Tatverdächtigen keine Hinweise auf die gegen ihn geführten Ermittlungen zu geben und den Erfolg weiterer Ermittlungen nicht zu gefährden. Dementsprechend versteht es sich, dass ein Richter keine Durchsuchung anordnen darf, die - wie die verdeckte Online-Durchsuchung - von vorne herein darauf abzielt, bei ihrem Vollzug die gesetzlichen Schutzvorschriften des § 105 Abs. 2 und des § 106 Abs. 1 StPO außer Kraft zu setzen". Und weiter: "Jede heimliche Durchsuchung ist im Vergleich zu der in § 102 ff. StPO geregelten offenen Durchsuchung wegen ihrer erhöhten Eingriffsintensität eine Zwangsmaßnahme mit einem eigenständigen Charakter." Es komme weiter nicht entscheidend darauf an, dass "die in den Speichermedien eines Computers abgelegten Daten im Einzelfall ähnlich sensibel und schutzwürdig sein können wie das in einer Wohnung nichtöffentlich gesprochene Wort und dass die Maßnahme wegen der Durchsicht einer Vielzahl unterschiedlicher Daten als ein besonders schwerwiegender Eingriff in das Recht des Betroffenen auf informationelle Selbstbestimmung erscheinen mag".

Auch konnte der BGH keine anderen Eingriffsnormen erkennen, die eine verdeckte Online-Durchsuchung ermöglichen würden. Insbesondere kann die Maßnahme nicht auf § 100 a StPO (Überwachung der Telekommunikation) gestützt werden, da nicht die Telekommunikation zwischen dem Betroffenen und einem Dritten überwacht wird, sondern "zielgerichtet eine umfassende Übermittlung der auf dem Zielcomputer vor Beginn des Kommunikationsvorgangs gespeicherten Daten an die ermittelnde Stelle zum Zwecke der Suche nach Beweismitteln oder weiteren möglichen Ermittlungsansätzen ausgelöst wird".

Auch ist die Eingriffsermächtigung des § 100 c StPO (Wohnraumüberwachung) nicht einschlägig, da "ein Computer auf elektronischem Weg durchsucht und nicht das in einer Wohnung nichtöffentlich gesprochene Wort mit technischen Mitteln abgehört und aufgezeichnet werden soll".

Auch sieht das Gericht die Anwendung der Generalklausel des § 161 StPO nicht als geeignete Ermächtigungsgrundlage an, da davon nur Zwangsmaßnahmen betroffen sind, die nicht von anderen Ermächtigungsnormen in der StPO erfasst werden und gleichzeitig nur lediglich geringfügig in die Grundrechte des Betroffenen eingreifen. Mit den geplanten verdeckten Online-Durchsuchungen wird allerdings massiv in die Grundrechte des Betroffenen eingegriffen.

Was sagen die Parteien?

Die CDU/CSU begrüßt die Pläne des Bundesinnenministers Schäuble, Online-Durchsuchungen möglichst schnell möglich zu machen. Der Chef der Unions-Fraktion im Bundestag Volker Kauder sieht die heimlichen Online-Durchsuchungen lediglich als möglichen Einzelfall und nicht als Regelfall. Mit dieser Argumentation versuchte auch schon der Präsident des Bundeskriminalamts (BKA) Jörg Zierke die bestehenden Befürchtungen zu beschwichtigen. Der parlamentarische Geschäftsführer der CDU/CSU-Fraktion im Bundestag Norbert Röttgen drängt ebenfalls auf eine schnelle Einführung von Online-Durchsuchungen. Dabei müssten alle rechtsstaatlichen Möglichkeiten ausgeschöpft werden. Doch fehlt nach der Entscheidung des BGH ja gerade eine entsprechende Ermächtigungsgrundlage.

Die SPD zeigt sich in dieser Frage uneinheitlich, es ist jedoch wahrscheinlich, dass die Sozialdemokraten den heimlichen Online-Durchsuchungen bzw. der schnellen Suche nach einer entsprechenden Ermächtigungsgrundlage ebenfalls zustimmen werden. Mehrere SPD-Innenpolitiker haben jedoch bereits öffentlich den grundsätzlichen Einsatz gefordert. Allerdings wolle man, so eine aktuelle Stellungnahme, auf die Entscheidung des Bundesverfassungsgerichts zu der Verfassungsbeschwerde gegen die Online-Durchsuchungen in NRW durch das dortige Landesamt für Verfassungsschutz warten, bis eine endgültige Entscheidung getroffen werde. Auch der SPD-Parteichef will die Maßnahmen, setzt dafür allerdings Bedingungen. Gegenüber dem Nachrichtensender n-tv sagte er: "Die SPD wird `ja` dazu sagen, wenn die Union sich dazu bequemt, die rechtsstaatlichen Voraussetzungen, wie sie für jede Hausdurchsuchung und jede Telefon-Abhöraktion vorgeschrieben sind, auch zu akzeptieren".

Die Parteien der Opposition Die Linke, Bündnis 90/ Die Grünen und die FDP lehnen die heimlichen Online-Durchsuchungen mit verschiedenen Argumenten ab. Der Datenschutzbeauftragte der Fraktion DIE LINKE Jan Korte erklärte in einer Pressemitteilung vom 29.08.2007: "DIE LINKE fordert einen sofortigen Stopp der Pläne zur Online-Durchsuchung. Sie ist nutzlos für die Kriminalitätsbekämpfung, gefährdet die IT-Sicherheit und ist ein unverhältnismäßiger Angriff auf die Grundrechte".

Die Bundesvorsitzende von Bündnis 90 / Die Grünen Claudia Roth sieht in den geplanten Online-Durchsuchungen einen inakzeptablen Angriff auf die Privatsphäre der Bürgerinnen und Bürger". Die rechtspolitische Sprecherin der FDP-Fraktion Sabine Leutheusser-Schnarrenberger erklärte dazu in einem Interview mit der Westfalenpost: "Ein ganz klares Nein! Ich wehre mich dagegen, jetzt die Online-Durchsuchung zum Erfolgs-Patentrezept zu machen. Terrorismus-Experten sagen genau etwas anderes. Wenn man nicht in der Szene ist, wenn man nicht Fachleute, verdeckte Ermittler hat, wird man auch mit der Online-Durchsuchung nicht Terroranschläge verhindern können."

Wie soll eine technische Umsetzung aussehen?

Die Bundesregierung hat für die Programmierung einer entsprechenden Software, die für Online-Durchsuchungen genutzt werden soll, extra Geld bereit gestellt. Wie weit die Bemühungen sind und wie die technischen Einzelheiten aussehen ist bislang allerdings weitgehend unklar. Eine diskutierte Möglichkeit ist der Einsatz des so genannten Bundestrojaners.

Unter einem solchen Trojaner oder auch einem Trojanischen Pferd versteht man ein Computerprogramm, dass auf den ersten Blick nützliche Informationen hat oder berechtigte Funktionen erfüllt, sich dahinter allerdings eine Schadsoftware verbirgt, die ohne das Wissen des Nutzers getarnte Programme startet und bestimmte Befehle ausführt. In der Fachsprache sagt man dazu auch "Malware". Bei den verdeckten Online-Durchsuchungen soll der Bundestrojaner gezielt zur Ausforschung, Auslese oder Kopie sich auf der Festplatte und anderen integrierten Speichermedien befindlichen Informationen genutzt werden. Trojaner sind in letzter Zeit insbesondere durch die Anwendung beim Internet-Betrug durch so genannte Phishing-Angriffe bekannt geworden.

Wie Medienberichten zu entnehmen, ist bekannt geworden, dass die beauftragten Stellen auch überlegen, ob der Bundestrojaner mit Hilfe gefälschter Behörden-eMails auf den Rechner des Betroffenen eingeschleust wird. Kritiker sehen darin eine große Gefahr, da das Vertrauen in behördliche Informationen weiter gesenkt werden könnte, bzw. gesenkt worden ist.

Wie bekannt geworden ist, könnte es sich bei dem Schadprogramm auch um einen so genannten Keylogger (Hardware/Software) handeln. Ein Keylogger wird dazu verwendet, jedes auf dem Computer geschriebene Wort mitzuprotokollieren und zu überwachen. In der Fachsprache bezeichnet man ein solches Programm auch als Remote Forensic Software (RFS).

Schutz gegen den Bundestrojaner?

Inwieweit technische Schutzmaßnahmen gegen den Einsatz des Bundestrojaners bei Online-Durchsuchungen erfolgreich sein können, ist umstritten, da auch bei den meisten IT-Spezialisten Programmierung und Aufbau des Trojaners unbekannt ist. Allerdings kann davon ausgegangen werden, dass klassische Virenschutzprogramme, Firewalls oder Anti-Viren-Scanner den Schädling auf Anhieb nicht finden werden, da ansonsten die geplanten Maßnahmen ziemlich schnell völlig nutzlos wären.

Inzwischen haben einige der weltweit führenden Hersteller von Antivirenprogrammen wie Kaspersky Labs oder Avira eine Kooperation bei der Entwicklung und dem Einsatz des Bundestrojaners mit dem BKA ausgeschlossen.

Gegen den Einsatz eines so genannten Hardware-Keylogger kann man sich beispielsweise durch Verwendung eines Java Skripts bei der Eingabe von Passwörtern oder durch die Beobachtung aller Prozesse und Vorgänge auf dem Rechner mithilfe einer so genannten Whitelist schützen.

Bundestrojaner und die Provider

Offiziell heisst es immer, es werden nur Verbindungsdaten gespeichert, was viele aber nicht wissen ist, das ein Mitschnitt des IP-Protokolls in den Spezifikationen der sogenannten BlackBox, welche bei den Providern zur Überwachung und zum Abruf der Vorratsdaten installiert werden soll, geplant ist. (http://quintessenz.org/d/000100003930)--> ETSI Document öffnen-->Seite12. Oder was hat wohl "Content Of Communikation" zu bedeuten!!! Worauf natürlich bei Verdacht der Terrorvorbereitung (verdächtigen kann man Jeden) sogar der CIA Zugriff darauf hat. Und das Schöne ist, der Provider bekommt nichts davon mit (d.h. ob eine Überwachung stattfindet ist für den Provider mit Absicht nicht ersichtlich! Siehe ETSI Dokument (link oben) Seite 13). Warum eigentlich? Haben die etwa was zu verbergen? Sowas wie unberechtigte Abfragen... Bei berechtigten Abfragen, die zur Ergreifung von Schwerstkriminellen, wie Kinderschändern, Terroristen oder Polit... führen (ach nee, Politiker betrifft die VDS ja nicht, die sind ja von Natur aus nicht kriminell, nicht wahr), wird sich ja auch keiner beschweren können, oder?. Und die Geheimdienste kontrollieren sich selber. So können die feinen Herren schön im Verborgenen schnüffeln, ohne daß das Volk jemals etwas davon mitbekommt, denn die Informationsquelle Provider ist ausgeschalten, und die Geheimdienste müssen über die erfolgten Abfragen selber Bericht abliefern. Ganz geschickt....kapieren wohl so die wenigsten.

Ohne die VDS sind die Ermittler wohl wirklich bald am Ende ....oder waren es die Kriminellen?

Ein Fazit

Die geplanten Online-Durchsuchungen sind Teil des erweiterten umfassenden Maßnahmenpakets PSIS (Programm zur Stärkung der Inneren Sicherheit). Insgesamt hat der Haushaltausschuss des Bundestages dafür Mittel in Höhe von 132 Millionen Euro bereit gestellt. Die Mittel werden dabei folgendermaßen auf die Sicherheitsbehörden aufgeteilt: Bundesamt für Verfassungsschutz (64,77 Mio. Euro), Bundeskriminalamt (34,75 Mio. Euro), Bundespolizei (28,47 Mio. Euro) und das Bundesamt für Sicherheit in der Informationstechnik (4 Mio. Euro). Die Mittel sollen neben der Realisierung von Online-Durchsuchungen unter anderem zur Anschaffung von weiteren Wärmebildkameras in Hubschraubern, der Anschaffung von Sprengstoffspürhunden, der Einstellung von Übersetzern mit arabischen Sprachkenntnissen oder auch der Entwicklung einer Software zur automatischen Erkennung von biometrischen Gesichtsmerkmalen oder der Auswertung von physischen Merkmalen von Überwachungskameras dienen. Alle Maßnahmen sollen zum Schutz vor Terrorismus mit erhöhter Dringlichkeit umgesetzt werden.

Wie oft bei der Einführung neuer Sicherheitsgesetze oder Sicherheitsmaßnahmen wird erst gehandelt, bevor die Verursacher durch höchstrichterliche Entscheidungen des Bundesgerichtshofes oder des Bundesverfassungsgerichts an die Existenz von Grundrechten und den verfassungsrechtlich verankerten Freiheitsrechten des einzelnen Bürgers erinnert werden. Durch die geplanten verdeckten Online-Durchsuchungen erfolgt ein massiver Eingriff in die Grundrechte der Betroffenen.

Man kann Online-Durchsuchungen eben nicht mit der klassischen Durchsuchung nach der Strafprozessordnung gleichsetzen. Der Bundesgerichtshof hat in seiner Entscheidung deutlich gemacht, dass Online-Durchsuchungen unter Berücksichtigung der aktuellen Rechtslage rechtswidrig sind. Ungeachtet dessen haben Online-Durchsuchungen bereits stattgefunden. Die Entscheidung des Bundesverfassungsgerichts über die Ermächtigungsgrundlage im Verfassungsschutzgesetz in Nordrhein-Westfalen wird zeigen, inwieweit auch Regelungen, die in die Kompetenzen der Bundesländer fallen die grundgesetzlich verbrieften Freiheiten berücksichtigen müssen.

Fatal erinnert hier alleine schon das Wording "Ermächtigungsgrundlage" an ein anderes berüchtigtes "Ermächtigungsgesetz", welches Deutschland auch schon einmal extrem schwer geschadet hat.

Datenschützer, Rechtsexperten, Parteien, IT-Sicherheitsunternehmen und Bürgerrechtsvereinigungen sehen in den geplanten Maßnahmen eine nicht hinzunehmende Einschränkung der informationellen Selbstbestimmung und des grundgesetzlich garantierten Schutz des einzelnen Bürgers.

 

27.02.2008 / Nachtrag

Wenigstens das Bundesverfassungsgericht der Meinung, das Schäuble & Co. gestoppt werden müssen:

Die Vorschriften im nordrhein-westfälischen Verfassungsschutzgesetz (VSG) zur Online-Durchsuchung und zur Aufklärung des Internet sind verfassungswidrig und nichtig. Dies hat das Bundesverfassungsgericht (BVerfG) entschieden. Die Verfassungsbeschwerden verschiedener Bürger gegen die Vorschriften waren damit weitgehend erfolgreich.

§ 5 Abs. 2 Nr. 11 Satz 1 Alt. 2 VSG, der den heimlichen Zugriff auf informationstechnische Systeme regelt ("Online-Durchsuchung"), verletzt laut BVerfG das allgemeine Persönlichkeitsrecht in seiner besonderen Ausprägung als Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme und ist nichtig. Die Vorschrift sei insbesondere unverhältnismäßig. Angesichts der Schwere des Eingriffs sei die Online-Durchsuchung verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestünden. Zudem sei der Eingriff grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen. Diesen Anforderungen werde § 5 Abs. 2 Nr. 11 Satz 1 Alt. 2 VSG nicht gerecht. Darüber hinaus fehle es auch an hinreichenden gesetzlichen Vorkehrungen, um Eingriffe in den absolut geschützten Kernbereich privater Lebensgestaltung zu vermeiden, bemängelten die Verfassungsrichter.

Auch die Ermächtigung zum heimlichen Aufklären des Internet in § 5 Abs. 2 Nr. 11 Satz 1 Alt. 1 VSG verletze die Verfassung und sei nichtig. Das heimliche Aufklären des Internets greife in das Telekommunikationsgeheimnis ein, wenn die Verfassungsschutzbehörde zugangsgesicherte Kommunikationsinhalte überwache, indem sie Zugangsschlüssel nutze, die sie ohne oder gegen den Willen der Kommunikationsbeteiligten erhoben habe. Ein derart schwerer Grundrechtseingriff setzt laut BVerfG grundsätzlich zumindest die Normierung einer qualifizierten materiellen Eingriffsschwelle voraus. Daran fehle es hier. Die Norm lasse nachrichtendienstliche Maßnahmen in weitem Umfang im Vorfeld konkreter Gefährdungen zu, ohne Rücksicht auf das Gewicht der möglichen Rechtsgutsverletzung und auch gegenüber Dritten. Zudem enthalte sie keine Vorkehrungen zum Schutz des Kernbereichs privater Lebensgestaltung. Nehme der Staat im Internet dagegen öffentlich zugängliche Kommunikationsinhalte wahr oder beteilige er sich an öffentlich zugänglichen Kommunikationsvorgängen, greife er grundsätzlich nicht in Grundrechte ein.

Bundesverfassungsgericht, Urteil vom 27.02.2008, 1 BvR 370/07; 1 BvR 595/07

08.10.2008 / Nachtrag

Der Chaos Computer Club hat nach eigenen Angaben den berüchtigten „Staatstrojaner“ (Quellen-TKÜ) zugespielt bekommen und diesen eingehend analysiert. Dieser darf eigentlich nur dazu verwendet werden, um Internettelefonie abzuhören. Die Fähigkeiten des Schadprogramms sollen jedoch weit darüber hinausgehen; es könne beliebiger Programmcode nachgeladen werden. Somit könnten die Ermittlungsbehörden quasi vollen Zugriff auf alle Funktionen des betroffenen Computers erhalten. Es wäre also offensichtlich, dass die Erweiterbarkeit der Spionagesoftware von Anfang an vorgesehen war. Dem CCC war es allerdings auch bereits mit den vorkonfigurierten Funktionen des Trojaners möglich, Inhalte eines Webbrowsers per Screenshot auszulesen.

Das hieße: Es handelt sich hierbei um einen klaren Rechtsbruch!

Ein weiterer Kritikpunkt ist die mangelnde Verschlüsselung. Denn es würden nur die vom betroffenen PC ausgehenden Daten verschlüsselt, doch auch diese nur mithilfe eines symmetrischen Verfahrens. Die eingehenden Kommandos an die Schadsoftware seien völlig unverschlüsselt, sodass die gleichen von Außenstehenden ohne große Mühe mitgelesen oder manipuliert werden könnten. Daten und Kommandos des angeblichen Bundestrojaners sollen übrigens über einen Server in den USA umgelenkt werden, der unter der IP 207.158.22.134 erreichbar sein soll (Außerhalb des Geltungsbereiches des deutschen Rechts). Das stellt ein enormes Risiko dar, werden die Daten doch nur unzureichend bzw. gar nicht verschlüsselt.

Das analysierte Schadprogramm läuft angeblich nach übrigens nur auf 32-Bit Windows-Systemen. Linux-User sind also mal wieder klar im Vorteil ;)

Fazit:

Sollte es sich wirklich um einen Bundestrojaner handeln, sind folgende Punkte klar zu bemängeln:

  • Über die erlaubten Fähigkeiten hinausgehende Funktionen
  • Unzureichende bzw. keine Verschlüsselung
  • Umleitung über einen Server in den USA
  • Fehlende Authentifizierung
  • Schaffung neuer Sicherheitslücken auf den betroffenen Systemen

Bis jetzt ist allerdings nicht klar, wie sich der CCC so sicher sein kann, dass es sich bei dem untersuchten Programm um den „Staatstrojaner“ handelt. Möglicherweise wird das in den nächsten Tagen etwas klarer.

Update vom 09.10.2011:

Ein Sprecher des Innenministeriums gab bekannt: “Was auch immer der Chaos Computer Club untersucht hat oder zugespielt bekommen haben mag, es handelt sich dabei nicht um einen sogenannten Bundestrojaner”. Unklar ist, ob andere deutsche Ermittlungsbehörden das Programm eingesetzt haben. Nun gibt es Spekulationen, dass eine Landesbehörde verantwortlich sei.

Diese Vermutungen sind jedoch bislang unbestätigt.

Quellen zum Update: Tweet von Regierungssprecher Steffen Seibert, Zeit Online, heute.de

Update vom 10.10.2011:

Der bayerische Innenminister Joachim Herrmann bestätigte heute, dass der Trojaner aus Bayern stammt und im dortigen Landeskriminalamt eingesetzt wurde. Es handelt sich also nicht – wie zuerst angenommen – um den “Bundestrojaner”. Die Software soll 2009 in einem Ermittlungsverfahren von der bayerischen Polizei verwendet worden sein. Also der Bayerntrojaner…

Quellen zum Update: ntv.de, zeit.de

Update vom 26.10.2011:

Der CCC hat inzwischen eine neuere Version des Trojaners analysiert. Mit überraschenden Ergebnissen: Beim Vergleich mit der älteren Version fiel auf, dass der Trojaner “weiterhin gekapert” werden kann. Zudem soll immer noch “beliebiger Code nachgeladen und auch die angeblich “revisionssichere Protokollierung” manipuliert werden” können.

Diese Erkenntnisse widersprechen sich mit den Aussagen verschiedener Beteiligter. Der CCC fordert u.a. einen Verzicht auf Trojanereinsätze in Ermittlungsverfahren.

Die Funktionen des Bayerntrojaner

Verbindung zu einem amerikanischen Server

Der Trojaner baut eine Verbindung zu einem Command&Control-Server in Amerika auf. Dieser hat, die IP-Adresse 207.158.22.134 - natürlich nicht mehr aktiv... . Der Command&Control-Server ist vom Netz genommen worden. Hat aber ein ganzes Stück gedauert. Sicherlich ganz im Sinne der Ermittlungsbehörden, erstmal einem anderen Staat alle Ermittlungsergebnisse zu liefern, bevor man selbst Zugriff darauf hat. Zur Authentifizierung gegenüber dem Server sendet der Trojaner den String C3PO-r2d2-POE. Das sind doch Androiden von Star Wars - auf Seiten der Rebellen.

Verschlüsslung nur Einseitig

Die Verschlüsslung ist nur einseitig. D.h. Daten werden nur zum Server verschlüsselt gesendet. Die Befehle die der Trojaner erhält nicht. So kann man ihn übrigens auch ganz toll als "Normalbürger" den Trojaner fernsteuern. Bei der eingesetzten Kryptographie handelt es sich um Bastelfunktionen primitivster Sorte, die jeglichen fundamentalen Grundlagen der IT-Sicherheit widersprechen.

Nachladen von Schadcode

Der Trojaner hat eine Funktion zum Nachladen und Ausführen von neuem Schadcode. Hier hat man auch versucht, das Forken eines neuen Prozesses zu verschleiern. So ruft eine bestimmte Funktion nach mehreren Stringverknüpfungen die Funktion CreateProcessA auf. Das ist der wirklich unverschämte Teil der Software. Damit kann man also entgegen den verbindlichen Weisungen des Bundesverfassungsgerichts den Trojaner mit beliebigen Schadfunktionen erweitern. Oder einfach ein paar Dateien ablegen. Frei nach dem Motto "Dürfen es heute ein paar Raubkopien und gar Kinder-Pornos mehr sein?"

Wo leben wir denn? Also ich habe immer gedacht, dies sind Methoden aus Diktaturen - scheinbar großer Irrtum, willkommen im neuen Deutschland (also EX-DDR mit STASI 2.0 included!!!).

Kernelmodul

Damit das Ganze nicht ganz so offensichtlich abläuft wird das Ganze mit einem Kernelmodul - also Root-Kit - ausgeliefert. Da aber Windows mit 64Bit keine unsignierten Kernelmodule nach lädt, also um genau solche Schweinereien zu verhindern, funktioniert das ganze nur auf 32-Bit Windows-Systemen.

Screenshots

Der Trojaner fertigt Screenshots des aktiven Fensters an und sendet diese an den Command&Control-Server. Was explizit in Deutschland verboten ist.

Killfunktionen und Audioaufnahme

Außerdem hat der Trojaner eine Killfunktion - er löscht sich selbst in den Papierkorb und hat einen Codec zur Übermittlung von Audiodaten inne. Der Codec, der hier verwendet wird, ist Speex und eigentlich hatt die Firma Speex klar festgelegt, das man den Nutzer bei Verwendung des Codecs informieren muss. Nutzer ist in dem Fall ja der Abgehörte, hier liegt also bereits die erste Raubkopie vor, für die der Nutzer haftbar gemacht werden kann (man hat ja als Nutzer die Verpflichtung, nur ordnungsgemäß lizenzierte Software auf seinem Rechner zu haben...).

Anmerkungen zur Staatsaffäre & Hinterlassenschaften im Code

Der Trojaner ist wohl geschrieben (und teilweise plagiiert) von der Firma DigiTask, vermutlich im Auftrag von Behörden aus Bayern. Das Autorenteam des Bayerntrojaner sieht die Bürger wohl als Rebellen an, das vermute ich mal wegen dem Autorisierungsstring C3PO-r2d2-POE. Im Programmcode steht auch noch der String 23CCC23 - war ein Mitglied des Autorenteams vielleicht ein Besucher des 23. Chaos Communication Congress? Themen waren hier unter anderem Botnets und Rootkits. Hier könnte eine Verbindung bestehen.

Klarer Verstoß gegen die Verfassung

Der Bayerntrojaner ist ein klarer Verstoß gegen die Verfassung und dem Beschluss des Bundesverfassungsgerichts im Februar 2008. Hier wurde beschlossen, dass im Falle einer Online-Durchsuchung gewährt sein muss, dass die Integrität des Systems nicht gefährdet ist. Das kann aber bei einer Möglichkeit des Nachladens von Schadcode nicht gewährleistet werden. Auch dürften hier nicht einfach Screenshots gemacht werden, da dies nicht die Überwachung der Telekommunikation betrifft und nur dafür war die Software zugelassen.

Klar-Deutsch: Es wurde hier also mit voller Absicht und mit Vorsatz ein Rechtsbruch begangen.

Da haben LKA/ZKA/BKA... die Polizei, die Staatsanwaltschaft mit Wissen der betroffenen Ministerien gegen das GG und diverse BVG/LG Urteile verstoßen und das juckt scheinbar NIEMANDEN?

Für jeden kleinen Gesetzesbruch, den ein normaler Bürger begeht, kommt die ganze Staatsmacht mit dem vollen Programm (manchmal fragt man sich dabei, ob die vom Gesetzgeber vorgesehene Verhältnismäßigkeit dabei noch gewahrt bleibt, aber das ist wieder ein ganz anderes Thema...) - und hier findet sich kein einziger streitbarer Anwalt oder gar ein richtig motivierter Staatsanwalt?

Fazit:

Die bayerische Staatsmacht hat mit aller Macht eine Vorreiterrolle zur Online-Untersuchung einnehmen wollen und verstößt damit gegen ein ganzes Bündel an Gesetzen und Vorschriften – mal ganz abgesehen von den Kosten, welche jeden Vorstellbaren Rahmen sprengen. Es ist nämlich “nur“ ein Werkzeug zur Langzeit-Miete von einer eigenständigen Firma im Einsatz. Sind ja nur Steuergelder, da kommt es ja auf eine oder auch zwei Nullen mehr vor dem Komma nicht an.

Wesentlich günstiger, wesentlich sicherer und auf alle Fälle zumindest näher an gesetzeskonform wäre es gewesen, ein paar begabte Programmierer anzustellen und diese hoheitlichen Aufgaben auch wirklich intern zu erledigen, anstatt eine von der Kompetenz möglicherweise zweifelhafte externe Firma zu beauftragen.

Aber in Zeiten, wo Lobby-Verbände Gesetzesvorlagen schreiben dürfen, welche dann eins-zu-eins durch die jeweiligen Parlamente gewunken werden, ist es nur konsequent und damit auch verständlich, das auch andere hoheitliche Aufgaben ausgelagert werden.

16.01.2013 / Nachtrag

Das Bundeskriminalamt hat sich den Staatstrojaner FinFisher der Firma Elaman/Gamma beschafft. Das geht aus einem geheimen Dokument des Innenministeriums hervor. Ob die auch in autoritären Staaten eingesetzte Software die rechtlichen Vorgaben in Deutschland einhalten kann, wird bezweifelt.

Nach dem Debakel um den von deutschen Behörden eingesetzten Trojaner der Firma DigiTask will der deutsche Staat einen eigenen Trojaner entwickeln. Diese Aufgabe soll das eigens eingerichtete “Kompetenzzentrum für informationstechnische Überwachung (CC ITÜ)” übernehmen. Dafür wurden drei Millionen Euro veranschlagt und 30 neue Stellen ausgeschrieben. Ob die Stellen mittlerweile besetzt sind, geht aus den Dokument mit Stand vom 7. Dezember nicht hervor. Bis Ende 2014 will das BKA “die Eigenentwicklung einer Software zur Quellen-Telekommunikationsüberwachung” abgeschlossen haben.

Bis dahin sollen für die “Übergangszeit” kommerzielle Staatstrojaner eingesetzt werden. Dafür hat das Bundeskriminalamt eine “Marktsichtung” durchgeführt und “drei Produkte als grundsätzlich geeignet bewertet”. Und das ist Ergebnis:

Gamma ist das Firmengeflecht hinter der in Deutschland entwickelten Trojaner-Suite “FinFisher/FinSpy”, die weltweit von autoritären Regimes gegen politische Aktivisten eingesetzt wird. Die Software ist sehr ausgefeilt, kann alle möglichen Geräte komplett übernehmen und als Man-in-the-Middle über den Provider installiert werden. Qualitativ also das Gegenteil von DigiTask, dafür aber umso gefährlicher. Die britische Regierung hat angefangen, den Export von FinSpy zu regulieren, um Menschenrechte zu schützen. Statt diese Software auch noch in Deutschland einzusetzen und damit zu legitimieren, fordern wir Export-Kontrollen für westliche Überwachungstechnologien. Zur Erinnerung: Staatstrojaner sind mit Gesetzen nicht kontrollierbar und damit grundsätzlich abzulehnen.

Neben der grundsätzlichen Kritik ist fragwürdig, ob die für den internationalen Markt entwickelte Software überhaupt die Vorgaben des Bundesverfassungsgerichts zum Einsatz von Staatstrojanern erfüllen kann. Eine Gesetzesverletzung des DigiTask-Trojaners war die Fähigkeit, einen einmal installierten Trojaner zu updaten und weitere Funktion nachzuladen. Bisherige Analysen zeigen, dass auch die FinFisher/FinSpy-Suite aus einem Basismodul besteht, das “Funktionsmodule” (etwa: Skype überwachen) nachladen kann. Also auch hier: Beschränkungen, welche Module nachgeladen werden (können/dürfen) fehlen also hier ebenso wie Überprüfungen von Signaturen von nachgeladenen Modulen.