StaatstrojanerÜberwachungstrojaner kommt aus Bayern

Das vom CCC analysierte Spähprogramm ist vom bayerischen LKA eingesetzt worden. Rechtswidrig, wie ein Gericht feststellte. Auch andere Länder könnten die Software nutzen. von 

Software, mit der der CCC den Staatstrojaner steuern kann

Software, mit der der CCC den Staatstrojaner steuern kann  |  © ccc / Screenshot ZEIT Online

Der am Wochenende vom Chaos Computer Club enttarnte Staatstrojaner stammt aus Bayern und ist vom dortigen Landeskriminalamt eingesetzt worden. Das hat der bayerische Innenminister Joachim Herrmann (CSU) bestätigt. Damit handelt es sich also um einen Bayerntrojaner. Wenn da nicht eine Besonderheit wäre, die die Vermutung zulässt, dass auch andere Bundesländer die gleiche problematische Software eingesetzt haben könnten. Doch der Reihe nach.

Es geht um einen Fall aus dem Jahr 2009. Damals erlaubte das Amtsgericht Landshut (II Gs 833/10) die "Überwachung und Aufzeichnung des Telekommunikationsverkehrs" einer verdächtigen Person nach Paragraf 100a Strafprozessordnung . Genehmigt wurde dabei ausdrücklich auch die "Überwachung des verschlüsselten Telekommunikationsverkehrs über HTTPS und der verschlüsselte Telekommunikationsverkehr über Messenger wie z.B. Skype". Mit anderen Worten, der Ermittlungsrichter gestattete der Polizei den Rechners der betroffenen Person auszuspähen.

Anzeige

Die Polizei kopierte daraufhin ein Programm auf den Rechner des Verdächtigen und begann mit seiner Überwachung – es ist eben jenes Programm, das der Chaos Computer Club nun gefunden und analysiert hat . Das erklärte nun der Anwalt des Betroffenen , Patrick Schladt.

Der CCC war übrigens nicht der erste, der das Vorgehen für rechtswidrig hielt. Am 25. Januar 2011 stellte die übergeordnete 4. Strafkammer des Landgerichts Landshut fest , dass die Polizei dabei zu weit gegangen war. Denn sie hatte nicht nur Skype abgehört. Ihre auf dem Rechner eingeschleuste Software erstellte auch Bildschirmfotos "des Internet-Browsers Firefox im Intervall von 30 Sekunden zur Überwachung der über https geführten Telekommunikation". Insgesamt landeten so ungefähr 60.000 Bildschirmfotos in der Ermittlungsakte. 

Das aber war nach Ansicht des Landgerichtes rechtswidrig. Das Anfertigen von Bildschirmfotos verstößt gegen die Verfassung, weil dabei die Privatsphäre verletzt wird und es nichts mit der Kommunikation zu tun hat – wenngleich die bayerische Polizei so argumentierte.

Zitat aus dem Beschluss des Landgerichts: "Zwar ist der Beschluss des Amtsgerichts vom 02.04.2009 nicht rechtswidrig, wohl aber seine Umsetzung, soweit die grafischen Bildschirminhalte kopiert, also sog. Screenshots gefertigt wurden." Denn es handele sich beim "Schreiben einer E-Mail" noch nicht um einen Telekommunikationsvorgang, dieser sei erst mit dem Absenden gegeben.

Der Vorsitzende des Bundestagsinnenausschusses, Wolfgang Bosbach (CDU), sagte im Deutschlandradio Kultur: "Man darf den Behörden nicht, ohne dass man ganz konkret wird, solche massiven Vorwürfe machen." Das dürfte damit erledigt sein, da bereits ein Gericht festgestellt hat, dass der Einsatz des Bayerntrojaners illegal war.

Damit sind aber längst nicht alle Fragen beantwortet.

Erstens ging es in dem fraglichen Fall nicht um Terrorismus oder ähnlich schwere Verbrechen. Gegen den Beschuldigten wurde ermittelt, weil er bei einem IT-Unternehmen arbeitete, das Handelsplattformen für Firmen programmierte, die in Deutschland ordentlich zugelassene Psychopharmaka ins Ausland vertreiben. Der Vorwurf lautete auf "gewerbsmäßige Ausfuhr von Betäubungsmitteln". Was darauf hindeutet, dass die legale wenn auch heikle Überwachung von Kommunikation auf Computern eher häufiger vorkommt und nicht nur bei "schwerster Kriminalität", wie sie immer vom Bundesinnenministerium gerechtfertigt wurde.

Zweitens ist der Fall ein Beleg dafür, wie schwierig es ist, bei der Durchsuchung von Computern die Vorgaben der Verfassung und des Bundesverfassungsgerichts technisch sauber umzusetzen. Polizei und Staatsanwaltschaft immerhin hielten das Verfahren für legitim, ein Gericht jedoch nicht. Auf das Problem übrigens hatten bei der Verhandlung des Themas vor dem Bundesverfassungsgericht 2008 bereits der frühere Innenminister Gerhard Baum und die Sachverständige des Chaos Computer Clubs, Constanze Kurz, hingewiesen.

Drittens : Wo war in diesem Fall die richterliche Kontrolle? Immerhin bekam die zuständige Staatsanwaltschaft, die Ermittlungsergebnisse überwachen muss, 60.000 Bildschirmfotos auf den Tisch. Eigentlich hätten dort einige Alarme schrillen müssen, vor allem, wenn sich darunter die Screenshots beispielsweise noch nicht abgeschickter E-Mails oder normaler Websites befanden. Doch die Staatsanwaltschaft hat die Ermittlungen nicht gestoppt. Sie wurden erst für rechtswidrig erklärt, als der Anwalt des Beschuldigten dagegen Einspruch erhob.

Viertens gibt es Hinweise, dass noch andere Bundesländer die gleiche Software eingesetzt haben. Das in Bayern verwendete Programm stammt wahrscheinlich von der Firma DigiTask . Mehr dazu findet sich in einem Dokument, das Wikileaks und die Piratenpartei bereits 2008 verbreitet hatten . Darin versucht das bayerische Justizministerium zu klären, wer eigentlich die Kosten für den Einsatz eines DigiTask-Trojaners übernehmen muss. Zitat: "Die Telekommunikationsüberwachungsmaßnahme ist mit erheblichen Kosten verbunden, weil die hierfür erforderliche Ausstattung (insbesondere Software) bisher von Dritten (im Verfahren der Staatsanwaltschaft München I von der Fa. DigiTask GmbH) angemietet und installiert werden muss."

Der Chaos Computer Club nun beschreibt in seinem Gutachten zum gefundenen Trojaner den von dem Spähprogramm verwendeten Verschlüsselungsalgorithmus. Dieser sei fest in die Software einprogrammiert. Dann folgt der Satz: "Bei anderen Versionen des Trojaners war der identische Schlüssel im Einsatz." Offensichtlich also haben neben dem bayerischen LKA auch andere Behörden diese Software gemietet.

Auf Nachfrage sagte Frank Rieger, einer der Sprecher des Clubs: "Wir haben mehrere Staatstrojaner zugesandt bekommen und analysieren sie gerade. Noch können wir nicht sagen, wer sie eingesetzt hat, gehen aber davon aus, dass verschiedene Landeskriminalämter darunter sind." Gut möglich also, dass auch andere Behörden nicht genau wussten, wie weit sie in ihrer eigentlich legalen Überwachung gehen durften. Ein Punkt, den die Politik nun klären muss .

Der innenpolitische Sprecher der CDU/CSU-Fraktion im Bundestag, Hans-Peter Uhl, sagte gerade , es handele sich bei Berichten zum Trojaner um eine "Skandalisierung legitimer Maßnahmen". Hilfreich ist das nicht.

Nachtrag: Ursprünglich hieß es im Text, der Trojaner stamme wahrscheinlich aus Bayern. Denn der CCC wollte dem Anwalt Patrick Schladt, seiner Quelle, die Möglichkeit geben, sich selbst zu äußern. Das hat er inzwischen getan und die Übergabe der fraglichen Festplatte mit dem Trojaner an den CCC bestätigt. Wir haben daher die Möglichkeitsform aus der Überschrift entfernt. (Kai Biermann)

Zur Startseite
 
Leserkommentare
  1. Ich gehe davon, dass der Fund dieses Trojaners die "Spitze vom Eisberg" ist. Vermutlich gibt es noch mehr "Überwachungs- und Spionage-Trojaner" im Netz. Und man sollte nicht davon ausgehen, dass nur ein LKA so etwas tut. Dem BND traue ich das auch zu.

    42 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen
    • DerDude
    • 10. Oktober 2011 14:16 Uhr

    und die Ämter für Verfassungssschutz hacken ganz ungeniert, und das schon seit Jahren und weitestgehend unkontrolliert:

    http://www.spiegel.de/spi...

    • tuo
    • 10. Oktober 2011 14:24 Uhr

    Einfach eine Behauptung möglichst markig hinknallen, so als sei damit irgend ein Informationsgehalt verbunden. Wieso gehen Sie denn davon aus? Und die Gretchenfrage: Hat Ihre Vermutung irgendetwas mit diesem Artikel zu tun oder darf ich annehmen, dass Sie auch schon letzte Woche davon ausgegangen sind, dass das Internet schamlos von so allerlei Behörden ausspioniert wird?

    Ich nehme gleich vorweg, dass ich diese umfassende Spionage nicht ausschließen kann. Nur habe ich auch keine Informationen, die sie belegen oder gar beweisen würden.

    ...ist (wie alle Geheimdienste) das, was es eigentlich gar nicht geben dürfte: eine Ausnahme vom Rechtsstaat, die zudem fast unmöglich zu kontrollieren ist.

    Wir haben also defakto keinen wirklichen Rechtsstaat, solange solche Ausnahmen existieren.

    für die innere Sicherheit sind der Verfassungsschutz und der MAD zuständig.

    PC-Welt stellt Anti-Spyware zur Verfügung! (Freeware)

    http://www.pcwelt.de/down...

    Beste Grüße.

    PS Bitte um Rückmeldung (Nur Angabe des Bundeslandes) bei Befall an meine im Profil hinterlegte E-Mail. Danke

  2. jetzt hat man offizell einen Sündenbock gefunden. Die Bayern sinds mal wieder.
    Lustig, dass das Innenministerium nichts davon gewusst haben soll. Die Arme dieser kleinen Kontroll- und Überwachungsinsitution reichen bekanntlich weit...sehr weit.

    Also opfert man bequem einige Köpfchen, die keiner kennt und die Verantwortlichen für diesen Demokratie-Gau lachen weiterhin allabendlich ins Fernsehen, machen sich wichtig und pudern sich gegenseitig ob der Tatsache, dass sie die politischen Spielregeln ach so gut beherrschen.

    Mal schaun, wie lange sich dieser Spaß ncoh aufrecht erhalten lässt. Wie schauen gespannt nach Griechenland und in die USA.

    15 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen
    • Sikasuu
    • 10. Oktober 2011 15:31 Uhr

    ... dan ist das ja nicht so schlimm.
    .
    Zitat:...lehnte der bayerische Landtag auf Antrag der Landesregierung als einziger das Grundgesetz ab.
    (Quelle:http://de.wikipedia.org/wiki/Geschichte_Bayerns#Bayern_nach_1945
    .
    Rein theoretisch kann damit ja in Bayern gar nicht gegen das GG verstossen werden.
    .
    Das sollte doch vielleich einmal der bayrische Staatsgerichtshof klären. Dem fällt bestimmt ewtas dazu ein:-)

  3. ... was ist dann ein Staat noch anderes als eine große Räuberbande."

    Man sollte sich so langsam gegen diese Bande wehren.

    31 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    Seit den Zeiten von Strauss hat sich "Nichts" geändert.
    Diese Männer u. Frauen werden immerwieder gewählt.

  4. Hans-Peter Uhl. Zwischen meinen Kopfschmerzen und Hans-Peter Uhl besteht eine Korrelation. Sehr merkwürdig. Hans-Peter Uhl. Sekunde, gegenüber ist eine Apotheke. Hans-Peter Dummschwätzer. HOPPLA, VERTIPPT!

    Bitte diskutieren Sie sachlich und konstruktiv. Danke. Die Redaktion/lv

    8 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    "Bitte diskutieren Sie sachlich und konstruktiv. Danke. Die Redaktion/lv"

    Okay, bleiben wir also korrekt: Hans-Peter Uhl ist selbstverständlich KEIN Dummschwätzer. Nur seine Äusserung über die "Skandalisierung legitimer Maßnahmen" ist - angesichts dessen, dass die Illegalität eben diese Maßnahmen sogar schon gerichtlich festgestellt wurde - höchst offensichtlicher Dummschwatz. Aber was geht denn einen Politiker sein eigenes, dummes Geschwätz an? :-)

    • blurred
    • 10. Oktober 2011 14:12 Uhr

    Die Konservativen hatten und haben offensichtlich schon immer ganz besondere Probleme damit, Gesetze zu befolgen.

    Seien es Probleme mit dem Grundgesetz, sei es Schwarze Kassen und Parteienfinanzierung.

    Es ist schon auffällig, dass ausgerechnet immer wieder die CDU/CSU mit dem Gesetz in Konflikt kommt.

    [...]

    Gekürzt. Bitte bleiben Sie sachlich. Danke, die Redaktion/lv

    52 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen
    • Batico
    • 10. Oktober 2011 23:17 Uhr

    Gesetze sind dazu da, das Volk zu unterdrücken und in Schach zu halten. Sie sollen unfrei machen und die Machtstrukturen aufrecht erhalten...denken Sie bitte alle mal nach, alles Handeln der sogenannten regierungen ist darauf ausgerichtet...und die USA diktieren allen anderen Regierungen, was Sache ist.

    [...]
    Gekürzt. Bitte verzichten Sie auf Pauschalurteile. Danke. Die Redaktion/wg

  5. ... die Bayrischen Behörden mal die Strenge anwenden, die Sie gerne bei Anderen fordern. Mein Vorschlag: Langjährige Haftstrafen für alle Verantwortlichen die bewusst verfassungswidrig gehandelt haben.

    57 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    CCC beitreten und Piraten wählen!

    Wieder so eine "Story", die nicht zum Skandal taugt. Im Fall ging schlicht darum, ob auch noch nicht versandte E-Mails per Screenshot aufgezeichnet werden dürfen.
    Dass „Online-Durchsuchungen“ – auch per „Trojaner“ – bei Vorliegen der Voraussetzungen prinzipiell erlaubt sind, steht schon seit geraumer Zeit im Gesetz. Es ist auch völlig normal, dass die Grenzen von Rechtsnormen umstritten sind - gerade, wenn sie mit technische Entwicklungen standhalten müssen.
    Das BMI irrt/täuscht auch nicht, wenn es meint zu „Online-Durchsuchungen“ nur bei schwersten Straftaten ermächtigt zu sein, weil sich das BMI von Berufs wegen über Regelungen aus SEINEM Geschäftsbereich auslässt, der aber hier gerade nicht betroffen ist. Angaben zu Strafverfolgungsfragen überlässt das BMI vielmehr dem zuständigen BMJ und den Landesjustizbehörden. Diese hätten der ZEIT sicherlich den Weg zu § 100a StPO gewiesen, in dem die einschlägigen Straftaten sauber katalogisiert sind (allesamt schwere, wenn auch nicht durchgängig schwerste Straftaten).
    Wieso die richterliche Kontrolle in diesem Fall versagt haben soll, bleibt schließlich das Geheimnis des Autors: Hat nicht gerade ein Land-GERICHT das Vorgehen für rechtswidrig erklärt?
    Die Aufregung bzw. Überraschung in vielen Medien ist wohl eher darauf zurückzuführen, dass man den Überblick verloren hat. Der Wutbürger ja ohnehin bereits...

    ... Etwas vor. Ich kann in meinem Beruf auch einfach Alles wegdiskutieren. Fakt ist es wurden unerlaubt Bildschirmfotos gemacht, in einer Zeit in der praktisch Alles über den Browser läuft. Wer eine Google-Mailadresse hat kann neben dem Briefverkehr auch Kalender, Text- und Tabellen und sein Social Network übers Netz laufen lassen. Wenn das dann mal kein großer Lauschangriff ist, Was dann?

    Und übrigens, von wegen Wutbürger. Wütend sieht bei mir Anders aus. Ich würde eher von gesundem Menschenverstand sprechen.

  6. dass ein deutscher Beamter für seinen Murks geradestehen müsste. Falls es jedoch dazu käme, würde folgendes gelten:
    "Die Verletzung des Briefgeheimnisses, Postgeheimnisses und Fernmeldegeheimnis steht unter Strafe (§§ 202, 206 Strafgesetzbuch, § 148 Telekommunikationsgesetz). Es drohen bis zu fünf Jahre Freiheitsstrafe."
    Die 5 Jahre würde ich allerdings jedem Bundestagsabgeordneten auferlegen, der für dieses Gesetz gestimmt hat, und nicht irgendwelchen armseeligen Beamten, die ohne Anweisung nur gelernt haben toter Mann zu spielen.

    18 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen
    • GDH
    • 10. Oktober 2011 15:46 Uhr

    Ich teile Ihre Befürchtung, dass womöglich niemand dafür persönlich zur Rechenschaft gezogen werden kann (weshalb sich die Abschreckungswirkung solcher Enthüllungen in Grenzen halten könnte).

    Sollte sich jedoch jemand vor Gericht verantworten müssen, dann wohl gerade nicht für die Verletzung von Briefgeheimnis, Postgeheimnis oder Fernmeldegeheimnis (Kommunikationsüberwachung war im genannten Fall ja gerichtlich angeordnet) sondern für darüber hinausgehende Eingriffe in Persönlichkeitsrechte (ich hab' spontan keine passenden Strafvorschriften parat).

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf mehreren Seiten lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Bayern | CDU | CSU | Chaos Computer Club | Bundesinnenministerium | Bundestag
Service