Überwachung: Die lange Mängelliste des Staatstrojaner-Einsatzes
Der bayerische Datenschutzbeauftragte wirft dem Landeskriminalamt und der Firma DigiTask zahlreiche Versäumnisse bei der Überwachung von Verdächtigen vor.
© Frank Rumpenhorst/dpa
Symbolbild-Humor: Ein Holzpferd vor einem Schild, das zur Firma DigiTask im hessischen Haiger weist
Das bayerische Landeskriminalamt (LKA) und der Hersteller des in Deutschland eingesetzten Staatstrojaners, die hessische Firma DigiTask, haben bei der Überwachung von Verdächtigen eine Reihe von rechtlich bedenklichen Fehlern gemacht. Zu diesem Schluss kommt der Bayerische Landesbeauftragte für Datenschutz, Thomas Petri. In seinem jetzt veröffentlichten 74-seitigen Prüfbericht Quellen-TKÜ listet er auf, was sich ändern muss, wenn das LKA den Trojaner weiterhin einsetzen will. Viele Kritikpunkte bestätigen, was schon der Chaos Computer Club (CCC) im Oktober 2011 aufgedeckt hatte.
23 Mal hat das LKA die Quellen-TKÜ (Telekommunikationsüberwachung an der Quelle) zwischen 2008 und Ende 2011 eingesetzt. Das waren vor allem Fälle, in denen Gespräche etwa über Skype abgehört werden sollten, die verschlüsselt waren und deshalb an der Quelle abgefangen werden mussten. Überwacht wurden zum Beispiel Personen aus dem islamistischen Milieu, die im – später nicht erhärteten – Verdacht standen, einen Sprengstoffanschlag zu planen. Eingesetzt wurde die Technik aber auch gegen Verdächtige, die später wegen schweren bandenmäßigen Diebstahls verurteilt wurden. Und ausgespäht wurden die Rechner dreier Cannabis-Händler. 20 solcher Einsätze hat Petri untersucht – und zwar auf Bitten des bayerischen Innenministeriums.
Zentrale Fragen waren: Was kann die Spähsoftware? Wie wurde sie wirklich eingesetzt? Und wo gibt es rechtliche Schwachstellen?
Hintergrund: Der CCC hatte nach Analyse der Software nachgewiesen, dass der Staatstrojaner mehr kann, als er gesetzlich darf. Laut Petri hätte DigiTask aber vertraglich dazu verpflichtet werden müssen, den Trojaner nicht mit Fähigkeiten auszustatten, die über das Erlaubte hinausgehen.
So konnte die Software in vier von 20 überprüften Fällen Screenshots des Browser-Fensters anlegen, in zwei weiteren Fällen nur von Instant-Messenger-Fenstern. Außerdem vermutet Petri, dass die Software in mindestens zwei weiteren Fällen auch Screenshots von jedem beliebigen Bildschirminhalt anfertigen konnte. Das Problem daran: Dies ist unter Umständen verfassungswidrig.
Gedanken zu überwachen, ist verfassungswidrig
Eine E-Mail zum Beispiel, die nur geschrieben, aber nicht versendet wird, gilt nicht als abgeschlossene Kommunikation, sondern als zu schützender Teil der Privatsphäre. Davon darf es also keinen Screenshot geben. Würde ein Staat dies trotzdem tun, gäbe es in diesem Land sozusagen eine Gedankenpolizei, die sogar überwachen kann, was jemand ausformuliert, aber niemandem sagt. Und das will der Verfassungsgeber verhindern.
Petri konnte in seinen Tests aus technischen Gründen zwar nicht nachvollziehen, ob das LKA von diesen Screenshot-Funktionen Gebrauch gemacht hat. Konkrete Hinweise darauf, dass der Kernbereich privater Lebensgestaltung beeinträchtigt wurde, habe er nicht gefunden, schreibt er. Allerdings hatte die 4. Strafkammer des Landgerichts Landshut genau das schon im Jahr 2011 als erwiesen angesehen – und für rechtswidrig erklärt. Im damaligen Fall hatte die Spähsoftware von DigiTask 60.000 Screenshots angefertigt.
Theoretisch hätte die Software auch weitere Programmbestandteile nachladen können, um so dann beispielsweise die Festplatte eines Verdächtigen zu durchsuchen. Allein das Vorhandensein dieser Nachladefunktion – die schon vom CCC kritisiert wurde – stellt einen Datenschutzverstoß dar.
Die Spähsoftware kann überdies feststellen, welche Programme auf dem Zielrechner installiert sind. Das kommt einer Festplattendurchsuchung schon relativ nahe, findet Petri. Deshalb müsse auch dieser Fall klarer gesetzlich geregelt werden.
Petri bemängelt zudem, dass der genaue Ablauf der Überwachungsmaßnahmen wegen fehlender Dokumentation nicht nachvollziehbar sei. Das sei als Datenschutzverstoß anzusehen. Auch sei weder dem LKA noch ihm ein Einblick in den Quellcode des Programms gestattet worden. DigiTask wollte sich nur darauf einlassen, wenn Petri und seine Mitarbeiter sich vertraglich zur Verschwiegenheit verpflichtet hätten. Das aber – sagt Petri – sei ihm laut Datenschutzgesetz nicht gestattet. Seine Mitarbeiter seien außerdem sowieso zur Verschwiegenheit verpflichtet. DigiTask reicht das aber offenbar nicht.
Mangelnde Vorsicht beim Anmieten des Proxys
Theoretisch hätten die Betroffenen auch länger überwacht werden können als geplant – und zwar von Dritten. Denn wie Petri berichtet, war das LKA beim Umgang mit dem von ihm angemieteten Proxyserver nicht vorsichtig genug. Die Behörde hatte verdeckt einen Server in den USA angemietet. Dieser kommunizierte mit den infizierten Rechnern. Es war in allen Fällen derselbe Server mit derselben IP-Adresse. Dessen Betreiber hatte aber "ein jederzeitiges, anlassloses, einseitiges Kündigungsrecht", wie es im Bericht heißt. Er hätte das LKA also einfach aussperren und die IP-Adresse einem neuen Kunden zusprechen können.
Dasselbe hätte passieren können, nachdem das LKA den Vertrag mit dem Provider kündigte, weil die Überwachung abgeschlossen war. Ein neuer Kunde, der die alte IP-Adresse übernommen hätte, wäre in der Lage gewesen, die immer noch infizierten Rechner weiter auszuspähen. Petri hält das für "nicht unwahrscheinlich", weil es zahlreiche Presseberichte gibt, in denen die IP-Adresse explizit genannt wird. Eine einfache Google-Suche nach der IP-Adresse hätte genügt, um herauszufinden, was man als neuer Inhaber der IP-Adresse in der Hand hat. Passiert sei das nur deshalb nicht, weil der Anbieter den IP-Bereich bislang zufällig nicht neu vergeben hat.
Nun fordert Petri vor allem eine Anpassung der Paragrafen 100a und 100b der Strafprozessordnung. Darin wird die Überwachung des Telekommunikationsverkehrs geregelt, doch die Besonderheiten einer Quellen-TKÜ werden nicht berücksichtigt. Sie betreffen vor allem die notwendige Beschränkung der Überwachung auf laufende Kommunikation. Das Erstellen von beliebigen Screenshots oder auch das Auslesen von Softwarelisten – also die Namen aller Programme auf dem Zielrechner – gehören seiner Meinung nicht dazu. Auch wenn bayerische Gerichte das mitunter anders sehen.
Es gibt sicherlich viele große und kleine Punkte auf der "Mängelliste", aber der größte und schlimmste Punkt ist immer noch, dass solche Programme in einem demokratischen Staat eingesetzt werden.
Ich sehe kein Zusammenhang zwischen notwendigen, technischen Überwachungsmaßnahmen und einer Demokratie. Ich sehe nicht einmal einen Widerspruch zwischen einem Überwachungsstaat und einer Demokratie.
Der Begriff Demokratie sollte weniger missbraucht werden, denn das gibt ihm etwas ideologisch-religiöses und schwächt ihn auch ab, da jeder etwas anderes darunter versteht.
dass man Ihre berechtigte Kritik nicht falsch liest und demzufolge dafür sorgt, dass besagter demokratischer Staat bald keiner mehr ist.
Der Schein trügt zuweilen und während ich kein Problem damit habe, wie eine Verfassung die Demokratie krisensicher gestalten wollte, so denke ich doch, dass man bei der Aushöhlung des Ganzen und vor allem der Reduktion des Bürgers auf ein Vierjahres-Wahlvieh schon weit fortgeschritten ist.
Man beachte auch den Sprachgebrauch. Der DatenSCHUTZbeauftragte kann nur noch eine Mängelliste erstellen. Sprachlich mitunter als "na ja, kann man lesen, muss man nicht" zu deuten und damit fern von dem, was er mit der Liste ja aufzeigt.
Da stehen elementare Werte zur Debatte, die man in Bayern "wegen der Sicherheit" nicht mal mehr öffentlich opfert, sondern sich erst vom CCC dabei ertappen lassen muss. Schlimmer noch, in der Reaktion auf das Ertapptwerden kommt nicht mal die Spur von Anstand auf, im Gegenteil.
Wer fühlt sich also wem gegenüber verantwortlich, wenn es um die so oft genutzte Phrase "Sicherheit" geht? Und welche Institution schützt davor, dass die Überwacher das Eigenleben (wie am Beispiel Bayern sichtbar) deutlich ausweiten?
Die Vorredner sagen es, mehr als die formale Kenntnisnahme ist nicht zu erwarten. Von Konsequenzen spricht da niemand und wer meint, dass die Behörden nun vorsichtiger sind, der hat recht. Man wird zukünftig vermeiden, dass ihnen ein CCC so einfach auf die Schliche kommt.
Ein bedrohliches Bild.
Ich sehe kein Zusammenhang zwischen notwendigen, technischen Überwachungsmaßnahmen und einer Demokratie. Ich sehe nicht einmal einen Widerspruch zwischen einem Überwachungsstaat und einer Demokratie.
Der Begriff Demokratie sollte weniger missbraucht werden, denn das gibt ihm etwas ideologisch-religiöses und schwächt ihn auch ab, da jeder etwas anderes darunter versteht.
dass man Ihre berechtigte Kritik nicht falsch liest und demzufolge dafür sorgt, dass besagter demokratischer Staat bald keiner mehr ist.
Der Schein trügt zuweilen und während ich kein Problem damit habe, wie eine Verfassung die Demokratie krisensicher gestalten wollte, so denke ich doch, dass man bei der Aushöhlung des Ganzen und vor allem der Reduktion des Bürgers auf ein Vierjahres-Wahlvieh schon weit fortgeschritten ist.
Man beachte auch den Sprachgebrauch. Der DatenSCHUTZbeauftragte kann nur noch eine Mängelliste erstellen. Sprachlich mitunter als "na ja, kann man lesen, muss man nicht" zu deuten und damit fern von dem, was er mit der Liste ja aufzeigt.
Da stehen elementare Werte zur Debatte, die man in Bayern "wegen der Sicherheit" nicht mal mehr öffentlich opfert, sondern sich erst vom CCC dabei ertappen lassen muss. Schlimmer noch, in der Reaktion auf das Ertapptwerden kommt nicht mal die Spur von Anstand auf, im Gegenteil.
Wer fühlt sich also wem gegenüber verantwortlich, wenn es um die so oft genutzte Phrase "Sicherheit" geht? Und welche Institution schützt davor, dass die Überwacher das Eigenleben (wie am Beispiel Bayern sichtbar) deutlich ausweiten?
Die Vorredner sagen es, mehr als die formale Kenntnisnahme ist nicht zu erwarten. Von Konsequenzen spricht da niemand und wer meint, dass die Behörden nun vorsichtiger sind, der hat recht. Man wird zukünftig vermeiden, dass ihnen ein CCC so einfach auf die Schliche kommt.
Ein bedrohliches Bild.
.... Guttenberg, Friedrich.....wird Zeit, dass es dort mal einen Wechsel gibt, wie in BW
was bringt, bleibt abzuwarten..
was das Thema angeht... o je... es bleibt einem nur die wage Hoffnung, dass es solche Schlampereien nur im Freistaat gibt.
und mich würde mal interessieren, ob dieser Bericht von Thomas Petri irgendwelche Folgen haben wird? Gesetzesänderungen? womöglich Verschärfungen? Untersuchungen? Entlassungen?
Damit sich beim Thema Datenschutz etwas zum Guten ändert müsste schon ein Pirat auf dem Sessel des Innenministers Platz nehmen. Für die Wahl des Jahes 2013 ist das zumindest unwahrscheinlich.
was bringt, bleibt abzuwarten..
was das Thema angeht... o je... es bleibt einem nur die wage Hoffnung, dass es solche Schlampereien nur im Freistaat gibt.
und mich würde mal interessieren, ob dieser Bericht von Thomas Petri irgendwelche Folgen haben wird? Gesetzesänderungen? womöglich Verschärfungen? Untersuchungen? Entlassungen?
Damit sich beim Thema Datenschutz etwas zum Guten ändert müsste schon ein Pirat auf dem Sessel des Innenministers Platz nehmen. Für die Wahl des Jahes 2013 ist das zumindest unwahrscheinlich.
was bringt, bleibt abzuwarten..
was das Thema angeht... o je... es bleibt einem nur die wage Hoffnung, dass es solche Schlampereien nur im Freistaat gibt.
und mich würde mal interessieren, ob dieser Bericht von Thomas Petri irgendwelche Folgen haben wird? Gesetzesänderungen? womöglich Verschärfungen? Untersuchungen? Entlassungen?
"und mich würde mal interessieren, ob dieser Bericht von Thomas Petri irgendwelche Folgen haben wird? Gesetzesänderungen? womöglich Verschärfungen? Untersuchungen? Entlassungen?"
Das ist der springende Punkt. Der Bericht wird vielleicht zur Kenntnis genommen, danach geht es weiter wie bisher....
"und mich würde mal interessieren, ob dieser Bericht von Thomas Petri irgendwelche Folgen haben wird? Gesetzesänderungen? womöglich Verschärfungen? Untersuchungen? Entlassungen?"
Das ist der springende Punkt. Der Bericht wird vielleicht zur Kenntnis genommen, danach geht es weiter wie bisher....
Damit sich beim Thema Datenschutz etwas zum Guten ändert müsste schon ein Pirat auf dem Sessel des Innenministers Platz nehmen. Für die Wahl des Jahes 2013 ist das zumindest unwahrscheinlich.
sondern dass gemacht wird, was technisch machbar ist -
und erst , wenn es aufgefallen ist, wird über eine Änderung nachgedacht - zumindest offiziell
...gibt es keine Gesetze. Die sind nur hinderlich bei der Ausführung ihrer Ämter. Auf so Kleinigkeiten wie GG und Landesverfassung wird ein grosser Haufen gesch....... Hauptsache den Amigos geht es gut.
"und mich würde mal interessieren, ob dieser Bericht von Thomas Petri irgendwelche Folgen haben wird? Gesetzesänderungen? womöglich Verschärfungen? Untersuchungen? Entlassungen?"
Das ist der springende Punkt. Der Bericht wird vielleicht zur Kenntnis genommen, danach geht es weiter wie bisher....
was immer Herr Petri in seinem Bericht meint herausgefunden zu haben ( "– also die Namen aller Programme auf dem Zielrechner – gehören seiner Meinung nicht dazu" ) massgeblich ist immer noch der Gesetzgeber bzw. die Auslegung durch die Gerichte, auch wenn einige Ideologen und Medien das hier anders sehen.
Auf der anderen Seite beschweren sich Untersuchungsausschüsse darüber dass bei der Verfolgung von Rechtsradikalen, zu wenige Überwachungsmassnahmen ergriffen wurden, bzw. dass dort sogar die Datenschutzrichtlinien eingehalten wurden und Daten gelöscht wurden,die nicht in unmittelbarem Zusammenhang mit dem Ziel der Überwachung waren.
Diese veröffentlichten Meinungen emittieren den Geruch starker Heuchelei!
Zitat:"Auf der anderen Seite beschweren sich Untersuchungsausschüsse darüber dass bei der Verfolgung von Rechtsradikalen, zu wenige Überwachungsmassnahmen ergriffen wurden, bzw. dass dort sogar die Datenschutzrichtlinien eingehalten wurden und Daten gelöscht wurden,die nicht in unmittelbarem Zusammenhang mit dem Ziel der Überwachung waren."
--
Verwechseln Sie doch nicht (absichtlich) den Politikbetrieb mit seinen Untersuchungsausschüssen und die öffentliche Meinung.
Und dann belegen Sie doch bitte Ihre Behauptungen. Achso, Sie meinen die Aktenvernichtungen beim Verfassungschutz? Wegen Datenschutz natürlich. Schon klar.
:)
Zitat:"Auf der anderen Seite beschweren sich Untersuchungsausschüsse darüber dass bei der Verfolgung von Rechtsradikalen, zu wenige Überwachungsmassnahmen ergriffen wurden, bzw. dass dort sogar die Datenschutzrichtlinien eingehalten wurden und Daten gelöscht wurden,die nicht in unmittelbarem Zusammenhang mit dem Ziel der Überwachung waren."
--
Verwechseln Sie doch nicht (absichtlich) den Politikbetrieb mit seinen Untersuchungsausschüssen und die öffentliche Meinung.
Und dann belegen Sie doch bitte Ihre Behauptungen. Achso, Sie meinen die Aktenvernichtungen beim Verfassungschutz? Wegen Datenschutz natürlich. Schon klar.
:)
Bitte melden Sie sich an, um zu kommentieren