SpionagesoftwareDatenschützer Schaar konnte Quellcode des Staatstrojaners nicht prüfen

Um die staatliche Spionagesoftware bewerten zu können, wollte Datenschützer Peter Schaar den Trojaner in Augenschein nehmen. Doch den Programmcode bekam er nie zu sehen. von dpa

Der Bundesbeauftragte für den Datenschutz, Peter Schaar , hat die von Ermittlungsbehörden eingesetzte Trojaner-Software zur Überwachung von Computern nicht im Detail analysieren können. Das geht aus einem Schreiben Schaars an den Innenausschuss des Deutschen Bundestages hervor, das dem Chaos Computer Club (CCC) zugespielt wurde. Schaar schloss nun seine Bewertung der Überwachungssoftware ohne eine Prüfung des Programmcodes ab. Er hält an einer kritischen Bewertung des Trojaners fest.

Der Hersteller der Software habe "den Zugang von vertraglichen Abreden abhängig" gemacht, "die ich nicht akzeptieren kann", heißt es in dem Brief vom 14. August. Dem Schreiben zufolge hatten sich das Bundesinnenministerium und das Bundeskriminalamt zwar bemüht, den Quellcode der Überwachungssoftware vom Hersteller DigiTask zu besorgen. Die Einsicht sei jedoch an der Forderung von DigiTask nach einer Geheimhaltungsvereinbarung gescheitert – wie übrigens auch schon beim bayerischen Landesbeauftragten für den Datenschutz .

Anzeige

Außerdem habe die Firma für "Consulting-Dienstleistungen" 1.200 Euro pro Tag und Mitarbeiter verlangt. Das BKA wollte demnach diese Kosten nicht allein übernehmen, sondern sich nur "allenfalls anteilig beteiligen". "Daher ist es mir im Ergebnis nicht möglich, den Quellcode zur datenschutzrechtlichen Kontrolle zu sichten", schreibt Schaar.

Schaar hatte bereits Ende Januar dem Innenausschuss des Bundestags einen Bericht vorgelegt, wonach die Trojaner-Software die Datenschutzanforderungen nicht erfüllt. So werde eine Forderung des Bundesverfassungsgerichts missachtet, dass bei heimlichen Überwachungen der Kernbereich privater Lebensgestaltung zu schützen sei.

"In Anfängermanier zusammengestoppelt"

Der sogenannte Staatstrojaner wird vor allem zum Abhören von verschlüsselten Telefonaten über das Internet verwendet. Der Chaos Computer Club wirft den Verantwortlichen unter anderem vor, dass die Software auf dem Computer des Betroffenen Sicherheitslücken hinterlasse, die Dritte ausnutzen könnten. Kritisiert wurde vor allem eine Nachladefunktion, mit deren Hilfe die Überwachung des Computers nach CCC-Angaben bis hin zur Durchsuchung der Festplatte ausgeweitet werden könne.

Die Absicherung des Datenaustauschs zwischen der Trojaner-Software und dem Kontrollcomputer der Behörden sei "in Anfängermanier zusammengestoppelt", kritisierte der CCC. "Damit wird weiterhin in Kauf genommen, dass staatliche Trojaner nicht effektiv kontrolliert und somit auch von Dritten zur Ausspähung und Manipulation von Daten benutzt werden könnten", hieß es.

Bundesinnenminister Hans-Peter Friedrich (CSU) hatte den Einsatz der Trojaner für den Bund verteidigt. Auch die Länder hätten die Grenzen dessen, was zulässig sei, nicht überschritten. Der Minister wies insbesondere den Verdacht zurück, die Beamten spähten mehr Informationen aus, als sie dürften.

Gleichwohl hatte er angekündigt, dass die Software künftig von einem Kompetenzzentrum beim Bundeskriminalamt (BKA) statt von einer privaten Firma entwickelt werden solle. Eine entsprechende Stellenausschreibung ist vor einigen Tagen auf den Seiten des BKA veröffentlicht worden: Gesucht wird "ein/e Software Designer/in zur Konzeption und Entwicklung technischer Überwachungsmethoden bei Straftaten im Zusammenhang mit Computernetzwerken". Die Anforderungen sind vielfältig, aber immerhin erfolgt die Vergütung außertariflich, eine spätere Verbeamtung ist nicht ausgeschlossen.

Zur Startseite
 
Leserkommentare
    • cleteu
    • 11. September 2012 10:16 Uhr

    Somit hatte der Datenschutzbeauftragte also erst gleich gar keine Möglichkeit seiner Pflicht nachzukommen. Wie denn ohne Quellcode? So ernst nimmt also unsere schwarz-gelbe Bundesregierung den Datenschutz und die damit verbundenen Gefahren! Warum denn auch wenn man selbst erst gerade entdeckt, dass es das Internet gibt? So viel Naivität kann sehr gefährlich sein!

    Reaktionen auf diesen Kommentar anzeigen

    Bitte löschen. Im Artikel steht klar und deutlich, dass sich BKA und BMI bemüht hätten den Code zu bekommen.

  1. Bitte löschen. Im Artikel steht klar und deutlich, dass sich BKA und BMI bemüht hätten den Code zu bekommen.

    Antwort auf "Kontrolle???"
    Reaktionen auf diesen Kommentar anzeigen

    im Klartext heißt das nichts anderes, als dass das BKA in einem hochsensiblen Bereich eine Software auf die Bürger loslassen will, über deren Quellcode es nicht verfügt und damit überhaupt nicht prüfen kann, ob das Ding (nur) das macht was es soll. Wer kontrolliert eigentlich das Privatunternehmen DigiTask? Kommen dann demnächst auch ein privater Sicherheitsdienst und nimmt Hausdurchsuchungen anstelle der Polizei vor?
    Und wie kann man in einem solchen Bereich überhaupt einen Vertrag unterschreiben, der die Einsicht in den Quellecode nur gegen Unsummen an Steuergeldern ermöglicht? Damit wird jede parlamentarisch oder gerichtlich Kontrolle massiv erschwert, wie man jetzt sieht - Unfähigkeit oder Vorsatz?

    Entfernt. Bitte verzichten Sie auf Unterstellungen und beteiligen Sie sich bitte sachlich zum Artikelthema. Danke. Die Redaktion/kvk

    eines Kommentars aufrufen, ohne inhaltlich zu widersprechen.

    Die Aussage von cleteu ist doch gerade, dass das BKA unverantwortlich gehandelt hat. Und das ist durch die Tatsache, dass man sich den Quellcode nun gar nicht besorgen kann, nur noch bestätigt worden.

    Vermutlich hat DigiTask den alten Trick angewandt, einen Teil des Quellcodes nur zu lizensieren. Es wird dann irgendein Framework o.ä. geltend gemacht, das man schon hatte und das nur als Lizenz, nicht aber als Besitz an die BKA übergeht.

    Woraus wiederum folgt, dass DigiTask die Technik gerne noch an jemanden anderes verkaufen möchte oder auch schon verkauft hat. Es gehört nicht viel Fantasie dazu sich auszumalen, welche anderen Länder auch gerne so einen Trojaner hätten und was die dann damit machen. Ein geschäftstüchtiges Unternehmen und eine verschlafene Einkaufsabteilung beim BKA, würde ich sagen.

    • Slater
    • 11. September 2012 10:55 Uhr

    was bringt schon das Lesen eines Quellcodes auf Papier?
    genausogut kann man Erklärungen der Politik oder der Mafia lesen, dass im letzten Monat alles mit rechten Dingen zugeht..

    warum sollte der übersandte Quellcode der sein der eingesetzt wird?
    auf eine Festplatte passen 100.000 verschiedene Quellcodes,
    kleine entscheidende Änderungen sind schnell programmiert,
    komplett andere Programme in 1 sec eingeschaltet

    entweder man vertraut den Mitarbeitern an den Rechnern,
    oder eben nicht,
    sinnvoll ist vielleicht, die bei ihrer täglichen Arbeit zu besuchen, Live-Zugriff auf die Durchführung der Aktionen zu haben,
    wirklich gesamte Festplatten-Inhalte/ Aktenregale anzuschauen, die kann man insgesamt kaum alle schönreden,
    dann bliebe gar keine Zeit mehr, irgendwas anderes auch noch zu tun,

    freilich noch das ominöse 'richtige' Büro im Keller,
    aber Geheimdienste gibts ja auch so genug

    Reaktionen auf diesen Kommentar anzeigen
    • okmijn
    • 11. September 2012 16:57 Uhr

    ein Compilerlauf und man hat die Sicherheit ob es die gleiche Software ist. Wenn die ausführbaren Programme incl. ihrer Bibliotheken binär identisch sind mit den mittlerweile ja gefundenen hat man die richtigen Sources, andernfalls nicht.

    Ist aber ja kein Problem weil man gar keinen Quellcode bekommt...

    • mhaase
    • 12. September 2012 7:26 Uhr

    100.000 Quellcodes, und auch noch verschiedene! Alle Achtung, das haben Sie aber fein ausgerechnet. Können Sie vielleicht auch noch kurz beschreiben, was das ist (Ihrer Ansicht nach): ein Quellcode?

    Aber Scherz beiseite: Die einfache Variante bestünde wohl darin, sich den Trojaner einzufangen und den Binärcode zurückzuübersetzen. Das wäre dann, werter Slater, allerdings in einer Sekunde erledigt. Vorausgesetzt, man hat die richtigen Tools auf seiner Festplatte. Wie Sie sicher bestätigen können.

  2. im Klartext heißt das nichts anderes, als dass das BKA in einem hochsensiblen Bereich eine Software auf die Bürger loslassen will, über deren Quellcode es nicht verfügt und damit überhaupt nicht prüfen kann, ob das Ding (nur) das macht was es soll. Wer kontrolliert eigentlich das Privatunternehmen DigiTask? Kommen dann demnächst auch ein privater Sicherheitsdienst und nimmt Hausdurchsuchungen anstelle der Polizei vor?
    Und wie kann man in einem solchen Bereich überhaupt einen Vertrag unterschreiben, der die Einsicht in den Quellecode nur gegen Unsummen an Steuergeldern ermöglicht? Damit wird jede parlamentarisch oder gerichtlich Kontrolle massiv erschwert, wie man jetzt sieht - Unfähigkeit oder Vorsatz?

    Antwort auf "falscher Kommentar"
  3. Man fragt sich natürlich auch, was Herr Schaar aus dem Quellcode hätte herauslesen wollen. Einfallstore und andere Unregelmäßigkeiten lassen sich jedenfalls so gut verstecken, dass sie auch von Profis kaum entdeckt werden können.

    Dass der Code gar nicht gezeigt wurde, mutet daher eher seltsam an.

  4. Hier werden Mittel zur Verbrechensbekämpfung genutzt, die Stasimethoden übertreffen. Ob der Zweck die Mittel heiligt, ist die große unbeantwortete Frage. Wie auch immer machen die Softwarehersteller vorläufig ein Geschäft daraus. Hersteller und Anwender pokern quasi um den Wert der Dinge, die man nicht wissen darf. Möglicherweise löst sich das ethische Problem, indem sich die Schnüffelpokerspieler auf prekären Pfaden verirren.

  5. "Dem Schreiben zufolge hatten sich das Bundesinnenministerium und das Bundeskriminalamt zwar bemüht, den Quellcode der Überwachungssoftware vom Hersteller DigiTask zu besorgen."

    In der Beurteilung eines früheren Arbeitgebers wäre so ein Satz tödlich. "Hat sich bemüht" kommt einem Synonym von "völlig unfähig" gleich.

    Was ist eigentlich los in diesem Land? Wer hat denn hier was zu sagen? Regierung und Polizei offenbar nicht, wenn beauftragte und mit Aufgaben betrauten Organe und Firmen wie der Verfassungsschutz oder DigiTask machen können was sie wollen. Letztere sollten ein Softwareprogramm erstellen und verweigern nun die Herausgabe des Quellcodes an den Auftraggeber, stellen Bedingungen und fordern obskure Zahlungen, wo gibt's denn sowas? Wäre ich Innenminister könnten die ihren Laden dichtmachen. Was die Burschen sich da rausnehmen grenzt an Erpressung und ist an Frechheit kaum zu überbieten.

    Es sei denn, sie hätten von irgendwo einen Segen für dieses Tun erhalten, dann wäre natürlich alles in bester Ordnung.

  6. Entfernt. Bitte verzichten Sie auf Unterstellungen und beteiligen Sie sich bitte sachlich zum Artikelthema. Danke. Die Redaktion/kvk

    Antwort auf "falscher Kommentar"

Bitte melden Sie sich an, um zu kommentieren

  • Quelle ZEIT ONLINE, dpa
  • Schlagworte Peter Schaar | CSU | Chaos Computer Club | Absicherung | Bundeskriminalamt | Bundesinnenministerium
Service