Spionagesoftware : Datenschützer Schaar konnte Quellcode des Staatstrojaners nicht prüfen

Um die staatliche Spionagesoftware bewerten zu können, wollte Datenschützer Peter Schaar den Trojaner in Augenschein nehmen. Doch den Programmcode bekam er nie zu sehen.

Der Bundesbeauftragte für den Datenschutz, Peter Schaar , hat die von Ermittlungsbehörden eingesetzte Trojaner-Software zur Überwachung von Computern nicht im Detail analysieren können. Das geht aus einem Schreiben Schaars an den Innenausschuss des Deutschen Bundestages hervor, das dem Chaos Computer Club (CCC) zugespielt wurde. Schaar schloss nun seine Bewertung der Überwachungssoftware ohne eine Prüfung des Programmcodes ab. Er hält an einer kritischen Bewertung des Trojaners fest.

Der Hersteller der Software habe "den Zugang von vertraglichen Abreden abhängig" gemacht, "die ich nicht akzeptieren kann", heißt es in dem Brief vom 14. August. Dem Schreiben zufolge hatten sich das Bundesinnenministerium und das Bundeskriminalamt zwar bemüht, den Quellcode der Überwachungssoftware vom Hersteller DigiTask zu besorgen. Die Einsicht sei jedoch an der Forderung von DigiTask nach einer Geheimhaltungsvereinbarung gescheitert – wie übrigens auch schon beim bayerischen Landesbeauftragten für den Datenschutz .

Außerdem habe die Firma für "Consulting-Dienstleistungen" 1.200 Euro pro Tag und Mitarbeiter verlangt. Das BKA wollte demnach diese Kosten nicht allein übernehmen, sondern sich nur "allenfalls anteilig beteiligen". "Daher ist es mir im Ergebnis nicht möglich, den Quellcode zur datenschutzrechtlichen Kontrolle zu sichten", schreibt Schaar.

Schaar hatte bereits Ende Januar dem Innenausschuss des Bundestags einen Bericht vorgelegt, wonach die Trojaner-Software die Datenschutzanforderungen nicht erfüllt. So werde eine Forderung des Bundesverfassungsgerichts missachtet, dass bei heimlichen Überwachungen der Kernbereich privater Lebensgestaltung zu schützen sei.

"In Anfängermanier zusammengestoppelt"

Der sogenannte Staatstrojaner wird vor allem zum Abhören von verschlüsselten Telefonaten über das Internet verwendet. Der Chaos Computer Club wirft den Verantwortlichen unter anderem vor, dass die Software auf dem Computer des Betroffenen Sicherheitslücken hinterlasse, die Dritte ausnutzen könnten. Kritisiert wurde vor allem eine Nachladefunktion, mit deren Hilfe die Überwachung des Computers nach CCC-Angaben bis hin zur Durchsuchung der Festplatte ausgeweitet werden könne.

Die Absicherung des Datenaustauschs zwischen der Trojaner-Software und dem Kontrollcomputer der Behörden sei "in Anfängermanier zusammengestoppelt", kritisierte der CCC. "Damit wird weiterhin in Kauf genommen, dass staatliche Trojaner nicht effektiv kontrolliert und somit auch von Dritten zur Ausspähung und Manipulation von Daten benutzt werden könnten", hieß es.

Bundesinnenminister Hans-Peter Friedrich (CSU) hatte den Einsatz der Trojaner für den Bund verteidigt. Auch die Länder hätten die Grenzen dessen, was zulässig sei, nicht überschritten. Der Minister wies insbesondere den Verdacht zurück, die Beamten spähten mehr Informationen aus, als sie dürften.

Gleichwohl hatte er angekündigt, dass die Software künftig von einem Kompetenzzentrum beim Bundeskriminalamt (BKA) statt von einer privaten Firma entwickelt werden solle. Eine entsprechende Stellenausschreibung ist vor einigen Tagen auf den Seiten des BKA veröffentlicht worden: Gesucht wird "ein/e Software Designer/in zur Konzeption und Entwicklung technischer Überwachungsmethoden bei Straftaten im Zusammenhang mit Computernetzwerken". Die Anforderungen sind vielfältig, aber immerhin erfolgt die Vergütung außertariflich, eine spätere Verbeamtung ist nicht ausgeschlossen.

Verlagsangebot

Entdecken Sie mehr.

Lernen Sie DIE ZEIT 4 Wochen lang im Digital-Paket zum Probepreis kennen.

Hier testen

Kommentare

15 Kommentare Seite 1 von 3 Kommentieren

Kontrolle???

Somit hatte der Datenschutzbeauftragte also erst gleich gar keine Möglichkeit seiner Pflicht nachzukommen. Wie denn ohne Quellcode? So ernst nimmt also unsere schwarz-gelbe Bundesregierung den Datenschutz und die damit verbundenen Gefahren! Warum denn auch wenn man selbst erst gerade entdeckt, dass es das Internet gibt? So viel Naivität kann sehr gefährlich sein!

Bemühen ist schön,

im Klartext heißt das nichts anderes, als dass das BKA in einem hochsensiblen Bereich eine Software auf die Bürger loslassen will, über deren Quellcode es nicht verfügt und damit überhaupt nicht prüfen kann, ob das Ding (nur) das macht was es soll. Wer kontrolliert eigentlich das Privatunternehmen DigiTask? Kommen dann demnächst auch ein privater Sicherheitsdienst und nimmt Hausdurchsuchungen anstelle der Polizei vor?
Und wie kann man in einem solchen Bereich überhaupt einen Vertrag unterschreiben, der die Einsicht in den Quellecode nur gegen Unsummen an Steuergeldern ermöglicht? Damit wird jede parlamentarisch oder gerichtlich Kontrolle massiv erschwert, wie man jetzt sieht - Unfähigkeit oder Vorsatz?

Merkwürdig dass Sie zum Löschen

eines Kommentars aufrufen, ohne inhaltlich zu widersprechen.

Die Aussage von cleteu ist doch gerade, dass das BKA unverantwortlich gehandelt hat. Und das ist durch die Tatsache, dass man sich den Quellcode nun gar nicht besorgen kann, nur noch bestätigt worden.

Vermutlich hat DigiTask den alten Trick angewandt, einen Teil des Quellcodes nur zu lizensieren. Es wird dann irgendein Framework o.ä. geltend gemacht, das man schon hatte und das nur als Lizenz, nicht aber als Besitz an die BKA übergeht.

Woraus wiederum folgt, dass DigiTask die Technik gerne noch an jemanden anderes verkaufen möchte oder auch schon verkauft hat. Es gehört nicht viel Fantasie dazu sich auszumalen, welche anderen Länder auch gerne so einen Trojaner hätten und was die dann damit machen. Ein geschäftstüchtiges Unternehmen und eine verschlafene Einkaufsabteilung beim BKA, würde ich sagen.

Quellcode

was bringt schon das Lesen eines Quellcodes auf Papier?
genausogut kann man Erklärungen der Politik oder der Mafia lesen, dass im letzten Monat alles mit rechten Dingen zugeht..

warum sollte der übersandte Quellcode der sein der eingesetzt wird?
auf eine Festplatte passen 100.000 verschiedene Quellcodes,
kleine entscheidende Änderungen sind schnell programmiert,
komplett andere Programme in 1 sec eingeschaltet

entweder man vertraut den Mitarbeitern an den Rechnern,
oder eben nicht,
sinnvoll ist vielleicht, die bei ihrer täglichen Arbeit zu besuchen, Live-Zugriff auf die Durchführung der Aktionen zu haben,
wirklich gesamte Festplatten-Inhalte/ Aktenregale anzuschauen, die kann man insgesamt kaum alle schönreden,
dann bliebe gar keine Zeit mehr, irgendwas anderes auch noch zu tun,

freilich noch das ominöse 'richtige' Büro im Keller,
aber Geheimdienste gibts ja auch so genug

Na, Sie kennen sich ja richtig gut aus!

100.000 Quellcodes, und auch noch verschiedene! Alle Achtung, das haben Sie aber fein ausgerechnet. Können Sie vielleicht auch noch kurz beschreiben, was das ist (Ihrer Ansicht nach): ein Quellcode?

Aber Scherz beiseite: Die einfache Variante bestünde wohl darin, sich den Trojaner einzufangen und den Binärcode zurückzuübersetzen. Das wäre dann, werter Slater, allerdings in einer Sekunde erledigt. Vorausgesetzt, man hat die richtigen Tools auf seiner Festplatte. Wie Sie sicher bestätigen können.

Was hätte Herr Schaar finden wollen?

Man fragt sich natürlich auch, was Herr Schaar aus dem Quellcode hätte herauslesen wollen. Einfallstore und andere Unregelmäßigkeiten lassen sich jedenfalls so gut verstecken, dass sie auch von Profis kaum entdeckt werden können.

Dass der Code gar nicht gezeigt wurde, mutet daher eher seltsam an.

Der Zweck und die Mittel

Hier werden Mittel zur Verbrechensbekämpfung genutzt, die Stasimethoden übertreffen. Ob der Zweck die Mittel heiligt, ist die große unbeantwortete Frage. Wie auch immer machen die Softwarehersteller vorläufig ein Geschäft daraus. Hersteller und Anwender pokern quasi um den Wert der Dinge, die man nicht wissen darf. Möglicherweise löst sich das ethische Problem, indem sich die Schnüffelpokerspieler auf prekären Pfaden verirren.