Wie wurde das Spähprogramm überhaupt entdeckt?

Die Beamten haben offensichtlich gepfuscht. Das Programm enthält theoretisch eine Art Selbstmordfunktion: Auf ein von außen kommendes Kommando hin sollte es sich selbst löschen. Constanze Kurz, Informatikerin und eine der Sprecherinnen des CCC, sagt dazu: "Das Programm wurde nur in den Papierkorb geschoben und nicht überschrieben." Es war also nicht unwiderruflich gelöscht. Dem Chaos Computer Club seien mehrere Festplatten anonym zugeschickt worden und die Forensiker hätten keine Probleme gehabt, es zu rekonstruieren. Und nicht nur das: Die CCC-Experten konnten die Software auch wieder zum Laufen bringen. Nun können sie das Programm nach Belieben steuern .

Vom Chaos Computer Club (CCC) entwickeltes Programm zur Steuerung des Bundestrojaners.

Das ist insofern peinlich, weil das Innenministerium vor vier Jahren in einer zweiten schriftlichen Antwort, dieses Mal auf Anfragen des Bundesjustizministeriums , erklärt hatte, die Spähprogramme würden "einen wirksamen Schutz gegen Missbrauch" enthalten. Zitat: "Speziell wird sichergestellt, dass die Software nicht ohne erheblichen Aufwand dazu veranlasst werden kann, an einen anderen Server als den vom Bundeskriminalamt verwendeten zurückzumelden, und dass die Software weder von außen erkannt noch angesprochen werden kann."

Frank Rieger, ebenfalls Sprecher beim CCC und Experte für Verschlüsselungsverfahren, kann darüber nur lachen. "Das Ding hat keine Sicherheitsmaßnahmen", sagt er. Lediglich die abgelauschten Daten seien beim Verschicken verschlüsselt, die Steuerbefehle an das Programm jedoch kämen im Klartext an.

Der Trojaner stelle für den Überwachten zudem eine erhebliche Gefahr dar, sagt Rieger. "Er öffnet den Rechner komplett. Wer sich dann damit in einem ungesicherten Netz bewegt, ist schutzlos." Oder, wie CCC-Mitglied Felix von Leitner bloggt : "Wenn dieser Trojaner auf einem Rechner installiert ist, steht der danach für jeden offen wie ein Scheunentor."

Dazu ein Zitat des Innenministeriums von 2007: "Es soll bei der Onlinedurchsuchung eine selbst entwickelte Software eingesetzt werden, die auch unter den Gesichtspunkten möglicher Risiken für Betroffene und unbeteiligte Dritte entsprechend hinreichend geprüft sein wird."

Wird die Spähsoftware von Virenscannern erkannt?

Nein, bislang nicht. Hersteller von Antivirenprogrammen haben jedoch schon vor Jahren angekündigt, dass sie ihre Produkte gegen jedes Schadprogramm wappnen, auch wenn es von einer Behörde programmiert wurde. Da der Chaos Computer Club den kompletten Binärcode des Spähprogramms veröffentlichen will, ist anzunehmen, dass bald alle großen Antivirenhersteller diesen in ihre Filter aufnehmen. Künftig also würde ein Behördenspäher dieser Bauart herausgefischt.

Kann man sich gegen eine solche Infiltrierung schützen?

Nur mühsam. Es gibt einen Weg, so ein Spähprogramm zu enttarnen. Dazu muss ein Nutzer den Datenverkehr seines Rechners überwachen. Sendet dieser beispielsweise in regelmäßigen Abständen große Bilddateien an einen unbekannten Server im Netz, ist möglicherweise etwas faul.

Ein besserer Schutz wäre klarere Gesetze. Der CCC fordert denn auch zwei Dinge: Erstens müsse endlich sauber geregelt werden, welche Ermittlungsverfahren wann zulässig sind und welche nicht. Es gebe immer noch zu viele Grauzonen, sagt Rieger. Und zweitens müsse verboten werden, illegal erlangte Beweise verwerten zu dürfen. Denn bislang darf die Polizei zum Beispiel die mit Hilfe des Trojaners erstellten Screenshots für eine Anklage nutzen – auch wenn sie diese Dateien eigentlich gar nicht haben dürfte. Und grundsätzlich findet der Club, dass "die heimliche Infiltration von informationstechnischen Systemen durch staatliche Behörden" beendet werden müsse.

Denn es stellt sich die Frage, wie der Einsatz eigentlich kontrolliert wird. Mit entsprechenden Strafsachen beauftragte Anwälte schätzen, dass in den vergangenen Jahren 80 bis 100 solcher Programme heimlich bei Verdächtigen eingeschleust wurden. Welche davon nur genau das erspähten, was sie durften und welche viel mehr – das wissen nur die Ermittler.