Karl Nolle, MdL

Süddeutsche Zeitung, 11.10.2011

Staatliches Spähprogramm

Wie inkompetente Behörden das Trojaner-Desaster begünstigen
 
Legal, illegal, scheißegal - ist der alte Sponti-Spruch manchmal die Maxime von Behörden beim Kampf gegen das vermeintliche Böse? Die Wahrheit ist: In vielen Institutionen herrscht das blanke Chaos, werden Aufträge für sensible Software an Unternehmen aus dem Dunstkreis von Mitarbeitern vergeben. Über ein System, das längst zum Problem geworden ist.

Auch Richter tun sich nicht leicht mit den Grobheiten und den Feinheiten der digitalen Welt. Aber der Fall, den drei Berufsrichter des Landgerichts Landshut Anfang dieses Jahres berieten, war so kompliziert nun auch wieder nicht: Ein paar Monate zuvor hatte das Amtsgericht nebenan in einem Beschluss einen begrenzten Cyber-Angriff der Ermittlungsbehörden auf einen bayerischen Kaufmann genehmigt, gegen den ein Ermittlungsverfahren wegen des Verdachts "banden-und gewerbsmäßigen Handelns und Ausfuhr von Betäubungsmitteln" lief.

Der Telekommunikationsverkehr des verdächtigen Pharmahändlers durfte laut Beschluss auch via Internet über den Anbieter Skype überwacht und aufgezeichnet werden. Weil da aber nichts Verdächtiges zu hören und zu lesen war, hatten sich die Ermittler auch noch heimlich ganz andere Daten gesichert.

Wenn sich das Gerät ins Internet einwählte, übermittelte es jede halbe Minute ein Foto des Bildschirms - 60.000 Screenshots kamen so zustande. Das sei rechtswidrig gewesen, stellten die Richter des Landgerichts schließlich in einem neunseitigen Beschluss fest.

Legal, illegal, scheißegal - ist der alte Sponti-Spruch manchmal die Maxime von Behörden beim Kampf gegen das vermeintliche Böse? Tummeln sich die echten freien Radikalen im Staatsdienst? Seit der Chaos Computer Club (CCC) seine Expertise über die Besonderheiten von Überwachungssoftware publik machte, versuchen Politiker und Öffentlichkeit zu verstehen, was da aus den Untiefen einer neuen Welt zutagegefördert wurde: Ein Abgrund von Verfassungsverrat, oder ein Skandälchen nur?

Wie viele Festplatten sind es wirklich?

Insider des CCC erklären, sie hätten in den vergangenen Wochen "eine Handvoll Festplatten" untersucht und seien auf Software mit eingebautem Verfassungsbruch gestoßen. Die CCC-Asservate seien jetzt beim Notar hinterlegt. Eine der Festplatten stammt aus dem Landshuter Fall und wurde von dem engagierten Landshuter Anwalt Patrick Schladt an den Club weitergereicht.

Und die anderen Festplatten? Wie viele sind es wirklich? Sie würden sich nur "in winzigen Details voneinander unterscheiden", erklärt ein CCC-Sprecher. Anwälte, die mit solchen Fällen zu tun hätten, gingen von etwa 80 Verfahren mit diesem verdächtigen Hintergrund aus. Das klingt etwas übertrieben. Die genaue Zahl der verdächtigen Festplatten wolle der Verein noch nicht nennen.

Man liefert ein "Basisprogramm"

Im Landshuter Fall stammte die vom Bayerischen Landeskriminalamt eingesetzte Software von der Firma DigiTask aus dem Westerwald, die seit vielen Jahren Sicherheitsbehörden aus dem In-und Ausland beliefert.

Als die DigiTask- Spezialisten am Wochenende die Beschreibungen des CCC über die spezielle "Schadsoftware" studierten, waren sie ratlos. Ob es sich bei dem von CCC beschriebenen Trojaner um Software von DigiTask handle, lasse sich "anhand der vorliegenden Presseberichte nicht beantworten", teilte das Unternehmen staatsmännisch mit.

Man liefere ein Basisprogramm - und wenn die Behörden unter Verweis auf Gerichtsbeschlüsse mehr anforderten, bekämen sie mehr, sagt der Kölner DigiTask-Anwalt Winfried Seibert. Über "Einzelheiten des Einsatzes" werde die Firma nicht unterrichtet.

Behörden im Bunker, hilflose Datenschützer

Es ist also nach dieser Philosophie nicht Sache des Unternehmens zu überprüfen, ob die Ware nur im genehmigten Einzelfall eingesetzt wird oder im System verbleibt und dann möglicherweise auch mal ungenehmigt verwendet wird.

Staats-Trojaner – Panne sorgt für Ärger

"Der Markt ist vollkommen intransparent, sowohl hinsichtlich der fachlich-technischen wie auch der finanziellen Entscheidungskriterien", meint die Expertin Annette Brückner, die seit Anfang der neunziger Jahre eine IT-Sicherheitsfirma leitet, die Behörden mit Informationssystemen ausstattet. Brückner, die auch bei einschlägigen Gesetzgebungsverfahren als Gutachterin auftrat, kommt "alles in allem" zu dem Ergebnis, dass "die gesetzlichen Anforderungen" in diesem Bereich meist "nur sehr lückenhaft umgesetzt" würden.

Bei den "Entscheidungsträgern in den Behörden" herrsche eine "Mischung aus technischer Inkompetenz und Bunkermentalität". Sozusagen alle gegen den großen Feind, der da draußen lauert: "Und die Datenschützer sind personell überfordert", sagt Brückner.

Bei Behörden soll es also so geregelt chaotisch zugehen wie der Hacker-Verein CCC seit 30 Jahren heißt. Und die Bewegung der Aktivisten, die manchmal auch "Hacktivisten" genannt werden, gelten mancherorts - wie die Reaktionen auf die Entdeckung der inkriminierten Schadsoftware zeigen - als eine Art Technischer Überwachungsverein für alles Digitale. Was für eine verrückte Welt.

Dem BKA war das System zu unsicher

Die möglicherweise richtige Einschätzung der Dimension dieses Falles hängt auch davon ab, wie oft wer sich nicht an staatliche Vorgaben gehalten hat und wie viele Fälle es wirklich gibt.

Klar ist: Auf dem Markt der Überwachungssoftware spielen Privatfirmen eine große Rolle. Ihnen trauen die Behörden Kompetenz zu. Spätestens nachdem in diesem Jahr Hacker einer "No-Name-Crew" mit einfachsten Mitteln Daten aus einem Computer mehrerer Sicherheitsbehörden wie dem Zollkriminalamt holten, sind die Verhältnisse klar: Um Geld zu sparen, hatten Behörden einige Beamte gebeten, in ihrer Freizeit eine Software für Observationssysteme zu entwickeln.

Das haben die entsprechend gemacht; und zahlreiche Landeskriminalämter, die sparen wollten, haben sich aus dem System bedient. Nur das BKA mochte nicht. Das selbstentwickelte System war ihm zu unsicher. Bedauerlicherweise hat das BKA die Kollegen nicht gewarnt.

Treiben hinter Milchglas-Scheiben

Der Firmen-Markt ist allerdings auch nicht unproblematisch: Unter dieses Segment fallen Unternehmen, deren "Existenz von Behörden oder deren Mitarbeitern gefördert oder initiiert wurde", meint Spezialistin Annette Brückner. So was kennt man eigentlich von Nachrichtendiensten.

Solche bilateralen Systeme verhindern die Ausschreibung von Projekten und bedingen, dass sich das Treiben hinter Milchglas-Scheiben abspielt. Aber auch das gilt es festzustellen: Am Ende hat nicht das Unternehmen, sondern der Staat die Kontrolle, wer und was mit der Überwachungssoftware überwacht wird.

"Keinerlei Haftung" für Schäden

Die in den achtziger Jahren gegründete DigiTask, die einen großen Namen hat, brauchte keinen staatlichen Geburtshelfer. Einer der Gesellschafter des Unternehmens ist eine renommierte Wirtschaftsprüfungsgesellschaft. Was das Unternehmen so alles anbietet, steht in einem schon vor Jahren von Hackern im Internet veröffentlichten Angebot der Firma an bayerische Behörden.

In der Leistungsbeschreibung findet sich vieles, was so ein Trojaner auch kann. "Der Einsatz (...) liegt in der Verantwortung Ihrer Behörde", schreibt das Unternehmen. Die Firma übernehme "für den Einsatz der Software, sowie für evtl. auftretende Schäden keinerlei Haftung". Technische Änderungen "im Sinne des Fortschritts vorbehalten".
Von John Goetz und Hans Leyendecker