Karl Nolle, MdL

spiegel-online, 16:49 Uhr, 13.10.2011

Schnüffeln ohne Grenzen - Die wichtigsten Fragen zum Staatstrojaner

Von Konrad Lischka und Ole Reißmann
 
Wer darf per Staatstrojaner Computer überwachen? Wer durchsucht Rechner übers Netz? Seitdem das Verfassungsgericht 2008 ein Computer-Grundrecht geschaffen hat, gelten für den Einsatz von Schnüffel-Software strenge Grenzen - Ermittler in Bayern haben sie überschritten.

Hamburg - "Verstöße kann ich keine erkennen", mit diesen Worten versucht der bayerische Innenminister Joachim Herrmann (CSU) die Trojaner-Affäre zu entschärfen, die ihn sein Amt kosten könnte. Denn seine Kritiker sprechen von einem Verfassungsbruch. Bundesjustizministerin Sabine Leutheusser-Schnarrenberger (FDP) fordert eine schnelle Aufklärung, auch Bundeskanzlerin Angela Merkel (CDU) ist alarmiert. Die Regierung nehme die Vorwürfe sehr ernst, erklärte ihr Sprecher.

Darum geht es: Der Chaos Computer Club hatte aufgedeckt, dass eine von der Polizei eingesetzte Software zur Überwachung von Computern Schwachstellen aufweist. Außerdem soll der sogenannte Staatstrojaner mehr Daten abgreifen als gesetzlich zugelassen. Seitdem wurde bekannt, dass es sich offenbar um Software der hessischen Firma DigiTask handelt - und dass weitere Behörden Trojaner in Auftrag gegeben haben.

Sieben Bundesländer haben offenbar Trojaner-Software angeschafft und eingesetzt, zwei haben einen Trojaner von einer Sicherheitsbehörde angefordert - außerdem setzen Bundesbehörden wie Zoll- und Bundeskriminalamt Trojaner-Technik ein. Eine Verbindung zum Bayern-Trojaner weisen etliche der zuständigen Innenbehörden zurück - bei einigen der Trojaner ist aber klar, dass sie zumindest von derselben Firma stammen: DigiTask. Unsere Übersicht:

Dieser Stand könnte sich noch ändern: So musste das Landeskriminalamt Bremen sich selbst korrigieren. Zunächst hatte es auf Anfrage geheißen, das Bundesland habe keinen Trojaner eingesetzt. Tags darauf meldete die Behörde, dass die Spitze des Hauses offenbar nicht ausreichend über eine geheime Ermittlung informiert wurde - bei der sehr wohl per Trojaner geschnüffelt worden war.

Was ist der Unterschied zwischen Überwachung und Online-Durchsuchung?

In der Debatte über den Einsatz von Staatstrojanern betonen Ermittlungsbehörden wie der Zoll und die Landeskriminalämter, sie hätten mit der Schnüffel-Software nur eine sogenannte Quellen-Telekommunikationsüberwachung durchgeführt. Der Unterschied: Bei der Quellen-TKÜ soll nur die über den Computer laufende Kommunikation des Überwachten mitgeschnitten werden, bei einer Online-Durchsuchung analysiert die Schnüffelsoftware auch, was auf dem Rechner gespeichert ist.

Technisch ist der Unterschied zwischen einem Staatstrojaner zur Quellen-TKÜ und einem zur Online-Durchsuchung nicht besonders groß: In beiden Fällen wird eine Software heimlich auf dem Computer des Verdächtigen platziert und greift Daten ab. Die Quellen-TKÜ beschränkt sich auf E-Mails, Chat-Nachrichten und Sprache - und zwar bevor eine Software sie zum weiteren Transport verschlüsseln und damit den Blicken der Fahnder entziehen kann.

Lassen sich Überwachung und Durchsuchung trennen?

So klar die Unterscheidung in der Theorie klingt - in der Praxis wird es kompliziert. Das Bundesverfassungsgericht hat dieses Problem in seiner Entscheidung zur Online-Durchsuchung 2008 klar erfasst:

"Wird ein komplexes informationstechnisches System zum Zweck der Telekommunikationsüberwachung technisch infiltriert ('Quellen-Telekommunikationsüberwachung'), so ist mit der Infiltration die entscheidende Hürde genommen, um das System insgesamt auszuspähen."

Bei der Verhandlung vorm Verfassungsgericht legten Experten damals dar, dass es bei einer Quellen-TKÜ durchaus dazu kommen kann, dass "im Anschluss an die Infiltration Daten ohne Bezug zur laufenden Telekommunikation erhoben werden, auch wenn dies nicht beabsichtigt ist".

Sprich: Eine Überwachung kann leicht zur Online-Durchsuchung ausarten - und das darf sie laut dem Urteil des Verfassungsgerichts nicht.

In Bayern ist dies in mindestens einem Fall geschehen. Ermittler des Landeskriminalamts hatten mittels eines Trojaners auf dem Rechner eines Verdächtigen die Skype-Kommunikation mitgeschnitten und alle 30 Sekunden Bildschirmfotos geschossen, gut 60.000 insgesamt. Das war laut einer Entscheidung des Landgerichts Landshut rechtswidrig.

Grundlage der Überwachung war ein Beschluss desselben Gerichts: Die Ermittler sollten auch den "verschlüsselten Telekommunikationsverkehr über HTTPS" und verschlüsselten Telekommunikationsverkehr über "Messenger wie z .B. Skype" überwachen. Dass die Beamten das als Erlaubnis zu Screenshots werteten, war rechtswidrig. Argumentation des Landgerichts: "Beim Schreiben einer E-Mail kann noch nicht von einem Vorgang der Telekommunikation gesprochen werden."

Schließlich könnte der Überwachte die Formulierungen beim Schreiben noch ändern oder sich entscheiden, die E-Mail gar nicht abzusenden.

Wer darf per Staatstrojaner überwachen?

Das Verfassungsgericht hat in seiner Entscheidung zur Online-Durchsuchung ein neues Computer-Grundrecht (auf die "Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme") formuliert. Dieses Grundrecht darf der Staat nur unter bestimmten Voraussetzungen einschränken.

Für die als Quellen-TKÜ bezeichnete Überwachung von Kommunikation sind die Hürden nicht so hoch wie für die Online-Durchsuchung. Auch zur Strafverfolgung darf der Staat in das Computer-Grundrecht - auf einer "verfassungsmäßigen gesetzlichen Grundlage" - eingreifen, urteilten die Richter.

Am neuen Computer-Grundrecht muss sich Quellen-TKÜ nicht messen lassen, wenn "durch technische Vorkehrungen und rechtliche Vorgaben sichergestellt" ist, dass sich die Überwachung allein auf Daten "aus einem laufenden Telekommunikationsvorgang beschränkt".

Umstritten ist, ob es diese rechtlichen Vorgaben heute gibt.

In der Strafprozessordnung findet sich keine spezielle Regelung für die Quellen-TKÜ. Dort steht nur, dass Staatsanwaltschaften und Polizeibehörden unter bestimmten Voraussetzungen die Telekommunikation von Betroffenen ohne ihr Wissen überwachen und aufzeichnen dürfen. Das ist nur bei schweren Straftaten zulässig, wenn die Ermittlungen auf andere Weise wesentlich erschwert oder aussichtslos sind. Auf diesen allgemeinen Überwachungsparagrafen berufen sich bisher alle Gerichte, die Ermittlungsbehörden das Überwachen per Staatstrojaner erlaubt haben.

Einige Juristen sind der Ansicht, dass dieser allgemein gehaltene Paragraf in der Strafprozessordnung nicht genügt, dass eine spezielle Regelung der Überwachung per Trojaner nötig ist. Die Bundesanwaltschaft zum Beispiel kam 2010 zu der Einschätzung, dass der allgemeine Überwachungsparagraf der Strafprozessordnung keine Rechtsgrundlage für die Quellen-TKÜ ist.

Diese Ansicht vertreten auch die Datenschutzbeauftragten. Die Argumentation: Weil die Quellen-TKÜ genauso wie die Online-Durchsuchung einen verdeckten Eingriff in ein informationstechnisches System voraussetzt, muss eine klare rechtliche Vorgabe her.

Dürfen Ermittler per Staatstrojaner Rechner durchsuchen?

Es dürfen nicht generell alle Ermittlungsbehörden per Staatstrojaner Rechner durchsuchen. Im Urteil des Bundesverfassungsgerichts zur Online-Durchsuchung von 2008 heißt es:


"Die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, ist verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen."

Weitere Voraussetzungen laut der Verfassungsrichter:

•Ein Richter muss die Online-Durchsuchung anordnen.

•Die Online-Durchsuchung muss von einem Gesetz klar geregelt sein.

•Entsprechende Gesetze müssen "Vorkehrungen zum Schutz des Kernbereichs privater Lebensgestaltung" enthalten.

In der Strafprozessordnung gibt es keine solche Regelung der Online-Durchsuchung. Deshalb dürfen Ermittlungsbehörden nicht generell per Staatstrojaner Festplatten durchsuchen.

Es gibt spezielle Regelungen:

•So darf das Bundeskriminalamt per Trojaner online durchsuchen, das regelt das Bundeskriminalamtgesetz.

•In Bayern erlaubt das Polizeiaufgabengesetz die Online-Durchsuchung in bestimmten Fällen.

•In Rheinland-Pfalz erlaubt das Polizei- und Ordnungsbehördengesetz die Online-Durchsuchung. Die rot-grüne Landesregierung will dieses Gesetz beibehalten und bis 2013 von Wissenschaftlern überprüfen lassen.


Warum nennt der CCC den bayerischen Staatstrojaner rechtswidrig?

Der Chaos Computer Club (CCC) hat bei der von ihm untersuchten Software mehrere Funktionen beobachtet, die den Vorgaben des Bundesverfassungsgerichts zur Quellen-TKÜ widersprechen. Bei dem untersuchten Staatstrojaner handelt es sich offenbar um ein Programm, das die Firma DigiTask im November 2008 an das bayerische Landeskriminalamt geliefert hat. Der CCC hat diese Schwachstellen beobachtet:


•Zur Tarnung schicke der Trojaner die vom überwachten Rechner ausgeleiteten Daten über einen in den USA angemieteten Server - die Steuerung der Computerwanze finde also jenseits des Geltungsbereichs deutschen Rechts statt.

•Der untersuchte Trojaner könne über das Netz weitere Programme nachladen und ferngesteuert zur Ausführung bringen. Eine Erweiterbarkeit um Funktionen wie das Durchsuchen, Schreiben, Lesen sowie Manipulieren von Dateien sei also von Anfang an vorgesehen.

•Bei der untersuchten Software sei es möglich, ferngesteuert auf Mikrophon, Kamera und Tastatur des überwachten Computers zuzugreifen.

•Der untersuchte Trojaner könnte Inhalte des Webbrowsers per Bildschirmfoto ausspionieren - inklusive privater Notizen, E-Mails oder Texten in webbasierten Cloud-Diensten.

Wer wurde in Bayern überwacht?

In Bayern haben Ermittler mit einem Staatstrojaner den Rechner eines Mitarbeiters einer Firma überwacht, die Psychopharmaka vertreibt. In Deutschland sind diese legal, im Ausland vielleicht nicht - die Beamten ermitteln deshalb wegen "banden- und gewerbsmäßigen Handelns und Ausfuhr von Betäubungsmitteln". Das Ermittlungsverfahren läuft noch.

Die " Süddeutsche Zeitung" berichtet von vier weiteren Fällen, bei denen bayerische Ermittler per Staatstrojaner überwachten - allesamt Fälle, die man juristisch als schwere Kriminalität einordnen kann, die aber kaum der landläufigen Auffassung dieses Begriffs entsprechen. Überwacht wurden unter anderem:


•ein Verdächtiger wegen eines "Verstoßes gegen das Arzneimittelgesetz zu Dopingzwecken im Sport" - der Mann soll Dopingmittel an Dritte verkauft haben, er wurde zu viereinhalb Jahren Haft verurteilt. Laut " Bild" tauchen in den Überwachungsprotokollen Auszüge aus Chats auf, die stattgefunden haben, bevor die Ermittler den Überwachungsbeschluss hatten.
•eine Bande mutmaßlicher Online-Betrüger, die in knapp 200 Fällen Elektrogeräte online zum Verkauf angeboten haben soll, ohne nach Kauf auszuliefern.
•zwei mutmaßliche Mitglieder einer Hehlergruppe, die gestohlene Kleidung weiterverkauft haben soll. Das Gericht sah keinen Fall von Bandenhehlerei, drei Angeklagte wurden verurteilt - einer zu einer Geldstrafe.


Wie kommen Staatstrojaner auf Computer?

Die Beamten können den Trojaner installieren, in dem sie einen Datenträger anstöpseln und die Software überspielen. So wurde das Notebook des vom bayerischen LKA überwachten Mitarbeiters der Pharma-Vertriebsfirma infiziert. Ihm wurde der Trojaner am Flughafen auf den Rechner aufgespielt - bei der Zollkontrolle nahmen die Beamten das Gerät kurz in ein Nebenzimmer mit.

Es ist aber auch möglich, einen Staatstrojaner als E-Mail-Anhang an die Zielperson zu verschicken. Diese Möglichkeit wird in einer Leistungsbeschreibung eines Anbieters erwähnt. Aus Sicherheitskreisen verlautet, dass diese Variante bereits genutzt wurde.


Nutzen deutsche Nachrichtendienste Staatstrojaner?

Ja. Zwischen 2003 und 2009 sind BND-Mitarbeiter nach SPIEGEL-Informationen mehr als 2500 Mal in fremde Rechner im Ausland eingedrungen. Meist installierten sie Keylogger, um Tastatureingaben mitzuschneiden und so Passworte in Erfahrung zu bringen.

BND-Mitarbeiter überwachten per Keylogger einen öffentlich zugänglichen Computer in einem Hotel in der kongolesischen Hauptstadt Kinshasa, um so Passwörter der E-Mail-Konten von kongolesischen Oppositionspolitikern zu erhalten. Diesen Rechner nutzten auch Bundeswehrsoldaten. In einem Fall las ein BND-Mitarbeiter auch offenbar amouröse E-Mails eines Soldaten an die Frau eines BND-Mannes mit - die kompromittierende Mail wurde kopiert und anonym an knapp ein Dutzend Bundeswehrsoldaten geschickt.

Im Jahr 2006 begann der BND nach SPIEGEL-Informationen, Spähprogramme auf Computern in Afghanistan zu installieren. BND-Mitarbeiter lasen auch E-Mails mit, die SPIEGEL-Journalistin Susanne Koelbl und der afghanische Handelsminister einander schrieben