{"id":1167,"date":"2016-02-29T10:04:29","date_gmt":"2016-02-29T10:04:29","guid":{"rendered":"http:\/\/www.eaid-berlin.de\/?p=1045"},"modified":"2016-02-29T10:04:29","modified_gmt":"2016-02-29T10:04:29","slug":"vom-staatstrojaner-zum-staatseigenen-bundestrojaner-die-evolution-einer-ueberwachungssoftware","status":"publish","type":"post","link":"https:\/\/www.kai-wittenburg.de\/?p=1167","title":{"rendered":"Vom Staatstrojaner zum staatseigenen Bundestrojaner \u2013 die Evolution einer \u00dcberwachungssoftware"},"content":{"rendered":"

\u201eC3PO-r2d2-POE\u201c \u2013 noch vor den Snowden-Ver\u00f6ffentlichungen stand diese Losung im Jahre 2011 sinnbildlich f\u00fcr unkontrollierte staatliche \u00dcberwachung mit tief verbundenen Eingriffen in die Privatsph\u00e4re des B\u00fcrgers. \u201eC3PO-r2d2-POE\u201c war das zentrale Steuerkennwort des damals von verschiedenen Sicherheitsbeh\u00f6rden eingesetzten \u201eStaatstrojaners\u201c, entwickelt von der Firma \u201eDigiTask\u201c. Der Chaos Computer Club (CCC) analysierte damals den Quellcode der schon eingesetzten \u00dcberwachungssoftware und stellte fest, dass nicht nur das zentrale, aus Star Wars entlehnte Steuerpasswort hartkodiert und somit theoretisch f\u00fcr jeden frei auslesbar gewesen ist, womit die Kontrolle \u00fcber den infiltrierten PC h\u00e4tte erlangt werden k\u00f6nnen. Daneben wies die Software weitere erhebliche M\u00e4ngel in Bezug auf die Datensicherheit auf. Der damalige Bundesbeauftragte f\u00fcr den Datenschutz und die Informationsfreiheit, Peter Schaar, analysierte den Staatstrojaner technisch wie rechtlich in einem umfangreichen Bericht. Deutlich wurde dabei vor allem eines: Den das Programm einsetzenden Beh\u00f6rden war ihr eigenes Eingriffsinstrument v\u00f6llig unbekannt. So bestand infolge des Outsourcings der Entwicklungsarbeiten weder eine Quellcodekenntnis, noch stand den einsetzenden Mitarbeitern eine hinreichende Programmdokumentation zur Verf\u00fcgung. Die Entwicklerfirma mauerte \u2013 und das nicht unbedingt zu Unrecht: Schlie\u00dflich unterlag der Quellcode ihrem Urheberrecht und im Rahmen des beh\u00f6rdlichen Auftrags war zuvor nicht vereinbart worden, dass die Lieferung des fertigen Programms auch diejenige des Quellcodes umfassen sollte. Der genaue Funktionsumfang der eingesetzten Software war folglich nicht bestimmbar. Bekannt war aber zumindest, dass der damalige Staatstrojaner einen Modulcharakter besa\u00df, der es erm\u00f6glichte, den Funktionsumfang der eingesetzten Software, die eigentlich lediglich die Quellen-Telekommunikations\u00fcberwachung erm\u00f6glichen sollte, nahezu beliebig zu einer vollst\u00e4ndigen Online-Durchsuchung hin zu erweitern, die einen Komplettzugriff auf das infiltrierte Computersystem erlaubt. V\u00f6llig unreguliert, verst\u00e4ndlicherweise.<\/p>\n

Doch damit soll nun endlich Schluss sein. Am 22.02.2016 best\u00e4tigte ein Sprecher des Bundesministeriums des Innern<\/a>, dass der Einsatz eines neuen Trojaners f\u00fcr das Bundeskriminalamt freigegeben wurde. Auch mit diesem Programm soll es vorrangig m\u00f6glich sein, die Quellen-Telekommunikations\u00fcberwachung durchzuf\u00fchren. Hierbei werden Gespr\u00e4che, die \u00fcber den PC beispielsweise mittels Skype gef\u00fchrt werden, noch vor ihrer Verschl\u00fcsselung abgeh\u00f6rt. Entscheidender Unterschied zum alten Trojaner ist jedoch, dass es sich bei diesem Mal tats\u00e4chlich um eine staatseigene Entwicklung handelt, also so gesehen um einen wirklichen \u201eStaatstrojaner\u201c. Diese Erkenntnis kommt aber nicht unerwartet, denn schon seit den Ver\u00f6ffentlichungen des CCC im Jahre 2011 war bekannt, dass die Sicherheitsbeh\u00f6rden in Zukunft ein eigenes \u00dcberwachungsprogramm entwickeln w\u00fcrden. So wurden immer auch wieder entsprechende Programmierer in Stellenanzeigen gesucht.<\/p>\n

Unabh\u00e4ngig davon, wie man zur Effektivit\u00e4t des Staatstrojaners steht, taugliche Beweismittel f\u00fcr die Ermittlungsarbeit zu erbringen, ist zumindest eines klar: Ein Trojaner, von dem der vollst\u00e4ndige Quellcode bekannt ist, stellt einen gro\u00dfen Schritt in Richtung Rechtsstaatlichkeit dar. Dies vor allem auch deshalb, weil das Programm schwerwiegende Eingriffe in die enge Pers\u00f6nlichkeitssph\u00e4re erm\u00f6glicht. Ein jedweder anderer Zustand w\u00e4re unzumutbar, denn ist den einsetzenden Beh\u00f6rden mangels Kenntnis des Funktionsumfangs die grundrechtliche Eingriffstiefe nicht bekannt, so kann der Einsatz auch von Anfang an nicht verfassungsrechtlich legitimierbar sein. Sicherzustellen ist nun in jedem Falle, dass das Programm auch nur \u00fcber diejenigen Funktionalit\u00e4ten verf\u00fcgt, die im Sinne des Schutzes der \u00f6ffentlichen Sicherheit zwingend zu rechtfertigen sind. Zumindest den offiziellen Verlautbarungen nach soll es entsprechende Tests und eine externe Software\u00fcberpr\u00fcfung gegeben haben, auch seien die Datenschutzbeauftragten von Bund und L\u00e4ndern einbezogen worden. Offen ist aber, inwieweit die Einw\u00e4nde Dritter tats\u00e4chlich Einfluss auf die Ausgestaltung des neuen Staatstrojaners nehmen konnten.<\/p>\n

Was somit bleibt, ist die Erkenntnis, dass das Repertoire staatlicher Ermittlungsma\u00dfnahmen nun wieder um eine neue Technik bereichert wurde. Die Sicherheitsbeh\u00f6rden sind gehalten, den Einsatz der Ma\u00dfnahme auf absolut notwendige F\u00e4lle zu beschr\u00e4nken und nur diejenigen Daten auszuwerten, f\u00fcr deren Kenntnis tats\u00e4chlich ein Erfordernis besteht. Ob das technisch m\u00f6glich ist, bleibt aber \u00e4u\u00dferst fraglich. Vielleicht verh\u00e4lt es sich hier wie bei der klassischen Telekommunikations\u00fcberwachung, wo erst nach Erlangung kernbereichsrelevanter Inhalte der Aufzeichnungsvorgang gestoppt werden kann? Fraglich bleibt auch, mit welchen Mitteln die Beh\u00f6rden das Sp\u00e4hprogramm auf den Computer eines Dritten aufbringen wollen: Wenn erst der physische Zugriff auf den PC dies erm\u00f6glicht, w\u00e4re damit ein weiterer Grundrechtseingriff verbunden. Und wenn die Software aus der Ferne aufgebracht wird, stellt sich wie schon beim alten Trojaner die Frage, wie mit der ausgenutzten Sicherheitsl\u00fccke in Zukunft umzugehen sein wird, die auch f\u00fcr andere Angreifer von Interesse sein k\u00f6nnte. Und nicht zuletzt wurde diese Woche ebenso bekannt, dass das BMI quasi in Reserve die Lizenz f\u00fcr ein weiteres, von der hochumstrittenen Firma \u201eFinFisher\u201c entwickeltes Sp\u00e4hprogramm erworben hat. Wozu dies n\u00f6tig sein soll, wenn in jahrelanger Arbeit zuvor schon ein eigenes Programm entwickelt und nach umfassenden Tests zur Nutzung freigegeben wurde, erschlie\u00dft sich nicht wirklich.<\/p>\n

Der neue Staatstrojaner l\u00e4sst somit noch einige und nicht wenige Fragen offen. Ob dabei tats\u00e4chlich alle Beantwortung finden k\u00f6nnen, wird sich zeigen. Vermutlich aber nicht. Im Ergebnis bleibt dem B\u00fcrger ganz wie damals auch nur das Vertrauen darauf, dass die Sicherheitsbeh\u00f6rden nicht nur ein technisch sicheres Programm entwickelt haben, sondern dieses auch verantwortungsbewusst einsetzen. Hoffentlich wird dieses Vertrauen nicht \u2013 wie damals auch schon \u2013 entt\u00e4uscht.<\/p>\n","protected":false},"excerpt":{"rendered":"

„C3PO-r2d2-POE“ – noch vor den Snowden-Veröffentlichungen stand diese Losung im Jahre 2011 sinnbildlich für unkontrollierte staatliche Überwachung mit tief verbundenen Eingriffen in die Privatsphäre des Bürgers. „C3PO-r2d2-POE“ war das zentrale Steuerkennwort des damals von verschiedenen Sicherheitsbehörden eingesetzten „Staatstrojaners“, entwickelt von der Firma „DigiTask“. Der Chaos Computer Club (CCC) analysierte damals<\/p>\n","protected":false},"author":32,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[108,5,954,183,955,221,388,6,3,7,4,12,17,15,396,16,14,8],"tags":[],"class_list":["post-1167","post","type-post","status-publish","format-standard","hentry","category-bka","category-bsi","category-bundestrojaner","category-ccc","category-digitask","category-eaid-blog","category-finfisher","category-isms","category-isms-bsi-iso-27001","category-iso27001","category-notfallmanagement","category-penetrationstest","category-penetrationstests","category-risikomanagement","category-staatstrojaner","category-unternehmen","category-veranstaltungen","category-zertifizierung-audit"],"_links":{"self":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/1167","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1167"}],"version-history":[{"count":2,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/1167\/revisions"}],"predecessor-version":[{"id":1210,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/1167\/revisions\/1210"}],"wp:attachment":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1167"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1167"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1167"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}