Kleine Geschichte des Staatstrojaners

Trojanisches Pferd Mit dem Staatstrojaner gegen Terroristen oder gegen Drogendealer? Überwachung der Internet-Telefonie oder jeder Aktivität am Computer? Und wie bedient man das Programm eigentlich? Am 7. Juli 2015 verhandelte das Bundesverfassungsgericht, ob die Online-Durchsuchung zur präventiven Gefahrenabwehr (§ 20k BKAG) mit dem Grundgesetz vereinbar ist (vgl. BVerfG Pressemitteilung). Bei einer Online-Durchsuchung wird auf der Festplatte des Betroffenen eine Überwachungssoftware installiert, um dort gespeicherte Dateien an die Behörde zu übertragen. Unstrittig darf die Maßnahme nicht zur Strafverfolgung eingesetzt werden.
Dieselbe Überwachungssoftware wird auch für die Quellen-Telekommunikationsüberwachung eingesetzt. Damit werden Gespräche am Endgerät aufgezeichnet, bevor sie mit Hilfe von Skype oder anderen Programmen verschlüsselt über das Internet übertragen werden. Diese Maßnahme ist trotz vielfacher Kritik auch zur Strafverfolgung zulässig (§ 100a StPO).
Der Einsatz der Überwachungssoftware zur Gefahrenabwehr und zur Strafverfolgung wird nicht nur hinsichtlich seiner rechtlichen Voraussetzungen in Zweifel gezogen. Gerade die fehlende technische Beherrschbarkeit des Staatstrojaners steht im Zentrum der Kritik. Ein kleiner Rückblick:

1. DigiTask in Bayern

Die Firma DigiTask lieferte nach eigenen Angaben im November 2008 Überwachungssoftware an das Bayerische Landeskriminalamt. Die Software wurde u.a. seit 2009 zur Quellen-Telekommunikationsüberwachung in einem Ermittlungsverfahren wegen Handels mit Betäubungsmitteln eingesetzt. Der Rechtsanwalt des Betroffenen gab die Festplatte seines Mandanten mit der aufgespielten Software an den Chaos Computer Club weiter. Dessen Analyse im Jahr 2011 zeigte, dass die Software die mit Urteil vom 27.02.2008 des Bundesverfassungsgerichts aufgestellten Grenzen des rechtlich Zulässigen überschritt:

Die Untersuchung der extrahierten Binärdateien der Software machte deutlich, dass die Trojaner unter anderem in der Lage waren, weitere Software über das Internet nachzuladen, darunter auch Programme, die eine gegebenenfalls am Zielrechner installierte Webcam zur Raumüberwachung nutzen konnten. Außerdem konnten die Trojaner Programmteile verändern, nicht gesendete E-Mails kopieren und vor allem Dateien auf dem Rechner unbemerkt und ohne Spuren zu hinterlassen hinterlegen.

Die 4. Strafkammer des Landgerichts Landshut erklärte in ihrem Beschluss vom 20. Januar 2011 den Einsatz dieses „Bayern-Trojaners“ für rechtswidrig, weil nicht nur zulässiger Weise Gespräche aufgezeichnet wurden, sondern darüber hinaus alle 30 Sekunden ein Screenshot erstellt und übermittelt wurde, um auch das Schreiben von Emails und die Nutzung des Internets zu überwachen.

2. FinSpy

Nach der öffentlichen Kritik am DigiTask-Trojaner kaufte das BKA die Spähsoftware FinSpy des Unternehmens Gamma International. Im Mai 2013 erwarb die Bundesregierung Nutzungslizenzen für die Spionagesoftware.

FinSpy ermöglicht es nicht nur, Daten von dem betroffenen System zu ziehen, sondern auch, Software zu installieren, weitere Lücken im System aufzumachen und damit den Rechner auf mehreren Ebenen zu mißbrauchen. Der Funktionsumfang von FinSpy ist im Vergleich zum DigiTask-Trojaner wesentlich größer. (Quelle: CCC)

Ein Sprecher des Bundeskriminalamt erklärte, die Software werde „getestet“. Sie erfülle „die Anforderungen derzeit nicht“. Daher sei das Programm gegenwärtig auch nicht im Einsatz. (Quelle: SpiegelOnline vom 16.01.2013)

3. Remote Forensic Software

Seit einigen Jahren arbeitet das Bundeskriminalamt an der Entwicklung eines eigenen Überwachungsprogramms, genannt Remote Forensic Software, für die Zwecke des verdeckten Eingriffs in informationstechnische Systeme gemäß § 20k des Bundeskriminalamtgesetzes, sog. Online-Durchsuchung. „Eine durch das Bundeskriminalamt entwickelte Quellen-TKÜ-Software befindet sich nach Abschluss der Architekturarbeiten derzeit in der Implementierungsphase. Hieran schließen sich ausführliche Softwaretests und die Quellcodeprüfung an. Erst danach kann die Software zum Einsatz freigegeben werden. Ein konkreter Termin für die Einsatzbereitschaft kann derzeit noch nicht mit ausreichender Genauigkeit angegeben werden.“ (Quelle: Antwort des BMI vom 07.08.2014). Zuletzt wurde eine Fertigstellung im Herbst 2015 angekündigt.