Staatstrojaner: Dementis, Rätselraten und Nebelkerzen

Der Zoll dementiert, den Staatstrojaner auf dem Laptop eines Verdächtigen installiert zu haben. Und das BKA hat nun doch Digitask-Software eingesetzt – aber nicht die aus den Ländern. Derweil gibt es weiter unter anderem offene Fragen über die Funktionen.

In Pocket speichern vorlesen Druckansicht 336 Kommentare lesen
Lesezeit: 8 Min.
Von
  • Detlef Borchers
  • Jürgen Kuri

Sein Einsatz ist vorerst gestoppt, doch der in Bayern zum Zuge gekommene Staatstrojaner gibt weitere Rätsel auf. Die Firma Digitask als Produzent der Überwachungssoftware meint, dass die Software möglicherweise veraltet war. Und der Zoll dementiert, die Software auf den Laptop eines Verdächtigen installiert zu haben. Auch über die Screenshot-Funktion gibt es widersprüchliche Aussagen.

Die vom CCC analysierte Software soll Ermittlern in Deutschland eigentlich zur sogenannten Quellen-TKÜ (Quellen-Telekommunikationsüberwachung) dienen, um Voice-over-IP-Gespräche schon vor ihrer Verschlüsselung beim Sender oder nach der Entschlüsselung beim Empfänger abhören zu können. Der Staatstrojaner, der dem CCC zugespielt wurde, ermöglicht nach der Analyse des Hacker-Clubs einen Einsatz weit über diese Funktion hinaus: "Die untersuchten Trojaner können nicht nur höchst intime Daten ausleiten, sondern bieten auch eine Fernsteuerungsfunktion zum Nachladen und Ausführen beliebiger weiterer Schadsoftware", hieß es vom CCC. "Aufgrund von groben Design- und Implementierungsfehlern entstehen außerdem eklatante Sicherheitslücken in den infiltrierten Rechnern, die auch Dritte ausnutzen können."

Die Herkunft und Funktionsweise der bayerischen Variante der Skype Capture Unit von Digitask wirft weiter Fragen auf. Gegenüber dpa erklärte der Sprecher des Kölner Zollkriminalamtes, dass die in Bayern eingesetzte Software nicht vom Zoll stammen könne: "Die Software, die wir verwenden, ist eingeschränkt auf Telefonüberwachung. Alles andere können wir für uns ausschließen".

Ein Sprecher des Bundesfinanzministerium ergänzte in Berlin, dass der Zoll Digitask-Trojaner in 16 Fällen eingesetzt habe. Dabei sei die Software für jeden Einzelfall entwickelt worden. Nach Angaben des Rechtsanwaltes des Betroffenen, der einen der vom CCC analysierten Trojaner an die Hacker übergeben hatte, wurde die Schnüffelsoftware "bei Gelegenheit einer Kontrolle meines Mandanten durch den Zoll auf dem Münchener Flughafen" aufgespielt. Deshalb steht zumindest für den Anwalt außer Frage, dass der Zoll oder das Zollkriminalamt Amtshilfe geleistet haben.

Beim Mandanten des Rechtsanwaltes handelt es sich um den Fall eines bayerischen Pharmahändlers, der von den Ermittlern verdächtigt wurde, illegal Betäubungsmittel auszuführen. Da dieser Händler mit seinen Geschäftspartnern mit der Software Skype über das Internet telefonierte, genehmigte ein Amtsrichter im Herbst 2010 eine sogenannte Quellen-TKÜ, die dazu dient, VoIP-Gespräche vor der Verschlüsselung bzw. nach der Entschlüsselung bei den Gesprächspartner abzuhören. Im Fall des Pharmahändlers blieb es nicht beim Mitschnitt der Gespräche: Die Software enthielt eine Funktion, die alle 30 Sekunden einen Screenshot des Bildschirms anfertigte. Insgesamt 60.000 dieser Bilder landeten in den Ermittlungsakten. Zu Unrechturteilten Richter am Landgericht Landshut (PDF-Datei).

Die neuesten Stellungnahmen der bayerische Polizei zu diesen Screenshots geben weitere Rästel auf. Gegenüber der Süddeutschen Zeitung gab Peter Dathe, der Chef des bayerischen LKA, zwar die umstrittene Nutzung einer Screenshot-Funktion zu, schränkte dies jedoch ein: "Es wird nicht der gesamte Bildschirminhalt abfotografiert. Sobald der Betroffene online geht und eine Mail verfasst, machen wir Bilder von diesem Vorgang. Alles, was sonst auf dem Bildschirm zu sehen ist, kopieren wir nicht. Wir müssen so vorgehen. Sobald die E-Mail versendet wird, ist sie verschlüsselt und für uns als Ermittler nicht mehr zu lesen. Wir arbeiten nicht außerhalb der Gesetze. Wir befinden uns allenfalls in einer rechtspolitischen Diskussion." Auch diese Aussage deckt sich nicht mit der Aussage, dass allein eine Quellen-TKÜ der Internet-Telefonate angeordnet wurde. Die Mail-Kommunikation, die der Betroffene offenbar mit einer Software wie PGP verschlüsselte, geht nach Ansicht des Richters und Verfassungsrechtlers Ulf Buermeyer bereits über das Konstrukt der Quellen-TKÜ hinaus. Auch andere Juristen bezweifeln zudem mittlerweile, dass der Richtervorbehalt überhaupt viel nutze: Zwar muss auch eine Quellen-TKÜ von einem Richter genehmigt bzw. angeordnet werden – aber in der Regel haben die Richter weder die Zeit noch das technische Know-how, um den von der Polizei eingesetzten Staatstrojaner auf Einhaltung der rechtlichen Gegebenheiten und Einschränkungen hin zu überprüfen.

Digitask als Hersteller des Staatstrojaners sah sich mittlerweile veranlasst, über den Anwalt der Firma Stellungnahmen zu verbreiten , die vom CCC analysierte Software sei veraltet. [Update: Der angebliche Twitter-Acount, über den Stellungnahmen von Digitask gekommen sein sollen und aus denen auch heise online zitierte, ist nach Angaben der Firma allerdings ein Fake.]

Mittlerweile bestätigte das Innenministerium gegenüber der FAZ, dass auch das BKA Software von Digitask eingesetzt habe, nachdem es vom BKA selbst zunächst geheißen hatte, man habe die u. a. in Bayern eingesetzte Staatstrojaner-Version nicht verwendet. Das BKA habe allerdings die ursprüngliche Fassung aufgrund der enthaltenen zusätzlichen, rechtlich fragwürdigen Möglichkeiten nicht akzeptiert. Digitask habe daher eine "deutlich vereinfachte und zugleich besser abgesicherte Software erarbeitet", die so auch vom BKA genutzt wird. Vor jedem Einsatz der jeweils individuell zu konfigurierenden Software der Firma werde geprüft und dokumentiert, dass dieser Standard eingehalten werde.

Die Frage, was denn eine Quellen-TKÜ sein kann und was sie nicht ist, wird unterdessen auf der politischen Ebene diskutiert und entzweit die schwarz-gelbe Regierungskoalition. Nach einem Gespräch mit dem Chaos Computer Club veröffentlichte der FDP-Politiker Jimmy Schulz, Internetexperte der FDP-Bundestagsfraktion und Mitglied im Bundestags-Innenausschuss, eine Stellungnahme, in der es heißt: "Grundsätzlich erscheint der Einsatz von Trojanern zu zwecken der Quellen-TKÜ untauglich. Ein alternativer Ansatz wäre es die Überwachung auf dem Server des Anbieters durchzuführen. Skype bietet zum Beispiel diese Möglichkeit. Eine Quellen-TKÜ wäre damit überflüssig."

Auf 0zapftis.info findet sich mittlerweile eine Übersicht zum Staatstrojaner und den einzelnen Bundesländern. Die Seite führt auf, in welchen Bundesländern der Einsatz eines Staatstrojaners bestätigt wurde und führt die entsprechenden Quellen auf.

[Update, 12.10. 19:10: Gegenüber heise online erläuterte Sigrid Kienle, Pressesprecherin des bayerischen LKA, die Sicht des LKA zu dem im Landshuter Fall verwendeten Trojaner. Dieser sei durch das "Kompetenzentrum TKÜ" Bayerns definiert und kontrolliert worden. Die Software sei auch nicht durch den Zoll aufgebracht worden, da ein solches Verfahren in Bayern nicht üblich sei. Die Software, die im Rahmen der Quellen-TKÜ für Skype-Telefonate eingesetzt wurde, habe auch keine Screenshots des gesamten Bildschirms ausgeleitet, sondern nur "Application-Shots" der Mail-Anwendung, bei der ein Aufruf des Mail-Providers des Verdächtigen der Auslöser für den Application-Shot war. So sei nur der E-Mail-Verkehr vor der Verschlüsselung bzw. nach der Entschlüsselung dokumentiert worden. Die in den Medien genannte Zahl von 60.000 Screnshots werde derzeit abgeklärt und sei absolut unüblich. Ferner betonte die Sprecherin, dass der Chaos Computer Club offenbar eine andere Version als die in Bayern eingesetzte analysiert habe. Die in Landshut als speziell für den Einzelfall zusammengestellte Software könne nicht nochmal verwendet werden, ein Missbrauch sei daher ausgeschlossen.]

Siehe dazu:

(jk)