Bürgerrechtler veröffentlichen weitere Details zum Trojaner-Einsatz durch das FBI

Die US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) hat Dokumente veröffentlicht, die nahelegen, dass der US-amerikanische Bundestrojaner weitflächig und ohne Rechtsgrundlage verwendet wurde. Die als "Computer and Internet Protocol Address Verifier" (CIPAV) bezeichnete Software des FBI sei "in Fällen im ganzen Land" zum Einsatz gekommen, folgert die Vereinigung aus den Schreiben, die sie nach einer Anfrage auf Basis des US-amerikanischen Informationsfreiheitsgesetzes (Freedom of Information Act) von 2007 erhalten hat. Unter anderem hätten Büros der Polizeibehörde in Denver, El Paso, Philadelphia, Cincinnati, Miami oder in kalifornischen Städten FBI-Technikexperten um Hilfe bei der Installation der Überwachungssoftware gebeten.

Aus den Papieren geht weiter hervor, dass die Ermittler den CIPAV sowohl für nationale Untersuchungen als auch zur Aufklärung der Auslandskommunikation nutzten. Auch viele andere Behörden wie bei der Air Force, Seefahrtskriminalisten oder eine Gemeinsamen Arbeitstruppe für globale Netzwerkoperationen interessierten sich für das Werkzeug und seine Effektivität. Eine E-Mail (PDF-Datei) des Rechtsattachés der diplomatischen US-Vertretung in Frankfurt am Main weist auch darauf hin, dass die "deutschen Kollegen" wiederholt nähere Informationen zu dem Trojaner abgefragt hätten. Der Jurist bedauert in dem Schreiben, dass er die für die Datenüberwachung zuständige FBI-Stelle erneut deswegen nerven müsse. Ein FBI-Agent zeigte sich aber auch besorgt, "unsere Werkzeuge" einfach "anderen Regierungseinrichtungen ohne Kontrolle oder Schutz" zu überlassen.

Den Dokumenten nach brauchte die US-Polizei eine geraume Weile, um überhaupt eine rechtliche Basis und ein abgesichertes Verfahren für den CIPAV-Einsatz zu finden. Aus vergleichsweise frühen Zeiten sind E-Mails erhalten, in denen die Ermittler über die Frage diskutierten, wie sie um eine Richtergenehmigung für entsprechende heimliche Online-Durchsuchungen herumkämen. Ein Angestellter war dabei gar der Ansicht, es sei von einem stillschweigenden Einverständnis der Überwachten auszugehen. Es bestehe beim verdeckten Zugriff auf IT-Systeme kein Unterschied etwa zur Beteiligung an einem Online-Chat mit Verdächtigen oder zum Verfolgen ihrer Online-Zeiten. Der EFF zufolge hat das FBI aber mittlerweile ein zweistufiges Verfahren implementiert, bei dem zunächst ein richterlicher "Durchsuchungsbefehl" abgefragt und eine Folgeanordnung zur eigentlichen Kommunikationsüberwachung eingeholt werden müsse.

Gegen den Einsatz des US-Bundestrojaners haben die Bürgerrechtler zwar nach wie vor Bedenken, zumal, wenn dieser "dauerhaft" auf einem "kompromittierten Gerät" verbleibe. Sollte die Spähsoftware aber im Einklang mit den Rechtsanforderungen an das Abhören der Telekommunikation genutzt und nach Abschluss der Maßnahme gelöscht werden, sei das Verfahren den erneuten Forderungen des FBI nach Einbau von Hintertüren in Online-Kommunikationswerkzeuge vorzuziehen. Der CIPAV ermittelt und versendet unter anderem IP-Nummern, die MAC-Adresse, die offenen Ports, die laufenden Programme, Daten der Windows-Version und den bei der Registrierung angegebenen Namen.

Da das Programm offenbar im Allgemeinen funktioniere und damit umfangreiche Nutzungsprotokolle möglich seien, gibt es nach Ansicht der EFF keine Notwendigkeit für ausgeweitete Überwachungsbefugnisse. Die US-Regierung arbeitet Berichten zufolge an einem Gesetzesentwurf zum einfacheren Abhören von Internet-Telefonaten, verschlüsselten E-Mails und Chat-Nachrichten. Entwickler von Software für "Peer-to-Peer"-Kommunikationslösungen oder für Internet-Telefonie sollen demnach dafür Sorge tragen, dass Ermittlern der Klartext ausgetauschter Botschaften vorgelegt werden kann. Die EFF sieht sich damit an die "Krypto-Kriege" in den 1990ern erinnert. (anw)