Von wem, gegen wen? Lauter Rätsel um den "Bundestrojaner"
In Bayern ist der vom Chaos Computer Club (CCC) sezierte Trojaner-Code zur Staatsaffäre avanciert, die man so schnell wie möglich wieder vom Tisch kriegen will. Das bayerische Landeskriminalamt bestätigte am Montagabend, dass ein Trojaner tatsächlich in einem Verfahren in Landshut eingesetzt worden war.
10.10.2011
Von Christiane Schulzki-Haddouti

Bayerns Innenminister Joachim Herrmann verständigte sich bereits am Montag mit dem bayerischen Landesdatenschutzbeauftragten Thomas Petri, die Angelegenheit "sehr zeitnah" zu überprüfen. Petri: "Wir werden das Innenministerium bitten, die Trojanersoftware zur Verfügung zu stellen, aber auch den Kontrollbereich für die Nutzeroberfläche, um festzustellen, was der Bearbeiter mit der Software tatsächlich machen darf." Die Behörde werde diese Software "natürlich" auch mit der vom CCC untersuchten Software abgleichen. Inzwischen wurde außerdem bekannt, dass die Trojanersoftware vermutlich von der hessischen Firma Digitask entwickelt wurde. Das jedenfalls behauptet der Kölner Anwalt Winfried Seibert.

[listbox:title=Mehr im Netz[Die Website des Chaos Computer Clubs]]

Der CCC hatte mehrere technische Indizien ermittelt, die darauf hinwiesen, dass es sich nicht um kommerzielle, sondern um staatliche Trojaner handelte. Dabei war der Verdacht von Anfang an groß, dass es sich dabei unter anderem um Trojaner des bayerischen Landeskriminalamts handelte und nicht um den des Bundeskriminalamts.

Überwachung von Telefongesprächen per Software

In einem richterlichen Beschluss hatte das Landgericht Landshut schon Anfang des Jahres festgestellt, dass das bayerische Landeskriminalamt eine Software zur Überwachung von Skype-Telefonate rechtswidrig eingesetzt hatte, da diese alle 30 Sekunden einen Screenshot von der Bildschirmoberfläche erstellt hatte. Die vom CCC angefertigte Code-Analyse zeigte, dass dies auch bei den von ihnen untersuchten Trojanern der Fall war.

Seit Sonntag hatte das bayerische Landeskriminalamt fieberhaft untersucht, ob es die eigenen Trojaner sind, die den CCC-Hackern in die Hände gefallen sind. In einer Pressemitteilung des bayerischen Innenministeriums hieß es dann am Montagabend, dass eine erste Bewertung ergeben habe, "dass die dem CCC zugespielte Software einem Ermittlungsverfahren der Bayerischen Polizei aus dem Jahr 2009 zugeordnet werden kann".

Das Landeskriminalamt (LKA) bestätigte wenig später, dass es der Trojaner aus dem Landshuter Verfahren war. Allerdings hätten die später eingesetzten Trojaner nicht mehr den Screenshot-Mechanismus enthalten. Wäre dies der Fall, hätte der Einsatz nicht nur gegen die Vorgaben des Bundesverfassungsgerichts verstoßen, sondern hätte auch einen richterlichen Beschluss ignoriert.

Dilettanten am Werk?

Der CCC stellte überdies zahlreiche Sicherheitslücken in der Software fest, die dazu führen können, dass Dritte die staatliche Lauschsoftware für eigene Zwecke umprogrammieren können. Felix von Leitner: "Aus unserer Sicht waren hier Dilettanten am Werk." Das LKA erklärte, dass die Software von Dritten getestet wurde und dass dabei keine Sicherheitslücken festgestellt worden waren. Bis heute habe man keinen Missbrauch der Software beobachten können.

Normalerweise wird Software, die von bayerischen Behörden eingesetzt wird, vom Bayern CERT überprüft. In diesem Fall war dies jedoch, so bestätigte der Leiter der Behörde, "definitiv nicht der Fall". Auch der Bundestrojaner des Bundeskriminalamts kann übrigens nicht von der technischen Expertise des Bundesamts für Sicherheit (BSI) in der Informationstechnik profitieren. Die Behörde hatte schon vor Jahren eine entsprechende Überprüfung abgelehnt, da damit ein Interessenkonflikt entstünde - das BSI berät auch Bürger, wie sie ihre digitalen Geräte vor Angreifern schützen können. Das bayerische Landeskriminalamt teilte schließlich mit, dass es sich bei den externen Prüfern nicht um versierte IT-Sicherheitsexperten, sondern um Mitarbeiter anderer Landeskriminalämter handle.

"Auf jeden Fall bedenklich"

Auch erklärte das LKA, warum der Trojaner verschiedene Programme auf Knopfdruck nachladen kann, mit denen auch Online-Lauschangriffe durchgeführt werden können, etwa durch das Mithören durch PC-Mikrofone oder das Mitschneiden der Webkamera. Eine Sprecherin sagte, dass man eine Art Baukastensystem habe, das von Fall zu Fall individuell eingerichtet werde. Was zum Einsatz käme, bestimme der Richter. Sie bestätigte außerdem, dass die abgehörten und mitgeschnittenen Daten tatsächlich, wie vom CCC festgestellt, zunächst an einen kommerziellen Dienstleister in den USA geschickt würden. Der CCC hatte vermutet, dass dies geschehe, um die Identität des Abhörers zu verschleiern.

Datenschützer Petri erklärte, dass das auf jeden Fall bedenklich sei: Wenn schon der "Gefällt mir"-Button von Facebook wegen des Datentransfers in die USA datenschutzrechtlich umstritten sei, sei dies bei einem strafrechtlich relevanten Datentransfer in einem Beweissicherungsverfahren umso mehr der Fall.

Der Code der vom CCC untersuchten Software führt im Übrigen nicht nur nach Bayern, sondern auch nach Nordrhein-Westfalen: So enthält ein weiterer vom CCC untersuchter Trojaner die Anweisung, die aufgezeichneten Daten an einen Server zu schicken, der seinen Sitz in Düsseldorf oder Neuss hat. In der Nähe befindet sich das Zollkriminalamt, das schon seit längerem Trojaner einsetzt, um Skype-Gespräche abzuhören. Eine Überprüfung, ob der vom CCC analysierte Trojaner tatsächlich dem Zoll gehört, steht bislang war bis Redaktionsschluss noch nicht abgeschlossen.


Christiane Schulzki-Haddouti lebt und arbeitet als freie Journalistin in Bonn.