Home | Archiv | Leserbriefe | Links | Impressum



09. Oktober 2011, von Michael Schöfer
Dilettantisch und wahrscheinlich rechtswidrig


Heile Welt: Die Guten sind immer gut, die Bösen sind immer böse. Schwarz-Weiß-Denken nennt man das. Doch die Welt ist nicht fein säuberlich in Gut und Böse aufzuteilen, sie ist vielmehr voller Grauzonen. Manchmal tun nämlich auch die Guten etwas Böses - etwas, das sie eigentlich gar nicht tun dürften. Aus dieser Erkenntnis heraus hat man schon vor langer Zeit die Gewaltenteilung entwickelt. Die, die Macht haben, neigen zu deren Missbrauch, folglich muss man sie kontrollieren. Und da kein höheres Wesen als absolute Überwachungsinstanz existiert, kontrollieren sich in einer Demokratie die Gewalten (Legislative, Exekutive, Judikative) eben gegenseitig.

Will die eine Gewalt etwas, schlägt ihr unter Umständen die andere auf die Finger. Hierzulande hat sich vor allem das Bundesverfassungsgericht als glaubwürdige Schutzinstanz der Grundrechte etabliert. In seinem Urteil vom 27. Februar 2008 erließ der Erste Senat des BVerfG weitreichende Schutzvorschriften gegen das Ausspähen von Computern durch den Staat. "Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme", heißt es dort. Und: "Die heimliche Infiltration eines informationstechnischen Systems ist grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen. Das Gesetz, das zu einem solchen Eingriff ermächtigt, muss Vorkehrungen enthalten, um den Kernbereich privater Lebensgestaltung zu schützen." [1]

Anscheinend haben Sicherheitsbehörden gegen diese Vorgaben verstoßen. Dem Chaos Computer Club wurde die im Volksmund "Bundestrojaner" genannte staatliche Spionagesoftware zugespielt, mit der die Ermittlungsbehörden private Computer von Verdächtigen überwachen. Die Analyse des CCC ist so erschreckend wie vernichtend. Schon allein die Art und Weise, wie der CCC in den Besitz des Spionagesoftware gekommen ist, lässt Rückschlüsse auf einen unbeschreiblichen Dilettantismus zu. "Gefunden haben die CCC-Hacker die Software eigenen Angaben zufolge auf unzureichend gelöschten Festplatten aus den Beständen von Landes-Ermittlungsbehörden." [2] Wenn die Ermittlungsbehörden nicht einmal in der Lage sind, ausgesonderte Festplatten sicher zu löschen, sofern diese, was ratsam ist, nicht gleich bei Inbetriebnahme vollständig verschlüsselt wurden, spricht das Bände. Dümmer geht’s nimmer.

Viel bedenklicher ist, dass der Bundestrojaner stümperhaft programmiert sein soll und wahrscheinlich rechtswidrige Elemente enthält. "Der Behördentrojaner kann (...) auf Kommando – unkontrolliert durch den Ermittlungsrichter – Funktionserweiterungen laden, um die Schadsoftware für weitere gewünschte Aufgaben beim Ausforschen des betroffenen informationstechnischen Systems zu benutzen. Dieser Vollzugriff auf den Rechner, auch durch unautorisierte Dritte, kann etwa zum Hinterlegen gefälschten belastenden Materials oder Löschen von Dateien benutzt werden (…) Sogar ein digitaler großer Lausch- und Spähangriff ist möglich, indem ferngesteuert auf das Mikrophon, die Kamera und die Tastatur des Computers zugegriffen wird." Resümee des Chaos Computer Club: "Die von den Behörden so gern suggerierte strikte Trennung von genehmigt abhörbarer Telekommunikation und der zu schützenden digitalen Intimsphäre existiert in der Praxis nicht." [3] Die mögliche Manipulation des Computers stellt die Gerichtsverwertbarkeit der so gewonnenen Erkenntnisse grundsätzlich infrage.

"Heimliche Überwachungsmaßnahmen staatlicher Stellen haben einen unantastbaren Kernbereich privater Lebensgestaltung zu wahren", schreibt das BVerfG in seinem o.g. Urteil vor. Der analysierte Bundestrojaner unterlaufe diese Vorschrift, sagt der CCC. Doch es kommt noch schlimmer, er enthalte sogar "gravierende Sicherheitslücken": "Die ausgeleiteten Bildschirmfotos und Audio-Daten sind auf inkompetente Art und Weise verschlüsselt, die Kommandos von der Steuersoftware an den Trojaner sind gar vollständig unverschlüssselt. Weder die Kommandos an den Trojaner noch dessen Antworten sind durch irgendeine Form der Authentifizierung oder auch nur Integritätssicherung geschützt." Ein von den Behörden überwachter Rechner könne daher ohne weiteres von unbefugten Dritten ferngesteuert werden. Unglaublich: "Zur Tarnung der Steuerzentrale werden die ausgeleiteten Daten und Kommandos obendrein über einen in den USA angemieteten Server umgelenkt. Die Steuerung der Computerwanze findet also jenseits des Geltungsbereiches des deutschen Rechts statt." Wie praktisch: Die amerikanischen Geheimdienste können, unter Verzicht auf das lästige und langwierige Rechtshilfeersuchen, gleich mitlesen. Was sie mit den so gewonnenen Daten anfangen, entzieht sich jeder Kontrolle.

Den deutschen Sicherheitsbehörden steht damit wohl abermals eine peinliche Debatte ins Haus, in der die Öffentlichkeit besorgt darüber diskutiert, was der Staat tun darf und lassen soll. Eigentlich, so könnte man annehmen, hat das Bundesverfassungsgericht dazu bereits alles Notwendige gesagt. Um es vorsichtig zu formulieren: Bei den Behörden scheinen manche die Vorgaben aus Karlsruhe nicht beachten zu wollen. Dass sie das Ganze darüber hinaus auch noch dilettantisch umsetzen, ist bloß das Tüpfelchen auf dem i. Es stellt sich die viel drängendere Frage: Wer kontrolliert die Kontrolleure? Darauf, dass sich in den Behörden alle ans Recht halten, wozu sie im Grunde verpflichtet wären, kann man offenbar nicht vertrauen. Die Befürchtungen der Kritiker umfassender Überwachungsmaßnahmen sind wahr geworden. Kein Wunder, wenn sich die Bevölkerung vor der Vorratsdatenspeicherung der Telekommunikationsdaten fürchtet. Wie wir sehen, nicht zu Unrecht. Die für den Bundestrojaner Verantwortlichen haben allen legitimen Sicherheitsinteressen, die gibt es schließlich auch, einen Bärendienst erwiesen. Leichtfertig und ohne Not verspielen sie das notwendige Vertrauen in die Rechtsstaatlichkeit ihres Handelns.

----------

[1] BVerfG, 1 BvR 370/07 vom 27.02.2008
[2] Spiegel-Online vom 09.10.2011
[3] Chaos Computer Club vom 08.10.2011