Datenschutz

Staatstrojaner – Darf ein weiterer Einsatz folgen?

Der bayerische Landesbeauftragte für Datenschutz hat am 30.07.2012 seinen Prüfbericht zur Quellen-Telekommunikationsüberwachung (im Folgenden Quellen-TKÜ) vorgelegt. Anlass dazu gab eine vom Chaos Computer Club (CCC) Ende 2011 veröffentlichte Pressemitteilung. Daraufhin untersuchte er eine sogenannte Binärdatei einer Schadsoftware zur Durchführung einer Quellen-Telekommunikationsüberwachung (Quellen-TKÜ). Diese setzte das Land Bayern in den Jahren 2008-2011 bei 23 Maßnahmen ein.

Im Raum stand dabei vor allem der Vorwurf, der Trojaner zur Durchführung der Quellen-TKÜ könne nicht nur sehr persönliche Daten herausfinden, sondern enthalte auch eine Funktion mit der aus der Entfernung Schadsoftware nachgeladen und ausgeführt werden könne. Jedenfalls aber, so stellte der CCC fest, enthalte die Software mehr Funktionen, als sie gesetzlich dürfe.

Das Bayerische Staatsministerium des Innern bat daraufhin den Landesbeauftragten für Datenschutz zu einer Überprüfung der Software. Der Datenschutzbeauftragte Dr. Thomas Petri ließ sich daraufhin vom zuständigen Landeskriminalamt (LKA) die Unterlagen, sowie Software und Akten geben.

Auf diese vorgenommene Überprüfung bezieht sich sein Bericht. Dabei konnte er lediglich abgeschlossene Fälle überprüfen, somit 14 von 23. Das wesentliche Problem seiner Überprüfung war es, dass nicht genau festgestellt werden konnte, wie der Einsatz der Software abgelaufen ist. Eine ordnungsgemäße Dokumentation seitens der Ermittlungsbehörde hat nämlich nicht stattgefunden hat. Zudem bot die Herstellerfirma DigiTask dem Datenschutzbeauftragen einen Einblick in den Quellcode an, stellte diesen jedoch unter die Bedingung eines Geheimhaltungsvertrages. Aufgrund seiner Prüf- und Berichtspflicht konnte Dr. Petri darauf nicht eingehen und somit lediglich die Binärdaten einsehen.

 

In seinem Bericht stellt er fest, dass bei der Anwendung von Software eines sogenannten Staatstrojaner in Bayern schwere Fehler gemacht worden sind. Er fordert, dass Konsequenzen von Strafverfolgungsbehörden und dem Gesetzgeber gezogen werden.

Schon die mangelnde Dokumentation führt aufgrund der Eingriffsintensität zu einem Verstoß gegen § 9 BDSG bzw. Art. 7 BayDSG. Nach Auffassung des Datenschutzbeauftragten waren die Aufträge an die Firma DigiTask bereits deswegen nicht ordnungsgemäß, da die Quellcodes nicht offen eingesehen werden können. Zudem wird im Bericht hervorgehoben, dass das DigiTask Personal weder verpflichtet worden sei, bei Fernwartung das Datengeheimnis zu wahren, noch gehalten gewesen sei, die rechtlich zulässigen Überwachungsfunktionen einzuhalten.

Zudem kritisiert er die technische Konzeption der Software. Grundsätzlich ist es nämlich technisch möglich, dass der Trojaner eine Begrenzung auf bestimmte Überwachungsfunktionen enthält. Doch gerade an dieser fehlte es in den überprüften Fällen.

Zulässig ist eine Quellen-TKÜ lediglich zur Überwachung der Telekommunikation. Alle weitergehenden Maßnahmen – und somit auch die sog. „Online-Durchsuchung“ – sind unzulässig. Bei den insoweit überprüften Maßnahmen konnten in vier Maßnahmen Aufzeichnungen von Anwendungsfensterinhalten (Applicationshots) von Browsern durchgeführt werden, in zwei weiteren Maßnahmen konnten nur Applicationshots von Instant Messengern gefertigt werden. In anderen Fällen hat der Datenschutzbeauftragte festgestellt, dass die Software nicht nur die Übertragung eines Browserfensters, sondern auch eines gesamten Bildschirms ermöglicht. Dies hätte nicht möglich sein dürfen.

Ob das LKA Bayern von diesen beschriebenen weitergehenden Funktionen Gebrauch gemacht hat oder nicht, ist aufgrund der Beschränkung auf Binärdateien nicht zu sagen.

Zudem prangert der Prüfbericht an, dass die Software vom LKA nicht sofort und automatisch deinstalliert wurde. Dies hat zur Folge, dass eine Deinstallation nur noch dann möglich ist, wenn der Proxy-Server in Betrieb bleibt. Problematisch ist dies insbesondere bei Servern im Ausland. Bei solchen muss das LKA die dauerhafte Verfügbarkeit sichern. Ob dies geschehen ist, kann nicht nachvollzogen werden. Doch auch nach einer erfolgreichen Deinstallation besteht offensichtlich noch die Gefahr, dass die Überwachungssoftware wieder aktiv wird. Der Zeitpunkt für die Reaktivierung lässt sich jedoch nicht eingrenzen. Das LKA hat sich sogar gegen die Option einer automatischen Deinstallation entschieden. Es wollte verhindern, dass es bei einer Verlängerung der Überwachungsmaßnahme die Zugriffsmöglichkeit verliert. Dies stellt eine Gefahr für Daten auf dem Rechner dar. Die Gegebenheiten sind demnach in Bezug auf das Grundrecht auf Integrität informationstechnischer Systeme und aus datenschutzrechtlicher Sicht als nicht ausreichend bewertet worden.

Zudem, so Dr. Petri, war die Überwachungskonsole nach jetzigem Verständnis unzureichend gesichert. Auch wurde sie ohne Sicherheitsupdates betrieben, was von ihm als „sehr bedenklich“ gewertet wird. Hervorzuheben ist auch, dass dem Datenschutzbeauftragten aus den angeforderten Akten und Unterlagen des LKA nicht ersichtlich war, ob die jeweils Betroffenen– wie gesetzlich vorgeschrieben – nachträglich von der Überwachung benachrichtigt worden sind oder nicht.

Fazit des Prüfberichtes ist, dass die gesetzlichen Voraussetzungen der Quellen-TKÜ genauer geregelt und die Fehler behoben werden müssen.

Dr. Petri empfiehlt für die weitere Anwendung der Quellen-TKÜ, dass Gesetze geschaffen werden, die den besonderen Eingriffscharakter angemessen berücksichtigen.

 

Sicherlich sind die folgenden Beiträge interessant für Sie:

 

Datenschutz: Mängel bei Staatstrojaner entdeckt

DigiTask wegen Staatstrojaner abgemahnt

Staatstrojaner kam häufiger zum Einsatz als vermutet

Bundestrojaner – Antworten auf die häufigsten Rechtsfragen

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Noch keine Bewertungen)

RSSKommentare (0)

Kommentar schreiben

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.