Einsicht in Quellcode des Bundestrojaners wird massiv behindert

Einsicht in Quellcode des Bundestrojaners
wird massiv behindert
Bild: dpa Deutschlands oberster Datenschützer Peter Schaar hat die von Ermittlungsbehörden eingesetzte Trojaner-Software zur Überwachung von Computern nicht im Detail analysieren können und hält an seiner kritischen Bewertung fest. Das geht aus einem Schreiben Schaars an den Innenausschuss des Deutschen Bundestages hervor, das dem Chaos Computer Club (CCC) zugespielt und veröffentlicht wurde. Schaar schloss nun seine Bewertung der Überwachungssoftware ohne eine Prüfung des Programmcodes ab. Eine Sprecherin Schaars nahm dazu am Montagabend zunächst nicht Stellung.

Der Hersteller der Software habe "den Zugang von vertraglichen Abreden abhängig" gemacht, "die ich nicht akzeptieren kann", heißt es in dem Brief mit Datum vom 14. August. Schaar hatte bereits Ende Januar dem Innenausschuss des Bundestags einen Bericht vorgelegt, wonach die Trojaner-Software die Datenschutzanforderungen nicht erfüllt. So werde eine Forderung des Bundesverfassungsgerichts missachtet, dass bei heimlichen Überwachungen der Kernbereich privater Lebensgestaltung zu schützen sei.

Bundestrojaner ist "in Anfängermanier zusammengestoppelt"

Einsicht in Quellcode des Bundestrojaners
wird massiv behindert
Bild: dpa Der CCC kritisiert, dass die Absicherung des Datenaustauschs zwischen Trojaner-Software und dem Kontrollcomputer der Behörden "in Anfängermanier zusammengestoppelt" sei. "Damit wird weiterhin in Kauf genommen, dass staatliche Trojaner nicht effektiv kontrolliert und somit auch von Dritten zur Ausspähung und Manipulation von Daten benutzt werden könnten", erklärte CCC-Sprecher Dirk Engling in der Pressemitteilung vom Montagabend.

Dem Schreiben Schaars zufolge hatten sich das Bundesinnenministerium und das Bundeskriminalamt zwar bemüht, den Quellcode der Überwachungssoftware vom Hersteller DigiTask zu besorgen. Die Einsicht sei jedoch an der Forderung von DigiTask nach einer Geheimhaltungsvereinbarung gescheitert. Außerdem habe die Firma für "Consulting-Dienstleistungen" 1 200 Euro zuzüglich Mehrwertsteuer pro Tag und Mitarbeiter verlangt. Das BKA wollte demnach diese Kosten nicht allein übernehmen, sondern sich nur "allenfalls anteilig beteiligen". "Daher ist es mir im Ergebnis nicht möglich, den Quellcode zur datenschutzrechtlichen Kontrolle zu sichten", heißt es in dem Brief weiter.

Gleichzeitig weist Schaar auf ein Grundproblem des ganzen Verfahrens hin: Seine Kontrollmöglichkeiten würden sich auf öffentliche Stellen des Bundes beschränken. Private Unternehmen wie DigiTask, die im Staatsauftrag arbeiten, würden nicht der Kontrolle des Datenschutzbeauftragten unterliegen. Im übrigen würde die geforderte Geheimhaltungsvereinbarung die gesetzlich vorgeschriebenen Berichtspflichten des Datenschützers beeinträchtigen. Das hätte das BKA schon bei der Bestellung des Software berücksichtigen müssen.

"Hier zeigt sich das Erpressungspotenzial durch das Outsourcen von hoheitlichen Aufgaben an private, keiner effektiven Kontrolle unterliegenden Firmen", kommentiert der CCC das Verfahren.

Bundestrojaner hinterlässt Sicherheitslücken auf PC

Das auch "Staatstrojaner" genannte Programm wird vor allem zum Abhören von verschlüsselten Telefonaten über das Internet ("Quellen-TKÜ") verwendet. Der Chaos Computer Club warf den Verantwortlichen vor, die Software könne mehr als sie dürfe, und sie hinterlasse auf dem Computer des Betroffenen Sicherheitslücken, die Dritte ausnutzen könnten. Kritisiert wurde vor allem eine Nachladefunktion, mit deren Hilfe die Überwachung des Computers nach CCC-Angaben bis hin zur verfassungsrechtlich äußerst sensiblen Online-Durchsuchung, also der Durchsuchung der Festplatte, ausgeweitet werden könne.

Bundesinnenminister Hans-Peter Friedrich (CSU) hatte den Einsatz des Trojaners für den Bund verteidigt. Auch die Länder hätten die Grenzen dessen, was zulässig sei, nicht überschritten. Der Minister wies insbesondere den Verdacht zurück, die Beamten spähten mehr Informationen aus als sie dürften. Gleichwohl hatte er angekündigt, dass die Software künftig von einem "Kompetenzzentrum" beim Bundeskriminalamt (BKA) statt von einer privaten Firma entwickelt werden solle.