Die #Staatstrojaner-Staatsaffäre: Jetzt haben wir wieder das Unschuldslämmer-Wechselspiel

Kurz nach den ersten Aufregungswellen über den vom Chaos Computer Club gehackten Staatstrojaner kommen auch schon die ersten Dementis der betroffenen Stellen:

„Was auch immer der Chaos Computer Club untersucht hat oder zugespielt bekommen haben mag, es handelt sich dabei nicht um einen sogenannten Bundestrojaner“, teilte ein Sprecher des Ministeriums am Sonntag in Berlin mit. Ob aber andere deutsche Ermittlungsbehörden die Überwachungssoftware eingesetzt haben könnten, dazu machte das Ministerium keine Angaben.

Wie kann ein Sprecher des BKA so schnell alle möglichen Ermittlungen seines Hauses untersuchen, um zu solch einer apodiktischen Aussage zu gelangen? Hat er alle Ermittlungsverfahren innerhalb weniger Stunden überprüft, alle verdeckten Ermittler und alle nachgeordneten Stellen befragt? Das wäre zweifelsfrei eine phantastische Arbeitsleistung, die das BKA am Sonntag vollbracht hätte.

Das Innenministerium hat allerdings bestätigt, dass es über solche Software verfügt. Ihre Anwendung halte sich aber an die gesetzlichen Regelungen. Jo, dann legt doch mal die Programmierung auf den Tisch, um einen Abgleich vorzunehmen.

Die Grünen haben angekündigt, BKA-Chef Ziercke und seine Mitarbeiter vor den Innenausschuss des Bundestags zitieren zu wollen. „Sie sollen erklären, in welchem Umfang die Sichherheitsbehörden in Deutschland bereits vergleichbare Überwachungssoftware verwenden“, sagt Grünen-Vorsitzende Claudia Roth nach einem Bericht von heute.de. Der Einsatz der fraglichen Software müsse sofort gestoppt werden.

Auch der Vorsitzende der Piratenpartei, Sebastian Nerz, fordert, sich bei der Aufklärung nicht auf die Person Jörg Ziercke zu beschränken. Selbst ein Rücktritt werde das Problem nicht lösen. „Man muss auch gucken, wer im BKA für diese Entwicklung verantwortlich war.“ Nerz forderte personelle Konsequenzen auch für das Umfeld Zierckes. Auch das reicht nicht aus. Konzentriert Euch doch jetzt nicht nur auf die Chefs der Sicherheitsbehörden. Die unterstehen dem Innenministerium. Diemar Dath hat zu diesem Punkt den richtigen Riecher. In einem FAZ-Artikel schreibt er:

„Den Staatstrojaner haben nach allem, was plausibel ist, wohl nicht Beamte (dazu sind die wohl gar nicht in der Lage, gs), sondern kommerzielle Anbieter programmiert.“

Dingdong. Hier liegen die Fragen aller Fragen, unabhängig von der Dienststelle, die den Staatstrojaner in Umlauf geschickt hat. Welche Firma hat den Staatstrojaner programmiert, wer hat den Auftrag erteilt, über welchen Haushaltstitel läuft das, wie viel hat der ganze Spionage-Spaß gekostet, was kann der Staatstrojaner, wer hat das grüne Licht für die Investition gegeben und wer verfügt überhaupt über die Kompetenz, so einen Staatstrojaner zum Einsatz zu bringen?

Den besten Hinweis lieferte bislang die Frankfurter Rundschau:

„Interne Schriftwechsel aus dem Bayerischen Justizministerium zeigen, dass schon vor vier Jahren mit der Entwicklung und dem Einsatz von rechtswidriger Überwachungssoftware begonnen wurde – und dass der Staat die Kontrolle über das Programm der Trojaner in die Hände privater Firmen legte. In dem Schriftwechsel zwischen Ministerium, Oberlandesgerichtspräsidenten und Generalstaatsanwälten, der der FR vorliegt, geht es um eine Spionagesoftware, die von der Firma DigiTask im hessischen Haiger entwickelt wurde.“

Und ist kommt noch besser, wenn man sich den gesetzlichen Rahmen für die Spionage-Software anschaut. Was steht in den Leistungsbeschreibungen von Bund und Ländern für die Auftragsvergabe. Auch hier bringt die FR wichtige Hinweise für weitere Recherchen und Fragen, die im Parlament gestellt werden sollten:

„In der ‚Leistungsbeschreibung‘ von DigiTask finden sich alle Spionage-Funktionen, die jetzt beim Bundestrojaner als rechtswidrig gebrandmarkt werden: Detailliert wird etwa die ‚Live-Ausleitung‘, des Sprach-, Video-, und Chatverkehrs sowie der kompletten Dateiübertragung beschrieben – also das Ausspionieren eines PC-Nutzers in Echtzeit. Ebenso die Möglichkeit des heimlichen Hochladens weiterer Programme auf den Rechner des Überwachten: ‚Update unbemerkt über den normalen Datenstrom‘. Selbst verschlüsselte Kommunikation könne man mit einer ‚Capture-Unit‘ in Echtzeit ausspionieren und an einen ‚Recording-Server‘ leiten. Mit ‚mobilen Auswertstationen‘ und einem mitgelieferten Multimediaplayer könnten dann alle Kommunikationsarten wie Schrift, Sprache und Videos ‚live wiedergegeben werden‘, so die Firma. Der Mietpreis der Spionagesoftware pro Monat und Maßnahme: 3500 Euro, die einmaligen Installationskosten: 2500 Euro. Für nochmal so viel könne man auch SSL-verschlüsselte Daten ‚decodieren‘, wie sie etwa beim Online-Banking, bei Chat-Netzwerken und in Internet-Shops genutzt werden. Auf dem Computer der Zielperson installiert werden könne dieser Trojaner etwa als Dateianhang einer E-Mail. Auch ‚weitere Installationsroutinen könnten jederzeit integriert werden‘.“

Der Bayerntrojaner kam ja bereits mehrfach zum Einsatz. Hat da irgendein Politiker den Hut nehmen müssen? Von der CSU-Bundesministerin Ilse Aigner ist in diesem Zusammenhang wohl kein großer Enthusiasmus zu erwarten, da sie ja die einschlägigen Gesetzesvorhaben im Bundestag abgenickt hat, wie Richard Gutjahr in einem Interview mit Aigner so schön herausgearbeitet hat.

Weitere Aspekte habe ich in meiner heutigen Kolumne behandelt.

Wer schaut denn mal genauer hinter die Kulissen von BKA, LKAs und Co.? Warum betreiben die Staatsorgane so eine Geheimniskrämerei, wenn es um den Einsatz und den Erwerb von Spionage-Equipment geht? Welche Parlamentarier laufen auf Ballhöhe mit den Überwachungsmöglichkeiten des Staates? Und mit welchen Konsequenzen müssen jetzt Dienstherren rechnen, die gegen Verfassung und Gesetze verstoßen haben? Wie intensiv debattieren wir in den nächsten Wochen und Monaten den Bundestrojaner-Skandal, fernab von Like-Funktionen und Street View?

Auch dieser Punkt sollte intensiver recherchiert werden:

Die Sicherheitsbehörden verfahren wohl nach dem Motto, was die Öffentlichkeit nicht weiß, macht sie nicht heiß. Irgendwo findet sich schon ein kleines Zeitfenster, um die illegalen Praktiken ex post durch Gesetzesnovellen zu legalisieren. Dafür sorgen dann die Innenminister von Bund und Ländern.

Also, was wissen die obersten Dienstherren von den Praktiken ihrer Sicherheitsbehörden, die gegen geltendes Recht verstoßen. Wenn das festgestellt wird im Zuge der Staatstrojaner-Ermittlungen, dann müssen nicht nur die Chefs der betroffenen Sicherheitsbehörden ihren Schlapphut nehmen, sondern auch die Innenminister (ich schreibe bewusst im Plural, weil die Staatstrojaner ja auch von Länderbehörden eingesetzt werden können – siehe Bayern.

Bei der ganzen Affäre geht es auch um die Ilse-Aigner-Hans-Peter-Friedrich-CSU-Schräglage der öffentlich artikulierten Sicherheitsrisiken, die von den wirklich schwerwiegenden Risiken für die Privatsphäre ablenken. Die Verteidigung des Privaten ist beim Staat in schlechten Händen. Das sollte man generell bedenken, wenn wieder über Verbote, Regulierungen, neue Überwachungsbehörden und sonstige Drangsalierungsmethoden nachgedacht wird. Das fängt beim Rauchverbot an und hört beim Bundestrojaner auf. Vorsorge und Fürsorge des Staates, so der Soziologe Wolfgang Sofsky, seien nur fadenscheinige Versprechen. „Der Staat ist weder ein Hort der Sittlichkeit noch eine moralische Instanz. Er hütet kein Gemeinwohl und ist auch keine Quelle väterlicher Geborgenheit. Der Staat ist eine Einrichtung zur Beherrschung der Bürger.“

Siehe auch:
Woher stammt die Schnüffelsoftware?

Update von heise.de:

Patrick Schladt, Anwalt eines Betroffenen, der mittels Staatstrojaner überwacht wurde, teilte nun mit: „Einer der vom CCC dokumentierten Staatstrojaner wurde auf der Festplatte eines meiner Mandanten gefunden, die ich im Einvernehmen mit dem Mandanten an einen öffentlich bekannten Vertreter des CCC habe übergeben lassen. Es handelt sich dabei um den Fall des ‚Screenshot-Trojaners‘, der bereits im Frühjahr dieses Jahres Gegenstand der öffentlichen Diskussion war.“ Die Beweiskette von Schladt zum CCC sei lückenlos dokumentiert.

Aufgespielt sei der Trojaner bei Gelegenheit einer Kontrolle seines Mandanten durch den Zoll auf dem Münchener Flughafen worden, erklärt Schladt weiter. „Auch wenn die Maßnahme selbst von bayerischen Behörden kontrolliert wurde, so steht für mich außer Frage, dass Stellen des Bundes – etwa der Zoll bzw. das Zollkriminalamt – im Wege der Amtshilfe beteiligt waren. Hierfür spricht aus meiner Sicht nicht zuletzt, dass dieselbe Software aus verschiedenen Bundesländern zum CCC gelangte.

Der Juckeldiduckel-Datenschutz des Staates: Ablenkungsmanöver statt Gesetzestreue #Staatstrojaner

Meine morgige The European-Kolumne fängt so an:

Die Verbraucherschutzministerin Ilse Aigner hat ihren Facebook-Ausstieg in der Öffentlichkeit genüsslich zelebriert und ihr Robin Hood-haftes Engagement gegen die Datenkraken des Internets als Heldentat verkauft. Jeder Jägerzaun wurde von x-beliebigen Bürgermeistern mit großem Getöse gegen Ablichtungsversuche von Google verteidigt. Jeder Like-Button soll aus dem Netz vertrieben werden, um Mark Zuckerberg den Daten-Saft abzudrehen, mit dem er seine Milliarden über Werbung scheffelt. Wer weiß, was der sonst noch so alles mit den Informationen anstellt und eventuell sogar mit staatlichen Stellen kooperiert. Wäre ja schrecklich, wenn der Bundesinnenminister erfährt, dass ich mich auf einer literarischen Facebook-Party herumgetrieben habe und in einer Lesung der Bonner Oberbürgermeister und Miriam Meckel durch den Kakao gezogen wurden. Für diese Daten braucht man allerdings keine obskuren digitalen Ungeziefer, die sich in die Verästelungen meines heimischen Computers begeben, Mikrofon und Kamera anzapfen, um mich Tag und Nacht zu überwachen. Ein Klick auf Youtube reicht aus, um die Juckeldiduckel-Lesung im Café des Bundeskunstmuseums herunterzuladen. Das kann ich selbst entscheiden und steuern. Anders sieht es bei den verborgenen Aktionen der liebwertesten Schlapphut-Gichtlinge in den Behörden aus.

Wer haftet für Staatstrojaner?

Was der Chaos Computer Club jetzt aufgedeckt hat und in der Frankfurter Allgemeinen Sonntagszeitung publizierte, ist empörend, haut mich aber nicht von den Socken. Die Software-Spionage des Staates geht weiter, als es Gesetze und das Bundestrojaner-Urteil des Bundesverfassungsgerichts zu lassen. Die von Hackern forensisch überprüften Datenträger offenbaren die Gier von Behörden, nach Lust und Laune jedes Detail der Privatsphäre einer „verdächtigen“ Person zu speichern. Beschränkungen von Legislative und Judikative scheinen die Schlapp-Hut-Fraktion nicht zu stören. Zudem setzt man amerikanische Server ein und sichert den Trojaner noch nicht mal gegen Fremdsteuerungsmöglichkeiten ab. Das gesamte Szenario würde bei einem privatwirtschaftlichen Konzern für eine mediale Steinigung reichen, von dem sich der Delinquent nicht mehr erholen könnte. Aber was ist mit diesen amorphen Sicherheitsbehörden des Staates? Der Bundesinnenminister weiß von nichts, BKA fühlt sich nicht zuständig und die Parlamentarier plädieren für die Einsetzung eines Untersuchungsausschusses, der nach einigen Monaten zu keinem klaren Urteil gelangt und auf der Bundespressekonferenz kaum noch auf Interesse stößt. Am Ende versetzt man irgendeinen Abteilungsleiter vorzeitig in den Ruhestand, weil der sowieso irgendwie nervte. Außer Symbolpolitik läuft da nichts vom Stapel.

Wer schützt denn nun die Freiheitsrechte des Bürgers? Wer schaut denn mal genauer hinter die Kulissen von BKA, LKAs und Co.? Warum betreiben die Staatsorgane so eine Geheimniskrämerei, wenn es um den Einsatz und den Erwerb von Spionage-Equipment geht? Welche Parlamentarier laufen auf Ballhöhe mit den Überwachungsmöglichkeiten des Staates? Und mit welchen Konsequenzen müssen jetzt Dienstherren rechnen, die gegen Verfassung und Gesetze verstoßen haben? Wie intensiv debattieren wir in den nächsten Wochen und Monaten den Bundestrojaner-Skandal, fernab von Like-Funktionen und Street View? Die Sicherheitsbehörden verfahren wohl nach dem Motto, was die Öffentlichkeit nicht weiß, macht sie nicht heiß. Irgendwo findet sich schon ein kleines Zeitfenster, um die illegalen Praktiken ex post durch Gesetzesnovellen zu legalisieren. Dafür sorgen dann die Innenminister von Bund und Ländern.

Der Rest dann morgen auf The European (in der Regel ab 9 Uhr abrufbar). Bin gespannt, ob der Bundestrojaner-Skandal wieder so folgenlos versandet, wie die sonstigen Debatten über die Datenschutz-Sauereien des Staates.

Sehr amüsant übrigens das Stück von Sascha Lobo: Bundestrojaner für Mac

Update:
War doch klar: Innenministerium dementiert: „Trojaner nicht eingesetzt“
Siehe oben:

Der Bundesinnenminister weiß von nichts, BKA fühlt sich nicht zuständig und die Parlamentarier plädieren für die Einsetzung eines Untersuchungsausschusses (oder eines Moratoriums….), der nach einigen Monaten zu keinem klaren Urteil gelangt und auf der Bundespressekonferenz kaum noch auf Interesse stößt. Am Ende versetzt man irgendeinen Abteilungsleiter vorzeitig in den Ruhestand, weil der sowieso irgendwie nervte. Außer Symbolpolitik läuft da nichts vom Stapel.

Die Staatstrojaner: Wo bleibt die Empörung der Datenschutz-Beamten?

Ich habe es hier ja mehrfach thematisiert: Bei der ganzen Aufregung über Datenschutzvergehen von Google, Facebook oder Apple und der Empörungsspirale der Staatsaufseher im Datenschutz sollten wir die Aktionen des Staates gegen seine Bürger nicht außen vor lassen. Wer schützt denn hier die Freiheitsrechte jedes Einzelnen? Wer schaut denn mal genauer hinter die Kulissen von BKA, LKAs und Co.? Warum betreiben die Staatsorgane so eine Geheimniskrämerei beim Einkauf ihrer Überwachungstechnik? Vielleicht wird schon mehr eingesetzt als in der Öffentlichkeit bekannt und nach der Gesetzeslage erlaubt ist? So hat die bayerische Polizei zwischen 2009 und 2010 den sogenannten Bayerntrojaner fünf Mal verwendet, erklärte das bayerische Justizministerium auf eine Anfrage der Grünen, berichtet der Fachdienst Golem und bezieht sich dabei auf den Spiegel.

Die umstrittene Spionagesoftware kam in den Städten Augsburg, Nürnberg, München und Landshut zum Einsatz. Die Polizei gab als Grund an, Straftaten wie Handel mit Betäubungs- und Arzneimitteln sowie banden- und gewerbsmäßigen Betrug aufklären zu wollen. „Mit der Spionagesoftware kann die Polizei im Grunde alle relevanten Aktivitäten auf dem Computer ausspionieren. Die Ermittlungsbehörden nutzten unterschiedliche Verfahren, um die Spionagesoftware auf einem zu untersuchenden Computer aufzuspielen. So wurde die Software unter anderem über eine Remote-Installation aufgespielt, ein anderes Mal wurde eine Hausdurchsuchung dazu missbraucht, den Bayerntrojaner zu installieren“, schreibt Golem. Dagegen ist doch Google Street View ein Kindergeburtstag.

Kürzlich hatte noch die Bundesregierung Angaben zu einer parlamentarischen Anfrage verweigert, ob der Bundestrojaner gegen Terrorverdächtige bereits eingesetzt wurde.

Wer weiß, was da jeden Tag schon praktiziert wird und erst im nachhinein durch Gestzesänderungen legitimiert werden soll.

Wir sollten uns also weniger mit den vermeintlichen Einflüsterungen personalisierter Werbung von Facebook oder Google herumschlagen, sondern mit der Bedrohung der Privatsphäre beschäftigen durch staatliches Handeln unter dem Deckmantel von Terrorgefahren und einem Cyberwar, der vor allen Dingen in den Spionage-Hirnen von Verkäufern von Sicherheitssoftware gedeiht. Glauben Contanze Kurz und Frank Rieger vom Chaos Computer Club, dass eine Stiftung Datenschutz, die sie in ihrem Buch „Die Datenfresser“ vorschlagen, hier mehr Schutz für die Gesellschaft bringt? Ist es nicht etwas kümmerlich, wenn diese Stiftung mehr Aufklärung bei den allgemeinen Geschäftsbedingungen und Datenschutzerklärungen bringt, wie es die Stiftung Warentest bei Babyschaukeln und Gartengeräten vormacht?

Wer schützt uns denn vor den illegalen Aktionen des Staates? Genau das ist der Ansatz der Post-Privacy-Debatte. Man sollte den Leuten nicht einreden, über Regeln, Gesetze und staatliche Datenschützer besser geschützt zu werden. Das ist ein trügerischer Glaube.
Das sollte man nicht gleichsetzen mit Defätismus oder Indifferenz gegenüber den Sauereien, die auch von Technologiekonzernen ausgehen. Es geht auch nicht um den Glaubenssatz: „Wenn wir alle transparent sind, wird alles schön“, so die etwas spöttische Bemerkung von Constanz Kurz in einem Interview. Das ist nicht der Punkt. Man sollte allerdings auch nicht Faktor Machbarkeit in seinen netzpolitischen Überlegungen ausklammern.

Eine Stiftung Datenschutz ist nun wirklich nur eine Beruhigungspille.

Zu den Hauptursachen für fremdschaminduzierenden und datenschutzhomöopathischen Aktionismus der sonst eher arbeits- oder erfolglosen Datenschützer ist folgender Beitrag lesenswert: IP-Adressen: Teufelszeug oder harmlos? Ein datenschutzkritischer Dreiteiler.