Vor einigen Monaten machte der Bundestrojaner Schlagzeilen. Schon damals wurde vermutet, dass es in den etwa 40 Fällen, in denen die Software nach offziellem Eingeständnis bisher zum Einsatz kam, nicht mit rechten Dingen zugegangen ist. Diese Einschätzung bestätigt ein 66-seitiger Bericht des Bundesdatenschutzbeauftragten Peter Schaar. Das Dokument, welches eigentlich unter Verschluss bleiben sollte,  bescheinigt den Ermittlungsbehörden dilettantische Vorgehen und gravierende Gesetzesverstöße (HTML-Version, PDF).

Weil es nicht zu seinen Aufgaben gehört, fragt der Bundesdatenschutzbeauftragte in dem Bericht nicht vorrangig, ob der  Trojanereinsatz überhaupt durch die geltenden Gesetze gedeckt ist – was man mit Fug und Recht bezweifeln darf. Vielmehr schaut er sich die praktische Umsetzung der Überwachungsmaßnahmen an und überprüft, ob die Vorgaben des Datenschutzes beachtet werden.

Das Ergebnis fällt vernichtend aus. So stellt Schaar fest, dass praktisch alle Bundesbehörden sich voll und ganz dem Trojaner-Hersteller DigiTask, einem Privatunternehmen, anvertraut hatten. Sie kannten den Quellcode der von DigiTask entworfenen Software nicht und hatten so keine Kontrollmöglichkeit darüber, wie der Trojaner tickt und was für Ergebnisse er letztlich an wen auch immer abliefert. Beim Zoll und der Bundespolizei sollen noch nicht einmal Handbücher, Versionslisten oder gar die Software selbst vorgelegen haben. DigiTask habe die Aufträge mitunter vollständig in eigener Regie abgewickelt, was auf eine – unzulässige – Komplettprivatisierung solcher Ermittlungsmaßnahmen hinausläuft.

Schaar nennt krasse Beispiele, wie bei Trojanereinsätzen gegen die simpelsten Vorgaben verstoßen wurde. So ist es mittlerweile geltendes Recht, dass Aufnahmen zumindest sofort gelöscht werden müssen, wenn sie den Kernbereich privater Lebensgestaltung betreffen. Dennoch protokollierten die Ermittler in einem von Schaar aufgegriffenen Fall “Liebesbeteuerungen” und “Selbstbefriedigungshandlungen” eines Überwachten.

Darüber hinaus stellt Schaar fest, dass der Trojaner über den zulässigen Umfang hinaus genutzt wurde. Während an sich nur die Kommunikation über den angezapften Computer überwacht werden dürfe, seien mitunter auch Bildschirminhalte fotografiert oder die Webcam und das Mikrofon zur Raumüberwachung aktiviert worden.

Das mag man im Einzelfall als “Versäumnis” ansehen, die Probleme liegen jedoch tiefer im System. Wie Schaar nämlich feststellte, verfügt die Software nicht über die Möglichkeit, löschpflichtige Inhalte auch tatsächlich gezielt zu entfernen. Die Ermittler haben nur die Möglichkeit, alles oder nichts zu löschen.

Auch ansonsten hält Schaar den DigiTask-Trojaner für technisch unzulänglich. So hätten Angreifer es einfach, wenn sie das Kommando über den Trojaner übernehmen. Ein Grund: Die gesamte Kommunikation mit der Überwachungssoftware läuft unverschlüsselt und ohne besondere Authentifizierung. Zu allem Überfluss werden die vom Trojaner zurückgesandten Daten auch immer mit dem gleichen AES-Schlüssel kodiert.

Der Bundesdatenschutzbeauftragte kommt zum klaren Ergebnis, dass der Trojaner in der untersuchten Form nicht rechtmäßig eingesetzt werden kann. Trotz des bisherigen Fiaskos wollen die Behörden offenbar weiter mit DigiTask zusammenarbeiten. Das Bundeskriminalamt hat sogar einen Rahmenvertrag geschlossen.

Zum Thema: Stellungnahme des CCC, Netzpolitik.org