Der Datenschutzbeauftragte Bayerns untersucht und kritisiert die mangelhafte Trojaner-Software als verfassungswidrig.
Nun hat der der Bayerische Landesbeauftragte für den Datenschutz, Thomas Petri, seinen offiziellen Bericht (PDF) vorgelegt. Er folgt darin der Argumentation der Hacker und bemängelt, dass der Trojaner prinzipiell dazu geeignet gewesen sei, unzulässig Daten zu erheben und beliebig Programme auf den Rechner der Zielperson nachladen zu können. Dies lasse sich nicht in Einlang mit den Vorgaben des Bundesverfassungsgerichts bringen.
Die Behörden hätten sich vom Hersteller des Trojaners zusichern lassen müssen, dass keine "überschießende Funktionalität" vorhanden sei. Auch hätte der Staat auf Einblicke in den Quellcode der Software bestehen müssen. Anhaltspunkte für einen Missbrauch lägen nicht vor, heißt es in dem Bericht. "Mangels hinreichender Dokumentation" könne nicht nachvollzogen werden, wie die einzelnen Maßnahmen von der Firma vorbereitet und dem Landeskriminalamt umgesetzt wurden.
Nicht geprüft werden könne, ob die eingesetzten Trojaner nach Abschluss der Maßnahme wieder von den Computern der Zielpersonen entfernt werden konnte. Der eingesetzte Server, über den die Kommunikation von Ermittlern und Trojanern lief, sei vom Landeskriminalamt gekündigt worden. Dabei seien keine "gebotenen" Vorkehrungen getroffen worden, dass nicht jemand anderes die freigewordene IP-Adresse bekommt und mit noch aktiven Trojanern kommunizieren könnte.
Verschlüsselung "gerade noch" wirkungsvoll
Die vom Chaos Computer Club als ungenügend kritisierte Verschlüsselung der Kommunikation zwischen Trojaner und dem Server nennt der Datenschützer "gerade noch" wirkungsvoll. Die Steuerung des Trojaners hingegen entspreche "nicht den üblichen ... datenschutzrechtlichen Anforderungen an einen sicheren Betrieb". Kritisiert werden lasche Zugriffsverwaltung und ungenügende Protokolldateien.
Datenschützer Petri sieht den Gesetzgeber in der Pflicht. Falls Ermittler weiterhin auf Quellen-Telekommunikationsüberwachung setzten, müsse die Strafprozessordnung entsprechend angepasst werden. So müsse der "erhöhten Eingriffsintensität" der Maßnahme Rechnung getragen werden, die sich von der Überwachung von Telefonen unterscheide.
Es sei aus verfassungsrechtlicher Sicht "äußerst problematisch", wenn neben einer laufenden Kommunikation weitere Daten erhoben würden. Sollte etwa das Auslesen von Softwarelisten erlaubt sein, wozu die Strafprozessordnung bisher keinerlei Angaben macht, müsse gefragt werden, inwieweit sich die Quellen-TKÜ überhaupt noch von einer Online-Durchsuchung unterscheide.
Besonders heikel: In vier Fällen hätte das Browserfenster fotografiert werden können, in zwei Fällen nur Chatfenster, in zwei weiteren Fällen der gesamte Bildschirm der Zielperson. Ob davon auch Gebrauch gemacht wurde, habe nicht festgestellt werden können. Mindestens bei einer Maßnahme fertigte der Trojaner nach SPIEGEL-Informationen Bildschirmfotos an, innerhalb von drei Monaten rund 60.000 Stück.
Quelle: Spiegel Online