Zu unterscheiden ist auch, ob das Ausspähen "präventiv" also durch die Geheimdienste und die Polizei zur Gefahrenabwehr oder "repressiv" im Rahmen eines strafrechtlichen Ermittlungsverfahrens erfolgt. Aber auch hier sind die Grenzen längst fließend. Schließlich gibt es unterschiedliche Regeln für den Bund und in den einzelnen Ländern.
Das Bundesverfassungsgericht hat 2008 am Beispiel Nordrhein-Westfalens über das präventive Spionieren geurteilt. Und es hat sich damals eher am Rande mit der "Quellen-TKÜ" beschäftigt. Die NRW-Regeln dazu wurden gekippt, weil sie uferlos waren. Das Gericht ließ die "Quellen-TKÜ" aber zu, soweit die Ausforschung "verhältnismäßig" ist und die Intimsphäre der Menschen respektiert. Wie man das macht, ließ das Gericht offen.
Sehr streng waren die Richter aber bei der viel weiter gehenden "Online-Durchsuchung". Auch sie wurde erlaubt, aber auf sehr wenige Extremfälle beschränkt. Gestattet ist sie zum Schutz des Lebens oder der Freiheit eines Menschen oder aber zum Schutz vor der Bedrohung der Grundlagen des Staates oder der Menschheit. Selbst in solchen Fällen aber muss die Intimsphäre respektiert werden. Dazu forderten die Verfassungsrichter neben rechtlichen auch technische Schutzmaßnahmen.
Jeder Trojaner lädt zum Missbrauch ein
Die Karlsruher Vorgaben wurden im Gesetz zum Bundeskriminalamt präzise umgesetzt. Inwieweit dies in allen Bundesländern gelungen ist, ist strittig. Dies alles aber betrifft lediglich den "präventiven" Bereich. Bei der Strafverfolgung gelten die Karlsruher Vorgaben natürlich sinngemäß. Aber es gibt hier einen Graubereich und, wie der Landshuter Fall zeigt, auch unterschiedliche Einschätzungen der Juristen.
Die bayerische Landesregierung hatte bereits vor Kurzem bestätigt, dass dort in der jüngsten Vergangenheit fünf derartige Trojaner im Einsatz waren. 2008 waren einem Politiker der Piratenpartei Unterlagen zu eben diesem Trojaner zugespielt worden. Sie enthielten das Angebot einer hessischen Spezialfirma, die solche Trojaner her- und Bayerns Behörden zur Verfügung stellte. Bedingung: die Firma übernehme für den Einsatz und mögliche Schäden durch den Einsatz des Trojaners keinerlei Haftung. Sie empfahl bereits damals der Polizei die Zwischenschaltung eines Proxy-Servers in Übersee, der auch bei der jetzt vom Chaos-Computerclub überprüften Software genutzt worden ist. Die Bayern sind aber nicht allein. Auch Baden-Württemberg hat kürzlich den Einsatz von fünf Trojanern bestätigt.
Ob derartige Trojaner in Deutschland eingesetzt werden dürfen, hängt zunächst wesentlich davon ab, wozu sie genutzt werden. Dienen sie allein der Überwachung der Internettelefonie und des E-Mail-Verkehrs ("Quellen-TKÜ") sind die gesetzlichen Regel, soweit sie überhaupt existieren, relativ großzügig. Dienen sie dagegen darüber hinaus auch der "Online-Durchsuchung", also der geheimen Ausspähung aller Rechnerinhalte, dann gelten seit einem Grundsatzurteil des Bundesverfassungsgerichts von 2008 äußerst strenge Regeln. Der bayerische Fall zeigt freilich, wie fließend inzwischen die Grenzen zwischen beiden Bereichen geworden sind.
Unterschiedliche Regeln in den Ländern
Zu unterscheiden ist auch, ob das Ausspähen "präventiv" also durch die Geheimdienste und die Polizei zur Gefahrenabwehr oder "repressiv" im Rahmen eines strafrechtlichen Ermittlungsverfahrens erfolgt. Aber auch hier sind die Grenzen längst fließend. Schließlich gibt es unterschiedliche Regeln für den Bund und in den einzelnen Ländern.
Das Bundesverfassungsgericht hat 2008 am Beispiel Nordrhein-Westfalens über das präventive Spionieren geurteilt. Und es hat sich damals eher am Rande mit der "Quellen-TKÜ" beschäftigt. Die NRW-Regeln dazu wurden gekippt, weil sie uferlos waren. Das Gericht ließ die "Quellen-TKÜ" aber zu, soweit die Ausforschung "verhältnismäßig" ist und die Intimsphäre der Menschen respektiert. Wie man das macht, ließ das Gericht offen.
Sehr streng waren die Richter aber bei der viel weiter gehenden "Online-Durchsuchung". Auch sie wurde erlaubt, aber auf sehr wenige Extremfälle beschränkt. Gestattet ist sie zum Schutz des Lebens oder der Freiheit eines Menschen oder aber zum Schutz vor der Bedrohung der Grundlagen des Staates oder der Menschheit. Selbst in solchen Fällen aber muss die Intimsphäre respektiert werden. Dazu forderten die Verfassungsrichter neben rechtlichen auch technische Schutzmaßnahmen.
Jeder Trojaner lädt zum Missbrauch ein
Die Karlsruher Vorgaben wurden im Gesetz zum Bundeskriminalamt präzise umgesetzt. Inwieweit dies in allen Bundesländern gelungen ist, ist strittig. Dies alles aber betrifft lediglich den "präventiven" Bereich. Bei der Strafverfolgung gelten die Karlsruher Vorgaben natürlich sinngemäß. Aber es gibt hier einen Graubereich und, wie der Landshuter Fall zeigt, auch unterschiedliche Einschätzungen der Juristen.
Die große Mehrzahl der Strafrechtler ist der Ansicht, dass für die "Quellen-TKÜ" dieselben Regeln der Strafprozessordnung gelten wie für die traditionelle Telefonüberwachung. Und die erlauben das Überwachen bei einer Vielzahl von Straftaten, bis hinunter zum Bandendiebstahl. Weitgehend unumstritten ist auch, dass zum Zwecke der "Quellen-TKÜ" Trojaner auf Rechner gespielt werden dürfen.
Mehr als die Überwachung der Telekommunikation ist aber im "repressiven" anders als im "präventiven" Bereich nicht erlaubt. Die Frage war im Bundesgerichtshof zunächst umstritten, 2007 aber entschied das Gericht, dass es für die "Online-Durchsuchung" bei der Strafverfolgung keine Rechtsgrundlage gibt. Damit wurde ein Antrag der Bundesanwaltschaft abgewiesen. Die gerade aus dem Amt geschiedene Generalbundesanwältin Harms hatte 2010 erneut die Möglichkeit der "Online-Durchsuchung" auch für Strafverfolger gefordert.
Der aktuelle Fall macht deutlich, dass eine saubere Trennung zwischen den einzelnen Fallgruppen selbst technisch kaum möglich ist und dass jeder Trojaner zum Missbrauch einlädt.
Trojaner wird zur Staatsaffäre
Reaktion: In Bayern führt der vom Chaos Computer Club (CCC) sezierte Code eines Trojaners - eines Spionageprogramms, das sich unbemerkt in fremde Rechner einschleicht, zu einer kleinen Staatsaffäre. Die soll so schnell wie möglich gelöst werden. Deshalb verständigte sich Bayerns Innenminister Joachim Herrmann mit dem bayerischen Landesdatenschutzbeauftragten Thomas Petri, die Angelegenheit zu überprüfen. Petri sagt gegenüber der StZ: "Wir bitten das Innenministerium, die bayerische Trojanersoftware zur Verfügung zu stellen, aber auch den Kontrollbereich für die Nutzeroberfläche, um festzustellen, was der Bearbeiter mit der Software tatsächlich machen darf." Ein Abgleich dieser Software mit der vom CCC untersuchten Software ergab am Abend dann eine Übereinstimmung. Allerdings wurde noch überprüft, ob es sich um eine Testversion handelt oder um ein Programm, das wirklich zum Einsatz kam.
Sicherheitslücken: Der CCC-Experte Felix von Leitner wies bereits zuvor auf technische Indizien hin, die darauf deuteten, dass es sich bei dem vom CCC analysierten Trojaner nicht um eine kommerzielle, sondern um eine staatliche Software handelt. Der CCC stellte überdies zahlreiche Sicherheitslücken in der Software fest, die dazu führen können, dass Dritte die Lauschsoftware für eigene Zwecke umprogrammieren können. Felix von Leitner: "Aus unserer Sicht waren hier Dilettanten am Werk."
Überprüfung: Normalerweise wird Software, die von bayerischen Behörden eingesetzt wird, vom Bayern CERT überprüft. Bei dem Trojaner war dies jedoch nicht der Fall. Auch ein Bundestrojaner des BKA könnte nicht von der Expertise des Bundesamts für Sicherheit in der Informationstechnik profitieren. Dies hatte nämlich schon vor Jahren eine entsprechende Überprüfung abgelehnt, da damit ein Interessenkonflikt entstünde. Denn das BSI berät auch Bürger, wie sie ihre digitalen Geräte vor Angreifern schützen können.