Bayerns Polizei hat mit einem Trojaner in dem Rechner eines Verdächtigen spioniert. Was dabei illegal ist, ist jedoch umstritten.
Stuttgart - Am 20. Januar diesen Jahres erließ das Landgericht Landshut in einem Ermittlungsverfahren wegen eines Drogendelikts einen Beschluss, der jetzt neue Aktualität gewinnt. Aus der Entscheidung ergibt sich, dass die bayerische Polizei mit Genehmigung des Ermittlungsrichters am Amtsgericht Landshut im April 2009 die Telefone eines Verdächtigen überwachen ließ. Überprüft wurden nicht nur die klassischen Festnetz- und Handytelefonate, sondern auch die Kommunikation mittels des Internet-Telefonanbieters Skype sowie die über den Internetbrowser Firefox geleiteten E-Mails.
Bayerns Polizei spielte damals - natürlich ohne Wissen des Verdächtigen - eine Software, einen Trojaner, auf den Rechner des Mannes, die nicht nur die Skype-Kommunikation vor deren Verschlüsselung an die Beamten übermittelte, sondern - solange Firefox geöffnet war - auch alle 30 Sekunden ein "Screenshot", also ein Abbild des aktuellen Bildschirminhalts. Ob die "Screenshots" nur von Firefox oder auch von anderen aktuell bearbeiteten Bildschirmen gemacht worden sind, ergibt sich aus dem Beschluss nicht.
Das Landgericht billigte diese Überwachung in wesentlichen Teilen. Für unzulässig erklärte es jedoch die Übermittlung der Bildschirminhalte. Das Argument: das Schreiben von E-Mails gehöre noch nicht zur Telekommunikation, weil diese Daten vor dem Abschicken noch gelöscht oder verändert werden können.
Die Bayern sind nicht allein
Der Fall wurde kurz darauf bekannt, interessierte aber - außer besonders engagierte Internetfreaks - die Öffentlichkeit damals kaum. Jetzt gaben die bayerischen Behörden nach anfänglichem Zögern zu, dass der aktuell so hitzig diskutierte Trojaner ein Bayer ist. Im "Trojaner"-Programm findet sich ja auch die launige Zeile "Ozapftis" - das O ist dort eine Null.
Die bayerische Landesregierung hatte bereits vor Kurzem bestätigt, dass dort in der jüngsten Vergangenheit fünf derartige Trojaner im Einsatz waren. 2008 waren einem Politiker der Piratenpartei Unterlagen zu eben diesem Trojaner zugespielt worden. Sie enthielten das Angebot einer hessischen Spezialfirma, die solche Trojaner her- und Bayerns Behörden zur Verfügung stellte. Bedingung: die Firma übernehme für den Einsatz und mögliche Schäden durch den Einsatz des Trojaners keinerlei Haftung. Sie empfahl bereits damals der Polizei die Zwischenschaltung eines Proxy-Servers in Übersee, der auch bei der jetzt vom Chaos-Computerclub überprüften Software genutzt worden ist. Die Bayern sind aber nicht allein. Auch Baden-Württemberg hat kürzlich den Einsatz von fünf Trojanern bestätigt.
Ob derartige Trojaner in Deutschland eingesetzt werden dürfen, hängt zunächst wesentlich davon ab, wozu sie genutzt werden. Dienen sie allein der Überwachung der Internettelefonie und des E-Mail-Verkehrs ("Quellen-TKÜ") sind die gesetzlichen Regel, soweit sie überhaupt existieren, relativ großzügig. Dienen sie dagegen darüber hinaus auch der "Online-Durchsuchung", also der geheimen Ausspähung aller Rechnerinhalte, dann gelten seit einem Grundsatzurteil des Bundesverfassungsgerichts von 2008 äußerst strenge Regeln. Der bayerische Fall zeigt freilich, wie fließend inzwischen die Grenzen zwischen beiden Bereichen geworden sind.
Unterschiedliche Regeln in den Ländern
Zu unterscheiden ist auch, ob das Ausspähen "präventiv" also durch die Geheimdienste und die Polizei zur Gefahrenabwehr oder "repressiv" im Rahmen eines strafrechtlichen Ermittlungsverfahrens erfolgt. Aber auch hier sind die Grenzen längst fließend. Schließlich gibt es unterschiedliche Regeln für den Bund und in den einzelnen Ländern.
Das Bundesverfassungsgericht hat 2008 am Beispiel Nordrhein-Westfalens über das präventive Spionieren geurteilt. Und es hat sich damals eher am Rande mit der "Quellen-TKÜ" beschäftigt. Die NRW-Regeln dazu wurden gekippt, weil sie uferlos waren. Das Gericht ließ die "Quellen-TKÜ" aber zu, soweit die Ausforschung "verhältnismäßig" ist und die Intimsphäre der Menschen respektiert. Wie man das macht, ließ das Gericht offen.
Sehr streng waren die Richter aber bei der viel weiter gehenden "Online-Durchsuchung". Auch sie wurde erlaubt, aber auf sehr wenige Extremfälle beschränkt. Gestattet ist sie zum Schutz des Lebens oder der Freiheit eines Menschen oder aber zum Schutz vor der Bedrohung der Grundlagen des Staates oder der Menschheit. Selbst in solchen Fällen aber muss die Intimsphäre respektiert werden. Dazu forderten die Verfassungsrichter neben rechtlichen auch technische Schutzmaßnahmen.
Jeder Trojaner lädt zum Missbrauch ein
Die Karlsruher Vorgaben wurden im Gesetz zum Bundeskriminalamt präzise umgesetzt. Inwieweit dies in allen Bundesländern gelungen ist, ist strittig. Dies alles aber betrifft lediglich den "präventiven" Bereich. Bei der Strafverfolgung gelten die Karlsruher Vorgaben natürlich sinngemäß. Aber es gibt hier einen Graubereich und, wie der Landshuter Fall zeigt, auch unterschiedliche Einschätzungen der Juristen.
Die große Mehrzahl der Strafrechtler ist der Ansicht, dass für die "Quellen-TKÜ" dieselben Regeln der Strafprozessordnung gelten wie für die traditionelle Telefonüberwachung. Und die erlauben das Überwachen bei einer Vielzahl von Straftaten, bis hinunter zum Bandendiebstahl. Weitgehend unumstritten ist auch, dass zum Zwecke der "Quellen-TKÜ" Trojaner auf Rechner gespielt werden dürfen.
Mehr als die Überwachung der Telekommunikation ist aber im "repressiven" anders als im "präventiven" Bereich nicht erlaubt. Die Frage war im Bundesgerichtshof zunächst umstritten, 2007 aber entschied das Gericht, dass es für die "Online-Durchsuchung" bei der Strafverfolgung keine Rechtsgrundlage gibt. Damit wurde ein Antrag der Bundesanwaltschaft abgewiesen. Die gerade aus dem Amt geschiedene Generalbundesanwältin Harms hatte 2010 erneut die Möglichkeit der "Online-Durchsuchung" auch für Strafverfolger gefordert.
Der aktuelle Fall macht deutlich, dass eine saubere Trennung zwischen den einzelnen Fallgruppen selbst technisch kaum möglich ist und dass jeder Trojaner zum Missbrauch einlädt.
Trojaner wird zur Staatsaffäre
Reaktion: In Bayern führt der vom Chaos Computer Club (CCC) sezierte Code eines Trojaners - eines Spionageprogramms, das sich unbemerkt in fremde Rechner einschleicht, zu einer kleinen Staatsaffäre. Die soll so schnell wie möglich gelöst werden. Deshalb verständigte sich Bayerns Innenminister Joachim Herrmann mit dem bayerischen Landesdatenschutzbeauftragten Thomas Petri, die Angelegenheit zu überprüfen. Petri sagt gegenüber der StZ: "Wir bitten das Innenministerium, die bayerische Trojanersoftware zur Verfügung zu stellen, aber auch den Kontrollbereich für die Nutzeroberfläche, um festzustellen, was der Bearbeiter mit der Software tatsächlich machen darf." Ein Abgleich dieser Software mit der vom CCC untersuchten Software ergab am Abend dann eine Übereinstimmung. Allerdings wurde noch überprüft, ob es sich um eine Testversion handelt oder um ein Programm, das wirklich zum Einsatz kam.
Sicherheitslücken: Der CCC-Experte Felix von Leitner wies bereits zuvor auf technische Indizien hin, die darauf deuteten, dass es sich bei dem vom CCC analysierten Trojaner nicht um eine kommerzielle, sondern um eine staatliche Software handelt. Der CCC stellte überdies zahlreiche Sicherheitslücken in der Software fest, die dazu führen können, dass Dritte die Lauschsoftware für eigene Zwecke umprogrammieren können. Felix von Leitner: "Aus unserer Sicht waren hier Dilettanten am Werk."
Überprüfung: Normalerweise wird Software, die von bayerischen Behörden eingesetzt wird, vom Bayern CERT überprüft. Bei dem Trojaner war dies jedoch nicht der Fall. Auch ein Bundestrojaner des BKA könnte nicht von der Expertise des Bundesamts für Sicherheit in der Informationstechnik profitieren. Dies hatte nämlich schon vor Jahren eine entsprechende Überprüfung abgelehnt, da damit ein Interessenkonflikt entstünde. Denn das BSI berät auch Bürger, wie sie ihre digitalen Geräte vor Angreifern schützen können.