Der Schüler hatte einiges getan, um seine Spuren zu verwischen. Von den USA aus meldete sich der Junge bei italienischen Internet-Servern an, und er benutzte fünf verschiedene E-Mail-Konten, um seine Bombendrohungen in aller Welt zu verbreiten.
Doch das FBI schlug ihn mit seinen eigenen Waffen. Sie schmuggelten ihm ein digitales Spionage-Werkzeug namens "Cipav" (Computer Internet Protocol Address Verifier) auf den Rechner. Das Programm übermittelte Daten über die Internetverbindungen, die der Verdächtige aufgebaut hatte, an die amerikanische Bundespolizei. Kurze Zeit später wurde der Schüler verhaftet.
Mit ähnlichen Methoden möchte künftig auch das Bundeskriminalamt BKA Verdächtige ausforschen. Doch in der hitzigen Debatte, was das BKA im Zuge der geplanten Online-Durchsuchung alles darf, bleibt eine Frage oft im Hintergrund: Welche technischen Möglichkeiten hätten die Bundesbehörden überhaupt, um Computernutzer zu bespitzeln?
"Offensive Überwachung des Internets"
Das BKA selbst gab darüber lange Zeit nur vage Auskünfte. Auch beim Bundesamt für Verfassungsschutz heißt es ähnlich unkonkret, es gehe um die "offensive Überwachung des Internets in seiner ganzen Breite", um "technische Mittel für die Kontrolle von Internet-Telefonie, E-Mail-Postfächern und Online-Foren".
Nach Angaben der Bundesregierung hat der Verfassungsschutz bereits eine unbestimmte Anzahl Computer online bespitzelt. Grundlage dafür ist eine umstrittene und inzwischen gestoppte Dienstanweisung aus dem Hause des früheren SPD-Bundesinnenministers Otto Schily.
Festplatten privater PCs und Speicherplattformen über das Netz verdeckt ausforschen darf zudem der Landesverfassungsschutz in Nordrhein-Westfalen. In dem Bundesland wurden dafür die Gesetze geändert. Ob das rechtens war, darüber verhandelt im Herbst das Bundesverfassungsgericht.
Die Befürworter von Online-Razzien wollen BKA-Präsident Jörg Ziercke zufolge an die Daten, bevor die Verdächtigen die Chance haben, sie zu verschlüsseln und damit dem staatlichen Zugriff zu entziehen. Dafür wolle man eine auf den Einzelfall bezogene forensische Software entwickeln, der das BKA den Arbeitstitel "Remote Forensic Software" gegeben hat.
Seit langem wird spekuliert, wie das BKA die Schnüffelsoftware auf die Zielrechner bringen will. Nach einem Bericht des Online-Fachdienstes heise security gibt es dafür grundsätzlich drei Möglichkeiten. Zum einen könnte die eigentliche Durchsuchungskomponente, die sogenannte Spyware, wie bei einer der überhand nehmenden Viren- und Trojanerattacken mit einer infizierten E-Mail oder über eine manipulierte Webseite in den Zielcomputer geschleust werden.
Die Ermittler müssten dabei versuchen, dem Verdächtigen - etwa unter der Adresse eines Freundes mit passender persönlicher Ansprache - ein neues Computerspiel oder einen Bildschirmschoner unterzujubeln. Das Risiko, dabei von einer Anti-Viren-Software entdeckt zu werden, wäre aber groß.
Der Bundestrojaner kommt Huckepack
Technisch komplexer, aber aussichtsreicher wäre die zweite Variante. Sie setzt die Kooperation von Internetanbietern und Softwarehändlern voraus. Die Schnüffelsoftware - im Jargon anknüpfend an die Odysseus-Sage oft Bundestrojaner genannt - käme dabei Huckepack mit einem unverdächtigen Standardprogramm.
Die Spähsoftware könnte sich so in laufende Prozesse des Systems einnisten. Für Sicherheitssoftware wäre nicht mehr erkennbar, dass die Spionagesoftware und nicht das Standardprogramm Verbindungen ins Internet aufbaut und Daten überträgt.
Als Drittes bliebe die Möglichkeit, eine der zahlreichen Sicherheitslücken in kommerzieller Software auszunutzen. Nach Spionagesoftware brauchen die BKA-Entwickler nicht lange zu suchen. US-Firmen wie Guidance Software bieten bereits professionelle Programme zur "Beweismittelsicherung" an. Das Wiesbadener BKA gehört zum Guidance-Kundenkreis.
Angeblich soll die fernsteuerbare Forensiksoftware aber gar nicht online auf den Zielrechner gespielt werden. Die Erfolgsaussichten dieser Methode schätzt das BKA einem Bericht des Computermagazins Chip zufolge als zu schlecht ein. Die Strafverfolger wollen stattdessen in die Wohnung Verdächtiger eindringen und die Schnüffelsoftware direkt auf dem Zielrechner installieren.
Bei dem Programm soll es sich um einen "Keylogger" handeln. Diese Software zeichnet sämtliche Tastatureingaben auf, umgeht dadurch sämtliche Verschlüsselungen auf dem PC, und verschickt diese Daten anschließend über das Netz.
Konkret soll sich nach "Umfeld-Analysen" mit Hilfe verdeckter Ermittler ein BKA-Team heimlich in die vier Wände eines Verdächtigen vorarbeiten und dort zunächst Kopien von allen zu findenden Festplatten ziehen. Dann soll gleichsam in Einzelanfertigung eine Softwarewanze gebastelt und auf das Zielsystem zugeschnitten werden.
Diese soll dann bei einem zweiten "Besuch" auf dem PC des Verdächtigen installiert werden. Dem BKA ist es aber bislang nur bei Verdacht auf besonders schwere Straftaten im Rahmen eines großen Lauschangriffs erlaubt, "technische Mittel zur akustischen Überwachung von Wohnungen" einzusetzen und dafür das Grundrecht der Unverletzbarkeit des Wohnraums zu brechen.
Keine neuen Gesetze
Außerdem müssen die Ermittler nachweisen, dass ihre Arbeit ohne den Lauschangriff unverhältnismäßig erschwert oder aussichtslos ist. Um das auf Computerüberwachung anzuwenden, müsste eine neue Gesetzgebung her. Davon aber ist bei der geplanten Neuregelung des BKA-Gesetzes nicht die Rede.
Zudem scheint der zweigeteilte Ansatz, bei dem zunächst ganze Festplatten kopiert werden sollen, praxisfremd. Allein dieser Kopiervorgang würde bei gängigen Festplatten mit mehreren hundert Gigabyte Fassungsvermögen Stunden dauern. Zudem bleibt ungeklärt, wie der "Kernbereich privater Lebensgestaltung" außen vor gehalten werden soll, den das Bundesverfassungsgericht als absolut schützenswert bezeichnet hat.
Der Bundesdatenschutzbeauftragte Peter Schaar zweifelt deshalb generell an der Möglichkeit, "dass die Online-Durchsuchungen verfassungsgerecht durchzuführen sind". Das habe ihm bisher niemand plausibel machen können. Schließlich könne auch ein auf bestimmte Suchbegriffe getrimmter "Kommissar Trojaner" nicht zwischen intimen, auf einer Festplatte gespeicherten übertragenen Dingen wie digitalen Tagebüchern und anderen, weniger sensiblen Informationen unterscheiden.
Als Lösung hat die Union das sogenannte Richterband ins Spiel gebracht. Dabei soll ein Richter darüber entscheiden, was von den Informationen verwertet werden darf, welche die Spionagesoftware davor aufgezeichnet hat. Doch der Deutsche Richterbund hält dies in der Praxis nur für sehr schwer umsetzbar, da der Arbeitsaufwand für die Gerichte zu hoch wäre.