Prüfbericht zur Überwachungssoftware:Pannenprodukt Bayerntrojaner

Hat Bayern unzulässige Schnüffelsoftware eingesetzt? Der jetzt vorgestellte Prüfbericht des Landesdatenschutzbeauftragten Thomas Petri kommt zu einem zwiespältigen Ergebnis.

Mirjam Hauck und Johannes Kuhn

Haben bayerische Sicherheitsbehörden ein Computer-Ausspähprogramm eingesetzt, dessen Funktionen weit über das Erlaubte hinausgehen? Im Oktober 2011 bekam der Chaos Computer Club eine Festplatte zugespielt, die genau dies vermuten ließ.

Die Software besitze, so die damalige Analyse der CCC-Experten, jene Spionagefunktionen, die vom Bundesverfassungsgericht verboten wurden. Über ihn ließen sich Programme nachladen, mit deren Hilfe sich die Kontrolle über einen Computer übernehmen lasse - und damit theoretisch die Fälschung von Beweisen ermöglichten. Auch könne der PC eines Verdächtigen komplett durchsucht oder zur Raum-Überwachung genutzt werden. Zudem sei das Anfertigen von Screenshots möglich - und damit das Eindringen in die Privatsphäre eines Nutzers.

Weil der Staatstrojaner sich schnell als Bayerntrojaner herausstellte, den das bayerische Landeskriminalamt eingesetzt hatte, kam Innenminister Joachim Herrmann (CSU) unter Druck - und versprach, die Software dem bayerischen Datenschutzbeauftragten zur Prüfung zu übergeben.

Nach einem dreiviertel Jahr und kurz nach Beginn der bayerischen Sommerferien hat nun der bayerische Landesbeauftragte für Datenschutz, Thomas Petri, seinen Prüfbericht vorgestellt. Dabei zieht er ein gemischtes Fazit:

[] 23-mal führten die bayerischen Strafververfolgungsbehörden mit Hilfe des Programms eine sogenannte "Quellen-Telekommunikationsüberwachung" (Quellen-TKÜ) durch, bei der die Computer-Kommunikation von Verdächtigen abgehört wird. Allen Fällen ging eine richterliche Anordnung hinaus. Beim Aufspielen der Software habe das Landeskriminalamt alle Sorgfaltspflichen beachtet.

[] Die Beschaffung der Software hingegen war "in mehrfacher Hinsicht mängelbehaftet": Der Auftrag an die Software war schlecht dokumentiert, das LKA verzichtete zudem darauf, die Firma zu verpflichten, keine "überschießenden Überwachungsfunktionalitäten zu liefern". Die Behörde bestand auch nicht darauf, zumindest in Stichproben Einblick in den Quellcode der Software zu erhalten, kritisiert Petri.

[] Der Bayerntrojaner selbst enthielt keine zuverlässige technische Begrenzung auf bestimmte Überwachungsfunktionen. Die Software wäre um Funktionen erweiterbar, die weit über die gesetzlich zugelassenen Überwachungsmethoden hinausgingen. So sei es laut Petri "wohl einfach" gewesen, über die Installation eines Lizenzschlüssels Programme auf dem Rechner eines Nutzers zu starten, statt nur der Kommunikation zu lauschen. Allerdings gibt es keine Hinweise darauf, dass solche Funktionen genutzt und das LKA über das erlaubte Maß hinaus geschnüffelt hat.

[] Die im Raum stehende Frage nach dem Gebrauch und der Zuläsigkeit der Screenshots lässt Petri unbeantwortet. Er könne keine Aussage treffen, ob das LKA diese Funktion benutzt habe, und um die rechtliche Beurteilung müsse sich der Gesetzgeber kümmern. Grundsätzlich sei sie aber vorhanden gewesen - und biete die Möglichkeit, ganze Bildschirme und nicht nur Chat-Fenster zu fotografieren. Dies geht über das zulässige Maß der Quellen-TKÜ hinaus. Petri spricht bei der Screenshot-Funktion von einem "Graubereich". Das Landgericht Landshut hatte in einem Fall Screenshots für rechtswidrig erklärt.

[] Zu weiteren technischen Mängeln der Software, die Petri auflistet, gehören zum Beispiel fehlende Sicherheitsupdates und eine mangelhafte Protokollierung der Firewall.

Überschrittene Grenzen

[] In neun von 20 Fällen seien Softwarelisten ausgelesen worden, bei denen es zumindest fraglich sei, ob dieser Ausleseprozess von den richterlichen Anordnungen erfasst war und man Betroffenene über eine "etwaige Beeinträchtigung der Integrität eines infiltrieren IT-Systems" hätte unterrichten müssen. Allerdings folgert Petri auch hier: "Konkrete Hinweise auf Maßnahmen, die den Kernbereich privater Lebensgestaltung beeinträchtigt hätten, habe ich nicht vorgefunden."

Anders als bei der Online-Durchsuchung wird bei der Quellen-TKÜ nicht der Computer durchsucht, sondern nur die laufende Telekommunikation überwacht, also etwa verschlüsselte Internet-Telefonate via Skype oder verschlüsselte E-Mails. Um die Verschlüsselung zu umgehen, müsste der Staat eigentlich direkt am Computer sitzen.

Der Einsatz eines Trojaners ist grundsätzlich möglich - dieser muss aber so programmiert werden, dass er nur die Daten aus der laufenden Telekommunikation speichert.

"Es ist nichts passiert"

Dass das LKA diese Grenzen in der Praxis überschritten und auch andere Informationen gesammelt hat, glaubt Petri nicht. "Wir können das nicht abschließend beurteilen, aber zu 95 Prozent kann man sagen, es ist nicht passiert", sagte er bei der Vorstellung des Berichts.

Zudem sind in Petris Augen einige Gesetzesänderungen nötig, um solche Pannen künftig zu vermeiden: Bei der Auftragsvergabe müsse ganz klar festgelegt werden, welche Funktionen ein Trojaner haben darf.

Außerdem sollten die Software-Hersteller verpflichtet werden, ihren Auftraggebern bei den Sicherheitsbehörden Einblick in jede Funktion der Trojaner-Software zu geben. Petri sieht sowohl Bund als auch Länder gefordert, weil der Bund für die Strafverfolgung zuständig ist, die Länder für die Verbrechensvorbeugung.

Ganz anders sieht das Bayerns Innenminister Joachim Herrmann (CSU): Alle Vorwürfe hätten sich als haltlos erwiesen, sagte Herrmann. "Ich möchte, dass wir auch in Bayern so schnell wie möglich wieder technisch einsatzfähig sind." Für die von Petri geforderten Gesetzesänderungen gebe es "keinen zwingenden gesetzgeberischen Bedarf".

SPD und Grüne forderten dagegen den vollständigen Verzicht auf Trojaner. Die bayerischen Jungen Liberalen, die Jugendorganisation der FDP, forderten Herrmann zum Rücktritt auf.

Zur SZ-Startseite
Jetzt entdecken

Gutscheine: