28. November 2011

Neues vom Bayern-Trojaner: Weitere Informationen zum Einsatz der Spionage-Software

Der Einsatz von Spionagesoftware durch bayerische Sicherheitsbehörden ist massiv in die Kritik geraten. Nach Recherchen der Grünen hat das Landeskriminalamt bislang in 22 Fällen Verdächtige mit so genannten Trojanern überwacht und dabei in sechs Fällen auch Screenshots vom Bildschirm gezogen, obwohl diese Maßnahme vom Landshuter Landgericht für rechtswidrig erklärt worden ist.

<--break->Weitere Maßnahmen wurden durch das Landesamt für Verfassungsschutz durchgeführt, mehrere Trojaner-Einsätze erfolgten in Form von Amtshilfe für außerbayerische Sicherheitsbehörden. Die Grünen haben in Schriftlichen Anfragen an die Staatsregierung weitere Aufklärung über die umstrittenen Einsätze gefordert, zu denen das Innenministerium nun neue Informationen vorgelegt hat.

Was konnte der Bayerntrojaner?

Die Software konnte nach Angaben des Staatsministeriums des Inneren:

  • Messenger Entschlüsselung, also Live-Chats (wie z.B. Skype) überwachen
  • Screenshots (sog. Apllication-Shots)
  • Verifizierung technischer Systemparamenter auf dem Zielsystem
  • Updates von Trojanersoftware auf dem Zielsystem
  • Neustart des Zielsystems um Updates wirksam zu installieren
  • Löschung der Quellen-TKÜ

Wie oft wurde sie eingesetzt?

  • 14 Ermittlungsverfahren, insgesamt 22 Maßnahmen
  • davon 5 Ermittlungsverfahren mit Screenshots, insgesamt 6 Maßnahmen (bislang warn nur 5 Verfahren bekannt), eine Maßnahme wurde erst nach den Anfragen der Grünen Landtagsfraktion begonnen und erst mit Veröffentlichung der Analyse durch den ChaosComputerClub eingestellt (02.10.2011), also weit nach dem Beschluss des Landgerichts Landshut und nach unserem Antrag im Bayerischen Landtag.
  • Amtshilfe in 1 Fall für Hessen, in zwei Fällen für Thüringen
  • Bei einer Maßnahme war die Bundespolizei involviert, ermittelt hat eine bayerische Staatsanwaltschaft
  • Drei Maßnahmen wurden durch das Landesamt für Verfassungschutz durchgeführt.

Wie wurde die Software entwickelt?

Für den Einsatz jeder Maßnahme wurde ein eigener Vertrag mit der Firma Digitask geschlossen. Das ist u. E. bereits vergaberechtlich problematisch, da dadurch die Gesamtsumme der Kosten gestückelt wurde und die Gefahr besteht, dass eine öffentliche Ausschreibung vermieden wird.

Die vertragliche Grundlage war jeweils der EVB-IT Überlassungsvertrag. Das ist ein Mustervertrag, auf den Beschaffer von IT-Dienstleistungen der öffentlichen Hand zurückgreifen können, wenn sie Standardsoftware nutzen wollen. Beim Einkauf von Individualsoftware wird üblicherweise auf den EVB-IT System zurückgegriffen, einer Art Werkvertrag der weitreichende Nutzungsrechte für den Auftraggeber vorsieht. Üblicherweise ist über diesen Vertrag auch der Zugriff auf den Quellcode der Vorschrift möglich. Nur wenn der Quellcode bekannt ist, weiß der Auftraggeber welche Funktionalitäten die Software wirklich hat.

Kosten

Insgesamt wurden mindestens 397.436,20 € aufgewendet, somit stellt sich die Quellen-TKÜ als kostspielige Maßnahme dar (die Kosten für die Maßnahmen 2007 sind darin nicht enthalten, da sind von der Staatsregierung nicht mehr benannt werden konnten).

Rechtlicher Rahmen

Die Quellen-TKÜ unterscheidet sich von der Online-Durchsuchung dadurch, dass erstere sich auf die Entschlüsselung eines laufenden Telekommunikationsvorgangs mittels Computer bezieht. Informationen, die von Behörden auf einem Computer erfasst werden, aber nicht Teil des Telekommunikationsvorgangs sind, können nur auf der Rechtsgrundlage einer Online-Durchsuchung abgegriffen werden. Für die Online-Durchsuchung hat das Bundesverfassungsgericht sehr hohe Hürden aufgestellt. Es gibt derzeit nur im Bereich der präventiven polizeilichen Arbeit (Gefahrenabwehr) Rechtsgrundlagen für diese Maßnahmen. Im Bereich der Strafverfolgung gibt es in Deutschland keine Rechtsgrundlage für eine Online-Durchsuchung.

Vorliegend hat das LKA Bayern mit einer Überwachungssoftware in verschiedenen Ermittlungsverfahren mittels Screenshots Browserfenster abfotografiert. Dabei konnten die Behörden auch den Entwurf von E-Mails mitschneiden, also einer Vorstufe der Telekommunikation. Das LG Landshut hatte deshalb entschieden, dass die Behörden zu weit gegangen sind und rechtswidrig gehandelt wurde.

Grüne Forderungen

  • Quellen-TKÜ mittels Screenshots überschreitet die Grenze zur Online-Durchsuchung und erfolgt deshalb rechtswidrig, diese lehnen wir ab.
  • Informationen darüber, wie die Quellen-TKÜ bei Messengerdiensten angewendet wird, bleibt die Antwort schuldig! Wird nur das Chat-Protokoll überwacht, oder wird auch hier ein Chat-Entwurf mitprotokolliert?
  • Der Landesbeauftragte für den Datenschutz muss Zugang zu Quellcode der Software bekommen, bislang ist man vom guten Willen der Firma Digitask abhängig
  • Zukünftig darf ein Softwareeinsatz in diesem grundrechtssensiblen Bereich nicht ohne die vorherige Einbeziehung des Datenschutzbeauftragten stattfinden
  • Wir fordern Aufklärung darüber, unter welchen Umständen es überhaupt zur Auftragsvergabe an die Firma Digitask gekommen ist, wie die Qualität der Software einzuschätzen ist und aus welchen Gründen der Zugriff auf den Quellcode nicht vertraglich gesichert wurde. Es ist zu hinterfragen, ob solche Software überhaupt von privaten Dritten erstellt werden soll.
  • Wenn das anders nicht möglich ist, dann müsse bei der Beschaffung solcher Softwarelösungen mehr Sorgfalt an den Tag gelegt werden, die Einsichtnahme in den Quellcode ist sicherzustellen. 

Weitere Informationen
Katharina Schulze
Sprecherin für Inneres, Sport und Strategien gegen Rechtsextremismus, Stellvertretende Fraktionsvorsitzende
Tel: 089/4126-2773
Fax: 089/4126-1494
Email.: katharina [dot] schulze [at] gruene-fraktion-bayern [dot] de (Katharina Schulze)