Als der Chaos-Computer-Club vor einigen Monaten eine Kopie des von deutschen Behörden eingesetzten Staatstrojaners aufgetan und diesen einer - in Teilen geradezu vernichtenden - technischen Analyse unterzogen hat, löste dies gehörige Wellen in der öffentlichen Diskussion zu dem Thema auf. Nun folgt ein weiterer "Leak" - und auch der hat es wieder in sich, gibt er doch auch Einblick in den den konkreten Einsatz des Trojaners.

Leak

So ist auf der linken Infoplattform Indymedia die Rohfassung eines Berichts des  Bundesdatenschutzbeauftragten Peter Schaar gepostet worden, in der sich dieser mit der "Quellen-Telekommunikationsüberwachung" auseinandersetzt. Auf den bisher 68 Seiten wird dabei allerlei sowohl aus technischer als auch aus Privacy-Perspektive Problematisches aufgedeckt, allen voran ein Fall bei dem private Sexgespräche eines Überwachten aufgezeichnet wurden.

"Fehlende" Funktionen

Dieser hatte sich in intimer Weise mit seiner Freundin per Skype ausgetauscht, all dies wurde nicht nur mitgeschnitten sondern auch bis heute nicht gelöscht. Eine Teillöschung sei technisch nicht möglich, argumentiert die Staatsanwaltschaft knapp. Auch an anderen Fällen zeigt sich, dass man offenbar schlicht auf die Möglichkeit, private, für die Ermittlungen unerhebliche, Informationen zu löschen, "vergessen" hat.

Abschaltung

Ähnliche technische Defizite, die in einer Überschreitung des per Gesetz geregelten Überwachungsauftrags resultierten, gab es auch an anderer Stelle. So verweist Schaar auf einen Fall, bei dem die Überwachung gut fünf Wochen länger als eigentlich genehmigt vorgenommen wurde. Die simple Ursache: Bei der Entwicklung des Staatstrojaners hatte man offenbar nicht daran gedacht einen Mechanismus zur Selbstdeaktivierung  einzubauen, von außen schaffte man es aber in dem Zeitraum angeblich nicht den Trojaner abzuschalten.

Defizite

Darüber hinaus bestätigt der Datenschutzbeauftragte zentrale technische Defizite bei der Implementation des Trojaners, die schon der CCC kritisiert hatte. So sei etwa die AES-Implementierung alles andere als zureichend, da man hier einen fest einprogrammierten Schlüssel verwende, wie sich leicht mit einem Hex-Editor feststellen lasse. Für eine wirklich eingängige Analyse wäre allerdings der Quellcode notwendig, das Fehlen desselben führe dazu, dass die Behörden selbst gar "nicht in der Lage (wären), die Funktionalität der von ihnen eingesetzten Programme zu beurteilen", so der Bericht. Die Dokumentation zum Staatstrojaner sei zudem ebenso mangelhaft wie das Wissen der einsetzenden Behörden über dessen Funktionen.

Fazit

Besonders interessant aber wohl auch eine andere Erkenntnis von Schaar, die die Sinnhaftigkeit eines Staatstrojaner-Einsatzes weiter in Frage stellt: In keinem einzigen der untersuchten Fälle trugen die ermittelten Daten zur Verurteilung eines Beschuldigten bei, in einigen Fällen wurden sie gleich gar nicht herangezogen. (red, derStandard.at, 20.02.12)