Interne Prüfberichte: Staatstrojaner kaum zu kontrollieren
Das Problem bei den Staatstrojaner-Einsätzen bleibt die externe Kontrolle, wie ein von Netzpolitik.org veröffentlichter Prüfbericht des Bundesdatenschutzbeauftragten veranschaulicht. Offiziell hat der Datenschutzbeauftragte nichts zu beanstanden, allerdings werden nur Teile der Software kontrolliert.
Bei dem vom BKA entwickelten Staatstrojanern „Remote Communication Interception Software“ (RCIS) handelt es sich um eine von mehreren Varianten, die deutsche Behörden derzeit nutzen. Seit 2016 kann die Polizei mit dem RCIS-Trojaner Skype unter Windows abhören, seit 2018 lässt sich auch die Kommunikation auf Smartphones abhören, heißt es in dem Bericht von Netzpolitik.org.
Entsprechend der rechtlichen Vorgaben müssen mehrere Behörden diesen Staatstrojaner prüfen, neben dem BSI betrifft das auch den Bundesdatenschutzbeauftragten. Und diesen Bericht hat Netzpolitik.org per Informationsfreiheits-Anfrage erhalten und im Volltext veröffentlicht. Mit zehn Seiten fällt die Länge des Berichts allerdings überschaubar aus, zudem sind diverse Teile geschwärzt.
Stichprobenartige Kontrolle
Veröffentlicht wurden zunächst die wesentlichen Ergebnisse. Offiziell beanstandet wird der RCIS-Staatstrojaner demnach nicht. So gebe es etwa keine Anhaltspunkte, dass die Software Daten außer der laufenden Telekommunikation erhebt – eine rechtliche Voraussetzung für die Quellen-TKÜ, die ausschließlich auf Kommunikationsinhalte beschränkt ist. Anwendungstests haben zudem ergeben, dass die Überwachung beim Ende der Kommunikation automatisch abbricht. Zudem sei der Quellcode zur Quellen-TKÜ gut dokumentiert,
Was laut der Analyse von Netzpolitik.org aber problematisch bleibt, ist der Umfang der Analyse. So wurde nicht der vollständige Quelltext systematisch untersucht, stattdessen nahmen die Prüfer eine „stichprobenartige Einsicht“. Ein Kernproblem bei der Kontrolle von Software wie dem Staatstrojaner ist, dass sich bestimmte Funktionen kaum ausschließen lassen. Werden nur Teile des Quellcodes überprüft, wird das nochmals schwerer.
Hinzu kommen die grundsätzliche Probleme, die in dem Prüfbericht nicht thematisiert werden. Dazu zählen etwa die Konsequenzen für die IT-Sicherheit von Systemen, wenn staatliche Akteure Sicherheitslücken horten, um diese ausnutzen zu können. Weitere Schwachstellen sind die Anfälligkeit für Manipulationen der per Staatstrojaner-Überwachung erfassten Daten sowie die Eingriffe in den Kernbereich der privaten Lebensgestaltung.
Dieser Bereich ist laut Bundesverfassungsgericht auch bei staatlicher Überwachung tabu. Laut dem Prüfbericht reiche es aber aus, wenn solche aufgezeichneten Gespräche wieder gelöscht werden können.
CCC: Effektive Kontrolle findet nicht statt
Ernüchternd fällt daher das Ergebnis vom Chaos Computer Club (CCC) aus. In einer Stellungnahme für Netzpolitik.org schreibt Thorsten Schröder, der für den CCC bereits mehrere Staatstrojaner analysiert hat: „Dieser Bericht enttäuscht. Die Datenschutzbehörde untersucht einen kleinen Teil relevanter Fragen in einem Ausschnitt des Staatstrojaners, und die Öffentlichkeit darf lediglich Auszüge des Befunds lesen.“
Das Fazit: Eine effektive Kontrolle finde nicht statt. Der CCC bietet daher auch an, diese Staatstrojaner-Variante zu prüfen. 2011 hatte der Hacker-Club den DigiTask-Staatstrojaner untersucht, die Analysen offenbarten diverse Schwachstellen. Das Resultat war das Ende für den Einsatz dieses Staatstrojaners.