Staatstrojaner für Quellen-TKÜ ab Herbst verfügbar

Um gezielt Ende-zu-Ende-verschlüsselte Kommunikation abfangen zu können, entwickelt das Bundeskriminalamt (BKA) schon seit geraumer Zeit eine angepasste Version des Staatstrojaners. In einem Spiegel-Interview hat BKA-Chef Holger Münch nun verkündet, dass die Software ab dem Herbst 2015 einsatzbereit sein und auch den Ländern zur Verfügung stehen soll.

Die Software zur „Quellen-Telekommunikationsüberwachung“ soll sich in einzelne Kommunikationsvorgänge einklinken, die über VoIP-Messenger wie Skype abgewickelt werden, und deren Inhalte an die Behörden weiterleiten, bevor die Verschlüsselung zu greifen beginnt. „Wir entwickeln ein Instrument, mit dem wir – nach richterlicher Genehmigung – an den Computer des mutmaßlichen Täters gehen, bevor er seine Kommunikation verschlüsselt“, erklärte Münch. Für Quellen-TKÜ gelten deutlich niedrigere Hürden als für eine komplette Überwachung eines Rechners.

Die Neuentwicklung des Staatstrojaners war notwendig geworden, weil die zuvor eingesetzte DigiTask-Software zusätzliche Module nachladen konnte, die weit über Quellen-TKÜ hinausgingen. Nach einer vernichtenden CCC-Analyse sah sich das BKA gezwungen, das Vorhaben mit gesetzlichen Vorgaben in Einklang zu bringen, eine „Standardisierende Leistungsbeschreibung“ zu erarbeiten und die Entwicklung kurzerhand selbst in die Hand zu nehmen. Ob dabei auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) mitgeholfen hat, bleibt unklar.

Update: Zur nach wie vor wackligen Rechtslage siehe den Kommentar von @vieuxrenard.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

11 Ergänzungen

  1. Ich fordere eine neue Analyse des CCC inklusive einem ähnlichen 2-Stunden-Analysevortrag auf dem nächsten CCCongress! :)

    1. Jo, ich stell mir das so vor wie iFixit. Verschiedene Hackergruppen versuchen an das Teil zu kommen und zerlegen das wie blöd. Kann mich noch an den Hacker des iPhone-Fingerabdruckscanners erinnern, der hatte soviel Speed gezogen, dass sein Finger zitterte. Ich schätze innerhalb eines Monats nach Einsatz ist das Ding komplett zerlegt. 5 Salafisten sowie einen Honeypot geschnappt, 5. Mio EUR Entwicklungskosten in den Sand gesetzt. Höhö.

  2. Was in dem Beitrag noch fehlt ist der Hinweis auf die fehlende Rechtsgrundlage für die Quellen-TKÜ.

    Das BKA darf nur zu präventiven Zwecken Trojaner einsetzen, aber nicht zur Strafverfolgung, weil es in der Strafprozessordnung bisher keine Rechtsgrundlage dafür gibt. Die Landespolizeibehörden – bzw. das BKA für sie im Wege der Amtshilfe – dürfen es nur, sofern der Landesgesetzgeber das geregelt hat, und ebenfalls nur zur Gefahrenabwehr (für Strafverfolgung gilt abschließend die StPO). Dass es für die Strafverfolgung per Trojaner keine Rechtsgrundlage gibt sieht übrigens sogar der Generalbundesanwalt so, also immerhin die Staatsanwaltschaft, die das BKA anleitet:
    https://netzpolitik.org/2013/gutachten-der-bundesanwaltschaft-keine-rechtsgrundlage-fur-quellen-telekommunikationsuberwachung/

    Zum rechtlichen Hintergrund haben Prof. Dr. Matthias Bäcker (der aus der NSAUA-Sitzung) und ich schon 2009 einen Überblick geschrieben, der heute noch aktuell ist:
    http://www.hrr-strafrecht.de/hrr/archiv/09-10/index.php?sz=8

    Wer’s gern etwas knapper hätte – Thomas Stadler hat eine gute Zusammenfassung:
    http://www.internet-law.de/2011/10/die-quellen-tku.html

    Das Problem mit der Rechtsgrundlage muss unbedingt immer dazugesagt werden, weil es bereits Amtsrichter gab, die allen Ernstes einen Trojaner-Einsatz gebilligt haben, weil das ja sowas Ähnliches wie eine normale Telefonüberwachung sei.

  3. Eines der ersten Mittel der Wahl gegen den Bundestrojaner ist der Wechsel des BIOS zu Coreboot http://www.coreboot.org/ da ein freies BIOS dem Trojaner das Leben auf jeden Fall nicht leichter macht, auch wenn noch vollkommen unbekannt ist, wie der Bundestrojaner arbeiten soll.

  4. @vieuxrenard: Wo kein (informierter) juristischer Beistand des Abgehörten, da kein Recht?

    Wer per Bundestrojaner abgehört wird, der bekommt es ja nicht gesagt ;-) Wenn aber die Genehmigung einer Abhör-Aktion zur Strafverfolgung aufgrund von Unwissen des Richters erfolgt (wie im Posting beschrieben), wie wird dann ein unwissender „bevorstehend Abgehörter“ vor dieser Maßnahme geschützt? – Gibt es dann kein Recht, weil ggf. Zufallsfunde den zu Überwachenden auf anderem Wege angreifbar machen?

    Die Intransparenz finde ich schon ziemlich gruselig – hoffen wir, dass der Trojaner auch dieses Mal nicht rein gelassen wird ..

  5. Ich muss gestehen, ich hab so gut wie keinen Schimmer von der Thematik. Würden aber denn Live-Systeme helfen? Da dürfte es doch eigentlich kaum möglich sein, Trojaner zu installieren. Oder ist diese Idee ein Beleg für meine Ahnungslosigkeit IT betreffend?

    1. solange sich das zeugs nicht ins BIOS flashen kann (durch irgendeine sicherheitslücke in deinem live-system) hilft das vermutlich. schon ein gutes, sicheres, weniger verbreitetes system zu nutzen, hilft vermutlich.

    2. @mego

      Wenn Du eine Tails CD / DVD https://tails.boum.org/index.de.html nimmst und es tatsächlich von CD / DVD laufen lässt kann eigentlich auch kein Bundestrojaner installiert werden, da Tails keine Zugriffe auf das normale Betriebssystem zulässt und speichern (für spätere Aktionen) ist auf der CD / DVD so extrem schwierig, dass das auch kein BKA usw. kann. Wirklich auf der 100% sicheren Seite bist Du nur mit einem zweiten (AirGap) Computer der nie ins Netz darf. GPG Key erzeugen / Sachen verschlüsseln usw. die wirklich sicher sein sollten, macht man nur auf so einem AirGap. Allerdings solltest Du auf deinem normalen Rechner weiter so tun als wäre alles normal, würdest Du dir keine Gedanken machen um keine Neugier zu erwecken (falls Du tatsächlich Target bist), denn Veränderungen im Verhalten erregen immer Aufmerksamkeit. Der AirGab ist übrigens auch nur dann sicher, wenn Du ihn 24/7 unter Kontrolle hast – kein Behördenmitarbeiter jemals ohne dein Beisein Zugriff auf ihn haben konnte.

    3. sudo apt-get install bundestrojaner würde ich mal sagen. Ich hoffe es gibt Debian/Ubuntupakete und man muss den Scheiss nicht selber kompilieren.

  6. Ein Land, das solche Mittel gegen seine Bürger einsetzt, ist seiner Existenz nicht mehr wert.
    Ich hoffe, dieses Terrorregime wird bald aufgelöst und dann ein Land geschaffen, in denen Grundrechte auch als Solche Bestand haben und nicht von Terrori… ääh Juristen haarklein in haarspalterischerer Art und Weise auseinander genommen werden.

    Tja, und dann bin ich aufgewacht.
    *
    Ich komme immer mehr zu dem Ergebnis, dass die RAF alles andere als schlecht war. Die Ziele waren vielleicht etwas falsch definiert. Aber eine Regierung, die so wie unsere mit uns allen umspringt, gehört eigentlich auf die Sondermüllkippe der Geschichte entsorgt. Und mit ihr diese ganzen „Polizei“-Behörden, die nur noch Angst und Terror auf Basis von Lügen verbreiten.
    *
    Wir werden es erleben, wenn der Bundestrojaner erst 10x eingesetzt wird, danach 100x und bald darauf 500.000x. Genauso wie die Nutzung von Vorratsdaten explodieren wird. Aber egal, interessiert hier doch sowieso niemanden in Deutschland.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.