Der neue Staatstrojaner könnte bereits diese Woche genehmigt werden. Das berichtet der Deutschlandfunk, der sich diese Info durch das Bundesinnenministerium und das Bundeskriminalamt bestätigen ließ. Der Staatstrojaner soll eingeschränkte Funktionalitäten zur Quellen-Telekommunikationsüberwachung bieten, um gesetzliche Vorgaben zu erfüllen. Die „Quellen-TKÜ“ darf nur einzelne Kommunikationsvorgänge abhören, etwa Internettelefonie via Skype oder andere Messenger-Dienste, sofern sie das Voice over Internet Protocol (VoIP) benutzen. Unklar ist, ob das BKA mit der „Quellen-TKÜ“ auch Mail-Programme kompromittieren darf, wenn diese eine Ende-zu-Ende-Verschlüsselung nutzen.
Nach einem Urteil des Bundesverfassungsgerichts vom Februar 2008 zum Einsatz staatlicher Schadsoftware steht das Bundesinnenministerium unter Druck: Denn es muss durch nachprüfbare „technische Vorkehrungen und rechtliche Vorgaben“ sicherstellen, dass sich eine „Quellen-TKÜ“ ausschließlich auf „Daten aus einem laufenden Telekommunikationsvorgang“ beschränkt. Weitere Programme dürfen nur dann abgehört werden, sofern sie für diesen „laufenden Kommunikationsvorgang“ notwendig sind. Keinesfalls darf ein gesamter Rechner durchsucht werden. Das BKA hat die Vorgaben mittlerweile in einer „Standardisierenden Leistungsbeschreibung“ niedergelegt.
Dass die gesetzlichen Vorgaben auch eingehalten werden können, wird bezweifelt:
„Die prinzipielle Unterscheidung zwischen einem Trojaner, der nur Kommunikation ausleiten soll, und einem, der generell auch zum Beispiel zur Raumüberwachung geeignet ist, ist nicht zu treffen“, sagt Frank Rieger, Sprecher des Chaos Computer Clubs dem Deutschlandfunk. „Letzten Endes ist ein Trojaner, der, sagen wir mal, Skype abhören soll, ein Raumüberwachungstrojaner, der nur zufällig nur dann angeht, wenn Skype gerade läuft. Technisch gibt es da keine großen Unterschiede.“
Für diesen Sommer ist das Urteil des Bundesverfassungsgerichts zum BKA-Gesetz zu erwarten, wo der Staatstrojaner Teil der Debatte war. Im vergangenen Sommer gab es dazu eine Anhörung in Karlsruhe, mit Ulf Buermeyer und Constanze Kurz waren zwei unserer Redakteure als Sachverständige dabei. Eine Folge des Netzpolitik-Podcasts bietet dazu einen Überblick.
Die Neuentwicklung des Staatstrojaners war notwendig geworden, weil die zuvor eingesetzte DigiTask-Software zusätzliche Module nachladen konnte, die weit über eine Quellen-TKÜ hinausgingen. Nach einer vernichtenden CCC-Analyse sah sich das BKA gezwungen, das Vorhaben mit gesetzlichen Vorgaben in Einklang zu bringen, eine „Standardisierende Leistungsbeschreibung“ zu erarbeiten und die Entwicklung kurzerhand selbst in die Hand zu nehmen.
Dazu wurden 2,2 Millionen im Bundeshaushalt eingeplant, bis zu dreißig Personen sollen im „Kompetenzzentrum für informationstechnische Überwachung“ daran arbeiten.
Bisher fehlt übrigens immer noch die Rechtsgrundlage für den Einsatz eines Staatstrojaners zur Quellen-TKÜ zur Strafverfolgung. Das BKA darf nur zu präventiven Zwecken Trojaner einsetzen (Gefahrenabwehr, § 20 k, l BKAG), aber nicht zur Strafverfolgung, weil es in der Strafprozessordnung bisher keine Rechtsgrundlage dafür gibt. Die Landespolizeibehörden – bzw. das BKA für sie im Wege der Amtshilfe – dürfen es nur, sofern der Landesgesetzgeber das geregelt hat, und ebenfalls nur zur Gefahrenabwehr (für Strafverfolgung gilt abschließend die StPO). Dass es für die Strafverfolgung per Trojaner keine Rechtsgrundlage gibt, sieht übrigens sogar der Generalbundesanwalt so, also immerhin die Staatsanwaltschaft, die das BKA anleitet.
Update: Der Deutschlandfunk-Journalist Falk Steiner berichtet aus der Bundespressekonferenz, dass das Bundesinnenministerium heute die Genehmigung erteilt habe.