Bayerischer Datenschutz-BeauftragterSchwere Fehler beim Einsatz von Staatstrojaner

Beim Einsatz von Staatstrojaner-Software in Bayern sind schwere Fehler gemacht worden. Das stellt der Landesdatenschutzbeauftragte nach acht Monaten fest und fordert Konsequenzen von Strafverfolgungsbehörden und Gesetzgeber. Die genauen Abläufe der Einsätze konnte er nicht nachvollziehen, weil die Behörden die Fälle mangelhaft dokumentiert haben.

Von 2008 bis 2011 wurden in Bayern 23 mal Staatstrojaner zur „Quellen-Telekommunikationsüberwachung“ eingesetzt. Diese hat der Landesbeauftragte für den Datenschutz nun untersucht und einen Prüfbericht veröffentlicht. Das sind nur die Verfahren der Strafverfolgungsbehörden, den Verfassungsschutz darf er nicht untersuchen. Ein Drittel der bisher abgeschlossenen Verfahren wurde trotz Trojaner-Einsatz eingestellt.

Alle verwendeten Trojaner waren von der Firma DigiTask, daher dürfte die Software dem vom Chaos Computer Club analysierten Trojaner ähneln. Wie der CCC hat auch der Datenschutzbeauftragte Dr. Thomas Petri nur Binärdateien untersucht. Zwar wurde ihm auch Einblick in den Quellcode angeboten, doch dafür wollte DigiTask einen Geheimhaltungsvertrag.

Zur Prüfung hat sich Petri vom Landeskriminalamt Unterlagen, Akten und Software geben lassen. Er kritisiert:

Zusammengefasst konnten die Geschehensabläufe mangels hinreichender Dokumentation nicht umfassend nachvollzogen werden. Im Hinblick auf die Eingriffsintensität sind derartige Dokumentationsdefizite aus datenschutzrechtlicher Sicht als Verstöße gegen § 9 BDSG bzw. Art. 7 BayDSG anzusehen.

Obwohl er deswegen die Zusammenhänge der Auftragtserteilung nicht vollständig nachvollziehen konnte, bezeichnet Petri die Aufträge an DigiTask als „in mehrfacher Hinsicht mängelbehaftet“. So fehlte in den Verträgen die Möglichkeit, den Quellcode sehen zu dürfen. Das Personal von DigiTask zur „Fernwartung“ wurde nicht einmal vertraglich auf das Datengeheimnis verpflichtet.

Auch gab es keine vertragliche Verpflichtung, nicht mehr Überwachungsfunktionalitäten zu liefern als rechtlich zulässig sind. Kein Wunder, dass die gekaufte Software diese gesetzlichen Vorgaben dann auch missachtete:

Soweit überprüfbar enthielt die Überwachungssoftware keine zuverlässige technische Begrenzung auf bestimmte Überwachungsfunktionen. Eine solche Funktionsbeschränkung wäre aus datenschutzrechtlicher Sicht nicht nur über die Beschränkung der Benutzeroberfläche der Überwachungskonsole geboten gewesen.

Eine rechtlich gebotene Begrenzung auf bestimmte Überwachungsfunktionen wird durch diese Möglichkeit, beliebige Programme zu starten, praktisch unmöglich gemacht.

Da die so genannte „Quellen-Telekommunikationsüberwachung“ nur Telekommunikation an der Quelle überwachen darf, sind darüber hinaus gehende Überwachungsmaßnahmen wie bei einer „Online-Durchsuchung“ unzulässig. Trotzdem war es dem Team des Datenschutzbeauftragten teilweise möglich, nicht nur „Applicationshots“ von Kommunikations-Programmen sondern Screenshots des gesamten Bildschirms anzufertigen.

In zwei anderen, noch nicht abgeschlossenen Maßnahmen, die daher noch nicht konkret prüfbar und zu denen mir auch die dazugehörenden Beschlüsse nicht vollständig bekannt sind, konnte in der in meinem Haus aufgebauten Testumgebung mit den exakt gleichen Aufrufparametern nicht nur der Inhalt eines Browserfensters, sondern der des gesamten Bildschirms übertragen werden. Dies war unabhängig von dem gerade aktiven Fenster möglich. Auch wenn etwa als einziges Fenster ein Office-Dokument geöffnet war, konnte mit den beiden Binärdateien dieser Maßnahmen ein vollständiger Screenshot gefertigt werden.

Unabhängig von dem unter 5.2 dargestellten Streit über die Zulässigkeit von Applicationshots ist jedenfalls die Anfertigung von Screenshots im Rahmen einer Quellen-TKÜ unzulässig, weil und soweit sie auch auf dem Bildschirm befindliche Daten erfasst, die offenkundig nicht einer laufenden Telekommunikation zuzuordnen sind.

Was die Beamten tatsächlich mit der Software gemacht haben, war auch nicht rauszukriegen. Es gibt zwar Logs von der Überwachungskonsole, aber die sind mehr als dürftig:

In den drei von mir umfangreich geprüften Protokollen fanden sich im Schnitt je drei Einträge über den gesamten Zeitraum der Maßnahmen. Mehr als fünf Einträge fanden sich in keinem Protokoll.

Aus datenschutzrechtlicher Sicht waren die Einträge in den Protokolldateien sowohl wegen der mangelnden Quantität als auch der ungenügenden Qualität sowie der nicht nachprüfbaren Authentizität nicht ausreichend.

In den Protokolldateien müsste mindestes erkennbar sein, welche individuelle Person Aktionen veranlasst hat. Gruppenkennungen reichen hier nicht aus. Auch müssten alle relevanten Aktionen, wie etwa „Funktionalität ein- oder ausgeschaltet“ und ob diese Aktion wirksam war, protokolliert werden.

Die Verschlüsselung der übermittelten Daten hat der CCC ja schön auseinandergenommen. Aus der Pressemitteilung:

Die ausgeleiteten Bildschirmfotos und Audio-Daten sind auf inkompetente Art und Weise verschlüsselt, die Kommandos von der Steuersoftware an den Trojaner sind gar vollständig unverschlüssselt. Weder die Kommandos an den Trojaner noch dessen Antworten sind durch irgendeine Form der Authentifizierung oder auch nur Integritätssicherung geschützt. So können nicht nur unbefugte Dritte den Trojaner fernsteuern, sondern bereits nur mäßig begabte Angreifer sich den Behörden gegenüber als eine bestimmte Instanz des Trojaners ausgeben und gefälschte Daten abliefern. Es ist sogar ein Angriff auf die behördliche Infrastruktur denkbar.

Der Landesdatenschutzbeauftragte sieht das anders:

In Bezug auf die abgeschlossenen Maßnahmen konnte die Verschlüsselung der Übertragungswege zum damaligen Zeitpunkt zu den damaligen Rahmenbedingungen noch als ausreichend angesehen werden. Zum gegenwärtigen Zeitpunkt wäre die Verschlüsselung allerdings als unzureichend anzusehen.

Betrachtet man die realistische Möglichkeit eines Angreifers, der über keine weitergehenden Informationen zum Verschlüsselungsverfahren oder über einen Zugriff auf RCU-Binaries verfügt, ist es für ihn nahezu unmöglich, die übermittelten Daten zu entschlüsseln. Somit kann die Verschlüsselung zum damaligen Überwachungszeitpunkt gerade noch als ausreichend angesehen werden, auch wenn durch die Vermeidung des ECB-Modus ein höheres Sicherheitsniveau einfach zu erreichen gewesen wäre.

Die Verschlüsselung hält er sogar für gut genug, dass die Daten auf Server im Ausland übermittelt werden können:

Wenn eine ausreichend wirkungsvolle Verschlüsselung, die ich im Blick auf die Gesamtsituation gerade noch zugestehen kann, eingesetzt wird und auf dem Proxy-Server selbst keine personenbezogenen Daten gespeichert oder verarbeitet werden, spricht grundsätzlich nichts gegen eine Platzierung von Proxy-Servern im Ausland. Die Ermittlungsbehörden trifft dann allerdings eine besondere Sorgfaltspflicht bezüglich der Sicherstellung der Verfügbarkeit des in Anspruch genommenen Proxy-Servers. Diese gesteigerte Sorgfaltspflicht wurde vorliegend nicht beachtet.

Dumm nur, dass man nicht mal die Kommunikation oder den Server hacken muss, sondern sich einfach einen Server mit der IP holen kann:

Bei der Kündigung wurden seitens des BLKA nicht die gebotenen Vorkehrungen getroffen, dass die IP-Adresse nicht erneut an einen anderen Kunden des Anbieters vergeben werden konnte. Für den Fall, dass ein neuer Kunde diese IP-Adresse zugeteilt bekommen hätte, hätte er – bei entsprechenden Kenntnissen – alle noch aktiven RCUs steuern und die gewonnenen Daten empfangen können. Dieses Szenario ist nicht unwahrscheinlich.

Versagt haben die Behörden auch darin, die Betroffenen darüber zu informieren, dass der Staat ihre Computer infiltriert hat:

Nach Abschluss einer Quellen-TKÜ ist der Betroffene des infiltrierten Gerätes regelmäßig nicht nur über Beeinträchtigungen der Vertraulichkeit eines Gesprächs, sondern auch über eine etwaige Beeinträchtigung der Integrität eines infiltrierten IT-Systems zu unterrichten. Aus den mir vorgelegten Unterlagen ergibt sich, dass die Betroffenen nicht über die Integritätsbeeinträchtigung informiert wurden.

Damit bleibt der bayrische Landesdatenschutzbeauftragte hinter der Kritik seines Bundeskollegen zurück. Statt einer Abschaffung der Maßnahme fordert Petri lediglich Nachbesserungen von Strafverfolgungsbehörden und Gesetzgeber. Dem Vernehmen nach setzen aber immer noch Staatsbehörden Software von DigiTask ein.

2 Ergänzungen

  1. Statt einer Abschaffung der Maßnahme fordert Petri lediglich Nachbesserungen von Strafverfolgungsbehörden und Gesetzgeber.

    Und die Auswirkungen seiner Forderung sind dann genau welche?

    1. 500 Internal Server Error

      Leider ist etwas schiefgegangen.

      Eine Spezialeinheit hat die Mission übernommen, das Problem zu lösen.

      If you see them, show them this information:
      3fO7ZVEHySvIo-5hFZ4FAxhmnSoYyDnsA5y5fWYQrFkJ0e3dEV_1SVKnBQ5r
      rsk9sPUNME9e2jg7Fs5V-mjM6XMwDSTs8X9BVMhJabUH029lR2J-UeI89dMo
      3KgZNFHKeMxrs3j4mrxEPTUuGcNIi40MbUdjKbbSJq7_N21B27PD9lbK2FqE
      P1F7u4EQWuSdxiOrCY32p6tSHJ1bIx5i8LVDrYeznu6g0auEpVfCsAOszysy
      S1UuRw0ouWdJtdqsQKEz_oeXQBVOXQ8uAwS9bGhmlYQ44fjr2pDjdw2tHcoV
      thEv9taO7rkRuvsg4iNyz0daSrpCpZC9Il1AiDSswB7809FgffnVhGjryWEK
      fY5C42wDyvkxjpNX09LDjCtWsvx5rHYGzPzBHpcjubAy3dnzP-s49loaS_wW
      ez8AhUHdaRtnT8mKCqv0nktQWs5rbBOi2AP1BEkqwMpr46e2BUKSJQav_f1i
      du3uEerWNHnSyGlzqySvwyiTFo6kSBLxJ0Z-1UDUi1L-FLrLhUmKMK1MlqwK
      zbCCVU2rZRtX50IeBNA3kLQn9NzIce4QjQs9q17v-c0p9V5j0i2H9L6lPwxA
      3GfpweK8XE1v2oVyvYsYx-iUB7sEFO52eG1iL8ZIChi29M9EuFD1xRZ9nauW
      1gWElKbQloMOCNCUs3CYxlbGfRzTU6OL_FRxScJmqlef1tpyF533acBeb0f_
      E7JNvU1Weh9zucorcMzVcz7pFmxIqbP486cdeUe3Zy5YTqyJhzCdOL6-qGqJ
      8ssSl5RWWftwWbekbvWPDN8QAUDMqdS6aYub7S6UMzAmKbmMGF5IHo6zIkk8
      qfxx0Tc_HPKug-emZsS_OI3mHu2yvcNWcQEVJeBFJzxHCn7hzFu67GVEj3tz
      ZxhzXNJathlvv7VJOCwdtUqDLoZNHHQv2PhlZCyQnN8fmXCkjJf3l5eaeL_H
      3uGZma6QsVAY3uJ8aiidhpiu20_FhFIlxERC8h5cL4lYSdqzc57lxb8Gbr-e
      eITEvri9irZYfDAxOQa60sL9IbAtrrL2mj1EQuFNB9eqa1-NGcG7bXXK6Lzh
      TVC5AqATEzGW_sXp9CdXqdZy5IbVUWdg4_7xSe3uQpiRo3xkSx1lj7d5CUGR
      zT-tATfPkhmWSfci6V1HexyE7pgen8iO4RLJqxHuvoFuVaKuQNUN-_RYYcsh
      t3JO0s7PiQ2E-oJ1mjc21pZPvTWZUFNiAVlsvEXiWwuHxNyqttkZ5BDj6Ts1
      L5Uu6huBqt8mKmpSHBMK5WwD9aAzZhw067lYK5fOB4L7Lbto739BJPCi7Fdp
      zNSjAu9R5qLff8_klZ8s896P8JCfPDbCfj5eVo0CxhHTWJbDwCOgyMOL20dR
      gzj16ZNbMfq8kYDCjuIHWUVphYd7bqil9TROnmRQnWmg3Fi0kOBVjgmQkLk4
      rDQdSSCOygtw3c2s8hSAp8wE9SmrL_xlCT1EH5RaoquhfojirFMJdwW6tT7H
      -e1MijsrPcJyv9M8IiY9J5KDnrv-co4oD65BZKD1N3Gwx_0XHDEqeYQS91_z
      aRuQwcWCdAenCQ9obXBbeN2KlxfxF6PcPBjUS3DAXz938jPbTpTMyz1CNdgJ
      1nCytt9hPQKEFpCMZVWiMxdg7wUrmamdFHnOh7se_EpJ0oHwF-c6UvEmHptK
      TuzZ6Mhf2k3CEqSgt_0OwlcWpCa9CTO4ZnLRkFgK0sKl9RhuVfMtwC6MLlin
      9wnmgduFGjoZVpYhsqv5SHHTtsilHvA4CssJ4TWQtIWtfkLH9UTSbPR-IKp5
      Msz5M3g4mlpr39tcRmszMVulW83Puz9__J-VwBiGm2b6cDoRWw7gP59DiIBL
      -_O7krDD9uZiRh5lerusbfUvDneHEodLkfQe8Oh_WXKHnuF9POfORlp-h1P5
      mA2Ktjt5gEBIsc-eObJRuXvmJxei-B0qKC-6IZTA2CWPQwcu9OtXOoW4-Lr-
      TmQuevsyd2FPy5t1m163pwTQ4Y4h9nzzMbybi3cyMBDkkv-0ME00Zig6GBV_
      Z5bGQwMisc0JDiWy6hIEIXmL9Yis-1ltWIKy_EI4ZuTItIDdkXDBbOGHpp_x
      EiPy_nBQfbovVNNA4p9wQ27exzkzSCA_NSY3WD_CS3pbzfK5pHgROdats84X
      nAhxG7NkmvyFYXeRC0vJ411RU-17p65lGgHeYqxtstfs8seTy3EplqwTbiZ2
      rJgci1ZFToAm19z2Np4J9ntppyaHvBBnn6WtLYFX9HtrciO2XW3dlgpXAeKl
      bZ30xyVSgeK5SPrWbKX2bNh4lBuWoLis0gFD9vvvIalIerjtbjYxaEjFVjCx
      gpkjpkL_-F88Odd8DE200xFS3WC784rLWendfvhtvm0ROMIHRXppXg5FvCAX
      ousyk6AtfRqNZyr_qdXMK3lTvHcSeWVdYYj6MdIKZE-Wf4uyL1yRj94V7jt5
      -3L6WxgU3ml-XRjxPIP5_IYPEmTGZxGqBJL41Qwr-CaRRWJ8Wu0R2y0H3dkO
      R-nWtojryknJDREc9FkT6g80RpCBAQH5Mem-oWiPaxCPMjiVgh17CBjjG759
      lMIAYljds191fkMRDX61ERDmYIShTd6qQk3K6Wf6PbKPE2LmYW6AOoBe-yIM
      CJ-c6RCwqQblmVqRLQXNbOt-MgcmhQFG9uXlMN9eb21Fx_9Z2pBCmEFPg0Qa
      7xUrG42nwmviOuE70GYUGAh9-8v7v9CpgNeKvHaDRNh1tc9XHp0hXaHxvk9e
      dS-oKsyC2PavFpLwCxXdFaF6Td_gJkaxtLJi8tum-vpBDiT4HidYd-SAu_Uy
      aye9i4VmiD7QM0hJiXvahQYa0frzQZCLITps5D8qhofX2VXj10Traycqgcco
      ykuH1rBuarakJ58zsdtzqV4bj0y6eD1ATZ_6rfzjC7HyIgPWblW4R3iKelZi
      xNcUi7fuQ0jYKglXIJUSK1mVuJqX0aG35EUj0R0sJZw6U6XIdjfwr_XK7qx3
      9OE7RwQR2L7V4NeqzTPDxrCYFaQ8aLfjdhxS5bmkSTHIV4hciuoYUpb_CEAH
      gF2QxFATp9qUXLdf0Y0QovKdI0zZdkRH0S5hNYldzadiHprYDNrVZsPCE-sj
      18Igk728ND1A_10dCXJrYLgt3_ONf8lS5t0HShonkiefn6KlQ1l_noF1GaaY
      J0z1Eb_hcBc7vqJBbwMbta0v7pLFntIl1Grho8DoQVcWI84Vb9eowlsTllZC
      Fx86GfCSVryAFwiGog7SKSz1at6fRxK7Zdb1LyL9b2GkM5ZrvwHzT4nUn5vJ
      dF63TxrhCXWX0Bj0U2Qjm18KDnfZ_IZQKHXkzNokKThjodrgkAIN9nbOcXxd
      –yM3wCRnZoirlFCOXvrQD8eNHA6gDtslINddheWqKhKkPUrdjtyYA6dKlUJ
      pDx3zS9t0A_CnUwOOErwNlv2ry_sZULiou5Z1dzrdLBq7Qha0s9nZf6UkJtg
      alrYD9mSdog_cA6qn8_Tlt1aD41jv1FDiytW4A9tzkI8TqUec63ADfdqgIWH
      mUCoOUD67UKvPIihTNmvxybMOVBHt5ZxTL6yLSYjeF2HOn6mLMCtVx_LUtmk
      B37o-e8XmH249bnd0_R_HkLjuV0CvEEo9Y5p-oocMe52JLDGLgx1XrHFSn_u
      88Fs0hy6d08NISf_shn8CowdmNfnlZkSn4ao61qQ44WVkpa2M40GQRv8-G7q
      AS_TF5v_LdzVXCo-KQXs62N4sJAmhFmhF1ZftuL8-QGSt4YJ9qtDovcDRNAp
      sgRe20DYzWSXgDoXhH_V-l7Sq0UZU46c3U5NCsUKNJtkkj-6jsHU-DhRg0Rb
      etr-Ez37KlIkz0zOOU20Djj5LBSCNLk6bFrpSEjwviKzC8E0Ww4ARGekm5c1
      6h9N12sgkkCXungSfr619FiyYk25D1aM3O1wVkUvsOFkM0rBNDsR4kmyPkSY
      tvbY6jnBOCDe-ohcSYi1UP1EPlEKYiD4yOUKEx1A

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.