CCC übt scharfe Kritik am Bundestrojaner - Update [News des Tages]

Update: Wie die Franfurter Rundschau mit Verweis auf eigene Recherchen meldet, stammt der Trojaner, der dem CCC zugespielt wurde, von der hessischen Firma Digitask. Digitask bietet "Datenerhebungs- und Bewertungssysteme im Bereich der Telekommunikation" und arbeitet "Firmen und Sicherheitsbehörden aus dem In- und Ausland". Aus Dokumenten des bayrischen Justizministeriums geht hervor, dass eine Leistungsbeschreibung des Unternehmens den Umfang des von CCC getesteten Trojaners beschreibt.

Offenbar war die Nachladefunktion für weiteren Code von vornherein eingeplant. So sei es nach der Beschreibung von Digitask möglich, Kommunikation über Schrift, Sprache und Video live mitzuverfolgen. Nach Ansicht des CCC verstößt dies gegen das Quellen-TKÜ. Interessanterweise empfiehlt Digitask zur Verschleierung der IP einen Proxy-Server im Ausland. Genau das fand der CCC ebenfalls heraus. Die bayrischen Behörden sollen den Trojaner bereits mehrfach eingesetzt haben, so die FR weiter. Digitask kassiert hierfür 2.500 Euro Installationskosten und 3.500 Euro pro Monat Betriebskosten.

Quelle: FR

Original-Artikel: Neben den Sicherheitsmängeln, die es auch Dritten erlaube über Bundestrojaner Zugriff auf Systeme zu nehmen, wird vom CCC zudem bemängelt, dass die Malware über US-Server ihre Daten versendet. Zudem sei der Bundestrojaner so programmiert, dass weitere Software nachgeladen werden kann. Mit ihr lässt sich der Bundestrojaner über seine eigentliche Funktionalität hinaus erweitern. Das widerspreche dem vom Bundesverfassungsgericht gebilligten Funktionsumfang.

2008 schränkten die obersten Bundesrichter den Einsatz des Bundestrojaners deutlich ein. Er ist nur zu verwenden, wenn eine existenzielle Bedrohung für ein überragend wichtiges Rechtsgut vorliegt. Außerdem wurde der Einsatz derart beschränkt, dass zuvor ein richterlicher Beschluss vorliegen muss. Der erlaubte Funktionsumfang wurde im Quellen-TKÜ festgelegt und auch hier sieht der CCC Verstöße gegen das Gesetz. In den Ausführungen des Chaos Computer Clubs heißt es hierzu: "So kann der Trojaner über das Netz weitere Programme nachladen und ferngesteuert zur Ausführung bringen. Eine Erweiterbarkeit auf die volle Funktionalität des Bundestrojaners – also das Durchsuchen, Schreiben, Lesen sowie Manipulieren von Dateien – ist von Anfang an vorgesehen. Sogar ein digitaler großer Lausch- und Spähangriff ist möglich, indem ferngesteuert auf das Mikrophon, die Kamera und die Tastatur des Computers zugegriffen wird."

Die Analytiker des CCC gehen davon aus, dass das Gesetz hier wissentlich missachtet wurde, weil bewusst Erweiterungen eingeplant wurden. So sei es gelungen Screenshots des geöffneten Browsers samt seiner Inhalte anzufertigen. Das verstoße gegen die Auflagen, die eine reine Kommunikationsüberwachung vorsehen. Weiterhin wird die "inkompetente" Art der Verschlüsselung von ausgehenden Daten bemängelt. Eingehende Daten, also zur Steuerung der Malware, werden erst gar nicht verschlüsselt. Zudem verschleiere man, wie eingangs erwähnt, den Datenfluss über einen US-Server. Kritisch sieht man hier, dass die Steuerung außerhalb des deutschen Geltungsbereichs des deutschen Rechts vorgenommen wird. Zudem sei völlig unklar, wie man mit im Ausland abhanden gekommenen Daten umgehe.

Der CCC sieht unterm Strich in der Vorgehensweise der Landes- und Bundeskriminalämter mit der Malware mehrere Verstöße gegen das Recht. Zudem sei man sich sicher, dass es eine Vielzahl von Versionen des Trojaners gebe, die keinesfalls handprogrammiert sein dürften, da viele Codepassagen gleich seien und der kryptografische Schlüssen sei identisch. Der unter Otto Schily eingeführte Bundestrojaner sorgte bereits für die ersten Reaktionen. So kündigte das Justizministerium eine Aufklärung der Sachlage an. Viele Politiker zeigen jedoch wenig Verständnis für die Kritik des CCC.

Quelle: CCC, PDF