Wie das so immer bei Überwachungsmaßnahmen ist; erst wird eine Maßnahme eingeführt, natürlich nur zur Bekämpfung von schwerster Kriminalität wie Terrorismus oder Kindesmißbrauch. Und dann werden die Einsatzmöglichkeiten für das Überwachungsinstrument immer mehr ausgeweitet. Dann kommen immer die Sicheitsexperten und erzählen, wie viele Straftaten doch nicht aufgeklärt wurden, aber mit dieser Überwachungsmaßnahme hätte man den Täter fassen können. Es dürfe doch nicht sein, daß man Täter ungeschoren davon kommen läßt…

Es ist nicht gut, wenn Täter nicht verurteilt werden, aber das war schon immer so. Nur weil es mittlerweile die technischen Möglichkeiten zur Totalüberwachung der gesamten Bevölkerung gibt, muß man sie nicht einsetzen, man DARF nicht einfach alle Maßnahmen unbegrenzt einsetzen. Im Juristendeutsch heißt das, es muß gewährleistet sein, daß die Maßnahme “grundrechtsschonend” sein muß, das heißt, daß diese Maßnahme die Grundrechte der Bürger nur im geringst möglichen Ausmaß einschränken darf. Wie das bei Massenüberwachungen wie der Vorratsdatenspeicherung umsetzbar sein soll, ist mir nicht klar.

Nun wurde vor einigen Jahren der Bundestrojaner eingeführt. Dieses Instrument war vor allem gegen terroristische Aktivitäten gedacht. Diese Software wurde auf dem Gerät des Verdächtigen installiert, um Kommunikation abzuhören, bevor sie verschlüsselt wurde, außerdem ist es damit möglich vorhandene Dateien auf dem Rechner/Smartphone zu durchsuchen und herunter zu laden.

Nun wurde diese Überwachungsmaßnahme relativ leise auf einen großen Katalog von Straftaten ausgeweitet. Manche Kritiker sprechen schon davon, daß der Trojanereinsatz zum Standardwerkzeug der Ermittler werden wird.

Nicht nur die Tatsache, daß die Überwachung der Bevölkerung massiv ausgeweitet wird, ist bedenklich, sondern auch die Methoden, wie der Trojaner auf das Gerät kommt und was er dort, theoretisch, alles machen kann.

Der Bundestrojaner ist eine Software, die der Nutzer nicht unbedingt freiwillig auf seinem Gerät haben möchte, also muß man es gegen seinen Willen tun. Moderne Betriebssysteme für Computer oder Smartphones verhindern normalerweise, daß fremde Leute einfach Software installieren können. Sie schützen den direkten Zugriff auf das Gerät etwa durch Passwörter und fordern Benutzereingaben bei Softwareinstallation an. Allerdings sind diese Betriebssysteme nie fehlerfrei und so kommt es immer wieder vor, daß Sicherheitslücken entdeckt werden. Unter Ausnutzung dieser Lücken kann man nun aus der Ferne, etwa über das Internet, auf das Gerät zugreifen und Programme installieren. So arbeiten Computerviren. Und genau diese Sicherheitslücken müssen die Strafermittler beim Staatstrojaner ausnutzen. Nun sind Schwachstellen im Normalfall nicht öffentlich bekannt. Wenn sie öffentlich wären, hätte der Softwarehersteller ein Eigeninteresse, diese möglichst schnell zu schließen.

Entdeckt jemand eine Sicherheitslücke in einer Software, hat er zwei Möglichkeiten; entweder er meldet sie dem Hersteller oder er ist kriminell und bietet diese Lücke auf dem Schwarzmarkt an. Hier bedienen sich dann andere Kriminelle, Schadsoftwarehersteller oder Geheimdienste. Die Lücke die vor einigen Wochen zu dem Wanny-Cry-Angriff führte hatte die NSA gekauft. Nach dem Bekanntwerden hat Microsoft die Lücke geschlossen. Allerdings haben nicht alle das entsprechende Update eingespielt, sonst Wäre die WannaCry-Attacke ins Leere gelaufen. Und auf diesem Schwarzmarkt kaufen deutsche Behörden nun kräftig ein, um ihren Trojaner unters Volk zu bringen.

Eine weitere Möglichkeit einer Infektion mit dem Bundestrojaner ist die Installation bei einer anderen staatlichen Software, wie etwa der ELSTER-Software oder Programme für den elektronischen Personalausweis. Bei dieser Methode wäre die Identifikation des Nutzers ziemlich einfach. Ich nutze deswegen Steuerprogramme schon seit mehreren Jahren stets nur in einer speziellen virtuellen Maschine. – Der Staat hat mit dem Trojaner seine Glaubwürdigkeit verspielt.

Wenn jemand Zugriff auf einen Rechner hat, so kann er sich dort nicht nur umsehen und das aktuelle Geschehen protokollieren, er kann auch Dinge auf dem Rechner verändern und Beweise fälschen. Zusätzlich ist der Staatstrojaner selbst wieder ein Schwachpunkt im System, den Dritte ausnutzen können, um auf den Rechner zu kommen. Der CCC schrieb 2011 dazu schon einen Artikel.

Bleibt nur zu hoffen, daß das Bundesverfassungsgericht diesen massiven Eingriff in die Privatsphäre auch bald beendet.