Der Bürger wird belogen und betrogen

Technische und ethisch-rechtliche Überlegungen zum «Bundestrojaner»

Die öffentliche Diskussion um den Einsatz von Spionage-Software durch staatliche Ermittlungsbehörden in Deutschland, nun bekanntermassen auch in der Schweiz und in Österreich, hat in der letzten Woche an Intensität und Tiefe gewonnen. Neben den technischen Details der Software selbst gewinnt die Analyse und Bewertung dieses Vorgangs aus verfassungs- und staatsrechtlicher Perspektive immer mehr Tiefenschärfe: Das Spannungsfeld zwischen staatlichen Kontrollmechanismen, Anrecht und Souveränität des Bürgers auf seine Privatsphäre und dem Verhältnis von Technologie zu Ethik, Moral und Recht wird neu ausgeleuchtet.

wb. Zwei technologische Gegebenheiten rund um Computer-Programme sollen skizziert werden, bevor der zur Debatte stehende «Bundestrojaner» eingeordnet wird.

Technische Grundlagen von Computer-Kommunikation

1. Die Kommunikation von Computer-Programmen untereinander ist normal und gewollt.

Die auf Computern eingesetzten Programme laufen heute in den seltensten Fällen «nur für sich allein». Es ist heute normal und aus Sicht des Benutzers gewollt und sinnvoll, dass ein von ihm eingesetztes Programm auf die Kommunikation mit Programmen auf anderen Computern ausgerichtet ist.
Computer-Programme (eines als Kundenprogramm und eines als Dienstleister – «Client» und «Server») müssen sich aufeinander «einlassen», damit die Kommunikation funktioniert.

2. Computer-Programme unterstützen normal und gewollt häufig eine Fernunterstützung.

In allen grösseren Firmen, in denen Menschen an Computern arbeiten, wird darauf Wert gelegt, dass der Mitarbeiter direkte technische Unterstützung von geschulten Spezialisten anfordern kann, so dass sich der Spezialist über das Netzwerk der Firma oder über das Internet mit dem Computer des Hilfesuchenden verbinden kann. Diese Beziehung «Benutzer - Spezialist» kann auch eine Privatperson sein, die von einem Freund über das Internet Unterstützung bekommen möchte. Der Hilfesuchende startet ein vorgegebenes Programm, sieht auf seinem Bildschirm eine Nachricht, dass der Spezialist «online vor der Tür steht», und kann ihm nun den Zugriff über einen «digitalen Schalthebel» erlauben. Dann kann und soll der Spezialist die gesamte Kontrolle über den Computer übernehmen, um das aktuelle Problem zu beheben. Der Hilfesuchende muss dem Spezialisten vertrauen und kann ihm nur begrenzt über die Schulter schauen. Nach getaner Arbeit verabschiedet sich der Spezialist, und der Hilfesuchende setzt den «digitalen Schalter» der Fernunterstützung zurück, so dass nun der Zugriff nicht mehr möglich ist.
Im kriminellen Bereich werden nun schon seit Jahren diese beiden Grundeigenschaften heutiger Computer-Kommunikation ausgeschlachtet: Die Möglichkeiten der vorgesehenen Fernunterstützung werden in eigenen Programmen des kriminellen Angreifers übernommen und nachgebaut. Dann werden ungeschützte Schwachstellen in den gängigen Client- und Server-Programmen (Internet-Browser, E-Mail-Programme etc.) ausgenutzt, um die selbstgebauten Programme auf den Computer eines Opfers zu übertragen. Das eingeschleuste Programm ist in diesem Sinne ein «Trojanisches Pferd»: Es kommt harmlos daher, als lustiges Programm oder als seriös wirkender Dokument-Anhang. In seinem Inneren verborgen ist jedoch ein Programm, das nach seinem Start das Tor nach aussen öffnet und fremde Kontrolle über den Computer ermöglicht.
Technisch hat sich nichts wesentlich verändert: Computer-Programme kommunizieren miteinander, und die Möglichkeiten der Fernwartung und -steuerung werden eingesetzt.
In einer ethischen, moralischen und rechtlichen Perspektive hat sich jedoch grundlegend alles geändert: Aus dem oben beschriebenen Verhältnis «Hilfe suchender Benutzer – Hilfe leistender Spezialist» wird nun durch die eingeschleuste Software das neue Verhältnis zwischen einem ohnmächtigen, ausgelieferten Opfer und einem allmächtigen, steuernden Kommandeur.
Im Ergebnis führt dieser Einsatz von Computer-Technologie seit Jahren zu Tausenden strafrechtlich relevanter Deliktfälle. Eine Auswahl: Diebstahl (Manipulation von E-Banking-Abläufen, Missbrauch von Kreditkarteninformationen), Verletzungen der persönlichen Integrität (Fotografieren, Filmen und Abhören von Menschen über eingebaute Kameras und Mikrofone der heutigen Heimcomputer), Rufschädigung (Herunterladen persönlicher Informationen vom Computer des Opfers und Verwendung dieser Informationen, unverändert oder verändert, in einem nicht gewollten Kontext, Unterschiebung kompromittierenden Materials auf den Computer des Opfers, das nicht von ihm stammt, jedoch bei einer späteren Untersuchung gegen ihn verwendet wird), Missbrauch durch Verwendung des Opfer-Computers bei Straftaten, die gegen andere Personen gerichtet sind.
Es ist bekannt, dass Kriminelle heute ganze Armeen von Opfer-Computern unwissender Bürger unter ihrer Kontrolle haben («Bot-Netze») und dass Computer-Spionage der Wirtschaft Schäden im Milliarden-Ausmass zufügt.

Zum «Bundestrojaner» der staatlichen Behörden

Das vom Chaos-Computer-Club (CCC) analysierte Programm, das neben anderen von deutschen, schweizerischen und österreichischen Ermittlungsbehörden verwendet worden ist, ist nun genau ein solches Fernsteuerungsprogramm, das alle Merkmale aufweist, wie die von Kriminellen benutzten Programme.
Dies ist verfassungsrechtlich von grösster Bedeutung, denn ein deutsches Verfassungsgerichtsurteil von 2008 hat die Computer-Überwachung durch staatliche Behörden nur mit Ausnahmegenehmigungen auf gravierende Fälle und nur auf das Abhören von Internet-Telefonie, E-Mail-Verkehr und Online-Kommunikation – also auf nach aussen gerichtete Kommunikationsabläufe beschränkt. In der Intimsphäre des Betroffenen verbleibende Informationen (persönliche Notizen, niedergeschriebene Gedanken, etc.) dürfen grundsätzlich nicht aufgezeichnet werden.
In Tat und Wahrheit macht der staatlicherseits eingesetzte «Trojaner» genau dasselbe, was die Kriminellen mit ihren «Trojanern» machen – den digitalen Vollzugriff. Und die vor deutschen Gerichten aufgetauchten «Beweise» machen klar, dass die technischen Möglichkeiten der Software auch ausgeschöpft wurden (vgl. Frank Rieger, «Anatomie eines digitalen Ungeziefers», Frankfurter Allgemeine Sonntagszeitung, 9.10.2011).
Doch die Analyse zeigt: Es ist noch schlimmer …

Der «Bundestrojaner» liefert deutsche Bürger an US-Kontrolle aus

Wenn das Spionageprogramm auf einem befallenen Computer seine gesammelten Informationen weitergeben oder wenn es neue Befehle entgegennehmen soll, muss es mit seinem «Führungsoffizier», das heisst mit dem Kontroll-Computer, kommunizieren. Der CCC hat analysiert, dass der nächste Kontroll-Computer auf eine festgelegte Internet-Adresse in den USA verweist: Alle gesammelten Daten und auch alle an den überwachten Computer gesendeten Steuerbefehle fliessen in beide Richtungen über einen Computer in den USA.

Vorläufiges Fazit

Die mit dem Bundestrojaner offengelegten Abläufe sind bedenklich in jeder Hinsicht: Verfassungsgerichtsurteile werden bewusst miss­achtet. Freiheitsrechte der einzelnen Bürger werden verletzt. Ausländischen Mächten werden Zugriffe auf die Intimsphäre der eigenen Bürger eingeräumt. Der Bürger wird belogen, an der Nase herumgeführt und zum Opfer staatlicher Willkür. Wodurch unterscheidet der Staat sich von einer Räuberbande?    •

Wer eine hervorragende Zusammenstellung sehen und vielleicht auch für Unterrichtszwecke nutzen möchte, sei auf den Film von Klaus Scherer, «Angriff aus dem Internet: Wie Online-Täter uns bedrohen», vom März 2011 verwiesen. http://www.ndr.de/fernsehen/­sendungen/45_min/hintergrund/­internetkriminalitaet119.html

Was, wenn Daten in den USA «verlorengehen»? Oder wenn der dortige Server einfach mal von der CIA beschlagnahmt wird? Oder wenn US-Geheimdienste einfach die Scheunentor-Sicherheitslücken nutzen und mitspielen? Zu dem Verrat am eigenen Bürger kommt die Gefährdung der nationalen Sicherheit, und das ausgerechnet von denen, die keine Möglichkeit auslassen, eine Verschärfung von Sicherheitsmassnahmen auf allen Schienen zu fordern – und die schlussendlich eigentlich auch für die nationale Sicherheit mitverantwortlich sein sollten.

Quelle: Vertraulicher Schweizer Brief  Nr. 1301 vom 12.10.2011