Wie heute bekannt wurde, hat der Bundesdatenschutzbeauftragte Peter Schaar seine Prüfung über den Einsatz und die rechtlichen Grauzonen des Staatstrojaners beendet. Er bestätigt die Analyse des Chaos Computer Clubs (CCC) und mahnt ebenfalls Verbesserungen an. Die Ermittlungsbehörden, der Finanz- und der Innenminister geben dem CCC zwar in allen Kritikpunkten recht, sehen aber dennoch keine Notwendigkeit zum Handeln.
Dem CCC wurde ein Schreiben zugespielt, in dem Schaar abschließend Stellung zu seinen Erkenntnissen im Rahmen der Staatstrojanerprüfung bezieht. Der CCC stellt das Papier zum Download zur Verfügung. [1] Schaar hatte nach der Veröffentlichung des CCC im Oktober 2011 [3] mit Ausnahme der Geheimdienste alle Bundesbehörden überprüft, die staatliche Spionagesoftware einsetzen.
Das Innenministerium hält nach dem Bericht daran fest, die untaugliche Verschlüsselung des Staatstrojaners weiterhin als "geeignet" zu bezeichnen, räumt allenfalls "Optimierungsspielraum" ein. Weiterhin soll auch in Zukunft der Quellcode weder für die Behörden selbst noch für Schaars Prüfbehörde einsehbar sein.
"Hier kommt eine erstaunliche Kritikunfähigkeit seitens der Behörden und des Ministeriums zum Ausdruck, denen nicht weniger als die Sicherheit und Privatsphäre der Bevölkerung anvertraut ist. Wo sowohl gesetzlich als auch technisch erheblich nachgebessert werden müßte, verschanzt sich Innenminister Hans-Peter Friedrich hinter einem trotzigen 'Weiter so!'", sagte Dirk Engling, Sprecher des CCC.
Für den Bericht hätte Peter Schaar naturgemäß Einsicht in den Quellcode nehmen müssen. Die Trojaner-Herstellerfirma Digitask erdreistete sich jedoch, dem Bundesdatenschutzbeauftragten nur dann Einsicht zu gewähren, sofern er eine Vereinbarung zum Stillschweigen unterzeichnen sowie 1.200 Euro pro Prüfungstag als "Beratungsdienstleistung" bezahlen würde. Schaar lehnte mit Verweis auf seine Pflichten als staatlicher Kontrolleur selbstverständlich ab.
Damit wurde eine unabhängige Beurteilung durch den Datenschutzbeauftragten faktisch verhindert. Hier zeigt sich das Erpressungspotential durch das Outsourcen von hoheitlichen Aufgaben an private, keiner effektiven Kontrolle unterliegenden Firmen.
Es hat die beteiligten Behörden zehn Monate gekostet, sich den vom CCC vorgebrachten Feststellungen zum Staatstrojaner vollumfänglich anzuschließen. Überraschenderweise zieht jedoch das BMI ganz andere Schlußfolgerungen aus den nun mehrfach bestätigten Fakten. Insbesondere hält es die in Anfängermanier zusammengestoppelte Absicherung der Kommunikation zwischen Staatstrojaner und Kontrollcomputer weiterhin für ausreichend.
"Damit wird weiterhin in Kauf genommen, daß staatliche Trojaner nicht effektiv kontrolliert und somit auch von Dritten zur Ausspähung und Manipulation von Daten benutzt werden könnten", sagte Dirk Engling, Sprecher des Chaos Computer Clubs.
Das BKA und der Zollfahndungsdienst hatten in den vergangenen Jahren in mehreren Fällen monatelang staatliche Spionagesoftware eingesetzt. Die Anzahl der Betroffenen ist unbekannt.
Links:
[1] Brief von Peter Schaar an den Innenausschuß des Deutschen Bundestages: http://www.ccc.de/system/uploads/122/original/Schaar-Staatstrojaner.pdf
[2] Schaar-Bericht vom Januar 2012: http://www.ccc.de/de/updates/2012/schaar-bericht
[3] Chaos Computer Club analysiert Staatstrojaner: http://www.ccc.de/updates/2011/staatstrojaner