Wanzen sind Abhörgeräte von gestern. Heutzutage können Ermittlungsbehörden Kriminelle abhören und überwachen, ohne sich die Hände schmutzig zu machen. Möglich machen dies sogenannte „Staatstrojaner“. Mithilfe der Malware kann man sich Zugriff auf andere PCs verschaffen. Doch wie nun ein Prüfbericht des Datenschutzbeauftragten des Bundes nahelegt, hat diese Methode auch ihre Tücken. So gibt es insbesondere im Bereich der Kontrolle erhebliche Zweifel.
Überwachung von PC und Smartphone möglich
Wie aus einem Bericht von Netzpolitik.org hervorgeht, ist der sogenannte Staatstrojaner (Remote Communication Interception Software) seit seiner Premiere im Jahr 2016 deutlich reifer geworden. Schließlich lässt sich die vom BKA entwickelte Malware zur Verbrechensbekämpfung nicht mehr nur auf PCs einsetzen. Mittlerweile ist auch ein Eindringen in Smartphones möglich. Die entsprechende Technologie wurde bereits 2018 dem Instrumentenkasten der Behörden hinzugefügt. Da der Staatstrojaner einen empfindlichen Eingriff in die Rechte Dritter darstellt, kann nicht allein das BKA frei über dessen Ausgestaltung bestimmen. Obendrein kommen andere Behörden kontrollierend zum Einsatz. Neben dem Bundesamt für Sicherheit in der Informationstechnik (BSI) muss auch Deutschlands oberster Datenschutzbeauftragter einen Blick auf den Staatstrojaner werfen. Letzterer hat im Rahmen eines Prüfberichts nun seine Einschätzung zu der Malware abgegeben. Das zehnseitige Dokument durften die Experten von Netzpolitik.org einsehen.
Wesentliche Ergebnisse veröffentlicht
Allein der Umfang des herausgegebenen Berichts macht bereits klar, dass es sich hierbei nur um eine Art zusammenfassende Sicht des Bundesdatenschutzbeauftragten handelt. Dabei geht deutlich hervor, dass es aus datenschutzrechtlicher Sicht keinerlei Beanstandungen an dem Staatstrojaner gibt. Ein Beispiel hierfür ist das automatische aktivieren und deaktivieren des RCIS. So zeichnet dieser nur aktive Kommunikationen auf und schaltet sich nach Ende einer Unterhaltung automatisch wieder ab. Hierbei handelt es sich um eine Grundvorraussetzung für die Legalität einer Telekommunikationsüberwachung.
Etwas anders sieht es laut Expertenmeinung von Netzpolitik.org hingegen bei der Analyse des Quelltextes aus. Hier setzt der Staatstrojaner auf eine Art Stichprobe, was nicht wirklich aussagekräftig ist. Inwiefern die Stichprobe aussieht, kann man wohl laut dem Bericht nicht wirklich kontrollieren. Damit könnten wichtige Informationen untergehen oder aus dem Kontext gerissen werden. Das war aber das einzige Problem, welches man aus dem Bericht herauslesen konnte. Um andere streitbare Aktionen des Staatstrojaners ausmachen zu können, muss man sich anderweitig informieren.
Große Probleme beim Thema IT-Sicherheit
Wirft man einen Blick auf den Staatstrojaner, darf man laut Netzpolitik.org insbesondere das Thema der IT-Sicherheit nicht außer Acht lassen. Hat der Trojaner nämlich einmal Sicherheitsmechanismen ausgehebelt, können, zumindest theoretisch, auch andere Angreifer über die geschaffene Sicherheitslücke Zugriff erlangen. Weiterhin darf man bei einem Staatstrojaner nicht das Risiko eines Eingriffs in empfindlichste persönliche Daten unterschätzen. Das Bundesverfassungsgericht hat dies in einem wegweisenden Urteil als ganz klare Grenze staatlichen Eingreifens aufgezeigt.
Hierzu gehört es beispielsweise auch, wenn persönliche Gespräche, die nicht von Relevanz sind, nicht gelöscht, sondern archiviert werden. Um den Vorgaben des Datenschutzrechts gerecht zu werden, reicht es laut des Netzpolitik.org vorliegenden Prüfberichts jedoch aus, wenn man die Kommunikationen auch wieder löschen kann. Wenn es übrigens nach dem weltberühmten Chaos Computer Club (CCC) geht, ist die Aussagekraft des Prüfberichts gleich null. Thorsten Schröder, der beim CCC als Experte für Staatstrojaner gilt äußert sich dazu wie folgt:
„Dieser Bericht enttäuscht. Die Datenschutzbehörde untersucht einen kleinen Teil relevanter Fragen in einem Ausschnitt des Staatstrojaners, und die Öffentlichkeit darf lediglich Auszüge des Befunds lesen.“
