Streit um den Staatstrojaner

Zehn Jahre veraltete Technik

Offenbar testen Behörden ihre Staatstrojaner nicht vor dem Einsatz - oder die Tester sind inkompetent. Netzaktivisten und Informatiker fordern nun eine unabhängige Prüfinstanz.von KAREN GRASS

Unsichere Schadsoftware: Wurde der Staatstrojaner überhaupt getestet?  Bild:  dpa

BERLIN taz | Warum benutzte das bayrische Landeskriminalamt mangelhaft gesicherte Trojaner für die Onlineüberwachung? Die Frage bleibt weiterhin ungeklärt. Im Bericht von vergangener Woche hatte der CCC die simple Verschlüsselung der staatlichen Schadsoftware stark kritisiert. Die Behörde wies den Vorwurf zurück. Allerdings geht auch die Gesellschaft für Informatik davon aus, dass die Technik mindestens zehn Jahre veraltet war.

Der sogenannte „Bayerntrojaner" aus dem Jahr 2009 verfügte über die simpelste und unsicherste Art der Verschlüsselung, so die Analyse des CCC. Die Kommunikation mit dem ausländischen Server des LKA sei dagegen gänzlich unverschlüsselt gewesen. „Wir haben nur wenige Tage gebraucht, um dem Trojaner vorzugaukeln, wir seien der Kommandoserver“, sagt Constanze Kurz vom CCC.

„Dass die Verschlüsselung der Datenströme mangelhaft gewesen sein soll, stellen wir in Frage“, sagte ein Sprecher der Behörde der taz. Die Software sei sicher gewesen, versichert die Behörde und verweist auf eigene Tests durch hausinterne Informatiker. Der Hersteller Digitask, dagegen verschanzt sich hinter dem Satz: „Wir haben damals den Stand der Technik geliefert“.

BKA widerspricht Innenministerium

Doch Experten bezweifeln beide Aussagen. „Hätte man nur einmal in den Quellcode der gelieferten Software hineingeschaut, wäre klar gewesen, dass sie leicht angreifbar ist", sagt Constanze Kurz. Sie glaubt nicht, dass die Software getestet wure – andernfalls habe man sich gegen das Programm entscheiden müssen. Auch Hartmut Pohl, der Sprecher des Arbeitskreises Informationssicherheit der Gesellschaft für Informatik sagt: „Ich habe meinen Partnern schon vor zehn Jahren bessere Verschlüsselungen empfohlen.“ Soll es also Tests durch die Behörde gegeben, muss die Qualität ihrer Experten angezweifelt werden.

Auch auf Bundesebene ist unklar, wie staatliche Spionagesoftware ausgewählt und getestet wird und selbst deren Sprecher scheinen die eigene Behörden nicht zu kennen. Am Mittwoch sagte der Sprecher des Bundesinnenministeriums, Jens Teschke, den Bundesbehörden mangele es an Kompetenzen, um eigene Tests zu entwickeln. Dem widersprach jedoch das Bundeskriminalamt auf taz-Anfrage heftig. Man habe eigene Experten, die eigene Tests durchführten, so eine Sprecherin. Sie wundere sich über die Äußerungen der übergeordneten Behörde. Am Freitag nahm dann auch das Innenministerium die Aussage ihres Sprechers zurück.

Unabhängige Prüfbehörde gefordert

Ob des Chaos fordern Netzaktivisten, Informatiker und die Piratenpartei eine neue Prüfinstanz. Laut taz-Information wurde das Bundesamt für Sicherheit in der Informationstechnik mit seinen rund 550 Informatikern, Physikern und Mathematikern 2008 bereits einmal informell angefragt. Doch da das Amt sich lieber dem Schutz des Privatbürgers widmet, lehnte es ab.

„Es muss ein unabhängiges Kontrollgremium für alle staatlich veranlassten verdeckten Ermittlungen geben“, sagte der Vizevorsitzender der Partei, Bernd Schlömer, der taz. Hartmut Pohl von der Gesellschaft für Informatik fordert, diese bei bestehenden Behörden wie den Datenschutzbeauftragten des Bundes und der Länder anzusiedeln. „Diese Juristen und Techniker könnten dann endlich dafür sorgen, dass rechtlich und technisch fragwürdige Programme gar nicht erst bestellt werden“.