Brisante Entwicklung: Der Chaos Computer Club will den Staatstrojaner analysiert haben. Das Bundeskriminalamt (BKA) hingegen entgegnet, bei der vom CCC untersuchten Software handele es sich gar nicht um den sogenannten „Bundestrojaner“, sondern um irgend eine Software. Kontrollieren lässt sich derzeit weder das eine, noch das andere.
Vielleicht setzt eine andere Behörde die von der FAZ am Sonntag veröffentlichte Software ein? Es scheint jedenfalls definitiv eine Schnüffel-Software einer Behörde zu sein, kein kommerzieller Trojaner. Jedenfalls wird zu klären sein, was der Chaos Computer Club da in die Finger bekommen hat. Denn eins scheint klar: Es handelt sich um Schnüffel-Software.
Der vom Chaos Computer Club analysierte Trojaner ist jedenfalls schlampig programmiert. Eine Software, die eindeutig nicht den strengen Anforderungen genügt, die das Bundesverfassungsgericht aus gutem Grund als Voraussetzung definiert hat, um eine solche brisante Software überhaupt einsetzen zu dürfen. Schließlich dringt der Staatstrojaner tief in die Privatsphäre von Menschen ein, eine Art Online-Lauschangriff. Er soll deshalb nur in wirklich ausgewählten Situationen eingesetzt werden, ein Missbrauch soll komplett ausgeschlossen sein.
Anscheinend waren die Sorgen aller Kritiker mehr als berechtigt. Wenn es sich bei der untersuchten Software wirklich um den Staatstrojaner handelt, dann ist er lückenhaft wie ein Schweizer Käse. So ist es offensichtlich ohne weiteres möglich, auf entsprechend präparierten Computern jederzeit beliebigen Programmcode nachzuladen. Man könnte auch sagen: Solche Rechner lassen sich fernsteuern. Der Trojaner sieht dafür eine Hintertür (Backdoor) vor.
So etwas ist nötig, um andere, vorher nicht absehbare Aufgaben zu bewältigen. Das kann nicht wirklich überraschen, nahezu jeder Trojaner geht so vor. Klar, dass auch der Staatstrojaner diese Möglichkeit vorsieht. Die Behörden wollen mit dem Trojaner infiltrierte Rechner nach eigenen Vorstellungen überwachen können: Internet-Telefongespräche, Chats, E-Mails, angesteuerte Webseiten – lässt sich dann alles mitschneiden, protokollieren.
Das alleine ist schon problematisch genug, weil sich so nicht kontrollieren lässt, ob die nachgeladenen Funktionen den strengen Anforderungen des Bundesverfassungsgerichts genügen. Noch problematischer ist in meinen Augen aber, dass die Backdoor-Funktion dilettantisch programmiert zu sein scheint: Offensichtlich kann jeder mehr oder weniger dieses Einfallstor nutzen, um einen mit dem Staatstrojaner infiltrierten Rechner nach eigenen Vorstellungen zu überwachen oder zu manipulieren. Er oder sie muss lediglich wissen, dass auf dem Computer ein Staatstrojaner untergebracht ist.
Sorgfalt und verantwortungsvolles Handeln sehen anders aus. Das Mindeste wäre gewesen, eine aufwändige Verschlüsselung zu verwenden, damit nur autorisierte Stellen Programmcode nachladen können. So etwas wäre keineswegs ein Meisterstück der Programmierkunst, sondern angesichts der Brisanz wirklich selbstverständlich. Doch die Programmierer haben offenbar darauf verzichtet
Der Bundestrojaner kommt nach offizieller Auskunft des BKA bislang kaum zum Einsatz. Wenn die Auskunft stimmt. Aber niemand kann wissen, welche anderen Behörden den Trojaner nutzen. Und jetzt, wo bekannt ist wie er aussieht, ist es gut möglich, dass er variiert wird und im großen Stil die Runde macht.
Die Behörden sind nun in einer Zwickmühle. Wenn sie sich verteidigen, ist es peinlich, dass sie eine derartig schlampige Software einsetzen. Wenn sie sich nicht verteidigen, ebenso – vermutlich wird dann sogar Schlimmeres vermutet. Nun behauptet das BKA, die analysierte Software wäre gar nicht der Bundestrojaner. Bleibt die Frage: Was hat der CCC dann untersucht?
Für alle Kriminellen enthält die jüngste Entdeckung des Chaos Computer Club übrigens noch eine weitere, aus ihrer Sicht nützliche Information: Bislang scheint es den Bundestrojaner nur für Windows-Rechner zu geben. Wer einen Mac benutzt, mit Linux arbeitet, einen Tablet-PC verwendet oder ein Smartphone, ist also offensichtlich fein raus. Eine Überwachung ist dann nicht möglich – und eine missbräuchliche Nutzung des Staatstrojaners ebenso wenig.