Julius Mittenzwei vom CCC erklärt "Reverse Engineering". Im Hintergrund Gastgeberin Susanna Tausendfreund.
Auf einer Expertenrunde im bayerischen Landtag, zu der die Innenpolitische Sprecherin der Grünen im bayerischen Landtag, Susanna Tausendfreund, eingeladen hatte, gab es Neuigkeiten rund um den Bayerntrojaner. Allem voran stellte LKA-Präsident Dathe dem bayerischen Datenschutzbeauftragten Petri den Quelltext der Software in Aussicht.
Hochkarätig besetzt präsentiert sich das Podium des Expertengespräches “O’Zapft Is – Der Bayerntrojaner und die Grenzen staatlicher Überwachung”: Neben dem bayerischen Datenschutzbeauftragten Dr. Thomas Petri saßen Dr. Julius Mittenzwei vom Chaos Computer Club, Florian Albrecht von der juristischen Fakultät der Uni Passau und der Präsident des bayerischen Landeskriminalamtes, Peter Dathe.
Julius Mittenzwei vom CCC erklärt “Reverse Engineering”. Im Hintergrund Gastgeberin Susanna Tausendfreund.
“Sorgfaltsplicht verletzt”
Nach einer Einführung von Gastgeberin Tausendfreund legte Jurist Albrecht gleich mit einer rechtlichen Bewertung der bekannten Trojanerfälle vor und kam beispielsweise zu der Erkenntnis, im vom CCC aufgedeckten Fall aus Landshut “stellt das Erstellen von 30.000 Screen Shots ein wahlloses Abfotografieren dar” und keinesfalls von der aktuellen Rechtslage gedeckt. Mindestens die Sorgfaltspflicht hätten die Ermittler hier verletzt. Dem pflichtete auch der CCC-Spezialist Mittenzwei bei, der anhand einer kurzen “Einführung ins reverse engineering” die Vorgehensweise des Chaos Computer Clubs vorstellte. “Jede Quellen-TKÜ greift irreversibel in die Integrität eines Systems ein, sie ist schwer abgrenzbar und nur mit dem Quelltext ist die Funktionsweise sicher verifizierbar.”, so Mttenzwei.
Von links nach rechts: Datenschutzbeauftragter Petri, Jurist Albrecht und Bayern-LKA-Präsident Dathe.
Von links nach rechts: Datenschutzbeauftragter Petri, Jurist Albrecht und Bayern-LKA-Präsident Dathe.
Datenschützer bekommen Quelltext
Positive Nachrichten hatte derweil LKA-Präsident Dathe im Gepäck: Zwar kenne der Staat den Quelltext des von ihm verwendeten Trojaners nicht, es “gibt aber deutliche Signale, einer neutralen Stelle den Source Code auszuhändigen.” Und da käme seiner Meinung nach nur Datenschützer Petri ins Spiel. Und im Gegensatz zur aktuellen Praxis solle Petri auch der (anonymisierte) Zugriff auf noch laufende Verfahren eingeräumt werden (Verhandlungen mit dem Justizministerium laufen bereits). Der bayerische Innenminister Hermann war Petri jüngst zuvorgekommen, als er den Datenschützer bat, die Funktionsweise des Bayerntrojaners mit einem Gutachten unter die Lupe zu nehmen. Die Oppostion sieht das wohl als verzweifelten Befreiungsschlag des in die Ecke gedrängten Innenministers: “Viele andere Möglichkeiten hatte Hermann ja auch nicht mehr.” (Tausendfreund)
“Es gibt kein übergeordnetes Grundrecht auf Sicherheit!”
In seinem bemerkenswerten Statement stellte Thomas Petri anschließend klar, das das gerade von politischen Hardlinern und Ermittlern vielzitierte “Grundrecht auf Sicherheit” ein Missverständnis sei. Keinesfalls sei das Sicherheitsbedürfnis anderen Grundrechten übergeordnet, im Gegenteil. “Seit Ende der 50er Jahre schon sieht die gängige Rechtssprechung die Schutzpflichten des Staates als Resultante der Abwehrrechte des Bürgers im Grundgesetz!”, so Petri.
Skype: Nicht decodierbar
Gefragt nach der Notwendigkeit einer Quellen-TKÜ beim Internet-Telefoniedienst Skype antwortete CCC-Spezialist Mittenzwei sinngemäß: “Es ist genaues über Skypes Technologie bekannt, außer dass sie sehr effizient verschleiert.” Skype-In und Skype-Out (Telefonie mit Skype ins und aus dem Festnetz) sei jederzeit abhörbar, aber die Kommunikation zwischen Skype-Usern nutze wahrscheinlich Peer-to-Peer-Strukturen mit lokalen Zertifikaten, die eine Entschlüsselung unmöglich machen. All das, betonte Mittenzwei jedoch, seien nur Vermutungen.
“Nichts gespeichert, nur weitergeleitet”
Aus dem Publikum kamen zahlreiche kritische Fragen. Mitglieder der Piraten warfen dem LKA Inkompetenz vor.
Inkompetenz musste sich LKA-Präsident Dathe aus dem Publikum vorwerfen lassen, zum einen, weil die Behörden erst nachträglich den Quelltext anforderten, zum anderen weil die Trojaner die Daten über einen Rechner in den USA und nur minderwertig verschlüsselt ausgeleitet hätten. Für den Satz “Ich kann Sie beruhigen, in den USA wurde nichts gespeichert, die Server dort haben nur Daten weitergeleitet” erntete Dathe höhnisches Gelächter.
Die Frage nach der Verhältnismäßigkeit des QKTÜ-Einsatzes beispielsweise im Falle Landshut beantwortete Datenschützer (und Jurist) Thomas Petri: “Wenn Sie gängige Rechtssprechung im Betäubungsmittelgesetz kennen, dann wird schnell klar, dass der Beschuldigte, der zu vier Jahren und sechs Monaten Haft verurteilt wurde, definitiv eine schwere Straftat gemäß den Vorgaben des Verfassungsgerichtes begangen hat. Das ist meiner Rechtsauffassung nach absolut verhältnismäßig gewesen.”
