Internationaler Trojaner-Stammtisch

police2
Erstveröffentlicht: 
02.11.2011

Staatssekretär Ole Schröder bestätigt den regelmäßigen internationalem "Informationsaustausch" zur polizeilichen Nutzung von Trojaner-Programmen. Die Gruppe trifft sich informell

 

Das Bundeskriminalamt und zwei Landeskriminalämter arbeiten seit mindestens drei Jahren in internationalen Arbeitsgruppen zur Nutzung staatlicher Malware, um private Rechner zu infiltrieren und die Kommunikation abzuhören. Das geht aus der knappen Mitteilung auf eine Schriftliche Frage hervor, die das Bundesinnenministerium im Auftrag der Bundesregierung am Dienstag beantwortet hatte.

 

Demnach wird der grenzüberschreitende "Informationsaustausch" seit 2008 regelmäßig innerhalb einer sogenannten "Remote Forensic Software User Group" ("RFS User Group") abgehalten. Deutsche Anliegen werden dort vom Bundeskriminalamt (BKA) vertreten. An dem informellen Trojaner-Stammtisch nehmen "Vertreter von Sicherheitsbehörden" Baden-Württembergs, Bayerns, der Schweiz und den Niederlanden teil. Wenig später kamen belgische Behörden hinzu, die von den Niederlanden empfohlen wurden.

Die "RFS User Group" tagt mindestens zweimal im Jahr. Im Januar 2012 findet das nächste Treffen "auf Einladung der belgischen Seite" statt. Der Fokus liegt laut dem Innenministerium auf "Aspekten der Onlinedurchsuchung", also der schrankenlosen Durchsuchung privater Rechner wie sie in Deutschland an hohe rechtliche Hürden gebunden ist. Allerdings stünde "in geringerem Maße" auch die Quellenkommunikationsüberwachung ("Quellen-TKÜ"), die laut Interpretation des BKA nur auf das Abfangen von Kommunikation vor ihrer Verschlüsselung beschränkt ist, auf der Tagesordnung.

 

"Ferndurchsuchungen" seit 2008 auch innerhalb der EU populär

 

Der Beginn der internationalen Zusammenarbeit in der "RFS User Group" fällt in etwa in die Zeit, in der deutsche CDU-Innenpolitiker auffällig oft die Nutzung staatlicher Malware ins Gespräch brachten. Auch auf EU-Ebene wurden 2008 mehrere Initiativen bekannt, innerhalb von EU-Institutionen "Maßnahmen zur Erleichterung von Ferndurchsuchungen" zu etablieren (Barrierefreie Ferndurchsuchungen).

In einer Pressemitteilung vom 27. November 2008 "ermutigt" der Präsident der Europäischen Kommission José Manuel Barroso, verstärkt "auf das Mittel der Ferndurchsuchung zurückzugreifen". In seinem halbjährlichen Brainstorming zu neuen Überwachungs- und Kontrollmaßnahmen hatte der EU-Anti-Terrorismus-Koordinator (ATK) im September 2010 die Festlegung eines "gemeinsamen justiziellen Rahmens für bestimmte Ermittlungstechniken" gefordert und sich explizit auf "Online-Durchsuchungen" bezogen.

 

Längst ist nicht ausgemacht, ob es nicht diverse weitere bi- oder multilaterale Zusammenkünfte zur Nutzung von Staatstrojanern gibt. Gemäß dem deutschen Innenministerium gebe es neben dem "regelmäßig tagenden" Trojaner-Stammtisch weiteren "anlassbezogen Kontakt zu ausländischen Sicherheitsbehörden". Diese Treffen fänden "bei Bedarf" statt, womit womöglich laufende Ermittlungsverfahren gemeint sind.

Auf Ebene deutscher Bundes- und Länderpolizeien existiert womöglich ebenfalls ein Informationsaustausch über den staatlichen Einsatz von Schadprogrammen.

Bei anderen neuen Technologien, etwa der Nutzung fliegender Kameras oder verdeckter Ermittlungen, werden hierfür sogenannte "Bund/Länder Projektgruppen" ins Leben gerufen, an denen verschiedene Landeskriminalämter und das BKA teilnehmen. Sie unterstehen dem "Arbeitskreis II Innere Sicherheit" der Ständigen Konferenz der Innenminister und -senatoren.

 

"Zweitklassiges Kurswissen"

 

Unklar bleibt zunächst, ob innerhalb der internationalen "RFS User Group" auch gemeinsame Operationen verabredet werden. Denkbar wäre ein grenzüberschreitendes Rechtshilfeersuchen etwa Baden-Württembergs in den Niederlanden, um Computer von Verdächtigen eines bei deutschen Behörden geführten Ermittlungsverfahrens abzuhören.

So ähnlich wurde es kürzlich offenkundig, als ein Schweizer Strafverteidiger auf die polizeiliche Zusammenarbeit mit dem Landeskriminalamt Bayern aufmerksam machte (Landeskriminalamt Bayern schnüffelt mit DigiTask für Schweizer Polizei]). In einem Ermittlungsverfahren gegen zwei linke Aktivistinnen aus der Schweiz bat die dortige Polizei, von den Verdächtigen genutzte Server in Nürnberg abzuhören. Da die Speichersysteme selbst verschlüsselt waren, kam vermutlich Hard- und Software zur "Deep packet inspection" zum Einsatz, die jede Kommunikation mit den Servern abfängt. Aus den Ermittlungsakten geht hervor, dass Software und "Mietgeräte" der Firma DigiTask genutzt wurden. Delikat: Die Polizei der Schweiz sowie des Landes Bayerns stritten darum, wer die Kosten der grenzüberschreitenden Amtshilfe zu tragen hätte. Am Ende wurde sich geeinigt, die Summe zu teilen.

 

Doch die "RFS User Group" könnte auch zur grenzüberschreitenden Aushilfe genutzt werden, wenn Behörden an technischen Schwierigkeiten scheitern. So hatte das Internetmagazin "Profil" kürzlich einen österreichischen Datenschutzexperten zitiert, der den IT-Angestellten der Polizei in Österreich lediglich "zweitklassiges Kurswissen" attestierte. Tatsächlich hatte ein Fahnder der "Sondereinheit für Observation" (SEO) erklärt, es sei den Ermittlern in einem spektakulären Fall nicht möglich gewesen, Trojaner über das Internet aufzuspielen. Laut "Profil" sei die Installation dann "physisch am Endgerät" vorgenommen worden, also mittels Eindringen in die Wohnung. Zum Einsatz kam "Telekommunikationsüberwachungssoftware" der deutschen Firma DigiTask.

Auch gegen linken Aktivisten hatte sich die österreichische "Sondereinheit für Observation" die Nutzung von Trojaner-Programmen vom zuständigen Richter genehmigen lassen (Keylogging, Screenshooting usw.). Die Anklagepunkte nach mehrjährigen Ermittlungen stellten sich jedoch als derart haltlos heraus, dass die Beschuldigten in allen Punkten freigesprochen wurden. Ob die bewilligten staatlichen Schadprogramme zum Einsatz kamen, bleibt offen.

 

Internationaler Trojaner-Stammtisch agiert informell

 

Dass Computersysteme in Deutschland von ausländischen Polizeien oder Geheimdiensten infiltriert werden dürfen, hatte die Bundesregierung letztes Jahr verneint: Noch nie hätten demgegenüber deutsche Behörden ihre Zustimmung zu "Ferndurchsuchungen" von in Deutschland befindlichen Rechnern durch Ermittlungsteams anderer Länder gegeben. Im April wiederum wurde die erneute Nachfrage nach dem polizeilichen Eindringen in Computersysteme als "Angriffe auf die Vertraulichkeit von Rechnersystemen mittels Schadprogrammen" bezeichnet. Seitens der Bundesregierung heißt es, eine "nachrichtendienstliche Steuerung oder zumindest Beteiligung staatlicher Stellen" an den Angriffen sei "in vielen Fällen wahrscheinlich".

 

Wozu existiert also die "RFS User Group"? Vermutlich hat keine Stelle der Bundesregierung die Teilnahme des BKA an der nebulösen Gruppe beschlossen; auch auf Ebene der Europäischen Union findet sich kein Hinweis. Damit ist diese kein offizielles Gremium, sondern es tagt im Verborgenen.

Die "European Cooperation Group on Undercover activities " (ECG), deren selbst gesteckte Aufgabe in der Erleichterung eines grenzüberschreitenden Austauschs verdeckter Ermittler besteht, ist ähnlich undurchsichtig organisiert. An ihr nehmen jedoch deutlich mehr Regierungen aus der EU und umliegenden Länder teil. Gleiches war bereits letztes Jahr über die "Cross-Border-Surveillance Working Group" (CSW) verlautbart worden, die sich wie die "RFS User Group" ebenfalls zweimal jährlich trifft. Die CSW widmet sich laut Bundesregierung der "grenzüberschreitenden Observation und damit zusammenhängenden Problemstellungen". Ihr Ziel sei die "Optimierung von Arbeitsabläufen" - gemeint sind womöglich auch neue Entwicklungen satellitengestützter Ortungsverfahren. Der Staatsschutz des BKA habe dort "ausführlich über den 'Sauerland-Fall' berichtet".

 

Der Europäische Rat empfahl am 25. März 2010, den Austausch über "neue Technologien" mit anderen "europäischen Einrichtungen" auszubauen. Neben der Polizeiorganisation Interpol werden die "Europäische Agentur für Netz- und Informationssicherheit" (ENISA) genannt, aber auch die EU-Agenturen Eurojust und Europol.

 

Ob die Polizeiagentur Europol selbst Trojaner nutzt, ist unklar. Ihr Einsatz in anderen Ländern durch die Agentur dürfte bislang durch keine Richtlinie gedeckt sein, immerhin gilt das polizeiliche Schnüffeln in Rechnersystemen wie eine Hausdurchsuchung im wirklichen Leben als Zwangsmaßnahme und ist damit, wie auch die Bundesregierung bekräftigt, weder Interpol noch Europol gestattet.

Jedoch bietet Europol immer wieder seine Dienste im Bereich digitaler Forensik an und preist sich als "weltweit herausragendes Zentrum der Weltklasse" vor allem im IT-Bereich (Europol in der dritten Generation). Gut möglich also, dass Europol zwar selbst keine Rechner infiltriert, aber mit der Entwicklung und Koordination derartiger Systeme beschäftigt ist oder als Kommunikationsplattform fungiert. Im Bereich verdeckter Ermittlungen, innerhalb derer Europol ebenfalls nicht selbst tätig werden kann, bringt sich die Agentur als "Europol Platform for Communication" ins Spiel und nimmt hierfür an internationalen, informellen Treffen teil.

 

Wetteifern um Abhören von Skype mit "italienischen Kollegen"

 

In der Fragestunde am 19.10.2011 im Bundestag musste sich Staatssekretär Ole Schröder zahlreichen Nachfragen zum Einsatz staatlicher Trojaner stellen und überraschte mit Stilblüten wie "die Telekommunikationsüberwachung widerspricht nicht den Grundrechten, sondern dient der Wahrung unserer verfassungsgemäßen Ordnung".

 

Schröder hatte unter anderem dem netzpolitischen Sprecher der SPD geantwortet, und dabei vermutlich ungewollt Details einer deutsch-italienischen Zusammenarbeit im Bereich der Überwachung von Internet-Telefonie angedeutet. Die Rede war vom "internationalen Austausch" unter anderem mit "italienischen Kollegen". Anscheinend sorgte sich das Bundeskriminalamt, dass italienische Behörden hinsichtlich des Abschnorchelns von Skype über einen Informationsvorsprung verfügen.

 

Hierauf angesprochen bestätigt Staatssekretär Schröder jetzt, im "seitens des BMI angeführten Kontakt des BKA mit italienischen Kollegen" sei die Frage geklärt worden, "ob Skype an die italienischen Behörden mehr Kommunikationsdaten weitergibt als an deutsche Strafverfolgungsbehörden". Die deutschen Polizisten können beruhigt sein: Es habe sich laut Schröder gezeigt, dass Skype an die italienischen Behörden lediglich jene Daten liefert, die von der Firma generell allen Ermittlungsbehörden aushändigt. Voraussetzung ist allerdings, dass diese gegenüber Skype ihr berechtigtes Interesse erklären können. Hierfür verteilt die Firma unter dem Titel "Responding to Law Enforcement Records Requests" ein Informationsblatt an Verfolgungsbehörden. Auch andere Dienstleister im Internet geben bereitwillig Auskunft über Nutzerdaten, darunter der Marktplatz eBay.

 

Für die Suchanfragen sollen die Behörden dem Sitz von Skype in Luxemburg entweder Mailadressen, reale oder Alias-Namen oder bekannte Telefonnummern übermitteln. Da die Firma auch IP-Adressen speichert, genügt der Firma eine polizeiliche Mitteilung über die genutzten Rechner von Verdächtigen.

Die Firma gibt überdies ungefragt Handreichungen, welche Formulierungen für ein Maximum an Auskunft vonnöten sind: Polizeien sollen etwa angeben, dass sie nicht nur eines, sondern "alle zugehörigen Konten" abgreifen wollen. Die Behörden werden von Skype aufgefordert zu beantragen, die Konteninhaber nicht von der Schnüffelei zu benachrichtigen.

 

Matthias Monroy