Prüfbericht zu Staatstrojaner: BKA und Datenschutzbeauftragter malen schwarz

Netzpolitik.org hat einen geschwärzten Prüfbericht zum BKA-Trojaner veröffentlicht. Umfassend geprüft wurde offensichtlich nicht.

Artikel veröffentlicht am ,
Der Prüfbericht ist teilweise sehr schwarz ...
Der Prüfbericht ist teilweise sehr schwarz ... (Bild: Screenshot Golem.de)

Neben kommerziellen Staatstrojanern wie Finfisher und Pegasus setzt das Bundeskriminalamt (BKA) auch auf eine Eigenentwicklung. Dieser Remote Communication Interception Software (RCIS) genannte BKA-Trojaner wurden mehrfach von den Behörden geprüft. Das Blog Netzpolitik.org hat den geschwärzten Prüfbericht des Bundesdatenschutzbeauftragten Ulrich Kelber veröffentlicht.

Stellenmarkt
  1. Doktorand*in (d/m/w) Process Mining
    OSRAM GmbH, Regensburg
  2. Software Developer (m/w/d) C++ - Verkehrssimulation
    PTV Group, Karlsruhe
Detailsuche

Den zehnseitigen Prüfbericht aus dem Jahr 2020 hat Netzpolitik.org durch eine Informationsfreiheitsanfrage beim Bundesdatenschutzbeauftragten erhalten - in Absprache mit dem BKA allerdings stark geschwärzt. Denn eine vollständige Veröffentlichung des als geheim eingestuften Papieres könnte "die Sicherheit der Bundesrepublik Deutschland gefährde[n]", heißt es als Begründung zu den umfangreichen Schwärzungen. Der komplette Bericht soll erst im Jahr 2080 veröffentlicht werden.

Der Trojaner wurde für die sogenannte Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) entwickelt, bei welcher der Trojanereinsatz rechtlich auf das Abfangen der aktuellen Telekommunikation auf dem Endgerät beschränkt wird. Damit sollen vornehmlich verschlüsselte Telefonate oder Messenger-Nachrichten vor der Verschlüsselung beziehungsweise nach der Entschlüsselung erfasst werden. Eine solche "Software zur Quellen-TKÜ ist strukturell in grundrechtlicher Hinsicht besonders eingriffsintensiv", konstatiert der Bundesdatenschutzbeauftragte in seinem Bericht.

Datenschutzrechtliche Aspekte geprüft

Ein besonderes Augenmerk sei bei der Prüfung darauf gerichtet gewesen, ob die Software über die reine Quellen-TKÜ hinausgehende Funktionalitäten aufweise und die gesetzlich vorgeschriebenen technischen Sicherungen einhalte, heißt es in dem Bericht (PDF). "Der Nachweis, ob eine Software nicht geforderte bzw. über das Zulässige hinausgehende Funktionen aufweist, ist allerdings praktisch kaum zu führen", konstatiert der Bundesdatenschutzbeauftragte. Eine Kontrolle könne insofern immer nur eine Annäherung und Stichprobe sein.

Golem Karrierewelt
  1. Adobe Photoshop für Social Media Anwendungen: virtueller Zwei-Tage-Workshop
    29./30.06.2022, virtuell
  2. Microsoft Azure Administration: virtueller Zwei-Tage-Workshop
    22./23.08.2022, virtuell
Weitere IT-Trainings

Geprüft wurden ohnehin nur datenschutzrechtlichen Aspekte. So hatte der Datenschutzbeauftragte mehrere Testfälle generiert, die er mit dem BKA durchexerzierte und auf die Einhaltung der rechtlichen Anforderungen überprüfte. Dabei ging er der Frage nach, "ob sich die technische Funktionalität von der abstrakten Anforderungsebene bis zur Realisierung transparent nachvollziehen und prüfen lässt."

Getestet wurde beispielsweise, ob die Software nach dem Einsatz "sauber" von Zielsystem gelöscht wird oder ob die Überwachung mit dem Beenden der Telekommunikation abgebrochen wird. Zudem ließ sich der Datenschutzbeauftragte ausschnittsweise den Quellcode der Software zeigen. Diese entsprachen laut Prüfbericht den datenschutzrechtlichen Anforderungen. Die Unterpunkte zu einer externen Prüfung und zum Echtzeitbetrieb sind komplett geschwärzt.

Weitergehende Probleme nicht geprüft

Weitergehende Probleme, beispielsweise wie der Staatstrojaner auf die Geräte der Betroffenen gelangt, wurden nicht untersucht. Dabei ist der Umgang mit Sicherheitslücken, neben dem massiven Eingriff in die Grundrechte der Betroffenen und der schwierigen Kontrollierbarkeit der Trojaner-Software, eine der zentralen Kritikpunkte.

Denn das Zurückhalten sogenannter Zero Days ist nicht ungefährlich: Werden die Sicherheitslücken nicht unverzüglich an den Hersteller der Software gemeldet und geschlossen, gefährden sie die IT-Sicherheit für alle. Eindrucksvolles Beispiel ist die Schadsoftware Wannacry, die Millionen Rechner und Firmen lahmlegte. Dafür nutzte sie eine von der NSA gehortete Sicherheitslücke.

Den Einsatz von Sicherheitslücken problematisierte Kelber auch in öffentlichen Stellungnahmen. Zudem kritisierte er die Ausweitung des Staatstrojanereinsatzes auf die Geheimdienste als eine Gefahr für die Demokratie.

"Effektive Kontrolle findet augenscheinlich nicht statt"

Sicherheitsforscher und CCC-Mitglied Thorsten Schröder hat bereits mehrere Staatstrojaner für den Chaos Computer Club (CCC) analysiert. Den Bericht des Datenschutzbeauftragten bezeichnet er als enttäuschend. "Die Datenschutzbehörde untersucht einen kleinen Teil relevanter Fragen in einem Ausschnitt des Staatstrojaners, und die Öffentlichkeit darf lediglich Auszüge des Befunds lesen", sagte Schröder zu Netzpolitik.org. "Das Ergebnis von vier Jahren Arbeit sind zehn Seiten weitreichend geschwärztes Papier ohne Details. Eine effektive Kontrolle dieser hochsensiblen Schadsoftware findet augenscheinlich nicht statt."

"Innenminister und BKA haben immer wieder Behauptungen über Staatstrojaner aufgestellt, die sich bei genauerer Betrachtung als unwahr herausgestellt haben", betont der CCC-Sprecher Linus Neumann. Der CCC prüfe die vom BKA programmierte Software gerne.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


oleid 22. Feb 2022

Schade das der Bericht geschwärzt wurde und nicht etwa nur verpixelt. Das waren Profis am...

sh0gun 22. Feb 2022

Exotisch ja, aber aufgehört hat der letzte deutsch sendende Zahlendender erst im März...

Muntermacher 21. Feb 2022

Damit ja kein Opfer noch entschädigt werden,kann, oder was? Unabhängigbob ich für oder...

Malukai89 21. Feb 2022

Nein, bedeutet es nicht.



Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Erster Einsatz einer US-Kamikazedrohne dokumentiert

Eine Switchblade-Drohne hat offenbar einen russischen Panzer getroffen. Dessen Besatzung soll sich auf dem Turm mit Alkohol vergnügt haben.

Ukrainekrieg: Erster Einsatz einer US-Kamikazedrohne dokumentiert
Artikel
  1. Deutsche Bahn: 9-Euro-Ticket gilt nicht in allen Nahverkehrszügen
    Deutsche Bahn
    9-Euro-Ticket gilt nicht in allen Nahverkehrszügen

    So einfach ist es dann noch nicht: Das 9-Euro-Ticket gilt nicht in allen Zügen, die mit einem Nahverkehrsticket genutzt werden können.

  2. Verifone: Bundesweite Störung von Girokarten-Terminals
    Verifone
    Bundesweite Störung von Girokarten-Terminals

    In vielen Geschäften lässt sich derzeit nur bar bezahlen. Ursache ist wohl ein Softwarefehler in Kartenzahlungsterminals für Giro- und Kreditkarten.

  3. Recht auf Vergessenwerden: Verurteilter Raubmörder gewinnt Klage gegen Google
    Recht auf Vergessenwerden
    Verurteilter Raubmörder gewinnt Klage gegen Google

    Das Recht auf Vergessenwerden gilt auch für Raubmörder. Google muss einen Link auf einen Online-Artikel entfernen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Days of Play: (u. a. PS5-Controller (alle Farben) günstig wie nie: 49,99€, PS5-Headset Sony Pulse 3D günstig wie nie: 79,99€) • Viewsonic Gaming-Monitore günstiger • Mindstar (u. a. MSI RTX 3090 24GB 1.599€) • Xbox Series X bestellbar • Samsung SSD 1TB 79€ [Werbung]
    •  /