Heute im Standpunkt Sicherheit: Ein Rückblick auf die Entwicklung des Bundestrojaners.

Es ist soweit: Herrn Dr. Schäubles Wünsche werden wahr, er bekommt sein neues BKA-Gesetz samt Onlinedurchsuchung. Zeit, mal einen Blick zurück auf die Entwicklung des Bundestrojaners zu werfen. Da sich der digitale Bundesschnüffler von Anfang an auch durch den Standpunkt Sicherheit geschlichen hat, brauchte ich dazu nur die alten Folgen durch zu gehen:

2006: Und so beginnt es...

Das ganze begann bereits 2006. Der Standpunkt Sicherheit vom 11. Dezember 2006 begann mit "Bisher war die IT-Sicherheitswelt in "Schwarze" und "Weiße Hüte" aufgeteilt: Blackhats sind die bösen Hacker, Whitehats die guten. Demnächst möchte eine dritte Partei mitmischen: Die Schlapphüte von Verfassungsschutz und Co. möchten gerne mit Trojanern dem Bösen auf die Schliche kommen." Details waren damals noch nicht bekannt, nur die Tatsache, das es einen Bundestrojaner geben sollte. Schon damals nannte ich einige Gründe dafür, dass das eine ziemlich dumme Idee ist, und daran hat sich bisher nichts geändert. Darum gilt auch die Schlussbemerkung von damals nach wie vor: "Mal von verfassungsrechtlichen Bedenken ganz abgesehen - rein technisch ist die Idee so unsinnig, dass man sie sofort hätte verwerfen sollen. Aber vermutlich sind da ein paar Leute ganz wild auf eine Watschen durchs Verfassungsgericht. Ein gerahmter Ausdruck des berühmten Zitats "If privacy is outlawed, only outlaws will have privacy" von Phil Zimmermann wäre wohl ein geeignetes Weihnachtsgeschenk für einige unserer Sicherheitspolitiker." Ach, wie passend, es ist ja bald wieder Weihnachten...

Gleich in der nächsten Woche ging es weiter: Am 23.12. veröffentlichte unser Bundesinnenminister seinen Wunschzettel. Daraus zitierte ich im Standpunkt Sicherheit vom 27. Dezember 2006 u.a. einen Satz, den ich jetzt hier einfach mal kommentarlos wiederhole: "Eine Debatte, wie wir sie vor 20 Jahren um die Volkszählung hatten, hätten wir wohl heute glücklicherweise nicht." Einen weiteren Satz möchte ich hier nun zusätzlich zitieren: Über die Onlinedurchsuchung sagte Herr Dr. Schäuble "Das ist formal dasselbe wie eine Hausdurchsuchung." Genau das ist es eben nicht: Bei einer Hausdurchsuchung kommt die Polizei offen durch die Haustür, der Betroffene ist dabei und es gibt Zeugen für die ganze Aktion. Bei der Onlinedurchsuchung schleicht sich die Polizei heimlich in den Rechner und agiert dort im Verborgenen, unbemerkt vom Benutzer, ungestört von Zeugen.

2007: Bundestrojaner ohne Ende

Der nächste Auftritt des Bundestrojaners folgte im Februar 2007. Im Standpunkt Sicherheit vom 12. Februar 2007 werden erste Ideen von Herrn Dr. Schäuble über die Funktionsweise des Bundestrojaners und seinem Einsatz kommentiert.

Anfang April störte unseren Bundesinnenminister die Verfassung, die deshalb geändert werden müsste. Nein, das war nicht am 1. April, kommentiert wurde es im Standpunkt Sicherheit vom 10. April 2007.

Anfang Mai war der Bundestrojaner immer noch nicht vom Tisch, im Standpunkt Sicherheit vom 2. Mai 2007 ist zu lesen, das es aber zumindest ein Moratorium gibt. Das man mit dem Bundestrojaner sowieso höchstens die DATs, die 'Dümmsten Anzunehmenden Terroristen', fangen könnte, ist seitdem auch bekannt.

Weiter ging es im Standpunkt Sicherheit vom 29. Mai 2007: Herr Dr. Schäuble eröffnete den 10. Deutsche IT-Sicherheitskongress und forderte mehr Sicherheitsbewusstsein. Die Überschrift meines damaligen Kommentars: Sichere Rechner und Bundestrojaner - und das bitte gleichzeitig?

Interessant wurde es gleich in der nächsten Woche. Im Standpunkt Sicherheit vom 4. Juni 2007 gibt es einen Kommentar zur Aussage "Durch den Anschluss eines Rechners an das Internet gehört er nicht mehr zu Privatsphäre." Das ist die Kurzfassung der Stellungnahme der Landesregierung Nordrhein-Westfalens zur Verfassungsbeschwerde gegen die im neuen Verfassungsschutzgesetz von NRW erlaubte Online-Durchsuchung.

Schon im Standpunkt Sicherheit vom 25. Juni 2007 tauchte der Bundestrojaner wieder auf. Aus der angeblich einer Hausdurchsuchung entsprechenden Onlinedurchsuchung wurde plötzlich die Überwachung der Kommunikation, die noch dazu lebensnotwendig sei. Merke: Traue niemals den Aussagen eines Politikers - entweder er sagt nicht alles was er weiß oder er hat keine Ahnung von dem, was er sagt. Wobei am Ende egal ist, was davon zutrifft.

Lustig wurde es im Juli. Im Standpunkt Sicherheit vom 9. Juli 2007 stellte sich die Frage, wie man denn den Bundestrojaner gegen Terroristen einsetzen soll, die gar keinen Internetzugang mehr haben. Denn den wollte ihnen Dr. Schäuble verbieten.

Im August wurde dann aus der On- die Offline-Durchsuchung. Im Standpunkt Sicherheit vom 6. August 2007 gibt es einen Kommentar zu den Aussagen des BKA, wie die Onlinedurchsuchung ablaufen soll: Beim möglichen Terroristen wird eingebrochen, alle Massenspeicher werden kopiert, auf der Dienststelle wird ein individueller Schädling programmiert und dann bei einem weiteren Einbruch installiert. Einige Zeit vorher hatte Dr. Schäuble den Bundestrojaner damit begründet, das bei einer herkömmlichen Hausdurchsuchung ein Laptop vielleicht gar nicht gefunden würde. Wer denkt, nach diesem Widerspruch würde sich der Bundestrojaner in Luft auflösen, hat sich leider zu früh gefreut.

Im Standpunkt Sicherheit vom 28. August 2007 ging es dann um einen anderen Bundestrojaner: Die Bundesregierung hatte sich selbst einen Trojaner eingefangen, Made in China. Wie man das Problem "Bundestrojaner kommt rein, alle anderen müssen draußen bleiben" lösen will, wurde bisher nicht erklärt.

Die SPD-Fraktion hatte dem Bundesinnenministerium einen Fragenkatalog zum Bundestrojaner geschickt, dessen Antworten auch aus dem Entwurf eines billigen Hollywood-Films stammen könnten. Einige der Antworten darauf habe ich im Standpunkt Sicherheit vom 3. September 2007 kommentiert. Auf den Film warten wir ja leider immer noch.

Auch im Oktober hatte der Bundestrojaner seinen Platz im Standpunkt Sicherheit sicher. Am 1. Oktober 2007 gab es einen neuen Kommentar zu Dr. Schäubles ständiger Wiederholung der Forderung nach dem Bundestrojaner. Und am 15. Oktober 2007 ging es dann u.a. um die Verhandlung über die Zulässigkeit der Onlinedurchsuchung in NRW vor dem Bundesverfassungsgericht. Wenn alle befragen Fachleute eine Onlinedurchsuchung ablehnen sollte das jedem Laien zu denken geben. Wieso das bei Politikern nur ein "Jetzt erst recht" auslöst, müsste vielleicht mal untersucht werden. Und wenn sich ein Politiker erst mal in eine Idee verrannt hat und seine unsinnige Forderung jede Woche aufs neue wiederholt, bekommt er natürlich gerne ein warmes Plätzchen im Standpunkt Sicherheit, so auch in dem vom 22. Oktober 2007. Und auch, wenn er voller Begeisterung über einen Besuch beim Gemeinsamen Internetzentrums (GIZ) mal vergisst, seine Forderung zu stellen, wird er natürlich bedacht, so auch im Standpunkt Sicherheit vom 29. Oktober 2007.

Erinnert sich noch jemand an das Moratorium? Richtig, das oben erwähnte. Im November 2007 war Schluss damit, im Standpunkt Sicherheit vom 19. November 2007 gibt es einen Kommentar zum Stop des Entwicklungsstops. An der doch angeblich für jeden Einsatz individuell entwickelten Software wird weiterprogrammiert. Das ist ein Widerspruch? Na und, sowas stört doch einen Politiker nicht, schon gar nicht, wenn er davon sowieso keine Ahnung hat.

Im Standpunkt Sicherheit vom 10. Dezember 2007 geht es nur indirekt um den Bundestrojaner, dafür um eine neue Erfindung für die Polizei: W-LAN-Catcher. Andernorts nennt man sowas Rouge Access Points und hält es für einen alten Hut. Wieso muss ich gerade an "Falle, Schnapp, für Nagetier, klein, grau" oder so ähnlich denken?

2008: Der vorläufige Höhepunkt naht

Der erste staatliche (nicht stattliche) Trojaner, der 2008 im Standpunkt Sicherheit Erwähnung findet, ist nicht der Bundestrojaner. Stattdessen hat im Standpunkt Sicherheit vom 28. Januar 2008 der Bayerntrojaner seinen ersten Auftritt. Eigentlich ist es ja nur ein auf Windows beschränkter Skype-Trojaner, dem man eine Lederhose angezogen hat: Ein Programm aus der freien Wirtschaft, das von der bayerischen Landesregierung gekauft wurde.

Das unser Bundesinnenminister das mit dem Internet und der Privatsphäre nicht ganz verstanden hat, ist ein Thema des Standpunkt Sicherheit vom 4. Februar 2008. Was ist so schwierig daran, den Unterschied zwischen absichtlich im Internet veröffentlichten Daten und absichtlich nicht im Internet veröffentlichten Daten zu erkennen?

Im Standpunkt Sicherheit vom 3. März 2008 gab es dann Grund zum Jubeln: Die im Verfassungsschutzgesetz von NRW erlaubte Online-Durchsuchung verstößt gegen das Grundgesetz, und gleichzeitig wurde vom Bundesverfassungsgericht das 'Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme' formuliert. Die Hürden für eine Online-Durchsuchung wurden damit so hoch gelegt, das sie kaum zu überwinden sein dürften. Das die Bundesregierung es mit dem neuen BKA-Gesetz trotzdem versucht beweist nur wieder einmal mehr, das Politiker einen Wink mit dem Zaunpfahl nicht mal dann erkennen würden, wenn man den Zaunpfahl mit Signalfarbe lackieren und mit Scheinwerfern anstrahlen würde.

Am 25. März 2008 gab die Vorratsdatenspeicherung ein sehr erfreuliches Gastspiel: Das Bundesverfassungsgericht strich die möglichen Zugriffe auf die gespeicherten Daten massiv zusammen.

Schlimmer wurde es wieder im Standpunkt Sicherheit vom 21. April 2008: Als wäre der Bundestrojaner nicht genug, wurde nun zum großen Spähangriff geblasen. Eigentlich eine logische Schlussfolgerung: Die Onlinedurchsuchung ist ja laut Dr. Schäuble formal das selbe wie eine Hausdurchsuchung, und wenn man schon heimlich einen Computer durchsucht, kann man ja genauso gut heimlich ein Haus mit Video überwachen. Und auch der Bundestrojaner findet Erwähnung: Laut BKA-Chef Jörg Ziercke wird mit Hochdruck an der Entwicklung des Bundestrojaners gearbeitet - eines Programms, das doch angeblich maximal 10 mal im Jahr und grundsätzlich immer nur einmal eingesetzt wird. Das sind Widersprüche? Macht nichts, das sind Politiker gewohnt.

Seitdem war es verdächtig ruhig um den Bundestrojaner, alle zuständigen Politiker waren wohl damit beschäftigt, das neue BKA-Gesetz zu formulieren. Was dabei am Ende wirklich heraus kommt wissen wir erst, wenn das Bundesverfassungsgericht damit fertig ist. Ein paar Informationen zeigen schon, wo die Richter nachbessern müssen. Das der große Spähangriff den Gang vors Bundesverfassungsgericht überlebt bezweifle ich. Genauso dürfte von der Onlinedurchsuchung am Ende nicht viel übrig bleiben. Da ist zum einen der Schutz des "Kernbereichs privater Lebensgestaltung". Einfach erst mal alles abgreifen und dann zwei BKA-Beamte und den Datenschutzbeauftragten des BKA die Daten sichten lassen ist ja wohl ein Witz, oder? Vor allem, da es unmöglich sein dürfte, durch technische Maßnahmen sicher zu stellen, das dieser Kernbereich nicht betroffen ist.

Genauso ein Witz ist ja wohl, das der BKA-Präsident eine Eilbefugnis bekommt. Eile beim Einsatz eines Programms, das für jeden Einsatz individuell programmiert wird? Inzwischen wurde als Erklärung dafür ein Szenario nachgereicht: Nach einer genehmigten und abgeschlossenen Onlinedurchsuchung könnte eine weitere notwendig sein und der betreffende Rechner gerade einladend irgendwo rumliegen. Aha.

Warten wir mal ab, wie das ganze weitergeht. Das Bundesverfassungsgericht hat ja inzwischen Übung darin, wahnwitzige Ideen von Sicherheitsfanatikern zurecht zu stutzen. Daher: Fortsetzung folgt.

Carsten Eilers