[datensicherheit.de, 08.08.2017] Der Deutsche Bundestag hat per Gesetz Strafermittlern neue technische Möglichkeiten eingeräumt, um verschlüsselte Kommunikation von Verdächtigen in ihren Notebooks und Smartphones mitzulesen und diese unbemerkt durchsuchen zu können („Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens“). Der Gesetzgeber hat damit die Rechtsgrundlagen für die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) und die Online-Durchsuchungerweitert und Grundrechte in Bezug auf das Fernmeldegeheimnis eingeschränkt.

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) kündigt Verfassungsbeschwerde gegen diese legalisierte Schwächung von modernen IT-Systemen an: Denn anstatt die Bürgerinnen und Bürger aktiv vor IT-Schwachstellen zu schützen, toleriere sie der Staat und halte sie für den potentiellen Einsatz seines „Trojaners“ sogar aufrecht.

Mit der gesetzlichen Einsatzerlaubnis für Spionagesoftware („Bundestrojaner“) soll aus staatlicher Sicht der Tatsache Rechnung getragen werden, dass Straftäter über verschlüsselte Messenger-Dienste miteinander kommunizierten. Bei der Quellen-TKÜ werden Nachrichten schon in modernen IT-Systemen, wie Smartphones des Absenders abgefangen, bevor sie verschlüsselt werden. Die Online-Durchsuchung erlaube es, unbemerkt aus der Ferne das Endgerät eines Verdächtigen nach Hinweisen auf Straftaten zu untersuchen. Für die Zulassung gelten nach dem neuen Gesetz vergleichbar strenge Voraussetzungen wie für die schon jetzt unter Richtervorbehalt erlaubte akustische Wohnraumüberwachung. Im Gesetz ist in allgemeiner Form davon die Rede, dass „mit technischen Mitteln in informationstechnische Systeme eingegriffen wird“.

Prof. Norbert Pohlmann, TeleTrusT-Vorsitzender: „Der Staat hat die Pflicht, Bürgerinnen und Bürger zu schützen. Durch die gezielte Offenhaltung und Nutzung von Sicherheitslücken wird diese Schutzpflicht missachtet und das Vertrauen in moderne IT-Systeme staatlich untergraben. Dadurch wird die notwendige Digitalisierung nachhaltig verhindert.“

Die vom Gesetzgeber legalisierten Maßnahmen führten dazu, das Vertrauen in moderne IT-Systeme im Allgemeinen und in die angebotenen vertrauenswürdigen Lösungen zu erschüttern. Sie seien damit industriepolitisch kontraproduktiv und schädigend für den weiteren notwendigen Digitalisierungsprozess. Die geschaffenen Möglichkeiten stünden im Widerspruch zur politischen Zielsetzung, „Deutschland zum Verschlüsselungsstandort Nr. 1“ zu entwickeln. Die Eignung zur Verbrechensaufklärung sei indes fragwürdig, weil Straftäter beispielsweise auf andere Kommunikationsmöglichkeiten ausweichen würden. Die Beeinträchtigung des Grundvertrauens der Öffentlichkeit in den Schutz der kommunikativen Privatsphäre stehe in keinem vernünftigen Verhältnis zur möglichen Ausbeute bei Strafverfolgungsmaßnahmen.

Die beschlossene Gesetzgebung betreffe das verbandspolitische Selbstverständnis von TeleTrusT im Kern. Der Verband stehe konsequent für Vertrauenswürdigkeit der IT-Systeme und kann nicht tatenlos zusehen, wenn der Gesetzgeber konterkarierende Maßnahmen beschließt, die die digitale Zukunft Deutschlands schwächten.

Der Bundesverband IT-Sicherheit e.V. werde nach Konsultation seiner Mitglieder Verfassungsbeschwerde erheben.

[datensicherheit.de, 19.10.2011] Die Diskussion über den sogenannten „Staatstrojaner“ (bzw. „Bundestrojaner“) habe nun ein zweites Mal Politik und Öffentlichkeit erreicht. Die aktuelle Debatte konzentriere sich auf die Frage, inwieweit staatliche Stellen manipulierte beziehungsweise manipulative Software auch zur Überwachung der laufenden Kommunikation einsetzen dürfen. Angesichts der Tatsache, dass die jetzt in Bayern bekannt gewordenen Überwachungsvorgänge zur Quellen-Telekommunikationsüberwachung nach dem Urteil des Bundesverfassungsgerichts vom 22. Februar 2008 stattgefunden hätten, sei deren Rechtmäßigkeit daran zu messen, ob die verfassungsrechtlichen Vorgaben eingehalten wurden, so Bundesdatenschutzbeauftragter Peter Schaar in einer aktuellen Stellungnahme:
Bis heute gebe es keinerlei explizite Regelungen für die Quellen-Telekommunikationsüberwachung. Dementsprechend stützten sich die Gerichte bei der Anordnung entsprechender Maßnahmen auf die allgemeinen Regelungen zur Telekommunikationsüberwachung – sie bewegten sich dabei in einer rechtlichen Grauzone. Einerseits habe das Bundesverfassungsgericht die Quellen- Telekommunikationsüberwachung nicht grundsätzlich verboten, andererseits fordere das Gericht technische und rechtliche Sicherungen zur Gewährleistung, dass sich die Überwachung auf den laufenden Telekommunikationsvorgang beschränke.
Da es sich bei der Quellen-Telekommunikationsüberwachung stets um einen schwerwiegenden Grundrechtseingriff handele, so Schaar, müssten die wesentlichen Festlegungen durch den Gesetzgeber selbst getroffen werden.
Dies sie indes – jedenfalls in der Strafprozessordnung – bisher unterblieben. In der Konsequenz liege es nahe, dementsprechend auf die Quellen-Telekommunikationsüberwachung im Bereich der Strafverfolgung zu verzichten. Dies scheine auch die Praxis der Bundesanwaltschaft zu sein, von der öffentlich berichtet werde, dass sie nach dem Urteil des Bundesverfassungsgerichts keine solche mehr beantragt habe. Allerdings hielten es Staatsanwaltschaften offenbar nicht überall so und Gerichte ordneten entsprechende Maßnahmen an – und seitens einiger Landesinnenminister sei zu hören, dass sie trotz widersprüchlicher Gerichtsentscheidungen keinerlei Zweifel an der Zulässigkeit der Überwachungspraxis hätten.
Auch wenn zu dieser Praxis noch keine höchstrichterlichen Entscheidungen vorliegen, sieht Schaar dringenden rechtspolitischen Handlungsbedarf. Das Bundesverfassungsgericht verdeutliche zwar den verfassungsrechtlichen Rahmen, lasse dem Gesetzgeber aber erhebliche Spielräume, diesen zu füllen. Angesichts der widersprüchlichen Auslegung der strafprozessualen Vorschriften halte er es für dringend geboten, dass der Bundestag hierzu endlich Klarheit schafft. Dabei stehe es in dessen Ermessen, ob die Quellen-Telekommunikationsüberwachung gänzlich verboten oder in engen Grenzen zugelassen wird. Dabei werde sicherlich auch eine Rolle spielen, ob es rechts- und kriminalpolitisch vertretbar sei, auf Telekommunikationsüberwachung gänzlich zu verzichten, soweit von Verdächtigen verschlüsselte Kommunikationsmittel eingesetzt werden.

Weitere Informationen zum Thema:

Datenschutz FORUM, 15.10.2011
Staatstrojanerdebatte 2.0 – Der Gesetzgeber ist gefordert!

[datensicherheit.de, 14.10.2011] G DATA, ein Hersteller von Antiviren-Lösungen, hat in einer aktuellen Stellungnahme unterstrichen, bereits 2007 klar Stellung im Rahmen der „Bundestrojaner-Diskussion“ bezogen zu haben – dabei sei „Hintertüren“ in Virenschutz-Lösungen für Ermittlungszwecke eine klare Absage erteilt worden. An dieser Position habe sich auch im aktuellen Fall nichts geändert und der auch als sogenannter „BKA-Trojaner“ bekannte Computerschädling sei von G DATA erkannt und entsprechend abgewehrt worden. Die Experten der unternehmenseigenen Forschungsabteilung hätten den Schädling unlängst untersucht. Dieser werde von den G-DATA-Sicherheitslösungen erkannt;eine Gefährdung ihrer Kunden durch diesen Schädling könnten sie ausschließen, so Ralf Benzmüller, Leiter der  „G Data SecurityLabs“.
Aufgrund der vor wenigen Tagen veröffentlichten Detailbeschreibung könnten Online-Kriminelle jedoch überwachte Rechner ausfindig machen und die dort integrierten Upload-Funktionen nutzen, um eigene Malware auf die Rechner zu überspielen. Eine exakte Aussage zur Verbreitung des Schädlings sei nach Einschätzung des Sicherheitsexperten nur schwer möglich. Die vom Chaos Computer Club (CCC) veröffentlichte Datei sei aber auf keinem ihrer Cloud-Security-Server angefragt worden – eineweitreichende, unkontrollierte Verbreitung habe also offenbar nicht stattgefunden, so G DATA.

Details der Stellungnahme der G-DATA-Sicherheitsexperten zum „BKA-Trojaner“:

1. G DATA erkenne den Schädling als „Backdoor.R2D2.a“ und wehre in ab.
2. Abgesehen davon, dass viele Informationen gesammelt und versendet werden könnten, habe der Schädling eine Upload-Funktion, über die weitere Software nachgeladen werden könne. Da diese Funktion nur unzureichend abgesichert sei, könnten auf infizierten Rechnern auch andere Schadprogramme diese Funktion dazu missbrauchen, um auf überwachten PCs eigene Malware zu übertragen und zu starten.
3. Die Kommunikation zum „Command & Control Server“ (C&C) sei nur unzureichend abgesichert. So könnten Schädlinge beliebige Daten von einer gefälschten Adresse an die zentrale Sammelstelle schicken. Damit würden die gesammelten Beweise anfechtbar.

Internetnutzer sollten ihren Virenschutz, „Windows“ und alle Browser-Komponenten prinzipiell auf dem aktuellsten Stand halten, rät G DATA. Als Mitglied der Arbeitsgruppe „IT-Security made in Germany“ (ITSMIG) im TeleTrust habe sich G DATA auch verpflichtet, keine „Hintertüren“ in seine Sicherheitslösungen einzubauen.

Weitere Informationen:

datensicherheit.de, 10.10.2011
Staatliche Online-Überwachung: Warnung des BITKOM vor Vertrauensverlust / Schnelle Aufklärung der Vorwürfe des Chaos Computer Club gefordert

[datensicherheit.de, 10.10.2011] Zu den aktuellen Berichten, wonach staatliche Stellen eine Überwachungssoftware für Computer ohne rechtliche Grundlage eingesetzt haben könnten, hat sich BITKOM-Präsident Prof. Dieter Kempf geäußert.
Laut Prof. Kempf habe das Bundesverfassungsgericht aus guten Gründen sehr hohe Hürden für Online-Durchsuchungen angesetzt. Wenn der Staat Computer überwacht, müsse das selbstverständlich verfassungskonform sein, sonst werde das Vertrauen von Bürgern und Unternehmen in moderne Kommunikation zerstört. Bei allen Überwachungsmaßnahmen müsse die Verhältnismäßigkeit stets genauestens bedacht werden. Sie ließen sich überhaupt nur dann rechtfertigen, wenn sie tatsächlich zu einem deutlichen Mehr an Sicherheit führten.
Wir brauchten Schutz auch im Internet – gegen Schwerstkriminelle, organisierte Kriminalität, Wirtschaftsspionage und „Cyber War“. Dabei müsse es eine Selbstverständlichkeit sein, dass die Sicherheitsbehörden die gesetzlichen Regeln einhalten. Die Vorwürfe des Chaos Computer Club müssten im Interesse aller Internetnutzer schnellstmöglich aufgeklärt werden, so Kempf.

Weitere Informationen zum Thema:

Chaos Computer Club, 08.10.2011
Chaos Computer Club analysiert Staatstrojaner