Verdeckter Zugriff auf Festplatten

Online-Durchsuchung privater Computern, Hacken in staatlichem Auftrag und behördliches PC-Screening - droht uns das wirklich?

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Der Bundesgerichtshof hat gestern entschieden, dass die "verdeckte Online-Untersuchung" unzulässig sei. Bundesinnenminister Wolfgang Schäuble hat im Gegenzug gefordert, die rechtlichen Grundlagen dafür zu schaffen.

In Wahrheit hat es eine "Online-Durchsuchung" oder gar den "Bundestrojaner", der seit geraumer Zeit durch die Medien geistert und sogar einen eigenen Eintrag bei Wikipedia bekommen hat, nie gegeben – und es wird ihn auch nie geben. Er ist ein Hoax und beruht auf dem mangelnden Sachverstand eines Oberstaatsanwaltes, jeweils einer Falschmeldung der taz und der Süddeutschen und der Tatsache, dass alle deutschen Medien, ohne die Fakten zu recherchieren, voneinander abgeschrieben haben. Nach dem Prinzip "Stille Post" steht am Ende der Berichterstattung dann der "behördliche" Hacker, vom dem am Anfang nie die Rede war.

Die taz schrieb am 30.01.2007:

Bei einer Online-Durchsuchung installiert die Polizei über die Internet-Verbindung des Computers eine Hacker-Software auf dem Rechner. Ein solcher Trojaner verschickt dann einmal oder laufend die auf der Festplatte gespeicherten Daten an die Polizei. Das Verfahren stellte ein Mitarbeiter der Bundesanwaltschaft mit einem Aufsatz in der Neuen Zeitschrift für Strafrecht im März 2005 vor.

Das ist nicht wahr. Der betreffende Autor Manfred Hoffmann, Oberstaatsanwalt beim BGH, beschäftigt sich unter der Überschrift "Die Online-Durchsuchung - staatliches "Hacken" oder zulässige Ermittlungsmaßnahme?" ausführlich mit dem Thema, hat aber offenbar wenig technischen Sachverstand. Der Datenspeicher des Computers eines Verdächtigen könne untersucht werden, schreibt er, "indem etwa mittels E-Mail oder auf andere Weise, auf den zu durchsuchenden Computer "Trojaner" oder "Backdoor"-Programme aufgespielt werden. Wie es möglich sein könnte, per Mail etwas auf den Rechner eines Verdächtigen einzuschleusen, wenn der sich weigert, Attachments von unbekannten oder gar anonymen Absendern zu öffnen oder wie man einem Linux-Nutzer eine Spionage-Executable unterjubeln will, verrät Manfred Hoffmann nicht. Der Autor bezieht sich auf einen Fall aus dem Jahr 1997. Damals ging es aber um eine "passwortgeschützte Mailbox", also das klassische Bulletin Board System, in das die Strafverfolger eindringen wollten.

Bundestrojaner-Hoax

Wenige Zeilen später heißt es: "...ist die Online-Durchsuchung nur möglich, wenn der Computer online ist. Die durch das aufgespielte Computervirus ausgelesenen Daten..." Der Unterschied zwischen einem "Virus" und einem Fernwartungstool wie zum Beispiel Back Orifice ist jedoch erheblich. Woher der Oberstaatsanwalt seine Kenntnisse über das Internet bezieht, wird schnell klar: Man dürfe die "Eingriffsintensität" nicht überschätzen. Wer das Internet nutze, sehe sich "vielfältigen Angriffen durch Computerviren" ausgesetzt. "Der Computernutzer nimmt die Gefahren einer Infizierung seines Computers daher nolens volens in Kauf und kann überdies versuchen, sich mittels Anti-Viren- und Firewall-Programmen hiergegen zu schützen." Als Beleg, dass das möglich sei, findet man nur eine Fußnote: Fast wöchentlich "wird in den Medien von neuen Computerviren wie "Würmern" und "Trojanern" berichtet."

Bei der Online-Untersuchung handelt sich also um eine reine Wunschvorstellung und mitnichten um eine real existierende Methode. Die taz gibt zu, dass das Verfahren nie angewendet worden sei: Das hindert den Autor Christian Roth nicht daran, in einem Kommentar phantasievoll zu behaupten: "Inzwischen versuchen die Ermittler sogar mit Hilfe von Hacker-Software auf private PCs Zugriff zu nehmen." Fast alle Artikel in deutschen Medien fußen auf diesem einen taz-Bericht und übernehmen seine zentrale Aussage, ohne offenbar die Quelle gelesen zu haben.

Es gibt aber noch einen zweiten Beleg für den Bundestrojaner-Hoax – eine Rede des nordrhein-westfälischen Innenministers Ingo Wolf am 31.08.2006 im Landtag. Es ging um die Sicherheitslage im Allgemeinen und das Internet im Besonderen. Wolf sagte wörtlich:

Die Beobachtung von Internetseiten, Chats und auch das Eindringen in Rechnersysteme ist daher ein notwendiges Instrumentarium für einen wirksamen Verfassungsschutz.

Dem Verfassungsschutz müsse erlaubt sein:

Teilnahme an Chats, Auktionen und Tauschbörsen, die Feststellung der Domaininhaber, die Überprüfung der Homepagezugriffe, das Auffinden verborgener Webseiten sowie der Zugriff auf gespeicherte Computerdaten.

Das heißt: Der Verfassungsschutz darf das tun, was jeder andere auch kann - zum Beispiel Inter Relay Chat nutzen, Whois-Datenbanken abfragen, bei eBay handeln, mit Bittorrent Dateien herunterladen. Was unter "verborgenen Websites" zu verstehen ist, weiß jedoch niemand - sind damit vielleicht die angeblich zahllosen Bombenbauanleitungen im Internet gemeint, die in keinem Bedrohungsszenario fehlen? Oder Websites, die Google aus Rücksicht auf Diktaturen zensiert?

"Internet-Festplatten"?

Wolf hat überhaupt nichts von "Online-Durchsuchungen" gesagt. Im August 2006 heißt es im Heise-Newsticker korrekt nur, es solle jetzt das Internet überwacht werden. Die dort erwähnte Formulierung "Zugriff auf Internet-Festplatten" stammt aus der Welt. Die wiederum bezieht sich auf ein Interview der WAZ vom 28.08.2006 mit Ingo Wolf: "Der Verfassungsschutz muss die Möglichkeit erhalten, auf Internet-Festplatten zuzugreifen, um inländische Terrorzellen aufzuspüren und zu beobachten." Das ist allgemein formuliert und bedeutet gar nichts Konkretes. Was mit "Internet-Festplatten" gemeint ist, kann man nur vermuten: Festplatten in den Rechnern der Provider, im Gegensatz zu privaten Festplatten, die manchmal offline sind?

In Paragraf 5, Absatz 11 des neuen Verfassungsschutzgesetzes von Nordrhein-Westfalen, über das Wolf geredet hatte, steht über die Aufgaben des Dienstes:

heimliches Beobachten und sonstiges Aufklären des Internets wie insbesondere die Teilnahme an seinen Kommunikationseinrichtungen bzw. die Suche nach ihnen, sowie der heimliche Zugriff auf informationstechnische Systeme auch mit Einsatz technisches Mittel.

Paragraf 5a Absatz 2 regelt die Vorratsdatenspeicherung. Der Begriff "Internet" taucht nur einmal auf, von Software zum Ausspähen oder gar "Trojanern" ist nicht die Rede.

Am 31.08. zitiert der Heise-Newsticker beim Thema "Zugriff auf Internet-Festplatten" wiederum den besagten Artikel der Welt, auch im Dezember wird die Formulierung "verdeckter Zugriff auf "Festplatten" nur wiederholt. In der Überschrift ist aber schon von einer "Online-Durchsuchung von PCs durch Strafverfolger" zu lesen. Das wäre nur korrekt, wenn man die Teilnahme eines Verfassungsschützers an einem Chat etwa im DALnet als "Online-Durchsuchung" interpretiert.

Mit dem Begriff "Internet-Festplatten" ist die urbane Legende aber schon nicht mehr totzukriegen. Am 01.09.2006 wird es in Telepolis (Der Verfassungsschutz soll "Emails auf Festplatten" lesen dürfen) etwas konkreter. Es geht wieder nur um das neue Verfassungsschutzgesetz in Nordrhein-Westfalen. Florian Rötzer umschifft elegant die eigentlich interessanten Frage: Was ist eine Online-Durchsuchung? Der Verfassungsschutz dürfe "Homepages" beobachten und "Emails auf Festplatten" lesen. Websites zu beobachten ist technisch nicht aufwändig, jeder Surfer kann also "offensive Internetbeobachtung", wie es im Behördenjargon heißt, betreiben. Aber wie will man - vielleicht sogar verschlüsselte - E-Mails lesen, gar auf fremden Rechnern? Wiederum nichts Konkretes darüber, wie die Behörden technisch in die Computer Verdächtiger eindringen könnten.

“Das BKA soll tun dürfen, 'was die Kollegen in den Ländern längst tun'"

Am 10.11. 2006 geht es im Heise-Newsticker um "schärfere Überwachung von Online-Foren". Das wiederum bezieht sich auf die allgemeinen und nicht neuen Forderungen Schäubles und der Gewerkschaft der Polizei, die "Netzinhalte" und die "Kommunikationsströme" schärfer zu kontrollieren. Überwacht werden sollen "Internet-Telefonie und geschlossene Chaträume". Kein Wort von amtlichen Hackerzugriffen auf private Rechner, sondern nur von Überwachen und Abhören der unverschlüsselten Kommunikation mit den üblichen Mitteln.

Im Dezember erlebte das Thema noch einen kleinen Hype. Der Bundesdatenschutzbeauftragte sagte am 4.12. in einem Interview mit der Berliner Zeitung, er lehne "staatliches Hacken" ab. Am 7.12. berichtete die Berliner Zeitung dann: "Das Bundeskriminalamt soll künftig online in die Personalcomputer von Verdächtigen eindringen und sie nach 'verfahrensrelevanten Inhalten' durchsuchen können." Die Quelle ist ausschließlich die Bild-Zeitung, von eigener Recherche keine Spur.

Worum es geht, wird in einem Artikel der Süddeutschen vom selben Tag klar. Unter der suggestiven Überschrift "Durchsuchung online" werden viele sicherheitsrelevante Themen diskutiert: "E-Mails, besuchte Webseiten, angelegte Dateien". Dann behauptet die Autorin Annette Ramelsberger, jetzt solle auch das Bundeskriminalamt tun dürfen, "was die Kollegen in den Ländern längst tun." Was tun die "Kollegen" in den Ländern? Die Quelle für die Behauptung ist das Innenministerium: "ein wichtiger Baustein im Kampf gegen den Terror sei die Fähigkeit, PCs durchsuchen zu können, ohne tatsächlich am Standort des Gerätes zu sein. Das sei "personell und technisch äußerst aufwendig". Für einen regulären Einsatz brauche man "erhebliche Ressourcen". Nichts Genaues weiß man also nicht.

Die Süddeutsche wiederholt dann noch einmal die Falschmeldung, das Verfassungsschutzgesetz in Nordrhein-Westfalen sähe vor, dass der Inlands-Geheimdienst "über das Internet auch auf private Computer zugreifen kann." Der Beweis besteht in nur einem Satz in schlechtem Deutsch: "Auch der Bundesverfassungsschutz ist bei der Internetrecherche eifrig zugange." Von behördlichem "Hacken", dem amtlichen Knacken von Firewalls oder gar Bundestrojanern wieder keine Spur. Die Süddeutsche darf vermutlich auch in Anspruch nehmen, den "Bundestrojaner im Computer" erfunden zu haben, flankiert von dem Satz: "Gegen Ermittlungsbeamte, die mit richterlicher Erlaubnis persönlich einen Trojaner auf dem Rechner installieren, hilft auch die beste Firewall nicht."

Das ist erstens technisch gesehen grober Unfug und zweitens frei erfunden. Diese Beamten gibt es nicht. Auch golem.de wiederholt am 8.12 die These, die Polizei würde bereits online auf Rechner zugreifen und die Festplatte durchsuchen - als Beleg dient wiederum nur der obige Artikel der Süddeutschen. Auch die Zeit hat nur fabuliert: "Mithilfe von Hacker-Programmen können Ermittler die Festplatten von Computern durchleuchten." Die Quelle dieser These ist ausschließlich der obige taz-Artikel. Die taz berichtet auch, der BGH-Ermittlungsrichter Ulrich Hebenstreit habe die Praxis der Online-Durchsuchungen für illegal erklärt (Az 1 BGs 184/2006). Welche Praxis - und um welches Verfahren handelt es sich?

Was wollen die deutschen Behörden benutzen?

Das versucht der Tagesspiegel am 8.12. zu erläutern: "Mittels der Spionagesoftware eines schweizerischen Sicherheitsunternehmens lassen sich via Internet geführte Telefongespräche abhören und andere Daten übertragen." Es geht also allgemein darum, Telefongespräche via Internet-Telefonie zu belauschen, nicht darum, Spionageprogramme auf fremden Computern zu implementieren. Geradezu rührend naiv ist die Passage: "Im einfachsten Fall wird das Spionageprogramm per E-Mail auf den zu überwachenden PC eingeschleust. Die Zielperson kann aber auch zu einer Webseite gelockt werden, von wo aus sich unbemerkt im Hintergrund das Spionageprogramm installiert." Dass nur unbedarfte Windows-Nutzer davon betroffen wären und dass dieses "Verfahren" tatsächlich überhaupt nicht angewendet worden ist, verschweigt der Artikel.

Bei Wikipedia wird aus dieser vagen Gemengelage: "Bei einer Online-Durchsuchung soll via Internet einen heimliche Zugriff auf private Computer im Rahmen des Programms zur Stärkung der Inneren Sicherheit (PSIS) durch Behörden bei ihren Ermittlungen von Straftaten per PC-Screening ermöglicht werden." Der Artikel bezieht sich auf ein Schreiben des ehemaligen Generalbundesanwalts Kay Nehm an Jörg Ziercke, den Präsidenten des Bundeskriminalamtes: "dass dem Vernehmen nach verschiedene deutsche Sicherheitsbehörden bereits seit geraumer Zeit erfolgreich mit dem Instrument des heimlichen Abziehens von Daten auf fremden Computern mittels spezieller Software arbeiten würden." Welche "spezielle Software" gemeint sein soll, bleibt offen.

Benutzen deutsche Behörden vielleicht SubSeven in der Hoffnung, Kriminelle bevorzugten Windows-Rechner? Gibt es plattformübergreifende Software, die gleichermaßen Macintosh- und Linux-Rechner ausspioniert? Nein, die gibt es nicht. Wikipedia nennt auch keine weiteren Quellen für das "dem Vernehmen nach".

Und der "Bundestrojaner? In der Antwort der Bundesregierung auf die Anfrage der Linkspartei über die Rechtmäßigkeit und Anwendungen von Online-Durchsuchungen ist nur von "neuen technischen Verfahren" die Rede, die man noch prüfe. Man weiß nur, dass Stellen für Programmierer eingerichtet wurden und dass "der einmalige Investitionsaufwand" etwa bei 200.000 Euro liegt.

Das letzte Indiz für Bundescomputerviren oder -trojaner findet man im aktuellen Beschluss des Bundesgerichthofs: Der Generalbundesanwalt habe beantragt:

die Durchsuchung des von dem Beschuldigten benutzten Personalcomputers/Laptops, insbesondere der auf der Festplatte und im Arbeitsspeicher abgelegten Dateien..., und deren Beschlagnahme anzuordnen und den Ermittlungsbehörden zur verdeckten Ausführung dieser Maßnahmen zu gestatten, ein hierfür konzipiertes Computerprogramm dem Beschuldigten zur Installation zuzuspielen (! B.S:), um die auf den Speichermedien des Computers angelegten Dateien zu kopieren und zum Zwecke der Durchsicht an die Ermittlungsbehörden zu übertragen (im Folgenden: verdeckte Online-Durchsuchung).

Was aber geschieht, wenn der Verdächtige Truecrypt nutzt und seine Mails mit GnuPG verschlüsselt? Wenn man jemandem etwas "zuspielen" will, geht das nur per E-Mail. Der Verdächtige muss also das Betriebssystem Windows besitzen, sich um die Authentizität des Absenders nicht kümmern und sorglos Attachments öffnen. Er muss - schlicht formuliert - ein Dümmster Anzunehmender User sein. Wenn der Generalbundesanwalt so online Computer durchsuchen will, werden sich potentielle Straftäter vermutlich totlachen oder gleich auf Linux umsteigen, falls das noch nicht geschehen ist.

Der eigentliche Anlass für die blühende Phantasie um den Bundestrojaner ist schon mehr als fünf Jahre alt, aber scheint sich in das kollektive Gedächnis so eingebrannt zu haben, dass er immer wiedergeboren wird. Damals handelte sich um einen Sniffer, den das FBI eingesetzt haben soll (Die Cyberspace-Fallen des FBI). Es wurden Scheinfirmen gegründet und den bösen Hackern präparierte Rechner untergeschoben. Das war's aber auch. Mit etwas bösem Willen kann man die Methode, Rechner mit Spionage-Programmen auszustatten, ein Unternehmen zu gründen und dann den potentiellen Kriminellen diese Computer zu verkaufen, auch als "Online-Durchsuchung" bezeichnen. Aber ob sich Terroristen vorschreiben lassen, welches Betriebssystem sie nutzen und wo sie ihre Hardware kaufen?