[Artikel aktualisiert – siehe unten] „Dem Chaos Computer Club (CCC) wurde Schadsoftware zugespielt, deren Besitzer begründeten Anlaß zu der Vermutung hatten, daß es sich möglicherweise um einen „Bundestrojaner“ handeln könnte.“ So leitet der CCC seinen Bericht zur Analyse einer Schadsoftware ein, die seither in Medien und Politik heiß diskutiert wird. So richtig sicher klingt dieser Satz allerdings nicht. Es wachsen die Zweifel.
Hadmut Danisch stellt in seinem Blog die Frage „Ist der vom CCC untersuchte Landes-/Bundes-/Sonstwas-Trojaner echt?“ Und tatsächlich gibt weder die Pressemitteilung noch der Bericht des CCC selbst einen Hinweis darauf, was als Beleg für die Quelle der Software dient. Die Behauptung scheint sich einzig und allein auf die Aussage eines einzelnen Informanten zu stützen.
Aus dem Programm selbst lässt sich dieser Verdacht offenbar nicht erhärten – es gibt keinen „Copyright BKA“-Hinweis oder ähnlich eindeutige Spuren. Stattdessen würzt der CCC seinen technischen Bericht mit allerlei Behauptungen:
„Zur Tarnung der Steuerzentrale werden die ausgeleiteten Daten und Kommandos obendrein über einen in den USA angemieteten Server umgelenkt. Die Steuerung der Computerwanze findet also jenseits des Geltungsbereiches des deutschen Rechts statt.“
Der CCC behauptet, dass das eine Tarnung ist. Der CCC behauptet, dass das gemacht wird, um außerhalb deutschen Rechts zu operieren. Wer sagt das? Wo sind die Belege? Und es stimmt ganz offensichtlich nicht einmal! Ganz egal wohin einen deutsche Behörde Daten kopiert – sie unterliegt immer noch deutschem Recht. Und wenn man sich den Funktionsumfang der Software anschaut, dann konnte das schon Back Orifice vor über 10 Jahren. Der Bericht des CCC ist eine krude Mixtur aus technischen Details und Spökenkiekerei.
Der Informantenschutz, auf den sich der CCC jetzt beruft, kann nicht Grund dafür sein, dass wir jetzt jede Behauptung glauben müssen. Was mich am meisten daran erstaunt ist, dass diese unbelegte Behauptung jetzt in allen Medien als Fakt hoch und runter läuft. Wenn sich der Trojaner als echt herausstellt, wäre das ein schwere Skandal. Dazu müssen nun aber ein paar Fakten auf den Tisch.
Nachtrag: Frank Rosengart vom CCC schrieb mir gerade auf Anfrage:
„das BKA dementiert, dass die Software von ihnen ist. Es bleiben also noch etliche LKAs, sowie der Zoll. Eine exakte Beschreibung der Software wurde übrigens schon öffentlich, wir haben darüber hinaus aber noch weitere Anzeichen dafür, dass es sich tatsächlich um Software von Ermittlungsbehörden handelt.“
Der CCC stochert also offensichtlich im Dunklen und hat keine Ahnung, von wem die Software ist. Die öffentlich gewordene Beschreibung der Software passt im Prinzip auf jedes Fernwartungstool.
Nachtrag 2: Mittlerweile gibt es die ersten deutlicheren Hinweise darauf, dass der Trojaner aus Bayern kommen könnte. Der Anwalt eines Betroffenen hat sich gemeldet. Damit ist die Verbindung da, die der CCC schuldig blieb. Bestätigt wurde der Zusammenhang von öffentlicher Seite bisher offenbar noch nicht. Ich finde die Art der Berichterstattung immer noch merkwürdig. Der Vorgang selbst aber, der sich dort gerade entspinnt, ist ein handfester Skandal. Die Stellungnahme des innenpolitische Sprecher der CDU/CSU-Fraktion im Deutschen Bundestag, Hans-Peter Uhl zeugt von eklatant mangelnder Selbstkritik:
„Wer dagegen wie die Bundesjustizministerin eine spezialgesetzliche Rechtsgrundlage für die Quellen-TKÜ verweigert und die Strafverfolgungsbehörden damit zum Rückgriff auf die allgemeine TKÜ-Rechtsvorschrift zwingt, darf nicht beklagen, dass Vorgaben nicht eingehalten würden, die es derzeit noch nicht gibt und für deren Schaffung die Justizministerin zuständig wäre.“
Die Polizei muss sich auch aus eigenem Antrieb an das Grundgesetz halten.
Schreibe einen Kommentar