„C3PO-r2d2-POE“ – noch vor den Snowden-Veröffentlichungen stand diese Losung im Jahre 2011 sinnbildlich für unkontrollierte staatliche Überwachung mit tief verbundenen Eingriffen in die Privatsphäre des Bürgers. „C3PO-r2d2-POE“ war das zentrale Steuerkennwort des damals von verschiedenen Sicherheitsbehörden eingesetzten „Staatstrojaners“, entwickelt von der Firma „DigiTask“. Der Chaos Computer Club (CCC) analysierte damals den Quellcode der schon eingesetzten Überwachungssoftware und stellte fest, dass nicht nur das zentrale, aus Star Wars entlehnte Steuerpasswort hartkodiert und somit theoretisch für jeden frei auslesbar gewesen ist, womit die Kontrolle über den infiltrierten PC hätte erlangt werden können. Daneben wies die Software weitere erhebliche Mängel in Bezug auf die Datensicherheit auf. Der damalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, analysierte den Staatstrojaner technisch wie rechtlich in einem umfangreichen Bericht. Deutlich wurde dabei vor allem eines: Den das Programm einsetzenden Behörden war ihr eigenes Eingriffsinstrument völlig unbekannt. So bestand infolge des Outsourcings der Entwicklungsarbeiten weder eine Quellcodekenntnis, noch stand den einsetzenden Mitarbeitern eine hinreichende Programmdokumentation zur Verfügung. Die Entwicklerfirma mauerte – und das nicht unbedingt zu Unrecht: Schließlich unterlag der Quellcode ihrem Urheberrecht und im Rahmen des behördlichen Auftrags war zuvor nicht vereinbart worden, dass die Lieferung des fertigen Programms auch diejenige des Quellcodes umfassen sollte. Der genaue Funktionsumfang der eingesetzten Software war folglich nicht bestimmbar. Bekannt war aber zumindest, dass der damalige Staatstrojaner einen Modulcharakter besaß, der es ermöglichte, den Funktionsumfang der eingesetzten Software, die eigentlich lediglich die Quellen-Telekommunikationsüberwachung ermöglichen sollte, nahezu beliebig zu einer vollständigen Online-Durchsuchung hin zu erweitern, die einen Komplettzugriff auf das infiltrierte Computersystem erlaubt. Völlig unreguliert, verständlicherweise.
Doch damit soll nun endlich Schluss sein. Am 22.02.2016 bestätigte ein Sprecher des Bundesministeriums des Innern, dass der Einsatz eines neuen Trojaners für das Bundeskriminalamt freigegeben wurde. Auch mit diesem Programm soll es vorrangig möglich sein, die Quellen-Telekommunikationsüberwachung durchzuführen. Hierbei werden Gespräche, die über den PC beispielsweise mittels Skype geführt werden, noch vor ihrer Verschlüsselung abgehört. Entscheidender Unterschied zum alten Trojaner ist jedoch, dass es sich bei diesem Mal tatsächlich um eine staatseigene Entwicklung handelt, also so gesehen um einen wirklichen „Staatstrojaner“. Diese Erkenntnis kommt aber nicht unerwartet, denn schon seit den Veröffentlichungen des CCC im Jahre 2011 war bekannt, dass die Sicherheitsbehörden in Zukunft ein eigenes Überwachungsprogramm entwickeln würden. So wurden immer auch wieder entsprechende Programmierer in Stellenanzeigen gesucht.
Unabhängig davon, wie man zur Effektivität des Staatstrojaners steht, taugliche Beweismittel für die Ermittlungsarbeit zu erbringen, ist zumindest eines klar: Ein Trojaner, von dem der vollständige Quellcode bekannt ist, stellt einen großen Schritt in Richtung Rechtsstaatlichkeit dar. Dies vor allem auch deshalb, weil das Programm schwerwiegende Eingriffe in die enge Persönlichkeitssphäre ermöglicht. Ein jedweder anderer Zustand wäre unzumutbar, denn ist den einsetzenden Behörden mangels Kenntnis des Funktionsumfangs die grundrechtliche Eingriffstiefe nicht bekannt, so kann der Einsatz auch von Anfang an nicht verfassungsrechtlich legitimierbar sein. Sicherzustellen ist nun in jedem Falle, dass das Programm auch nur über diejenigen Funktionalitäten verfügt, die im Sinne des Schutzes der öffentlichen Sicherheit zwingend zu rechtfertigen sind. Zumindest den offiziellen Verlautbarungen nach soll es entsprechende Tests und eine externe Softwareüberprüfung gegeben haben, auch seien die Datenschutzbeauftragten von Bund und Ländern einbezogen worden. Offen ist aber, inwieweit die Einwände Dritter tatsächlich Einfluss auf die Ausgestaltung des neuen Staatstrojaners nehmen konnten.
Was somit bleibt, ist die Erkenntnis, dass das Repertoire staatlicher Ermittlungsmaßnahmen nun wieder um eine neue Technik bereichert wurde. Die Sicherheitsbehörden sind gehalten, den Einsatz der Maßnahme auf absolut notwendige Fälle zu beschränken und nur diejenigen Daten auszuwerten, für deren Kenntnis tatsächlich ein Erfordernis besteht. Ob das technisch möglich ist, bleibt aber äußerst fraglich. Vielleicht verhält es sich hier wie bei der klassischen Telekommunikationsüberwachung, wo erst nach Erlangung kernbereichsrelevanter Inhalte der Aufzeichnungsvorgang gestoppt werden kann? Fraglich bleibt auch, mit welchen Mitteln die Behörden das Spähprogramm auf den Computer eines Dritten aufbringen wollen: Wenn erst der physische Zugriff auf den PC dies ermöglicht, wäre damit ein weiterer Grundrechtseingriff verbunden. Und wenn die Software aus der Ferne aufgebracht wird, stellt sich wie schon beim alten Trojaner die Frage, wie mit der ausgenutzten Sicherheitslücke in Zukunft umzugehen sein wird, die auch für andere Angreifer von Interesse sein könnte. Und nicht zuletzt wurde diese Woche ebenso bekannt, dass das BMI quasi in Reserve die Lizenz für ein weiteres, von der hochumstrittenen Firma Elaman/Gamma entwickeltes Spähprogramm erworben hat. Wozu dies nötig sein soll, wenn in jahrelanger Arbeit zuvor schon ein eigenes Programm entwickelt und nach umfassenden Tests zur Nutzung freigegeben wurde, erschließt sich nicht wirklich.
Der neue Staatstrojaner lässt somit noch einige und nicht wenige Fragen offen. Ob dabei tatsächlich alle Beantwortung finden können, wird sich zeigen. Vermutlich aber nicht. Im Ergebnis bleibt dem Bürger ganz wie damals auch nur das Vertrauen darauf, dass die Sicherheitsbehörden nicht nur ein technisch sicheres Programm entwickelt haben, sondern dieses auch verantwortungsbewusst einsetzen. Hoffentlich wird dieses Vertrauen nicht – wie damals auch schon – enttäuscht.