Rückblick: 0zapftis

Ein kleiner Rückblick:

So entledigte sich Dr. Hans-Peter Uhl, CSU, innenpolitischer Sprecher der CDU/CSU-Fraktion im Deutschen Bundestage am Nachmittag des 19. Oktobers 2011 der Aufgabe, in einer Aktuellen Stunde des Deutschen Bundestages den Einsatz einer in staatlichem Auftrag programmierten und von Polizeien der Bundesrepublik Deutschland eingesetzten Schadsoftware zu rechtfertigen¹.

Die von Herrn Uhl angesprochene Überprüfung dieser Vorgehensweise sieht — wie vom bayerischen Datenschützer Thomas Petri heute veröffentlicht — so aus:

• In nicht einem Fall ging es um die Abwehr terroristischer Gefahren oder Aufklärung terroristischer Verbrechen. Dieser Anwendungsfall wurde bis zur Veröffentlichung des Trojaner-Codes in der politischen „Kommunikation“ immer ganz besonders herausgehoben. Diese „Kleinigkeit“ sollte jedem eine Hilfe dabei sein, die zukünftige politische „Kommunikation“ besser beurteilen zu können.
• Der Einsatz der Überwachungssoftware wurde nicht ausreichend dokumentiert, so dass die Abläufe im Nachhinein nicht mehr nachvollziehbar sind.
• In einem Fünftel der Fälle wurde die Software trotz fehlender richterlicher Anordnung in einer Form verwendet, die es ermöglichte, Screenshots des Browserfensters zu machen, in einem Zehntel der Fälle waren sogar Screenshots des gesamten Bildschirmes möglich.
• In der Hälfte der Fälle haben Polizeien komplette Listen installierter Software ausgelesen, also nicht Telefonie abgehört, wie es die Abk. TKÜ erwarten lässt, sondern klandestin lesend auf das Dateisystem der Rechner überwachter Menschen zugegriffen, was einer vom BVerfG explizit verbotenen Online-Durchsuchung gleichkommt. Dies natürlich ohne eine Anordnung.
• Die über die staatliche Schadsoftware gesammelten Informationen gingen über ausländische Server, die nicht dem Recht der Bundesrepublik Deutschland unterlagen.
• Die Nutzung der Überwachungskonsole ist über einen Zeitraum von gut zwei Jahren hinweg nicht protokolliert worden.
• Kein Vertreter einer Polizeibehörde hat den Quellcode der staatlichen Schadsoftware einsehen können.
• In einigen Fällen (wieviele?) wurde die staatlich installierte Schadsoftware nach Beendigung der Überwachung nicht deinstalliert. Angesichts der Tatsache, dass diese staatliche Schadsoftware Sicherheitslöcher von so großem Ausmaß hatte, dass einem damit verseuchter Computer beliebige Dateien aufgespielt und darauf ausgeführt werden konnten, ist das besonders verantwortungslos und gefährlich. In anderen Fällen wurde der Erfolg der Deinstallation nicht überprüft. In keinem Fall wurden die Betroffenen einer solchen Überwachung durch staatliche Schadsoftware ausreichend über den Vorgang informiert, so dass sie nicht selbst Vorkehrungen zur Sicherung ihres persönlich oder gewerblich genutzten Rechners treffen konnten.

Eine solche Auflistung durch einen Datenschützer, der…

Die Quellen-TKÜ sei ein Verfahren, das erst am Anfang seiner Zweckmäßigekeit stehe und müsse verbessert werden

…dem Verfahren an sich nicht einmal abgeneigt ist, entlarvt die von Hans-Peter Uhl gehaltene Büttenrede auch für stumpfere Geister als die beleidigende, parlaments- und volksverachtende Unverschämtheit, die sie immer schon war.

Dass der Herr Datenschützer, der Schadsoftware auf Computern an sich gar nicht weiter schlimm findet, nicht wusste oder für seinen Bericht nicht wissen wollte, warum eine Verschlüsselung von Bildern wie Screenshots im ECB-Modus auch vor zehn Jahren schon als ausgesprochen schwach galt, ist übrigens sehr peinlich. Denn solche Kleinigkeiten sind für seinen Job wirklich wichtig, und an einem derartigen Bericht sollte doch jemand mit einem kleinen Funken Kompetenz mitschreiben.

¹Hier ein Direktlink auf YouTube.