Private Firma schleuste Staatstrojaner ein

26. August 2014

Wer im Be­darfs­fall Staats­tro­ja­ner pro­gram­mie­ren und ein­schleu­sen wür­de, ist un­klar. In der Ver­gan­gen­heit ko­ope­rier­te die Bun­des­kri­mi­nal­po­li­zei da­für mit ei­ner pri­va­ten Fir­ma, die auch für das Re­gime von Turk­me­nis­tan ar­bei­te­te.

Sie ge­hö­ren zu den um­strit­tens­ten Punk­ten der ge­plan­ten Ge­set­zes­re­vi­si­on be­tref­fend Über­wa­chung des Post- und Fern­mel­de­ver­kehrs (Büpf): Die Staats­tro­ja­ner, ge­tarn­te Soft­ware, mit der ver­schlüs­sel­te In­ter­net-Kom­mu­ni­ka­ti­on über­wacht wer­den soll. Die Fra­ge stellt sich, wer sol­che Tro­ja­ner pro­gram­mie­ren und ein­schleu­sen soll und ob die Er­mitt­lungs­be­hör­den von Bund und Kan­to­nen über das ent­spre­chen­de Wis­sen ver­fü­gen.

Wie der Ein­satz von Tro­ja­nern in der Pra­xis lau­fen könn­te, zeigt ein Be­richt des «Ta­ges-An­zei­gers». So hat die Bun­des­kri­mi­nal­po­li­zei zwi­schen 2007 und 2010 in vier Fäl­len sol­che Soft­ware ein­ge­schleust, um in Com­pu­tern von Ver­däch­ti­gen nach Spu­ren oder Be­wei­sen zu su­chen. Da­bei brauch­ten sie al­ler­dings ge­mäss «Ta­ges-An­zei­ger» die Un­ter­stüt­zung der pri­va­ten Ber­ner Ha­cker-Fir­ma Dream­lab, wel­che die Tro­ja­ner im Auf­trag der Po­li­zei per E-Mail in die Ziel­sys­te­me ein­schleus­te. Zu­dem half die Fir­ma da­bei, die Da­ten an­schlies­send aus­zu­wer­ten.

Heik­le Ko­ope­ra­ti­on

«Wir soll­ten si­cher­stel­len, dass die Tro­ja­ner nicht die fal­schen Zie­le tref­fen und dass die Po­li­zei die Re­sul­ta­te nicht falsch in­ter­pre­tier­te», sag­te Dream­lab-Chef Ni­co­las May­en­court der Zei­tung. Sei­ne Fir­ma war dem Bund auch an­der­wei­tig be­hilf­lich, so zum Bei­spiel beim Ab­fan­gen von E-Mails im Rah­men von ge­richt­lich ab­ge­seg­ne­ten Strafer­mitt­lun­gen. Zwi­schen 2008 und 2011 ver­dien­te die Fir­ma so über ei­ne Mil­li­on Fran­ken. Auch für ei­nen «gros­sen Schwei­zer In­ter­net-Pro­vi­der» ent­wi­ckel­te die Fir­ma die nö­ti­ge Soft­ware für Über­wa­chun­gen, die der Bund auf­grund des Büpf heu­te schon an­for­dern kann.

Die Ko­ope­ra­ti­on mit pri­va­ten Ha­cker-Fir­men für staat­li­che Er­mitt­lungs­zwe­cke ist hei­kel. So lie­fer­te die Ber­ner Fir­ma auch Soft­ware-Tei­le an die Re­gie­rung in Turk­me­nis­tan, wel­che da­mit ih­re ei­ge­nen Bür­ger aus­spio­nie­ren und kon­trol­lie­ren woll­te. May­en­court be­zeich­net dies im Nach­hin­ein als sei­nen «gröss­ten Feh­ler». Der Auf­trag war im Rah­men der Ent­hül­lun­gen von Wi­ki­leaks zum Vor­schein ge­kom­men.

Ge­walt­mo­no­pol in Fra­ge ge­stellt

Be­mer­kens­wert sind auch die Aus­sa­gen von May­en­court zu den Staats­tro­ja­nern. Die­se tau­gen sei­ner Mei­nung nach nicht als Be­weis­mit­tel, da durch das Ein­drin­gen in frem­de Rech­ner gleich­zei­tig das An­griffs­ziel ver­än­dert wer­de. Aus der Er­fah­rung mit der Bun­des­kri­mi­nal­po­li­zei zog er fol­gen­den Schluss: «Wir wür­den nie ei­nen Tro­ja­ner ent­wi­ckeln.»

Zu­rück zur ak­tu­el­len Büpf-Re­vi­si­on, wel­che den Ein­satz von Tro­ja­nern le­ga­li­sie­ren wür­de. We­der Jus­tiz­mi­nis­te­rin Si­mo­net­ta Som­maru­ga noch das fe­der­füh­ren­de Bun­des­amt für Jus­tiz konn­ten bis­her glaub­haft dar­le­gen, wer im Be­darfs­fall für die Be­hör­den Tro­ja­ner pro­gram­mie­ren und ein­schleu­sen soll. Sol­len da­mit Fir­men be­auf­tragt wer­den, wel­che auch für aus­län­di­sche Be­hör­den und pri­va­te Auf­trag­ge­ber ar­bei­ten? Büpf-Kri­ti­ker und An­walt Mar­tin Stei­ger be­ur­teilt dies mit Blick auf das staat­li­che Ge­walt­mo­no­pol als «stos­send».