Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

Bayerischer Datenschutz-Beauftragter: Schwere Fehler beim Einsatz von Staatstrojaner

Beim Einsatz von Staatstrojaner-Software in Bayern sind schwere Fehler gemacht wurden. Das stellt der Landesdatenschutzbeauftragte nach acht Monaten fest und fordert Konsequenzen von Strafverfolgungsbehörden und Gesetzgeber. Die genauen Abläufe der Einsätze konnte er nicht nachvollziehen, weil die Behörden die Fälle mangelhaft dokumentiert haben.

Von 2008 bis 2011 wurden in Bayern 23 mal Staatstrojaner zur “Quellen-Telekommunikationsüberwachung” eingesetzt. Diese hat der Landesbeauftragte für den Datenschutz nun untersucht und einen Prüfbericht veröffentlicht. Das sind nur die Verfahren der Strafverfolgungsbehörden, den Verfassungsschutz darf er nicht untersuchen. Ein Drittel der bisher abgeschlossenen Verfahren wurde trotz Trojaner-Einsatz eingestellt.

Alle verwendeten Trojaner waren von der Firma DigiTask, daher dürfte die Software dem vom Chaos Computer Club analysierten Trojaner ähneln. Wie der CCC hat auch der Datenschutzbeauftragte Dr. Thomas Petri nur Binärdateien untersucht. Zwar wurde ihm auch Einblick in den Quellcode angeboten, doch dafür wollte DigiTask einen Geheimhaltungsvertrag.

Zur Prüfung hat sich Petri vom Landeskriminalamt Unterlagen, Akten und Software geben lassen. Er kritisiert:

Zusammengefasst konnten die Geschehensabläufe mangels hinreichender Dokumentation nicht umfassend nachvollzogen werden. Im Hinblick auf die Eingriffsintensität sind derartige Dokumentationsdefizite aus datenschutzrechtlicher Sicht als Verstöße gegen § 9 BDSG bzw. Art. 7 BayDSG anzusehen.

Obwohl er deswegen die Zusammenhänge der Auftragtserteilung nicht vollständig nachvollziehen konnte, bezeichnet Petri die Aufträge an DigiTask als “in mehrfacher Hinsicht mängelbehaftet”. So fehlte in den Verträgen die Möglichkeit, den Quellcode zu sehen zu dürfen. Das Personal von DigiTask zur “Fernwartung” wurde nicht einmal vertraglich auf das Datengeheimnis verpflichtet.

Auch gab es keine vertragliche Verpflichtung, nicht mehr Überwachungsfunktionalitäten zu liefern als rechtlich zulässig sind. Kein Wunder, dass die gekaufte Software diese gesetzlichen Vorgaben dann auch missachtete:

Soweit überprüfbar enthielt die Überwachungssoftware keine zuverlässige technische Begrenzung auf bestimmte Überwachungsfunktionen. Eine solche Funktionsbeschränkung wäre aus datenschutzrechtlicher Sicht nicht nur über die Beschränkung der Benutzeroberfläche der Überwachungskonsole geboten gewesen.

Eine rechtlich gebotene Begrenzung auf bestimmte Überwachungsfunktionen wird durch diese Möglichkeit, beliebige Programme zu starten, praktisch unmöglich gemacht.

Da die so genannte “Quellen-Telekommunikationsüberwachung” nur Telekommunikation an der Quelle überwachen darf, sind darüber hinaus gehende Überwachungsmaßnahmen wie bei einer “Online-Durchsuchung” unzulässig. Trotzdem war es dem Team des Datenschutzbeauftragten teilweise möglich, nicht nur “Applicationshots” von Kommunikations-Programmen sondern Screenshots des gesamten Bildschirms anzufertigen.

In zwei anderen, noch nicht abgeschlossenen Maßnahmen, die daher noch nicht konkret prüfbar und zu denen mir auch die dazugehörenden Beschlüsse nicht vollständig bekannt sind, konnte in der in meinem Haus aufgebauten Testumgebung mit den exakt gleichen Aufrufparametern nicht nur der Inhalt eines Browserfensters, sondern der des gesamten Bildschirms übertragen werden. Dies war unabhängig von dem gerade aktiven Fenster möglich. Auch wenn etwa als einziges Fenster ein Office-Dokument geöffnet war, konnte mit den beiden Binärdateien dieser Maßnahmen ein vollständiger Screenshot gefertigt werden.

Unabhängig von dem unter 5.2 dargestellten Streit über die Zulässigkeit von Applicationshots ist jedenfalls die Anfertigung von Screenshots im Rahmen einer Quellen-TKÜ unzulässig, weil und soweit sie auch auf dem Bildschirm befindliche Daten erfasst, die offenkundig nicht einer laufenden Telekommunikation zuzuordnen sind.

Was die Beamten tatsächlich mit der Software gemacht haben, war auch nicht rauszukriegen. Es gibt zwar Logs von der Überwachungskonsole, aber die sind mehr als dürftig:

In den drei von mir umfangreich geprüften Protokollen fanden sich im Schnitt je drei Einträge über den gesamten Zeitraum der Maßnahmen. Mehr als fünf Einträge fanden sich in keinem Protokoll.

Aus datenschutzrechtlicher Sicht waren die Einträge in den Protokolldateien sowohl wegen der mangelnden Quantität als auch der ungenügenden Qualität sowie der nicht nachprüfbaren Authentizität nicht ausreichend.

In den Protokolldateien müsste mindestes erkennbar sein, welche individuelle Person Aktionen veranlasst hat. Gruppenkennungen reichen hier nicht aus. Auch müssten alle relevanten Aktionen, wie etwa „Funktionalität ein- oder ausgeschaltet“ und ob diese Aktion wirksam war, protokolliert werden.

Die Verschlüsselung der übermittelten Daten hat der CCC ja schön auseinandergenommen. Aus der Pressemitteilung:

Die ausgeleiteten Bildschirmfotos und Audio-Daten sind auf inkompetente Art und Weise verschlüsselt, die Kommandos von der Steuersoftware an den Trojaner sind gar vollständig unverschlüssselt. Weder die Kommandos an den Trojaner noch dessen Antworten sind durch irgendeine Form der Authentifizierung oder auch nur Integritätssicherung geschützt. So können nicht nur unbefugte Dritte den Trojaner fernsteuern, sondern bereits nur mäßig begabte Angreifer sich den Behörden gegenüber als eine bestimmte Instanz des Trojaners ausgeben und gefälschte Daten abliefern. Es ist sogar ein Angriff auf die behördliche Infrastruktur denkbar.

Der Landesdatenschutzbeauftragte sieht das anders:

In Bezug auf die abgeschlossenen Maßnahmen konnte die Verschlüsselung der Übertragungswege zum damaligen Zeitpunkt zu den damaligen Rahmenbedingungen noch als ausreichend angesehen werden. Zum gegenwärtigen Zeitpunkt wäre die Verschlüsselung allerdings als unzureichend anzusehen.

Betrachtet man die realistische Möglichkeit eines Angreifers, der über keine weitergehenden Informationen zum Verschlüsselungsverfahren oder über einen Zugriff auf RCU-Binaries verfügt, ist es für ihn nahezu unmöglich, die übermittelten Daten zu entschlüsseln. Somit kann die Verschlüsselung zum damaligen Überwachungszeitpunkt gerade noch als ausreichend angesehen werden, auch wenn durch die Vermeidung des ECB-Modus ein höheres Sicherheitsniveau einfach zu erreichen gewesen wäre.

Die Verschlüsselung hält er sogar für gut genug, dass die Daten auf Server im Ausland übermittelt werden können:

Wenn eine ausreichend wirkungsvolle Verschlüsselung, die ich im Blick auf die Gesamtsituation gerade noch zugestehen kann, eingesetzt wird und auf dem Proxy-Server selbst keine personenbezogenen Daten gespeichert oder verarbeitet werden, spricht grundsätzlich nichts gegen eine Platzierung von Proxy-Servern im Ausland. Die Ermittlungsbehörden trifft dann allerdings eine besondere Sorgfaltspflicht bezüglich der Sicherstellung der Verfügbarkeit des in Anspruch genommenen Proxy-Servers. Diese gesteigerte Sorgfaltspflicht wurde vorliegend nicht beachtet.

Dumm nur, dass man nicht mal die Kommunikation oder den Server hacken muss, sondern sich einfach einen Server mit der IP holen kann:

Bei der Kündigung wurden seitens des BLKA nicht die gebotenen Vorkehrungen getroffen, dass die IP-Adresse nicht erneut an einen anderen Kunden des Anbieters vergeben werden konnte. Für den Fall, dass ein neuer Kunde diese IP-Adresse zugeteilt bekommen hätte, hätte er – bei entsprechenden Kenntnissen – alle noch aktiven RCUs steuern und die gewonnenen Daten empfangen können. Dieses Szenario ist nicht unwahrscheinlich.

Versagt haben die Behörden auch darin, die Betroffenen darüber zu informieren, dass der Staat ihre Computer infiltriert hat:

Nach Abschluss einer Quellen-TKÜ ist der Betroffene des infiltrierten Gerätes regelmäßig nicht nur über Beeinträchtigungen der Vertraulichkeit eines Gesprächs, sondern auch über eine etwaige Beeinträchtigung der Integrität eines infiltrierten IT-Systems zu unterrichten. Aus den mir vorgelegten Unterlagen ergibt sich, dass die Betroffenen nicht über die Integritätsbeeinträchtigung informiert wurden.

Damit bleibt der bayrische Landesdatenschutzbeauftragte hinter der Kritik seines Bundeskollegen zurück. Statt einer Abschaffung der Maßnahme fordert Petri lediglich Nachbesserungen von Strafverfolgungsbehörden und Gesetzgeber. Dem Vernehmen nach setzen aber immer noch Staatsbehörden Software von DigiTask ein.

flattr this!

Don't be the product, buy the product!

Schweinderl