Wer überwacht die Überwacher?

Datenschützer verlangt Kontrolle von Trojaner-Programmierern.
 
Die Revision des Überwachungsgesetzes BÜPF ist nicht zuletzt wegen des geplanten Einsatzes von Staatstrojanern stark umstritten. Für Überwachungen mittels Trojaner ist die Polizei auf private Programmierer angewiesen. Der Datenschützer fordert darum strengere Kontrollen.

Mit der Genehmigung des Bundesstrafgerichts hat die Bundeskriminalpolizei in der Vergangenheit in vier Fällen Überwachungssoftware - offiziell "GovWare" genannt - eingesetzt, um schwere Verbrechen aufzuklären. Bekannt war, dass die Trojaner von der deutschen Firma DigiTask programmiert worden waren.

Gemäss einem Bericht des 'Tages-Anzeigers' vom Dienstag war an drei der vier Aktionen auch die Berner Firma Dreamlab beteiligt. Das Bundesamt für Polizei (Fedpol) bestätigte auf Anfrage, dass Dreamlab die Software an die Zielpersonen verschickt hatte.

Ob es eine ausreichende gesetzliche Grundlage für den Einsatz von Staatstrojanern gibt, ist umstritten. Der Bundesrat schlägt darum vor, eine solche mit der Revision des Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) zu schaffen. Der Ständerat hat bereits zugestimmt.
Im Nationalrat stösst die Vorlage - nicht zuletzt wegen des Einsatzes von Staatstrojanern - auf breiten Widerstand.

Bund holt Hilfe von Hackern
Als heikel wird unter anderem der Beizug von privaten Unternehmen beurteilt. "Es handelt sich dabei eigentlich um Hacker", sagte der Eidgenössische Datenschutzbeauftragte Hanspeter Thür gegenüber der Nachrichtenagentur sda. So wie die Revision geplant sei, könnten diese nicht ausreichend kontrolliert werden.

Zunächst müsse sichergestellt werden, dass ein Staatstrojaner genau das könne, was von der Polizei verlangt werde. Zudem dürften die Programmierer keine Hintertüren einbauen, die später ausgenutzt werden können. "Dafür braucht es einen ausgeklügelten Kontrollmechanismus", sagte Thür.

Ihm schwebt eine unabhängige Behörde vor, die ausreichend Know-how hat, um den Herstellern von Trojanern über die Schulter schauen zu können. "Sie müssen den Quellcode kennen und jederzeit überprüfen können, was die Leute machen", verlangt der Datenschutzbeauftragte. Eine Garantie für ein rechtsstaatliches Verfahren ist das nicht. Aber zumindest wären damit laut Thür die institutionellen Voraussetzungen für eine gewisse Kontrolle geschaffen.

Kontrolle technisch unmöglich
Dreamlab-Gründer Nicolas Mayencourt sieht darin "eine grundsätzlich richtige Idee". Allerdings sei es technisch nahezu unmöglich, fälschungssicher zu implementieren, dass alle Handlungen der Polizei lückenlos und nachvollziehbar dokumentiert werden könnten. "Bei einem Outsourcing wird die Thematik noch verschärft", sagte Mayencourt.

Seiner Meinung nach hilft es auch nicht gegen das Grundproblem: Ein Trojaner schädige immer die Sicherheit des Systems. Damit werde auch ein potentiell Unschuldiger schon durch den Versuch der Beweisaufnahme geschädigt. "Diese 'Naturgesetze' der Technik lassen sich nicht umgehen. Es ist also kein vordringlich technisches, sondern ein juristisches und politisches Problem", ist Mayencourt überzeugt.

Bei den anderen Werkzeugen der Überwachung wäre eine Überwachung der Überwacher seiner Meinung nach allerdings höchst sinnvoll und auch zwingend geboten. Die Lösung sei dabei vermutlich eine Mischung aus Prozedur und Technologie. "Bei den aktuellen Entwürfen sollte ein Augenmerk auf die Transparenz und Kontrolle des BÜPF direkt durch ein parlamentarisches Kontrollorgan gelegt werden", sagte er. (sda/mim)