Ich hab mir ja schon immer gedacht, dass die Sorge unserer Innenminister um unser Privatleben eher geheuchelt ist und Sätze wie
Wenn der Kernbereich verletzt sein kann, dann verzichten wir auf einen
Eingriff – um der Freiheit willen. Es gibt keine hundertprozentige
Sicherheit. Sie darf es nicht geben. Nichts im Leben ist
hundertprozentig. Und jeder Staat, der nach hundertprozentigen
Regelungen strebt, fängt an, sich von der Freiheit wegzuentwickeln.
einfach gelogen.
Dass das BKA aber Trojaner einsetzt (Qualitätsprodukte aus dem Hause Digitask), die es nicht mal ermöglichen, Gespräche an intimen Stellen zu schneiden, hätte ich nicht vermutet. Da war ja dann schon bei der Beschaffung klar, dass das Geschwätz vom Chef den Gesetzeshütern völlig egal ist. Und so konnte der Bundesdatenschutzbeauftragte bei seiner Kontrolle auch eher privates finden:
Anhand der von uns eingesehenen schriftlichen Aufzeichnungen der
Gespräche fanden sich u.a. folgende Zusammenfassungen zu Gesprächen
zwischen dem Beschuldigten und seiner Freundin in Südamerika:
- "kurzes erotisches Gespräch...", 20.11.09, 14:31:54
- "Gespräch übers Wetter und initime Angelegenheiten", 20.11.2009, 15:43:24
- "..Liebesbeteuerungen...", 4.12.2009, 15:46:31; weiterer Wortlaut:
- "...Danach Sexgespräch (Anm. Übers. Ab 15:52:20 bis 16:01:00 finden offensichtlich Selbstbefriedigungshandlungen statt)...",
- "...weiter privat über Liebe..."
Die Tondateien zu diesen Gesprächen lagen noch vor. Das BKA
führte aus, die Staatsanwaltschaft habe verfügt, die Dateien nicht zu
löschen. Begründet wurde dies damit, dass eine Teillöschung technisch
nicht möglich gewesen sei.
Auch sonst zeigt sich im Bericht, dass der CCC den Trojaner ziemlich korrekt analysiert hatte und dass das BKA eher wenig Expertise im Umgang mit seinen Werkzeugen verfügt:
[Ich gehe] davon aus, dass eine Verschlüsselung nach dem Advanced Encryption Standard (AES] eingesetzt wurde. Der dabei verwendete Schlüssel war fest in den Programmcodes implementiert. Vor Ort habe ich festgestellt, dass der Programmcode denselben Schlüssel enthält, den der CCC bei seiner Analyse aus ihm zugänglichen Quellen extrahiert hat und der nachfolgend veröffentlicht wurde.
Hierzu hat das BKA allerdings im Nachgang ausgeführt: "Es mag sein, dass der oben genannte Meldetext per Editor lesbar gemacht werden konnte. Allerdings kann im Rahmen Ihrer Prüfung im BKA nicht untersucht und festgestellt worden sein, in welchem Kontext unter welchen technischen Rahmenbedingungen der Text Verwendung findet und ob die Aussagen des Chaos-Computer-Clubs (CCC) tatsächlich zutreffen."
Statt dieser kryptischen Formulierung hätte ich vom BKA eine Aussage erwartet ob die von mir geäußerte Annahme zutrifft oder ob andere Schlüssel verwendet wurden. Offenbar ist das BKA - mangels detaillierter Kenntnis der von ihm verwendeten Software - selbst zu einer solchen klaren Stellungnahme nicht in der Lage.
Es ist natürlich auch schwer, Software zu verstehen, deren Quellcode man nicht besitzt und der Hersteller liefert die nicht mit. Allerdings bietet er dem Datenschützer an, die Software in den Räumen des Herstellers einzusehen. Bleibt zu hoffen, dass den Kontrolleuren dort dann auch genug Technik, Kaffee und Kekse für eine vermutlich doch recht aufwändige Prüfung zur Verfügung gestellt wird...