Der folgende offene Brief ging heute an die Fraktionen des Landtages, das Landeskriminalamt, das Landesamt für Verfassungsschutz, die Landespolizei, den Innenminister und den Ministerpräsidenten von Baden-Württemberg.
Sehr geehrte Damen und Herren,
wie im Laufe der letzten Tage bekannt wurde, hat auch Baden-Württemberg den sogenannten „Staatstrojaner“ eingesetzt.
Innenminister Gall betonte dabei, dass es sich nur um eine „Basisversion“ handeln würde. Zudem hat das LKA erklärt, dass die Anwendung rechtlich korrekt gewesen sei. Allerdings hat der CCC festgestellt, dass die gefundene Software deutlich weitergehende Fähigkeiten, als nach dem Urteil des Bundesverfassungsgerichts (BVerfG) erlaubt, besitzt. Dies schließt die beliebige Manipulation lokaler Dateien, Bildschirmfotos von nicht zur Kommunikationsübertragung gedachten Daten sowie das Ausspähen von Mikrofon und Webcam ein.
Das Land Baden-Württemberg hat sich damit klar grundgesetzwidrig verhalten und das Urteil des BVerfG in eklatanter Art und Weise missachtet. Wir fordern eine sofortige Aufklärung dieser Umstände und stellen Ihnen deshalb folgende Fragen:
Zum rechtlichen Rahmen
- In welchen Fällen ist der Einsatz der vom CCC analysierten Software Ihrer Ansicht nach angemessen und gerechtfertigt und in welchen nicht?
- Auf welchen Rechtsgrundlagen beruhte und beruht der Einsatz im Land Baden-Württemberg?
- Wie wurde und wird solche Software auf Gesetzeskonformität überprüft?
- In welchem Maße wurden beziehungsweise werden die durch den Trojanereinsatz gewonnenen Erkenntnisse verwertet?
- Wie wird sichergestellt, dass der Überwachte nach der Überwachungsaktion über den Vorgang informiert wird? Ist dies bei allen bisherigen Maßnahmen erfolgt? Wenn nein, warum nicht?
- Wer im Land Baden-Württemberg ist bei Einsätzen der Software im Einzelfall in der Verantwortung gewesen und hat deren Einsatz autorisiert?
- Welche Landes- sowie Bundesbehörden sind zwecks Amtshilfe an dem jeweiligen Einsatz der Software beteiligt gewesen?
Zur Finanzierung
- Welche Kosten sind durch die Entwicklung, welche bei Anpassung, welche beim Einsatz der Software entstanden und werden voraussichtlich noch entstehen? Von wem werden diese Kosten getragen?
- Wie ist die Gewährleistung für die Software vertraglich geregelt? Welche Fristen haben etwaige Wartungsverträge?
Zur technischen Umsetzung
- Welche Funktionalität besitzt die „Basisversion“ des Trojaners? Welche zusätzlichen Funktionen können ihr noch hinzugefügt werden? Wir erwarten eine lückenlose Liste der vorhandenen, geplanten und in Entwicklung befindlichen Erweiterungen.
- Sind weitere Versionen der Software in Entwicklung und wenn ja, welche neuen Eigenschaften sollen diese Versionen enthalten?
- Auf welche Weise setzt sich die Software im Zielsystem fest und welche Dateien sind davon betroffen?
- Inwieweit kann die eingesetzte Software gängige Anonymisierungs- und Verschlüsselungsmechanismen wie zum Beispiel TLS, AES oder Onion Routing umgehen beziehungsweise manipulieren?
- Welchem Stand der Technik entspricht die Software? Wie viel Zeit ist zwischen der Planung und Auftragsvergabe bis hin zur Auslieferung und dem ersten Einsatz der Software vergangen? Wurden die Software-Lizenzen (zum Beispiel für den Speex-Codec) konsequent eingehalten?
- Über welchen Weg gelangen die Daten vom überwachten Endgerät zu den Ermittlungsbehörden?
- Inwieweit ist die Software selbstständig in der Lage, sich innerhalb eines Computernetzwerkes zu verbreiten, um so Zweit- oder Drittgeräte des Überwachten oder anderer auch unbeteiligter Dritter zu infiltrieren?
- Steht die Software für unterschiedliche Betriebssystem-Plattformen zur Verfügung oder könnten sich Zielpersonen durch Verwendung von alternativen Betriebssystemen der Überwachung entziehen? Falls ja, um welche Betriebssysteme handelt es sich?
Zur konkreten Nutzung
- In angeblich fünf Fällen wurde oder wird dieser „Staatstrojaner“ oder Software mit vergleichbarer Funktionalität im Land Baden-Württemberg bereits eingesetzt. Ist diese Zahl korrekt? Wie wurde der Einsatz jeweils begründet? Welche Version des Trojaners kam mit jeweils welchen Fähigkeiten zum Einsatz?
- War den beauftragenden Behörden vor dem ersten Einsatz der Software bekannt, dass der Zugriff auf die Software ohne Authentifizierung stattfinden und auch von nicht dazu autorisierten Personen beliebige, weitere Software zur Ausführung gebracht werden kann?
- Gibt es besondere Handlungsanweisungen zur Wahrung der Rechte der ausgespähten Personen und anderer Unbeteiligter? Wenn ja, wie lauten diese?
- Von wem wird beziehungsweise wurde die Software installiert und ausgeführt? Auf welchen Wegen gelangt sie auf das Endgerät des zu Überwachenden und in welcher Weise wird das Endgerät des zu Überwachenden manipuliert? Sind Hardwareeingriffe notwendig, um die Überwachung durchzuführen?
- Durch welche Maßnahmen wurde und wird eine Manipulation der Ermittlungen durch Dritte erschwert? Wie wurde und wird eine Manipulation der Daten auf diesem Weg ausgeschlossen?
- Wie wurde und wird sichergestellt, dass der Überwachte nach der Entdeckung der Software diese oder deren gesammelten Ergebnisse vor der Übersendung an die einschlägigen Server nicht manipulieren oder entfernen kann?
- Ist es möglich sicherzustellen, dass keine Programme oder Dateien auf das System des Überwachten übertragen und/oder ausgeführt wurden? Wenn ja, wie wird dies beweissicher festgestellt?
- Welche konkreten Maßnahmen werden getroffen um zu verhindern, dass einzelne Beamte missbräuchlich an persönliche Daten gelangen, die gesondert durch das Grundgesetz und besonders durch das Urteil des BVerfG im Jahr 2008 geschützt sind („Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“)?
- Inwieweit kann ausgeschlossen werden, dass Informationen und Daten des unantastbaren Kernbereiches privater Lebensgestaltung nicht erfasst werden?
- In welcher Form und wie lange werden die ermittelten Daten sowie deren Auswertung gespeichert? Stehen diese Daten auch anderen Behörden zur Verfügung?
- Wie wurde und wird der Schutz Dritter gewährleistet, die zufällig in Kontakt mit einer Zielperson stehen, aber im ermittelten Fall nicht betroffen sind?
- Wie wird sichergestellt, dass es sich bei dem überwachten Rechner um den Rechner der Zielperson handelt, beziehungsweise dass er allein von dieser Person benutzt wurde und die gewonnen Erkenntnisse zweifelsfrei und eindeutig diesem Benutzer zugeordnet werden können? Wie wird der Schutz von weiteren Nutzern eines Zielcomputers sicher gestellt?
- Ist es beabsichtigt – in Anbetracht der Manipulationsmöglichkeit und Anfälligkeit der Beweismittelsicherung durch die Software – betroffene Ermittlungsverfahren erneut aufzunehmen, da die Beweissicherheit nicht gewährleistet werden kann?
- In welcher Form erfolgt die Archivierung der gesammelten Daten? Wie ist sichergestellt, dass keine Unbefugten Zugriff auf diese Daten bekommen?
Zu externen Dienstleistern
- Für wen arbeitete die beauftragte Firma zusätzlich? Waren anderen Behörden des Landes Baden-Württemberg oder Behörden anderer Länder die grundsätzlichen Defizite der Software bekannt?
- Wie wurde sichergestellt, dass die beauftragte Firma entsprechend zertifiziert ist, solche Aufträge zu bearbeiten? Führte die externe Firma ein Sicherheitsaudit der Software durch, beziehungsweise wurde dieses Audit von einem unabhängigen Unternehmen oder einer anderen Institution, wie zum Beispiel dem BSI, durchgeführt? Wenn nein, warum nicht?
- Hat es Absprachen mit Internetdienstanbietern gegeben, um deren Infrastruktur und/oder Hard- und Software zur mittelbaren oder unmittelbaren Infektion des Zielrechners einzusetzen? Wenn ja, welche Firmen waren hier involviert?
- Sind Hersteller von Geräten und Programmen zur Sicherheit von Computern und Netzwerken (zum Beispiel Firewalls und Antivirenprogramme) mit eingebunden, so dass die Software und die verwendeten Methoden bewusst nicht von diesen Schutzprogrammen erkannt wird? Wurde anderweitig dafür gesorgt, dass Programme zum Aufspüren von Trojanern die Software nicht erkennen konnten?
- Durch welche Netzwerke werden die Daten ausgespähter Personen geleitet? Welche Firmen, Behörden und/oder andere, dritte Personen und Institutionen haben Zugriff auf die benötigten Server, zum Beispiel auf einen Command-and-Control-Server?
- Kann es ausgeschlossen werden, dass Informationen und Daten des unantastbaren Kernbereiches privater Lebensgestaltung den Hoheitsbereich der deutschen Strafverfolgung verlassen? Befindet sich ein Teil der eingesetzten Netzwerk-Infrastruktur im Ausland? Wenn ja, warum und auf welcher rechtlichen Grundlage?
Wir weisen Sie darauf hin, dass wir diesen Brief auf der Webseite unseres Landesverbandes veröffentlichen werden, ebenso Ihre Antwort. Wir gehen davon aus, dass Sie uns alle Fragen vollständig und umfassend beantworten werden und bedanken uns bereits im Voraus für Ihr Bemühen.
Mit freundlichen Grüßen,
André Martens,
i.V. des Landesverbandes Baden-Württemberg der Piratenpartei Deutschland
Antworten
Antwort der FDP, 12. Oktober 2011 14:13:56
Die FDP hat am schnellsten geantwortet, sieht sich aber anscheinend, da sie jetzt in der Opposition ist, nicht mehr in der Verantwortung. Sie haben aber eine eigene Anfrage gestellt.
Sehr geehrter Herr Martens,
vielen Dank für Ihre E-Mail vom heutigen Tage. Gesendet haben Sie Ihr Schreiben an die Landtagsfraktion, in der Anrede sprechen die Partei an. Ich gehe davon aus, dass Sie eine Stellungnahme von der Landtagsfraktion möchten. Ihr Fragenkatalog bezieht sich allerdings ausschließlich auf Regierungs-/ Verwaltungshandeln. Da wir aber weder Regierung noch eine Regierungsfraktion sind, sind wir nicht in der Lage, Ihre Fragen zu beantworten.
Einen Großteil der Fragen haben aber auch wir uns gestellt und sie im Rahmen eines Abgeordnetenantrags gestern beim Landtag eingebracht (siehe Anhang – Drucksache 15/669). Die Beantwortung der Anfrage wird auf der Homepage des Landtags veröffentlicht. Wir erwarten sie mit Spannung.
Mit den besten Grüßen
Christine Rex
__________________________________________________
Dr. Christine Rex
Parlamentarische Beraterin für
Innen- und Rechtspolitik,
Integration und Sport
Antwort der Landtagsfraktion Die GRÜNEN, 13. Oktober 2011 12:55:45
Sehr geehrter Herr Martens,
vielen Dank für Ihr Schreiben. Wir haben uns unverzüglich nach Veröffentlichung der Dokumentation des CCC an den Innenminister gewandt und Aufklärung über den Grad und Umfang von Telekommunikationsüberwachung in Baden-Württemberg verlangt, die mithilfe von Trojanern stattgefunden hat bzw. stattfinden könnte. Der Innenminister hat postwendend reagiert, interne Prüfungen eingeleitet und präventiv den Einsatz der entsprechenden Software ausgesetzt. Inzwischen wissen wir, dass es in den Jahren 2009 und 2010 fünf Fälle von Quellen-TKÜ in Baden-Württemberg gegeben hat, bei denen diese Software aus Hessen zum Einsatz kam. Die einzelnen Umstände werden wir noch überprüfen. Wir befinden uns, auch untern Einbeziehung des Landesbeauftragten für Datenschutz, in einem intensiven Prüfprozess. Wir werden gerne Ihre Fragen umfänglich beantworten, sobald uns die entsprechenden Informationen selbst vorliegen.
Mit freundlichen Grüßen für die Landtagsfraktion Die GRÜNEN
Hans-Ulrich Sckerl
—————————————————————————–
Hans-Ulrich Sckerl
Landtagsabgeordneter / Fraktion GRÜNE
Stellvertretender Fraktionsvorsitzender
Parlamentarischer Geschäftsführer
Antwort der CDU, 18. Oktober 2011 14:27:10
Sehr geehrter Herr Martens,
vielen Dank für Ihren „Offenen Brief“ zum sogenannten „Staatstrojaner“, der mir zur Beantwortung zugeleitet worden ist.
Die Quellen-Telekommunikationsüberwachung ist aus unserer Sicht ein unverzichtbares Ermittlungsinstrument für eine effektive Strafverfolgung und Gefahrenabwehr. Sie muss daher rechtlich einwandfrei durchgeführt werden. Deshalb sind auch wir der Auffassung, dass die technische Durchführung den Vorgaben des Bundesverfassungsgerichts entsprechen muss.
Ihre Anfrage betrifft das Handeln der Landesregierung. Richtiger Ansprechpartner für Ihr Anliegen ist daher das
Innenministerium Baden-Württemberg
Dorotheenstr. 6
70173 Stuttgart
poststelle@im.bwl.de
Auch darf ich Sie auf eine parlamentarische Initiative hinweisen, die bereits eine Reihe der von Ihnen aufgeworfenen Fragen abdeckt:
http://www.landtag-bw.de/WP15/drucksachen/Txt/15_0669.pdf
Die Beantwortung können Sie an gleicher Stelle einsehen, sobald diese vorliegt. Die Beantwortung erfolgt in der Regel binnen drei Wochen ab Eingang des Antrags. Sofern sich aus der Beantwortung Anhaltspunkte für ein rechtswidriges Handeln der Landesregierung ergeben, werden wir dem nachgehen.
Ich hoffe, Ihnen mit dieser Antwort weiter geholfen zu haben und stehe Ihnen für Rückfragen gerne zur Verfügung.
Mit freundlichen Grüßen
Dr. Björn-Christian Kleih
Parlamentsrat
—————————————————-
Parlamentarischer Berater Recht und Verfassung
CDU-Fraktion im Landtag von
Baden-Württemberg
Antwort des Innenministeriums, 24. Oktober 2011, in Form eines Word-Dokuments
Sehr geehrter Herr Martens,
vielen Dank für Ihren offenen Brief, in dem sie um Aufklärung zum Einsatz von technischer Überwachungssoftware bitten.
Die Polizei in Baden-Württemberg hat eine entsprechende Software zur Gewährleistung der sogenannten Quellen-Telekommunikationsüberwachung in insgesamt vier Ermittlungsverfahren wegen Organisierter Kriminalität, Terrorismus und Mord eingesetzt. Der Einsatz erfolgte jeweils auf staatsanwaltschaftlichen Antrag und auf Basis der richterlichen Anordnungen auf Grundlage des § 100a der Strafprozessordnung. Die technische Umsetzung der Maßnahme erfolgte in allen Fällen im Rahmen der justiziellen Ermächtigung.
Aktuell findet bundesweit eine Diskussion zu technischen Einzelheiten des Softwareeinsatzes statt, die noch nicht abgeschlossen ist. Ich habe deshalb bereits am 10. Oktober verfügt, die Software vorläufig nicht weiter einzusetzen.
Ich bitte um Verständnis dafür, dass ich vor diesem Hintergrund nicht im Detail auf Ihre umfangreichen Fragestellungen eingehen kann. Im Übrigen liegt auch bereits eine parlamentarische Anfrage zu der Thematik vor, deren Beantwortung derzeit von meinem Haus vorbereitet wird.
Mit freundlichen Grüßen
gez. Reinhold Gall MdL
Na da bin ich ja gespannt, wie die Antworten ausschauen.
Wer könnte denn die Auskunft erzwingen?
-alex
@Alex: Das braucht wohl eine große Anfrage der Fraktionen bzw Gruppen von Abgeordneten an den Landtag. Natürlich können die Angefragten auch „freiwillig“ unsere Fragen beantworten.
https://secure.wikimedia.org/wikipedia/de/wiki/Gro%C3%9Fe_Anfrage
Jo für ne kleine Anfrage ein paar Fragen zu viel. Insgesamt aber sehr gut getroffen denke ich 🙂
Formal ist ein Antrag (maximal ca. 10 Fragen) vermutlich eher das Mittel der Wahl als eine große Anfrage. Im Update erwähnt Frau Rex ja schon den der FDP. Inoffiziell kann ich als Mitarbeiter der Fraktion GRÜNE schon mal drauf hinweisen, dass wir uns viele dieser Fragen auch gestellt haben, und dass es auch schon erste Gespräche mit dem Innenministerium dazu gab. Ich gehe davon aus, dass noch im Lauf dieser Woche auch ein offizielles Statement der Fraktion GRÜNE bei euch eingeht.
Danke, Till.
http://ted.europa.eu/udl?uri=TED:NOTICE:23600-2008:TEXT:DE:HTML
Laut dem Lieferauftrag ans LKa Ba-Wü ist die FDP (natürlich …) mitverantwortlich – die Auftragsvergabe geschah schon 2007, also unter schwarz-gelben Zeiten …
Nach den neusten ZDF-Politbarometer sind 47% der Piraten-Anhänger für den Staatstrojaner:
http://wahltool.zdf.de/Politbarometer/mediathekflash.shtml?2011_10_14
Zum Vergleich bei Grünen und Linken 35% und bei der SPD 42%.
Da bekommt man als jemand der die Bürgerrechte als besonders gefährdet ansieht, Zweifel ob die Piraten da noch die beste Wahl sind.
@Olaf: entscheidend ist aber nicht was das Barometer den Anhängern andichtet (und leider ist das hier problematisch weil zu wenige Anhänger befragt wurden), sondern wie sich die Partei positioniert. Und dazu gibts hier ja eindeutuge Aussagen: http://web.piratenpartei.de/Pressemitteilung/bundestrojaner-gezielter-angriff-auf-das-grundgesetz-innenminister-friedrich-und-bk
Bernd