Staatstrojaner: Chronologie des staatlichen Hackings

Staatstrojaner sollen Smartphones und Computer ausspionieren, damit Kriminelle gefasst werden können. Allerdings können auch Kriminelle und Geheimdienste die Trojaner-Sicherheitslücken ausnutzen. Hier dokumentieren wir die Entwicklung der staatlichen Spionagesoftware – eine Chronologie.
Das BKA darf Staatstrojaner einsetzen
11.819
25.000

Kein Staatstrojaner!
Schon 11.819 Menschen haben gegen staatliches Hacking unterschrieben. Hier mitmachen und unserer Verfassungsbeschwerde mehr Gewicht verleihen!

Staatstrojaner sollen Smartphones und Computer ausspionieren, damit Kriminelle gefasst werden können. Allerdings können auch Kriminelle und Geheimdienste die Trojaner-Sicherheitslücken ausnutzen. Hier dokumentieren wir die Entwicklung der staatlichen Spionagesoftware – eine Chronologie.

Chronologie: Gesetze, Fälle und Stellungnahmen

Wann wurden Staatstrojaner gesetzlich verankert? Welche Firmen entwickeln die Spionageprogramme? Was sagen Sicherheitsexpert.innen und Datenschützer in ihren Stellungnahmen zum staatlichen Hacking? Welche Fälle sind bekannt, in denen Staatstrojaner eingesetzt wurden? Wir dokumentieren hier chronologisch die Entwicklung von Staatstrojanern. Fehlt eine Information? Gern eine E-Mail mit Link auf verlässliche Quellen an uns schicken.
(Stand: November 2018)

Staatstrojaner machen all unsere Geräte unsicher:

Die Staatstrojaner werden über Sicherheitslücken installiert, die dafür in jedem Smartphone, Computer, Tablet und in jeder Spielekonsole vorhanden sein müssen. Diese Hintertüren können neben der Polizei auch alle möglichen Geheimdienste und Kriminelle nutzen, um in unsere Geräte einzusteigen. Diese Chronologie zeigt: Staatstrojaner sind eine Gefahr für Behörden, kritische Infrastruktur, Zivilgesellschaft und Unternehmen. Darum werden wir gegen die deutschen Staatstrojaner eine Verfassungsbeschwerde beim Bundesverfassungsgericht in Karlsruhe einreichen.

Chronologie

Nutzungshinweis: Um den Text auszuklappen genügt ein Klick auf das gelbe Dreieck neben der Überschrift oder auf die Überschrift selber.

Oktober 2020

Bundesregierung plant: Staatstrojaner zukünftig auch für Geheimdienste

Am 21. Oktober 2020 hat das Bundeskabinett einem Gesetzentwurf zur Anpassung des Verfassungsschutzrechts zugestimmt. Begründet wird der Entwurf mit den Herausforderungen des internationalen Terrorismus und des Rechtsterrorismus. Deshalb sollen alle Geheimdienste von Bund und Ländern zukünftig Geräte hacken dürfen. Durch das Instrument der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) sollen auch verschlüsselte Messenger-Nachrichten mitgelesen werden können.

Eine zunächst diskutierte Beschränkung auf Fälle, in denen Anschläge unmittelbar bevorstehen und ausländische Geheimdienste bereits Informationen geliefert haben, findet sich im Gesetzentwurf nicht.

Nach der Kabinettsentscheidung erreicht der Entwurf nun den Bundestag, der das Gesetz noch verabschieden muss. Ein offizieller Zeitplan ist aktuell nicht bekannt.

Februar 2020

Übersicht: Welche Bundesländer können Staatstrojaner (Quellen-TKÜ) einsetzen?

Vorbemerkung: Seit der StPO-Reform 2017 können Staatstrojaner als repressive Maßnahme (Strafverfolgung) eingesetzt werden (§ 100a StPO). Damit die Polizei auch präventiv hacken kann, muss dies zusätzlich im Polizei- oder Ordnungsrecht des jeweiligen Landes geregelt sein.

In diese Bundesländern stehen Staatstrojaner im Polizei- oder Ordnungsrecht:

  • Baden-Württemberg (§ 23b PolG)
  • Bayern (Art. 42 BPolG)
  • Hamburg (§ 24 PolDVG)
  • Hessen (§ 15b HSOG)
  • Niedersachen (§ 33a NPOG)
  • NRW: (§ 20c PolG NRW)
  • Rheinland-Pfalz: (§ 31c POG)

Diese Bundesländern planen die Einführung von Staatstrojanern:

  • Berlin (Ein Gesetzentwurf liegt noch nicht vor. In der Medienberichterstattung, z.B. taz.de, wird jedoch auch von Veränderungen im Bereich Telekommunikationsüberwachung berichtet)
  • Mecklenburg-Vorpommern
  • Saarland (Gesetzentwurf von der Landesregierung in das Landesparlament eingebracht)

In diesen Bundesländern stehen Staatstrojaner nicht im Polizei- oder Ordnungsrecht:

  • Brandenburg
  • Bremen
  • Sachsen
  • Sachsen-Anhalt (Anmerkung: Die Quellen-TKÜ, ehemals § 17c SOG LSA, wurde 2014 durch das Landesverfassungsgericht Sachsen-Anhalt als verfassungswidrig eingestuft)
  • Schleswig-Holstein
  • Thüringen

Stand: 25. Februar 2020; Informationen zum Thema an mail@digitalcourge.de

Digitalcourage kritisiert: SPD und Union wollen Verfassungsschutz aufrüsten

19. Februar 2020: Die CSU und Bundesinnenminister Seehofer wollen den Einsatz von Staatstrojaner auch für den sogenannten Verfassungsschutz erlauben. Laut Bericht des Spiegels vom 18. Februar 2020 gibt die SPD „ihren Widerstand gegen die Pläne offenbar auf“. Mit marginalen Änderungen an einem Entwurf für ein neues Verfassungsschutzgesetz konnte sich Seehofer demnach durchsetzen. Staatstrojaner sind technisch gefährlich und politisch falsch. Digitalcourage warnt: der „Verfassungsschutz“ ist gefährlich und
Staatstrojaner sind ein IT-Sicherheitsproblem.

Zoll bekommt Staatstrojaner

14. Februar 2020: Der Bundesrat hat in seiner Sitzung am 14. Februar 2020 dem Gesetz zur Neustrukturierung des Zollfahndungsdienstes zugestimmt. Der Zollfahndungsdienst, bestehend aus dem Zollkriminalamt und acht Zollfahndungsämtern, darf somit zukünftig auch Staatstrojaner zur Quellen-TKÜ einsetzen. Der Deutsche Anwaltverein hält die Gesetzesreform für problematisch, da die Quellen-TKÜ nicht klar von der Online-Durchsuchung abgegrenzt werden kann. Der Deutsche Anwaltverein gibt in seiner Stellungnahme zu bedenken:

Mit der Infiltration des Systems sei die entscheidende Hürde gefallen, dass System insgesamt auszuspähen. Diese Gefahren entstehen nicht nur durch das gezielte Auslesen des Systems durch Ermittlungsbehörden, sondern auch durch abstrakte Gefährdungen wie etwa der Nutzung von Sicherheitslücken im System durch die Behörden oder auch die Nutzung der Inflitration durch Dritte.

Entwurf für neues Polizeigesetz Saarland mit Staatstrojanern

13. Februar 2020: Die saarländische Landesregierung hat einen Entwurf für ein neues Polizeigesetz in den Landtag eingebracht. Neben der Quellen-TKÜ soll die Polizei im Saarland zukünftig auch elektronische Fußfesseln einsetzen und Kennzeichen automatisch auslesen können. Zudem soll die polizeiliche Videoüberwachung ausgeweitet werden. Zukünftig sollen größere Menschengruppen und Versammlungen gefilmt werden, wenn von diesen „erfahrungsgemäß größere Gefahren ausgehen oder diese [...] von terroristischen Gefahren bedroht sind“.

Oktober 2019

Digitalcourage erhebt Verfassungsbeschwerde gegen das Polizeigesetz in NRW

30. Oktober 2019: Durch die Verschärfung des NRW-Polizeigesetzes können zukünftig auch Staatstrojaner zur Kommunikationsüberwachung eingesetzt werden. Gleichzeitig wird die Polizeiarbeit immer weiter ins Vorfeld einer konkreten Gefahr verlegt. Damit stellt das neue Gesetz eine unverhältnismäßige Einschränkung der Grundrecht der Menschen in NRW dar.

August 2019

Bundesregierung schweigt zum Einsatz von Staatstrojanern

16. August 2019: Mittels einer Kleinen Anfrage wollte die Fraktion DIE LINKE von der Bundesregierung wissen, welche Programme zur Quellen-TKÜ eingesetzt werden und wie viele Menschen von solchen Maßnahmen betroffen waren. Die Bundesregierung stuft die Antworten auf diese Fragen als geheim ein.

Rot-grün-rote Koalition in Bremen verzichtet auf Staatstrojaner

13. August 2019: Die rot-grün-rote Koalition in Bremen einigt sich darauf, keine Staatstrojaner zur Quellen-TKÜ einzusetzen:

Eine polizeirechtliche Quellen-TKÜ und Online-Durchsuchung mittels Staatstrojaner werden wir nicht zulassen. Eine Vorverlagerung von gefahrenabwehrrechtlichen Ermittlungsbefugnissen wie in anderen Polizeigesetzen („drohende Gefahr“) werden wir nicht vornehmen.

Anwält.innen krisieren Polizei-Staatstrojaner in Mecklenburg-Vorpommern

9. August 2019: Anwält.innen krisieren Polizei-Staatstrojaner in Mecklenburg-Vorpommern In einer Stellungnahme kritisiert der Republikanische Anwältinnen- und Anwälteverein (RAV) den Gesetzentwurf zur Änderung des Polizeirechts (Drucksache 7/3694). Die Gesetzesänderung würde polizeiliches Handeln sehr weit im Vorfeld einer konkreten Gefahr ansiedeln. Eine Verlagerung ins Vorfeld steigere jedoch die Wahrscheinlichkeit, dass die Polizei aufgrund einer falschen Gefahrenprognose tätig werde. Für die Bürger.innen ergeben sich daraus negative Folgen:

Wenn aber diffuse Gefahrenlagen schon Grund für die Überwachung nicht nur von für die Gefahr mutmaßlich verantwortlichen Personen, sondern auch von deren Kontaktpersonen sein können, ist es kaum noch absehbar, wer in den Fokus gerät.

Der RAV sieht keine Bedarf für die Aufnahme der Quellen-TKÜ in das Gesetz. Denn die Strafprozessordnung erlaube bei konkreten Planungen schwerwiegender Taten schon bisher ausreichende Überwachungsmaßnahmen. Gegen die Quellen-TKÜ spreche zudem, dass die Software für den entsprechenden Einsatz maßgeschneidert werden müsse. Durch die zeitaufwändigen und vorbereitungsintensiven Maßnahmen vor einer Quellen-TKÜ sei diese Instrument:

  1. nicht geeignet, um innerhalb kurzer Zeit zum Einsatz zu kommen;
  2. bei der Fertigstellung regelmäßig veraltet.

 

Juni 2019

CDU will Staatstrojaner für den Verfassungsschutz in Sachsen-Anhalt – Grüne dagegen

29. Januar 2020: Die CDU in Sachsen-Anhalt fordert, dass auch der Verfassungsschutz zur verdeckten Ermittlung auf Staatstrojaner zurückgreifen kann. Die Grünen hingegen erklären, dass die Anschaffung neuer technischer Überwachungsinstrumente keine angemessene Reaktion auf den Anschlag in Halle sei.

  • mdr.de: Verfassungsschutz: Streit um Überwachung von WhatsApp und Co. vom 29. Januar 2020

Position der Bundesregierung zur Überwachung smarter Geräte

26. Juni 2019: Die FDP-Bundestagsfraktion wollte von der Bundesregierung wissen, ob und wie die Ermittlungsbehörden auf Sprachassistenten und smarte Geräte zugreifen dürfen. Die Bundesregierung vertritt die Auffassung, dass vernetzte Haushaltsgeräte informationstechnische System wie anderen sein. Es sei deshalb der Polizei erlaubt, Siri, Alexa & Co. zu hacken, zu beschlagnahmen und abzuhören.

Polizei-Staatstrojaner für Mecklenburg-Vorpommern?

25. Juni 2019: Im Landtag von Mecklenburg-Vorpommern wird die Änderung des Polizeirechts debattiert. Dabei geht es auch um die Einführung von Staatstrojanern zur präventiven Gefahrenabwehr.

Mai 2019

Reporter ohne Grenzen warnen vor Staatstrojanern

29. Mai 2019: Angesichts der geplanten Ausstattung der deutschen Geheimdienste mit Staatstrojanern warnt Reporter ohne Grenzen: Würden die Pläne von Bundesinnenminister Seehofer umgesetzt werden, dann könnten Geheimdiensten „Server, Computer und Smartphones von Verlagen, Rundfunksendern sowie freiberuflichen Journalistinnen und Journalisten“ hacken. In der Folge würde mit dem Redaktionsgeheimnis eine Säule der Pressefreiheit fallen.

März 2019

Geheimdienste sollen Zugriff auf Computer und Smartphone erhalten

28. März 2019: Wie die „Legal Tribune Online“ berichtet, sollen die Befugnisse der deutschen Geheimdienste deutlich ausgeweitet werden. Das geht aus einem vom Bundesinnenministerium erstellten Gesetzentwurf hervor. Auf der Wunschliste des Innenministeriums stehen Staatstrojaner, Online-Durchsuchung, verdecktes Eindringen in Wohnungen und der Einsatz des Bundesnachrichtendienstes im Inland.

App von eSurv: Italienische Unternehmen ermöglicht staatliche Spionage

29. März 2019: Das Unternehmen eSurv hat für die italienischen Ermittlungsbehörden eine Spionage-App entwickelt. Die App stand in verschiedenen Versionen über Googles Play Store zum Download bereit. Zur Installation waren die Behörden auf die Mithilfe der Mobilfunkbetreiber angewiesen. Diese versendeten SMS mit der Aufforderung, eine App zur Behebung von vermeintlichen Netzwerkfehlern zu installieren. Tatsächlich sammelte das Programm einige Basisinformationen (IMEI und Telefonnummer) und sendete diese an einen Server. Im Anschluss wurde von diesem Server eine Zip-Datei mit der eigentlichen Schadsoftware zurückgesendet.

Die eigentliche Spionage-Software konnte sich tief in das Zielsystem einklinken. Die Ermittler.innen erhielten dadurch Zugriff auf:  

  • Informationen über installierte Apps
  • Mikrofon und Kamera
  • SMS
  • Browser-Verlauf und Lesezeichen
  • Kalenderdaten
  • Anruf-Logs
  • gespeicherte Bilder
  • Messanger und Chatverläufe
  • GPS-Koordinaten
  • Wi-Fi Passwörter

Januar 2019

Eurotrojaner: Europol soll eigenen Staatstrojaner bekommen

22. Januar 2019: Wie aus einer Antwort der Bundesregierung auf eine Anfrage des Abgeordneten Andrej Hunko von der Linken-Fraktion hervorgeht, könnte Europol demnächst mit einem eigenen Staatstrojaner ausgestattet werden. Dieser könnte gar Zero-Day-Sicherheitslücken nutzen. Die EU-Polizeibehörde bestreitet, konkrete Pläne für einen „Eurotrojaner“ zu haben. Die jetzigen Schritte seien auf eine Marktsichtung für Software, die Inhalte vor- oder nach einer Entschlüsselung zugänglich machen könnte, beschränkt.

Datenschutzbeauftragte Brandenburg warnt vor schwerem Grundrechtseingriff durch Staatstrojaner

7. Januar 2019: Die Einführung von Staatstrojanern bedeute für die Nutzer.innen ein erhebliches Gefährdungspotential. Zu diesem Ergebnis kommt die Landesdatenschutzbeauftragte von Brandenburg, Dagmar Hartge. In ihrer Stellungnahme zum neuen Polizeigesetz führt sie aus, dass durch die Quellen-TKÜ ein erhebliches Gefährdungspotenzial entstehe. Denn mit der Infiltration eines informationstechnischen Systems sei die „entscheidende Hürde genommen [...], um das System insgesamt auszuspähen“ (S. 13). Laut Hartge sei es überhaupt zweifelthaft, ob eine technische Unterscheidung zwischen Quellen-TKÜ und Online-Durchsuchung möglich sei. Damit könnte die gesetzliche Regelung zur Quellen-TKÜ eine Hintertür „auf die im System gespeicherten Daten“ öffnen.

Unsere Arbeit lebt von Ihrer Unterstützung

Wir freuen uns über Spenden und neue Mitglieder.

Dezember 2018

Polizeigesetz: Auch Polizei in NRW wird mit Staatstrojanern ausgestattet

12. Dezember 2018: Mit den Stimmen von CDU, CSU und der oppositionellen SPD wurde das „Gesetz zur Stärkung der Sicherheit in Nordrhein-Westfalen“ verabschiedet. Neben zahlreichen Verschärfungen wie der Einführung von elektronischen Fußfesseln sowie der Schleierfahndung bringt das Gesetz der Polizei auch die Erlaubnis zur sogenannten „Quellen-Telekommunikationsüberwachung“. Bei dieser greifen Polizeibeamt.innen mithife von Staatstrojanern gezielt Endgeräte an.

Bundesregierung verweigert Auskunft zu Staatstrojanern beim Bundesamt für Verfassungsschutz

07.Dezember 2018: Die Bundesregierung weigert sich, Auskunft über die Nutzung von Staatstrojanern durch den Verfassungsschutz zu erteilen. In einer kleinen Anfrage hatte der Bundestagsabgeordnete Konstantin von Notz zuvor entsprechende Informationen angefordert. Die Beantwortung gefährde in besonderem Maße das Staatswohl, so die Bundesregierung.

November 2018

Das Bundeskriminalamt hält Sicherheitslücken geheim

12. November 2018: Das Bundeskriminalamt verweigert die Beantwortung einer Anfrage nach dem Infromationsfreiheitsgesetz von netzpolitik.org. Als Begründung führt die Behörde an, dass andernfalls Hard- und Softwarehersteller von Sicherheitslücken in ihren Produkten erfahren könnten.

Oktober 2018

Verfassungsbeschwerde gegen „Hessentrojaner“ angekündigt

19. Okober 2018: Kurz vor der Landtagswahl hat die Piratenpartei Hessen angekündigt, in Karlsruhe gegen die Verankerung von Staatstrojanern im neugefassten hessischen Polizeigesetz zu klagen. Zitat: „Die Landesregierung [hat] nicht begriffen, dass der Einsatz von staatlicher Trojanern an sich einen eklatanten Verstoß gegen die Vorsorgeprinzipien des Staates bezüglich des Schutzes der Zivilbevölkerung darstellt, grundgesetzlich garantierte Rechte massiv und unverhältnismäßig einschränkt und unser aller Sicherheit gefährdet.“

„haurus“ verkaufte Zugang zur nationalen Polizeidatenbank

08. Oktober 2018: Während in Deutschland überall über die Einführung von Staatstrojanern und Onlinedurchsuchung in den Polizeigesetzen diskutiert wird, verkauft ein Französischer Geheimdienstmitarbeiter Zugriff zur nationalen Polizei-Datenbank für 300€. Unter dem Codenamen „haurus“ bot der Angestellte zu beliebigen Telefonnummern die Anruflisten und Aufenhaltsorte feil.

September 2018

Deutscher Staatstrojaner „FinFisher“ in neuer Qualität

24. September 2018: Deutsche Wissenschaftler haben eine neue Variante des in München entwickelten Staatstrojaners „FinFisher“ entdeckt. Im Gegensatz zu den bisher bekannten Versionen benötigt diese keine Interaktion durch den Nutzer mehr, um ihre Opfer zu infizieren. Stattdessen manipuliert die Schadsoftware den Download von Updates bekannter Programme, um Zugriff auf die Geräte zu erhalten. FinFisher wurde in der Vergangenheit unter Anderem in der Türkei zur Überwachung von Dissidenten eingesetzt. 

Staatstrojaner „Pegasus“ wird in 45 Ländern eingesetzt

18. September 2018: Sicherheitsforscher des Citizen Lab der Munk School of Global Affairs an der University of Toronto haben in einer drei Jahre andauernden Untersuchung Einsätze des Staatstrojaner „Pegasus“ in 45 Ländern nachweisen können. Damit kam die Schadsoftware in deutlich mehr Ländern zum Einsatz, als offiziell über den Trojaner verfügen. Das Citizen Lab unterstellt daher, dass Pegasus auch zur illegalen grenzübergreifenden Überwachung Verwendung findet.

Staatstrojaner sollen vorwiegend gegen Drogen eingesetzt werden

17. September 2018: Über die Hälfte der Fälle, in denen das Bundeskriminalamt (BKA) Staatstrojaner einsetzen möchte, sind Drogendelikte, das geht aus einer internen Erhebung der Polizeibehörde hervor. Die Ausweitung des Einsatzes der Schadsoftware war im Bundestag mit der Bekämpfung schwerster Verbrechen gerechtfertigt worden.

August 2018

Weitere Verfassungsbeschwerde gegen Staatstrojaner

22. August 2018: Die Gesellschaft für Freiheitsrechte (GFF) hat in Karlsruhe eine Verfassungsbeschwerde gegen den Einsatz von sogenannten Staatstrojanern und den unverantwortlichen staatlichen Umgang mit IT-Sicherheitslücken eingelegt.

Digitalcourage reicht Verfassungsbeschwerde gegen Staatstrojaner ein

7. August 2018: Digitalcourage hat in Karlsruhe vor dem Bundesverfassungsgericht Verfassungsbeschwerde gegen die sogenannten Staatstrojaner eingereicht. „Das Gesetz dient nicht der Sicherheit, es gefährdet sie. Der Staat  sollte  Sicherheitslücken nicht ausnutzen, sondern dafür sorgen, dass  sie geschlossen werden“, sagt padeluun, Vorstandsmitglied und Gründer von Digitalcourage. Weitere Zitate sind im Artikel unten.

Trojaner-Angriff auf Mitarbeiter von Amnesty International

1. August 2018: Zitat: „Ein Mitarbeiter von Amnesty International ist nach Angaben der Menschenrechtsorganisation mit Spionagesoftware der israelischen Sicherheitsfirma NSO Group angegriffen worden. Man glaube, "dass dies ein bewusster Versuch einer Regierung war, die unserer Menschenrechtsarbeit feindlich gegenüber steht, bei Amnesty International einzudringen“

Juli 2018

Vertrag zum Kauf von Staatstrojanern durch das Land Berlin veröffentlicht

27. Juli 2018: Als Antwort auf eine IFG-Anfrage von netzpolitik.org veröffentlichte das Land Berlin den Nutzungsvertrag „über die Pflege von Standardsoftware Quellen-TKÜ“. Auch wenn das Dokument großzügig geschwärzt wurde, offenbart es interessante Details zu den Nutzungsbedingungen, unter denen deutsche Behörden Staatstrojaner verwenden. So durften im Fall von Berlin auch schriftlich authorisierte Personen oder „Sicherheitspersonal“ die Schadsoftware einsetzen. Zudem verweigerte der Anbieter die Herausgabe des Quellcodes des Überwachungsinstruments. 

Verfassungsschutz warnt vor Cyberangriffen u.a. auf deutsche Chemiewaffenforschung

12. Juli 2018: Zitat: „Dem Bundesamt für Verfassungsschutz (BfV) liegen Erkenntnisse zu einer Spear-Phishing Angriffswelle mit mutmaßlich nachrichtendienstlichem Hintergrund vor. Diese Angriffe richten sich aktuell gegen deutsche Medienunternehmen und Organisationen im Bereich der Chemiewaffenforschung.“ Digitalcourage kritisiert auf Twitter: „(…) Darum sind Staatstrojaner​ eine schlechte Idee. IT-Sicherheitslücken schließen, nicht ausnutzen!“

Regierung verweigert Auskunft über Staatstrojaner-Firmen

12. Juli 2018: Netzpolitik.org berichtet: „Der Staatstrojaner ist der bisher größte Eingriff in die Privatsphäre und müsste eigentlich am intensivsten kontrolliert werden. Die Bundesregierung gibt jedoch nur widerwillig Auskunft, erklärt viele Informationen zu Geheimnissen und verweigert manche Antworten vollständig.“

Juni 2018

BKA kann drei Staatstrojaner einsetzen

26.06.2018: Wie aus mehreren als geheim eingestuften Dokumenten hervorgeht, die netzpolitik.org veröffentlicht hat, verfügt das Bundeskriminalamt über drei einsatzbereite Staatstrojaner. Zwei davon wurden im eigenen Haus für etwa 6 Millionen Euro entwickelt. Die dritte Version wurde hingegen vom deutschen Unternehmen FinFisher, dass für seine Geschäftsbeziehungen zu Diktaturen berüchtigt ist, zugekauft. 

Untersuchungsausschuss zu Auftragsvergabe an Palantir

21. Juni 2018: Hessen: Das Land Hessen hat ohne offene Ausschreibung Staatstrojaner-Software vom umstrittenen US-Hersteller Palantir gekauft. Oppositionsparteien (FDP, Linke & SPD) im hessischen Landtag haben deshalb einen parlamentarischen Untersuchungsausschusses erzwungen, der am 03.07.2018 seine Tätigkeit aufgenommen hat.

Mai 2018

Access Now: Türkei nutzte deutsche Spionagesoftware gegen Oppositionelle

14. Mai 2018: Die Bürgerrechteorganisation Access Now kann belegen, dass türkische Behörden die Software FinSpy der deutschen Finfisher eingesetzt haben, um Oppositionelle auszuspionieren.

März 2018

Anfrage der Grünen u.a. zu BKA und zur Prüfung von FinSpy

28. März 2018: Zitat: „Die Zulassung staatlichen Hackings verschiebt das Interesse zumindest der Sicherheitsbehörden auch auf die systematische Geheimhaltung, Offenhaltung und Nutzung von Schwachstellen und Sicherheitslücken in IT-Systemen, Hardund Software. Besonders brisant erscheint, dass für das Aufspielen von Spionagesoftware auf Zielrechner oftmals nicht allein kriminalistische List, sondern erst der staatliche Ankauf von Schwarzmarktinformationen über bislang unerkannte Sicherheitslücken ausreicht (vgl. u. a. dazu Veröffentlichung der Konrad Adenauer Stiftung (PDF)

Türkischer Internetanbieter ersetzt Downloads durch Spionagesoftware

9. März 2018: Das kanadische Forschungsprojekt Citizen Lab (University of Toronto) berichtet in einer Recherche, dass Türk Telekom Downloads durch Spionagesoftware ersetzt habe.

Windows Defender von Microsoft erkennt Staatstrojaner FinFisher

6. März 2018: Nach eigenen Angaben konnte Microsoft den Staatstrojaner FinFisher erkennen und analysieren. FinFisher (auch FinSpy) ist ein Trojaner der britisch-deutschen Gamma Group der von vielen Saaten für heimliche Überwachung eingesetzt wird.

Februar 2018

Protest gegen geplanten „Hessentrojaner“

8. Februar 2018: Bürgerrechtsorganisationen demonstrieren gegen den Hessentrojaner und kritisieren das geplante Gesetz mit Stellungnahmen im hessischen Landtag. netzpolitik.org kommentiert: „Die große Mehrheit der Experten bewertet das Vorhaben der schwarz-grünen Regierung als verfassungswidrig und gefährlich.”

 

Eine kurze Geschichte zu Hintertüren in der Hardware

6. Februar 2018: Das Heinz Nixdorf MuseumsForum hat eine kurze Geschichte zu Hintertüren in Hardware geschrieben. Hardware-Lücken entstehen unbeabsichtigt oder werden gezielt durch Geheimdienste geschaffen. Beispielsweise Lenovo: „Demnach fand der chinesische IT-Hersteller Lenovo undokumentierte Zugänge in seinen eigenen Netzwerk-Schaltern. Sie führten in das Jahr 2004, als die Geräte noch von der kanadischen Firma Nortel gefertigt wurden. 2009 ging Nortel mit einem Riesenskandal bankrott.” Insofern wird manipulierte Hardware auf absehbare Zeit ein Problem bleiben.

 

Der neue Bundestrojaner im Einsatz

2. Februar 2018: Die vom BKA entwickelte „Remote Control Interception Software” ist untauglich, daher wurde der Trojaner FinSpy von der FinFischer GmbH gekauft. Mit diesem sind die Behörden in der Lage zum Beispiel verschlüsselte Chats zu speichern.

Januar 2018

Bundesregierung schweigt zum Staatstrojaner

29. Januar 2018: Auf eine Anfrage der Partei die LINKE zum Bundestrojaner kam die Antwort, dass viele Fragen aufgrund der Brisanz nicht beantwortet wurden. Bei der Anfrage ging es darum, ob das BKA und der Verfassungsschutz die gleiche Technik zur Spionage benutzen. Der Staatstrojaner muss ebenfalls extern auf seine Verfassungskonformität hin geprüft werden. Es ist allerdings unklar, wie das Ergebniss aussieht, da es nur Ergebnisse zur ersten Version (ebenfalls Geheimsache) gibt.

Trojaner – vermutlich aus Italien und dem Libanon – entdeckt

19. Januar 2018: Zwei mutmaßliche Staatstrojaner wurden entdeckt. Der aus Italien stammende Trojaner „Skygofree” ist eine sehr weit entwickelte Malware für Android. Diese spioniert z.B. gezielt die Standortdaten des Nutzers sowie Gespräche aus und wird über gefakte Seiten verbreitet. Bei diesen handelt es sich um Seiten, die denen von großen Telefonanbietern nachempfunden sind. Bei dem Trojaner der mutmaßlich aus dem Libanon stammt, werden hauptsächlich Anwälte, Aktivisten o.ä. ausspioniert. Der Trojaner ist in gefakte Messenger eingebettet und fällt den Benutzern somit nicht auf. Es werden Messenger wie Signal, Threema und Whatsapp imitiert. Die Hacker haben es ebenfalls auf Windows, Mac und Linux abgesehen. Dem Trojaner wurde der Name Pallas gegeben.

Mächtiges Spionageprogramm Skygofree für Android analysiert

16. Januar 2018: Die Schadsoftware soll kriminellen Tonaufzeichnungen, Ausleitungen von WhatsApp-Nachrichten und den Verbindungsaufbau zu fremdkontrollierten WLAN-Netzwerken ermöglichen. Verteilt wird die Software, laut Bericht, über nachgebaute Webseiten von Telekommunikationsanbietern. Nach Einschätzung von Digitalcourage, sollte der deutsche Staat Bürgerinnen und Bürger vor solchen Programmen schützen, und nicht im Geschäft mit Unsicherheit mitspielen.

Heinrich-Böll-Stiftung: „Zum staatlichen Umgang mit Verschlüsselung“

Januar 2018: „Verschlüsselung schützt täglich die Daten von Milliarden von Menschen und Organisationen, inklusive einer Vielzahl an staatlichen Stellen. Gerade vor dem Hintergrund der zunehmenden Abhängigkeit von digitalen Technologien gewinnt dieser Aspekt weiter an Relevanz. Eine mögliche Regulierung durch Vorder- oder Hintertüren würde nicht nur die breite Masse an Nutzern gefährden und Cyberkriminellen die Arbeit vereinfachen. Sie riskiert auch die Reputation der eigenen IT-Wirtschaft und vereinfacht es autoritären Regimes, ähnliche Forderungen zu stellen, was wiederum die Meinungs- und Pressefreiheit weltweit unter Druck setzen würde. “ (S. 29)

 

Dezember 2017

Gemeinsame Erklärung von Grundrechteorganisationen: „Geplante Verschärfungen des hessischen Verfassungsschutzgesetzes schädigen Demokratie und Grundrechte“

22. Dezember 2017: Gemeinsam mit anderen Organisationen appellieren 15 Grundrechteorganisationen an die Abgeordneten des hessischen Landtages: “Der Gesetzentwurf vom 14. November 2017 sieht den heimlichen Einsatz sogenannter "Trojaner" vor. Sie nutzen Lücken in Programmen und Apps, um unbemerkt vom angegriffenen Nutzer Smartphones, Computer oder andere – mit dem Internet verbundene – Geräte zu kontrollieren. (…) Finanziert mit Steuergeldern, werden sie möglichst lange vor den Herstellern der Programme und Apps geheim gehalten. Weil deshalb nicht nur der Verfassungsschutz, sondern auch Internet-Kriminelle diese Lücken ausnutzen können, ermöglicht und fördert der Staat damit letztlich auch ihre Verbrechen.

Kommerzielle Spyware außer Kontrolle

6. Dezember 2017: Die gezielte Auslieferung von spywareverseuchten Mails an äthiopische Dissidenten zeigt, wie leicht solche Überwachungsprogramme missbraucht werden können. Diese kommerzielle Spyware wird u.a. Geheimdiensten und Sicherheitsbehörden angeboten. Im hier aufgeführten Falle wurde die Spyware in vielen Ländern an die Betreffenden verteilt.

Studie des FIfF: Cyberoffensive erhält deutlich mehr staatliche Mittel als Schutzmaßnahmen

Dezember 2017: Eine Studie des Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) hat ergeben, „dass Deutschland und die USA circa 15-mal mehr Geld in die Cyberoffensive stecken als in die -Defensive. Außerdem sind die Ausgaben wenig transparent.“

Triton – gravierender Angriff auf kritische Infrastruktur

14. Dezember 2017: Im Nahen Osten wurde die Schadsoftware Triton entdeckt, mit der Sicherheitssysteme in der Industrie angegriffen werden können. Ziele können Kraftwerke oder Einrichtungen der Öl- und Gasindustrie sein. Triton ist spezialisiert auf das Ausschalten von Sicherheitssystemen, die kritische Infrastruktur vor tödlichen Katastrophen schützen sollen. Nach Stuxnet und Industroyer/Crash Override ist Triton die dritte Schadsoftware dieses Ausmaßes.

November 2017

Regionales Bündnis engagiert sich gegen den „Hessen-Trojaner“

7. November 2017:  Die Infoseite hessentrojaner.de ist online gegangen: „hessentrojaner.de ist ein Gemeinschaftsprojekt von Organisationen in Hessen, die sich für die Sicherheit von IT-Systemen und gegen den geplanten Staatstrojaner engagieren.“

 

Oktober 2017

Polizei in Baden-Württemberg will Staatstrojaner, Video-Verhaltensüberwachung und Handgranaten

10. Oktober 2017: Die grün-schwarze Landesregierung in Baden-Württemberg plant ein Gesetz zur Änderung des Polizeigesetzes. Der Entwurf stammt aus dem Ministerium für Inneres, Digitalisierung und Migration Baden-Württemberg. Das Gesetz soll unter anderem den Einsatz von Staatstrojanern auch bei Allgemeinkriminalität erlauben. Der baden-württembergische Landesbeauftragte für Datenschutz, Stefan Brink, erklärte in seiner Stellungnahme: „Ob das Sicherheitspaket einer Überprüfung auf Kosten und Nutzen standhält, wird das Parlament entscheiden. Aus Sicht des LfDI ist sein Nutzen offen - sicher sind bereits jetzt seine Kosten: Wir alle bezahlen die Hoffnung auf mehr Sicherheit mit der realen Einbuße an Freiheit.“

Hessen will Staatstrojaner für Verfassungsschutz

4. Oktober 2017: Ein geplantes Verfassungsschutzgesetz der schwarz-grünen Regierung in Hessen soll dem Verfassungsschutz des Landes den Einsatz von Staatstrojanern erlauben. (Am Rande: Im hessischen Haiger hat die Digi Task GmbH (siehe Wikipedia), ein Hersteller von Staatstrojanern, ihren Sitz.)

 

September 2017

Bundesregierung zu Lieferungen von Überwachungstechnologie und Zensursoftware an Drittstaaten

27. September 2017: Auf Anfrage der Fraktion BÜNDNIS 90/DIE GRÜNEN hat die Bundesregierung geantwortet, dass zwischen 2014 und 2016 in neun Fällen Spähtechnik an Ägypten, Algerien, Marokko, Nigeria, Saudi-Arabien und die Vereinigten Arabischen Emirate geliefert wurde.

 

Offizielle ZITiS-Eröffnung

14. September 2017: Bundesinnenminister Thomas de Maizière eröffnete in München die Zentrale Stelle für Informationstechnik (ZITiS) im Sicherheitsbereich. „Als Dienstleister der deutschen Sicherheitsbehörden bündelt ZITiS das technische Know-how mit Cyberbezug und unterstützt sie mit Forschung, Entwicklung und Beratung“, heißt es auf der Website. Konkret bedeutet dies auch, dass ZITiS Staatstrojaner entwickeln wird. Der Ankauf von IT-Sicherheitslücken sei dabei nicht ausgeschlossen, erklärte de Maizière bei der Eröffnung.

Microsoft schließt Sicherheitslücke, die vom Staatstrojaner FinFisher ausgenutzt wurde

13. September 2017: Die Sicherheitsfirma FireEye, die das Problem (fireeye.com mit technischen Infos) aufgedeckt hatte, vermutet, dass nicht nur der deutsch-englische Staatstrojaner-Hersteller Gamma Group mit seinem Produkt FinFisher (alias FinSpy oder WingBird) diese Sicherheitslücke ausgenutzt hat, sondern auch gewöhnliche Kriminelle. MS-Windows-Systeme wurden über MS-Office-Dokumente infiziert.

 

August 2017

Der IT-Sicherheitsverband TeleTrusT will gegen Staatstrojaner klagen

9. August 2017: Der Bundesverband IT-Sicherheit e.V. (TeleTrusT), dem auch BKA und BSI angehören, will nach Konsultation seiner Mitglieder Klage gegen die Staatstrojaner vor dem Bundesverfassungsgericht einreichen. In der Pressemitteilung heißt es: „Die vom Gesetzgeber legalisierten Maßnahmen führen dazu, das Vertrauen in moderne IT-Systeme im Allgemeinen und in die angebotenen vertrauenswürdigen Lösungen zu erschüttern. Sie sind damit industriepolitisch kontraproduktiv und schädigend für den weiteren notwendigen Digitalisierungsprozess. [...] Die Eignung zur Verbrechensaufklärung ist fragwürdig, weil Straftäter beispielsweise auf andere Kommunikationsmöglichkeiten ausweichen werden. Die Beeinträchtigung des Grundvertrauens der Öffentlichkeit in den Schutz der kommunikativen Privatsphäre steht in keinem vernünftigen Verhältnis zur möglichen Ausbeute bei Strafverfolgungsmaßnahmen.“

 

IT-Verbände in Österreich positionieren sich gegen „Bundestrojaner“

9. August 2017: In einem offenen Brief wenden sich Vertreter.innen der österreichischen IT-Branche an den Nationalrat und kritisieren das geplante Sicherheitspaket der Regierung und insbesondere den darin enthaltenen sogenannten Bundestrojaner. Durch das Ausnutzen und Offenhalten von IT-Sicherheitslücken schwäche der Bundestrojaner die IT-Sicherheit und das Vertrauen in den Wirtschaftsstandort Österreich. Es wäre unverantwortlich, den Markt für Sicherheitslücken zu fördern, was Cyberkriminellen zugute käme. Außerdem sei es technisch nicht zu realisieren, dass die Überwachung nur auf die zulässigen Bereiche beschränkt wird.

 

Citizen Lab deckt auf, dass Staatstrojaner gegen mexikanische Anwält.innen eingesetzt wurden

2. August 2017: Citizen Lab hat aufgedeckt: In Mexiko wird die Schadsoftware gegen Anwält.innen eingesetzt. Bisher wurden über 20 Fälle aufgedeckt, bei denen in den letzten Jahren eine Software names „Pegasus“ der Firma NSO Group missbräuchlich gegen mexikanische Regierungskritiker.innen eingesetzt wurde (darunter Oppositionspolitiker.innen, Anwält.innen und Journalist.innen). Die Infektion läuft in der Regel so ab, dass die Opfer dazu gedrängt werden, einen Link in einer SMS zu öffnen, der das Smartphone mit der Software infiziert. Obwohl keine eindeutigen Beweise vorliegen, spricht eine Reihe von Indizien für die mexikanische Regierung als Auftraggeber.

Stiftung Wissenschaft und Politik warnt vor Schwächung der IT-Sicherheit zum Zweck der Terrorismusbekämpfung

August 2017: Die Stiftung Wissenschaft und Politik (SWP) berät die Bundesregierung in außen- und sicherheitspolitischen Fragen. Matthias Schulze von der SWP kritisiert die Tendenz vieler Staaten, IT-Sicherheitsstandards zur besseren Terrorismusbekämpfung abschwächen zu wollen. Das Dilemma bestehe darin, dass durch schlechtere Verschlüsselung und Sicherheitslücken zwar die Kommunikation von Terrorist.innen oder anderen Straftäter.innen besser verfolgt werden könne. Andererseits leide dadurch aber die IT-Sicherheit für die Bevölkerung und Unternehmen insgesamt, was wiederum von Kriminellen ausgenutzt werden könne. Schulze kommt zu dem Ergebnis, dass der Schaden aufgrund verringerter IT-Sicherheit wesentlich gravierender ist, als der Nutzen. Da Terroristen ohnehin meist sichere Kommunikationswege nutzen, plädiert Schulze für die Entwicklung alternativer Ermittlungsstrategien und gegen die Schwächung der allgemeinen IT-Sicherheit.

Juli 2017

Digitalcourage kündigt Verfassungsbeschwerde gegen die deutschen Staatstrojaner an

27. Juli 2017: Digitalcourage hält das Gesetz, das den Einsatz von Staatstrojanern erlaubt (siehe 22. Juni 2017), aus mehreren Gründen für grundgesetzwidrig: Zum einen widerspreche es einem früheren Urteil des Bundesverfassungsgerichts von 2008, weil Online-Durchsuchungen für einen zu großen Bereich von Gefährdungen zugelassen würden und die Quellen-Telekommunikationsüberwachung nur schwerlich auf die zulässigen Bereiche beschränkt werden könne. Zum anderen verletze der Staat seine Schutzpflicht, weil der Einsatz von Staatstrojanern die Verwendung und Geheimhaltung von Sicherheitslücken voraussetze, die von Kriminellen missbraucht werden können.

Google entdeckt Trojaner in Android-Apps – vermutlich ein Staatstrojaner

26. Juli 2017: Wie Google bekannt gab, verbarg sich die Spyware Lipizzan in mehreren Apps im Google Play Store. Auf einem infizierten Smartphone hat Lippizan Zugriff auf sämtliche E-Mails, SMS, den Standort, die gespeicherte Dateien, die Kamera und das Mikrofon. Google vermutet die israelische Firma Equus Technologies hinter dem Trojaner. Equus Technologies entwickelt Cyberwaffen für staatliche Organisationen. Sollte sich Googles Vermutung bewahrheiten, zeigt dieser Fall: Staatstrojaner werden nicht nur gezielt an einzelne Personen verteilt. Es wird auch versucht, sie großflächig spionieren zu lassen.

 

Gesellschaft für Freiheitsrechte: Verfassungsbeschwerde u.a. gegen „Online-Durchsuchungen“ und „Quellen-Telekommunikationsüberwachungen“ im Bayerischen Verfassungsschutzgesetz

21. Juli 2017: Etwa ein Jahr nach Inkrafttreten der Reform des Bayerischen Verfassungsschutzgesetzes legt die Gesellschaft für Freiheitsrechte Verfassungsbeschwerde ein: „Die Überwachungsbedürfnisse, welche die Ermächtigungen zu „Online-Durchsuchungen“ und „Quellen-Telekommunikationsüberwachungen“ auf der Ebene des individuellen Grundrechtseingriffs rechtfertigen mögen, können die erhebliche allgemeine Gefährdung der IT-Sicherheit in der Bundesrepublik nicht legitimieren, die von einer Sammlung von Sicherheitslücken bei den deutschen Sicherheitsbehörden ausgehen.“

Bundesdatenschutzbeauftragte Voßhoff prüft Staatstrojaner

18. Juli 2017: Mindestens seit Juli 2017 prüft die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Andrea Voßhoff die Staatstrojaner datenschutzrechtlich. Das geht hervor aus einer Antwort auf eine Anfrage von Andre Meister zu Staatstrojanern nach dem Informationsfreiheitsgesetz: „Die von Ihnen verlangten Informationen sind Bestandteil eines noch andauernden Kontroll- und Prüfvorgangs der BfDI. Der Informationsantrag ist daher gemäß § 4 Abs. 1 IFG abzulehnen. […] Nach Abschluss des Verfahrens werde ich auf die Angelegenheit zurückkommen.“

Juni 2017

Kommentar von Peter Schaar: Gesetzespaket, „dem die Verfassungswidrigkeit auf die Stirn geschrieben steht“

25. Juni 2017: Der ehemalige Bundesdatenschutzbeauftragte und jetzige Vorsitzende der Europäischen Akademie für Informationsfreiheit und Datenschutz Peter Schaar hält das Staatstrojaner-Gesetz für verfassungswidrig. Es sei nicht mit dem Urteil des Bundesverfassungsgerichts von 2008 vereinbar, weil es das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zu stark einschränke. Unter anderem kritisiert er das Ausmaß an Daten, die ausgelesen werden dürfen und dass Staatstrojaner bereits bei wenig schwerwiegenden Delikten eingesetzt werden dürfen. Außerdem kritisiert Schaar, dass es eine Voraussetzung für den Einsatz von Staatstrojanern ist, Sicherheitslücken offenzuhalten und auszunutzen.

Bericht des NSA-Untersuchungsausschusses des Deutschen Bundestages

23. Juni 2017: Netzpolitik.org veröffentlicht am 24. Juni 2017 eine ungeschwärzte Version des Abschlussberichts. Darin wird das Spionageprogramm Regin ab Seite 221 behandelt: „Es handele sich um eine von dem Sicherheitsunternehmen Symantec entdeckte, außergewöhnlich komplexe Spionagesoftware, mit der über Jahre hinweg Unternehmen, Behörden und Forschungseinrichtungen vor allem in Russland und Saudi-Arabien ausgespäht worden seien. Insgesamt seien 27 Ziele in 14 Staaten entdeckt worden, wobei die Zahl der betroffenen einzelnen Computer deutlich höher anzusetzen sei. (…) Ende des Jahres 2014 wurde in den Medien berichtet, REGIN sei bei einem Spionageangriff gegen eine Referatsleiterin aus der Abteilung Europapolitik im Bundeskanzleramt eingesetzt worden. Der Trojaner sei entdeckt worden, als diese einen USB-Stick auf ihrem Dienst-Laptop benutzen wollte. Der Trojaner auf diesem Laptop sei jahrelang unentdeckt geblieben und mutmaßlich schon im Jahr 2012 eingeschleust worden.“ Der Bericht enthält Empfehlungen der Fraktion BÜNDNIS 90/DIE GRÜNEN: „Auch das staatliche Sammeln, Zurückhalten vor der Öffentlichkeit und gezielte Nutzen von so genannten Zero-Day-Sicherheitslücken ist rechtsstaatlich nicht vertretbar. Im Gegenteil führt dies zu insgesamt weniger IT-Sicherheit, da bekannte, aber nicht geschlossene Sicherheitslücken immer auch Dritten gegenüber offen stehen und der Schwarzmarkt für solche Angebote nicht auch noch indirekt gefördert werden darf. Der Staat ist hier in einer Schutzpflicht.“ (S. 1628) Die LINKE empfiehlt: „Das Vertrauensproblem der für Cyberabwehr zuständigen Einrichtung kann nur gelöst werden, wenn die intensive Zusammenarbeit mit BfV, BND und MAD national via Cyber-Abwehrzentrum oder international in der Kooperation mit der NSA durchbrochen wird. Gerade die Kritikalität der bei der Behörde auflaufenden Informationen über Sicherheitslücken und -strukturen sowie der Umgang mit Unternehmens- und Personendaten erfordert zwingend, sie mit unzweideutigem Sicherheitsau ftrag aufzustellen.“ (S. 1618)

Internetverband Bitkom kritisiert Staatstrojaner

22. Juni 2017: Für Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder geht es bei der Frage um den Einsatz von Staatstrojanern nicht um das Abwägen zwischen mehr Sicherheit und dem Schutz der Privatsphäre. Ein Mehr an Sicherheit sei nämlich gar nicht gegeben, da die Sicherheit dadurch beeinträchtigt werde, dass für Staatstrojaner Sicherheitslücken geschaffen oder offen gehalten werden müssen, die auch von Kriminellen genutzt werden könnten.

Bundestag beschließt Staatstrojaner zur Strafverfolgung

22. Juni 2017: Das „Gesetz zur Änderung des Strafgesetzbuchs, des Jugendgerichtsgesetzes, der Strafprozessordnung und weiterer Gesetze“ führt die Möglichkeit zur Durchführung von Quellen-Telekommunikationsüberwachungen (Quellen-TKÜ) und Online-Durchsuchungen ein. Bei einer Quellen-TKÜ wird durch einen Trojaner das direkte Abhören der laufenden Kommunikation auf dem Zielgerät ermöglicht (und somit bevor eine mögliche Verschlüsselung greift oder nachdem eine Entschlüsselung erfolgte). Online-Durchsuchungen gehen noch einen Schritt weiter und ermöglichen das Auslesen sämtlicher auf dem Zielgerät gespeicherten Daten (ebenfalls durch den Einsatz eines Trojaners). Die Änderung der Strafprozessordnung, die den Einsatz von Staatstrojanern ermöglichen soll, wurde nicht etwa in einem eigenständigen Gesetzesverfahren beschlossen, sondern durch einen Verfahrenstrick an ein laufendes Verfahren angehängt, in dem es um Regelungen zum Führerscheinentzug ging. Eine öffentliche Debatte im Vorhinein blieb dadurch aus.

E-Privacy-Verordnung: Entschlüsselung von Kommunikation soll verboten werden

18. Juni 2017: Marju Lauristin, die Verhandlungsführerin des EU-Parlaments zur ePrivacy-Verordnung, wagte in ihrer ersten Stellungnahme einen schwerwiegenden Vorstoß: Verschlüsselte Kommunikation darf unter keinen Umständen durch Hintertüren oder Reverse Engineering wieder in Klartext umgewandelt werden. Mit dieser Forderung formuliert Marju Lauristin einen klaren Schlag gegen die Pläne der deutschen Politik und anderer europäischer Regierungen zu Staattrojanern. Ausnahmen, wie etwa innere Sicherheit oder Strafverfolgung, sind nicht vorgesehen. Lauristins Vorstoß ist mutig und die weiteren Verhandlungen im EU-Parlament und später mit EU-Rat und EU-Kommission müssen zeigen, ob und inwieweit dies in die ePrivacy-Verordnung Einzug erhält.

Mai 2017

Expertenanhörung zum Staatstrojaner im Bundestag

31. Mai 2017: In einer öffentlichen Anhörung des Ausschusses für Recht und Verbraucherschutz wurde das Pro und Contra zum Staatstrojaner von sieben Sachverständigen diskutiert. Die vertretenen Juristen, Richter und Staatsanwälte äußerten sich überwiegend positiv zur geplanten Gesetzesänderung, die den Einsatz von Staatstrojanern ermöglichen soll. Diese seien insbesondere deshalb so wichtig, weil Kommunikation zunehmend verschlüsselt ablaufe und ein Trojaner so die einzige Möglichkeit sei, diese dennoch abzuhören. Eine Ausnahme bildete der Berliner Richter Ulf Buermeyer, der vor allem den schweren Eingriff in die Persönlichkeitsrechte für bedenklich hält. Der schärfste Kritiker unter den Sachverständigen war Linus Neumann vom Chaos Computer Club. Er hält den Einsatz von Staatstrojanern für unverantwortlich, weil das Offenhalten der benötigten Sicherheitslücken eine Schwächung der IT-Sicherheit insgesamt zur Folge hätte.

 

Reporter ohne Grenzen: Staatstrojaner gefährden Journalist.innen

31. Mai 2017: Die geplante Einführung von Staatstrojanern bedrohe die besondere Stellung von Journalist.innen und die freie Presse, die für die Demokratie konstitutiv sei. Zu dieser Schlussfolgerung kommen Reporter ohne Grenzen in ihrer Stellungnahme zum Entwurf eines Gesetzes zur Änderung des Strafgesetzbuchs, des Jugendgerichtsgesetzes, der Strafprozessordnung und weiterer Gesetze (Bundestagsdrucksach: 18/11272).

Das neue Staatstrojaner-Gesetz würde erhebliche Zweifel am Schutz der Kommunikation mit Journalistinnen und Journalisten fördern. Personen könnten deshalb von der Kontaktaufnahme mit der Presse zurückschrecken und von der Preisgabe von Informationen im öffentlichen Interesse absehen.

Reporter ohne Grenzen stellen fest, dass die Angst vor einer allumfassenden Überwachung im journalistischen Alltag angekommen sei und nur durch verschlüsselt Kommunikation zurückgewonnen werden könnte.

Die Bundesdatenschutzbeauftragte übt scharfe Kritik am Gesetzesentwurf zum Einsatz von Staatstrojanern

29. Mai 2017: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Andrea Voßhoff hält das Gesetz wegen der Ermöglichung weitreichender Überwachungsmaßnahmen für einen „klaren Verfassungsverstoß“. Insbesondere kritisiert sie, dass neben der Überwachung laufender Kommunikation (z.B. ein- und ausgehender SMS) auch auf dem Gerät gespeicherte Kommunikation (z.B. früher versendete SMS) abgegriffen werden sollen. Des Weiteren sieht Voßhoff die Gefahr, dass mit der Infiltration des Systems der entscheidende Schritt für eine unkontrollierte Überwachung genommen ist, da es technisch schwer möglich ist, die Überwachung nur auf die erlaubten Bereiche zu beschränken. Außerdem befürchtet Voßhoff, dass die für den Einsatz des Staatstrojaners notwendigen Sicherheitslücken von anderen missbraucht werden könnten.

 

Die Ransomware WannaCry legt weltweit zahlreiche Unternehmen und staatliche Organisationen lahm

Mai 2017: Die Schadsoftware verschlüsselte die Dateien der betroffenen Rechner und verlangte zur Entschlüsselung eine Zahlung bestimmter Höhe in der Kryptowähung Bitcoin. Die Infektion und schnelle Weiterverbreitung von WannaCry setzte das Ausnutzen einer Sicherheitslücke in Windowssystemen voraus. Das war nur deshalb möglich, weil die NSA, die diese Sicherheitslücke entdeckt hatte, Microsoft nicht darüber informierte. Stattdessen hielt die NSA das Vorhandensein der Sicherheitslücke für mehrere Jahre geheim – unter anderem für die Verwendung von Staatstrojanern.

 

April 2017

FireEye meldet eine Sicherheitslücke, die sowohl für Staatstrojaner als auch für finanziell motivierte Systemeinbrüche genutzt wird

April 2017: Mindestens seit Januar 2017 wurde die Sicherheitslücke vom Staatstrojaner FinSpy der englisch-deutschen Firma Gamma Group ausgenutzt. Seit März wurde die offiziell immer noch unbekannte Sicherheitslücke auch von der Malware LatentBot ausgenutzt, die ähnlich programmiert ist. Daher vermutet FireEye, dass beide den Code, der die Schwachstelle ausnutzt, aus derselben Quelle bezogen haben. Ab April nutzte auch das Botnet DRIDEX diese Lücke, um massenhaft Spam zu versenden. Verbreitet hatte sich der Trojaner durch speziell präparierte RTF-Dokumente, wenn sie mit Microsoft Office geöffnet wurden.

März 2017

Zero-Days-Exploits

3. März 2017: Solche Exploits, also Sicherheitslücken, die der Hersteller selbst nicht kennt und mit der fertigen Software ausliefert, sind für Geheimdienste u.a. ein gefundenes Fressen. Da solche Exploits im Mittel 7 Jahre verbleiben, können diese von Hackern ohne größeren Aufwand ausgenutzt werden, um auf Informationen zuzugreifen. Darüber hinaus können solche Lücken willentlich erkauft werden und werden somit weiter verbreitet.

Studie des Europaparlaments zu Staatstrojanern

März 2017: Die Studie basiert auf der Analyse der Gesetzeslage zum Einsatz von Staatstrojanern in sechs EU-Ländern und drei Nicht-EU-Ländern. Es werden unter anderem die folgenden Risiken identifiziert: Wegen der Invasivität von Staatstrojanern stellten diese ein hohes Risiko für die Privatsphäre dar. Außerdem bestünde die Gefahr, dass die Internetsicherheit insgesamt geschwächt wird. Weiterhin benennt die Studie einige wichtige Voraussetzungen für den Einsatz von Staatstrojanern, unter anderem: eine richterliche Anordnung, Einschränkung auf die Verfolgung schwerer Verbrechen sowie das Informieren der „Opfer“ im Nachhinein.

 

Januar 2017

Start der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS), die sich an der Entwicklung von Staatstrojanern beteiligen soll

20. Januar 2017: ZITiS soll dem Bundesinnenministerium unterstehen und die Sicherheitsbehörden mit technischem Know-how bei Themen mit Cyberbezug forschend und beratend unterstützen. Konkret gehören zu den Aufgabenbereichen von ZITiS: digitale Forensik, Telekommunikationsüberwachung, Kryptoanalyse, Massendatenauswertung sowie technische Fragen von Kriminalitätsbekämpfung, Gefahrenabwehr und Spionageabwehr. Für ZITiS ist ein Budget von 10 Millionen Euro sowie 400 Stellen bis 2022 vorgesehen.

September 2016

EU-Entwurf für neue Dual-Use-Verordnung (u.a. Regulierung d. Exports von Überwachungssoftware)

28. September 2016: Daniel Moßbrucker von Reporter ohne Grenzen schrieb dazu am 15. November 2017 auf netzpolitik.org: „Nach den Plänen soll der Schutz der Menschenrechte ein explizites Kriterium werden bei der Entscheidung, ob Exporte in Drittländer genehmigt werden oder nicht. Bei allen Schwächen, die der an vielen Stellen noch vage Entwurf hat, ist dies die bisher größte Chance, den Handel mit Überwachungssoftware von europäischen Unternehmen ansatzweise in den Griff zu bekommen.“

Neues Nachrichtendienstgesetz der Schweiz erlaubt Staatstrojaner

25. September 2016: Das Nachrichtendienstgesetz erlaubt dem Nachrichtendienst NDB: „das Eindringen in Computersysteme und Computernetzwerke, um: 1. dort vorhandene oder von dort aus übermittelte Informationen zu beschaffen, 2. den Zugang zu Informationen zu stören, zu verhindern oder zu verlangsamen, falls die Computersysteme und Computernetzwerke für Angriffe auf kritische Infrastrukturen verwendet werden (…).“ Si­mon Gan­ten­bein von der Digi­ta­len Ge­sell­schaft Schweiz erklärt: „Ein Trojaner nutzt Sicherheitslücken aus. Für bisher unbekannte Sicherheitslücken, sogenannte Zero-Day-Exploits, gibt es einen Schwarzmarkt. Durch den Kauf von Trojanern unterstützt der Staat diesen Schwarzmarkt und fördert damit das organisierte Verbrechen. Der Staat begibt sich auch in einen Interessenkonflikt: Wenn er die Schließung von Sicherheitslücken anstrebt, gefährdet er damit den Einsatz des teuer gekauften Staatstrojaners: Sicherheitslücken bleiben bestehen, statt dass diese so schnell wie möglich gemeldet und geschlossen werden. Trojaner werden von Firmen hergestellt (…). Dieselben Hersteller, die auch die Schweiz beliefern, verkaufen ihre Schadenssoftware auch an nicht demokratisch geführte Staaten.“ Das Gesetz trat am 1. September 2017 in Kraft.

August 2016

Citizen Lab untersucht Staatstrojaner, dem Menschenrechtler Ahmed Mansoor nur knapp entgangen ist

10. August 2016: Ahmed Mansoor ist ein weltweit anerkannter Menschenrechtsaktivist aus den den Vereinigten Arabischen Emiraten. Anfang August 2016 erhält er eine SMS mit dem Versprechen, Informationen zur Folter politischer Gefangener zu erhalten, wenn er auf den angefügten Link klickt. Mansoor klickt nicht, sondern schickt die Nachricht zu Citizen Lab. Nach einer Untersuchung stellt sich heraus, dass sich dahinter ein Trojaner der NSO Group verbirgt, der drei Sicherheitslücken von iOS ausnutzt. Citizen Lab vermutet die VAE-Regierung hinter der versuchten Infizierung

Juli 2016

Reform des Bayerischen Verfassungsschutzgesetzes

Juli 2016: Gegen die Reform wird die Gesellschaft für Freiheitsrechte am 21. Juli 2017 Verfassungsbeschwerde einlegen.

April 2016

Bundesverfassungsgericht: Teile des deutschen BKA-Gesetzes sind nicht verfassungskonform:

20. April 2016: Im Grundsatz hält das Bundesverfassungsgericht das BKA-Gesetz mit seinen Regelungen zum Einsatz von Staatstrojanern zum Zwecke der Terrorimsusbekämpfung für verfassungskonform. An einigen Stellen verlangen die Verfassungsrichter jedoch Nachbesserungen. Insbesondere mahnen sie die Einhaltung des Verhältnismäßigkeitsgrundsatzes: „Befugnisse, die tief in das Privatleben hineinreichen, müssen auf den Schutz oder die Bewehrung hinreichend gewichtiger Rechtsgüter begrenzt sein, setzen voraus, dass eine Gefährdung dieser Rechtsgüter hinreichend konkret absehbar ist, dürfen sich nur unter eingeschränkten Bedingungen auf nichtverantwortliche Dritte aus dem Umfeld der Zielperson erstrecken, verlangen überwiegend besondere Regelungen zum Schutz des Kernbereichs privater Lebensgestaltung sowie einen Schutz von Berufsgeheimnisträgern, unterliegen Anforderungen an Transparenz, individuellen Rechtsschutz und aufsichtliche Kontrolle und müssen mit Löschungspflichten bezüglich der erhobenen Daten flankiert sein.“ Außerdem stellt das Gericht sehr hohe Anforderungen an die Übermittlung der erhobenen Daten an ausländische und andere inländische Behörden.

August 2015

Anfrage der Grünen: „Das Bundeskriminalamt und das gehackte Hacking Team”

17. August 2015: Das BKA hat sich bei der italienischen Firma Hacking Team über Software zur Überwachung informiert. In der Anfrage wird auf die Antworten 1 u. 2. verwiesen d.h. es sei keine Software gekauft worden.

Juli 2015

WikiLeaks: Schweizer Polizei und Hacking Team – Zielbetriebssysteme

8. Juli 2015: „Today, 8 July 2015, WikiLeaks releases more than 1 million searchable emails from the Italian surveillance malware vendor Hacking Team, which first came under international scrutiny after WikiLeaks publication of the SpyFiles. These internal emails show the inner workings of the controversial global surveillance industry.“

April 2015

Vermuteter Beginn des Bundestagshacks

30. April 2015: Angreifer sind über einen Computer eines Bundestagsabgeordneten in das Netz des Bundestages eingedrungen.

November 2014

NSA-Trojaner Regin im deutschen Kanzleramt entdeckt

November 2014: Regin ist eine Spionagesoftware die bereits seit 2008 aktiv gewesen sein soll und in verschiedenen Versionen Behörden, Unternehmen und Personen in Russland, Saudi-Arabien, Brasilien, Indien, Indonesien, Deutschland, Österreich und in weiteren Ländern Westeuropas angegriffen hat. Darunter den belgischen Telefonanbieter Belgacom, die EU-Kommission und eine Mitarbeiterin des Kanzleramts. Die Bundesanwaltschaft hat ein Ermittlungsverfahren eingeleitet. Am 27. Januar 2015 veröffentlichte der Spiegel einen Artikel, der Regin als NSA-Werkzeug beschreibt, dass die Five-Eyes-Geheimdienste nutzen. Die Spionagesoftware Regin war Gegenstand im NSA-Untersuchungsausschuss im Bundestag (z.B.: Protokoll von Netzpolitik vom 12.05.2016).

März 2014

NSA-Untersuchungsausschuss des Deutschen Bundestages

20. März 2014: Als Reaktion auf die Enthüllungen von Edward Snowden, setzt der Deutsche Bundestag einen Untersuchungsaussuss zum NSA-Skandal ein, in dessen Verlauf auch die Spähsoftware Regin behandelt wird. Nach Ende der Arbeit des Aussusses veröffentlicht Netzpolitik.org am 24.06.2017 eine ungeschwärzte Version des Abschlussberichts.

Januar 2014

Untersuchungen des EU-Parlaments: Staaten müssen Bevölkerung vor Hacking schützen

8. Januar 2014: Im Untersuchungsbericht des EU-Parlaments zum NSA-Skandal wird unter anderem der staatliche Hackangriff auf den Telekommunikationsanbieter Belgacom als eine von vielen Gefahren für Europa aufgelistet. Der Bericht fordert als Konsequenz alle EU-Staaten dazu auf ihre Pflicht zu erfüllen, die Bevölkerung vor Überwachung zu schützen: „Calls on the Member States immediately to fulfil their positive obligation under the European Convention on Human Rights to protect their citizens from surveillance contrary to its requirements, including when the aim thereof is to safeguard national security, undertaken by third states and to ensure that the rule of law is not weakened as a result of extraterritorial application of a thirdcountry’s law“… Staaten müssen demzufolge die Bevölkerung vor Hacking schützen und dürfen nicht für Unsicherheit sorgen, indem sie selbst Schadsoftware hertellen und einsetzten, die Sicherheitslücken voraussetzt ist.

Juni 2013

Enthüllungen von Edward Snowden

Seit Juni 2013: Der ehemalige NSA-Mitarbeiter Edward Snowden hat gemeinsam mit dem Guardian und der Washington Post das weltweite Spionagenetzwerk von Geheimdiensten (insbesondere der amerikanischen NSA und des britischen GCHQ) enthüllt. Dabei kam auch der massive Einsatz von Staatstrojanern zum gezielten Ausspionieren einzelner Personen oder von Personengruppen ans Licht. Snowden veröffentlichte unter anderem Informationen über das Schadprogramm QWERTY, dass große Ähnlichkeit aufweist, mit der Schadsoftware Regin, die 2014 unter anderem im deutschen Bundeskanzleramt gefunden wurde. Auch diese Trojaner nutzten Sicherheitslücken aus.

Juli 2012

Bayerischer Landesdatenschutzbeauftragter prüft Staatstrojaner und stellt Unzulänglichkeiten fest

30. Juli 2012: Nachdem bereits der Bundesdatenschutzbeauftragte den Staatstrojanereinsatz durch Bundesbehörden geprüft hatte [siehe 31.1.2012], veröffentliche auch der Bayerische Landesbeauftragte für den Datenschutz Thomas Petri einen Prüfbericht zur Quellen-Telekommunikationsüberwachung durch bayerische Strafverfolgungsbehörden. Die Untersuchung bezieht sich auf 23 Staatstrojaner-Einsätze im Zeitraum 1.1.2008 bis 31.12.2011, wobei auch die Software des Unternehmens DigiTask zum Einsatz kam. Der Bericht dokumentiert eine Vielzahl von technischen und datenschutzrechtlichen Mängeln des Trojaners. So gab es beispielsweise eine mangelhafte Authentisierung, Sicherheitsupdates bei der Überwachungskonsole fehlten und eine technische Begrenzung der Überwachungsfunktion war nicht gegeben. Außerdem hält Petri die unzureichende Dokumentation der Eingriffsintensität für einen Datenschutzverstoß. Weiterhin hätten die Betroffenen nach Abschluss einer Überwachungsmaßnahme informiert werden müssen, was nicht geschehen sei.

April 2012

BigBrotherAwards an Gamma Group für FinFisher

13. April 2012: Aus der Laudatio von Frank Rosengart (CCC): „Unterlagen, die bei der Erstürmung der Zentrale der ägyptischen Staatssicherheit gefunden wurden, belegen, dass die dortige Geheimpolizei mit Hilfe eines Trojaners der Gamma Group auf die Jagd nach Oppositionellen gehen wollte. Der Behörde testete ausgiebig auf einem Laptop von Gamma und beurteilte das FinFisher-Softwarepaket sehr positiv.“

Januar 2012

Bundesdatenschutzbeauftragter Schaar prüft Staatstrojaner und bestätigt die vom CCC festgestellten technischen und rechtlichen Mängel

31. Januar 2012: Nach der Untersuchung des Staatstrojaners durch den Chaos Computer Club [siehe 10.8.2011] unternahm der damalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar eine Prüfung des Staatstrojaner-Einsatzes zur Quellen-Telekommunikationsüberwachung durch die Bundessicherheitsbehörden (Bundeskriminalamt, Zollkriminalamt und Bundespolizei). Da kein Zugang zum Quellcode gewährt wurde, waren keine abschließenden Aussagen möglich. Dennoch konnten die Ergebnisse der Untersuchung des Chaos Computer Clubs im Grundsatz bestätigt werden. In dem eigentlich nicht für die Öffentlichkeit gedachten Bericht wurden dem Staatstrojaner von DigiTask und dessen Einsatz erhebliche Mängel attestiert. Unter anderem war die Verschlüsselung der ausgeleiteten Daten und die Authentisierung unzureichend. Außerdem wurde der Schutz des Kernbereichs der privaten Lebensgestaltung nicht ausreichend gewährleistet. So wurden in einem Fall sogar Telefonsex-Gespräche aufgezeichnet.

August 2011

Chaos Computer Club analysiert Staatstrojaner entwickelt vom hessischen Unternehmen DigiTask – Ergebnis: technisch stümperhaft umgesetzt und verfassungswidrig

10. August 2011: Der Trojaner sei eigentlich nur zur Kommunikationsüberwachung gedacht gewesen. Durch beliebige Funktionserweiterungen ließen sich aber fast sämtliche Dateien auf dem Gerät auslesen sowie Kamera, Mikrofon und Tastatur überwachen. Dies sein ein Verstoß gegen das Bundesverfassungsgerichtsurteil von 2008. Des Weiteren legte die Untersuchung gravierende Sicherheitsmängel offen. Ein Sprecher des CCC kommentiert: „Wir waren überrascht und vor allem entsetzt, daß diese Schnüffelsoftware nicht einmal den elementarsten Sicherheitsanforderungen genügt. Es ist für einen beliebigen Angreifer ohne weiteres möglich, die Kontrolle über einen von deutschen Behörden infiltrierten Computer zu übernehmen“. Ein weiteres No-Go: Die ausgleiteten Daten laufen über einen Server in den USA.
Die analysierte Spähsoftware stammt höchstwahrscheinlich vom hessischen Softwareunternehmen DigiTask. Dies bestätigte ein Rechtsanwalt des Unternehmens gegenüber dem Hessischen Rundfunk. DigiTask – nach den Angaben ihrer Website ein Spezialist für leistungsfähige Lösungen zur gesetzeskonformen Telekommunikationsüberwachung – verteidigt sich: Bei einem drei Jahre alten Programm sei es normal, dass es nicht mehr den aktuellen Sicherheitsanforderungen entspricht. Für eine gesetzeskonforme Nutzung seien ausschließlich die Behörden verantwortlich. Die Staatstrojaner von DigiTask kamen in mehreren Bundesländern sowie in Österreich, der Schweiz und den Niederlanden.

Mitte 2009

Münchner Flughafen: Computer eines Geschäftsmanns wird mit Staatstrojaner infiziert

Mitte 2009: Das bayerische Landeskriminalamt installiert heimlich am Münchner Flughafen „Franz Josef Strauß“ auf dem Laptop eines bayerischen Geschäftsmanns einen Staatstrojaner. Die Software übermittelte zweimal pro Minute ein Bildschirmfoto an die Ermittler. Ermittelt wurde gegen den Mann wegen „banden- und gewerbsmäßigen Handelns und Ausfuhr von Betäubungsmitteln“. Das Bundesverfassungsgericht hatte 2008 für solche Maßnahmen jedoch viel engere Grenzen gesetzt. Der Spiegel fasst 2011 zusammen: Der Mann „ist in einer Firma angestellt, die Psychopharmaka vertreibt. In Deutschland legal, im Ausland möglicherweise nicht – das ist strittig. Die Polizei nutzte die Spionage-Software jedenfalls nicht zur Gefahrenabwehr, sondern um eine mutmaßliche Straftat aufzuklären.“

 

Januar 2009

Verfassungsbeschwerde von Bettina Winsemann gegen BKA-Gesetz

27. Januar 2009: Bürgerrechtlerin und Journalistin Bettina Winsemann legt Verfassungsbeschwerde ein gegen das BKA-Gesetz aus 2008. Anwalt Frederik Roggan (Humanistischen Union) vertritt die Klage.

Dezember 2008

Bundesrat beschliesst BKA-Gesetz

19. Dezember 2008: Das Bundeskriminalamt darf Staatstrojaner zur Prävention von internationalem Terrorismus einsetzen. Nach geringfügigen Änderungen passierte das umstrittene Gesetz am 17. Dezember 2008 den Vermittlungsauschuss von Bundestag und Bundesrat. (Fassung des Gesetzes zur Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalamt vom 25. Dezember 2008 (Bundesgesetzblatt I Seite 3083))

August 2008

Polizei und Verfassungsschutz dürfen in Bayern verdeckt Online-Durchsuchungen durchführen

1. August 2008:

Februar 2008

Bundesverfassungsgericht formuliert das „IT-Grundrecht“

27. Februar 2008: In seinem Urteil vom 27. Februar 2008 schafft das Verfassungsgericht das sogenannte „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ (umgangssprachlich: „IT-Grundrecht“). Es stellt eine Erweiterung des allgemeinen Persönlichkeitsrechts dar. Das Urteil beinhaltet unter anderem, dass die Durchführung einer Online-Durchsuchung nur unter sehr strikten Bedinungen mit dem Grundgesetz vereinbar ist: „Die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, ist verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. [...] Die heimliche Infiltration eines informationstechnischen Systems ist grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen. Das Gesetz, das zu einem solchen Eingriff ermächtigt, muss Vorkehrungen enthalten, um den Kernbereich privater Lebensgestaltung zu schützen.“ Damit setzt Karlsruhe dem Einsatz von Staatstrojanern sehr enge Grenzen.

Oktober 2007

Schriftliche Stellungnahmen der geladenen Gutachter zur Anhörung des Bundesverfassungsgerichts

10. Oktober 2007:

  • Andreas Bogk (CCC), PDF (Memento vom 15. Dezember 2007 im Internet Archive)
  • Dirk Fox (Secorvo), PDF
  • Felix Freiling (Uni Mannheim), PDF
  • Andreas Pfitzmann (TU Dresden), PDF
  • Ulrich Sieber (MPI Freiburg), PDF

Dezember 2006

Änderung des Verfassungsschutzgesetzes Nordrhein-Westfalen

20. Dezember 2006: Mit der Änderung des Gesetzes über den Verfassungsschutz in Nordrhein-Westfalen vom 20. Dezember 2006 (GVBl NW, S. 620) wird eine Rechtsgrundlage geschaffen für: „heimliches Beobachten und sonstiges Aufklären des Internets, wie insbesondere die verdeckte Teilnahme an seinen Kommunikationseinrichtungen bzw. die Suche nach ihnen, sowie der heimliche Zugriff auf informationstechnische Systeme auch mit Einsatz technischer Mittel.“ ( § 5 Abs. 2 Nr. 11 ([18])). Dagegen wurde erfolgreich Verfassungsbeschwerde beim Bundesverfassungsgericht eingelegt, siehe Eintrag zum 27. Februar 2008.