[Piraten-PMs] Pressemitteilung Piraten Niedersachsen - Bundestrojaner - Offener Brief zur Aufklärung des Sachverhalts
Michael Leukert
vorstand at piratenpartei-wolfenbuettel.de
Di Okt 11 20:43:58 CEST 2011
NDS-Logo
*Michael Leukert**
*Pressesprecher des Landesverbandes
Telefon:**0176 - 551 83 555
Telefax:**0700 - 724 836 638
presse at piraten-nds.de <mailto:presse at piraten-nds.de>
http://www.piratenpartei-niedersachsen.de
*
*
**
**
*
*
*
*
*Pressemitteilung
*
**
*Bundestrojaner - Offener Brief zur Aufklärung des Sachverhalts*
Am 08.10.2011 veröffentlichte der Chaos Computer Club (CCC) die Analyse
eines ihm in mehrfacher Ausführung zugespielten Schadprogrammes zur
Computerspionage [1]. Wie sich im Rahmen der Untersuchung herausstellte,
handelte es sich dabei um eine staatliche Software, mit der
Ermittlungsbehörden die Computer von Verdächtigen ausspähen können.
In der Analyse wurde weiterhin deutlich, dass der Trojaner unter anderem
zusätzliche Schadprogramme nachladen und installieren kann, sowie
massive Sicherheitslücken enthält. Für die Überwachung werden zur
Verschleierung der Steuerzentrale auch Server in den USA genutzt,
wodurch sich weitere Problemfelder in Bezug auf Datenschutz
und-sicherheit ergeben. Am schwerwiegendsten jedoch ist die Tatsache,
dass die Funktionalität der Software weit über die Grenzen hinausgeht,
die das Bundesverfassungsgericht (BVerfG) in seinem Urteil im Jahre 2008
[2] vorgegeben hat.
Mittlerweile haben sich Vermutungen bestätigt, dass mindestens einer der
Trojaner aus Bayern stammt [3,4] und dort bereits mehrfach eingesetzt
wurde. Programmiert wurde die Software von der privaten hessischen Firma
Digitask [5]. Inzwischen mussten auch das baden-württembergische [6],
das brandenburgische [7] - das BKA prüft unterdessen weitere
Landesbehörden [9].
Auch das niedersächsische Landeskriminalamt (LKA) räumte ein, ein
Trojaner- Programm in zwei Fällen eingesetzt zu haben. Laut LKA soll es
sich aber nicht um den aus Bayern stammenden "Bundestrojaner" handeln.
Innenminister Schünemann (CDU) gab an, die Software nur im Rahmen der
gesetzlichen Vorgaben einzusetzen. [8]
Zur Aufklärung des Sachverhaltes wurde durch die Piratenpartei
Niedersachsen am Montag an das Landeskriminalamt, das Ministeriumfür
Inneres und Sport, den Ministerpräsidenten David McAllister und den
niedersächsischen Innenminister Schünemann der folgende offene
Briefgesendet:
/Sehr geehrter Damen und Herren, sehr geehrter Herr McAllister, sehr
geehrter Herr Schünemann, /
//
/wie in zahlreichen Medien berichtet, hat der Chaos Computer Club (CCC)
eineSoftware analysiert, von welcher inzwischen bestätigt wurde,dass
essich um einen "Staatstrojaner" handelt.Dabei wurdefestgestellt,
dassdiese Software weder elementarenSicherheitsanforderungen genügt,
nochdie gesetzlichenRahmenbedingungeneinhält. Beispielsweise
könnenBeweisdaten sowohldurch Ermittler alsauch durch
Außenstehendemanipuliert werden. DieerhaltenenInformationen sind somit
wederaussagekräftig noch rechtlichverwertbar./
/Das Bundesverfassungsgericht hat festgehalten, dass die Quellen-TKÜ
ausschließlich der Überwachung der Telekommunikation dienen darf. Im
Gegensatz dazu fertigt die analysierte Software auch Bildschirmfotos an,
die zum Ausspähen von nicht versendeten E-Mails, Tagebucheinträgen
oderanderen privaten Daten missbraucht werden können. Sie erlaubt
dieInstallation zusätzlicher externer Software und von Softwaremodulen,
dasUnterschieben von Beweisen, sowie die Ausführung beliebiger
Programme.Damit beinhaltet sie Funktionen, die vom
Bundesverfassungsgerichtexplizit verboten wurden. Der Einsatz einer
Software in der vorliegendenAusführung ist somit nach unserer Ansicht
grundgesetzwidrig. ZurAufklärung des Sachverhaltes stellen wir Ihnen
folgende Fragen undbitten um zeitnahe Beantwortung:/
* /Wurdeoder wird die durch den CCC analysierte Software -- oder
Software mitvergleichbarer Funktionalität -- auch durch das
Landeskriminalamt *Niedersachsen* oder andere Behörden des Landes
*Niedersachsen* genutzt?/
* /Inwie vielen und welchen Fällen wurde oder wird dieser
"Staatstrojaner"oder Software mit vergleichbarer Funktionalität
imLand*Niedersachsen *bereits eingesetzt?/
* /In welchen Fällen ist der Einsatz einer solchen Software Ihrer
Ansicht nach angemessen und gerechtfertigt und in welchen nicht?/
* /Auf welchen Rechtsgrundlagen beruhte und beruht der Einsatz im Land
*Niedersachsen*?/
* /Wie wurde und wird solche Software auf Gesetzeskonformität überprüft?/
* /Welchen Umfang an Überwachungsmaßnahmen und welche weiteren
Möglichkeiten bietet die im Land Niedersachsen eingesetzte Software?/
* /WelcheBehörde hat Entwicklung, Kauf oder Lizenzierung der Software
inAuftrag gegeben? Welche Personen in der Landesregierung waren
darüberinformiert? Erfolgte die Softwareentwicklung intern oder
wurde damiteine externe Firma beauftragt? Wenn letzteres zutrifft,
um welche Firmahandelt es sich? Wurde die Verwaltung, Betreuung oder
Datensammlungeiner privaten Firma übertragen?/
* /Für wen arbeitete die beauftragte Firma außerdem? Waren anderen
Behörden des Landes *Niedersachsen* oder Behörden anderer Länder die
grundsätzlichen Defizite der Software bekannt?/
* /Wiewurde, im Falle einer externen Beauftragung zur Programmierung
derSoftware, sichergestellt, dass die beauftragte Firma
entsprechendzertifiziert ist, solche Aufträge zu bearbeiten? Führte
die externeFirma ein Sicherheitsaudit der Software durch,
beziehungsweise wurdedieses Audit von einem unabhängigen Unternehmen
oder einer anderenInstitution, wie zum Beispiel dem BSI,
durchgeführt? Wenn nein, wiesonicht? Wenn ja, mit welchem Ergebnis?/
* /Sind weitere Versionen der Software in Entwicklung und wenn ja,
welche neuen Eigenschaften sollen diese Versionen bekommen?/
* /Sindweitere Softwaremodule zur dynamischen Erweiterung
desBundestrojaners mit dem eigentlichen Bundestrojaners
mitgeliefertworden, die dem Verfassungsrichtsurteil vom 27.2.2008
widersprechen(BVerfG, 1 BvR 370/07 vom 27.2.2008, Absatz-Nr. 3-4)? /
* /Warden beauftragenden Behörden vor dem ersten Einsatz der
Softwarebekannt, dass der Zugriff auf die Software ohne
Authentifizierungstattfinden und auch von nicht dazu autorisierten
Personen beliebige,weitere Software zur Ausführung gebracht werden
kann? Wurden dieseFunktionen konkret beauftragt oder hat die
beauftragte Firma dieSoftware ohne expliziten Auftrag mit diesen
Sicherheitslückenausgestattet? /
* /Gibt es besondereHandlungsanweisungen zur Wahrung der Rechte der
ausgespähten Personenund anderer Unbeteiligter? Wenn ja, wie lauten
diese?/
* /Von wem wird, beziehungsweise wurde, die Software installiert
undausgeführt? Auf welchen Wegen gelangtsieauf das Endgerät des
zuÜberwachenden und in welcher Weise wirddasEndgerät des
zuÜberwachenden manipuliert? Sind Hardwareeingriffe notwendig, um
dieÜberwachung durchzuführen?/
* /Hates Absprachen mit Internetdienstanbietern gegeben, um
derenInfrastruktur und/oder Hard- und Software zur mittelbaren
oderunmittelbaren Infektion des Zielrechners einzusetzen? Wenn ja,
welcheFirmen waren hier involviert?/
* /Auf welche Weise setzt sich die Software im System fest und welche
Dateien sind davon betroffen?/
* /SindHersteller von Geräten und Programmen zur Sicherheit
vonComputern und Netzwerken (zum Beispiel Firewalls
undAntivirenprogramme) mit eingebunden, so dass die Software und
dieverwendeten Methoden bewusst nicht von diesen Schutzprogrammen
erkanntwird? Wurde anderweitigdafürgesorgt, dass Programme zum
Aufspüren vonTrojanern die Softwarenichterkennen konnten?/
* /Inwieweit kann dieeingesetzte Software gängige Anonymisierungs-
undVerschlüsselungsmechanismen wie zum Beispiel TLS, AES, Onion
Routingumgehen beziehungsweise manipulieren?/
* /Welchem Standder Technik entspricht die Software? Wie viel Zeit ist
zwischen derPlanung und Auftragsvergabe bis hin zur Auslieferung und
dem erstenEinsatz der Software vergangen? Wurden die
Software-Lizenzen (zumBeispiel für den Speex-Codec) konsequent
eingehalten?/
* /Über welchen Weg gelangen die Daten vom überwachten Endgerät zu den
Ermittlungsbehörden?/
* /Durchwelche Netzwerke werden die Daten ausgespähter
Personengeleitet? Welche Firmen, Behörden und/oder andere, dritte
Personen undInstitutionen haben Zugriff auf die benötigten Server,
zum Beispiel aufeinen Command-and-Control-Server?/
* /In welchem Maße wurden beziehungsweise werden die so gewonnenen
Erkenntnisse verwertet?/
* /Durchwelche Maßnahmen wurde und wird eine Manipulation der
Ermittlungendurch Dritte erschwert? Wie wurde und wird eine
Manipulation der Datenauf diesem Weg ausgeschlossen?/
* /Wie wurde und wirdsichergestellt, dass der Überwachte nach der
Entdeckung der Softwarediese oder deren gesammelten Ergebnisse vor
der Übersendung an dieeinschlägigen Server nicht manipulieren oder
entfernen kann?/
* /Inwieweitist die Software selbstständig in der Lage, sich innerhalb
einesComputernetzwerkes zu verbreiten, um so Zweit- oder Drittgeräte
desÜberwachten oder anderer auch unbeteiligter Dritter zu infiltrieren?/
* /Stehtdie Software für unterschiedliche Betriebssystem-Plattformen
zurVerfügung oder könnten sich Zielpersonen durch Verwendung
vonalternativen Betriebssystemen der Überwachung entziehen? Falls
ja, umwelche Betriebssysteme handelt es sich?/
* /Wie wirdsichergestellt, dass der Überwachte nach der
Überwachungsaktion überden Vorgang informiert wird? Ist dies in
allen bisherigen Maßnahmenerfolgt? Wenn nein, aus welchen Gründen
ist dies nicht erfolgt?/
* /Istes möglich sicherzustellen, dass keine Programme oder Dateien
auf dasSystem des Überwachten übertragen und/oder ausgeführt wurden?
Wennja, wie wird dies beweissicher festgestellt?/
* /Welchekonkreten Maßnahmen werden getroffen um zu verhindern dass
einzelneBeamte missbräuchlich an persönliche Daten gelangen, die
gesondertdurch das Grundgesetz und besonders durch das Urteil des
BVerfG imJahr 2008 geschützt sind? ("Grundrecht auf Gewährleistung
derVertraulichkeit und Integrität informationstechnischer Systeme")/
* /Inwieweitkann ausgeschlossen werden, dass Informationen und Daten
desunantastbaren Kernbereiches privater Lebensgestaltung nicht
erfasstwerden? /
* /Kann es ausgeschlossen werden, dassderartige Daten den
Hoheitsbereich der deutschen Strafverfolgungverlassen? Befindet sich
ein Teil der eingesetztenNetzwerk-Infrastruktur im Ausland? Wenn ja,
wieso und auf welcherrechtlichen Grundlage? /
* /In welcher Form und wielange werden die ermittelten Daten sowie
deren Auswertung gespeichert?Stehen diese Daten auch anderen
Behörden zur Verfügung?/
* /Wiewurde und wird der Schutz Dritter gewährleistet, die zufällig
inKontakt mit einer Zielperson stehen, aber im ermittelten Fall
nichtbetroffen sind?/
* /Wie wird sichergestellt, dass essich bei dem überwachten Rechner um
den Rechner der Zielpersonhandelt, beziehungsweise er allein
vondieserPerson benutzt wurde unddie gewonnen Erkenntnisse
zweifelsfreiundeindeutig diesem Benutzerzugeordnet werden können?/
* /Ist es beabsichtigt -- inAnbetracht der Manipulationsmöglichkeit
und Anfälligkeit derBeweismittelsicherung durch die Software --
betroffeneErmittlungsverfahren erneut aufzunehmen, da die
Beweissicherheit nichtgewährleistet werden kann?/
* /Welche Kosten sinddurch die Entwicklung, welche beim Einsatz der
Software entstanden undwerden voraussichtlich noch entstehen? Von
wem werden diese Kostengetragen?/
* /Wie ist die Gewährleistung für die Software vertraglich geregelt?
Welche Fristen haben etwaige Wartungsverträge?/
* /Wer im Land *Niedersachsen *ist bei Einsätzen der Software im
Einzelfall in der Verantwortung gewesen und hat deren Einsatz
autorisiert?/
* /Welche Landes- sowie Bundesbehörden sind zwecks Amtshilfe an dem
jeweiligen Einsatz der Software beteiligt gewesen?/
* /Inwelcher Form erfolgt die Archivierung der gesammelten Daten?
Wieist sichergestellt, dass keine Unbefugten Zugriff auf diese
Datenbekommen?/
* /Wir weisen Sie darauf hin, dass wir diesen Brief auf der Webseite
unseresLandesverbandes veröffentlichen werden, ebenso Ihre Antwort.
Wirgehen davon aus, dass Sie uns alle Fragen vollständig und
umfassendbeantworten werden und bedanken uns bereits im Voraus für
Ihr Bemühen./
//
//
/Mit freundlichen Grüßen/
/Kine Haasler/
/Beisitzerin im Landesvorstand der Piraten Niedersachsen/
/i.V. des Landesverbandes *Niedersachsen*/
/der Piratenpartei Deutschland/
------------------------------------------
[1] http://ccc.de/de/updates/2011/staatstrojaner
[2]http://www.bundesverfassungsgericht.de/entscheidungen/rs20080227_1bvr037007.html
[3]http://www.heise.de/newsticker/meldung/Staatstrojaner-Eine-Spionagesoftware-unter-anderem-aus-Bayern-1358091.html
[4] http://www.stmi.bayern.de/presse/archiv/2011/385.php
[5] http://www.digitask.de/
[6]http://www.badische-zeitung.de/nachrichten/deutschland/baden-wuerttemberg-stoppt-den-trojaner-einsatz--50456952.html
[7]http://www.morgenpost.de/newsticker/dpa_nt/regioline_nt/berlinbrandenburg_nt/article1789549/Brandenburg-setzt-Trojaner-Software-ein.html
[8] http://www.ndr.de/regional/niedersachsen/bundestrojaner101.html
[9] http://de.reuters.com/article/topNews/idDEBEE7990BL20111010
[10]http://www.mz-web.de/servlet/ContentServer?pagename=ksta/page&atype=ksArtikel&aid=1318223476868
<http://www.mz-web.de/servlet/ContentServer?pagename=ksta/page&atype=ksArtikel&aid=1318223476868>
[11]http://ted.europa.eu/udl?uri=TED:NOTICE:135850-2011:TEXT:IT:HTML&tabId=1
<http://ted.europa.eu/udl?uri=TED:NOTICE:135850-2011:TEXT:IT:HTML&tabId=1>
[12]http://ausschreibungen-deutschland.de/852_Archivierungssystem_fuer_Telekommunikationssystem_2011_Magdeburg
Verantwortlich für den Inhalt dieser Pressemitteilung:
Landespressestelle Niedersachsen
Michael Leukert
Pressesprecher des Landesverbandes Niedersachsen
Mitglied im Landesvorstand Niedersachsen
Vorsitzender Kreisverband Wolfenbüttel-Salzgitter
Telefon:**0176 -- 551 83 555
Telefax:01212 -- 510 836 993
Mail: presse at piraten-nds.de <mailto:presse at piraten-nds.de>
Web: http://www.piratenpartei-niedersachsen.de
Abdruck und Veröffentlichung honorarfrei unter Angabe (Quelle: Piraten
Niedersachsen) Belegexemplar an das Postfach (Veröffentlichungshinweise
per Mail) erbeten.
**
**
*
* <http://wiki.piratenpartei.de/Benutzer:Mim>
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Piraten Niedersachsen
Postfach 47 32
30047 Hannover
Vorsitzender: Arne Hattendorf, Stv. Vors.: Arne Ludwig,Schatzmeister:
Dr. Meinhart Ramaswamy, Beisitzer: Christine Haasler, Michael Leukert,
Lukas Jacobs, Miriam Hadj Hassine , Max Rother, Jürgen Stemke, Matthias
Stoll, Mario Espenschied
GLS Gemeinschaftsbank eG
Fon: +49 176 551 83 555
BLZ 430 60 967
Fax: +49 0700 724 836 638
Kto.-Nr. 402 147 320 0
http://www.piraten-nds.de
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.piratenpartei-bayern.de/pipermail/piraten-pms/attachments/20111011/00184bb3/attachment-0001.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : NDS Logo.jpg
Dateityp : image/jpeg
Dateigröße : 23486 bytes
Beschreibung: nicht verfügbar
URL : <http://lists.piratenpartei-bayern.de/pipermail/piraten-pms/attachments/20111011/00184bb3/attachment-0001.jpg>
More information about the Piraten-PMs
mailing list