Am letzten Wochenende ging der Chaos Computer Club mit einer Pressemitteilung an die Öffentlichkeit, in der der Club die Analyse und die Binaries eines in Deutschland eingesetzten Staatstrojaners zur Quellen-TKÜ vorstellte.
Es war immer klar gewesen, dass es letztendlich nur eine Frage der Zeit ist, bis einer der vielen staatlichen Trojaner beim CCC landet und dort ausgiebig und kompetent analysiert wird – aber das es dann doch so lange gedauert hat, ist schon fast erstaunlich. Auch dass der Trojaner wohl aus Bayern kommt - oder zumindest dort primär eingesetzt wurde - passt gut in die politische Landkarte Deutschlands und wundert ausser den bayrischen Politikern, die jede unkorrekte Verwendung der Schnüffelsoftware bestreiten, eigentlich niemanden wirklich. Aber gibt es hier für uns in der Schweiz Anlass zur Häme? Sind Bundestrojaner ein deutsches Problem und hier in der Schweiz so undenkbar?
Tatsächlich ist es so, dass die zur Zeit aktuelle Strafprozessordnung im Kapitel 8, Geheime Überwachungsmassnahmen den Einsatz von Trojaner noch nicht explizit erlaubt – was sich mit der anstehenden Totalrevision der BÜPF (Bundesgesetz zur Überwachung des Post- und Fernmeldeverkehrs) und der VÜPF (Verordnung über die Überwachung des Post- und Fernmeldeverkehrs) im nächsten Jahr sicherlich ändern wird. Aber bedeutet das tatsächlich, dass Trojaner von staatlichen Behörden in der Schweiz bisher nicht eingesetzt wurden, sondern dass deren Einsatz erst in Zukunft geplant ist, wie die WOZ im Artikel "Der Staat in deinem Computer" behauptet?
Komisch – haben die Menschen tatsächlich ein so kurzes Gedächtnis? Schon seit 2006 gab es Berichte über einen Staatstrojaner in der Schweiz, der vornehmlich Skype- und andere VoIP-Gespräche abhören sollte (also auch Quellen-TKÜ wie jetzt in Deutschland) und dann von einem frustrierten Entwickler der Firma ERA IT im Jahr 2008 als Open-Source veröffentlicht wurde – und so als Trojaner für die Behörden nutzlos wurde.
Wer kann aber ernsthaft glauben, dass dies der einzige Fall war, in dem eine Firma mit der Entwicklung von eidgenössischer Malware beauftragt war? Und wer glaubt ernsthaft, dass Schnüffelsoftware aus der Schweiz nicht auch eingesetzt wird? Wenn dieser Einsatz vornehmlich nicht auf Rechnern von Zielpersonen in der Schweiz selbst geschieht, macht die Sache doch auch nicht besser...
Apropos Ausland: Interessant ist in diesem Zusammenhang auch die Tatsache, dass die Rechner, auf denen der Trojaner die gesammelten Informationen ablegt, in den USA steht: irgendwie klingt das nach einem mächtig schlechtem Gewissen der Behörden, dass man für die Bespitzelung auf Rechtsräume ausserhalb der eigenen Jurisdiktion zurückgreifen muss. Aber das machen einige schweizer Trojaner ja auch nicht anders: vielleicht verstehen einige Leute jetzt besser, warum ich seit Jahr und Tag dafür plädiere, ausgehenden Netzwerkverkehr zu Adressen von Dropbox auf der eigenen Firewall komplett wegzufiltern...
Update 12.10.2011: Der Anwalt von Digitask (der deustchen Firma, die den Staatstrojaner entwickelt hat) gibt in einem Interview zu, dass die Software auch an schweizerische Behörden verkauft wurde...
Update 13.10.2011: Das EJPD hat jetzt gegenüber der Tagesschau zugegeben, dass sie Trojaner einsetzen. Mehr dazu hier - und alles im vollen Bewusstsein, dass es dafür keine Rechtsgrundlage gibt!