/Hackercamp SHA2017: Gold-Standard für Staatstrojaner gesucht

Hackercamp SHA2017: Gold-Standard für Staatstrojaner gesucht

Hackercamp SHA2017: Gold-Standard für Staatstrojaner gesucht


Detlef Borchers

Pietrosanti (l.), Aterno

(Bild: heise online / Detlef Borchers)

Nicht nur in Deutschland oder Österreich, auch in Italien wird der Einsatz von Überwachungstrojanern durch die Strafverfolgungsbehörden diskutiert. Er soll von einem Gesetz geregelt werden, über das eifrig dabattiert wird.

Auf dem Hackercamp SHA2017 im niederländischen Zeewolde haben der Hacker Fabio Pietrosanti und der Jurist Stefano Aterno die italienische Bürgerinitiative vorgestellt, die bei der Formulierung eines Gesetzes für den Einsatz von Trojanern in Italien (englische Kurzfassung hier) mitarbeitet. Ausgehend von dem Gedanken, dass solche Überwachungsprogramme im Kampf gegen die Mafia und den Terrorismus legitime Werkzeuge sind, versucht die Initiative im Dialog mit Politikern und Strafverfolgern, einen Rechtsrahmen für Trojaner zu entwickeln.

Vorbild für die EU?

Das italienische Gesetz soll Anfang 2018 verabschiedet werden und könnte auf europäischer Ebene so etwas wie den Gold-Standard bei der Entwicklung und dem Einsatz von Trojanersoftware stellen: Wie das heute veröffentlichte Bundeslagebild organisierte Kriminalität zeigt, sind OK-Ermittlungen in der Regel grenzüberschreitend, was auch für installierte Trojaner gilt.

Pietrosanti und Aterno berichteten zunächst von der Schwierigkeit, mit Politikern und Juristen eine gemeinsame Sprache zu finden. Wenn die Offenlegung des Source Codes oder der auch für Beschuldigte nachvollziehbare Kompilationsprozess einer Software gesetzlich verankert werden sollen, müssen Politiker erst einmal verstehen, was Source Code oder die Verifikation und Zertifizierung einer Software bedeuten.

Am einfachsten war es wohl, sich bei der Frage nach richterlichen Untersuchungsbeschlüssen auf künftige Standards zu einigen. Im wesentlichen müssen solche Erlaubnisse für alle Komponenten eines Trojaners einzeln erteilt und begründet werden: Wenn der Trojaner also Screenshots anfertigt, braucht es dafür ebenso einen eigenen richterlichen Beschluss wie beim Abhören durch das Mikrofon eines Gerätes oder beim Mitschnitt der GPS-Daten. Einen weiteren Beschluss braucht es für die Netz-Telefon-Überwachung, also für die Ausleitung der entschlüsselten Messenger-Kommunikation von Whatsapp & Co, bei uns “Quellen-TKÜ” genannt.

Trojanerregister gefordert

Damit beginnen schon die offenen Fragen, über die derzeit gestritten wird. Zum Beispiel, ob der Source Code eines Trojaners der zuständigen, dem Wirtschaftsministerium zugeordnete Behörde ISCOM hinterlegt werden und einsehbar sein muss – mit allen Informationen darüber, wie das Programm auf die spezielle Überwachung zugeschnitten wurde, wie abgefangene Daten mit Zeitstempeln gesichert und damit forensisch gerichtsfest gespeichert werden.

Ferner sollen Strafverfolger nachweisen, dass das beobachtete Gerät nicht unsicherer wird und es nicht schädlich ist, das Programm nach Ablauf der Überwachungsfrist zu löschen. Ist der Trojaner ein Standardprogramm, so muss es jährlich neu durch einen staatlich anerkannten IT-Forensiker zertifiziert werden. Für alle entwickelten Trojaner soll überdies ein nationales Trojanerregister entstehen, das jeden Einsatz dokumentiert. Transparenz sei wichtig, erklärte Aterno: “Grundsätzlich muss jeder Beschuldigte bei der Gerichtsverhandlung bis ins kleinste Detail nachverfolgen können, wie der Trojaner gearbeitet hat.”

In der Debatte zwischen Zivilgesellschaft, Interessenverbänden wie Accessnow und den Vertretern der Gesetzesinitiative im Parlament herrscht noch keine Einigkeit darüber, wie der grenzüberschreitende Einsatz von Trojanern zu gestalten ist, etwa durch Rechtshilfeersuchen bei dem Land, in das das Gerät eines Verdächtigen eingereist ist. Überhaupt erschien den Vortragenden transnationale Perspektive wichtig: “Wir brauchen einen internationalen Standard, mit dem wir die Richtlinien für den Einsatz von Trojanern festlegen können”, erklärte Pietrosanti zum Schluss.


(anw)