Herr Unteregger, der Ständerat wird heute den Staatstrojaner absegnen. Würden Sie ihn programmieren, wenn man Sie anfragen würde?
Ruben Unteregger: Nein.
Warum nicht? Sie haben schon einmal einen Trojaner geschrieben, den deutsche Fahnder erfolgreich eingesetzt haben. Sie könnten das.
Ich würde es trotzdem nicht tun. Ich habe schon verschiedentlich Angebote erhalten, an der Entwicklung von Trojanern mitzuwirken. Ich habe immer abgesagt. Es gibt dafür verschiedene Gründe.
Welche?
Bei der Implementierung des ersten Behördentrojaners, bei dem ich mitwirkte, waren die Dimensionen, die das ganze Projekt annehmen sollten, anfangs nicht zu erahnen. Ich musste die Firma aufgrund der unerträglich gewordenen Arbeitssituation verlassen. Kurze Reaktionszeiten auf immer mehr Kundenwünsche und die Pflicht, immer ein funktionierendes Produkt zur Hand zu haben, machten dieses Projekt komplett unkontrollierbar. Ich kapitulierte. Meine Befürchtung war, dass sich diese Situation in neuen Projekten wiederholt und ich wieder am selben Punkt aufgeben würde.
Die Gründe für Ihren Ausstieg waren also nicht ethisch-moralischer Natur?
Moralische Bedenken über Sinn und Unsinn einer solchen Software kamen erst später hinzu. Staatstrojaner sind ein mächtiges Instrument, mit dem – abseits der propagierten sinnvollen Anwendung – auch ziemlich destruktiv ans Werk gegangen werden kann. Als externer Dienstleister hat man nur begrenzte Kompetenzen und für welchen Zweck der Trojaner schlussendlich eingesetzt wird, ist für einen nicht ersichtlich. Es liegt auch nicht in den Händen des Entwicklers, über die Verhältnismässigkeit des Einsatzes zu entscheiden. Bloss die gute Absicht, den Code nur für legitime Strafverfolgungszwecke zu schreiben, garantiert nicht, dass der Trojaner nur für diese Zwecke eingesetzt wird.
Vor behördlichem Missbrauch bräuchten Sie keine Angst zu haben. Der Trojaner-Einsatz in der Strafverfolgung braucht eine richterliche Genehmigung. Für nachrichtendienstliche Zwecke ist sogar ein bundesrätlicher Beschluss nötig.
Wenn eine Schweizer Firma mit Rechtssitz in der Schweiz oder eine Schweizer Behörde den Trojaner mit eigenen Entwicklern baut, dann besteht eine gewisse Chance, dass der Trojaner wirklich nur für bundesrätlich abgesegnete oder Strafverfolgungszwecke eingesetzt wird und die gewonnenen Daten auch in der Schweiz unter Verschluss bleiben. Aber die Chance ist klein.
Sie meinen, Daten aus Einsätzen von Bundestrojanern sollen ins Ausland gehen? Warum sollten sie das tun?
Meines Wissens gibt es derzeit keine Schweizer Firma, die über das nötige Know-how verfügt, um mit eigenen Mitteln ein solches Programm von Grund auf zu entwickeln. Man wird also auf die grossen, international tätigen Anbieter wie Gamma International oder Hacking Team zurückgreifen müssen, die in alle Welt liefern. Selbst wenn man den Auftrag an die Bedingung knüpfen kann, dass die Firma eine Schweizer Niederlassung gründen und Schweizer Personal anstellen muss, gibt es keine Garantie, dass das Produkt nicht trotzdem über Umwege in einem totalitären Staat oder in kriegerischen Auseinandersetzungen zum Einsatz kommt. Es gibt auch keine Gewissheit, dass die gewonnenen Daten in der Schweiz bleiben.
Aber wir sprechen doch nur von einem Trojaner. Polizei und Staatsanwaltschaften erhalten Zugriff auf verschlüsselte Kommunikation von Kriminellen.
Selbst wenn die deklarierte Absicht nur das Ausspähen oder Abhören strafrechtlich relevanter Inhalte ist, besteht ein Missbrauchspotential. Da stellen sich rechtsethische Fragen, aber auch ganz praktische. Man installiert ja nicht nur einen Trojaner auf dem Computer eines Verdächtigen, sondern auch einen Proxyserver, der verschleiern muss, wohin der Trojaner seine Daten schickt, dann eine Screening-Software beim jeweiligen Provider und ein weiteres Programm: eine Benutzeroberfläche quasi beim Endnutzer, also der Strafverfolgungsbehörde.
Das tönt aufwendig.
Ja, und in der Regel ist die Firma, die den Trojaner liefert, überall in diesem Komplettsystem involviert. Hinzu kommt, dass die Installation nicht gekauft werden muss, sondern für einzelne Einsätze gemietet werden kann. Wie wollen Sie sicherstellen, dass die verantwortlichen IT-Ingenieure nur für Sie arbeiten? Da können Sie nie ganz sicher sein. Andererseits dürfen Sie das Potential eines Trojaners nicht unterschätzen. Sie können damit nicht nur verschlüsselte Kommunikation abhören, sondern haben theoretisch Zugriff auf alles.
Daten, die nicht in Zusammenhang mit der Strafuntersuchung stehen, müssen von einem Gericht aussortiert und vernichtet werden. Gewichten Sie die potentielle Verletzung der Privatsphäre wirklich höher, als das öffentliche Interesse an der Aufklärung des Verbrechens?
Mit Trojanern kann man verschiedene Gerätetypen infiltrieren. Smartphones, Tablets, Laptops, PCs. Sie können nicht nur sämtliche gespeicherten Daten oder die ganze Kommunikation abfangen, Sie können über Mikrofon und Kamera mithören oder mitsehen, Sie können sämtliche Ortungsdaten einsehen, Sie wissen, wann jemand aufsteht oder ins Bett geht, ihn im Schlafzimmer oder im Bad beobachten. Mit den Einsatzmöglichkeiten von Trojanern steht nicht nur die Privat- sondern auch die Intimsphäre auf dem Spiel.
Bei Kapitalverbrechen, Drogenhandel im grossen Stil oder Wirtschaftsspionage würde ich das Recht auf Intimsphäre immer noch niedriger gewichten als das öffentliche Interesse an der erfolgreichen Strafverfolgung. Steh ich auf der Leitung?
Ich fürchte, ja. Ich befürchte auch, dass sich die Politiker nicht darüber im Klaren sind, welche Ausmasse das Missbrauchspotential von Trojaner-Systemen hat und welche praktischen Probleme anstehen. Es gibt für den Einsatz von Trojanern kein standardisiertes Verfahren. Man kann nicht einfach wie bei Telefonabhörungen einem Provider befehlen, die Verbindungsdaten und Gespräche einer Zielperson auf DVD zu brennen, zu liefern und damit hat sich's. Sie brauchen bei jeder Zielperson ein eigenes Setting. Sind externe Ingenieure involviert, erhalten diese Zugang zu einem riesigen Berg sensitiver Daten. Dieser bezieht sich kaum nur auf die Zielperson, sondern auch auf die Menschen in seiner Umgebung. Sie wissen dann nicht nur die Telefonnummern von unbescholtenen Dritten, sondern allenfalls auch ziemlich viel andere Dinge über diese Drittpersonen. Wenn man einen Trojaner auf einem Familien-PC oder einem Firmen-Laptop mit Zugang zum Firmen-Intranet installiert, sind grosse Personen- und Interessenkreise betroffen.
Nochmal: Ausser Zufallsfunden in Kommunikationsprogrammen, die auf strafbares Verhalten hinweisen, dürfen die Behörden nichts verwerten, was nicht direkt mit einem gerichtlich bewilligten Einsatz zu tun hat. Die Daten müssen sofort gelöscht werden.
Ebenfalls nochmal: Selbst wenn das so im Gesetz steht, hat bei einem Trojaner-Einsatz ein Gericht keine Kontrolle darüber. Es sind schon vorher zu viele Leute involviert. Zu viele Details sind da aus meiner Sicht überhaupt nicht ausreichend geklärt. Wer entwickelt die Software? Eine schweizerische oder eine ausländische Firma? Wer kontrolliert, was diese Firma im Detail macht? Was kann die Software? Nur spähen und abhören oder auch manipulieren? Nur einzelne Aktionen eines Zielsystems überwachen oder das ganze System? Eine weitere Problemdimension, die für mich nicht ausreichend geklärt ist, ist diejenige der Beweissicherheit. Mit Trojanern hat man ja nicht nur die Möglichkeit des passiven Abhörens, sondern auch des aktiven Manipulierens der Zielsysteme. Sie können belastendes Material auf Computern hinterlassen und es ist für die Betroffenen schwer bis unmöglich zu beweisen, dass dieses nicht von Ihnen stammt.
Ich bitte Sie. Wer sollte sowas tun?
Vielleicht erinnern Sie sich noch an den Untersuchungsrichter des Bundes, Ernst Roduner?
Er verzweifelte am Fall Holenweger derart, dass er sich selbst ein Drohfax schickte.
Genau. Er wurde wegen der Kameraüberwachung in der Postfiliale, von wo aus er das Fax abgeschickt hatte, erwischt. Das Beispiel zeigt, dass Strafverfolger unter Erfolgsdruck zu extremen Mitteln greifen. Mit einem entsprechenden Trojaner hätte Roduner unbemerkt belastendes Material deponieren lassen können. Hätte er es versucht? Beantworten Sie sich diese Frage doch selbst.
Vermutlich schon. Aber Roduner ist ein Extremfall, ein Einzelfall.
Er ist ein Einzelfall unter den Strafermittlern wie es auch der Terrorist oder der Drogenbaron innerhalb der Gesellschaft sind. Auch den Einzelfällen in der Behörde muss man Rechnung tragen. Einfach, weil es sie gibt. Ein Rechtsstaat, der seine Autorität und Glaubwürdigkeit erhalten will, darf solchen Extremfällen doch nicht ein Instrumentarium mit derart grossem Missbrauchs- und Schadenspotential wie einen Trojaner zur Verfügung stellen. Das Potential, mit Trojanern Existenzen zu zerstören, ist da. Und wo dieses Potential besteht, wird es früher oder später auch genutzt werden. Hinzu kommt die simple Tatsache, dass mit einem Trojaner infizierte Zielsysteme keine isolierten Inselsysteme sind. Die haben immer auch eine Verbindung mit der Aussenwelt und damit auch ins Internet. Wenn bei einem Einsatz etwas schiefläuft und ein solcher Trojaner oder sein Wirken ausser Kontrolle geraten, dann gnade uns Gott. Die Konsequenzen können massiv sein, nicht nur für die Betroffenen, sondern auch für den Staat, der sein Versagen letztlich vor seinen Bürgern zu verantworten hätte.