Warum bestehen Zweifel, dass die Behörden die Software gründlich genug überprüft haben?

Finanz- und Innenministerium beteuerten, dass Zollkriminalamt (ZKA) und Bundeskriminalamt (BKA) die Funktionen des Trojaner gründlich überprüft hätten. Allerdings erklärten sie, dass die ihnen unterstellten Behörden nicht den Quellcode gekannt hätten - also den Bauplan der Software. Vorgelegen habe nur der für Rechner lesbare Maschinencode. Ihn zu analysieren, ist extrem aufwendig. Versteckte Funktionen lassen sich nur mit größer Mühe entdecken.

Woher weiß dann der Chaos Computer Club, was die Software kann?

Die Analyse des Trojaners vergleicht CCC-Sprecher Frank Rieger in einem Beitrag für die „Frankfurter Allgemeine Zeitung“ (FAZ) mit der Obduktion einer unbekannten Spezies von Lebewesen: Man versuche, einzelne Funktionen wie die Augen zu identifizieren und vergleiche sie mit bekannten Strukturen - etwa Linse, Hornhaut und Pupille. Auf die Analyse von Software übertragen heißt das: „Wenn man ergründen will, was eine bestimmte Routine des Trojaners bewirkt, schaut man als Erstes nach, welche Funktionen des Betriebssystems sie benutzt.“

Könnte ein Art staatlicher Software-TÜV helfen?

Bundesinnenminister Hans-Peter Friedrich (CSU) will ein Expertengremium einrichten, das die bisher benutzte Software von privaten Anbietern überprüft und zertifiziert. In der Industrie ist solch eine Qualitätskontrolle eine Selbstverständlichkeit. Dazu sei auch der Staat in der Pflicht, sagt Prof. Hartmut Pohl von der Universität Bonn-Rhein-Sieg: „Es muss überprüft werden, ob die Software dem Anforderungskatalog exakt entspricht.“ Mit genauen Vorgaben verhindere man nicht nur technische Fehler, sondern auch rechtliche Probleme.

Einen eigenen TÜV müsse der Staat dafür aber nicht gründen, meint der Informatiker: Das nötige technische Know-how sei beispielsweise bei den Datenschutzbehörden, Rechnungshöfen oder auch dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vorhanden.

Der Bund will Trojaner-Software selbst entwickeln. Ist das sinnvoll?

„Private Firmen bauen Telefonanlagen, Panzer und entwickeln Software fürs Militär“, sagt der IT-Sicherheitsspezialist Holger Heimann. Der Geschäftsführer der Firma it.sec in Ulm sieht daher kein grundsätzliches Problem darin, von der Privatwirtschaft einen Trojaner entwickeln zu lassen - so lange der Auftragnehmer seriös sei und es die nötigen Kontrollen gebe.

Das hätte durchaus Vorteile für den Staat, sagt Heimann: „Private Firmen werden eher effizient entwickeln, insbesondere wenn aus Auftragsarbeiten "Standardprodukte" werden“. Allerdings müsse man dann davon ausgehen, dass die Entwickler ihre Produkte auch in anderen Märkten anbieten - womöglich ohne Einschränkungen.

Was ist mit der richterlichen Kontrolle?

Der Trojaner-Einsatz zur Überwachung von Internet-Telefonaten (Quellen-TKÜ) steht unter richterlichem Vorbehalt. Aber: „Es ist ein Riesenproblem, dass in der Regel zu wenig Zeit vorhanden ist, um den Antrag der Staatsanwaltschaft in der Tiefe zu überprüfen“, sagt Christine Nordmann, Sprecherin der Neuen Richtervereinigung. Das Pensum dafür sei zu knapp berechnet.

Der Deutsche Richterbund erklärt, es gebe relativ wenig Anträge auf Quellen-TKÜ (rund 100 durch alle Sicherheitsbehörden sind bekannt) - weil die Prüfung eine besondere Aufgabe sei, nähmen sich die Richter dafür viel Zeit. „Alle Beteiligten sind sich bewusst, dass es sehr schwerwiegender Eingriff in die Grundrechte der Betroffenen ist“, betont Christoph Frank, Vorsitzender der Verbandes und selbst Oberstaatsanwalt. So oder so: Beide Verbände fordern mehr Stellen für Ermittlungsrichter, die über solche Eingriffe in die Grundrechte entscheiden.