BKA-Überwachungssoftware Der Staatstrojaner bleibt im Dunkeln

Der Staatstrojaner des BKA wird mittlerweile eingesetzt, die Bundesregierung will aber am liebsten gar nichts dazu sagen. Nicht einmal, wer ihn geprüft hat. Die Linke findet das "besonders problematisch".

Smartphone-Nutzer
Getty Images

Smartphone-Nutzer

Von


Entschuldigung, aber das geht Sie nichts an - so lautet sinngemäß die Antwort der Bundesregierung an die Fraktion der Linken, die nach Details zum sogenannten Staatstrojaner gefragt hatte. Dieses Hacker-Werkzeug wird mittlerweile vom Bundeskriminalamt (BKA) eingesetzt, um auch verschlüsselte Kommunikation mitzulesen, nachdem die Große Koalition vergangenen Sommer die rechtliche Grundlage dafür geschaffen hat.

In ihrer Kleinen Anfrage zur "Informationstechnischen Überwachung" hatten die Linken detaillierte Fragen zur sogenannten Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) und zur Onlinedurchsuchung gestellt. Zu detailliert für die Bundesregierung, die mit Verweis auf das Staatswohl einige Antworten komplett verweigert. Konkret betrifft das den Versuch der Linken, herauszufinden, ob der Bundesnachrichtendienst (BND) und das Bundesamt für Verfassungsschutz (BfV) die gleiche Überwachungstechnik nutzen wie BKA und Zoll.

Der Staatstrojaner wurde zuletzt im Jahr 2016 geprüft

"Ausnahmsweise", heißt es in der Antwort, müsse "das Fragerecht der Abgeordneten gegenüber den Geheimhaltungsinteressen des BND und des BfV zurückstehen". Selbst eine Einstufung als Verschlusssache und ein Zugang nur in der Geheimschutzstelle des Bundestages kämen nicht infrage, "weil insoweit auch ein geringfügiges Risiko des Bekanntwerdens unter keinen Umständen hingenommen werden kann". Übersetzt heißt das: Die Regierung befürchtet, dass die Abgeordneten ausplaudern könnten, wie die Nachrichtendienste jemanden überwachen.

Selbst die Fragen der Linken zum BKA will die Bundesregierung nicht präzise beantworten, auch nicht "in eingestufter Form". Welche Hersteller das BKA in den vergangenen Jahren kontaktiert hat, um sich Überwachungstechnik zeigen zu lassen oder sie zu testen, ist zum Beispiel "besonders geheimhaltungsbedürftig". Denn wäre öffentlich bekannt, wie die Ermittler technisch ausgestattet sind, könnte das deren Arbeit "erheblich erschweren".

Was übrig bleibt, sind Hinweise auf die Zukunft der Staatstrojaner. So geht aus der Antwort hervor, dass die Software-Eigenentwicklung des BKA für die Quellen-TKÜ - RCIS genannt, für Remote Communication Interception Software - "kontinuierlich weiterentwickelt" wird. Das ist an sich nicht überraschend. Aber es bedeutet, dass sie immer wieder daraufhin überprüft werden müsste, ob sie nur das kann, was sie laut dem "Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens" auch können darf.

Keine parlamentarische Kontrolle

Dem Gesetz nach darf die Überwachungssoftware zum Beispiel nur erfassen, was auch während der klassischen Telefonüberwachung beim jeweiligen Anbieter erfasst würde, also eine laufende Kommunikation etwa über WhatsApp. Ältere Chats, Tastatureingaben abseits des aktuellen Chats und alles andere darf hingegen im Rahmen der Quellen-TKÜ nicht an die Ermittler ausgeleitet werden.

Von externer Seite überprüft wurde das zuletzt im Jahr 2016 von der Bundesbeauftragten für den Datenschutz, Andrea Voßhoff. Das Ergebnis ist nicht öffentlich, den entsprechenden Bericht haben nur das BKA selbst und das Bundesinnenministerium bekommen, eine parlamentarische Kontrolle ist nicht vorgesehen. Allenfalls der Innenausschuss könnte eine Stellungnahme des Datenschutzbeauftragten einfordern, doch dazu bräuchte es erst einmal einen entsprechenden Antrag einer Fraktion und dann eine einfache Mehrheit - was bei einer erneuten Großen Koalition, die sich auch in der Ausschussbesetzung widerspiegelt, schwierig werden könnte.

Ob das Prüfergebnis, wie auch immer es damals ausgefallen ist, auf die wie erwähnt "kontinuierlich weiterentwickelte" Software heute noch zutrifft, ist ohnehin unklar. Denn während die Version von 2016 nur das Mitlesen von Skype-Chats auf Windows-Computern erlaubte, eignet sich die mittlerweile eingesetzte Version auch für die Überwachung verschlüsselter Chat-Apps wie WhatsApp, wie die "Süddeutsche Zeitung" am Freitag berichtete.

Einer der wichtigsten Überwacher des BKA: das BKA

Welche Behörden, Unternehmen oder Forschungseinrichtungen sonst noch überprüft haben, ob das BKA die Quellen-TKÜ so durchführt, wie das Gesetz vorsieht, will die Bundesregierung nicht offen sagen. Die entsprechende Antwort ist als "Verschlusssache - Nur für den Dienstgebrauch" eingestuft. Eine externe Firma ist immerhin bekannt, seit Netzpolitik.org einen ebenfalls eingestuften Bericht des Bundesinnenministeriums veröffentlichte: TÜV Informationstechnik GmbH heißt sie. Auch deren Bericht bezieht sich aber auf die erste Version von RCIS.

"Dass die Bundesregierung der Öffentlichkeit verheimlichen will, wer die Rechtskonformität der BKA-Überwachungsprogramme überprüft," hält Martina Renner, Innenexpertin der Linksfraktion, für "besonders problematisch". Sie geht davon aus, dass "ausgerechnet eine deutsche Tochterfirma einer US-amerikanischen Consultingfirma damit betraut" wurde.

Denn auch die zweite Überwachungssoftware des BKA, die kommerziell vertriebene Software FinFisher/FinSpy des deutsch-britischen Entwicklers Elaman/Gamma, wurde von so einer Firma überprüft, der CSC Deutschland Solutions. Die frühere, mittlerweile umstrukturierte und umbenannte US-Mutterfirma von CSC Deutschland wiederum war ein bekannter Auftragnehmer von US-Geheimdiensten.

"Die Frage nach den technischen Möglichkeiten ist zentral", sagt Renner. "Was können die Programme wirklich und wer hat das nach welchen Kriterien überprüft? Wenn am Ende Unternehmen, die aufs Engste mit den Geheimdiensten beiderseits des Atlantiks verbandelt sind, mit der Zertifizierung betraut werden, sind alle Beteuerungen über die angebliche Gesetzeskonformität der Ausspähung von Smartphones und Rechnern der Bürgerinnen und Bürger nichts wert."

Bislang nutzt kein LKA die BKA-Software

Immerhin darf die Öffentlichkeit noch wissen, dass es beim BKA eine eigens eingerichtete Organisationseinheit gibt, "die dafür zuständig ist, die Entwicklung und Beschaffung von Software beziehungsweise Instrumenten und ihren Einsatz zu überwachen und die Einhaltung der gesetzlichen und technischen Vorgaben zu gewährleisten". Einer der wichtigsten Überwacher der BKA-Überwachung ist also das BKA.

Interessant an der Antwort der Bundesregierung auf die Fragen der Linksfraktion ist noch, dass eine Weitergabe der BKA-Software RCIS an andere Behörden "bislang nicht erfolgt" ist. Was bedeutet, dass sich das noch ändern könnte, dass also künftig auch die Landeskriminalämter mit dem Staatstrojaner des BKA arbeiten könnten.

Korrektur: In einer früheren Fassung dieses Artikels hieß es, die Linken-Abgeordnete Martina Renner gehe davon aus, die Firma CSC Deutschland Solutions - eine ehemalige Tochterfirma des mittlerweile umstrukturierten und umbenannten US-Unternehmens CSC - sei mit der Prüfung von RCIS beauftragt worden. Richtig ist: Renner geht davon aus, dass "ausgerechnet eine deutsche Tochterfirma einer US-amerikanischen Consultingfirma damit betraut" wurde.



insgesamt 15 Beiträge
Alle Kommentare öffnen
Seite 1
grommeck 29.01.2018
1. Schnüfflerstaat,
fehlt nur noch die Umbenennung des BND in Stasi2.0. Keiner weiß was diese Typen tun und schlimmer noch, keiner kontrolliert diese „Staatsschützer“.....
palef 29.01.2018
2. ...das ist nicht nur einfach gruselig...
...hier werden die Grenzen des Grundgesetzes nicht mal interpretiert...sondern einfach überschritten...weil sich niemand wirklich beschwert (LINKE ausgenommen ) SPD? Fehlanzeige, FDP? Fehlanzeige, CDU/CSU mit Begeisterung dabei! AfD? was für Grenzen des Grundgesetzes, außer in den Grenzen von 1939?! DAS, liebe SPD, ist Eure Aufgabe bei den GROKO Deals! BÜERGERRECHTE und Beschränkung der Maizierischen DatenFressucht!
obstroc 29.01.2018
3. Missbrauchspotential
Durch das Fehlen einer transparenten Kontrolle wurde hier Tür und Tor für den missbräuchlichen Gebrauch der Zukunft geöffnet. Die kommenden Mauscheleien sind doch abzusehen und zurückdrehen wird die Schraube keiner.
Referendumm 29.01.2018
4.
Zitat von grommeckfehlt nur noch die Umbenennung des BND in Stasi2.0. Keiner weiß was diese Typen tun und schlimmer noch, keiner kontrolliert diese „Staatsschützer“.....
Viel schlimmer ist doch, dass a) die Schwerkriminellen sich garantiert nicht über WhatsApp oder was auch immer unterhalten, weil die Schwachstellen solchen Dummfugs bekannt sind; ergo schießen die Schlapphüte mit dem/den Staatstrojaner(n) weit übers Ziel hinaus und b) Staatstrojaner garantiert nicht über: "Bitte klicken Sie hier, weil..." verwendet und installiert werden, sondern in der Regel über Computer-Schwachstellen z.B. Exploits und damit torpedieren die Staatstrojaner jegliche IT-Sicherheit. Wie viele Experten schon x-fach erwähnten, ist der Nutzen solcher Staatstrojaner eher gering, der Schaden, den sie allerdings verursachen gigantisch. Und das unter dem Gesichtspunkt, dass kein Mensch weiß, was BKA & Co. damit überhaupt treiben. Als ob noch nie Kriminelle versucht haben, das BKA zu unterwandern - jetzt mit so einem Staatstrojaner wäre die Unterwanderung eine Goldgrube für jegliche kriminelle Aktivitäten. Und keiner merkts, weil nix kontrolliert wird.
Fuxx81 29.01.2018
5. My Computer is my Castle
Erst einmal meinen Dank an die Linke, dass sie den dunklen Machenschaften der Bundesrepublik versucht nachzugehen. Das gibt Pluspunkte bei der nächsten Wahl. Davon abgesehen finde ich es sehr bedauerlich, dass man seine private IT-Infrastruktur nicht nur vor Kriminelle sondern auch vor dem eigenen Staat immer stärker absichern muss. Vor diesem Hintergrund ist dann leider auch den Empfehlungen des BSI u.ä. nicht mehr zu trauen, da ich weiß, dass die Regierung ein Interesse daran hat, dass mein System unsicher bleibt.
Alle Kommentare öffnen
Seite 1
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.