BKA-Überwachungssoftware Der Staatstrojaner bleibt im Dunkeln
Entschuldigung, aber das geht Sie nichts an - so lautet sinngemäß die Antwort der Bundesregierung an die Fraktion der Linken, die nach Details zum sogenannten Staatstrojaner gefragt hatte. Dieses Hacker-Werkzeug wird mittlerweile vom Bundeskriminalamt (BKA) eingesetzt, um auch verschlüsselte Kommunikation mitzulesen, nachdem die Große Koalition vergangenen Sommer die rechtliche Grundlage dafür geschaffen hat.
In ihrer Kleinen Anfrage zur "Informationstechnischen Überwachung" hatten die Linken detaillierte Fragen zur sogenannten Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) und zur Onlinedurchsuchung gestellt. Zu detailliert für die Bundesregierung, die mit Verweis auf das Staatswohl einige Antworten komplett verweigert. Konkret betrifft das den Versuch der Linken, herauszufinden, ob der Bundesnachrichtendienst (BND) und das Bundesamt für Verfassungsschutz (BfV) die gleiche Überwachungstechnik nutzen wie BKA und Zoll.
Der Staatstrojaner wurde zuletzt im Jahr 2016 geprüft
"Ausnahmsweise", heißt es in der Antwort, müsse "das Fragerecht der Abgeordneten gegenüber den Geheimhaltungsinteressen des BND und des BfV zurückstehen". Selbst eine Einstufung als Verschlusssache und ein Zugang nur in der Geheimschutzstelle des Bundestages kämen nicht infrage, "weil insoweit auch ein geringfügiges Risiko des Bekanntwerdens unter keinen Umständen hingenommen werden kann". Übersetzt heißt das: Die Regierung befürchtet, dass die Abgeordneten ausplaudern könnten, wie die Nachrichtendienste jemanden überwachen.
Selbst die Fragen der Linken zum BKA will die Bundesregierung nicht präzise beantworten, auch nicht "in eingestufter Form". Welche Hersteller das BKA in den vergangenen Jahren kontaktiert hat, um sich Überwachungstechnik zeigen zu lassen oder sie zu testen, ist zum Beispiel "besonders geheimhaltungsbedürftig". Denn wäre öffentlich bekannt, wie die Ermittler technisch ausgestattet sind, könnte das deren Arbeit "erheblich erschweren".
Was übrig bleibt, sind Hinweise auf die Zukunft der Staatstrojaner. So geht aus der Antwort hervor, dass die Software-Eigenentwicklung des BKA für die Quellen-TKÜ - RCIS genannt, für Remote Communication Interception Software - "kontinuierlich weiterentwickelt" wird. Das ist an sich nicht überraschend. Aber es bedeutet, dass sie immer wieder daraufhin überprüft werden müsste, ob sie nur das kann, was sie laut dem "Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens" auch können darf.
Keine parlamentarische Kontrolle
Dem Gesetz nach darf die Überwachungssoftware zum Beispiel nur erfassen, was auch während der klassischen Telefonüberwachung beim jeweiligen Anbieter erfasst würde, also eine laufende Kommunikation etwa über WhatsApp. Ältere Chats, Tastatureingaben abseits des aktuellen Chats und alles andere darf hingegen im Rahmen der Quellen-TKÜ nicht an die Ermittler ausgeleitet werden.
Von externer Seite überprüft wurde das zuletzt im Jahr 2016 von der Bundesbeauftragten für den Datenschutz, Andrea Voßhoff. Das Ergebnis ist nicht öffentlich, den entsprechenden Bericht haben nur das BKA selbst und das Bundesinnenministerium bekommen, eine parlamentarische Kontrolle ist nicht vorgesehen. Allenfalls der Innenausschuss könnte eine Stellungnahme des Datenschutzbeauftragten einfordern, doch dazu bräuchte es erst einmal einen entsprechenden Antrag einer Fraktion und dann eine einfache Mehrheit - was bei einer erneuten Großen Koalition, die sich auch in der Ausschussbesetzung widerspiegelt, schwierig werden könnte.
Ob das Prüfergebnis, wie auch immer es damals ausgefallen ist, auf die wie erwähnt "kontinuierlich weiterentwickelte" Software heute noch zutrifft, ist ohnehin unklar. Denn während die Version von 2016 nur das Mitlesen von Skype-Chats auf Windows-Computern erlaubte, eignet sich die mittlerweile eingesetzte Version auch für die Überwachung verschlüsselter Chat-Apps wie WhatsApp, wie die "Süddeutsche Zeitung" am Freitag berichtete .
Einer der wichtigsten Überwacher des BKA: das BKA
Welche Behörden, Unternehmen oder Forschungseinrichtungen sonst noch überprüft haben, ob das BKA die Quellen-TKÜ so durchführt, wie das Gesetz vorsieht, will die Bundesregierung nicht offen sagen. Die entsprechende Antwort ist als "Verschlusssache - Nur für den Dienstgebrauch" eingestuft. Eine externe Firma ist immerhin bekannt, seit Netzpolitik.org einen ebenfalls eingestuften Bericht des Bundesinnenministeriums veröffentlichte: TÜV Informationstechnik GmbH heißt sie. Auch deren Bericht bezieht sich aber auf die erste Version von RCIS.
"Dass die Bundesregierung der Öffentlichkeit verheimlichen will, wer die Rechtskonformität der BKA-Überwachungsprogramme überprüft," hält Martina Renner, Innenexpertin der Linksfraktion, für "besonders problematisch". Sie geht davon aus, dass "ausgerechnet eine deutsche Tochterfirma einer US-amerikanischen Consultingfirma damit betraut" wurde.
Denn auch die zweite Überwachungssoftware des BKA, die kommerziell vertriebene Software FinFisher/FinSpy des deutsch-britischen Entwicklers Elaman/Gamma, wurde von so einer Firma überprüft, der CSC Deutschland Solutions. Die frühere, mittlerweile umstrukturierte und umbenannte US-Mutterfirma von CSC Deutschland wiederum war ein bekannter Auftragnehmer von US-Geheimdiensten.
"Die Frage nach den technischen Möglichkeiten ist zentral", sagt Renner. "Was können die Programme wirklich und wer hat das nach welchen Kriterien überprüft? Wenn am Ende Unternehmen, die aufs Engste mit den Geheimdiensten beiderseits des Atlantiks verbandelt sind, mit der Zertifizierung betraut werden, sind alle Beteuerungen über die angebliche Gesetzeskonformität der Ausspähung von Smartphones und Rechnern der Bürgerinnen und Bürger nichts wert."
Bislang nutzt kein LKA die BKA-Software
Immerhin darf die Öffentlichkeit noch wissen, dass es beim BKA eine eigens eingerichtete Organisationseinheit gibt, "die dafür zuständig ist, die Entwicklung und Beschaffung von Software beziehungsweise Instrumenten und ihren Einsatz zu überwachen und die Einhaltung der gesetzlichen und technischen Vorgaben zu gewährleisten". Einer der wichtigsten Überwacher der BKA-Überwachung ist also das BKA.
Interessant an der Antwort der Bundesregierung auf die Fragen der Linksfraktion ist noch, dass eine Weitergabe der BKA-Software RCIS an andere Behörden "bislang nicht erfolgt" ist. Was bedeutet, dass sich das noch ändern könnte, dass also künftig auch die Landeskriminalämter mit dem Staatstrojaner des BKA arbeiten könnten.
Korrektur: In einer früheren Fassung dieses Artikels hieß es, die Linken-Abgeordnete Martina Renner gehe davon aus, die Firma CSC Deutschland Solutions - eine ehemalige Tochterfirma des mittlerweile umstrukturierten und umbenannten US-Unternehmens CSC - sei mit der Prüfung von RCIS beauftragt worden. Richtig ist: Renner geht davon aus, dass "ausgerechnet eine deutsche Tochterfirma einer US-amerikanischen Consultingfirma damit betraut" wurde.
