Staatstrojaner Experten werfen Bundesregierung Vertuschung vor
Staatstrojaner: "Was hat die Bundesregierung die ganze Zeit getan?"
Foto: Oliver Berg/ picture alliance / dpaHamburg - In der Affäre um den Einsatz staatlicher Schnüffelsoftware hat der Chaos Computer Club (CCC) die Bundesregierung und Sicherheitsbehörden erneut heftig kritisiert. Grund ist eine Antwort der Exekutive auf eine parlamentarische Anfrage der Linkspartei. Damit bestätige sich der "Eindruck anhaltender technischer Inkompetenz und mangelnder Kontrolle", sagte CCC-Sprecher Dirk Engling. "Statt Aufklärung und Transparenz versucht die Regierung weiter, ihre Blamage durch Geheimhaltung und Beschönigung der peinlichen Tatsachen zu vertuschen."
Der Staat späht die Computer von Verdächtigen aus - mit zum Teil rechtswidriger Software. Nachdem der Chaos Computer Club (CCC) Anfang Oktober einen solchen Trojaner aus Bayern analysiert hatte, bemühte sich die Bundesregierung um Schadensbegrenzung: Bundesbehörden würden ganz andere Software einsetzen. Details wurden erst nach und nach bekannt, etwa, dass auch die Bundesbehörden bei der Firma DigiTask Kunde sind. Die hatte auch den rechtswidrigen Bayern-Trojaner programmiert.
Die Linkspartei wollte es deshalb genauer wissen - und stellte am 25. Oktober eine Kleine Anfrage an die Bundesregierung: 64 Fragen zum Einsatz staatlicher Schnüffelprogramme. Die 33 Seiten lange Antwort liegt SPIEGEL ONLINE vorab vor. Schon die erste Antwort legt die Vermutung nahe, die Bundesregierung wolle es lieber gar nicht so genau wissen, was in den Ländern vor sich geht: Man verfüge über keine eigenen Erkenntnisse darüber, ob Behörden der Länder die vom CCC untersuchte Software eingesetzt hätten, heißt es.
Behörden haben keine Quelltexte gesehen
Dem Linkspartei-Abgeordneten Jan Korte reicht das nicht: "Wenn die Bundesregierung zum Einsatz der vom CCC analysierten Software in den Ländern nichts weiter weiß, als bisher in der Presse stand, was hat sie dann die ganze Zeit getan?" Er kritisiert, dass mit der angekündigten totalen und lückenlosen Aufklärung offenbar nie begonnen worden sei. Auskünfte über Maßnahmen zur sogenannte Quellen-Telekommunikationsüberwachung (TKÜ) gibt es für das Bundeskriminalamt (BKA) und das Zollfahndungsamt - allerdings nur, wie viel Geld die Maßnahmen den Steuerzahler gekostet haben.
Die Firma DigiTask bekam vom Bundeskriminalamt für eine "jährliche Generallizenz" rund 200.000 Euro, neun Maßnahmen und ein Test kosteten rund 94.000 Euro extra. Interessant an der Aufstellung ist ein mit 500 Euro vergleichsweise kleiner Betrag, der an "Gamma Group/Elamann" für eine "Testgestellung" gezahlt wurde. Offenbar haben sich die Kriminaler FinFisher angesehen, eine Überwachungssoftware, die sich dubioser Methoden bedient. In einem Film wird damit geworben, dass der Trojaner via iTunes-Sicherheitslücke eingeschleust werden kann. Das BKA hat auf eine Anfrage bisher nicht geantwortet.
Das Zollfahndungsamt gab in sieben Fällen für DigiTask-Trojaner rund 119.000 Euro aus, die Firma ERA IT Solutions bekam für drei Maßnahmen im Jahr 2007 rund 30.000 Euro. In anderen Fällen sei noch keine Rechnung gestellt worden - oder es seien keine Kosten angefallen.
Der CCC stößt sich daran, dass die Behörden nicht den Quelltext der rechtlich so sensiblen Schnüffelsoftware eingesehen haben. Es handele sich um Geschäfts- und Betriebsgeheimnisse der Unternehmen, heißt es in der Antwort. Eine Bereitstellung des Quellcodes sei "im Bereich der Privatwirtschaft daher unüblich". Deswegen hätten die Bundesbehörden "in jedem Einzellfall Anwendungstests" durchgeführt.
Hacker kaperten den Bayern-Trojaner
IT-Experte Dirk Engling reicht das nicht - er sieht darin einen Beleg für "eklatante Inkompetenz und Ignoranz". Man könne nicht allein durch symptomatische Black-Box-Tests die Funktionalität eines komplexen Spionageprogramms überprüfen. Ebenso kritisierte der CCC in seiner Analyse eine Nachladefunktion, mit der ein Trojaner im Einsatz um Funktionen erweitert werden kann. Die Hacker hatten diese Funktion genutzt, um den Bayern-Trojaner regelrecht zu übernehmen.
Auch die Kommunikation zwischen Trojaner und Fahndern sei nicht sicher, hatte der CCC in seiner Analyse herausgefunden. Die Bundesregierung bezeichnete die Möglichkeit, dass der Datenstrom abgehört werden könne, nun als "rein theoretische" Möglichkeit, für die Fachwissen und Zeit nötig seien, die eine überwachte Person wohl eher nicht habe. Dabei bezieht sich die Bundesregierung auf die Software der Firma DigiTask, die auch in den Ländern zum Einsatz kommt und von der dem CCC nach eigenen Angaben mehrere Versionen vorliegen.
In welcher Weise das Bundesamt für Verfassungsschutz und der Bundesnachrichtendienst Quellen-TKÜ einsetzen, erfahren die Parlamentarier nur in der Geheimschutzstelle. Wer aus dort hinterlegten Papieren auch nur zitiert, macht sich strafbar. Auch Details zur Online-Durchsuchung, bei der nicht nur Kommunikation abgehört wird, gibt es nicht. Das Informationsinteresse des Parlaments müsse hinter den berechtigten Geheimhaltungsinteressen zurücktreten, heißt es in der Antwort, ansonsten könne ein wirksamer Schutz vor Terrorismus erheblich gefährdet werden.
"VS - Nur für den Dienstgebrauch"
Können Bundesbehörden auch Mobiltelefone anzapfen? Auch die Antwort auf diese Frage der Linkspartei ist geheim, "VS - Nur für den Dienstgebrauch". Die Fähigkeiten und Methoden der Behörden sollen im Dunkeln bleiben, sonst könnten staatliche und nichtstaatliche Akteure Rückschlüsse daraus ziehen. Haben Internetprovider bei der Infektion der Zielrechner geholfen? "VS - Nur für den Dienstgebrauch".
CCC-Sprecher Engling will das nicht gelten lassen. "Wenn die Fragen konkret werden, verweist die Regierung auf vorgebliche Geheimhaltungsinteressen und verwehrt damit der Öffentlichkeit und dem Parlament eine wirksame Kontrolle der Polizeibehörden und Geheimdienste." Er vermutet nicht nur die Sicherheitsinteressen des Staates dahinter: "Nur ungern will man zugeben, dass man sich ein teures und doch so amateurhaftes Programm hat andrehen lassen." DigiTask hatte diese Einschätzung zurückgewiesen.
Nach der Regierungsantwort steht für Korte nun fest: "Trotz vollmundiger Versprechungen wurde weder die Staatstrojaner-Affäre aufgearbeitet, noch irgendetwas grundsätzlich an der verfassungswidrigen Überwachungspraxis geändert."
