Staatstrojaner in Deutschland: Behörden wollen Quellcode prüfen, genaueres regelt ein Vertrag

Einen eigenen Staatstrojaner werden deutsche Behörden so schnell nicht fertig entwickleln, bis dahin sollen weiterhin kommerzielle Produkte eingesetzt werden. Das geht aus einer Antwort der Bundesregierung auf eine Frage der Linkspartei hervor. Dabei soll der Quellcode geprüft werden – wie genau, sagt man aber nicht.

Nachdem der Chaos Computer Club rechtswidrige Funktionen im Staatstrojaner von DigiTask gefunden hat, versprach die Justizministerin Leutheusser-Schnarrenberger „totale Transparenz und Aufklärung“. Der Linkspartei-Abgeordnete Jan Korte hat mal nachgefragt, wie es damit voran kommt. In der Antwort der Bundesregierung heißt es:

Die in der Vergangenheit genutzte Software der Fa. DigiTask GmbH zur Quellen-TKÜ wird von Behörden des Bundes nicht mehr eingesetzt.

Die zukünftig zur Quellen-TKÜ einzusetzende Software wird durch ein im Bundeskriminalamt eingerichtetes Kompetenzzentrum erstellt werden (Eigenentwicklung). Hierfür wird sichergestellt, dass der Quellcode durch geeignete Experten im Hinblick auf den Funktionsumfang umfassend geprüft wird. Ebenso wird dieser den mit der datenschutzrechtlichen Prüfung beauftragten Stellen (u. a. dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit) zur Verfügung stehen.

Für die Zeit bis zur Fertigstellung der Eigenentwicklung wird seitens des Bundeskriminalamts eine kommerzielle Übergangslösung vorbereitet. Der Quellcode dieser Software muss im Hinblick auf die Vorgaben des Bundesverfassungsgerichts ebenfalls einer umfassenden Funktionsprüfung unterzogen werden.

In der Mitteldeutschen Zeitung konkretisierte CSU-Spezialexperte Hans-Peter Uhl:

„Die Entwicklung von Software durch das BKA wird voraussichtlich noch Monate dauern, vielleicht sogar Jahre. Vielleicht werden wir eines Tages sogar kleinlaut zugeben müssen, dass wir es gar nicht können.“ Bis dahin dürften Bundesbehörden nur Software erwerben, wenn der Lieferant den Quellcode nenne.

Netzpolitik.org hat im Innenministerium nachgefragt, wie denn diese Überprüfung des Quellcodes („Nennung“!) konkret aussehen soll. Die Antwort:

Nach der Veröffentlichung des Quellcodes der früher eingesetzten Quellen-TKÜ-Software der Fa. DigiTask durch die FAS im Oktober 2011 hat das Bundesministerium des Innern in Absprache mit den Ländern beschlossen, diese Software nicht mehr einzusetzen. Dies geschah auch vor dem Hintergrund, dass die Lizenzbestimmungen der Fa. Digitask keine Prüfung des Quellcodes der Software vorsahen. Zukünftig soll für Quellen-TKÜ-Maßnahmen eine selbst entwickelte Software zum Einsatz kommen.

Da die Herstellung einer solchen Eigenentwicklung durch das BKA als besonders komplexe Aufgabe eine gewisse Zeitspanne benötigt, muss bis zur Fertigstellung der Eigenentwicklung für eine Übergangszeit auch weiterhin kommerzielle Software zum Einsatz kommen. Diese muss den Sicherheitsanforderungen einer zwischen Bund und Ländern abgestimmten „Standardisierenden Leistungsbeschreibung“ (SLB) entsprechen. Auch der BfDI und das BSI haben an deren Erstellung mitgewirkt.

Jede in den Übergangszeit eingesetzte Software muss durch BSI-akkreditierte Prüflabore auf ihre Übereinstimmung mit der SLB getestet werden. Auch muss Einblick in den Quellcode ermöglicht werden.

Schon der erste Halbsatz ist falsch. Die FAS hatte keinen Quellcode abgedruckt, sondern Shellcode aus dem Disassemblat des Binaries. Über die Weigerung von DigiTask, den Quellcode zur Verfügung zu stellen, hatten wir bereits berichtet. Die hessische Firma wollte eine Geheimhaltungsvereinbarung sowie 1.200 Euro pro Tag für „Consulting-Dienstleistungen“.

Wie der Einblick in den Quellcode jedoch konkret aussehen soll, wer diesen wann bekommt und wie geprüft werden soll, wussten wir nach der Antwort aber immer noch nicht. Also haben wir nochmal detailliert nachgefragt. Die zweite Antwort:

Damit die Quellcodeprüfung angesichts des damit verbundenen Aufwands leistbar bleibt, soll sie als sogenannte „Typmusterprüfung“ ausgestaltet werden. Dies bedeutet, dass die einmal durchgeführte Quellcodeprüfung lediglich bei wesentlichen Veränderungen des Quellcodes wiederholt werden muss. Die für den jeweiligen Einsatzfall zu tätigenden geringfügigen Anpassungen der Software an das zu überwachende Zielsystem sollen durch eine entsprechende Protokollierung dokumentiert werden.

Um sicherzustellen, dass die berechtigten Stellen nicht auf Quellen-TKÜ-Maßnahmen verzichten müssen, bis eine Eigenentwicklung zur Verfügung steht, soll kurzfristig eine Quellen-TKÜ-Software am Markt beschafft werden. Eine Erhebung bei kommerziellen Anbietern für Quellen-TKÜ-Lösungen hat ergeben, dass die Anbieter einer Quellcodeprüfung im Grundsatz zustimmen. Die näheren Modalitäten dieser Prüfung bleiben jedoch einer späteren konkreten vertraglichen Ausgestaltung vorbehalten.

Weitergehende Angaben hierzu sind daher derzeit leider noch nicht möglich. Hierfür bitte ich um Verständnis.

Die Ergebnisse der Quellcodeprüfung sollen den Ländern und anderen Bedarfsträgern des Bundes zur Verfügung gestellt werden.

Also: „Im Grundsatz“ stimmen die Anbieter einer Quellcodeprüfung zu. Wie das aussehen soll, ist jedoch unklar und soll in einem Vertrag geregelt werden. Es ist kein Geheimnis, dass diese Firmen ihren Quellcode nur ungern aus der Hand geben und die Regelungen in den Verträgen gerne so weit wie möglich begrenzen wollen.

Wenn der Code einmal geprüft ist, sollen nur noch „wesentlichen Veränderungen“ geprüft werden. Kleinere Updates gehen auch ohne Prüfung klar.

Ob das die „totale Transparenz und Aufklärung“ ist, darf bezweifelt werden.

2 Ergänzungen

  1. „Spezialexpert“ ;-D

    „Der Quellcode dieser Software muss im Hinblick auf die Vorgaben des Bundesverfassungsgerichts ebenfalls einer umfassenden Funktionsprüfung unterzogen werden.“ Was ist denn eine Funktionsprüfung eines Quellcodes …

    Anyway, es gibt nur zwei Wege: weg mit staatlichen Trojanern. Wenn man diesen Weg nicht beschreiten will, dann müssen alle Funktionen, die das Programm können soll genau definiert werden (öffentliche Ausschreibung) und es muss eine harte Vertragsstrafenklausel rein für den Fall, dass das Programm mehr kann.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.