Bundeskriminalamt bestätigt Anschaffung von Staatstrojaner Gamma FinFisher: „Wir haben die Software“ (Update)

Das Bundeskriminalamt ist in Besitz eines kommerziellen Staatstrojaners der Firma Gamma/Elaman. Das bestätigte ein Sprecher der Polizeibehörde gegenüber netzpolitik.org. Die Software werde demnach jedoch noch nicht eingesetzt, da sowohl das BKA als auch die externe Firma CSC noch immer die Einhaltung der rechtlichen Vorgaben überprüfen.

Am Mittwoch berichteten wir, dass das Bundeskriminalamt einen Staatstrojaner der Firma Elaman/Gamma beschafft hat. Konrad Lischka zitierte auf Spiegel Online einen Sprecher des BKA, der einen Kauf bestreitet.

Wir haben noch einmal nachgefragt und vom BKA die Aussage erhalten: „Wir haben die Software. Wir haben sie aber (noch) nicht gekauft.“ Die Software werde noch immer getestet. Nach dem Debakel um den DigiTask-Trojaner Ende 2011 will das BKA „jetzt gründlich sein“ und führe jetzt selbst „umfangreiche Tests“ durch, zum Beispiel ob die Protokollierung funktioniert. Die Trojaner-Suite FinFisher/FinSpy erfüllt „die Anforderungen derzeit nicht“, bestätigte der BKA-Sprecher das SpOn-Zitat.

Dass das Unternehmen „nacharbeiten“ muss, wie Johannes Kuhn auf Süddeutsche.de berichtet, will man so jedoch nicht gesagt haben. Ob die Software die rechtlichen Anforderungen überhaupt vollständig entsprechen kann, kann das BKA auch noch nicht sagen. In diesem Zusammenhang weist n-tv.de auf einen interessanten Aspekt des von uns veröffentlichten Berichts des Innenministeriums hin:

Der Qualitätssicherungsprozess (QSP) beschreibt weitere Maßnahmen, die eine rechts- und datenschutzrechtlich konforme Durchführung der informationstechnischen Überwachung (ITÜ) sicherstellen sollen, weil dies durch die Software allein nicht geleistet werden kann.

Nochmal anders:

[Die] Software allein [kann] eine […] rechts- und datenschutzrechtlich konforme Durchführung der informationstechnischen Überwachung […] nicht [leisten].

Das Bundesverfassungsgericht legte jedoch in seinem Urteil von 2008 fest, dass sich die Quellen-TKÜ „ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang“ beschränken muss:

Dies muss durch technische Vorkehrungen und rechtliche Vorgaben sichergestellt sein.

Liebe Juristinnen und Juristen: Widerspricht die Äußerung des Innenministeriums den Auflagen des obersten Gerichts?

Parallel zur eigenen Funktions-Prüfung des BKA dauert die Quellcodeprüfung durch die CSC Deutschland Solutions GmbH noch an, wie uns das Bundesinnenministerium mitteilte. Im Gegensatz zur Prognose im Bericht, dass die Prüfung „im Dezember 2012 abgeschlossen sein [wird]“, sagte ein Sprecher des Ministeriums nun: „Der Prüfbericht ist noch nicht fertig.“ Wann dieser Bericht fertig sein soll, konnten uns weder BKA noch BMI sagen. Immerhin konnte das BKA sagen, dass sie „laufend mit denen in Kontakt“ sind. Eine Veröffentlichung dieser Überprüfung wird jedoch „aufgrund der Betriebs- und Geschäftsgeheimnisse sowie sonstigen Geheimnissen nicht möglich sein“, so das BMI.

Die CSC selbst verweigert gegenüber netzpolitik.org jeden Kommentar. Auf Fefes Blog finden sich inzwischen weitere Hintergründe zu dieser vom Bundesamt für Sicherheit in der Informationstechnik akkreditierten Firma:

Das waren die hier, die ihre Business-Jets für Rendition-Flüge nach Guantanamo an die CIA ausgeliehen haben. Und nicht nur Guantanamo, auch an andere Folterknäste.

Das war damals der militärische Arm von Dyncorp, den hat CSC inzwischen wieder verkauft. Aber wisst ihr, was CSC noch so macht? Die machen den „Groundbreaker“-Rahmenvertrag für die NSA. Über zwei Milliarden Dollar ist der Vertrag wert.

Auch Gamma selbst hält sich mit öffentlichen Kommentaren eher zurück. Chef-Entwickler Martin J. Münch sagte gegenüber netzpolitik.org:

Wir können weder Auskunft zu unseren bestehenden- oder zukünftigen Kunden geben noch wie diese unsere Produkte benutzen um Straftäter zu überführen. Weder wir noch bestehende Kunden wollen durch die Veröffentlichung von solch vertraulichen Informationen aktive oder zukünftige Ermittlungen gegen Kriminelle gefährden.

Hinzu kommt zudem, dass wir derzeit in aktiven Gesprächen mit verschiedenen Menschenrechtsorganisationen sind um einen möglichen “Code of Conduct” für Firmen wie unsere in dieser Branche zu entwerfen und durchzusetzen und wir wollen diese Gespräche durch Veröffentlichung von Internas nicht in Gefahr bringen.

Auf unsere Nachfrage, ob man CSC den Quellcode gegeben hat und mit welchen Menschenrechtsorganisationen Gamma in Kontakt ist, haben wir bisher leider keine Antwort erhalten.

Update: Jetzt hat Martin J. Münch geantwortet: Die Namen der beteiligten NGOs will man „vorerst nicht veröffentlichen, wahrscheinlich auch langfristig nicht“. Aus Deutschland ist jedoch derzeit keine NGO dabei.

6 Kommentare
  1. Manfred Rauh 18. Jan 2013 @ 14:56
Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden