Bundeskriminalamt bestätigt Anschaffung von Staatstrojaner Gamma FinFisher: „Wir haben die Software“ (Update)

Das Bundeskriminalamt ist in Besitz eines kommerziellen Staatstrojaners der Firma Gamma/Elaman. Das bestätigte ein Sprecher der Polizeibehörde gegenüber netzpolitik.org. Die Software werde demnach jedoch noch nicht eingesetzt, da sowohl das BKA als auch die externe Firma CSC noch immer die Einhaltung der rechtlichen Vorgaben überprüfen.

Am Mittwoch berichteten wir, dass das Bundeskriminalamt einen Staatstrojaner der Firma Elaman/Gamma beschafft hat. Konrad Lischka zitierte auf Spiegel Online einen Sprecher des BKA, der einen Kauf bestreitet.

Wir haben noch einmal nachgefragt und vom BKA die Aussage erhalten: „Wir haben die Software. Wir haben sie aber (noch) nicht gekauft.“ Die Software werde noch immer getestet. Nach dem Debakel um den DigiTask-Trojaner Ende 2011 will das BKA „jetzt gründlich sein“ und führe jetzt selbst „umfangreiche Tests“ durch, zum Beispiel ob die Protokollierung funktioniert. Die Trojaner-Suite FinFisher/FinSpy erfüllt „die Anforderungen derzeit nicht“, bestätigte der BKA-Sprecher das SpOn-Zitat.

Dass das Unternehmen „nacharbeiten“ muss, wie Johannes Kuhn auf Süddeutsche.de berichtet, will man so jedoch nicht gesagt haben. Ob die Software die rechtlichen Anforderungen überhaupt vollständig entsprechen kann, kann das BKA auch noch nicht sagen. In diesem Zusammenhang weist n-tv.de auf einen interessanten Aspekt des von uns veröffentlichten Berichts des Innenministeriums hin:

Der Qualitätssicherungsprozess (QSP) beschreibt weitere Maßnahmen, die eine rechts- und datenschutzrechtlich konforme Durchführung der informationstechnischen Überwachung (ITÜ) sicherstellen sollen, weil dies durch die Software allein nicht geleistet werden kann.

Nochmal anders:

[Die] Software allein [kann] eine […] rechts- und datenschutzrechtlich konforme Durchführung der informationstechnischen Überwachung […] nicht [leisten].

Das Bundesverfassungsgericht legte jedoch in seinem Urteil von 2008 fest, dass sich die Quellen-TKÜ „ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang“ beschränken muss:

Dies muss durch technische Vorkehrungen und rechtliche Vorgaben sichergestellt sein.

Liebe Juristinnen und Juristen: Widerspricht die Äußerung des Innenministeriums den Auflagen des obersten Gerichts?

Parallel zur eigenen Funktions-Prüfung des BKA dauert die Quellcodeprüfung durch die CSC Deutschland Solutions GmbH noch an, wie uns das Bundesinnenministerium mitteilte. Im Gegensatz zur Prognose im Bericht, dass die Prüfung „im Dezember 2012 abgeschlossen sein [wird]“, sagte ein Sprecher des Ministeriums nun: „Der Prüfbericht ist noch nicht fertig.“ Wann dieser Bericht fertig sein soll, konnten uns weder BKA noch BMI sagen. Immerhin konnte das BKA sagen, dass sie „laufend mit denen in Kontakt“ sind. Eine Veröffentlichung dieser Überprüfung wird jedoch „aufgrund der Betriebs- und Geschäftsgeheimnisse sowie sonstigen Geheimnissen nicht möglich sein“, so das BMI.

Die CSC selbst verweigert gegenüber netzpolitik.org jeden Kommentar. Auf Fefes Blog finden sich inzwischen weitere Hintergründe zu dieser vom Bundesamt für Sicherheit in der Informationstechnik akkreditierten Firma:

Das waren die hier, die ihre Business-Jets für Rendition-Flüge nach Guantanamo an die CIA ausgeliehen haben. Und nicht nur Guantanamo, auch an andere Folterknäste.

Das war damals der militärische Arm von Dyncorp, den hat CSC inzwischen wieder verkauft. Aber wisst ihr, was CSC noch so macht? Die machen den „Groundbreaker“-Rahmenvertrag für die NSA. Über zwei Milliarden Dollar ist der Vertrag wert.

Auch Gamma selbst hält sich mit öffentlichen Kommentaren eher zurück. Chef-Entwickler Martin J. Münch sagte gegenüber netzpolitik.org:

Wir können weder Auskunft zu unseren bestehenden- oder zukünftigen Kunden geben noch wie diese unsere Produkte benutzen um Straftäter zu überführen. Weder wir noch bestehende Kunden wollen durch die Veröffentlichung von solch vertraulichen Informationen aktive oder zukünftige Ermittlungen gegen Kriminelle gefährden.

Hinzu kommt zudem, dass wir derzeit in aktiven Gesprächen mit verschiedenen Menschenrechtsorganisationen sind um einen möglichen “Code of Conduct” für Firmen wie unsere in dieser Branche zu entwerfen und durchzusetzen und wir wollen diese Gespräche durch Veröffentlichung von Internas nicht in Gefahr bringen.

Auf unsere Nachfrage, ob man CSC den Quellcode gegeben hat und mit welchen Menschenrechtsorganisationen Gamma in Kontakt ist, haben wir bisher leider keine Antwort erhalten.

Update: Jetzt hat Martin J. Münch geantwortet: Die Namen der beteiligten NGOs will man „vorerst nicht veröffentlichen, wahrscheinlich auch langfristig nicht“. Aus Deutschland ist jedoch derzeit keine NGO dabei.

7 Ergänzungen

  1. Finde ich sehr gut, dass ihr konsequent an dem Thema dran bleibt und hier echte journalistische Arbeit betreibt!

    Ich bin zwar kein Jurist, aber ich denke nicht, dass ein Widerspruch besteht wenn es heißt:

    [Die] Software allein [kann] eine […] rechts- und datenschutzrechtlich konforme Durchführung der informationstechnischen Überwachung […] nicht [leisten].
    Das Bundesverfassungsgericht legte jedoch in seinem Urteil von 2008 fest, dass sich die Quellen-TKÜ “ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang” beschränken muss:
    Dies muss durch technische Vorkehrungen und rechtliche Vorgaben sichergestellt sein.

    Denn die „technischen Vorkehrungen“ beziehen sich auf die Quellen-TKÜ und nicht auf die konkret verwendete Software. Ich könnte mir vorstellen, dass selbst ein Programm, das bestimmte Teile der Ausgabe vor den Mitarbeitern verbirgt, dies schon soweit leisten könnte, dass das Innenministerium schon eine rechts- und datenschutzrechtlich konforme Ausführung annimmt. Dies würde zwar bei einer gerichtlichen Klärung nicht Stand halten, aber die kann Monate oder Jahre dauern und braucht vor allem einen Kläger (der evtl. sogar selbst betroffen sein muss?).

    1. Zuerst dachte ich auch, es wäre kein Widerspruch.
      Doch jetzt denke ich: Doch das ist einer. Und zwar folgendermaßen:

      Wenn die Software es ja jetzt schon alleine selber nicht leisten kann, die Funktionen entsprechend den Vorgaben durchführen zu können, dann kann es ja als einzigstes nur daran liegen, weil sie jetzt schon dazu in der Lage ist, nicht mehr nur auf die Daten der Quellen-TKÜ zugreifen und übermitteln zu können, sondern auch auf solche, die darüber hinausgehen.

      Und das widerspricht den Vorgaben des Bundesverfassungsgericht, nämlich danach muss sich eine Maßnahme einer Quellen-TKÜ, auch nur ausschlieslich auf die „Daten“ einer Quellen-TKÜ „beschränkt“ sein. Das muss durch technische Vorkehrungen gewährleisten werden. Also muss sich eine solche Vorkehrung ja schon genau dort befinden, wo die Daten bereits abgegriffen werden, bevor sie überhaupt übermittelt werden, weil sich die Maßnahme ansonsten nicht mehr nur auf die Daten einer Quellen-TKÜ beschränken würde.

      @ Hansbert: Und die Quellen-TKÜ ansich, beginnt nicht erst ab dem Zeitpunkt, von welchen Daten Kenntnis genommen wird, sondern bereits ab dem Zeitpunkt der Infiltration. Auf welche Daten zugegriffen- welche Daten erhoben. und welche dann weitergeleietet werden. Und nicht erst von welchen Kenntnis genommen wird.

      Und was diese „Maßnahmen eines Qualitätssicherungsprozesses“ sein sollen, ist ja ansich schon irrelevant, da ja wie ja oben schon steht -die Softwäre es selber nicht leisten kann, die Vorgaben einhalten zu können-, und wenn die es ja schon jetzt nicht kann, dann könnten sich die oben genannten Maßnahmen ja frühstens auch erst dort befinden, wo die Software -also der Trojaner- seine Arbeit schon beendet hat, nämlich = Auf dem Rechner der Polizei, nachdem die Daten schon übertragen worden sind und sich seit dem an auch dort befinden würden. Und wenn das so der Fall wäre, dass eben nicht nur die Daten aus der Quellen-TKÜ übertragen worden sind, sondern auch solche, die darüber hinausgehen – dann wäre das:

      – nur unter der voraussetzung einer „Online-Durchsuchung“, aber bei einer „Quellen-TKÜ“ unzulässig. Da, wie schon oben erklärt, eine Anordnung nach §§ 100a StPO sich immer nur auf die Daten, die bei einem laufenden Telekommunikationsvorgang anfallen, beschränkt sein müssen. Dabei ist es ja selbst schon hier sehr umstritten, muss man noch dazu anmerken, ob überhaupt § 100a StPO hierbei anwendbar ist, denn viele sind ja davon überzeugt, dass gerade das genau nicht der Fall ist und überhaupt gar keine Rechtsgrundlage für eine Quellen-TKÜ hier in Deutschland derzeit existiert. Und ansonsten, alle anderen Daten, die sich nicht auf die Telekommunikationsdaten beziehen und auch nicht im Schutzbereich von Art.10 GG liegen, dürfen bei einer Quellen-TKÜ weder erhoben, noch an die Strafverfolgungsbehörden weitergeleitet werden.

      Gerade davon spricht das Bundesverfassungsgericht, was unter dem Begriff „technische Sicherungsvorkehrungen“ zu verstehen ist: Nämlich die sollen dafür sorgen, dass das auch so der Fall ist, wie ich hier gerade oben drüber erklärt habe. Und zwar: Der Trojaner, der im Rahmen bei einer Quellen-TKÜ eingesetzt wird, muss durch eine entsprechende Programmierungen so abgesichert sein, dass er auch nur auf die Daten zugreifen und diese weiterleiten kann, die sich lediglich nur und ausschliesslich auf die Telekommunikationsdaten beziehen dürfen, und keine anderen. Und erst dann, wenn das sichergestellt ist, erst dann gilt die Software auch erst als tauglich, um sie für solche Maßnahmen einer Quellen-TKÜ überhaupt erst einsetzen zu dürfen. Weil ansonsten das Missbrauchspotential so hoch ist, dass nachher noch andere Bereiche mit ausgespäht werden können, die nicht mit dazugehören, wie ausserdem einige Polizeibeamten hier in Deutschland durch ihre Praktiken uns ja auch schon deutlich bereits bewiesen haben, das sie dazu in der Lage sind, so das ein ordnungsgemäßer Grundrechtsschutz ansonsten nicht mehr gewährleistet werden kann.

      Also daraus kann man schliessen: Da die Software Finfisher selbst schon ohnehin nicht die Vorgaben einhalten kann, wie das BKA ja selber bestätigt hat, werden da wohl auch keine Maßnahmen von irgendwelchen Qualitätssicherungsprozessen weiterhelfen können ..

      Im übrigen: Da das Urteil des Bundesverfassungsgerichts unlängst den Polzeibeamten ja bekannt sein müsste, dürfte bei vorsätzlich falsch ausgespähten Daten hierbei auch § 202a StGB anwendbar sein.

  2. na Super erst die software für viel Geld kaufen, dann überprüfen ob sie eingesetzt werden darf, sind da nur Volldeppen am Werk?!

    1. ps, die haben sie ja nur, aber noch nicht gekauft… also evtl doch nicht nur Deppen am Werk. Nur glaub ich nicht, dass die Firma denen so einfach die Software gibt

  3. Gamma und ein Code of Conduct. Da muss ich so doll lachen, dass ich überlege Gamma wegen Körperverletzung anzuzeigen.

    Als Arbeitgeber würde ich niemanden einstellen, der jemals bei einer solchen Firma gearbeitet hat, also sollte man sich vorher überlegen, ob man bei soeiner Menschenrechtsverletzerfirma anheuert.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.