Staatstrojaner FinFisher: Bundeskriminalamt bezahlt möglicherweise illegale Software, um den Quellcode zu bekommen

Das Bundeskriminalamt hat einen Vertrag über den Staatstrojaner abgeschlossen und Geld gezahlt, weil der Hersteller Gamma sonst den Quellcode nicht herausgegeben hätte. Das antwortete das Innenministerium auf eine Frage der Linkspartei. Ob die Schnüffelsoftware überhaupt legal eingesetzt werden darf, wird noch immer überprüft.

Nach unserem ersten Bericht im Januar würde kürzlich auch offiziell bestätigt, dass das Bundeskriminalamt den international bekannten Staatstrojaner FinFisher/FinSpy für 150.000 Euro gekauft hat.

Der Bundestags-Abgeordnete Andrej Hunko (Linkspartei) hat mal nachgefragt, wann die Zahlungen fällig werden und warum das schon vor Abschluss der Quellcode-Prüfung passiert:

Wann werden hinsichtlich des Vertrages zwischen dem Beschaffungsamt des Bundesministeriums des Innern und der Firma Elaman GmbH vom März 2013 bezüglich des Kaufs von staatlich genutzter Hackersoftware jeweils Zahlungen fällig – bitte auch die Höhe im Einzelnen angeben, aufgeschlüsselt nach einmaliger Kaufsumme sowie Lizenzgebühren –, und aus welchem Grund ist der Vertrag bereits geschlossen bzw. fließen bereits Gelder, obschon die Überprüfung des Quellcodes der Software durch die Firma noch nicht abgeschlossen ist, nach Ansicht des Fragestellers die Funktionsweise der Spionagesoftware also unbekannt ist und die rechtliche Vereinbarkeit ihrer Nutzung deshalb nicht zugesichert werden kann?

Gestern antwortete Dr. Christoph Bergner, Parlamentarischer Staatssekretär beim Bundesminister des Innern:

Das Bundeskriminalamt, BKA, setzt zur Überwachung verschlüsselter elektronischer Kommunikation eine Überwachungssoftware nach Maßgabe gesetzlicher Befugnisse ein.

Die Verwendung der Begriffe Hacker- bzw. Spionagesoftware legen den unrechtmäßigen Gebrauch nahe. Die Bundesregierung distanziert sich erneut von solchen Vorwürfen.

Das BKA hat im Herbst 2012 eine kommerzielle Software am Markt erworben, um verschlüsselte Kommunikation überwachen zu können, bis die vom BKA entwickelte Überwachungssoftware – sogenannte Eigenentwicklung – einsatzbereit ist.

Die Funktionen der erworbenen Überwachungssoftware waren dem BKA bereits vor Erwerb der Softwarelösung bekannt.

Die Prüfung des Quellcodes ist jedoch – wie ich bereits mehrfach vorgetragen habe – bei dem Erwerb einer Software nicht üblich und konnte nur Aufgrund der Bereitschaft dieses Herstellers erfolgen.

Er hat jedoch den Abschluss eines Kaufvertrags zur Bedingung gemacht.

Die mit dem Vertragspartner vereinbarten Zahlungsbedingungen sehen vor, dass lediglich eine Teilzahlung des vereinbarten Entgelts unmittelbar fällig wird, eine weitere Rate im Juni 2013 und die Schlusszahlung bei Auslieferung einer Softwareversion, die den Vorgaben der Standardisierenden Leistungsbeschreibung vollständig entspricht.

Der Erwerb im „Herbst 2012“ ist interessant, sagte uns das das BKA vor zwei Wochen noch:

Der Vertrag wurde durch das Beschaffungsamt des Bundesministerium des Innern und der Firma Elaman im März 2013 geschlossen.

Ob der Staatstrojaner überhaupt legal eingesetzt werden darf, ist weiterhin ungewiss. Noch immer überprüft die Firma CSC Deutschland Solutions GmbH , ob die gelieferte Version der FinFisher/FinSpy-Suite den Anforderungen der standardisierenden Leistungsbeschreibung entspricht. Erst, wenn das der Fall ist, dürfte die Software offiziell zum Einsatz kommen.

Frank Rieger, Sprecher des Chaos Computer Club, kommentierte den Kauf gegenüber netzpolitik.org:

Dieses Vorgehen des BKA ist de facto Wirtschaftsförderung für ein Unternehmen, das im Ruf steht Spitzelsoftware zu liefern, mit denen demokratische Oppositionelle in aller Welt ausgeforscht werden. Sich in derartige moralische Abgründe zu begeben, obwohl es keine Rechtsgrundlage für das Abhören per Trojaner in Deutschland gibt, zeugt einmal mehr vom kompletten Verlust des Realitätssinnes bei BKA und Innenministerium.

Andrej Hunko kommentierte gegenüber netzpolitik.org:

Deutlich wird, wie derartige Beschaffungsvorgänge vernebelt werden. Dass die nun mitgeteilten Details nicht im Auskunftsbegehren von netzpolitik herausgegeben wurden, illustriert die arrogante Haltung des BKA zur Informationsfreiheit.

Wieder werden immense Summen für digitale Spähwerkzeuge versenkt. Der Vertrag mit Elaman kam zustande, obwohl rechtliche Rahmenbedingungen zum Einsatz staatlich genutzter Trojaner längst nicht geklärt sind. Dies ist aus Sicht der Bürgerrechte ein fatales Signal an die Hersteller von Überwachungstechnologie.

Ich kritisiere die Meinung des Bundesinnenministeriums, wonach der Quellcode der polizeilich genutzten Software dem Betriebsgeheimnis der Hersteller unterliegen soll. Hier gehen Kapitalinteressen vor Datenschutz. Das gilt natürlich nicht nur für Trojaner (die ich übrigens sehr wohl als staatlich genutzte Hackersoftware bezeichnen würde). Denn die Entwicklung digitaler Analysewerkzeuge für den Bereich „Innere Sicherheit“ schreitet weiter fort. Dies beinhaltet die Nutzung von Suchmaschinen in polizeilichen Datenbanken ebenso wie Anwendungen zur automatisierten Auswertung der Videoüberwachung.

12 Ergänzungen

  1. Die Verwendung der Begriffe Hacker- bzw. Spionagesoftware legen den unrechtmäßigen Gebrauch nahe. Die Bundesregierung distanziert sich erneut von solchen Vorwürfen.
    Was ist es denn anderes als genau das?
    Sie sprechen ja selbst von „Überwachungssoftware“ – und um die gewünschten Vorgänge überwachen zu können, muss man in diesem Fall nun einmal „hacken“, also unbefugt in das Computersystem eindringen.
    Spionage ist es durchaus auch im Sinne der „Auskundschaftung militärischer, politischer oder wirtschaftlicher Geheimnisse“.
    Der arrogante Zurechtweisungsversuch zeigt zum einen, wie man sich peinlich bemüht, der ganzen Angelegenheit einen sauberen Anstrich zu verpassen, indem man zwischen gutem und bösem Überwachen zu unterscheiden sucht. Zum anderen ist genau dieses Herumlavieren ein Anzeichen, daß man sich der Untiefen („mit den Bösen auf Augenhöhe sein“ und so), in die man sich begibt, durchaus bewusst ist.

    Die Funktionen der erworbenen Überwachungssoftware waren dem BKA bereits vor Erwerb der Softwarelösung bekannt.
    Höchsten die beworbenen und behaupteten Funktionen. Hat das BKA mal wieder NSU-mäßig Hellseher beauftragt oder woher kennen sie die Fähigkeiten eines noch nicht erworbenen Produktes? Beim Ausprobieren sieht man auch nur, was offensichtlich ist, nicht was drin steckt. Das war ja genau der Witz an 0zapftis.

    Die Prüfung des Quellcodes ist jedoch – wie ich bereits mehrfach vorgetragen habe – bei dem Erwerb einer Software nicht üblich und konnte nur Aufgrund der Bereitschaft dieses Herstellers erfolgen.
    Total unüblich sich in sicherheitskritischen Umgebungen den Quelltext anzuschauen. Und natürlich hat Andrej Hunko Recht, wenn er auf das vermeintliche Betriebsgeheimnis hinweist.
    Nicht zuletzt muss nach Vorgaben des BVerfG exakt klar sein, was der Staatstrojaner kann und das geht nur mit Kenntnis des Quellcodes – was natürlich vor Erwerb stattfinden muss.

    Insgesamt ein nicht überraschendes, die Vorurteile über Sicherheitsbehörden – „Wir sind die Guten, die nur euer Bestes wollen, daher ist alles, was wir tun, per se gut“ – bestätigen.

    1. „Die Prüfung des Quellcodes ist jedoch – wie ich bereits mehrfach vorgetragen habe – bei dem Erwerb einer Software nicht üblich und konnte nur Aufgrund der Bereitschaft dieses Herstellers erfolgen.“

      Richtig. Üblich ist, dass man dem Lieferant klare gesetzlich/normative Vorgaben macht und für den Fall des Nichteinhaltens Vertragsstrafen vorsieht.

  2. wenn das bka einen quellcode einkauft und dieser aus öffentlichen geldern bezahlt ist, ist dieser quellcode de facto öffentlich und sichtbar für „ich bin deutschland“.

  3. Gibt es die Möglichkeit, die „Stasisoftware“ wieder zu löschen? Ich denke mal, jeder wird erkennen, wenn die Maus nicht mehr flüssig läuft und/oder das Bild des Monitor abgegriffen wird. Aber man muss es doch löschen können, oder ? Vielleicht sollte Adobe (was ich als Einschleusungsprogramm vermute) einfach nicht mehr verwendet werden? Wo finde ich Antworten zum Schutz gegen Spionage auf meinem privaten PC?

    1. Das ist Profi-Software, die zudem für jeden einzelnen Fall angepasst wird. Die wird nicht von Viren-Scannern entdeckt. Und da ruckelt auch die Maus nicht. Ein Erkennen erfordert immense technische Expertise und Aufwand. Deswegen ist es so wichtig, das politisch zu verhindern, weil es technisch schlicht nicht geht.

  4. Die scheinen ja wirklich sehr großes Vertrauen in den Staat zu haben, wenn sie Angst haben, dass ihnen der Staat ihren Quelltext stiehlt. Herbst 2012 bis Frühjar 2013? So lang dauerts halt, bis der Quelltext so umgeschrieben ist, dass wirklich keiner mehr schlau daraus wird. Diese beiden Firmen lachen sich einen ins Fäustchen ;-D

  5. alle die entsprechende Aufklärungsarbeit in dieser Sache leisten wollen, sollten die Behörden mal fragen, ob das Ding über Internetprovider auf den Rechner kommen soll. Meines Wissens ist das bei Gamma-Software oft der Fall: per Man in the Middle (Proxy/Port Forwarding) werden Sicherheitsupdates bestimmter Software dazu verwendet, den entsprechenden Trojaner auf dem System zu installieren. Hierzu ist aber die Mitarbeit der ISP notwendig und auch entsprechende Hardware, die normalen INSA-Boxen dürften hier nicht ausreichen. Und genau gegen diese Methode gibt es fast keinen Schutz, denn selbst wenn Behavior Blocker anschlagen, schiebt man die Meldung auf das reguläre Sicherheitsupdate und schöpft keinen Verdacht.

  6. er tut schon gut daran, das ganze von hacksoftware abzugrenzen. sonst würde er ja suggerieren, dass diese software und deren benutzung gewissen ethischen grundsätzen folgen würde.

  7. ist wirtschaftlich und finanziell betrachtet,das BKA ein Zuschuß Verein? Oder wird diese Profi Software,vom Steuerzahler wieder mal beglichen? Vergessen wir nicht,daß das BKA eine braune Vergangenheit hat.

  8. Ich war mal so nett und hab ein Backup gemacht von dem Twitter Account wo die FinFisher Dokumente geleakt wurden

    http://freze.it/i5Y
    https://archive.today/79oPh
    http://www.peeep.us/3d71e4b5
    http://w01.freezepage.com/a/14073/53191TYVRZPTOJM/0

    Ich rate euch übrigens ALLE Dokumente dazu zu speichern – in nem extra Ordner oder so.

    WIKILEAKS hat übrigens auch ne Menge FinFisher und Gamma Folien und auch noch von vielen anderen solchen Unternehmen und ZeroDay sowie Exploit Dealern. Stichwort „SPY FILES“

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.