Mitarbeit des US-Geheimdienstpartners CSC Solutions am German Staatstrojaner war schon letztes Jahr bekannt

Grafik aus einer Veröffentlichung zur Prüfung des DigiTask-Trojaners durch den CCC.
Grafik aus einer Veröffentlichung zur Prüfung des DigiTask-Trojaners durch den CCC.

Das Bundeskriminalamt (BKA) lässt sich bei der Entwicklung seines Staatstrojaners von der US-Firma CSC Solutions helfen. Das berichtet der „Spiegel“ in seiner neuen Print-Ausgabe. Demnach unterstützt der US-Dienstleister das BKA „beim Projektmanagement und bei der Erstellung der Softwarearchitektur für die BKA-eigene Software“. Das Magazin zitiert aus einem „Sachstand“ vom Februar. Vermutlich handelt es sich dabei um ein Papier für den Innenausschuss. Die Rede ist dort von „Quellen-TKÜ“, womit die Ausforschung bestimmter aktiver Programme gemeint ist. Für die viel weitgehendere „Online-Durchsuchung“ des gesamten Rechnersystems kann theoretisch die gleiche Software genutzt werden.

Letztes Jahr war nach journalistischen Recherchen öffentlich geworden, wie CSC eng mit US-Geheimdiensten kooperiert. Über seine deutsche Tochterfirma ist der Konzern in zahlreiche deutsche IT-Vorhaben eingebunden. Hierzu gehören die „elektronische Patientenakte“, das „Nationale Waffenregister“, IT-Anlagen der Bundespolizei und ein Backup-Konzept für das Bundesverwaltungsamt. CSC Deutschland ist auch für die Einführung des biometrischen Personalausweises verantwortlich. Für das Justizministerium betreut CSC die „Elektronische Akte in Strafsachen“ und die „Elektronische Gerichtsakte“ sowie das Projekt „BundOnline“.

Tupperparties mit DigiTask

Zunächst nutzte das BKA zum Eindringen in fremde Computersysteme eine Software der hessischen Firma DigiTask – damals der Hoflieferant des Bundesinnenministeriums. Ab 2008 hatte das BKA regelrechte Tupperparties veranstaltet, um die Trojaner von DigiTask in Nachbarländern anzupreisen. Der Hersteller war meist mit dabei und durfte sein Produkt vorführen, während das BKA über Möglichkeiten der Nutzung referierte. 2011 kam der DigiTask-Trojaner unter anderem deshalb ins Gerede, da Abhördaten über Server in den USA an deutsche Behörden geleitet wurden. Inzwischen war die Werbeabteilung im BKA von „DigiTask User Group“ in „Remote Forensic User Group“ umbenannt worden.

Das Bundesinnenministerium kündigte daraufhin die Entwicklung eines eigenen Trojaners an. Das dauert – für den Übergang beschafft das BKA deshalb die Software „FinSpy“ der britischen Firma Gamma International. Auch hier hatte CSC bereits geholfen: Letztes Jahr teilte die Bundesregierung mit, dass die US-Firma in den Qualitätssicherungsprozess eingebunden sei und den Gamma-Trojaner auf seine Funktion prüfe.

Skandale um zwielichtige oder unrechtmäßige Abhörmaßnahmen führen in der Regel zu einer Aufrüstung des Apparates. Auch im Falle der Trojaner haben die zuständigen Behörden von den eigentlich negativen Berichten profitiert: Seit 2011 errichtet das Bundesinnenministerium das „Kompetenzzentrum Informationstechnische Überwachung“ (CC ITÜ), an dem „Bedarfsträger der Länder und des Bundes“ beteiligt sind. Damals hieß es schwammig, die „Zusammenarbeit mit der Privatwirtschaft“ sei noch „Gegenstand von Prüfungen“.

BKA distanziert sich von Begriff „staatlicher Trojaner“

Wie CSC auch in die Entwicklung des BKA-Trojaners eingebunden ist, wurde spätestens im Herbst vergangenen Jahres bekannt. Das Bundesinnenministerium hatte in einer Kleinen Anfrage unter dem Titel „Neuere Formen der Überwachung der Telekommunikation durch Polizei und Geheimdienste“ im September entsprechende Angaben gemacht:

Im Zusammenhang mit der Eigenentwicklung einer Software zur Durchführung von Maßnahmen der Quellen-TKÜ nehmen die Firmen CSC Deutschland Solutions GmbH und 4Soft eine unterstützende und beratende Funktion wahr, ohne in das CC ITÜ organisatorisch eingebunden zu sein.

4Soft aus München ist bei mehreren anderen Projekten von CSC dabei. Mit welcher „Unterstützung“ sich die beiden Firmen am Staatstrojaner beteiligen, wurde nicht beantwortet. Vielleicht geht es auch um die vorbereitenden Maßnahmen für das Eindringen in fremde Computer: Vor dem Einsatz staatlicher Schadsoftware wird eine „Analyse des Zielsystems“ vorgenommen. Dabei werden „insbesondere Betriebssystem, Art und Version der auf dem Zielsystem verwendeten Kommunikationssoftware sowie dort vorhandene Sicherheitssoftware erhoben“. Weil dabei angeblich alles nach Recht und Gesetz zugeht, meckert das BKA:

Das BKA distanziert sich daher von einer Verwendung der Begriffe Computerspionageprogramme bzw. staatliche Trojaner.

„Übergangslösung“ auch nicht einsatzbereit?

Außer Polizeibehörden verfügt auch das Zollkriminalamt (ZKA) über Trojaner. Vermutlich ist die Schäuble-Behörde deshalb am Aufbau des neuen Überwachungszentrums unmittelbar beteiligt. Weitere Partner sind die Landeskriminalämter Bayern und Hessen sowie Baden-Württemberg. Formal ist das „Kompetenzzentrum Informationstechnische Überwachung“ als neue Gruppe im BKA angesiedelt worden. Es setzt sich aus drei Fachbereichen zusammen:

Im Fachbereich „Softwareentwicklung und -pflege ITÜ“ werden die BKA-eigene Software zur Durchführung von Maßnahmen der Quellen-TKÜ entwickelt sowie die im BKA eigen-entwickelte Software zur Durchführung von Maßnahmen der Online-Durchsuchung fortentwickelt und für den jeweiligen Einsatzfall bereitgestellt. Die Durchführung von Maßnahmen der TKÜ/ITÜ einschließlich der erforderlichen netzwerkforensischen Untersuchungen der dabei gewonnen Daten erfolgt im Fachbereich „Einsatz und Service TKÜ/ITÜ“. Der Fachbereich „Monitoring, Test und Protokollierung ITÜ“ ist für die Gewährleistung der rechtskonformen Entwicklung und des rechtskonformen Einsatzes einschließlich der Protokollierung des Einsatzes von Software zur Durchführung von Maßnahmen informationstechnischer Überwachung zuständig (Qualitätssicherung).

Das CC ITÜ startete 2012 mit 30 Planstellen und 2,2 Millionen Euro für Sachmittel. Davon wurden unter anderem die Gamma-Trojaner über den deutschen Partner Elaman gekauft. Welche weiteren „technischen Mittel“ beschafft wurden, wollte das Bundesinnenministerium gegenüber Abgeordneten nicht aufschlüsseln.

Erst nach Abschluss eines Kaufvertrages erlaubte Gamma den Einblick in den Quellcode. In der damals vorliegenden Version entsprach die Software laut dem Bundesinnenministerium „noch nicht vollständig den Vorgaben und Anforderungen der Standardisierenden Leistungsbeschreibung“. Gamma müsse daher „Anpassungen“ vornehmen. Dieser Prozess dauert offenbar an.

Bald weniger Verträge mit CSC?

Nach den Medienberichten über Aufträge an den Geheimdienstpartner CSC hatte das Bundesinnenministerium im Januar eine Stellungnahme abgegeben:

Die Bundesregierung hat keinerlei Erkenntnisse, dass durch die CSC Deutschland Solutions GmbH versucht wurde, vertragswidrige Soft- oder Hardware einzubringen, um Informationen zum Nachteil der Bundesrepublik Deutschland abzuschöpfen.

Mittlerweile will die Bundesregierung sensible öffentliche Aufträge aber nicht mehr an Firmen vergeben, die zur Weitergabe von Informationen an Dritte verpflichtet sind. Allerdings sind von der neuen Regelung nur Neuverträge betroffen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

7 Ergänzungen

  1. Ich bin ein großer Freund größtmöglicher Aufklärung in diesem halbseidenen Bereich. Aber sie sollte sachlich sein und wenigsten ein bisschen gut durch recherchiert sein.

    Schon die Überschrift fängt unsachlich an:
    „Mitarbeit des US-Geheimdienstpartners CSC Solutions am German Staatstrojaner war schon letztes Jahr bekannt“
    Beauftragt wurde die „CSC Deutschland Solutions GmbH“ wie ja richtig zitiert wurde. Die ist eine deutsche Firma mit einer deutschen Mutter (der ehemaligen Ploenzke AG). Die hat deutsche Mitarbeiter mit deutscher Sicherheitsüberprüfung. Die Großmutter der Solution ist eine US-Firma, die in den USA mit den dortigen Geheimdiensten zusammenarbeitet. Der naive Glaueb, dass deutsche Mitarbeiter mit US-Geheimdiensten zusammenarbeiten dürften zeugt davon, dass keine Sachkunde vorhanden ist und nur auf dem Niveau von Dan Brown schlimm spekuliert wird. Man könnte diese wilden Spekulationen auch üble Nachrede nennen, die in Deutschland eine Straftat sein kann. Die deutschen CSC-Töchter veröffentlichen ihre Geschäftsberichte auch im deutschen Bundesanzeiger: http://www.bundesanzeiger.de
    Das verantwortlich machen deutscher Mitarbeiter für Taten von Mitarbeitern der US-Konzern-Mutter und Großmutter sowie deren US-Töchter (wie die Menschenräuberunterstützer, die Wolfgang Schäuble so großzügig hat laufen lassen, während Italien die Menschenräuber vor Gericht verurteilt hat und einer in Panama aufgrund eines internationalen Haftbefehls festgesetzt wurde.) ist unseriös.

    Nun ist ja bekannt, dass netzpolitik.org den Grünen nahe steht. In diese Richtung hört man gar nichts bis überhaupt nichts Aber es war der grüne Politiker Schaar, der als Bundesdatenschutzbeauftragter vorgab kein Geld zu haben für eine Sourcecodeinspektion, um die vom CCC ermittelten Tatsachen zu belegen, dass die Digitask-Software rechtswidrig personenbezogene Daten in die USA zur Verschleierung exportierte. Der grüne Schaar kam seinen Aufgaben als Bundesdatenschutzbeauftragter nicht nach und legte sogar noch eins drauf: wie wir auch noch gerade hier lesen durften, verschleierte er seinen mageren Erkenntnisse auch noch mit Geheimschutz (VS-NfD).

    Sein grüner Amtskollege in Kiel, der eigentlich nur dadurch auffällt, dass er penetranter Amerika- und Facebook-Hasser ist, aber vor Gericht meist mit seinen absurden Auffassungen über deutschen Datenschutz scheitert, stieg auch ein in die grüne Vernebelungskampagne: im schleswig-holsteinischen Landtag vergackeierte er uns, indem er behauptete, dass die von Digitask an das LKA Kiel gelieferte nichts mit der von Schaar im BKA nicht untersuchten Software zu tun hätte. Er behauptete fröhlich, Digitask hätte für 20 Tausend € eine völlig andere Software entwickelt, die Ablaufhardware geliefert und den Betrieb sichergestellt (Customizing usw.). Wer so weltfremd ist und das für bare Münze nimmt, ist ein Sicherheitsrisiko für den Datenschutz (unabhängig von der Frage, dass die Grünen ihren Markenkern verraten und für Thilo Weichert keine Rotation mehr wollen, wie es das Gesetz vorsah, sondern das Gesetz änderten, um den Weltfremden weiter im Amt zu halten zum Schaden des Datenschutzes.

    Natürlich ist es spannender, wenn man über die Mitarbeiter der ehemaligen Ploenzke AG Geschichten über die Weltverschwörung von US-Konzernen erzählt im Stile von Dan Brown, aber für die Aufklärung des BKA-Trojaners und seiner Abkömmlinge ist das brutale Ablenkung. Um andere Inländer zu schützen? Oder nur um die Auflage bzw. Klickzahlen zu steigern?

    Wir haben ein massives Problem mit unserem nicht stattfindenden Datenschutz, weil unsere grünen Datenschützer lieber die Welt retten, als Datenschutz zu betreiben und nicht mal deutsche Gesetze umsetzen.

    „Letztes Jahr teilte die Bundesregierung mit, dass die US-Firma in den Qualitätssicherungsprozess eingebunden sei“ Das hat die Bundesregierung mit Sicherheit nicht mitgeteilt. Sondern höchstens dass sie eine deutsche Firma beauftragt hat, die Tochter oder Enkelin eines US-Konzerns ist. Diese Übertreibungen an der Realität sind perfide Wiedergänger der ehemals in Deutschland berühmte Sippenhaft sind, wo nicht persönliche Schuld wichtig ist, sondern irrationales Stigma. So hilft man der Schlamperei in deutschen Behörden sowohl in den Sicherheitsbehörden als auch in den Datenschutzbehörden.

  2. Die hat deutsche Mitarbeiter mit deutscher Sicherheitsüberprüfung.

    Das hatten die deutschen Mitarbeiter beim BND und im Kriegsministerium übrigens auch – die Mitarbeiter mit den doppelten Gehaltsbezügen!

    1. Eben. Der Tatbestand der Spionage ist davon unabhängig davon, ob man in einer Firma arbeitet, die Tochter eines US-Konzerns ist. Schuld ist immer individuell. Da muss man Fakten bringen wie bei dem BND-MA und dem BMVg-Mitarbeiter. Verschwörunsgtheorien und die Wiedereinführung der Sippenhaft auf Basis der Konzernzugehörigkeit helfen der Gegenseite, weil sie die Taten lächerlich und unglaubwürdig machen. Nach dem Motto: wenn Du verbrechen begehst, lass Hollywood einen Film drüber drehen. Dann sagen alle, falls was raus kommt: den Film kenn ich.

  3. Wir werden doch sowieso alle bis auf die Knochen ausgespäht, über Google und Microsoft werden alle unsere Daten direkt an die US Geheimdienste weiter gegegben. Ob wir das wollen oder nicht….
    Und schlimmer ist, das wir noch mit denen eigentlich befreundet sind !
    Da kann man nur den Kopf schütteln, und wie lange die deutschen Geheimdienste das schon wussten
    ist ja auch fraglich….Das mit CSC (vorher Ploenzke) wussten die ja auch schon Jahre….

  4. Naja, Bundestrojaner ist vor allem die Fernsehkiste, die bei vielen in der Wohnung rumsteht. Jetzt nicht im Sinne von einem SmartTV, sondern jetzt auch ein älteres Modell, solange es Bild und Ton wiedergeben kann, verbreitet es Bullshit und manipuliert den Zuschauer. Das ist der größte Psycho-Trojaner, den schon Hitler erfunden hat. Also … das die jetzt auch einen Weg haben wollen, wie man in die Computer eindringt, das ist wohl klar. Facebook zB. Und davor war es Windows. Das Zeug tut auch ständig nach hause telefonieren. Und bei diesem Portfolio halte ich den Bundestrojaner für ein wenig über das Ziel hinausgeschossen, aber klar, wenn die auch Zeug abfangen wollen, wenn Leute auf Skype quatschen, das ist zu viel Zeug zum nach-hause-telefonieren, also klar, wenn man es ohne sich darauf verlassen zu können, dass die VoIP App einen Backdoor hat, weil es zB eine OpenSource Alternative ist, dann geht man eben mit einem Trojaner da ran.
    Die Frage, die man sich stellen sollte ist also vielmehr, ob die keine andere Beschäftigung gefunden haben um solche Masturbationstrojaner sich auszudenken. Die müssen ganz schön unten sein, diese Neoliberalen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.