Geheime KommunikationBSI programmierte und arbeitete aktiv am Staatstrojaner, streitet aber Zusammenarbeit ab

Das BSI hat das BKA bei der Programmierung des Staatstrojaners unterstützt und Quellcode beigesteuert. Das geht aus geheimer interner Kommunikation hervor, die wir veröffentlichen. Gleichzeitig hat die „Sicherheits“-Behörde öffentlich jede Zusammenarbeit abgestritten. Abgeordnete fordern Konsequenzen, vor allem eine Unabhängigkeit des BSI von Regierung und Innenministerium.

Teil des BKA-Gesetzes: Der Staatstrojaner. CC-BY-SA 2.0 mellowbox

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist in Deutschland für IT-Sicherheit zuständig und richtet sich dabei an Verwaltung, Unternehmen und Bürger. Im Gegensatz zur amerikanischen NSA ist das BSI dabei nur für defensive Sicherheit zuständig – zumindest ist man sehr bemüht, dieses Image in der Öffentlichkeit zu pflegen.

Eine weiße Weste hat das BSI jedoch nicht: Einerseits war ihre Vorgängerbehörde „Zentralstelle für das Chiffrierwesen“ eine geheime Dienststelle des BND, andererseits ist das BSI bis heute dem Innenministerium unterstellt. Das Ministerium, das für die „innere Sicherheit“ und damit für Bundeskriminalamt und Bundesverfassungsschutz zuständig ist, erteilt gleichzeitig Weisungen an die Behörde für IT-Sicherheit. Das führt zwangsläufig zu Interessenskonflikten, die wir bereits öfters thematisiert haben.

„Trojaner? Ausschließlich Abwehr.“

Deutlich wird diese doppelte Rolle unter anderem beim Staatstrojaner (auch Online-Durchsuchung oder „Remote Forensic Software“ RFS). Einerseits soll das BSI Bürger und Staat vor Schadsoftware schützen, andererseits will der Staat Schadsoftware gegen Bürger einsetzen – und das BSI hat Kompetenzen in diesem Bereich. Bisher war das BSI peinlich darauf bedacht, damit nicht in Verbindung gebracht zu werden. Auf einen Telepolis-Artikel, in dem das BSI noch nicht einmal namentlich erwähnt wird, reagierte die Behörde mit ihrer einzigen Pressemitteilung zum Thema:

Weder das BSI noch seine Empfehlungen und Produkte, wie zum Beispiel SINA, stehen in Verbindung mit Online-Durchsuchungen. […]

Das BSI beschäftigt sich mit Trojanern bzw. Trojanischen Pferden und deren Vorgehensweise ausschließlich mit dem Ziel, solche Angriffe abzuwehren.

Interne Kommunikation beweist das Gegenteil

Sitz des BSI in Bonn. Bild: Qualle. Lizenz: Creative Commons BY-SA 3.0.
Sitz des BSI in Bonn. Bild: Qualle. Lizenz: Creative Commons BY-SA 3.0.

Wir haben jetzt interne Kommunikation zwischen BSI und Innenministerium erhalten, die das Gegenteil beweist. Die „Nur für den Dienstgebrauch“ eingestuften Schreiben aus den Jahren 2007 bis 2009 enthalten die Diskussionen zwischen Innenpolitik und IT-Sicherheitsbehörde über das damals neue und kontrovers diskutierte Instrument.

Im Februar 2008 fällte das Bundesverfassungsgericht sein Grundsatzurteil zum Thema, in dem es erstmalig das neue Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme etablierte.

Vorher wurde dem BSI per ministeriellem Erlass ein „Zusammenarbeitsverbot“ zum Staatstrojaner verordnet. Nach dem Urteil wurde das Verbot aufgehoben beziehungsweise ins Gegenteil verkehrt: Das BSI sollte das BKA bei der Software-Entwicklung „in vollem Umfang unterstützen“. Das BSI tat wie geheißen, lieferte Quellcode und analysierte Software und Server.

„Vertrauen in Mitleidenschaft gezogen“

Gleichzeitig war man sich des Risikos der Kooperation durchaus bewusst. Um das „Vertrauen der Öffentlichkeit in die Leistungen des BSI nicht zu beeinträchtigen“, wollte man „ein negatives Bild in Öffentlichkeit und Fachkreisen verhindern“. Schon damals sah man „das Vertrauen in BSI-Produkte (z. B. Sicherheits-CDs), aber auch in die Integrität von BSI-Mitarbeitern […] bereits in Mitleidenschaft gezogen“.

Um weitere schlechte Publicity zu verhindern, sollte „in der Öffentlichkeit weiterhin dargestellt werden […], dass [das] BSI das BKA nicht bei der Durchführung von Online-Durchsuchungen unterstützt“. Dazu sollte „eine reaktive Sprachregelung für Art und Umfang der Mitwirkung des BSI“ entwickelt werden.

Schon damals hatte „die Diskussion um die Online-Durchsuchungin einem Fall zum Zurückhalten von Informationen geführt: Das BSI hat bis heute den sogenannten Trojaner-Leitfaden […] nicht der Allgemeinheit zugänglich gemacht.“

CCC: „Längst verlorene Glaubwürdigkeit wieder herstellen“

Linus Neumann, Mitblogger und Sprecher des Chaos Computer Clubs, kommentiert gegenüber netzpolitik.org:

Das BSI arbeitet hier – wieder einmal – gegen die Sicherheit der Bürger und Bürgerinnen. Doch damit nicht genug: Es beteiligt sich an potenziell grundgesetzwidrigen Aktivitäten, denn alle bisher bekannten Staatstrojaner sind mit dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme nicht vereinbar.

Das BSI untersteht dem Innenministerium und ist daher einem konstanten Interessenkonflikt ausgesetzt: Effektiver Schutz der informationsverarbeitenden Systeme wird immer wieder den Überwachungszielen der Geheimdienste und Strafverfolgungsbehörden untergeordnet. Nur eine Aufstellung des BSI als unabhängige Behörde könnte die längst verlorene Glaubwürdigkeit wieder herstellen.

Linke: „Sehr ernster Vorgang, der Konsequenzen haben muss“

Jan Korte, stellvertretender Fraktionsvorsitzender der Linken im Bundestag, kommentiert gegenüber netzpolitik.org:

Die Bundesregierung muss schnellstmöglich für Aufklärung sorgen. Sollte sich bestätigen, dass gerade das BSI, welches sich ja stets nach außen als treuer Helfer der Bürger bei IT-Sicherheitsproblemen aller Art ausgibt, auch bei der Entwicklung des Staatstrojaners mitgemischt hat, dann wäre das ein sehr ernster Vorgang, der Konsequenzen haben müsste. Wir wissen zwar seit Snowden, dass das BSI ein „Schlüsselpartner“ der NSA ist, aber über die Zusammenarbeit mit den hiesigen Sicherheitsbehörden hüllt sich das Amt weitestgehend in Schweigen. Wir wissen z.B. viel zu wenig, was das BSI zusammen mit dem BKA und den Geheimdiensten im „Kompetenzzentrum Informationstechnische Überwachung“ treibt.

Wenn das Vertrauen der Bürger nicht vollends zerstört werden soll, muss jetzt endlich reiner Tisch gemacht werden. Als das BSI vor zwei Jahren vor dem Trojaner „DNS-Changer“ warnte, glaubten Bürgerinnen und Bürger, dass man beim Besuch der eigens von BSI, Telekom und BKA eingerichteten Test-Webseite registriert und mit einem Staatstrojaner infiziert würde. Das ist kein Zustand für eine Behörde, die sich selbst als „nationale Informationssicherheitsbehörde“ bezeichnet.

Wir brauchen eine transparente Diskussion über die künftige Rolle des BSI und seine Aufgaben. Aus meiner Sicht muss die Behörde aus dem Bundesinnenministerium herausgelöst und tatsächlich zu einem Dienstleister zum Schutz der Privatsphäre umgewandelt werden.

Grüne: „Verspielt die Glaubwürdigkeit des Amtes endgültig“

Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen im Bundestag, kommentiert gegenüber netzpolitik.org:

Der Vorgang belegt einmal mehr: Das dem Innenministerium unterstellte BSI ist zerrissen zwischen der Aufgabe, den Schutz unserer digitaler Infrastrukturen zu sichern, und Wünschen von Seiten des Ministeriums, die das Ziel verfolgen, genau diesen zu untergraben. Als Diener der Sicherheitsinteressen des Innenministeriums kann das BSI jedoch nur sehr bedingt seiner Aufgabe nachkommen, den Schutz digitaler Infrastrukturen und privater Kommunikation zu gewährleisten.

Dass die Große Koalition, um die eigenen Überwachungspläne umzusetzen, mehr und mehr auch das Bundesamt in Mithaftung nimmt, ist eine gefährliche Entwicklung. Die heikle Situation für das Bundesamt ist offenkundig. Dass man dennoch versucht, die eigene schwierige Lage gegenüber der Öffentlichkeit zu verstecken, ist befremdlich und peinlich. Das BSI muss zumindest in Teilen seines breiten Aufgabenkranzes die vollständige Unabhängigkeit von Bundesregierung und Bundesinnenministerium erhalten, sonst verspielt die Große Koalition die Glaubwürdigkeit des Amtes endgültig.

SPD: „Unabhängigkeit ist zentrale Grundlage und Voraussetzung“

Lars Klingbeil, netzpolitischer Sprecher der SPD-Bundestagsfraktion, kommentiert gegenüber netzpolitik.org:

Das Beispiel zeigt, in welchem Interessenkonflikt sich das BSI befindet. Zwar ist es nach geltendem Recht die Aufgabe des BSI, Behörden bei der Erfüllung ihrer Aufgaben zu unterstützen. Auf der anderen Seite soll das BSI ein unabhängiger und Ansprechpartner sein für Bürgerinnen und Bürger und für die Wirtschaft und es soll mit dem IT-Sicherheitsgesetz zahlreiche neue Aufgaben zum Schutz der IT-Sicherheit zugewiesen bekommen.

Aus meiner Sicht kann das nur gehen, wenn man das BSI hierfür als unabhängige Bundesbehörde aus dem Geschäftsbereich des Innenministeriums herauslöst, vergleichbar etwa der neuen Rechtsstellung der Bundesbeauftragten für Datenschutz und Informationsfreiheit als unabhängige oberste Bundesbehörde. Einzig die für öffentliche Stellen und Behörden zuständigen Bereiche des BSI sollten dann beim BMI verbleiben.

Die Unabhängigkeit des BSI ist aus meiner Sicht eine zentrale Grundlage und Voraussetzung, wenn das BSI diese neuen Aufgaben erfüllen und das Vertrauen von Bürgerinnen und Bürgern und von Unternehmen behalten will.

Burkhard Lischka, Sprecher der SPD im Innenausschuss, kommentiert gegenüber netzpolitik.org:

Herrn Lischka ist das Dokument nicht bekannt, daher kann er sich hierzu leider nicht äußern.

Stephan Mayer, Sprecher der CDU/CSU im Innenausschuss, hat auf unsere wiederholte Anfrage leider nicht reagiert.

BSI: „IT-sicherheitliche Korrektheit der Software gewährleisten“

Die Pressestelle des BSI kommentierte am Freitag gegenüber netzpolitik.org:

Das Bundesinnenministerium hatte [nach dem BVerfG-Urteil] das BSI beauftragt, im Rahmen seiner gesetzlichen Aufgaben das BKA bei den für die Erstellung der RFS erforderlichen IT-Sicherheitsüberlegungen, wie die Eignung grundsätzlicher Sicherheitsmechanismen, Kryptoalgorithmen und Protokolle, zu unterstützen, um so die notwendige IT-sicherheitliche Korrektheit der Software gewährleisten zu können.

Entsprechend seiner Ausrichtung als präventive IT-Sicherheitsbehörde wirkt das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu keiner Zeit am operativen Einsatz so genannter Staatstrojaner-Software, bzw. Remote Forensic Software mit.

Das dürfte die besagte Sprachregelung sein.

Auf unsere explizite Nachfrage, wie diese Unterstützung konkret aussah und ob das BSI auch Quellcode geliefert hat, haben wir ebenfalls noch keine Antwort erhalten.

Wir haben alle Dokumente auch per Informationsfreiheitsgesetz auf FragDenStaat.de angefragt. Hier Auszüge der Dokumente im Einzelnen, in chronologischer Reihenfolge:


2007: Keine Ermächtigungsgrundlage

Am 31. Januar 2007 urteilte der Bundesgerichtshof:

Die „verdeckte Online-Durchsuchung“ ist mangels einer Ermächtigungsgrundlage unzulässig. Sie kann insbesondere nicht auf § 102 StPO gestützt werden. Diese Vorschrift gestattet nicht eine auf heimliche Ausführung angelegte Durchsuchung.

Ministerial-Erlass zum Zusammenarbeitsverbot

Wenige Tage später notierte der damalige Staatssekretär im BMI:

Wir müssen in geeigneter Weise sicherstellen, dass das BSI nicht mit diesem neuen ermittlungstaktischen Vorgehen der „Online-Durchsuchung“ in Verbindung gebracht wird.

Am 6. Februar schrieb das Innenministerium an das BSI:

Gleichzeitig hat mich [Innenminister Wolfgang Schäuble] gestern durch Herrn Staatssekretär Hahlen ausdrücklich darum gebeten, das BSI aufzufordern, sich nicht an der Entwicklung von trojanischen Pferden für Online-Durchsuchungen zu beteiligen, um das Vertrauen der Öffentlichkeit in die Leistungen des BSI nicht zu beeinträchtigen.

2008: Bundesverfassungsgericht und Bitte des BKA

Nichtmal ein Jahr später sah das schon anders aus:

Das BKA hat das BSI um Unterstützung bei der Erstellung der „Remote Forensic Software“ (RFS) im Bereich der kryptographischen Absicherung nachgesucht.

Hierzu gab es am 18.2.2008 ein erstes Treffen, in dem das BKA einen Überblick gegeben hat, für welche Zwecke in der RFS Kryptographie eingesetzt werden soll. Seitens des BSI konnte ad-hoc keine Bewertung vorgenommen werden, jedoch wurde schnell offensichtlich, dass die Erfahrung des BSI in diesem Bereich sehr hilfreich für das BKA wäre.

Kurz nach diesem Treffen, am 27. Februar 2008, fällte das Bundesverfassungsgericht sein Grundsatzurteil zur Online-Durchsuchung:

Der Erste Senat des Bundesverfassungsgerichts hat mit Urteil vom 27. Februar 2008 die Vorschriften zur Online-Durchsuchung sowie zur Aufklärung des Internet für verfassungswidrig und nichtig erklärt.

„BSI befürwortet Zusammenarbeit“

Am 27. Mai knickte dann das BSI ein. Andreas Könen schrieb ans BMI:

Eine Gefährdung der Akzeptanz des BSI als präventiver IT-Sicherheitsdienstleister durch eine Unterstützungsleistung für das BKA erscheint aus Sicht des BSI wenig wahrscheinlich, da diese Leistung auf der Grundlage der Entscheidung des BVerfG erbracht wird.

Im Gegenteil könnte das BSI sogar darauf hinweisen, dass gerade durch seine Kompetenz und Mitarbeit entscheidende Beiträge zur IT-Verlässlichkeit und IT-Sicherheit der RFS geleistet werden. Die Gesamtverantwortung im Projekt RFS und beim Einsatz der RFS verbliebe beim BKA.

BSI befürwortet unter diesen Voraussetzungen eine Zusammenarbeit mit dem BKA zur RFS und bittet um eine entsprechende Aussage der zuständigen Staatssekretäre.

Vertrauen „bereits in Mitleidenschaft gezogen“

Am 9. Juni antwortete das BSI mit einer FAQ zum Thema:

Mit welcher Kommunikationsstrategie will die Leitung des BSI möglichen Verdächtigungen seitens bestimmter Fachkreise entgegentreten?

Mit diesen Verdächtigungen muss sich das BSI bereits seit Beginn der öffentlichen Diskussion um die Online-Durchsuchung auseinandersetzen. Das Vertrauen in BSI-Produkte (z. B. Sicherheits-CDs), aber auch in die Integrität von BSI-Mitarbeitern, ist bereits in Mitleidenschaft gezogen. Ungeachtet aller Aussagen von BKA, BSI und BMI fällt es vielen Bürgern, IT- Experten und Medienvertretern schwer, an eine strikte Aufgaben- und Rollentrennung zwischen BKA und BSI zu glauben. Eine Kommunikationsstrategie alleine ist daher kein geeignetes Mittel, um das Vertrauen in das BSI zu stärken bzw. zurückzugewinnen.

„Trojaner-Leitfaden“ der Öffentlichkeit vorenthalten

Vorschlag für weiteres Vorgehen:

Position des BSI ist daher, das BKA durch Kompetenztransfer zu Fragen der IT-Sicherheit aktiv zu unterstützen, aber nicht in operativen Fragestellungen mitzuwirken. BSI stellt in der Zuarbeit zur RFS den gesetzlichen Auftrag zur Prävention in der IT-Sicherheit in keiner Weise in Frage. Eine übereinstimmende Auffassung über die Rolle des BSI zwischen BSI und dem BMI ist unabdingbar, um negative Auswirkungen auf die Arbeit des Amtes und ein negatives Bild in Öffentlichkeit und Fachkreisen zu verhindern. Aus diesem Grund bitte ich um Unterstützung der oben skizzierten BSI-Position durch das BMI insbesondere in der Außendarstellung.

Bereits jetzt hat die Diskussion um die Online-Durchsuchungin einem Fall zum Zurückhalten von Informationen geführt: Das BSI hat bis heute den sogenannten Trojaner-Leitfaden (Titel: „Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen“) nicht der Allgemeinheit zugänglich gemacht. Der maßgebliche Grund für das Zurückhalten des Leitfadens waren Befürchtungen, die Presse könne den Leitfaden als Affront gegen das BKA interpretieren. Angesichts der gestiegenen Bedrohungslage für die deutsche Wirtschaft durch IT-gestützte Wirtschaftsspionage und zur Unterstützung der BSI-Bemühungen, verloren gegangenes Vertrauen zurückzugewinnen, rege ich daher die baldige Veröffentlichung des Leitfadens auf der BSI-Webseite an.

Diesen Leitfaden haben wir per IFG-Anfrage angefordert und leider bis heute keine Antwort erhalten.

Mitarbeit, aber öffentlich abstreiten

Am 26. Juni 2008 schlug das BMI vor:

BSI wird unter Modifikation des Erlasses vom 5. / 6. Februar 2007 gestattet, das BKA in der unter 1. [Beratung … hinsichtlich der geeigneten Sicherheitsmechanismen und Kryptoalgorithmen] und 2. [Bereitstellung von Codefragmenten entsprechender Kryptoalgorithmen] beschriebenen Form bei Sicherungsmaßnahmen zu unterstützen. Der Personalmehrbedarf des BSI insbesondere für Maßnahme 2 wird durch die Übertragung einer Stelle hD [Höherer Dienst] aus dem Bestand BKA für den Entwicklungszeitraum aufgefangen.

Die unter 3. vorgeschlagene Maßnahme [Beratung zur Steuerung der RFS und zur Optimierung der Datenausleitung] wird nicht durch BSI wahrgenommen. Hierdurch ist gewährleistet, dass in der Öffentlichkeit weiterhin dargestellt werden kann, dass BSI das BKA nicht bei der Durchführung von Online-Durchsuchungen unterstützt.

„In vollem Umfang unterstützen“

Am 8. Juli traf dann der damalige Innenminister Wolfgang Schäuble folgende Entscheidung:

  1. BSI soll BKA in der Phase der Erstellung der Remote Forensic Software (RFS) in vollem Umfang unterstützen.
  2. BSI soll nicht am operativen Einsatz der RFS durch das BKA mitwirken.
  3. Das CC TKÜ soll um einen Kompetenzbereich „Online-Durchsuchung“ erweitert werden, der BKA zukünftig bei Weiterentwicklung und Einsatz der RFS unterstützt. Am Know-How-Austausch im CC soll BSI mitwirken.
  4. Eine reaktive Sprachregelung für Art und Umfang der Mitwirkung des BSI ist kurzfristig zu entwickeln.

Mitwirkung „am operativen Einsatz“?

Bei der Übermittlung der Entscheidung an das BMI wurden die ersten beiden Punkte eingeschränkt:

  1. BSI soll BKA in der Phase der Erstellung der Remote Forensic Software (RFS) in vollem Umfang unterstützen. Diese Zusammenarbeitsphase soll bis zum Inkrafttreten der BKAG-Novelle zur Schaffung der Kompetenz für die Durchführung von Online-Durchsuchungen andauern.
  2. BSI soll nicht am operativen Einsatz der RFS durch das BKA nach Inkrafttreten der gesetzlichen Ermächtigungsgrundlage mitwirken.

Die Neufassung des BKA-Gesetzes von 2008 schuf erstmals eine rechtliche Grundlage für die Online-Durchsuchung. Bis dahin war dem BSI nicht untersagt, am operativen Einsatz mitzuwirken.

„Unterstützungsleistungen vollumfänglich erbracht“

Am 16. Dezember hat das BSI dann einen Sachstand der Unterstützung berichtet:

Das BSI hat bisher die vom BKA angeforderten Unterstützungsleistungen vollumfänglich erbracht. […]

  1. Erstellung eines Kryptokonzeptes für die RFS. Weiterhin wurde Source-Code für die Kryptoanteile und physikalisch erzeugter Zufall zur Initialisierung des Pseudozufallsgenerators und zur Schlüsselerzeugung durch das BSI bereitgestellt. Bei der Integration des Source-Codes wird das BKA noch in geringem Umfang unterstützt.
  2. Absicherung der Serverkomponente der RFS. Das BSI hat eine Prüfung des Webservers vorgenommen und Konfigurationsvorschläge zur besseren Absicherung erarbeitet.
  3. Integrations-, Funktions- und Systemtests an Softwaremodulen der RFS. In enger Zusammenarbeit mit den BKA-Entwicklern führt sowohl das BKA als auch das BSI Funktionalitätstests durch, mit denen der Source Code der RFS überprüft wird.

2009: BSI will „Unterstützungsleistungen beenden“

Wenige Tage später stimmten sowohl der Bundestag als auch der Bundesrat dem neuen BKA-Gesetz zu, das dann zum 1. Januar 2009 in Kraft trat. Da das BMI die Unterstützung ursprünglich nur bis zu diesem Zeitpunkt anordnete, kündigte das BSI ein Ende der Kooperation an:

Für das BSI ist nicht transparent, wann die Entwicklung der RFS abgeschlossen sein wird. Basierend auf diesem eingeschränkten Kenntnisstand bestehen jedoch Zweifel, dass es möglich sein wird, die RFS dieses Jahr fertig zu stellen und das fertige Produkt hinsichtlich seiner Sicherheitseigenschaften zu überprüfen. Die Software wäre aus IT-Sicherheitssicht noch nicht für operative Einsätze geeignet.

Das BSI hat bisher die vom BKA angeforderten Unterstützungsleistungen vollumfänglich erbracht. Sollte die BKAG-Novelle am 1.1.2009 in Kraft treten, wird das BSI auf Grund der bestehenden Erlasslage die Unterstützungsleistungen beenden.

DigiTask-Trojkaner gekauft, Eigenentwicklung weiterhin erforderlich

Dem widersprach das BMI und antwortete am 13. Januar 2009:

Bei der Entwicklung der BKA-Eigenentwicklung eines einsatzfähigen Prototypen der RFS ist das Projekt EODS [Einführung Online-Durchsuchung] geringfügig in Verzug geraten. […]

Neben der Eigenentwicklung einer Software hat das BKA auch die auf dem Markt erhältlichen Werkzeuge zur Onlinedurchsuchung einer Untersuchung unterzogen. Hierbei wurde das Werkzeug der Firma DigiTask als technisch geeignet und tauglich zur Durchführung von Maßnahmen der Online-Durchsuchung oder Quellen-TKÜ befunden. […]

Das BKA ist seit dem 01.10.2008 einsatzfähig. Es können sowohl Quellen-TKÜ als auch Online-Durchsuchungsmaßnahmen unter Verwendung des Werkzeugs der Firma Digitask durchgeführt werden.

Da das Werkzeug der Firma Digitask allerdings auch von anderen Staaten verwendet wird (z.Bsp. Schweiz), besteht hier ein erhöhtes Entdeckungsrisiko und eine Eigenentwicklung ist weiterhin erforderlich.

„Weitere Unterstützung durch das BSI“

Die „geringfügige“ Verzögerung der Eigenentwicklung datierte man optimistisch auf zwei Monate, im März 2009 sollte der Staatstrojaner des BKA fertig sein. Wenn das BSI mitmacht:

Nach Auffassung der Arbeitsgruppe ÖS I 3 soll das BSI im Rahmen seiner spezifischen Fachkompetenzen weiterhin bis zur für März 2009 vorgesehen Fertigstellung der Software im bisherigen Umfang unterstützen, da es sich um Arbeiten handelt, an denen die Mitarbeiter des BSI bislang maßgeblich mitgewirkt haben. Ein Verzicht auf diese Unterstützung würde die Fertigstellung der Software um ca. zwei Monate verzögern.

Aufgrund des aktuellen Entwicklungsstandes der Eigenentwicklung ist eine weitere Unterstützung durch das BSI voraussichtlich bis Ende Februar 2009 erforderlich, um die komplette Fertigstellung der Eigenentwicklung des BKA zu gewährleisten.

Unterstützung „wird das BSI auch weiterhin leisten“

Handschriftlich ordnete das BMI an:

Bis zur Klärung setzt BSI zunächst die Zusammenarbeit mit BKA fort.

Und:

Unterstützung bei Kryptokonzept und Absicherung der RFS wird das BSI auch weiterhin leisten.

43 Ergänzungen

  1. Es gibt wohl nichts und niemanden mehr, dem man vertrauen könnte, nicht wahr … Es ist beschämend, traurig, frustrierend und erwütend. :-s

    1. ich finde es ist auch noch bescheuert, erdrückend und demotivierend aber manchmal ist es auch erheiternd und verführerisch. Gefühlvoll ist es jedoch niemals. Und nein Sie können niemals irgendwem vertrauen weder ihrem Staat noch ihrem Hund. Letzterer frisst sowieso jedem die Wurst aus der Hand.

      traurig, frustrierend und erwütende Grüße

  2. Was kann schon das BSI dafür, wenn es noch Leute gibt, die glauben, die Behörde sei zu ihrem Schutz tätig?

  3. Zum 1000. Mal, das BSI ist eine BND Organisation! Das die überhaupt jemand ernst nimmt, oder denkt, die würden irgendwas Gutes tun….

    1. Ich hab das noch immer nicht verstanden! Sind das jetzt alles Berufsverbrecher und Killerdrohnenninjas und vorallem wen muss ich jetzt wählen damit Putin wieder richtig echter Kommunist wird?

  4. Also wenn ich mir die Personalausweis-App runterlade und die vom BSI zertifiziert wurde, dann kann das auch gut ein Trojaner sein?

    1. Ja klar, das kann genauso gut ein Trojaner sein, wie Windows, MacOS oder jede andere Software, die Du nicht selbst programmiert hast bzw. deren Sourcecode Du nicht vollständig evaluiert hast. Und bei beiden nicht vergessen: Selbst kompilieren und natürlich nur einen zertifizierten (von wem auch immer) oder selbst geschriebenen Compiler verwenden. Ach ja: Den Aluhut auch nicht vergessen.

      1. Ja genau, selbst programmiert und compiliert. Jeder. Du hast auch ’ne Kuh im Kühlschrank, oder?

      2. Hmmmpf…die eigentliche Aussage steckte im letzten Satz. Dachte eigentlich, damit wäre alles gesagt ;-)

  5. Wenn eine deutsche Behörde Exploits gerichtsfest nutzen will, muß das preußisch zertifiziert werden: Certified by BSI.

  6. Die aktuelle Bundesregierung hat eine klare Linie:

    1. Wir alle sind, pauschal und ohne Nachweis, nicht rechtskonformer Bürger und damit gleichbedeutend eine Gefahr. Für wen – ist doch vollkommen egal.

    2. Wir alle sind pauschal und ohne Nachweis, Individuuen mit einem verminderten Unrechtsbewusstsein, nur weil wir – als vermeintlicher Konsument – im „Konsumrausch“, bei der Konsumierung des Internet, nicht die Doktrin der Verwertungsgesellschaften befolgen, die ja gerne die Kulturschaffenden – ohne deren Zustimmung – als Geisel und in Schutzhaft nehmen (Youtube/Gema).

    3. Wir alle sind pauschal und ohne Nachweis, Diebe, wenn wir ein Medium auf der Straße finde, auf dem sich Inhalte von Kulturschaffenden befinden, die wir uns privat, ob allein oder mit Freunden, anhöre und/oder ansehe – ohne einen wirtschaftlich motivierten Veräußerungsgedanke, also nicht wie die „unbekannte/anonyme“ Person, die anfänglich eine Kopie dieses Werkes, ob digital oder analog, angefertigt und in den Umlauf bzw. auf die Straße gebracht hat. Wechselt also nun das Medium von der Straße in das Private, die eigenen 4 Wände, wer wird dann – von der Straße aus – in mein Fenster sehen können, um ggf. meine rechtskonforme Nutzung der Inhalte anzuzweifeln, um mich juristosch zu verfolgen? Wie bewertet man den Versuch des Eindringens von Dritten (SONY BMG) in die Privatsphäre, durch Mechanismen, die schon von der Auslegung her darauf abzielen, die Privatsphäre zu verletzen, Schuldige zu „erschaffen“ ?

    4. . Wir alle sind pauschal und ohne Nachweis, potentielle Terroristen und/oder Kinderschänder, nur weil wir – ob als Journalist, Autor oder Privatperson, über das (bisher noch)“ frei zugängliche Internet, uns zu diesen Themen Informiere und dazu eine amerikanische Suchmaschine nutzen, die (derzeit noch beinahe) „schrankenlos“ Inhalte Indiziert, ohne zu 100% die Doktrin der Lobby-Verbände in diversen Staaten zu befolgen. Was würde bei einer Suche über Google und Co denn überhaupt noch angezeigt werden, wenn diese Doktrin 1:1 als Suchfilter umgesetzt würde (Zu Ihrer Suchen wurden 127000 Fundstellen gefunden: 3 kostenlose, 997 staatlich geförderte Bibliothekseinträge, 126000 kostenpflichtige Einträge. Bitte wählen sie ein Zahlungsmittel:)? Sieht etwa so das Internet der Zukunft – auch für Politiker/Juristen – aus? Wie nutzen denn die das Internet – und wie viel Zeit „und Geld“ sparen Sie selbst, wenn Sie z.B. dejure.org nutzen und eben nicht das aktuelle Band aus dem Regal nehmen, obwohl sie selbst doch wissen, dass nur ein gedruckte Gesetz Gültigkeit hat und nicht eine „kostenlose“ digitale Kopie auf einem Medium, gefunden von Ihrem Mandanten, auf der Straße.

    In letzter Konsequenz erkenne ich an den fachlichen Diskussion nur eines: Sicherer und für eine Demokratie würdiger Umgang mit Gesetzen sieht anders aus. Selbst unter unseren Juristen scheint – je nach Lager: Straf- oder Zivilrecht – die Laxheit zu überwiegen, um möglichst zügig den Fall abzuschließen, um nur wieder schnell zum Status quo zurück zu kehren. Das finde ich, angesichts der bedeutsamen Fragen für beide Lager, für äußerst bedauerlich und erscheint als ein Verlust an demokratischen Grundwerten, gerade weil alle Beteiligten hier massiv die Ebene der „Freiheitlichen demokratische Grundordnung“ berühren, die letztendlich uns alle und damit auch Politiker/Juristen, als Privatperson und als Bürger im öffentlichen Raum betrifft. Sie mögen fachlich teilweise die Nichtigkeit einiger „Gesetzeswerke“ im Bereich Urheberrecht und Störhaftung erkannt haben, doch die Tragweite liegt hinter Ihrem Horizont. Nicht ohne Grund, gibt es daher wohl auf Gesetzestexte kein Copyright, betrachtet man den Wert Ihrer Arbeit.

      1. Das ist genau das Problem, damit Andere ohne Hintergrundinformationen verstehen was man lediglich kurz und knapp schreiben möchte, muss man ein Pamphlet mit Hintergrundinformationen daraus machen!
        … eine „Spoilerfunktion“ (z.B. [Spoiler] „Text“ [/Spoiler] -> http://gendou.com/t/26412 wäre da Hilfreich um einen Rattenschwanz an Informationen verstecken zu können, hier ein Beispiel:
        http://board.gulli.com/thread/1383156-du-bist-terrorist-zweite-klage-droht-wegen-verwechslungsgefahr/?p=11266024#post11266024

    1. Zitat Nachtschatten:“Wie bewertet man den Versuch des Eindringens von Dritten (SONY BMG) in die Privatsphäre, durch Mechanismen, die schon von der Auslegung her darauf abzielen, die Privatsphäre zu verletzen, Schuldige zu „erschaffen“ ?“
      Man nennt es „App“ und man bekommt es in „App Stores“ entweder „kostenfrei“ oder gegen Bezahlung!
      Klar kann man diese Mechanismen (App’s) im Shop bewerten!
      Schau doch mal nach, Nachtschatten!

  7. die sicherheit des wanderers ist mitunter nicht die sicherheit des bären. was dem einen der schuss ist dem anderen die ladehemmung. sicherheit ohne transparenz der motive ist immer ein leeres wort.

    schön, mal wieder etwas mehr über den sicherheitsbegriff des bsi zu erfahren.

    .~.

  8. Das BSI soll eigentlich die Bürger vor Internet-Attacken schützen – aber im Auftrag der Regierung(en) macht man das Gegenteil, man hilft den Bürger auszuforschen!
    Weil absolut niemand ausser der Regierung und deren Freunde in Wirtschaft und Banken Zugriff auf solche Behörden wie BSI, BND, BfV etc hat und jegeliche Überwachung der „Dienste“ durch Bürger von den Regierenden verhindert wird, befinden wir uns seit längerer Zeit in einem totalen Überwachungsstaat! Und die gesammelten Daten werden natürlich auch den USA zur Verfügung gestellt, ja sogar in derem Auftrag erhoben. Im Bereich Datensammeln sind wir immer noch Befehlsempfänger der USA!
    Es wird Zeit das den Bürgern wirklich klar zu machen und sich gegen diese Überwachung zu wehren. Das die Mainstreammedien (SZ, Spiegel, taz, Blöd, Zeit, Welt etc) dabei nicht mitmachen und den Staat decken, sollte auch jedem klar sein.

    1. … und die Firmen sollen dem BSI (bald auch unter Zwang?!) Angriffe melden, bei Offenlegung aller Sicherheitsmaßnahmen des Unternehmens dem BSI gegenüber!
      Warum?
      Damit das BSI den Angriff Anal*lysieren kann und dem Unternehmen helfen kann, damit ein Angriff vermieden wird!
      … soviel zur Wunschvorstellung!
      Was ist die Realität?
      Übergibt man dem BSI die „Geheimen“ Strategien (ja, es soll noch Administratoren geben, die nur mit Wasser kochen …) werden sie gleich mal an die Dienste weitergegeben, damit sie im Krieg gegen den Terror einen Vorteil haben!
      Warum?
      Na … dann sei mal ein International aufgestelltes deutsches Unternehmen mit Beschäftigten aus Syrien, Irak, Russland und andere ehemalige GUS-Staaten … und klar aus Deutschland!
      Wie werden die Terroristen also kommunizieren?
      Das deutsche Datenschutzgesetz verbietet eine entsprechende Überwachung im eigenen Firmennetzwerk, also können Terrornetzwerke gut getarnt innerhalb dieser Firmennetzwerke unbeobachtet kommunizieren, nicht?
      Was kann das BSI also tun, um der unkontrollierten Kommunikation der Terrororganisationen via internationaler Firmennetzwerke Herr zu werden?
      ….
      … ja genau! Der Phantasie mal freien Lauf lassen!

  9. Srsly, das ist doch die Aufgabe des BSI! Wenn es in Deutschland einen Trojaner gäbe, würde ich mir durchaus wünschen, dass er nicht von Beratern oder Beamten programmiert wird, die auf ihr Projektbudget oder die Kaffeepause gucken, sondern von ausgewiesenen Experten. Ich würde erwarten, dass die Ziele und Maßnahmen sehr eng gefasst und angemessen umgesetzt werden. Und ich würde erwarten, dass im Rahmen von Machbarkeitsstudien und Prototypen überhaupt erstmal geklärt wird, ob das geht. Dafür das BSI zu beanspruchen ist mir deutlich (!) lieber als jede andere Variante!

    Ob man so einen Trojaner hat/will/braucht steht natürlich auf einem anderen Blatt… das ist aber auch keine Entscheidung des BSI!

    1. …so langsam versteh ich auch, warum Du das mit dem Aluhut nich verstanden hast. Du findst es wahrscheinlich auch gut, dass Hitler die Errichtung der KZs der SS und nicht der Wehrmacht überlassen hat, weil die „qualitativ bessere Arbeit“ gemacht haben, bei der Frage, wie man effektiv Teilen der Bevölkerung schaden kann. Wie kann man nur? Etwas grundsätzlich Schlechtes wird doch nicht besser, wenn es qualitativ hochwertig is („gut, dass Saringas so sauber tötet!“) – schon gar nich – und da hinkt mein zynischer Vergleich – wenn die betreffende Abteilung letztlich schon wegen ihres Namens, wenn nicht wegen ihrem Auftrag für die Sicherstellung des absoluten Gegenteils verantwortlich ist. Wie kannst Du denn sagen, dass Du froh bist, dass bei dem vorsätzlichen Verstoß gegen das Grundgesetz ganze Arbeit geleistet wurde? Das is so, als würdst Du sagen, unsere Massenmedien sind klasse, weil irgendwer anderes vorsätzliche Falschdarstellungen schlechter machen könnte. (Ja, ich bin mir jetzt auch nicht so sicher, ob die KZs einer gebraucht hätte, aber das steht ja auf einem anderen Blatt)

      1. Du vermischst wie viele anderen Gutmenschen hier und anderswo die Sachverhalte. Nur weil das BSI gute Arbeit leistet es unter Spionageverdacht zu stellen ist doch absurd, ebenso wie hier eine vorsätzlichen Verstoß gegen Grundrechte zu unterstellen. Es zeigt in meinen Augen viel mehr eine faschistoide Einstellung, mit der das „Richtige“ hier vertreten wird. Das haben die Nazis auch geglaubt und getan, den Vergleich musst du dir gefallen lassen!

        Es gilt m. E. immer noch der Spruch „Es sind nicht Waffen, die töten. Es sind auch nicht die lieben kleinen Kügelchen. Es sind Menschen.“ Und ja, den Apparat dahinter zu verbessern, gerne. Aber bitte nicht mit so Pauschalverurteilungen. Wenn eine Behörde etwas verbotenes tut (oder etwas, was zwischenzeitlich verboten wurde), dann liegt das kaum an Beratung oder an Werkzeugen, sondern an den Entscheidern, die nicht verstehen, dass sich die Realität verändert. Da sollte man ansetzen!

      2. Zitat, nuff:“… dann liegt das kaum an Beratung oder an Werkzeugen, sondern an den Entscheidern, die nicht verstehen, dass sich die Realität verändert. Da sollte man ansetzen!“

        Falls du (nuff), ja du es nicht mitbekommen hast, diese „Entscheider“ akzeptieren die „Veränderungen“ nicht bzw. möchten Realitätsänderungen nur in ihrem Sinne!
        Ein Beispiel, was das Grundgesetz angeht, so bin ich altmodisch und möchte nicht, das die „Entscheider“ (Volksvertreter) dieses zu meinem Ungunsten ändern, auch wenn es bedeutet, das sich ein Terrorist auf Grundrechte berufen darf und die „Entscheider“ (Volksvertreter) dieses und deren Konsequenzen akzeptieren müssen, so wie auch ich als Bürger, der regelmäßig Wählen geht, um seine Meinung*s*Vertreter (Volksvertreter) zu Wählen!

        Unsere aktuellen Volksvertreter („Entscheider“) vertreten ja quasi unsere Meinung, weil wir sie ja gewählt haben um unsere Meinung/Wille (des Bürgers Meinung/Wille), also verstehen sie („Entscheider“) es im Moment nicht, das sich der Bürger gegen die/en Meinung/Willen seiner Volksvertreter („Entscheider“) stellt und das penetrant schon seit Jahren!

        Kann es daran liegen, das bei den Wahlkämpfen den Bürgern Versprechungen gemacht wurden, die dann stets (nach der Wahl) quasi/regelrecht „Negiert“ werden?
        Klar ist nicht einfach zu verstehen, aber versuch es doch mal!

      3. Menno nuff, der Fehlerdeibel:
        … statt „, weil wir sie ja gewählt haben um unsere Meinung/Wille (des Bürgers Meinung/Wille),“, muss es heißen „, weil wir sie ja gewählt haben um unsere Meinung/Wille (des Bürgers Meinung/Wille) stellvertretend kund zu tun,“

  10. Die Quintessenz der Causa ist doch, dass das BSI jegliches Vertrauen verloren hat. BSI-Zertifikate sind wertlos geworden und sei es nur durch den Verdacht der Spionage. Wir werden im Bitkom-Verband Alternativen suchen müssen.

  11. Mein Vertrauen in Organe des Staates kann nicht mehr erschüttert werden. Es ist nicht mehr existent.

  12. Mir fehlen die Worte. Nie wieder werde ich auch nur in Betracht ziehen, dem BSI und seinen „Sicherheits“-beratungen zu vertrauen.

    Und dem Schäuble, ich glaube dem haben sie beim Attentat auch seine Menschlichkeit weggeschossen.

    1. Man muss das Kind nicht gleich mit dem Bad ausschütten, zumal es ja kaum etwas anderes gibt als das BSI. Wer sich wie ich auch mit der einen oder anderen Technischen Richtlinie aus dem Hause BSI befassen muss, der wird schon feststellen, dass die Kollegen in Sachen IT-Sicherheit und auch Datenschutz sehr gründlich arbeiten. Für manche Hersteller zu gründlich. Das BSI muss als Behörde einfach raus aus dem Geschäftsbereich des Innenministers und z. B. rein in den Geschäftsbereich des Verbraucherschutzministers.

    2. Unabhängig davon welche Ansicht man in dieser Sache auch vertritt, ist Ihr Kommentar wirklich geschmacklos.

      1. oje! mit dem Adjektiv: geschmacklos, bezog ich mich auf den Kommentar von (Unfassbar) welcher sich über Herrn Schäuble mehr als unangemessen äußerte.

  13. Sagt mal was glaubt ihr wen man denn so beauftragt wenn man einen bösen Trojaner haben will? Also dem Typ welcher euren Windowsrechner regelmässig entkeimt eine Sms zu schreiben hilft da wohl kaum. Sooo mit O und jetzt fragt euch mal welche Spezialisten man anruft wenn man sich aber nun gegen Trojaner absichern möchte? Noch ein Tipp von mir, es ist wieder nicht der Typ der für ein warmes Bier die 4 Browsertoolbars deinstalliert hat. Wollt ihr euch echt um Behördennamen streiten während es am Ende eh die selbe Truppe macht nur weil es sich bei denen um wirklich richtig echte Computerauskenner handelt? Das ist ja echt putzig.

  14. Ich bin der Meinung die alle sind nicht schuld daran BfV, BGH, BKA, BMI, BSI, Bundeskriminalamt, es sind die Politiker die gegen das Grundgesetz ferntosen (Menschenrechte).

  15. … und wer ist Schuld daran, das die Politiker immer wieder gegen das Grundgesetz verstoßen?
    Natürlich die Terroristen, diese Gutmenschen … die auf die Einhaltung des Grundgesetzes pochen und somit aktiven Täterschutz betreiben und deren Dingfestmachung somit präventiv verhindern!
    Wir als Bürger sollten endlich ein Volksabstimmungsgesetz fordern, um per Volksabstimmung das Grundgesetz abzuschaffen und … eine Volksvertreter freeeeundlichere Verfassung (freie Bahn mit Marzipan für die Volksvertreter, auch Herrn Schäuble und Co.), in der der Bürger nicht mehr diesen aktiven Täterschutz betreiben kann/darf, etablieren!
    … dann werden alle Terroristen sofort geschnappt und wir dürfen uns (Bürger) wieder Sicher fühlen!

  16. Zitat:“Diese Personalie weckt selbst in den USA ernste Zweifel: Der frühere Mann an der Spitze des mächtigsten Geheimdienstapparates der westlichen Welt will künftig in der Wirtschaft für Beratungsdienste in Sachen Cyber-Sicherheit abkassieren.“
    Quelle: http://www.n-tv.de/wirtschaft/Ex-NSA-Chef-sammelt-Millionen-ein-article16217561.html

    Tja, man gut, dass das BSI keine Strategien von unserer Firma an den BND und der BND nicht an die NSA weiter leiten konnte!
    Was nun kommt, kann man sich ja vor bzw. seiner neuen Firma unterstellen, sie Nutzen die Schwachstellen aus, machen Scheinangriffe z.B. auf Sony und bieten ihre Dienste an!
    Terror und Sicherheit aus einer Hand!

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.