Urteil gegen das BKATeilerfolg beim Staatstrojaner-Vertrag

Wird durch Ignorieren der Rechtswidrigkeit auch nicht besser: Der Bundestrojaner.

Wir gehen seit einiger Zeit gerichtlich gegen das Bundeskriminalamt (BKA) vor, um Einblick in den Vertrag über den Staatstrojaner FinFisher zu erlangen. Das Urteil des Verwaltungsgerichts Wiesbaden ist nun bei uns eingegangen. Im Ergebnis ist es ein Teilsieg für uns. Wir behalten uns allerdings weitere Rechtsmittel vor.

Kurzer Rückblick: Nachdem der Einsatz des Trojaners der Firma DigiTask nach der Veröffentlichung der Analyse des CCC unmöglich geworden war, wurde für den Einsatz im „Kompetenzzentrum Informationstechnische Überwachung“ (CC ITÜ) im Herbst 2012 eine Jahreslizenz des Staatstrojaners FinFisher der Firma Gamma/Elaman für knapp 150.000 Euro gekauft. Damit wurde das heikle Softwareprojekt wiederum an eine kommerzielle Firma als externen Dienstleister übertragen, noch dazu an eine mit zweifelhaftem Ruf. Denn Gamma/Elaman war in den letzten Jahren in die Kritik geraten, da etwa Oppositionelle aus Bahrain von Geheimdiensten ausspioniert worden waren und dabei Trojaner ebenjener Firma zum Einsatz kamen, wie „Privacy International“ und citizenlab nachweisen konnten.

Wir wollten also mehr über das kommerzielle Produkt für die „Ferndurchsuchungen“ von informationstechnischen Geräten wissen und den Schleier um das heimliche technische Fahndungswerkzeug ein wenig lüften. Daher verlangten wir Auskunft nach dem Informationsfreiheitsgesetz (IFG). Was wir aber bekamen, war an zahlreichen Stellen geschwärzt. Wir legten dann eine Verpflichtungsklage ein, um den Vertrag zwischen der Bundesrepublik Deutschland und der Firma Elaman GmbH in ungeschwärzter Form zu bekommen.

Das BKA wollte die Informationen weiterhin zurückhalten und wehrte sich. Es argumentierte vor Gericht, die „öffentliche Sicherheit“ sei gefährdet, man müsse „verwaltungsinterne Abläufe und Strukturen“ in der Behörde schützen. Deswegen könne man Details zur Hard- und Software des Staatstrojaners nicht herausgeben, da die „Funktionsfähigkeit der Sicherheitsbehörden“ dann gestört sei. Das Amt argumentierte außerdem, Geschäftsgeheimnisse der Firma Elaman gemäß § 6 IFG stünden der Auskunft entgegen.

Das Gericht und die BKA-Schwärzungen

Das Gericht lässt das BKA in seinem Urteil mit seiner Verweigerungshaltung nur teilweise durchkommen, kritisiert mehrfach die „spärlichen Informationen durch das beklagte Bundeskriminalamt“ und vermisst bei den behördlichen Begründungen für Schwärzungen „substantiierte Tiefe“. Was Fragen des Vergabeverfahrens angeht, ließ das BKA gleich „jegliche Informationen vermissen“.

Viele der Schwärzungen konnte die Behörde nach Ansicht des Gerichts nicht ausreichend begründen, das BKA hat es zuweilen nicht einmal versucht:

Dezidierte Gründe, welche der Streichungen materiell die Einstufung als Verschlusssache rechtfertigen, wurden weder schriftsätzlich noch in der mündlichen Verhandlung vorgetragen. (Urteil, Seite 10)

Auch das pauschale Argument, es sei eine Gefährdung der öffentlichen Sicherheit, wenn Details der Software, die heimlich in informationstechnische Systeme einbrechen soll, offengelegt würden, lässt das Gericht nicht für alle Schwärzungen gelten:

Denn zu keinem der benannten Punkte hat das Bundeskriminalamt darlegen können, dass das Bekanntwerden der Information die öffentliche Sicherheit gefährden kann. (Urteil, Seite 10)

Was die Geschäftsgeheimnisse von Elaman angeht, gab das Gericht dem BKA aber teilweise recht. Der vertragliche Leistungsumfang, Material- und Reisekosten, Preisangaben zu Schulungen oder Details der Funktionsprüfung des Trojaners darf das BKA weiterhin schwärzen. Anders sieht es bei der Vergütung aus, die Elaman bekommt. Schon weil es sich um einen „Pauschalfestpreis“ handelt, darf die Information nicht einfach zum Geschäftsgeheimnis erklärt werden.

Geheimniskrämerei nur teilweise beendet

Das Gericht will nicht ausschließen, dass es „nachteilige Auswirkungen auf die Belange der inneren und äußeren Sicherheit“ haben könnte, wenn „der Einsatz der Software und damit eine Quellen-TKÜ verhindert werden könnte, weil Kenntnisse darüber im Vorfeld bekanntwerden“. Daher dürfen auch Passagen des Vertrages geschwärzt bleiben, die den Quellcode und dessen Übergabe an das BKA, die interne Hardware oder auch die Abnahme der Software betreffen.

Das BKA muss im Ergebnis den Vertrag an den Stellen ohne die bisherigen Schwärzungen an uns herausgeben, an denen die Behörde keine Gründe vorbringen konnte, warum man die Informationen vorenthält. Für viele technische Details des Trojaners, mit dem vor allem die sog. Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) durchgeführt werden soll, wird die Geheimniskrämerei aber weitergehen – zumindest solange, bis der Rechtsstreit entweder in die nächste Runde geht oder aber doch irgendwann die Binaries auftauchen.

Das Urteil ist natürlich auch in Gänze nachlesbar: Offiziell, PDF, Scan unserer Version.

Update: Der freigeklagte Vertrag jetzt auch.

Hier klicken, um den Inhalt von fragdenstaat.de anzuzeigen

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

6 Ergänzungen

  1. Für solche Aktionen liebe ich Euch ja ohne Ende!
    Bitte am Ball bleiben, tretet den (piiiiieeep) weiter ordentlich in die (piiiiieeep)!
    Danke.

  2. Wie installiere ich eigentlich FinFisher unter Ubuntu? Gibts da ein vorkompiliertes Paket?

    1. Das ist ja das schöne daran: Du musst es gar nicht selbst installieren, das erledigen die netten Beamten vollständig für Dich!

      1. Ich glaube kaum, dass Du für 150.000 € überhaupt vernünftige Software in dem Bereich bekommst. Die haben das BKA nur verarscht, geschweige denn kannst Du es überhaupt unter Ubuntu installieren.

  3. Vielen Dank, dass Ihr hier dranbleibt.

    Es ist mehr als legitim, die Seilschaften unserer Sicherheits-Apparatschiks kritisch zu hinterfragen. Es ist anzunehmen, dass hier mehr kriminelle Energie im Spiel ist, als auf den zu überwachenden Computern.
    Vollstes Verständnis für die Wahrung der Interessen der Fa. Elaman, hier werden ja lediglich Menschrechte mit Füßen getreten.

    Hans-Peter Uhl: „Das Land wird von Sicherheitsbehörden geleitet, die sehr kontrolliert, sehr sorgfältig, sehr behutsam …“

  4. > Diese Klage und mögliche weitere Instanzen kosten leider Geld und werden nicht wie die Kosten der Gegenseite über unsere Steuergelder finanziert

    Wieso nicht? Ihr seid doch ein Ableger der Grünen und die bekommen Geld über die Verbrecherfin…. ähm.. Parteienfinanzierung.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.