Vor einem Monat hat der Bundestag den Einsatz von Staatstrojanern massiv ausgeweitet. Bisher durfte das BKA Geräte hacken, um internationalen Terrorismus zu verhindern. Jetzt kann die Polizei immer dann in Geräte eindringen, wenn sie ein Telefonat abhören darf – also tausendfach. Dafür rüsten die Behörden ihre Spionage-Software weiter auf.
Das Innenministerium berichtet regelmäßig über die Entwicklung der Staatstrojaner, leider als „nur für den Dienstgebrauch“ eingestufte Verschlusssache. Wir haben trotzdem die ersten beiden Ausgaben publiziert, jetzt veröffentlichen wir an dieser Stelle auch den dritten Bericht im Volltext.
Vom Kompetenzzentrum zur Zentralstelle
Schon vor über zehn Jahren wurde der BND beim Hacken erwischt, das BKA darf seit 2009 in Geräte eindringen. Aufmerksamkeit bekam das Thema vor allem, als der Chaos Computer Club 2011 nachwies, dass die eingesetzte Software der Firma DigiTask technisch mehr konnte als sie rechtlich durfte.
Einen Monat nach diesem PR-Desaster hatte das Bundeskriminalamt ein „Kompetenzzentrum IT-Überwachung“ eingerichtet, um einen eigenen Staatstrojaner zu programmieren. Obwohl Landes-Polizeien und Zoll Mitarbeiter entsendet haben, konnten erst letztes Jahr alle 30 Stellen besetzt werden.
Zeitgleich zur Fertigstellung hat Innenminister Thomas de Maizière die „Zentrale Stelle für IT im Sicherheitsbereich“ (ZITiS) ins Leben gerufen, die Staatstrojaner für alle Behörden von Bund und Ländern entwickeln soll. Dieses Jahr sind 120 Angestellte und zehn Millionen Euro eingeplant, in den nächsten fünf Jahren soll ZITiS auf 400 Mitarbeiter wachsen.
Das eigens eingerichtete Kompetenzzentrum beim BKA dürfte teilweise in der neuen Behörde aufgehen. Unsere diesbezügliche Nachfrage bei BKA und Innenministerium blieb bislang unbeantwortet. (Update: Nach drei Tagen haben wir eine Antwort: Beide ergänzen sich.)
RCIS: Staatstrojaner programmiert vom Staat
Das BKA hat bisher einen Staatstrojaner selbst programmiert: die „Remote Communication Interception Software“ (RCIS). Im Februar 2016 gab das Innenministerium die erste Version zum Einsatz frei. Die Firma TÜV Informationstechnik GmbH hat den Quellcode überprüft, den Bericht darf die Öffentlichkeit jedoch nicht sehen.
Auch die Bundesdatenschutzbeauftragte (BfDI) prüfte den BKA-Trojaner, aber nur in einem „praktischen Test“. Bei solchen „Funktionstests“ wird den Mitarbeitern ein Einsatz simuliert und sie dürfen auf der Bedien-Oberfläche rumklicken. Wir haben die BfDI nach Details zur dieser „datenschutzrechtlichen Kontrolle“ gefragt, aber die Pressestelle lehnt inhaltliche Aussagen ab:
Der Kontrollvorgang ist noch nicht abgeschlossen.
Der Prüfbericht ist noch nicht fertiggestellt.
Der Prüfbericht wird nicht veröffentlicht.
Der Bericht wird als GEHEIM eingestuft.
Damit geben wir uns nicht zufrieden und haben per Informationsfreiheitsgesetz sämtliche Informationen zum Prüfvorgang angefordert.
Da RCIS Version 1.0 aber nur Skype auf Windows abhören kann, arbeitet das BKA seit einem Jahr an Version 2.0. Damit sollen auch Smartphones wie Android und iPhones infiziert und Messenger-Apps wie WhatsApp und Signal mitgelesen werden. Geplant ist, diese Erweiterung noch in diesem Jahr fertig zu programmieren und für den Einsatz freizugeben.
FinSpy: Staatstrojaner als private Dienstleistung
Neben dem selbst gebauten Staatstrojaner setzt das BKA weiterhin auf die kommerzielle Variante FinFisher/FinSpy. Die Behörde hat dieses international berüchtigte Überwachungs-Paket schon 2012 gekauft, ursprünglich als Übergangslösung bis zur Fertigstellung von RCIS. Mittlerweile hat das Innenministerium die Begründung gewechselt: Jetzt dient FinSpy als Ersatz-Trojaner, falls die Eigenentwicklung wieder enttarnt wird. Der eigentliche Grund dürfte aber sein, dass FinSpy all das kann, was RCIS nicht kann.
FinSpy ist immens mächtig und wird als „komplettes Portfolio“ des Hackens beworben. Die Software kann mehr, als das Gesetz erlaubt. Aus diesem Grund setzt das BKA FinSpy bis heute nicht ein, obwohl es schon vor fünf Jahren 150.000 Euro dafür bezahlt hat. Mittlerweile hat der Hersteller die Software schon drei mal überarbeitet, die neuste Version wird noch immer auf Rechtmäßigkeit geprüft. Das Innenministerium hofft, FinSpy bald für den Einsatz freigeben zu können.
Ob der Staat überhaupt Schadsoftware braucht, wird nicht mehr hinterfragt. Vor zwei Jahren gelang das „Strategie- und Forschungszentrum Telekommunikation“ von BKA, Bundespolizei und Verfassungsschutz zur Auffassung, es gäbe keine „grundrechtsschonenden Alternativen“ zum Trojaner-Einsatz. Seitdem wurde die intensivste Überwachungsmethode des Staates zum Alltagsinstrument ausgeweitet.
CCC: „Leumund nur unter Diktatoren fabelhaft“
Falk Garbsch, Sprecher des Chaos Computer Club, kommentiert gegenüber netzpolitik.org:
Sobald die Zugriffsmöglichkeiten per Gesetz in Kraft sind, schert sich niemand mehr um die Versprechen, die einst gegeben wurden: Jetzt werden zum Staatshacken wieder Dienstleistungen von Unternehmen in Anspruch genommen, in die kein Beamter oder Kontrolleur hineinschauen durfte. Man vertraut stattdessen den Zusicherungen und Präsentationen von kommerziellen Anbietern, deren Leumund nur unter Diktatoren fabelhaft ist.
Das staatliche Hacken weiterhin als eine bloße Überwachungsmaßnahme wie jede andere zu verkaufen, ist angesichts der jetzt veröffentlichten Papiere eine dreiste Entstellung der Wahrheit. Kaum ist das Staatstrojaner-Gesetz durch den Bundestag, geht der Staat einerseits auf Shopping-Tour bei mehr als zweifelhaften Anbietern und lässt sich andererseits bei seiner Trojaner-Eigenentwicklung von niemandem in die Karten schauen. Wie nebenbei wird ein Trojaner-Arsenal aufgebaut, als sei es schon normal, dass der Staat die Digitalhirne seiner Bürger hackt.
Hier das Dokument im Volltext:
Geheimhaltungsstufe: Verschlusssache – Nur für den Dienstgebrauch
Datum: 2. Mai 2017
Bericht zur Nr. 10 des Beschlusses des Haushaltsausschusses des Deutschen Bundestages zu TOP 20 der 74. Sitzung am 10. November 2011
Das Bundesministerium des Innern (BMI) berichtet über die Arbeit des Kompetenzzentrums Informationstechnische Überwachung (CC ITÜ) im Bundeskriminalamt (BKA) im Zeitraum 18. Februar 2016 bis 30. April 2017 wie folgt:
1. Einrichtung des CC ITÜ im BKA
Mit der Besetzung des im zurückliegenden Berichtszeitraum noch unbesetzten Dienstpostens des „Forschungs- und Entwicklungskoordinators“ wurde die Einrichtung des Kompetenzzentrums Informationstechnische Überwachung (CC ITÜ) im BKA abgeschlossen.
2. Stand der Maßnahmen im Einzelnen
2.1. Eigenentwicklung Quellen-TKÜ-Software
Das Bundesministerium des Innern hat mit Schreiben vom 22. Februar 2016 den Betrieb der BKA-eigenen Quellen-TKÜ-Software „RCIS 1.0″ nach Abschluss der Überprüfung des Quellcodes der Software durch ein externes Softwareprüflabor und Bestätigung der Konformität mit der „Standardisierenden Leistungsbeschreibung (SLB)“ freigegeben. Die Ergebnisse der Überprüfung wurden der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zur fachlichen Bewertung nach IT-Sicherheits- bzw. datenschutzrechtlichen Aspekten mitgeteilt.
Die BfDI führte Ende August 2016 eine datenschutzrechtliche Kontrolle im Bereich der Quellen-TKÜ im BKA durch, bei der auch ein praktischer Test der eigenentwickelten Quellen-TKÜ-Software des BKA durchgeführt wurde. Die Veröffentlichung des abschließenden Prüfberichts durch die BfDI steht noch aus. Bisher sind keine Punkte bekannt, die im Ergebnis eine Überarbeitung der Software erforderlich machen würden.
Für den Erhalt der Zukunftsfähigkeit von Quellen-TKÜ ist es erforderlich, die Einsatzmöglichkeit der eigenentwickelten Software technisch zu erweitern und auf mobile Plattformen (z. B. Android, Blackberry, Apple iOS) auszudehnen. Das BKA hierzu hat im 3. Quartal 2016 die Weiterentwicklung der „RCIS“ zur Version 2.0 begonnen. Diese soll nach aktueller Planung in 2017 abgeschlossen werden (einschließlich Softwareprüfung und betrieblicher Freigabe).
2.2. Einsatz einer kommerziellen Quellen-TKÜ-Software
Die durch das BKA im Oktober 2012 zum Zwecke der Redundanz, z.B. für den Entdeckungsfall der eingesetzten Software, zusätzlich beschaffte kommerzielle Quellen-TKÜ-Software „FinSpy“ wurde nach erfolgter Überarbeitung durch die Herstellerfirma im Zeitraum Juni 2016 bis Februar 2017 durch ein externes Softwareprüflabor einer erneuten Quellcodeprüfung hinsichtlich ihrer Konformität mit der SLB unterzogen. Die Prüfberichte werden derzeit durch das BKA ausgewertet, darüber hinaus finden funktionale Tests der Quellen-TKÜ-Software „FinSpy“ im BKA statt. Nach positivem Abschluss der funktionalen Tests und Bestätigung der vollständigen SLB-Konformität auf Grundlage der Ergebnisse der Softwareprüfung ist die Freigabe des Einsatzes durch das Bundesministerium des Innern geplant.
2.3. Protokollierungssystem im BKA
Im Januar 2016 erfolgte nach Abschluss der Entwicklungsarbeiten die Erklärung der Einsatzbereitschaft des BKA-Protokollierungssystems „ProSys“, das seitdem uneingeschränkt einsatzbereit ist. Zwischen Februar 2016 und März 2017 wurden Weiterentwicklungen an „ProSys“ durchgeführt, beispielsweise zur Anpassung an die in der Entwicklung befindliche „RCIS“-Version für mobile Plattformen sowie konzeptionelle Vorarbeiten für einen Einsatz von „ProSys“ in den Ländern bei zur Quellen-TKÜ berechtigten Dienststellen außerhalb des BKA.
3. Grundrechtsschonende Alternativen
Für die Erforschung grundrechtsschonender Alternativen zur Quellen-TKÜ hat das Strategie- und Forschungszentrum Telekommunikation (SFZ TK) im Rahmen des Forschungsprojekts „tGATT“ in einer technischen Studie mögliche Alternativen zur Quellen-TKÜ betrachtet. Das Projekt war im April 2015 mit dem Ergebnis abgeschlossen worden, dass eine umfassende bzw. vollwertige Alternative zur Quellen-TKÜ nicht identifiziert werden konnte. Seit Abschluss des Projektes werden der Markt und der Forschungs- und Entwicklungsbereich in Bezug auf grundrechtsschonende Alternativen zur Quellen-TKÜ durch die am SFZ TK beteiligten Behörden im Rahmen der täglichen Arbeit stetig beobachtet. Dabei konnten bislang keine neuen Ansatzpunkte identifiziert werden, die auf Alternativen zur bisherigen Vorgehensweise hindeuten.
