LandeskriminalamtBerlin hat den Staatstrojaner FinFisher gekauft, wir veröffentlichen den Vertrag

In Berlin kam der Staatstrojaner FinFisher mit der Großen Koalition und ging mit der Großen Koalition. Das Land hat die Schadsoftware gekauft, obwohl es sie gar nicht einsetzen durfte – das wäre illegal gewesen. Protokoll eines Fehlkaufs.

Hölzernes Pferd neben Rotem Rathaus
Staatstrojaner in Berlin (Symbolbild) CC-BY-NC 2.0 Simon Pearson, netzpolitik.org

Es passiert nicht oft, dass in der Bundesrepublik ein neues Grundrecht geboren wird. Das Bundesverfassungsgericht kippt 2008 nicht nur den ersten Versuch, dem Staat das Hacken seiner Bürger:innen zu erlauben, sondern schafft dabei das „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“. Dieses Urteil zur Online-Durchsuchung ist etwas Besonderes.

Noch im selben Jahr verabschiedet die Große Koalition im Bundestag ein neues Staatstrojaner-Gesetz. Das Urteil zwingt sie zu vielen Einschränkungen: nur für das Bundeskriminalamt, nur gegen internationalen Terrorismus, nur zur Prävention. Auch eine Quellen-TKÜ – ein „kleiner“ Staatstrojaner, der nur laufende Kommunikation abhört – muss rechtlich und technisch genau darauf beschränkt sein. Das gibt es nicht, also darf auch kein kleiner Trojaner eingesetzt werden, stellt der Generalbundesanwalt klar. All das scheint im Land Berlin nicht anzukommen.

Das Landeskriminalamt der Hauptstadt kauft trotzdem einen Staatstrojaner. Dafür gehen 400.000 Euro Steuergeld an ein berüchtigtes Firmen-Netzwerk, das auch Diktaturen auf der ganzen Welt beliefert: FinFisher. Wir veröffentlichen den Vertrag, den wir per Informationsfreiheitsgesetz erhalten haben.

Große Koalition kommt, FinFisher kommt

Im September 2011 wählen die Berliner ein neues Abgeordnetenhaus, auch 15 Piraten kommen ins Parlament. Die SPD von Bürgermeister Klaus Wowereit führt erst Koalitionsverhandlungen mit den Grünen, entscheidet sich dann aber für eine Große Koalition mit der CDU. Im Koalitionsvertrag vereinbaren sie: „Berlin wird keine landesgesetzliche Befugnis für Onlinedurchsuchungen schaffen.“ Dabei beginnen die Verhandlungen über den Staatstrojaner in Berlin gerade.

Keine drei Wochen vor der Wahl lässt sich das LKA den Staatstrojaner zeigen, den es kaufen will. Wir haben über solche Verkaufsgespräche berichtet und die gezeigten Werbe-Folien veröffentlicht. Darin preist die Firma Gamma ihre Trojaner-Familie FinFisher als „komplettes Portfolio“ des Hackens. Das schätzen auch Diktaturen wie Ägypten, Äthiopien, Bahrain und Uganda, sie setzen FinFisher gegen Aktivisten und Journalisten ein.

Während die Verkaufsgespräche in Berlin laufen, analysiert der Chaos Computer Club einen anderen Staatstrojaner. Die Hacker beweisen, dass das Produkt der hessischen Firma DigiTask eine ganze Reihe gravierender Mängel hat, darunter illegale Funktionen, die rechtlich nicht erlaubt sind. Seit den Enthüllungen wird die Software nicht mehr eingesetzt, mittlerweile ist die Firma DigiTask verkauft.

Ein Trojaner illegal, zwei Trojaner illegal

Auch dieses Debakel beeindruckt die Berliner Polizei offenbar nicht. Noch während Bundestag und Datenschutzbeauftragte aus Land und Bund den DigiTask-Fall aufarbeiten und die Berliner Parteien Koalitionsgespräche führen, lässt sich das LKA Angebote schicken. Eine erste Preisinformation und technische Details kommen zwei Tage vor Unterzeichnung der Koalitionsvereinbarung.

Im September 2012 bekommt die Polizei ein zweites Angebot von der Firma, diesmal mit Lizenzen für Updates und Support. Auf Basis dieser Angebote unterzeichnet das LKA den Staatstrojaner-Vertrag über 400.000 Euro, davon 240.000 für Hard- und Software und 160.000 für Lizenzen und Updates über fünf Jahre. Am 20. Dezember 2012 tritt der Vertrag in Kraft.

Nur einen Tag vorher beantragt die Große Koalition im Abgeordnetenhaus, den Trojaner nur „rechtssicher und technisch sauber“ einzusetzen. Sie fordert eine klare Rechtsgrundlage, „um die Einhaltung der Vorgaben des Bundesverfassungsgerichts in der Praxis auch tatsächlich sicherzustellen“. BSI und Datenschutzbeauftragte sollen die Software prüfen und freigeben, Landesdatenschützer müssen den Quellcode einsehen dürfen. Dieser Antrag wird nie formal beschlossen, sondern „verzögert und versenkt“, berichten Beteiligte. Der Vertrag tritt in Kraft, die Beschränkungen nicht.

Geheimhaltung fordern, Geheimhaltung brechen

Die Berliner Landesregierung versucht, den Hersteller des Staatstrojaners geheim zu halten. Abgeordnete und Öffentlichkeit sollen – wie im Bundestag – den Namen nicht erfahren. Im Vertrag, den wir erhalten, sind Lieferant, Hersteller, Produkt und technische Spezifikationen umfangreich geschwärzt.

Auf eine Kleine Anfrage antwortet CDU-Innensenator Frank Henkel jedoch, dass der Staatstrojaner noch nicht eingesetzt wird, weil das BKA die Software noch prüft und das LKA „die gleiche Software wie das BKA“ hat. Das BKA wiederum hat uns bereits bestätigt, dass es FinFisher gekauft hat. Damit hat die Landesregierung ihre eigene Geheimhaltung unterlaufen und den Hersteller enttarnt, wie sie im Parlament gesteht.

Den Vertrag des Bundeskriminalamts erhalten wir ebenfalls per Informationsfreiheitsgesetz, nachdem wir das BKA verklagen. Doch auch die Bundesbehörde darf FinFisher nicht einsetzen, das „komplette Portfolio des Hackens“ tut weit mehr als das Gesetz erlaubt. Fünf Jahre lang prüft das BKA immer neue Versionen. Es lässt den Hersteller immer wieder nacharbeiten und den Trojaner zurechtstutzen. Erst 2018 erlaubt das Innenministerium den Einsatz, da ist der Vertrag in Berlin schon wieder beendet.

FinFisher kaufen, aber nicht einsetzen

Das Berliner Abgeordnetenhaus fordert ab 2015 einen jährlichen Bericht über Einsätze beider Trojaner-Arten: Online-Durchsuchung und Quellen-TKÜ. Die Regierung antwortet Jahr für Jahr, dass es keine Einsätze gibt: bis 2015, 2015, 2016, 2017 und 2018 werden „keine Maßnahmen durchgeführt“.

Im September 2016 wird das Abgeordnetenhaus neu gewählt, eine rot-rot-grüne Landesregierung löst die Große Koalition ab. Im Koalitionsvertrag vereinbaren die Parteien, dass sie „anlasslose Quellen-TKÜ“ ablehnen und „die Integrität datenverarbeitender Systeme“ schützen – sie betonen das neue IT-Grundrecht.

Im Frühjahr 2017 kündigt das LKA den Vertrag. Nur einen Monat später beschließt der Bundestag eine massive Ausweitung von Staatstrojaner-Einsätzen, doch Berlin hat sich entschieden: Der Staatstrojaner-Vertrag ist zum Jahreswechsel 2017/2018 außer Kraft. Nur Wochen später gibt das Bundesinnenministerium FinFisher zum Einsatz frei – zu spät für Berlin.

Große Koalition geht, FinFisher geht

Die Große Koalition kauft FinFisher trotz unüberwindbarer rechtlicher Probleme, Rot-Rot-Grün schafft den berüchtigten Staatstrojaner wieder ab. In der Rückschau drängt sich diese Interpretation auf. Aber die neue Regierung brüstet sich nie mit der Abschaffung, alles passiert unter dem Radar. Manche Landespolitiker:innen vermuten ein Zugeständnis an die SPD: Die Sozialdemokraten stimmen zu, dafür macht man das nicht groß öffentlich.

Auf Anfrage hält sich SPD-Innensenator Andreas Geisel bedeckt. Ein Sprecher kommentiert lediglich: „Aufwand und Nutzen [von FinFisher] standen für die Polizei nicht in einem angemessenen Verhältnis.“ Und „der Senat steht zu den Vereinbarungen, die im Koalitionsvertrag festgeschrieben wurden“.

Doch ganz ohne Staatstrojaner steht Berlin auch jetzt nicht da. Das BKA hat nicht nur FinFisher gekauft, sondern auch einen eigenen Trojaner entwickelt: die „Remote Communication Interception Software“, kurz RCIS. Eine erste Version für Windows-Desktops wurde im Februar 2016 für den Einsatz freigegeben, eine zweite Version für mobile Geräte Anfang 2018.

Diesen vom Staat programmierten Staatstrojaner darf auch die Berliner Polizei einsetzen, über eine Schnittstelle für die Bundesländer. Bei der Kündigung des FinFisher-Vertrags war die Länderschnittstelle noch in Arbeit. Ob sie mittlerweile fertig ist, fragen wir den Innensenator. Der verweist uns ans BKA. Das gibt uns „keine Auskünfte zu technischen Details polizeilicher Einsatzmittel“ – aus „polizeitaktischen Gründen“.

Diese Recherche beginnt vor einem Jahr mit einer Anfrage auf FragDenStaat. Das LKA lehnt den Antrag ab, wir legen Widerspruch ein. In einem ähnlichen Fall haben wir das BKA verklagt. Danach sagt das LKA zu, den Vertrag herauszugeben, aber nur mit umfangreichen Schwärzungen und gegen eine Gebühr von 419 Euro. Wir stimmen zu, daraufhin erhalten und veröffentlichen wir den geschwärzten Vertrag. Dafür müssen wir 211 Euro bezahlen.

Hier klicken, um den Inhalt von fragdenstaat.de anzuzeigen

5 Ergänzungen

  1. Der verlinkte Vertrag des Quellen-TKÜ auf fragdenstaat.de ist noch nicht veröffentlicht.

  2. Wieso habt ihr nicht die Eier das ungeschwärzt zu veröffentlichen? Schön die Täter schützen oder wa?

    1. Wir haben leider nur die geschwärzte Version. Wenn wir eine ungeschwärzte Version erhalten, veröffentlichen wir gerne auch die. Schickst du sie uns?

  3. Seite 18 des Vertrages :
    Punkt 9.3:

    „Keine Haftung für Free und Shareware Inhalten von Dritten…..“

    Oh jeh, oh jeh…..seit wann ist das erlaubt ?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.