Schadsoftware-BereinigungBKA nutzt Emotet-Takedown als Türöffner für mehr Befugnisse und neue Gesetze

Das Bundeskriminalamt hat ein Schadsoftware-Update auf zehntausenden Windows-PCs weltweit installiert, um sie zu bereinigen. Experten kritisieren die konstruierte Rechtsgrundlage dieser brisanten Aktion. Der BKA-Präsident fordert, das Gesetz an die Praxis anzupassen.

Polizist vor Monitor
„Cyberpolizei“ am Rechner des Emotet-Admins. – Alle Rechte vorbehalten Nationalpolizei der Ukraine

Satelliten sind im Weltraum, deshalb muss sich der Bundesnachrichtendienst beim Abhören nicht an das Grundgesetz halten. Diese Weltraumtheorie hat der Auslandsgeheimdienst im Geheimen entwickelt und jahrelang danach gehandelt. Nachdem die Öffentlichkeit davon erfuhr, war klar: Der BND handelt illegal. Als Konsequenz hat die Große Koalition das Gesetz an die Praxis der Geheimdienste angepasst: Alles, was der BND macht, wurde einfach legalisiert.

Das Bundeskriminalamt scheint dieses Vorgehen als Vorbild zu nehmen und nachzumachen.

Ende Januar hat das BKA die Infrastruktur der Schadsoftware Emotet „übernommen und zerschlagen“. Um die Software „auf zahlreichen Opfersystemen für die Täter unbrauchbar [zu machen]“, hat die deutsche Polizei in zehntausende Windows-Rechner eingegriffen und Software ausgeführt.

Diese heikle Aktion ist weltweit einmalig und rechtlich mindestens fragwürdig, wenn nicht sogar rechtswidrig. Im Bundestag gab BKA-Präsident Holger Münch zu, dass es für eine komplette Bereinigung der Systeme keine Rechtsgrundlage gibt und die Aktion an der Grenze des rechtlich Möglichen stattfand. Wir veröffentlichen das Protokoll der Innenausschuss-Sitzung (wie gewohnt) in Volltext.

Veränderte Software eingespielt

Die Schadsoftware Emotet infiziert Windows-Systeme über E-Mail-Anhänge und kann weitere Schadsoftware nachladen, zum Beispiel um Zugangsdaten für Onlinebanking auszuforschen oder Daten mit Ransomware zu verschlüsseln. Die Zentralstelle zur Bekämpfung der Internet- und Computerkriminalität der Generalstaatsanwaltschaft Frankfurt am Main und das BKA ermitteln seit 2018 gegen die Betreiber des Emotet-Botnetzes.

Am 26. Januar sind Polizeibehörden in mehreren Staaten gegen Emotet vorgegangen, darunter in der Ukraine, den Niederlanden, Großbritannien und den USA.

Die ukrainischen Strafverfolger nahmen einen Mann fest, der als Administrator gilt. Weitere Täter sind noch nicht bekannt und sollen noch ermittelt werden. Die Ermittler haben weltweit mindestens 700 Server abgeschaltet. Dabei bekam die Polizei auch Zugriff auf die drei zentralen Command-and-Control-Server, von denen zwei in den Niederlanden standen. Die Niederländische Polizei sagt, sie habe Hacking-Befugisse genutzt, um in die Infrastruktur einzugreifen.

Das Bundeskriminalamt war bei den Durchsuchungen in der Ukraine dabei. BKA-Chef Münch sagt, sie „haben den offenen Rechner des Täters genutzt“. Die Nationalpolizei der Ukraine zeigt in einem Video, wie Polizeibeamte beim mutmaßlichen Administrator Computer bedienen. Laut BKA-Präsident Münch hat die deutsche Polizei „über diesen Weg dann eine veränderte Version der Malware Emotet über ein Update-Kommando eingespielt“.

Update zur Bereinigung

IT-Sicherheitsforschern fiel die Update-Software schnell auf und sie analysierten ihr Verhalten. Laut dem BKA-Präsident soll der zugehörige Code veröffentlicht werden, „damit wir da auch transparent sind“. Wir veröffentlichen an dieser Stelle die ausgelieferte Update-Datei (Achtung, Schadsoftware).

Nach der Installation dieses Updates kommunizieren die Emotet-Bots mit Servern bei der Deutschen Telekom und melden ihre IP-Adresse, Rechner-Name und laufende Programme. Das läuft bis zum 25. April, dann deinstalliert sich die staatliche Emotet-Version und löscht die dazugehörigen Windows-Einträge. Die Rechner werden also bereinigt.

Die „Programmierung der veränderten Emotet-Software“ und „die Anmietung eines Servers“ hat das BKA nicht selbst gemacht, sondern die deutsche Firma G-Data. Auf unsere wiederholten Presseanfragen hat die Aktiengesellschaft mit Hauptsitz in Bochum nicht geantwortet.

Zehntausende Rechner weltweit

Das BKA hat die Software auf zehntausenden Windows-Rechnern installiert, der BKA-Präsident nennt „über 53.000 betroffene Systeme“. In der Pressemitteilung sprach das BKA noch von „deutschen Opfersystemen“. Im Bundestag sagte Präsident Münch jedoch, dass die Aktion „nicht nur in Deutschland umgesetzt wurde“. Das bedeutet, dass die deutsche Polizei Software auf Windows-PCs in der ganzen Welt ausgeführt hat.

Auf Anfrage wollte das BKA nicht sagen, wie viele Rechner in welchen Länder betroffen waren, nur dass die Opfersysteme „weltweit verteilt“ sind. Die Generalstaatsanwaltschaft Frankfurt und das Bundesamt für Sicherheit in der Informationstechnik wollen sich ebenfalls nicht äußern, weil das Ermittlungsverfahren andauert.

Das BSI hat die vom BKA ermittelten IP-Adressen betroffener Rechner an die zuständigen Provider weitergeleitet. Die Deutsche Telekom sagte nur für ihr Netz: „Die Zahl betroffener Kunden hatte schon vor dem Takedown die 100.000er-Marke deutlich überschritten.“ Mit der den Erkenntnissen des BSI sei diese Zahl „noch einmal signifikant angestiegen“, so ein Sprecher des Unternehmens.

Hunderttausend bis Million

Bei internationalen IP-Adressen informiert das Bundesamt die jeweiligen nationalen Stellen, es hat „in diesem Zusammenhang mit über 100 nationalen CERTs Kontakt aufgenommen“. Laut dem amerikanischen FBI waren „etwa 1,6 Millionen Computer weltweit mit der Emotet-Malware infiziert“, davon „über 45.000 in den USA“.

Die Niederländische Polizei veröffentlichte mehrere Screenshots der Admin-Oberfläche, darunter eine Rangliste betroffener Staaten. Demzufolge sind die am meisten betroffenen Länder Brasilien, Südafrika, USA, Italien, Mexiko, Frankreich, Griechenland und Argentinien. Wir haben die Botschaften dieser Staaten gefragt, was sie von der Aktion des BKA halten – eine inhaltliche Antwort erhielten wir nicht.

Das Auswärtige Amt haben wir gefragt, wie es die Aktion völkerrechtlich und diplomatisch bewertet und wie die Diplomaten es fänden, wenn eine Staatsanwaltschaft in Porto Alegre oder Pretoria eine solche Aktion auf tausenden Rechnern in Deutschland durchführen würde. Das Außenministerium verweigerte eine Antwort und verwies uns stattdessen an Innenministerium und Polizei.

Bereinigung oder Beweiserhebung

Das BKA stützt die Emotet-Bereinigung auf Beschlagnahmebeschlüsse des Amtsgerichts Gießen auf Antrag der Generalstaatsanwaltschaft Frankfurt. Im Bundestag behauptete der Parlamentarische Staatssekretär des Innenministeriums Günter Krings, „die Entscheidung des Amtsgerichts [ist] durchaus auch einsehbar“. Das Amtsgericht Gießen hat auf unsere wiederholte Presseanfrage nicht geantwortet. Die Generalstaatsanwaltschaft teilt mit, es ist „leider nicht möglich, Ihnen eine zitierfähige Zusammenfassung oder die Originaldokumente zukommen zu lassen“.

Im Bundestag war das BKA auskunftsfreudiger. Präsident Münch bezeichnete das Software-Update zur Bereinigung juristisch als Beschlagnahme mit technischen Mitteln. Demnach dient die Maßnahme dazu, die Bots zu zählen und zu identifizieren, um diese Daten als Beweise in Ermittlungs- und Strafverfahren nutzen zu können – auch wenn in Deutschland noch gar kein Beschuldigter bekannt ist. Die Bereinigung war demnach nur ein angenehmer Nebeneffekt.

Diese Begründung ist nur zu erklären, weil es kein anderes Gesetz gibt, das dem BKA eine solche Aktion erlauben würde. Der BKA-Präsident gab im Bundestag zu, das war eine „Sondersituation“: „Alternative Mittel standen uns jetzt nicht zur Verfügung, auch rechtlich nicht.“ Die Beschlagnahme zur Bereinigung ist die Weltraumtheorie des BKA – ohne dieses Rechtskonstrukt wäre es illegal.

Schlicht keinerlei Rechtsgrundlage

Das Ausführen von Software auf fremden Rechnern ist ein Eingriff in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität von IT-Systemen. Das Bundesverfassungsgericht hatte das Computer-Grundrecht im Staatstrojaner-Urteil etabliert und Eingriffe nur unter hohen Hürden erlaubt.

Ulf Buermeyer, dessen NGO Gesellschaft für Freiheitsrechte beim Bundesverfassungsgericht Verfassungsbeschwerde gegen den Staatstrojaner eingereicht hat, erklärt: „Für Manipulationen an IT-Systemen gibt es – abgesehen von Online-Durchsuchung und Quellen-Telekommunikationsüberwachung – schlicht keinerlei Rechtsgrundlage. Das gilt auch für die vermeintliche ‚Bereinigung‘ von IT-Systemen.“

Buermeyer, der viele Jahre als Strafrichter am Landgericht Berlin tätig war, kritisiert konkret die vom BKA-Chef genannten Paragrafen: „Insbesondere lassen sich solche Maßnahmen nicht auf §§ 94, 98 StPO oder § 100h StPO stützen, weil eine ‚Bereinigung‘ stets einen Eingriff in die IT-Systeme bedeutet, der über die Beweiserhebung weit hinaus geht. Zudem bringen solche Eingriffe unkalkulierbare Risiken für die Stabilität der manipulierten IT-Systeme mit sich.“

Der Jurist Dennis-Kenji Kipker stimmt zu: „Der Schwerpunkt dieser Maßnahme ist nach wie vor die Gefahrenabwehr. Somit sind die hier verwendeten Rechtsgrundlagen aus der Strafprozeßordnung kein taugliches Mittel, um den Eingriff in das Computer-Grundrecht zu legitimieren. Außerdem werden konkrete Datenveränderungen an den IT-Systemen einer Vielzahl völlig Unbeteiligter vorgenommen. Hier lediglich von einer ‚Beweiserhebung‘ zu sprechen, dürfte inhaltlich nicht nur bedenklich, sondern mehr sogar kaum haltbar sein.“

Keine informierte Einwilligung

Die Betroffenen wurden nicht gefragt, ob das BKA Software auf ihren Computern verändern soll oder nicht. Sie wussten nichts davon, dass die Polizei ein Update installiert. Die Betroffenen sollen zwar im Nachhinein von ihrem Internet-Zugangsanbieter darüber informiert werden, eine Garantie gibt es dafür aber nicht, erst recht nicht weltweit.

Ein Sprecher des BSI sagt aus Erfahrungen mit früheren Benachrichtigungen, „dass zahlreiche Provider ihre Kunden informieren“ und bei der Emotet-Zerschlagung in einigen Fällen „Partner-CERTs“ die Rückmeldung gegeben hätten, dass Endkunden informiert wurden. Eine Bestätigung in allen Einzelfällen gibt es jedoch nicht. (Wenn Sie eine solche Benachrichtigung erhalten haben, melden Sie sich bitte bei uns.)

Seitdem es Botnetze gibt, werden sie immer wieder abgeschaltet. Bisher hat es gereicht, die zentralen Server zu übernehmen oder zu beschlagnahmen, welche die Bots steuern. Internet-Anbieter wie die Deutsche Telekom blockieren solche Command-and-Control-Server, wenn sie entdeckt werden. Bisher wird den Betroffenen eine Bereinigung ihrer Rechner empfohlen, aber sie bleibt freiwillig und muss selbst durchgeführt werden.

BKA-Präsident Münch gibt zu, für eine „Komplettbereinigung der Opfersysteme […] gibt es keine Rechtsgrundlage“. Er ergänzt: „Ganz klar, wir sind hier an der Grenze zur Gefahrenabwehr“. Gefahrenabwehr ist im deutschen Föderalismus Sache der Bundesländer. Das Bundeskriminalamt darf das nicht.

Gesetz an Praxis anpassen

Der BKA-Präsident fordert, dass das Gesetz an die Praxis angepasst wird und das BKA eine Rechtsgrundlage dafür bekommt, was es jetzt schon gemacht hat. Der CDU-Abgeordnete Philipp Amthor stimmt ihm zu: „Wir müssen dafür sorgen, dass die Rechtsgrundlagen auch das hergeben, was an Ermittlungserfolg jetzt möglich wurde.“ Und: „Der rechtspolitische Wille ist auf jeden Fall da, dass das, was tatsächlich passiert ist, so auch umgesetzt werden kann.“

Die SPD ist offen, das Gesetz an die Polizei anzupassen. Der Abgeordnete Sebastian Hartmann sagt: „Wir sind aktuell in Diskussionen, wollen ja auch entsprechende Rechtsgrundlagen schaffen und auch anpassen.“ Er will wissen: „Was ist genau der Punkt gewesen, ab dem Sie gesagt haben, bis hier hin und nicht weiter?“ Auch die Opposition spendet Beifall, fast alle Abgeordneten gratulieren und beglückwünschen den BKA-Präsidenten. Der FDP-Abgeordnete Manuel Höferlin fragt gleich nach einer Wunschliste, „was Sie da noch gern sonst so gemacht hätten, was nicht ging“.

Nur Martina Renner von der Linken findet es „befremdlich, […] dass die Gesetzgebung an der Praxis der Behörden zu entwickeln sei. Ich denke eigentlich war die Idee andersherum, dass sich die Behörden an der Gesetzgebung orientieren.“ Renner kennt diese Vorgehensweise: Sie war jahrelang im Geheimdienst-Untersuchungsausschuss nach den Snowden-Enthüllungen, der die Rechtsbrüche des BND aufdeckte. Die Weltraumtheorie war illegal. Aber statt die Praxis an das Gesetz anzupassen, hat die Große Koalition das Gesetz an die Praxis angepasst.

Das Bundeskriminalamt scheint dieses Vorgehen als Vorbild zu nehmen und nachzumachen.


Hier das Protokoll in Volltext:


  • Datum: 10. Februar 2021
  • Einstufung: Nur zur dienstlichen Verwendung
  • Organ: Deutscher Bundestag
  • Ausschuss: Inneres und Heimat

Kurz-/Wortprotokoll der 119. Sitzung

[…]

Tagesordnungspunkt 14: Unterrichtung des Präsidenten des Bundeskriminalamts Holger Münch zur Zerschlagung der Schadstoffsoftware Emotet

Vors. Andrea Lindholz (CDU/CSU): Wir kommen zu TOP 14 – Unterrichtung des Präsidenten des Bundeskriminalamts Holger Münch zur Zerschlagung der Schadstoffsoftware Emotet. Vielen Dank, Herr Münch, dass Sie angeboten haben, uns hierzu zu berichten. Ich würde zunächst der Bundesregierung und anschließend Herrn Münch das Wort geben und dann in die Fragerunde einsteigen.

PSt Dr. Günter Krings (BMI): Im Interesse der Zeit würde ich Herrn Münch gleich das Wort geben.

Vors. Andrea Lindholz (CDU/CSU): Dann direkt zu Herrn Münch.

Präs Holger Münch (BKA): Vielen Dank, Herr Krings, das Angebot nehme ich gern an. Guten Morgen auch von mir. Ich würde Ihnen gern darstellen, wie die Maßnahmen waren, was wir auch genau gemacht haben in dem Ermittlungsverfahren Emotet und auch für weitere Hintergründe zu den technischen Maßnahmen noch einmal zur Verfügung stehen, damit ich Ihre Fragen hier beantworten kann. Ich will so einsteigen, dass wir das Ermittlungsverfahren 2018 begonnen haben unter Sachleitung der Generalstaatsanwaltschaft Frankfurt.

Zur Frage Malware Emotet, welche Täter stehen dahinter? Emotet ist ursprünglich ein Banking-Trojaner gewesen, 2014 das erste Mal festgestellt, wurde dann aber weiterentwickelt durch die Täter zu einem sogenannten Downloader. Das heißt im Prinzip, wenn Sie diese Software, diese Malware, auf dem Rechner haben, dann haben Sie nicht nur ein Schadprogramm, sondern auch die Möglichkeit, dass andere Schadprogramme über diese offene Tür nachgeladen werden. Und das war auch das Geschäftsmodell, wie es weiterentwickelt wurde. Das Schadenspotential ist entsprechend dadurch hoch, weil eben diese infizierten Rechner dann quasi durch andere Schadsoftware weiter infiziert werden können. Das BSI hat das mal „König der Malware“ genannt.

Andere Ziele in Deutschland waren Behörden, waren Kommunen, Städte, auch Krankenhäuser, also KRITIS-Einrichtungen. Und der Aufbau dieser Emotet-Infrastruktur, die wir dann seit 2018 haben aufklären können, ist schon hochkomplex, ist modular, ist IP-basiert, das heißt ein Server kann leicht getauscht haben, man muss die gleiche IP-Adresse dann wieder neu anmelden und schon funktioniert es wieder. Damit war es auch sehr, sehr flexibel. Wir haben Ihnen das mal in einem Bild auf den Tisch gelegt (Anlage).

Es ist also im Prinzip so, dass über mehrere Ebenen die Kommunikation läuft, Tiers genannt. Auf Tier 1 läuft die Kommunikation mit den infizierten Rechnern und die Täter steuern quasi die Befehle über zwei weitere Server-Ebenen, sodass es nicht leicht ist, am Ende auch die Täter zu identifizieren, ist aber gelungen. Es gibt dann noch drei Schichten – warum die Täter das gemacht haben, das wissen wir nicht. Sie können auch Teile des Netzes offensichtlich vermarkten und nicht das ganze Netz. Also sie haben es noch einmal auch horizontal strukturiert. Aber das ist noch nicht ganz klar, warum sie das gemacht haben.

Wir haben mit unseren Maßnahmen hier aus Deutschland einen ukrainischen Staatsangehörigen als Server-Administrator identifizieren können, der quasi der Tätergruppe dann auch als derjenige diente, der die Befehle quasi einspielte. Es gab auch Hinweise auf weitere Täter, aber aktueller Stand ist: Wir sind noch dabei, weitere Täter zu identifizieren. Um das zu tun, sind wir am 26. Januar in die offenen Maßnahmen gegangen. Bedeutet: Klassische Durchsuchungsmaßnahmen zur Beweissicherung bei dem identifizieren Täter in der Ukraine mit entsprechenden Rechtshilfebeschlüssen durch die ukrainischen Kollegen unter Begleitung von BKA-Beamten, auch amerikanische Kollegen waren dabei mit dem Ergebnis entsprechender Sicherstellung, auch noch bei zwei Zeugen, die natürlich noch ausgewertet werden müssen.

Wir haben das aber flankiert mit sogenannten Take-Down-Maßnahmen zur Malware Emotet selbst. Das heißt Beschlagnahme von täterseitig genutzter Server-Infrastruktur, gleichzeitig ersetzen durch eigene, die wir über einen Dienstleister haben dann auch konfigurieren lassen, ein sogenanntes Sinkhole, zu dem dann die Schadsoftware kommunizieren soll. Und wir haben den offenen Rechner des Täters genutzt, um über diesen Weg dann eine veränderte Version der Malware Emotet über ein Update-Kommando einzuspielen. Und diese angepasste Version hatte den Auftrag, quasi die infizierten Rechner zu dem Sinkhole kommunizieren zu lassen, also im Prinzip die Adresse zu verändern, bei der sich dann diese Bots melden. Das war im Prinzip das, was wir getan haben. Ich gehe gleich noch einmal kurz darauf ein, was das bedeutet: Grundlage für diese Maßnahmen – das ist eine der Fragen, die jetzt auch aktuell schon diskutiert wird in den Medien – waren Beschlagnahmebeschlüsse des zuständigen Amtsgerichts hier in Deutschland in Gießen.

Warum Beschlagnahme? Weil die infizierten IT-Systeme Beweismittel nach der Strafprozessordnung darstellen und auch auf andere Weise als durch eine körperliche Ingewahrsamnahme des Systems eine solche Beschlagnahme erfolgen kann und nach dem Grundsatz der Verhältnismäßigkeit hier das auch so gemacht werden sollte, nämlich den Tätern die Zugriffsmöglichkeit zu nehmen, aber lediglich auf das Schadprogramm Einfluss zu nehmen und nicht auf sonstige Inhalte des Systems. Und auch nur soweit, dass das Schadprogramm deaktiviert wurde und damit aber als Beweismittel weiterhin zur Verfügung steht auf dem Rechner. Um diese Lokalisierung zu bewerkstelligen, mussten also dann auch Informationen ausgeleitet werden, die für die Identifizierung erforderlich sind, das heißt, diese Veränderung sorgt dafür, dass die Bots eine IP-Adresse mit Zeitstempel den Rechnernamen jetzt melden an das Sinkhole und über diesen Weg dann die Identifizierung möglich ist. Inhalte werden nicht ausgeleitet. Und das war unter den gegebenen Umständen der niedrigschwelligste Eingriff, um sicherzustellen, dass wir die Opfersysteme auch feststellen können.

Warum Einsatz technischer Mittel? Weil die Ausleitung der Daten nur unter Einsatz einer Software erfolgen konnte und insofern war der Einsatz solch technischer Mittel gemäß § 100h StPO zu ergänzen. Das ist also die Rechtssituation. Im Übrigen war es so, dass dieser deutsche Beschluss nicht nur in Deutschland umgesetzt wurde. Die Server waren in mehreren Ländern. Wir haben jetzt die Ebene 3, die von Relevanz war. Das sind nur noch einige Server, zwei davon standen in den Niederlanden. Und insofern ist dieser Beschluss auch in den Niederlanden über eine europäische Ermittlungsanordnung umgesetzt worden – nach niederländischem Recht. Den ganzen Maßnahmen ging eine intensive Zusammenarbeit voraus mit den Niederlanden, aber darüber hinaus auch mit Großbritannien, Frankreich und den USA, wo weitere Server-Standorte waren und die auch Ermittlungsverfahren wegen der Schäden im eigenen Land hatten.

Ziel neben der Beweismittelerhebung war auch eine Informationsweitergabe über die Infektion an die Betroffenen, weil ja neben Emotet auch noch weitere Schadsoftware auf den Systemen vorhanden sein dürfte. Insofern wurde die Information zu den Opfersystemen im Auftrag der Staatsanwaltschaft weitergeleitet an das BSI und auch dieser Prozess war im Vorhinein abgestimmt. Das BSI benachrichtigt über die ermittelten IP-Adressen die zuständigen Provider, beziehungsweise im Ausland geht das über die CERTs, also die jeweiligen Verbindungsstellen mit der Aufforderung, die gesetzlich vorgesehene Benachrichtigung der betroffenen Kunden vorzunehmen. Und diese Version, die wir installiert haben, wird sich am 25. April selbst deinstallieren. Dann ist diese Maßnahme beendet.

Wie funktioniert das jetzt, was ist die Technik im Hintergrund? Oder was macht das, was wir da im Programmcode geschrieben haben? Diese veränderte Version sorgt dafür, dass die täterseitig installierte Emotet-Version inaktiv ist, sie wird quasi in Quarantäne verschoben. Das passiert auch bei sonstigen Updates, wird also auf der Festplatte so verschoben, dass es nicht mehr selbst kommuniziert. Und die Kommunikationsparameter werden wie geschildert geändert, sodass eben an dem Server, den wir aufgestellt haben, dem „Strafverfolgungs-Sinkhole“, die Kommunikation anlandet. Sie sorgt damit auch dafür, dass die Täter die Computersysteme nicht mehr einfach zurückerobern können, jedenfalls nicht über den Weg Emotet.

Was passiert jetzt nach dem 25. April? Dann endet diese klar definierte Maßnahme zur Beweissicherung und der Programm-Code wird sich deinstallieren. Sie endet auch dort, wo sich die Rechner erst später einschalten und dieses Update dann bekommen. Das täterseitig installierte Emotet, dieser Emotet-Code bleibt auf den Rechnern, ist aber weiterhin inaktiv, weil wie gesagt verschoben. Weitere Malware-Varianten, die auf den Rechnern, auf den Opfersystemen sind, sind von den Maßnahmen nicht betroffen. Sie können also auch nur durch eine Bereinigung von den Anwendern selbst entfernt werden und dazu gibt es dann über das BSI Bereinigungshilfen, die dann angeboten werden.

Aktueller Sachstand ist, dass über 53.000 betroffene Systeme mit dem Sinkhole kommunizieren. Wir haben da übrigens eine Echtzählung, weil der Bot-Name immer mit übertragen wird – also wir zählen nicht die IP-Adressen, die können ja wechseln – sondern die Bots. Diese Informationen werden fortlaufend jetzt dem BSI übermittelt mit dem Ziel, eben diese auch weltweit zu verteilen. Bislang konnten wir auch schon feststellen, dass weitere, ich nenne das mal „wertige Ziele“ auch in Deutschland angegriffen wurden und jetzt damit bekannt wurden, die das sicher noch nicht selber wussten. Das betrifft auch Kommunen und Städte, das betrifft auch einen sehr bekannten Profisportverein, den ich jetzt aber nicht nennen möchte. Aber solche Ziele sind eben auch dabei.

Was die Nachhaltigkeit der Maßnahme angeht, so ist das aktuell noch schwer einschätzbar. Zum einen ist es so, dass es den Tätern schwerfallen dürfte, die Infrastruktur noch zurückzuerobern, auch wegen der vielen Sicherstellungen, die wir gemacht haben und der Quarantäne-Verschiebung. Das lässt also eine gewisse Nachhaltigkeit vermuten. Die Möglichkeit für die Täterseite besteht natürlich theoretisch über weitere vorhandene Malware. Sie wissen „Trickbot“ und andere, „Ryuk“, sind über einen Weg eingebracht worden, dass darüber natürlich auch über diese Möglichkeiten wieder eine Neuinfektion, andere Infektionen, gesteuert werden könnte. Denkbar ist auch ein komplettes Neuaufsetzen mit entsprechenden Spam-Wellen, um ein neues Emotet aufzubauen – das ist natürlich nicht auszuschließen. Und insofern müssen wir sicherstellen, dass auch eine Komplettbereinigung am Ende stattfindet. Das heißt, dass die Aufforderung möglichst bei den Usern ankommt, bei den Betroffenen ankommt und auch umgesetzt wird.

Was die Bereinigungssicherheit angeht, muss man sagen, es hängt an zwei Fragestellungen: Lassen sich alle identifizieren? Das ist unklar, das hängt immer davon ab, ob die IP-Adresse noch nachverfolgt werden kann und um was für eine IP-Adresse es sich handelt. Sie wissen, wenn man jetzt über Hotspots etc. reingeht und dort nicht gespeichert ist, dann lässt sich der PC nicht eindeutig identifizieren. Das ist eine Lücke. Und das zweite ist, ob die Kunden die Brisanz verstehen und ein Interesse an der Bereinigung haben. Insofern muss das auch begleitet werden, damit auch am Ende wirklich auch andere Schadsoftware umgesetzt wird. Alternative Mittel standen uns jetzt nicht zur Verfügung, auch rechtlich nicht. Da gehe ich gleich noch einmal kurz drauf ein: Eine Komplettbereinigung der Opfersysteme, die theoretisch denkbar ist, technisch möglich ist, dafür gibt es keine Rechtsgrundlage, das wäre ein klar präventiv polizeilicher Eingriff gewesen. Und umgekehrt mildere Mittel, also nur die Übermittlung von Kontaktadressen, das war technisch bedingt nicht möglich, sodass wir über diesen Weg auch die Identifizierung durchführen mussten.

Soweit zu den bisher getroffenen Maßnahmen. Wie geht es weiter? Für die wirksame Bekämpfung des Botnetzes werden wir die Maßnahmen bis zum 25. April fortführen und dann werden sie eingestellt. Was die Ermittlung zu den Tätern angeht, so werden wir die sichergestellten Daten auswerten. Wir haben die gespiegelt bekommen von den ukrainischen Kollegen und werden die hier in Deutschland weiter auswerten. Und wir versuchen also auch hier, die Tätergruppe, die dahinter steht, näher zu identifizieren.

Was sind aus meiner Sicht die Ableitungen aus dem Sachverhalt? Was auch gerade diskutiert wird: Ganz klar, wir sind hier an der Grenze zur Gefahrenabwehr, wo nicht klar geregelt ist, wie das in Deutschland funktionieren soll. Reine Take-Down-, reine Bereinigungsmaßnahmen, verfolgen in der Regel ja keine strafprozessualen Zielrichtungen. Hier hatten wir eine Sondersituation, die wir genutzt haben, die auch die Generalstaatsanwaltschaft Frankfurt mit dem Amtsgericht Gießen umgesetzt hat. Maßnahmen solcher Art können sich an strafprozessuale Ermittlungsverfahren anschließen oder parallel laufen, wie in diesem Fallbeispiel Botnetz, könnte aber auch anders beginnen, nämlich durch einen Cyberangriff, also schon über die präventive Arbeit.

Der Rückgriff auf das Gefahrenabwehrrecht eines Bundeslandes, was man ja überlegen könnte, scheidet hier aus. Wenn Sie das prüfen, kommen Sie an Grenzen, weil Sie ja immer alle Bundesländer betroffen haben, weil Sie ja nie wissen, wo die Geräte stehen. Länderübergreifende Gefahren nach Landespolizeirecht umzusetzen, das ist bislang in Deutschland nicht gelungen, weil die Landespolizeigesetze zu unterschiedlich sind, Sie quasi im „Geleitzugprinzip“ alle dahinter versammeln müssten. Wir hatten dieses Fallbeispiel in der Vergangenheit, wo Botnetze im Ausland ausgehoben worden sind und die Frage gestellt wurde, sollen wir einen Stopp-Befehl nach Deutschland senden, und wir konnten das nicht tun, weil wir kein Go aus allen Bundesländern bekommen haben. Das ist also die Lücke, die wir haben.

Und das BKA hat umfassende Zuständigkeiten und Befugnisse in der Strafverfolgung, aber eben keine parallelen Aufgaben/Befugnisse für Gefahrenabwehr im Cyberraum. Wir sind nur repressiv zuständig für KRITIS oder Behörden und Einrichtungen des Bundes. Die einzige Ausnahme wäre, wenn Schutzpersonen des Bundes betroffen sind oder es sich um Cyber-Terrorismus handelt. Aber das betrifft eben nicht solche allgemeinen Maßnahmen, wie wir sie hier vorliegen haben. Heißt, das Thema, was hier ja auch schon rauf und runter diskutiert wurde – neue Aufgaben der Cyberabwehr im Bund – also eine Präventivbefugnis, die sich orientiert an dem Beispiel internationaler Terrorismus, was bedeuten würde: Zuständigkeit, wenn Bundeseinrichtungen, wenn kritische Infrastrukturen betroffen sind oder länderübergreifende Gefahr oder keine Landespolizei-Zuständigkeit erkennbar oder ein Ersuchen aus dem Land plus die entsprechend klar geregelten Befugnisse ohne eben auf solche allgemeinen Befugnisse zurückgreifen zu müssen, das zeigt der Sachverhalt, das macht Sinn aus meiner Sicht.

Zweite Ableitung, die ich da noch entnehmen möchte, ist: Wenn wir uns die Strafandrohung bei Computer-Straftaten anschauen, dann ist das aktuell „Bagatellkriminalität“. Die Strafandrohung hier in §§ 202a ff., 303a ff. ist: Freiheitsstrafe bis zu zwei, maximal drei Jahren. Das ist ungefähr so wie Beleidigung oder unbefugter Gebrauch eines Fahrzeugs. Also das ist ein Thema, genauso wie Thema solche Qualifizierungstatbestände für Computer-Straftaten einzuführen und sie auch im Katalog der Kommunikationsüberwachung, die man zwingend braucht für die Server–Kommunikationsüberwachung – zu hinterlegen und auch für die Abfrage von Vorratsdaten.

Wir werden – letzter Punkt – auch noch einmal sehen, wie weit wir jetzt kommen mit der Identifizierung. Wir haben schon in den Ermittlungen festgestellt, dass nicht immer alle Täter oder Opfersysteme identifizierbar waren, Stichwort: Welche Daten werden gespeichert? IP-Adressen und Port, was wichtig ist, weil sie heute eben ansonsten aufgrund der kurzen Speicherfristen oder der Nichtspeicherung, wenn mehrere PC eine IP-Adresse nutzen, nicht eindeutig Systeme identifizieren können.

Damit komme ich zum Schluss. Wir wollten diese Information, wie wir es gemacht haben, auf welcher Rechtsgrundlage wir es gemacht haben, heute hier erstmalig auch verkünden: Jetzt in den nächsten Tagen wird es so sein, dass gemeinsam mit der ZIT (Zentralstelle zur Bekämpfung der Internetkriminalität) tiefergehende Informationen, schon vorliegende Anfragen aus den Medien, stattfinden werden. Wir werden auch den Code veröffentlichen, was wir da gemacht haben, damit wir da auch transparent sind. Und ich biete Ihnen auch an, genauso wie anderen, zum Beispiel auch Digitalpolitikern, das, was wir gemacht haben, auch in einem technischen Informationsgespräch gerne auch noch einmal näher erläutern. Soviel von mir. Vielen Dank.

Vors. Andrea Lindholz (CDU/CSU): Ja, das könnten wir uns vielleicht mit den Berichterstattern überlegen. Dann würde ich in die Fragerunde einsteigen. Wir beginnen mit der Union, Herr Amthor.

Abg. Philipp Amthor (CDU/CSU): Frau Vorsitzende, Herr Präsident Münch, erst einmal im Namen der Fraktion auch Gratulation zu diesem Ermittlungserfolg. Ich denke, mit Blick auf die Kriminalitätsentwicklung ist es jedenfalls gut, dass dieser Schlag gelungen ist. Die juristische Diskussion schließt sich natürlich an. Ich würde mich auch weniger auf das Technische als auf das Juristische fokussieren. Rechtspolitisch vorausgeschickt vielleicht: Wenn es jetzt die ersten Kassandrarufe wieder gibt zu sagen, na ja, vielleicht ist die Befugnis-Norm nicht ausreichend, dann muss glaube ich klar sein, und das will ich auch für die Fraktion noch einmal sagen: Wir wollen da nachbessern, denn am Ende kann das „Computer-Grundrecht“ nicht zum Täterschutz für solche kriminellen Aktivitäten werden, wie wir es hier haben. Und deswegen muss, glaube ich, klar sein, politisch jedenfalls, dass wir hier noch einmal schauen müssen, ob die Entscheidung, die jetzt getroffen ist – Sie haben ja sozusagen als Hilfsorgan der Staatsanwaltschaft da agiert – ob das ausreichend ist, das wird man gerichtlich in der juristischen Diskussion prüfen. Der rechtspolitische Wille ist auf jeden Fall da, dass das, was tatsächlich passiert ist, so auch umgesetzt werden kann. Das sozusagen als Vorbemerkung.

Jetzt in der Tat vielleicht einordnend: Sie haben gesagt, klar haben Sie sich für eine Repressivmaßnahme entschieden. Das ist, glaube ich, mit Blick auf die Befugnis-Norm auch das Einzige, was erstmal geht. Ich würde gleichwohl aber sagen, wir sollten schon den Blick darauf werfen, so, wie Sie es angeregt haben, den Ball nehme ich gern auf, das haben wir auch in der Fraktion schon diskutiert, zu sagen: Wollen wir nicht stattdessen auch in den Gefahrenabwehrbereich gehen? Denn in der Tat ist es natürlich so, dass bei anhaltenden Schadsoftware-Infektionen zwischen Gefahrenabwehr und repressiver Strafverfolgung nicht wirklich zu trennen ist. Die Grundlage wäre dafür jetzt – Sie haben gesagt, das müssten wir vielleicht, das würde ich in dem Zusammenhang gern aufgreifen – Sie haben gesagt: Ja, für den Bereich Cyber-Terrorismus beziehungsweise Schutz der Bundesorgane könnte man überlegen, auch eine gefahrenabwehrrechtliche Befugnis-Norm zu schaffen. Vielleicht können Sie uns dazu noch einmal die Gedanken etwas teilen. Zu allem anderen, was sozusagen die Frage „klassisches Gefahrenabwehrrecht“ angeht, müssen wir wahrscheinlich ohnehin den Weg einer Verfassungsänderung wählen. Aber wenn Sie vielleicht in der Antwortrunde noch einmal auf die Frage eingehen könnten, was könnte man jetzt ohne Verfassungsänderung für das BKA da überhaupt noch nachschieben zur Auskolorierung Cyber-Terrorismus beziehungsweise Schutz der Staatsorgane. Und dann müssten wir nämlich überlegen, ob man nicht bei KRITIS-Infrastruktur da sogar einiges machen kann, wenn es Bundesbezug gibt. Ich sage an der Stelle auf jeden Fall die klare politische Haltung, der Ermittlungserfolg ist wünschenswert gewesen und wir müssen dann dafür sorgen, dass die Rechtsgrundlagen an der Stelle auch das hergeben, was an Ermittlungserfolg jetzt möglich wurde. Vielen Dank.

Vors. Andrea Lindholz (CDU/CSU): Herr Amthor, vielen Dank. Dann kommen wir zu Herrn Dr. Wirth.

Abg. Dr. Christian Wirth (AfD): Vielen Dank, Frau Vorsitzende. Vielen Dank, Herr Präsident Münch, für Ihren Bericht. Auch herzlichen Glückwunsch von uns. Wir gehen mit Ihnen überein, dass wir hier in der Cyber-Kriminalität noch nicht für die Zukunft aufgestellt sind. Klassische Fragen – Täterprofil: Können Sie ausschließen, dass hier, wenn die Ukraine ins Spiel kommt, eventuell militärische Hintergründe gegeben sind oder sehen Sie rein zivilrechtliche, kriminelle klassische Ansätze? Dann die große Diskussion natürlich, Auslandsbezug. Cyber-Kriminalität ist in der Regel grenzüberschreitend. Ich weiß jetzt nicht genau, wie Sie technisch gearbeitet haben, aber dann sind wir direkt wieder bei der Diskussion a) Grundgesetzänderung, b) Beteiligung der Bundespolizei. Wir kennen die Diskussion aus dem Hackback-Verfahren – wer ist zuständig? Bundeswehr, Bundespolizei, BKA wird verneint, im Moment noch meistens, was ich bedauere – aber wie stehen Sie grundsätzlich zu diesem Thema Hackback? Ich meine, diese Cyber-Kriminalität ist wohl einer der Kriegsplätze der Zukunft und ich denke, da müsste man einiges nachbessern und uns auch vorbereiten, auch wenn viele Leute sagen, man kann nicht immer den Server identifizieren im Ausland und deswegen wäre das Blödsinn. Ich sage aber, wir müssen uns so aufstellen, dass in der Zukunft das auch möglich ist. Auch da wird man Wege finden. Aber wir hier müssen die Möglichkeiten schaffen, dass wir uns in Zukunft sicher aufstellen, wir hier im Bundestag, die Legislative. Vielen Dank.

Vors. Andrea Lindholz (CDU/CSU): Herr Hartmann, bitte.

Abg. Sebastian Hartmann (SPD): Danke, Frau Vorsitzende. Sehr geehrter Herr Präsident, ich möchte noch einmal an den Ausführungen unseres Kollegen Amthor, unseres Koalitionspartners, anknüpfen und die aufgeworfenen Fragen und Zweifel noch einmal in den Mittelpunkt rücken. Erst einmal herzlichen Dank für das Angebot der technischen Erläuterung, auch als Signal noch einmal in die Community, dass Sie auch den Code veröffentlichen wollen, auch noch einmal darstellen wollen, welche Maßnahmen Sie genau ergriffen haben mit welchem Ziel.

Sie haben selbst die Abgrenzung zwischen Strafverfolgung erwähnt und natürlich der Gefahrenabwehr. Wir sind aktuell in Diskussionen, wollen ja auch entsprechende Rechtsgrundlagen schaffen und auch anpassen, sodass natürlich auch dort Fragen aufgeworfen worden sind. Wenn schon ein so weitgehender Angriff möglich war, was ist denn nicht möglich gewesen? Ab welcher Grenze haben Sie gestoppt und innegehalten und gesagt, das hätten wir noch gern gemacht, das wäre noch notwendig gewesen, um dafür zu sorgen, dass Recht und Ordnung auch im Netz gelten, oder möglicherweise weitere Straftaten verhindert werden? Was ist genau der Punkt gewesen, ab dem Sie gesagt haben, bis hier hin und nicht weiter?

Und dann kommen wir zu dem Zusammenspiel mit Europa. Europol ist erwähnt worden, auch in einer Pressemitteilung, auch entsprechend andere europäische Behörden. Wie ist dort die Zusammenarbeit gewesen? Wo waren Sie auch in der Koordination eingebunden und haben dann gesagt, das ist etwas, wo wir in Deutschland nicht mitgehen, wo andere Behörden vielleicht weitergehen oder möglicherweise ist das abgestimmt gewesen, dass das ausgereicht hat? Dass Sie das vielleicht noch einmal genauer darlegen. Und das gilt dann auch für die nationale und föderale Ebene. Das BSI ist in anderen Berichten auch noch einmal deutlicher erwähnt worden. Dass Sie bitte diesen Bereich noch einmal vertiefend darstellen können. Weil das für die aktuelle Debatte, die wir führen, von großer Bedeutung ist, also das föderale Zusammenspiel, das europäische Zusammenspiel.

Und dann möchte ich im dritten Abschnitt auch noch einmal auf das eingehen, was Sie eingangs gesagt haben, was ich auch noch einmal eingangs erwähnt habe, die technische Seite. Sie haben offensichtlich umfangreiche Änderungen an Computersystemen in einer sehr großen Zahl vorgenommen. Das Verschieben von Programmen, Programm-Code, auf Rechnern ohne vorherige Zustimmung? Wie sind Sie damit umgegangen? Ist das entworfen worden auf Bundesebene durch entsprechende Agenturen, Einrichtungen, unter Zuhilfenahme Dritter? Ist das europäisch koordiniert vorgenommen worden, ist ein deutscher Weg gewählt worden? Wie sind Sie da vorgegangen? Dass Sie das jetzt vielleicht vorab schon einmal darstellen, bevor wir in die technische Berichterstattung gehen, weil das doch von großer Bedeutung ist. Was leiten Sie dann – abschließender Punkt zu dieser technischen Komponente – ab für andere, für andere Schadsoftware. Können Sie da schon Änderungen Ihrer Strategie, Ihres Vorgehens darlegen, soweit das möglich ist?

Und letztendlich noch zum Schadensumfang: Wieviel Schaden ist angerichtet gewesen, wieviel Schaden haben Sie in der Prognose verhindert?

Vors. Andrea Lindholz (CDU/CSU): Für die FDP meldet sich Herr Höferlin.

Abg. Manuel Höferlin (FDP): Vielen Dank, Frau Vorsitzende. Herr Präsident Münch, erst einmal will ich sagen: Gratulation. Ich finde das einen enormen Erfolg, weil ich glaube, so etwas ist in der Art noch nie gelungen. Muss man einfach auch einmal Ihnen sagen, dass das wirklich erstaunlich ist, in welcher Größenordnung Ihnen da ein Schlag gelungen ist. Das kann man nicht anders sagen. Vor allem auch über diesen Zeitraum, das ist ja nicht ganz ohne. Ich habe ein paar Fragen. Also erst einmal freue ich mich sehr darüber, dass Sie auch im Nachgang zu dem heutigen Tag Transparenz hinsichtlich technischer Aspekte anbieten. Das freut mich besonders. Aber ich glaube auch, dass es Viele draußen freuen wird, die sich sehr intensiv damit beschäftigen und Ihnen sind ja auch viele Fragen bekannt, die aus der technischen, aus der IT-Community kommen.

Ich will aus dem rechtlichen Bereich fragen: Sie haben gesagt, die repressive Maßnahme ist erfolgt aufgrund eines richterlichen Beschlusses des Amtsgerichts Gießen. Was haben Sie da beantragt genau? Und wurde das, was Sie beantragt haben, auch vollumfänglich genehmigt oder sind da andere Dinge sozusagen nicht genehmigt worden? Das würde mich einmal interessieren zur Rechtsgrundlage. Dann, wenn Sie sagen, die Netzbetreiber waren dann informiert worden, auf welcher Rechtsgrundlage ist das in allen Fällen passiert? Es sind ja nicht nur KRITIS-Systeme betroffen gewesen, sondern vielleicht auch private. Oder wer auch immer. Das wäre meine Frage noch zum Thema.

Sie haben beschrieben, wie schwierig es ist, die betroffenen Opfersysteme zu identifizieren. Jetzt habe ich das so verstanden: Sie identifizieren die anhand der „Installations-IDs“ und nicht anhand der IPs. Deswegen zählen Sie die betroffenen Systeme. 53.000, habe ich das richtig verstanden? Haben Sie schon einen ungefähren Überblick, wo außerhalb von Behörden, Kommunen und Krankenhäusern Opfer sind? Ist das eher zufällig oder sehen Sie da irgendwie zielgerichtete Angriffe, die dahinter waren?

Dann, wie viele Server haben Sie denn insgesamt in der Kontrollstruktur entdeckt und in welchen Ländern standen die denn hauptsächlich? Oder waren die bunt gemischt? Und wenn Sie diese Infrastruktur jetzt dann beobachten, sehen Sie dann noch sozusagen Zweige der Struktur, an die Sie nicht herankommen, weil sie sich in Ländern befinden, wo Sie nicht zugreifen können? Ich hoffe, es ist verständlich, was ich meine.

Dann würde mich interessieren: Welche Abteilungen und Einheiten im BKA und im ZIT waren denn beteiligt? Wie viele Leute haben daran gearbeitet? Können Sie da Größendimensionen angeben? Verbunden auch die Frage – gut, ich meine, ich weiß ich schon Ihre Antwort: Ist das ausreichend, was Sie da an Personal haben? Die Antwort kennen wir wahrscheinlich schon.

Und dann noch die Frage, die gerade eben schon kam, mit dem Einschreiten in die Opfersoftware. Das könnten Sie vielleicht noch einmal ein bisschen ausformulieren. Ich habe verstanden, aufgrund des Beschlusses haben Sie, ich nenne es jetzt einmal eine „virtuelle Beschlagnahme“ durchgeführt, so haben Sie es beschrieben, indem Sie die Software, sozusagen einen Teil des Computers, beschlagnahmt haben, ihn inaktiv gesetzt haben – können Sie vielleicht einmal kurz sagen, was das heißt – verschoben und im Prinzip durch eine Update-Funktion die IP-Adresse verändert haben. Haben Sie darüber hinaus noch irgendetwas auf den Systemen geändert und wenn ja, auf welcher Grundlage?

Und vielleicht können Sie da noch eine Wishlist anfügen, was Sie da noch gern sonst so gemacht hätten, was nicht ging. Danke schön.

Vors. Andrea Lindholz (CDU/CSU): Frau Renner, bitte.

Abg. Martina Renner (DIE LINKE.): Ja, da kann ich mich sehr gut den Fragen anschließen, möchte aber doch einmal vorweg schicken, dass ich es schon etwas befremdlich finde, dass hier mehrfach jetzt schon postuliert wurde, dass die Gesetzgebung an der Praxis der Behörden zu entwickeln sei. Ich denke eigentlich war die Idee andersherum, dass sich die Behörden an der Gesetzgebung orientieren. Aber das nur einmal vorweg geschickt.

Ich kann zu dem, was Herr Hartmann aufgeworfen hat, gern noch einmal ergänzen. Es ging ja da um diese Frage der manipulierten Software, das ist ja jetzt schon mehrfach Thema gewesen. Dass Sie noch einmal darstellen, auf welcher konkreten Rechtsgrundlage diese Manipulation erfolgte. Und dann ist ja auch schon gesagt worden, dass hinsichtlich der juristischen Fachöffentlichkeit es durchaus auch dort kritische Gesichtspunkte gab. Ich möchte hier an eine Äußerung von Sven Herpig – das ist der Bereich internationale Cybersicherheitspolitik bei der Stiftung Neue Verantwortung – erinnern, der gesagt hat, aus den sehr spärlichen technischen Informationen, die das BKA bereitgestellt hat, sehe es so aus, als hätte die Behörde möglicherweise ihre Befugnisse überschritten. Das wäre mehr eine Frage Richtung Bundesregierung – haben Sie sich mit solchen Einschätzungen beschäftigt und zu welchem Ergebnis kommen Sie dann?

Und dann würde ich gern noch das Problem der Verhältnismäßigkeit aufrufen. Sie haben ja jetzt ausgeführt, dass es ein sehr weiträumiger Eingriff war, zu dem auch eine große Zahl von Geräten nichtbeteiligter Personen und Institutionen betroffen waren. Ich würde gern wissen, wie Sie diesen Verhältnismäßigkeitsgesichtspunkt sehen, unabhängig jetzt vom erzielten Ergebnis. Und vor allem auch, ob Sie alle betroffenen Personen und Institutionen von dieser Maßnahme auch im Nachgang informiert haben. Vielen Dank.

Vors. Andrea Lindholz (CDU/CSU): Und noch Herr von Notz, bitte.

Abg. Dr. Konstantin von Notz (BÜNDNIS 90/DIE GRÜNEN): Vielen Dank, Frau Vorsitzende. Vielen Dank, Herr Präsident, für den Bericht und auch von mir zu allen Sinkholes und Erfolgen herzlichen Glückwunsch. Es ist – glaube ich – tatsächlich so, das hat eine große Aufmerksamkeit, weil das einfach ein interessantes Ding ist. Und dass es eine Relevanz gibt und sozusagen eine Bedrohungslage, die eine Reaktion verdient, das ist völlig klar. Was natürlich daran interessant ist, ist, dass es ein Wettrennen der Behörden seit längerer Zeit gibt – alle wollen sie Cyberabwehr machen – das BKA hat es jetzt einfach einmal gemacht. Und jetzt sitzen wir hier und überlegen, was wir Ihnen für Grundlagen geben können und kriegen sogar, was ich ja sonst nie erlebe, ein Handout mit irgendwelchen Sachen. Also sowas gibt es eigentlich gar nicht, dass man richtig belastbare Dinge, die man irgendjemandem geben könnte, bekommt – nein, aber im Ernst, ich finde es gut.

Die Frage ist für mich vor allem, neben den vielen interessanten Fragen, die schon gestellt worden sind: Wie ist es konkret in der Kooperation gelaufen? Also haben Sie das abgesprochen mit anderen Sicherheitsbehörden, mit dem Ministerium? Gab es für diesen Hack – und das war es ja – eine Rückkoppelung in die Behörde, ins Ministerium, was Sie machen? Und ist es mit den anderen Behörden, die alle Interesse haben und die da alle ja irgendwie Startups in ihren Häusern zum Hacken gründen, ist das mit denen rückgekoppelt worden, dass das BKA da jetzt einmal aktiv wird und einfach macht?

Dann würde mich interessieren, ob es neben der harten Analyse- und forensischen Arbeit auch andere Erkenntnisse gegeben hat, irgendwie Quellen, Hinweise oder so, die geholfen haben zu verstehen, was da läuft und wie man da reinkommt? Und dann würde mich noch interessieren, ob Sie Externe eingebunden haben. Private Firmen, die Ihnen geholfen haben, Sinkholes zu basteln und sowas. Vielen Dank.

Vors. Andrea Lindholz (CDU/CSU): Dann schlage ich vor, fangen wir mit Herrn Münch an. Die Bundesregierung kann danach ergänzen.

Präs Holger Münch (BKA): Ja, ich würde vielleicht einmal vorweg zwei Dinge schicken, weil die jetzt intensiv gefragt worden sind. Nämlich zu der Frage von Gefahrenabwehrmaßnahmen und wie man die eigentlich strukturiert und betrachten muss. Und das zweite war auch diese Kooperationsfrage, was ist da in Abstimmung mit wem gelaufen? Und dann gehe ich noch die Fragen durch, dann haben sich vielleicht viele auch schon geklärt.

Wir haben ja im BMI abgestimmt eine Vorstellung, wie man das Thema Gefahrenabwehr im Cyberraum auch gestalten muss. Natürlich gab es da eine Menge an Diskussion, wie ich auch gerade hier herausgehört habe. Aber ich glaube, der Stand ist mittlerweile relativ klar, wie auch wir das mit den Bundesländern sehen, wie man das machen muss.

Hier ist ja auch das Thema Hackback noch einmal gekommen. Davon sprechen wir, wenn wir – das Wort ist untechnisch – Maßnahmen in anderem Rechtsraum, also nicht in Deutschland, ohne Abstimmung oder gegen den Willen eines betroffenen Landes durchführen. Das wäre eine Maßnahme, wo wir sagen, die kann nicht polizeilich sein. Dafür gibt es Institutionen, die so etwas machen, Rechtshilfe etc. Das heißt, solche Maßnahmen verbieten sich im Prinzip für eine Polizei. Aber das, was wir hier auch gemacht haben, nämlich in Abstimmung mit den anderen betroffenen Ländern, solche Maßnahmen durchzuführen, das ist sehr wohl eine polizeiliche Maßnahme, ist ja auch üblich, macht man ja auch ansonsten in der normalen Welt in der Rechtshilfe so. Das heißt, gegen den Willen von anderen, da reden wir in der Regel ja auch von staatlichen Akteuren, das wäre niemals Polizei. Ansonsten sehr wohl Polizei – wie auch sonst? – nämlich auf den normalen Wegen, wie man das auch sonst macht, dass man die Abstimmung mit den anderen sucht.

Und hier kann man verschiedene Stufen von Maßnahmen unterscheiden. Das eine ist die Informationssammlung, da geht es los. Und dann reden wir von Eingriffen, die eher passiv sind, ich blocke Datenverkehr, bis hin zu Maßnahmen, die aktiv sind. Und das haben wir hier gemacht. Dass wir also sagen, wir bringen auf ein System eine Software ein. So sehen wir die technische Abstimmung dieser Maßnahmen. Die kann man auch übersetzen in Befugnis-Norm und kann man auch da dann dazudefinieren, ab wann oder unter welchen Voraussetzungen solche Maßnahmen zu treffen sind. Ob in Deutschland, nicht in Deutschland, spielt dabei erst einmal keine Rolle, vorausgesetzt, es geschieht immer in Abstimmung. Das ist der eine Punkt.

Der zweite Punkt ist, dass auch abgestimmt ist, wie man das denn organisieren soll. Das BKA als Zentralstelle der Polizei in Deutschland ist dann eigentlich auch die logische Behörde, die so etwas tut, bei den rechtlichen Problemen, die wir haben. Auch das ist eigentlich klar. Die Vorstellung, wie man so etwas regeln könnte, auch die ist niedergelegt beim BMI abrufbar. Was ich vorhin schon gesagt habe ist, dass man sich an den schon bestehenden Zusammenarbeitsformen Bund-Land orientieren kann. Im Bereich Terrorismus ist es so, dass man dort von der Zuständigkeit des BKA im Bereich des internationalen Terrorismus ausgeht. Hier wäre es die Zuständigkeit im Bereich kritische Infrastruktur, Bundeseinrichtung betroffen, als prinzipielle Voraussetzung. Daneben länderübergreifende Gefahren oder wenn eine Zuständigkeit eines Landes nicht erkennbar ist. Das wäre die gleiche Voraussetzung und die gleichen Prinzipien, Handlungsmuster, die wir auch im Bereich der Bekämpfung des Terrorismus haben. Mit den Ländern gibt es dazu auch keinen Dissens, die sehen das auch so. Das ist allerdings nicht ohne Grundgesetzänderung möglich, das umzusetzen, Herr Amthor. Weil das war ja Ihre Frage. Wenn man das will, wenn man jetzt den nächsten Schritt gehen will, das eindeutig zu regeln, dann bedarf es einer Grundgesetzänderung.

Was man dann machen kann, was wir hier nicht gemacht haben, war auch eine der Fragen. Wir sind hier jetzt so weit gegangen, wie man mit einem Beweissicherungsbeschluss gehen kann und haben diese Informationen, die wir gewinnen, genutzt, um gleichzeitig präventive Maßnahmen einzuleiten, nämlich Betroffene zu informieren. Man kann natürlich auch weitergehen, indem man einen direkten Stopp-Befehl sendet und damit eine Software unschädlich macht. Das wäre dann wieder eine rein präventive Maßnahme, die wir so natürlich nicht getroffen haben. Man kann, um die Server-Infrastruktur auch vollständig lahmzulegen, Datenverkehr blocken. Auch das haben wir nicht gemacht, weil es eine rein präventive Maßnahme gewesen wäre und nicht gedeckt. Also um nochmal Hinweise zu geben, was jetzt nicht im Werkzeugkasten ist für polizeiliche Arbeit.

Deshalb war es so wichtig, in einem sehr engen Schulterschluss mit anderen betroffenen Ländern aktiv zu werden und diese Maßnahmen, die wir jetzt hier nach deutschem Recht vorbereitet haben und haben treffen können, nämlich bei den identifizierten Beschuldigten in der Ukraine dort anzusetzen, hier die Beweissicherung laufen zu lassen und mit dieser veränderten Software, die wir dort eingespielt haben, eben auch die Opfersysteme zu sichern und gleichzeitig so viele Server wie möglich weltweit zu beschlagnahmen. Das war die koordinierte Maßnahme.

Zur Koordination: Wie ist das Zusammenspiel? Wir haben eng mit den Ländern, die ich schon genannt habe, zusammengearbeitet. Es gibt so – ich sage mal – vier/fünf große Player in der Welt, was das Thema Cybercrime-Bekämpfung angeht. Das sind die Amerikaner, das sind die Engländer, sind die Holländer, auch Australien – die waren aber jetzt weniger betroffen – und das sind wir. Die arbeiten schon auf der Arbeitsebene recht eng zusammen und tauschen sich auch aus. Und daneben spielen die Plattformen eine sehr, sehr große Rolle, insbesondere Europol mit dem European Cybercrime Centre dort. Das wird immer genutzt, um auf der europäischen Ebene dann dafür zu sorgen, dass Maßnahmen ordentlich koordiniert ablaufen. So war es auch hier. Die waren von vorn herein immer dabei. Die Treiber hier in Europa waren wir und die Niederlande. Niederlande deshalb, weil dort auch zwei der Server auf dieser dritten Ebene – das Blatt, was ich Ihnen da gegeben habe – standen und auch dort die Maßnahmen durchgeführt wurden und weil auch die Holländer entsprechende Überwachungsmaßnahmen durchgeführt haben und eine Menge an Beitrag geleistet haben, um diese gesamte Infrastruktur aufzudecken. Deshalb waren wir hier in Europa die Haupttreiber, aber auch die Briten und die Amerikaner waren in den Ermittlungen beteiligt. Darüber hinaus ist es dann auch so, dass wir die Informationen im Nachgang auch sofort über Interpol an alle Beteiligten steuern, damit auch jedes Land weiß, was ist jetzt dort gelaufen. Das sind so die Beteiligungsstrukturen international.

Jetzt gehe ich noch einmal die einzelnen Fragen durch. Herr Amthor, ich habe es schon erwähnt, Maßnahmen, die darüber hinaus denkbar und sinnvoll sind aber aktuell nicht geregelt, konnten wir nicht treffen und auch nicht mit in die Überlegungen einbeziehen, was macht hier Sinn? Und das wäre insbesondere noch einmal hier vielleicht auch Datenverkehr zu bestimmten Servern gewesen, derer man nicht habhaft werden kann, zu blocken. Ich will mal ein Beispiel nennen, es gibt auch einen Server in Russland auf der entscheidenden tieferliegenden Ebene, da sind wir im Rechtshilfeverkehr unterwegs, aber wir haben noch nichts gehört von Maßnahmen, die da umgesetzt worden sind. Und insofern, um solch einen Datenverkehr zu Opfersystemen zu begrenzen, kann man an bestimmten Schnittstellen im Netz blocken. Ich habe schon erwähnt, Befugnis-Norm und Zuständigkeiten zu ändern ohne Verfassungsänderung, das halten wir jetzt für nicht möglich, sondern da müsste man sich grundsätzlich mit dem Thema beschäftigen.

Zum Täterprofil, Ihre Frage: Einen staatlichen Hintergrund sehen wir nicht, das ist klassisch Cybercrime, was wir hier erleben, das sind also Täter, die wir noch nicht alle kennen, muss man sagen, die international im Verbund eine solche Struktur aufbauen und sie „vermarkten“, damit Geld verdienen. Natürlich hat das sehr starke Auslandsbezüge auf der Ebene 1, das sind die, die direkt in Opfersystemen kommunizieren, haben wir etwa 300 Server, die weltweit entweder über entsprechende Maßnahmen, also maliziös von den Tätern genutzt werden oder angemietet worden sind. Beides ist denkbar. Die meisten sind allerdings befallen, sage ich jetzt mal so. Und insofern haben Sie eigentlich bei Cybercrime immer diesen internationalen Bezug und Sie sind immer eigentlich in der Pflicht, mit anderen Ländern solche Maßnahmen gemeinsam durchzuziehen, um sie dann auch umzusetzen. Ein Hackback wie gesagt haben wir nicht gemacht, das würden wir auch nie tun, selbst wenn wir jetzt über Präventivbefugnisse reden, würden wir das nie einfordern, weil das nicht die polizeiliche Arbeit ist, in anderen Hoheitsgebieten gegen deren Willen oder ohne deren Wissen tätig zu werden.

Was ist nicht möglich, glaube ich, war Ihre Frage. Ich glaube, da habe ich schon jetzt ein paar Hinweise gegeben. Wenn wir mit Präventivbefugnissen arbeiten würden, könnten wir auch direkt auf die Opfer zugehen, nicht über diesen Umweg, Ausleitung der Information über das BSI an die Provider, und über diesen Weg Information der Betroffenen. Das ist denkbar, allerdings auch nicht trivial: Wenn Sie heute eine Mail bekommen, wo da draufsteht „BKA“, ist das in der Regel nicht das BKA. Also muss man sehr genau überlegen, wie man da mit solchen Befugnissen dann umgeht, damit es auch Vertrauen behält im Netz. Also das ist nicht trivial, das muss man dann auch noch einmal sehr genau bedenken. Aber im wirklichen Extremfall wäre das etwas, wenn ich sage, ich muss schnell sein, um die Tätereinflussnahme zu verhindern, dann wäre auch das denkbar.

Zum Zusammenspiel in Europa habe ich schon was gesagt. Das läuft über Europol als Plattform, die dann die koordinierenden Maßnahmen trifft. Treiber in dem Fall waren wir, weil wir die rechtlichen Grundlagen für diese Maßnahmen geschaffen haben, also die ZIT, die Generalstaatsanwaltschaft in Frankfurt und das Amtsgericht Gießen. Und Niederlande, weil dort die meisten auch technischen Maßnahmen durchgeführt worden sind. Frankreich war aber auch noch mit an Bord, hat auch Maßnahmen umgesetzt.

Zur technischen Seite: Ja, wir haben auch Dritte beauftragt und zwar betrifft das sowohl die Programmierung der veränderten Emotet-Software und auch die Anmietung eines Servers, den haben wir nicht selber da hingestellt, sondern diese Maßnahmen haben wir über die Firma G-Data gemacht.

Folgen für die Strategie ist eine Frage. Ich glaube, wir haben ja jetzt hier erstmalig gezeigt und das macht ja auch den Wert dieser Maßnahme aus, dass wir nicht nur Teile einer Infrastruktur beschlagnahmt haben, um Täter zu identifizieren und dann gucken wir mal, sondern wir haben jetzt hier über diese Maßnahme versucht, wirklich auch diese Infrastruktur handlungsunfähig zu machen und das ist – glaube ich – auch die Konsequenz, wenn man hier bei solchen Tathandlungen erfolgreich sein will, IP-gestütztes Botnetz ist ganz einfach, irgendwo auf der Welt wieder einen neuen Server bereitzustellen mit der gleichen IP-Adresse und dann steuert der das, was Sie gerade beschlagnahmt haben, wieder von anderer Stelle neu. Also so schnell können Sie gar nicht arbeiten, wenn Sie nicht komplett reingehen und dieses Netz unfähig machen. Das ist – glaube ich – die Konsequenz und ich glaube auch, deshalb müssen wir mehr über dieses Thema Gefahrenabwehrrecht auch reden.

Schaden: 14,5 Mio. Euro sind die festgestellten Schäden in den Verfahren, die wir im BKA schon zu Emotet führen. Wie viel Schaden wir jetzt noch feststellen werden über Geschädigte, die wir jetzt noch feststellen, wissen wir noch nicht. Die Schätzungen, die man in den Medien liest, dass das bis in den Milliardenbereich gehen würde weltweit, die können wir nicht bestätigen, weil wir die Daten jetzt nicht an einer zentralen Stelle sammeln. Aber was ich Ihnen bestätigen kann, es sind mindestens 14,5 Mio. in Deutschland an Schaden aus den Verfahren, die bisher schon geführt werden.

Der Antrag, den die Generalstaatsanwaltschaft Frankfurt gestellt hat, wurde vom Amtsgericht Gießen so vollumfänglich genehmigt. Und da steht auch die technische Umsetzung drin, was also auch geplant ist, wie die Maßnahme durchgeführt werden soll. Das war also sehr, sehr offen und ist so vom Amtsgericht Gießen auch mitgegangen worden. Die Informationen der Provider läuft nach § 13 des EGGVG, der die Rechtsgrundlage darstellt, dass die Staatsanwaltschaft die Daten weitergeben kann an das BSI über uns, damit von dort aus diese Information stattfinden kann.

Wir haben noch kein vollständiges Bild über die Geschädigten, weil wir ja IP-Adressen und Standorte und Namen von Rechnern nur über diesen Weg bekommen und am Sinkhole sehen, aber erst, wenn die Provider festgestellt haben, wer steckt dahinter und informiert haben, erst dann sehen wir, wer die Opfer sind. Wir haben also nur einen kleinen Ausschnitt, der bekannt ist und da hatte ich schon gesagt, da sind sowohl private Rechner als auch Firmen als auch öffentliche Einrichtungen betroffen. Die Serverzahl: 300 auf der ersten Ebene, dann haben wir eine zweistellige Zahl auf der zweiten Ebene und wir haben noch eine kleine einstellige Zahl auf der dritten Ebene. Das ist die Größenordnung, über die wir hier reden, die das gesamte Netz steuert und in verschiedenen Ländern und sobald Sie mal einen Schnitt machen, wo stehen die gerade, sind die in drei Wochen schon wieder woanders. Das ist aber das Prinzip, nach dem die Täter arbeiten. Also insofern ist das immer eine Momentaufnahme.

Wir haben im BKA mit etwa 60 Mitarbeitern in der operativen Phase gearbeitet, betroffen insbesondere zwei Abteilungen im BKA, das ist die Abteilung Cybercrime, die wir im letzten Jahr aufgemacht haben. Wir hatten vorher eine Gruppe mit etwa 100 Mitarbeitern. Wir sind dabei, das auszubauen auf 260. Das ist das, was wir umsetzen auch an Know-how technische Ermittlungen aus den Stellenzugängen, die wir auch bekommen haben. Und wir haben eine Abteilung Ermittlungsunterstützung, operative Ermittlungsunterstützung, die auch gerade viele dieser technischen Maßnahmen, wie Server-Überwachungsmaßnahmen etc. machen. Und auch aus dieser Abteilung werden Beamte eingesetzt. Ob das ausreichend ist, hängt davon ab, was Sie von uns erwarten. Wie gesagt, wir sind im Aufbau. Wenn man irgendwann sagt, das BKA soll das als Zentralstelle der Polizei in Deutschland machen, dann muss man natürlich wieder rechnen. Das wäre also eine Frage, die man verbinden muss mit der Frage, wie soll die zukünftige Sicherheitsarchitektur arbeiten und welche Rolle soll das BKA dabei spielen. Nur dann müsste man das diskutieren. Vorher haben wir schon gesagt, wir investieren in diesen Bereich, weil der natürlich, das sehen wir an den Fallzahlen, weggaloppiert und wir als BKA uns da ganz anders aufstellen müssen. Auch quasi als jemand, der Lösungen für die Bundesländer anbietet. Das machen wir ja auch. Das heißt, alles was wir entwickeln, stellen wir über entsprechende Plattformen auch den Ländern zur Verfügung, dass die damit arbeiten können.

Abg. Manuel Höferlin (FDP): Welche Personenzahl?

Präs Holger Münch (BKA): Sechzig Leute haben in der Spitze gearbeitet, wenn es dann auch in die operative Phase ging.

Wir haben keine Änderungen über das, was ich gesagt habe, hinaus an den Systemen durchgeführt, sondern nur das Verschieben der Malware Emotet und die Veränderung der Kommunikationsdaten, das waren die Veränderungen, darüber hinaus keine. Rechtsgrundlage, Frau Renner, das hatte ich schon erwähnt: §§ 94, 98 StPO, Beschluss des Amtsgerichts Gießen in Verbindung mit § 100h. Zur Verhältnismäßigkeit enthält der Beschluss auch entsprechende Aussagen. Milderes Mittel war einfach nicht erkennbar, um die Opfersysteme zu identifizieren und dann auch die Daten noch zu nutzen, um die Personen zu informieren. Genau das ist unser Ziel. Wir wollen, dass alle, die diese Schadsoftware auf dem Rechner haben, auch informiert werden, damit sie ihren Rechner bereinigen, weil wir vermuten, dass auf vielen dieser Rechner immer noch weitere Schadsoftware ist, die noch Unheil anrichten kann und deshalb ist das Problem noch nicht gelöst.

Zur Kooperation habe ich schon was gesagt. Das BMI war informiert über die Maßnahmen und den Beschluss, den wir da hatten. Quellenhinweise spielten hier keine Rolle. Wie wir arbeiten im Bereich Cybercrime könnte man vielleicht auch noch einmal in einer entsprechenden technischen Informationsveranstaltung klarmachen. Viel läuft über diese Server, Kommunikationsüberwachung, die ein wirklich wichtiges Instrument mittlerweile sind, dass sie überhaupt die Datenströme erkennen, um überhaupt diese Infrastruktur aufzusetzen. Viel läuft über die Identifizierung von Pseudonymen, dazu haben wir auch umfangreiche Methoden entwickelt, damit wir auch, wenn wir wenig haben, außer vielleicht einen Namen, einen Fantasienamen, trotzdem erkennen, wo spielt dieser Fantasiename noch eine Rolle und quasi wie in einem Puzzle dafür sorgen – und das ist gerade auch bei Datenermittlungen sehr, sehr wichtig – wer steckt dahinter bis wir Beschlussreife erlangen, um damit dann tätig zu werden.

Einbindung Externer habe ich auch schon genannt: G-Data war die Firma, die wir eingebunden haben, um die technischen Maßnahmen, die wir nicht selbst machen, machen zu lassen. Ich glaube, damit bin ich mit Ihren Fragen durch.

Vors. Andrea Lindholz (CDU/CSU): Herr Münch, vielen Dank. Herr Dr. Krings noch.

PSt Dr. Günter Krings (BMI): Ja, nur zwei Punkte. Zunächst einmal kurz nur zu den Fragen nach den personellen Ressourcen vom Kollegen Höferlin. Ich will einfach nur darauf hinweisen und es mal positiv feststellen, dass ja der Haushaltsgesetzgeber gerade diesen Bereich deutlich mit Stellen stärker unterlegt hat. Dass immer noch mehr denkbar ist, auch die Entwicklung natürlich voranschreitet und die Erwartungshaltungen noch steigen, ist auch klar. Darum will ich nicht versprechen, dass wir da keine weiteren Vorschläge mehr machen, was Ausweitung von Personalmitteln anbelangt. Aber es gibt ja in dem ganzen Arbeitsbereich, der erst aufgebaut worden ist in den letzten Jahren, glaube letzte Wahlperiode, und das ist ein starker Aufwuchs. Und es muss die Geschwindigkeit eines solchen Aufwuchses auch in angemessener Form da sein, also einfach nur wild Stellen reinkippen, das bringt ja auch nichts. Sie müssen es ja dann auch so mit Einstellungen hinterlegen können. Wir wollen uns ja nicht vorwerfen lassen, dass dann da Stellen längere Zeit unbegründet unbesetzt bleiben.

Dann war noch die Frage nach den Befugnissen. Ich nehme mit Interesse zur Kenntnis, dass der Vertreter einer Stiftung, Frau Renner, auf, wie er selbst sagt, sehr dünner Faktengrundlage hier diesen Verdacht geäußert hat, hier wären Befugnis-Normen überschritten worden. Wenn ich Herrn Münch richtig verstehe, ist ja die Entscheidung des Amtsgerichts durchaus auch einsehbar. Man würde dann empfehlen, dass die Stiftung etwas gründlicher arbeitet und sich das genau anguckt und dann ihre Entscheidung revidiert. Ich nähme dann mit Interesse zur Kenntnis, wenn man sich da korrigiert hat. Ich will aber nur insoweit sagen, dass es sich hier ja auch – ich will es mal betonen – jedenfalls um eine Maßnahme im Rahmen von Ermittlungsverfahren handelt. Grundlage eben StPO. Und dass das BKA hier als Ermittlungsbehörde der Staatsanwaltschaft natürlich arbeitet.

In dem Bereich repressive Maßnahmen will ich nur darauf hinweisen, dass wir gerade heute, wenn ich das richtig sehe, im Kabinett auch noch einmal einen Gesetzentwurf zur Änderung des Strafgesetzbuches und in Verantwortung des BMJV haben, der sich eben mit der Strafbarkeit des Betreibens krimineller Handelsplattformen beschäftigt. Das ist hier nicht der Fall, aber auch ein ganz wichtiger Bereich des sogenannten Darknets, was eben in Teilbereichen einer Ausleuchtung bedarf, soweit da eben Straftaten begangen werden. Und insofern sind wir auch im strafrechtlichen Bereich als Bundesregierung durchaus immer und natürlich der Bundestag, der das dann auch so beschließt, immer stellen wir uns die Frage, reichen Befugnis-Normen oder müssen wir sie ausweiten?

Die Diskussion hat sich ja dann hier teilweise um das Thema der Prävention gedreht. Also hier eben haben wir ja keine Maßnahme, jedenfalls im Kern nicht, der Gefahrenabwehr und da ist eben eine spannende und wichtige Diskussion, die sich um zwei Elemente oder auf zwei Ebenen bewegt. Einmal die Frage der Zuständigkeit. Das ist auch einer der wenigen Bereiche wahrscheinlich, wo die Länderzuständigkeiten nicht so besitzergreifend sind, wie in anderen Punkten, also wo man – glaube ich – sehr offen diskutieren kann mit den Ländern, dass Zuständigkeiten im Grunde erweitert werden. Und dann ist der nächste Schritt des einfachen Gesetzgebers, das mit Befugnis-Normen zu unterlegen. Wenn man zu dem zweiten Schritt nicht bereit ist, braucht man den ersten nicht zu diskutieren. Das muss man auch mal ganz klar sagen. Ich finde, es macht keinen Sinn, von Ländern Zuständigkeiten einzufordern und dann nachher zu sagen, wir trauen uns aber nicht, das mit Befugnis-Normen auszufüllen. Insofern muss man die Diskussion aus meiner Sicht schon auch zusammen führen.

Konkret eben nochmal: BMI führt bekanntlich insgesamt, egal in welcher Form das BKA tätig wird, die Rechts- und Fachaufsicht. Und Herr Münch hat gesagt, das BMI ist informiert. Es wird sicherlich in den verschiedenen Tätigkeitsbereichen und Projekten – sage ich mal – des BKA mit unterschiedlicher Teiltiefe informiert. Also, wenn wir uns über jede einzelne Maßnahme informieren, würde es hier die Kapazität des entsprechenden Referates oder der Referate überfordern. Aber das war jetzt natürlich ganz zentraler Fall und da gehe ich in der Tat, und auch nach den Aussagen von Herrn Münch zutreffend davon aus, dass hier Informationen sehr konkret waren und jedenfalls haben wir im BMI keine Anhaltspunkte, dass irgendwelche Befugnis-Normen überschritten worden sind.

Vors. Andrea Lindholz (CDU/CSU): Herr Krings, vielen Dank. Herr Münch, auch von meiner Seite nochmal danke, dass Sie heute in unseren Ausschuss gekommen sind, einen umfangreichen Bericht abgegeben haben, alle Fragen ausführlich beantwortet haben und auch angeboten haben, weitere Erläuterungen zu geben. Wie gesagt, den Punkt mit der technischen Erläuterung, den nehme ich gern mit in den Ausschuss. Ich glaube, das ist sehr interessant und werde schauen, dass wir das noch in den nächsten drei Monaten hinbekommen. Vielen Dank und eine gute Woche wünschen wir Ihnen noch.

Präs Holger Münch (BKA): Vielen Dank.

Eine Ergänzung

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.