ZITiSDeutschland und der Staatstrojaner Candiru

Über welche Staatstrojaner deutsche Behörden verfügen, will die Bundesregierung nicht verraten. Die Hackerbehörde ZITiS interessierte sich ab 2018 für Produkte des Herstellers Candiru. Laut der israelischen Zeitung Haaretz steht Deutschland auf der Kundenliste des Unternehmens.

Penisfisch "Candiru" vor schwarzem Hintergrund
Candiru ist ein Fisch, der auch Penisfisch genannt wird. – Alle Rechte vorbehalten IMAGO/VWPics

Über welche Trojaner verfügen deutsche Behörden? Spätestens nachdem durch journalistische Recherchen ans Licht kam, dass Bundeskriminalamt und Bundesnachrichtendienst Versionen des NSO-Trojaners Pegasus nutzen, steht diese Frage im Raum. Die Bundesregierung möchte sie nicht beantworten. Aus der Antwort auf eine Kleine Anfrage der Linken-Abgeordneten Martina Renner wird nun aber deutlich: Die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) interessierte sich offenbar für Trojaner des israelischen Herstellers Candiru.

Seit 2018 steht die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) mit Vertretern des Unternehmens in Kontakt, antwortet das Bundesinnenministerium. „Zur Erhaltung und Weiterentwicklung von Cyberfähigkeiten der Sicherheitsbehörden im Bereich der informationstechnischen Überwachung führt die ZITiS fortlaufende Erhebungen des aktuellen Produktportfolios bei verschiedenen Anbietern und Herstellern im Rahmen von Marktsichtungen durch“, heißt es in der Antwort außerdem.

Es gibt wenige öffentliche Informationen über Candiru, das Unternehmen wechselte seinen Namen und heißt mittlerweile Saito Tech. Sicherheitsforscher:innen von Microsoft und Citizen Lab entdeckten Candirus Trojaner auf den Geräten von Menschenrechtsaktivist:innen und Politiker:innen in verschiedenen Ländern, darunter bei einer politisch aktiven Person aus Westeuropa.

Ob deutsche Behörden Produkte von Candiru getestet, gekauft oder gar eingesetzt haben, beantwortet das Ministerium nicht. Dadurch wäre das Staatswohl in Gefahr, Betroffene könnten beispielsweise ihr Kommunikationsverhalten ändern, wenn sie wüssten, welche Mittel den Behörden zur Verfügung stehen. Ob das Bundesamt für Sicherheit in der Informationstechnik eingebunden wurde? Unklar. Es wird „im Rahmen der geltenden Rechtslage sowie gegebenenfalls zusätzlich auf Basis eigener Bedarfe“ eingebunden.

Keine Bestätigung, keine Verneinung?

Fragestellerin Renner prangert die Geheimhaltung über das Staatstrojaner-Portfolio deutscher Behörden an: „Der Pegasus-Skandal legt nahe, dass es nach der Marktsichtung von Candiru in 2018 auch zum Ankauf und Einsatz von deren Spionagesoftware kam.“ So möchte das Ministerium seine Antworten jedoch nicht verstanden wissen. „Dabei ist der Umstand, dass die Beantwortung verweigert wird, weder als Bestätigung noch als Verneinung des jeweiligen angefragten Sachverhalts zu werten“, heißt es in der Vorbemerkung.

Doch es gibt Hinweise dafür, dass es nicht nur bei einer Marktsichtung geblieben sein könnte: Eine aktuelle Recherche der israelischen Tageszeitung Haaretz nennt zehn Länder, die Kunden von Candiru sein sollen. Dabei steht neben Saudi-Arabien und den Vereinigten Arabischen Emiraten auch Deutschland.

Hier klicken, um den Inhalt von twitter.com anzuzeigen

ZITiS versteht sich als „Dienstleister der deutschen Sicherheitsbehörden“ und soll für die Behörden Werkzeuge bereitstellen, etwa um Geräte zu infiltrieren und Verschlüsselung auszuhebeln. Selbst Überwachungsoperationen durchführen darf ZITiS nicht. Laut Innenministerium muss sich ZITiS auch nicht mit den rechtlichen Implikationen der entsprechenden Technologien auseinandersetzen. „Die Befassung mit rechtlichen Fragen des verfassungskonformen Einsatzes von Produkten und Leistungen im Bereich der informationstechnischen Überwachung obliegt den Behörden, die die ITÜ-Maßnahmen [informationstechnische Überwachung] aufgrund gesetzlicher Befugnisse durchführen“, heißt es in der Antwort.

Fragestellerin Renner ärgert das: „Wer die verfassungsmäßige Prüfung und den rechtskonformen Einsatz zum Beispiel dem Inlandsgeheimdienst überlässt, gibt seine Rolle als Rechtsaufsicht komplett auf“, so die Innenpolitikerin gegenüber netzpolitik.org.

DSIRF, Quadream, Candiru

ZITiS interessierte sich nicht nur für Candirus Überwachungstechnologie, sondern sichtete Staatstrojaner mehrerer Unternehmen. Aus früheren Anfragen wurde bekannt, dass dazu das Unternehmen DSIRF gehörte, das den Staatstrojaner Subzero vermarktet. Ebenso zog der Hersteller Quadream das Interesse der deutschen Hackerbehörde auf sich.

Seit dem Pegasus-Skandal stehen mehrere Staatstrojaner-Hersteller unter öffentlichem Druck. Immer wieder wird Spähsoftware wie die der NSO Group auf den Geräten von Aktivist:innen und Oppositionellen gefunden – zuletzt in Polen. Die USA setzten vor kurzem sowohl NSO Group als auch Candiru auf eine Restriktionsliste, da von ihnen mutmaßlich „schädliche Cyberaktivitäten“ ausgingen. Sie hätten „Spionagesoftware entwickelt und an ausländische Regierungen geliefert, die dieses Tool nutzten, um Regierungsbeamte, Journalisten, Geschäftsleute, Aktivisten, Akademiker und Botschaftsmitarbeiter böswillig ins Visier zu nehmen“, heißt es in der Begründung.

Die Bundesregierung nahm das zur Kenntnis, Anlass zur Änderung sieht sie jedoch offenbar bisher nicht.


Antwort der Bundesregierung

Kleine Anfrage der Abgeordneten Martina Renner u. a. und der Fraktion DIE LINKE.

Einsatz von Produkten zur informationstechnischen Überwachung der Firma Candiru Limited durch deutsche Sicherheitsbehörden

Drucksache 20/327

Vorbemerkung der Fragesteller:

Im Juli diesen Jahres war bekannt geworden, dass weltweit Journalisten, Menschenrechtsaktivistinnen, Geschäftsleute und Regierungspolitiker Opfer von Überwachungsmaßnahmen mithilfe des Programms „Pegasus“ der u.a. in Israel beheimateten Firma „NSO Group Technologies“ geworden waren (vgl. Bundestagsdrucksache 19/32246, Antwort der Bundesregierung auf eine Kleine Anfrage der Fraktion DIE LINKE, „Einsatz der Spionagesoft-ware „Pegasus“ in Deutschland“, Vorbemerkung).

Inzwischen wurde öffentlich, dass sowohl das Bundeskriminalamt (BKA) als auch der Bundesnachrichtendienst (BND) die Software der NSO Group einsetzen. (tagesschau.de vom 7. September 2021, „BKA soll Seehofer nicht informiert haben“; ZEIT online vom 8. Oktober 2021, „Bundesnachrichtendienst setzt umstrittene Cyberwaffe ein“). Die US-Regierung gab am 03. November 2021 bekannt, dass die NSO Group, deren Produkte durch Bundesbehörden eingesetzt werden, auf die US-Sanktionsliste gesetzt wurde. Denn der Einsatz von „Pegasus“ habe sich u.a. gegen befreundete Politiker und Regierungen, Journalisten und Menschenrechtsaktivisten und damit gegen die Interessen der USA gerichtet (https://www.commerce.gov/news/press-releases/2021/11/commerce-adds-nso-group-and-other-foreign-companies-entity-list; https://www.sueddeutsche.de/wirtschaft/nso-pegasus-spaehsoftware-usa-1.5455882). Neben der NSO Group wurde auch die israelische Softwarefirma „Candiru Limited“ (seit 2020 „Saito Tech Limited“) wegen derselben Vorwürfe auf die Sanktionsliste gesetzt. Die von jener Firma entwickelte und vertriebene Spyware soll sich insbesondere gegen Desktopanwendungen und Computer mit Windows-Betriebssystem richten. Verschiedene IT-Sicherheitsforscher des „Citizen Lab“ der Universität Toronto/Kanada aber auch von Microsoft selbst haben inzwischen den Einsatz der Spionagesoft-ware gegen mindestens 100 betroffene Politiker, Journalisten, Menschenrechtsaktivisten oder Dissidenten aufgedeckt, auch in Westeuropa (https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/, https://netzpolitik.org/2021/penisfisch-bundesregierung-verweigert-auskunft-ueber-israelischen-staatstrojaner-candiru/).

Die Software von Candiru wird also offenkundig in einem vergleichbaren, mindestens den Interessen der US-Regierung widersprechenden Rahmen eingesetzt.

Die Bundesregierung hat zuletzt die Auskunft darüber verweigert, ob Bundesbehörden Lizenzen der Spyware von „Candiru Limited“ (seit 2020 „Saito Tech Limited“) erworben haben bzw. Leistungen dieser Firma nutzen (Bundestagsdrucksache 19/32490, Frage 39). Angesichts der Entscheidung der US-Regierung erscheint trotz berührter Staatswohlbelange eine öffentliche Positionierung der Bundesregierung erforderlich. Denn die Zusammenarbeit mit den von US-Sanktionen betroffenen Unternehmen und der Einsatz ihrer Produkte durch Behörden des Bundes wird nach Ansicht der Fragestellerinnen und Fragesteller die Zusammenarbeit und Beziehungen zu US-amerikanischen Behörden und Diensten belasten und seinerseits Belange des Staatswohls nachhaltig beschädigen. Angesichts dessen scheint aus Sicht der Fragestellerinnen und Fragesteller eine weitere Verweigerung entsprechender Auskünfte aufgrund des überragenden öffentlichen und parlamentarischen Interesses ausgeschlossen.

Vorbemerkung der Bundesregierung:

Soweit die Fragen nicht explizit an das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) gerichtet sind, geht die Bunderegierung im Kontext der Fragestellung davon aus, dass sich die Fragen auf die Strafverfolgungs-, Ermittlungs- und Gefahrenabwehrbehörden des Bundes, sowie der Nachrichtendienste des Bundes beziehen. Dementsprechend werden ausschließlich diese in die Beantwortung einbezogen.

Soweit parlamentarische Anfragen Umstände betreffen, die aus Gründen des Staatswohls geheimhaltungsbedürftig sind, hat die Bundesregierung zu prüfen, ob und auf welche Weise die Geheimhaltungsbedürftigkeit mit dem parlamentarischen Informationsanspruch in Einklang gebracht werden kann.

Nach sorgfältiger Abwägung ist die Bundesregierung zu der Auffassung gelangt, dass eine Beantwortung der Fragen 1, 2, 5, 7 bis 12 und 14 bis 17 bezüglich der Strafverfolgungs-, Ermittlungs- und Gefahrenabwehrbehörden des Bundes sowie der Nachrichtendienste des Bundes nicht bzw. gegebenenfalls nicht vollständig erfolgen kann. Einer vollständigen Beantwortung dieser Fragen stehen überwiegende Belange des Staatswohls entgegen.

Die erbetenen Informationen zielen auf die kriminaltaktischen oder nachrichtendienstlichen Ermittlungs- bzw. Informationsgewinnungsinstrumente der betroffenen Sicherheitsbehörden. Mit der Beantwortung werden mittelbar bestimmte Arbeitsmethoden und Vorgehensweisen im Bereich der technischen Aufklärung offengelegt oder Rückschlüsse darauf ermöglicht. Hierdurch würden die Arbeitsfähigkeit und Aufgabenerfüllung und somit die Erfüllung des gesetzlichen Auftrags der betroffenen Sicherheits- und Strafverfolgungsbehörden sowie Nachrichtendienste erheblich gefährdet.

Schon die Angabe, mit welchen Herstellern technischer Produkte im Bereich der informationstechnischen Überwachung die betroffenen Sicherheitsbehörden in Kontakt stehen und damit mittelbar die Angabe, welche technischen Produkte die Sicherheitsbehörden in diesem sensiblen Bereich derzeit oder zukünftig einsetzen könnten, kann zu einer gezielten Änderung des Kommunikationsverhaltens der betreffenden, zu beobachtenden Personen führen, wodurch eine weitere Aufklärung der von diesen Personen verfolgten Bestrebungen und Planungen unmöglich werden würde. In diesem Fall wäre ein Ersatz durch andere Instrumente nicht möglich.

Eine VS-Einstufung und Hinterlegung der angefragten Informationen in der Geheimschutzstelle des Deutschen Bundestages kommt angesichts ihrer erheblichen Brisanz im Hinblick auf die Bedeutung der technischen Aufklärung für die Aufgabenerfüllung der Sicherheitsbehörden des Bundes nicht in Betracht. Das Risiko, dass derart sensible Informationen bekannt werden, kann unter keinen Umständen hingenommen werden. Die angefragten Informationen beschreiben die technischen Fähigkeiten der betroffenen Sicherheitsbehörden bzw. Nachrichtendiensten des Bundes aufgrund ihres Bezuges auf bestimmte Produkte bzw. Hersteller in einem derartigen Detaillierungsgrad, dass eine Bekanntgabe auch gegenüber einem begrenzten Kreis von Empfängern ihrem Schutzbedürfnis nicht Rechnung tragen würde.

Daraus folgt, dass die erbetenen Informationen derartig schutzbedürftig sind, dass auch eine Hinterlegung in der Geheimschutzstelle des Deutschen Bundestages aus Staatswohlgründen nicht in Frage kommt. In der Abwägung des parlamentarischen Informationsrechts der Abgeordneten einerseits und der staatswohlbegründeten Geheimhaltungsinteressen andererseits muss das parlamentarische Informationsrecht daher ausnahmsweise zurückstehen. Dabei ist der Umstand, dass die Beantwortung verweigert wird, weder als Bestätigung noch als Verneinung des jeweiligen angefragten Sachverhalts zu werten.

Im Übrigen ist die Feststellung der Fragesteller, dass die NSO Group und Candiru auf die US-Sanktionsliste gesetzt wurden, nicht zutreffend. Es handelt sich vielmehr um eine interne Entscheidung der zuständigen Stellen der USA zur Aufnahme von Firmen in die sog. „Entity List for Malicious Cyber Activities” des Bureau of Industry and Security (BIS), deren Entscheidungen die Bundesregierung zur Kenntnis nimmt.

1: Haben Vertreter oder Beauftragte des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) Behörden des Bundes bzw. den Vertretern von Behörden die von ihnen entwickelten und vertriebenen Softwareprodukte zur Infiltration und Überwachung informationstechnischer Systeme und Netzwerke vorgestellt, und wenn ja, wann und welchen Behörden?

2: Waren Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) Gegenstand der Marktsichtung durch die Zentralstelle für Informationstechnik im Sicherheitsbereich (ZITiS) oder Bedarfsträger im Geschäftsbereich der Bundesregierung?

Zu 1 und 2: Die Fragen 1 und 2 werden im Zusammenhang beantwortet. Zur Erhaltung und Weiterentwicklung von Cyberfähigkeiten der Sicherheitsbehörden im Bereich der informationstechnischen Überwachung führt die ZITiS fortlaufende Erhebungen des aktuellen Produktportfolios bei verschiedenen Anbietern und Herstellern im Rahmen von Marktsichtungen durch. In diesem Zusammenhang steht die ZITiS seit 2018 mit Vertretern des Unternehmens in Kontakt. Im Übrigen wird auf die Vorbemerkung der Bundesregierung verwiesen.

3: Hat sich ZITiS insbesondere hinsichtlich des verfassungskonformen Einsatzes mit Produkten und Leistungen im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) zur informationstechnischen Überwachung beschäftigt, und wenn ja, wann und mit welchem Ergebnis?

4: Wer wurde von ZITiS gegebenenfalls wann über das Ergebnis dieser Prüfung unterrichtet, und wie hat die zuständige Fach- und Rechtsaufsicht sich zu diesem Prüfergebnis verhalten?

Zu 3 und 4: Die Fragen 3 und 4 werden im Zusammenhang beantwortet. Die ZITiS erhebt im Zuge der Marktsichtung fortlaufend aktuelle Produktportfolios bei verschiedenen Anbietern, Herstellern und Behörden. Die ZITiS verfügt jedoch selbst über keine operativen Befugnisse zur Durchführung von ITÜ-Maßnahmen. Die Befassung mit rechtlichen Fragen des verfassungskonformen Einsatzes von Produkten und Leistungen im Bereich der informationstechnischen Überwachung obliegt den Behörden, die die ITÜ-Maßnahmen aufgrund gesetzlicher Befugnisse durchführen.

5: Inwieweit wurde ZITiS gegebenenfalls vom Einsatz, einschließlich Test- oder Erprobungseinsatz von Produkten und Leistungen im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) zur informationstechnischen Überwachung in Kenntnis gesetzt oder hat Kenntnis von technischen Fragen und Problemstellungen im Rahmen des Einsatzes (etwa zum Aufbau von know-how für zukünftige Beschaffungen in diesem Bereich) erhalten?

Zu 5: Zum Erhalt und Verbesserung von Maßnahmen der informationstechnischen Überwachung steht die ZITiS fortlaufend mit den Sicherheitsbehörden im Austausch. Weitergehende Auskünfte können mit Blick auf die Vorbemerkung der Bundesregierung zu den Strafverfolgungs-, Ermittlungs- und Gefahrenabwehrbehörden des Bundes
sowie der Nachrichtendienste des Bundes nicht erteilt werden.

6: Hat die Bundesregierung alle ggf. in Frage kommenden Gremien des Deutschen Bundestages für den Fall eines Ankaufs und eines Einsatzes von Produkten und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) durch Behörden im Zuständigkeitsbereich dieser Gremien unterrichtet? Wenn nein, warum ist eine solche Unterrichtung bislang unterblieben?

Zu 6: Die Bundesregierung berichtet den zuständigen Gremien des Deutschen Bundestages fortdauernd und anlassbezogen zu entsprechenden Themen.

7: Wurde gegebenenfalls eine technische Prüfung der Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) durch das Bundesamt für Sicherheit in der Informationstechnik durchgeführt, wenn ja wann und mit welchem Ergebnis, wenn nein, warum nicht?

Zu 7: Das BSI wird von den Behörden im Rahmen der geltenden Rechtslage sowie gegebenenfalls zusätzlich auf Basis eigener Bedarfe eingebunden. Weitergehende Auskünfte können mit Blick auf die Vorbemerkung der Bundesregierung nicht erteilt werden.

8: Nach welchen Kriterien, Schemata, fachlichen Vorgaben oder Fragestellungen wurde ggf. eine Überprüfung der Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) durch die einsetzenden Behörden selbst vorgenommen?

9: Hat jede einsetzende Behörde gegebenenfalls selbst eine solche Überprüfung vorgenommen, und wussten die jeweiligen Behörden von der Beschaffung und dem Einsatz in den anderen Behörden des Bundes?

10: Welche Behörden oder Einrichtungen wurden gegebenenfalls anlässlich bzw. im Nachgang eigener Überprüfungen der einsetzenden Behörden über die Ergebnisse dieser Überprüfungen unterrichtet?

Zu 8 bis 10: Auf die Vorbemerkung der Bundesregierung wird verwiesen.

11: Waren die geschäftsführenden Bundesministerien gegebenenfalls anlässlich bzw. im Nachgang über den Einsatz und über die Ergebnisse von Überprüfungen der Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) informiert und wenn ja, wer wurde jeweils wann und worüber unterrichtet?

Zu 11: Die Behörden berichten der Fachaufsicht regelmäßig über relevante Sachverhalte. Weitergehende Auskünfte können mit Blick auf die Vorbemerkung der Bundesregierung zu diesen Behörden nicht erteilt werden.

12: Hat sich nach Kenntnis der Bundesregierung in Folge von möglichen Überprüfungen bzw. Auswertungen des Einsatzes ergeben, dass die Behörden des Bundes zur Verfügung gestellte Programmversionen von Produkten und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) weiterer Einschränkungen bedürfen und wenn ja, seit wann ist das bekannt geworden und wann wurde dies entsprechend umgesetzt?

Zu 12: Auf die Vorbemerkung der Bundesregierung wird verwiesen.

13: Wurden den zuständigen Kontrollgremien bzw. Gerichten Informationen über Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) zu Verfügung gestellt, die den Einsatz im Rahmen von Gefahrenabwehrvorgängen oder Strafermittlungen bzw. als nachrichtendienstliches Mittel genehmigt bzw. angeordnet haben, und wenn ja, welche?

Zu 13: Bei der Beantragung richterlicher Anordnungen zur Durchführung von Maßnahmen der informationstechnischen Überwachung werden dem anordnenden Gericht die notwendigen verfahrensbezogenen Informationen gemäß den geltenden gesetzlichen Bestimmungen zur Verfügung gestellt. Darüber hinaus wird auf die Antwort zur Frage 6 verwiesen.

14: Wurden Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) bislang eingesetzt und wenn ja, in wie vielen Fällen mit wie vielen Betroffenen und

a) wie viele dieser Vorgänge sind noch laufend,
b) wie viele dieser Vorgänge sind bereits abgeschlossen,
c) welches Ziel wurde mit dem jeweiligen Einsatz verfolgt (Fernmeldeaufklärung, nachrichtendienstliches Mittel, Gefahrenabwehr, Strafverfolgung)?

15: In wie vielen Fällen erfolgte – sofern Frage 14 bejaht wird – bislang nach Abschluss der Maßnahme eine Information an Betroffene, in wie vielen Fällen wurde vorläufig von einer Benachrichtigung abgesehen oder soll dauerhaft davon abgesehen werden?

16: Welchen Schweregrad (base score) nach dem Common Vulnerability Scoring System (CVSS) haben – sofern Frage 14 bejaht wird – die beim Einsatz der Produkte von Candiru/Saito genutzten Vektoren zur Ausleitung von Daten aus dem jeweiligen Zielsystem?

17: Welche Kosten sind gegebenenfalls jeweils durch die Beschaffung, den Betrieb und die Wartung von Produkten der „Candiru Ltd.“ bzw. „Saito Tech Ltd.“ für Behörden des Bundes bislang entstanden (bitte aufschlüsseln nach Behörde und Jahr)?

Zu 14 bis 17: Auf die Vorbemerkung der Bundesregierung wird verwiesen.

0 Ergänzungen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.