Staatstrojaner PegasusWir verklagen das BKA – zum dritten Mal

Das Bundeskriminalamt verweigert Auskunft über seinen Kaufvertrag zum Staatstrojaner NSO Pegasus. Obwohl der Kauf des berüchtigten Trojaners allgemein bekannt ist, will die Polizei geheimhalten, ob es überhaupt einen Vertrag gibt. Das nehmen wir nicht hin und verklagen das BKA.

Frau lötet unter Mikroskop.
Das BKA wirbt mit Jobs in der IT. (Symbolbild) – Alle Rechte vorbehalten BKA

Deutsche Polizisten dürfen immer öfter IT-Geräte mit Staatstrojanern hacken und überwachen, zuletzt jede Woche. Dazu nutzen sie diverse Produkte, neben ihrer Eigenentwicklung RCIS auch FinFisher FinSpy und NSO Pegasus. Deutsche Ermittler hackten mit Pegasus die rechtsterroristische „Patriotische Union“. Unbekannte hackten mit Pegasus russische Exil-Journalisten in Berlin.

Pegasus ist der wohl berüchtigtste Staatstrojaner der Welt. Nach den Enthüllungen des Pegasus-Projekts arbeitete das EU-Parlament diverse Skandale in einem eigenen Untersuchungsausschuss auf. Die USA haben den Einsatz von Pegasus verboten und Sanktionen gegen das Unternehmen NSO verhängt, weil ihr Staatstrojaner die nationale Sicherheit und die internationale Ordnung gefährdet. Deutschland belohnt NSO weiter mit Steuergeld.

Weder bestätigen noch dementieren

Wir wollen Einblick in den Vertrag des Bundeskriminalamts mit NSO. Also haben wir das Dokument auf FragDenStaat beantragt. Das ist bereits über ein Jahr her. Erst hat das BKA unseren Antrag pauschal abgelehnt, dann unseren Widerspruch monatelang verzögert. Im Januar hat das BKA unseren Widerspruch zurückgewiesen. Dagegen wehren wir uns. Gemeinsam mit FragDenStaat und dem Anwalt Nico Sander verklagen wir das BKA.

Das ist bereits unsere dritte Klage gegen das BKA wegen Staatstrojaner-Verträgen. Vorher hatten wir den Vertrag mit FinFisher FinSpy sowie Änderungen zu diesem Vertrag angefordert. In beiden Fällen hatte das BKA zu viele Stellen geschwärzt und musste nach Gerichtsurteilen die Schwärzungen rückgängig machen.

Diesmal weigert sich das BKA sogar, den Vertrag mit einigen Schwärzungen herauszugeben. Die Polizeibehörde will weder bestätigen noch dementieren, ob sie überhaupt mit NSO spricht: „Bereits die Fragestellung, ob das BKA in Verbindung mit Kaufverhandlungen in Kontakt mit der NSO Group steht oder nicht, unterliegt einem besonderen Informationsschutz, so dass eine jegliche Stellungnahme zu diesem Punkt zu versagen ist.“

BKA setzt Pegasus ein

Die Öffentlichkeit weiß, dass das BKA Pegasus gekauft hat. Medien haben detailliert über Verkaufsgespräche, Anforderungen, Zeitverlauf, Preis und Einsätze berichtet. Dass das BKA Pegasus nutzt, steht auf Wikipedia und im Bericht des Pegasus-Untersuchungsausschusses. Im Deutschen Bundestag sagte der SPD-Abgeordnete Uli Grötsch: „Das Bundeskriminalamt setzt Pegasus ein.“

Das BKA und ihre Anwälte vertreten jedoch den Standpunkt, wonach das BKA bisher nicht offiziell und öffentlich bestätigt hat, Pegasus gekauft zu haben. Dass die BKA-Vizepräsidentin Martina Link laut Tagesschau den Kauf im Innenausschuss des Bundestages bestätigt hat, zählt demnach nicht, das war ja nicht öffentlich und eingestuft.

Staaten trotzen Erklärungsdruck

Die Polizei befürchtet „nachteilige Auswirkungen auf internationale Beziehungen“, wenn sie zugibt, Pegasus zu besitzen. Demnach haben sich die europäischen Sicherheitsbehörden gegenseitig „zur Vertraulichkeit über Details der informationstechnischen Überwachung“ verpflichtet. Gäbe Deutschland zu, Pegasus zu haben, würde das „Erklärungsdruck“ auf andere EU-Staaten aufbauen, „sich ebenfalls zu konkret eingesetzten Produkten zu erklären“.

Wir sind der Auffassung, dass ein Vertrag zwischen einem Unternehmen und einer deutschen Behörde ein rein nationaler Sachverhalt ist. Andere Staaten sind davon nicht betroffen. Auch das Verhalten anderer Staaten widerspricht der These des BKA: Polen, Ungarn und Spanien haben offiziell zugegeben, Pegasus zu haben. Der Pegasus-Untersuchungsausschuss nennt weitere Länder. Der Hersteller NSO gab öffentlich zu, dass 14 EU-Staaten Pegasus gekauft haben. Die Staaten dürfen darüber auch reden.

Die Begründung des BKA ist über den konkreten Fall hinaus relevant. Wenn Behörden Anträge wegen eines „Erklärungsdrucks“ auf andere Staaten ablehnen, „würde der Sinn und Zweck des Informationsfreiheitsgesetzes ad absurdum geführt“. Das könnte auch weitere Sachverhalte betreffen, die in Deutschland und anderen Staaten relevant sind, zum Beispiel „Impfstofflieferungen, Umgang mit Versammlungen zum Ukraine-Krieg oder Maßnahmen zur Erreichung der Klimaschutzziele“.

BKA zitiert früheren Autor

Das BKA behauptet weiter, dass die Herausgabe des Vertrags die innere und öffentliche Sicherheit gefährdet. Wenn Kriminelle wissen, dass das BKA Pegasus besitzt, können sich „mögliche Betroffene“ darauf einstellen und dagegen schützen. Dazu verweisen die BKA-Anwälte auf den Golem-Artikel „Was hilft gegen den Staatstrojaner?“

Wir halten es für weltfremd, dass Kriminelle die Information auf Tagesschau, Wikipedia, Bundestag und EU-Parlament nicht verwenden und erst aktiv werden, wenn der Produktname auch auf bka.de steht.

Pegasus nutzt öffentlich unbekannte Schwachstellen, die eine Infektion ohne Interaktion der Zielpersonen erlauben. Dagegen kann man sich nicht schützen, sagt auch das Bundesamt für IT-Sicherheit. Allgemeine IT-Sicherheitsmaßnahmen trifft man jedoch gegen alle Arten von Schadsoftware, egal ob Staatstrojaner oder nicht.

Unser früherer Mitautor Moritz Tremmel, den das BKA zitiert hatte, bestätigt unsere Sicht: „Der von mir auf Golem.de veröffentlichte Artikel ‚Was hilft gegen den Staatstrojaner‘ gibt einen allgemeinen Überblick, wie man sich vor Staatstrojanern schützen kann. Der Artikel konstatiert: ‚Letztlich handelt es sich beim Staatstrojaner schlicht um eine Schadsoftware, die von Behörden eingesetzt wird. Entsprechend unterscheiden sich die Installationswege nicht sonderlich von gewöhnlicher Malware.'“

Zu kritisch über Staatstrojaner

Der erste Satz des Informationsfreiheitsgesetzes lautet: „Jeder hat nach Maßgabe dieses Gesetzes gegenüber den Behörden des Bundes einen Anspruch auf Zugang zu amtlichen Informationen.“

Die BKA-Anwälte begründen ihre Ablehnung aber konkret mit meiner Person: „Der Kläger ist Mitglied im Chaos Computer Club und hat sich in der Vergangenheit sehr kritisch zu ‚Staatstrojaner‘-Software geäußert. Als Beleg überreichen wir einen Bericht über eine Rede des Klägers als Angehöriger im EU-Untersuchungsausschuss.“

Ja, ich war im November Sachverständiger im PEGA-Untersuchungsausschuss. Die Anhörung war öffentlich und wurde gestreamt, meine Rede haben wir in Volltext veröffentlicht. Der Ausschuss hat auch das BKA eingeladen, drei Mal. Aber das BKA wollte nicht im EU-Parlament aussagen und hat die Einladung ausgeschlagen, drei Mal.

Transparenz nicht erfolgreich

Dass das BKA derart mauert, ist neu. Vor zehn Jahren haben haben wir enthüllt, dass das BKA den Staatstrojaner Gamma FinFisher gekauft hat. Damals hat uns die Polizei offiziell bestätigt: „Wir haben die Software.“ Die Polizeibehörden des Bundes haben auch offiziell bestätigt, Hacking-Tools von Cellebrite, ElcomSoft und anderen Firmen zu nutzen.

Diese Offenheit bezeichnet das BKA jetzt als Fehler. „Die frühere Transparenzstrategie hat aus Sicht des BKA nicht die gewünschten Ergebnisse gebracht, so dass das BKA im Einklang mit der Gesetzeslage generell keine Auskünfte zu taktischen und technischen Fähigkeiten mehr gibt.“

Auch dieses Argument weist unsere Klageschrift zurück: „Zuletzt weisen wir darauf hin, dass die Beantwortung von IFG-Anträgen nicht nach Maßgabe einer wie auch immer gearteten ‚Transparenzstrategie‘ der Beklagten zu erfolgen hat, sondern allein nach Maßgabe des Gesetzes.“

Ampel will Transparenz sicherstellen

Pikant ist zudem, dass uns das BKA unter einem CSU-Innenminister und Großer Koalition Informationen gegeben hat, die das BKA unter SPD-Innenministerin und Ampel-Regierung jetzt verweigert. Dabei enthält der Koalitionsvertrag ein eigenes Kapitel über Transparenz: „Wir wollen durch mehr Transparenz unsere Demokratie stärken.“ Im Kapitel zu Staatstrojanern steht: „Transparenz und effektive Kontrolle durch Aufsichtsbehörden und Parlament werden wir sicherstellen.“

Der grüne Bundestagsabgeordnete Konstantin von Notz hat den Koalitionsvertrag mitgeschrieben. In der Opposition bezeichnete er Pegasus als „Traum aller Diktaturen und Albtraum für den Rechtsstaat“. Er kritisierte die Informationspolitik der Großen Koalition als Maulkorb und drohte damit, die Bundesregierung zu verklagen.

Wir haben Konstantin von Notz gefragt, wie er die Ablehnung unseres Antrags durch das BKA bewertet. Der stellvertretende Fraktionsvorsitzende erklärt allgemein: „In welchem Umfang in Deutschland Überwachungssoftware von kommerziellen Anbietern zum Einsatz kommt, ist eine aus freiheitsrechtlicher und rechtsstaatlicher Perspektive sehr relevante Frage. Wir setzen uns seit langer Zeit dafür ein, dass Parlament und Öffentlichkeit in angemessenem Umfang über diese Sachverhalte in Kenntnis gesetzt werden. Das tun wir weiterhin mit allen uns zur Verfügung stehenden Mitteln.“

Auf unsere Nachfrage, ob und wie er sich in unserem konkreten Fall dafür eingesetzt hat, „dass Parlament und Öffentlichkeit in angemessenem Umfang über diese Sachverhalte in Kenntnis gesetzt werden“, hat er nicht geantwortet.

Behörden sollen Bürgern dienen

Update:

Die EU-Abgeordnete Sophie in ’t Veld war Berichterstatterin des PEGA-Untersuchungsausschusses. Heute berichtet sie im Digitalausschuss des Bundestags. Zu unserer Klage erklärt sie:

Es ist irre, dass das Unternehmen NSO, die israelische Regierung und Drittstaaten mehr über die Operationen unserer Strafverfolgungs- und Sicherheitsbehörden wissen, als die europäischen Bürger. Es ist an der Zeit, dass unsere Behörden sich daran erinnern, dass sie den Interessen ihrer Bürger dienen sollen. Hoffentlich bringt die Klage mehr Transparenz.


Hier unsere Klageerwiderung in Volltext:

Hier klicken, um den Inhalt von Maps Marker anzuzeigen.

2 Ergänzungen

  1. In einer Regierung, in der Bündnis90/Grüne und FDP vertreten sind, muss es möglich sein, ein BKA zu haben, welches sich Transparenz seinen Bürgern gegenüber leisten kann.
    => Freut mich, dass Ihr hartnäckig nachfragt !

  2. >> Diese Offenheit bezeichnet das BKA jetzt als Fehler. „Die frühere Transparenzstrategie hat aus Sicht des BKA nicht die gewünschten Ergebnisse gebracht, so dass das BKA im Einklang mit der Gesetzeslage generell keine Auskünfte zu taktischen und technischen Fähigkeiten mehr gibt.“

    https://dserver.bundestag.de/btd/20/032/2003220.pdf

    Abgesehenen von der Tatsache (sic!), das sich Teile der fragestellenden Fraktion (Partei) gerade aus dem Schutzbereich der freiheitlich-demokratischen Grundordnung verabschieden, ist insbessondere die Frage 11 und die Antwort der BuReg beachtenswert.

    Zitat :
    >> Einem öffentlichen Bekanntwerden dieser Informationen stehen damit überwiegende Belange des Staatswohls entgegen. Mit den aus diesen Auskünften ableitbaren Informationen über gegebenenfalls zur Verfügung oder nicht zur Verfügung stehende kriminaltaktische Vorgehensweisen (und damit zu konkreten Maßnahmen oder Ermittlungs-/Analysefähigkeiten) würden die Sicherheitsbehörden des Bundes polizeiliche und nachrichtendienstliche Vorgehensweisen zur Gefahrenabwehr oder zur Verhinderung und Aufklärung von Straftaten offenlegen oder Rückschlüsse darauf ermöglichen und die Arbeitsfähigkeit und Aufgabenerfüllung der Sicherheitsbehörden gefährden.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.