Staatstrojaner FinFisher: Vertrag bleibt geheim, Informationszugang würde die öffentliche Sicherheit gefährden

Wenn bekannt wird, wie das Bundeskriminalamt den international berüchtigten Staatstrojaner einsetzt, wird die Funktionsfähigkeit der Sicherheitsbehörden beeinträchtigt und damit die öffentliche Sicherheit gefährdet. Mit dieser Begründung werden unsere Informationsfreiheits-Anfragen nach dem Dokument abgelehnt. Würde man sensible Informationen schwärzen, blieben „keine nennenswerten Informationen m

Im Januar haben wir enthüllt, dass das Bundeskriminalamt den Staatstrojaner FinFisher der Firma Elaman/Gamma beschafft hat und einsetzen will. Seitdem versuchen wir, Einblick in den Vertrag zu bekommen. Jetzt haben sowohl das Bundeskriminalamt als auch das Beschaffungsamt des Innenministeriums unsere Anfragen nach Informationsfreiheitsgesetz beantwortet – und beide abgelehnt.

Gleich vier Gründe werden angeführt, warum die Öffentlichkeit keine Details zum Staatstrojaner-Deal erfahren darf:

Gefährdung der öffentlichen Sicherheit

Das BKA ist der Auffassung, dass ein Einblick in den Vertrag „die Funktionsfähigkeit der Sicherheitsbehörden“ und „damit die öffentliche Sicherheit“ insgesamt „beeinträchtigt bzw. gefährdet“:

Eine Einsichtnahme in den Vertrag würde den Erfolg der auf der Quellen-TKÜ basierenden polizeilichen Maßnahmen gefährden, weil Rückschlüsse auf das verwendete Gesamtsystem, dessen Hardware, eventuelle Schwachstellen sowie die polizeilichen Methoden/Einsatztaktik möglich wären. Dies führte zu einer eingeschränkten Wirksamkeit polizeilicher gefahrenabwehrender sowie strafverfolgender Maßnahmen der Quellen-TKÜ.

Im Ergebnis würde dies die Funktionsfähigkeit der Sicherheitsbehörden beeinträchtigen bzw. gefährden, wodurch die schützenswerten Interessen der Bundesrepublik Deutschland an einer wirksamen Bekämpfung von schwerer sowie schwerster Kriminalität mittels der Quellen-TKÜ und damit die öffentliche Sicherheit (und der darin aufgehenden inneren Sicherheit, vgl. oben) insgesamt beeinträchtigt bzw. gefährdet wären.

Dass das Prinzip Security by Obscurity nicht funktioniert, hat man da anscheinend nicht verstanden.

Geheim weil geheim

Der Vertrag ist mit einer Geheimhaltungsstufe versehen, die man auch nicht ändern will:

Der Vertrag mit der Fa. Elaman gilt als Verschlusssache mit dem Geheimhaltungsgrad „VS-NUR FÜR DEN DIENSTGEBRAUCH“, da die im Vertrag enthaltenen Informationen als „geheim zu haltende Tatsachen“ im Sinne des Sicherheitsüberprüfungsgesetzes (SÜG) in Verbindung mit der Verschlusssachenanweisung (VSA) eingestuft sind.

Die Gründe für die Einstufung als Verschlusssache wurden aus Anlass des IFG-Antrages nochmals geprüft, diese liegen weiterhin vor. Der Ausnahmetatbestand nach § 3 Nr. 4 IFG liegt somit aufgrund der Einstufung weiterhin vor.

Es ist also geheim, weil es geheim ist. Das erinnert an: „Wir sind eine PARTEI, weil wir eine PARTEI sind!

Firmengeheimnisse

Ein weiter Grund: Gammas Partner-Firma Elaman will nicht, dass ihr Vertrag bekannt wird:

Schließlich scheitert ein Anspruch auf Informationszugang nach dem IFG auch daran, dass durch das Bekanntwerden des Vertrages der Schutz geistigen Eigentums und von Betriebs- und Geschäftsgeheimnissen der Firma Elaman als Dritter gemäß § 6 IFG berührt würde. Die Firma Elaman hat ihre Einwilligung gemäß § 6 S. 2 IFG verweigert, weil durch eine Veröffentlichung des Vertrages kaufmännische Kalkulationen, einzelne Entwicklungsschritte und detaillierte Leistungsmerkmale ersichtlich würden, die wiederum Rückschlüsse auf das Gesamtsystem und dessen Hardwarekonfiguration ermöglichen würden.

Eine Firma schreibt also dem Staat vor, dass dieser keine Informationen über mit Steuergeldern bezahlte Überwachungsmaßnahmen veröffentlichen darf. Wer ist hier der Souverän?

Unkenntlichmachung sinnlos

Immerhin hat man eine Schwärzung sensibler Vertragsteile erwogen, dabei bleiben aber „keine nennenswerten Informationen mehr übrig“:

In diesem Fenster soll ein YouTube-Video wiedergegeben werden. Hierbei fließen personenbezogene Daten von Dir an YouTube. Wir verhindern mit dem WordPress-Plugin "Embed Privacy" einen Datenabfluss an YouTube solange, bis ein aktiver Klick auf diesen Hinweis erfolgt. Technisch gesehen wird das Video von YouTube erst nach dem Klick eingebunden. YouTube betrachtet Deinen Klick als Einwilligung, dass das Unternehmen auf dem von Dir verwendeten Endgerät Cookies setzt und andere Tracking-Technologien anwendet, die auch einer Analyse des Nutzungsverhaltens zu Marktforschungs- und Marketing-Zwecken dienen.

Zur Datenschutzerklärung von YouTube/Google

Zur Datenschutzerklärung von netzpolitik.org

transparenteste US-Regierung aller Zeiten“ hatte vorgemacht, wie das aussieht.

„NSA-Denke in deutscher Form“

Constanze Kurz, Sprecherin des Chaos Computer Club, kommentiert diese Ablehnung gegenüber netzpolitik.org:

Die Behörden lassen sich bei ihrem Ankauf elektronischer Waffen, die gegen Computer von deutschen Bürgern eingesetzt werden sollen, weiterhin nicht in die Karten schauen. Sie warten diesmal mit allem auf, was an Ablehnungsgründen aus dem IFG rauszuholen ist, um auch nur den Anschein von Transparenz und Überprüfbarkeit ihrer Kooperation mit einem notorischen Hoflieferanten bekannter Folterregimes zu vermeiden.

Da zeigt sich die alte NSA-Denke in deutscher Form. Angeblich könne auch keine geschwärzte Version des Vertrages gesendet werden. Vermutlich dürfen wir schon dankbar sein, dass die Existenz des Papiers nicht geleugnet wird. Die Funktionalitäten von FinFisher sind mittlerweile durchaus bekannt, allerdings ist es ein Recht der deutschen Öffentlichkeit, zu erfahren, wo das BKA die Exploits einkaufen lässt und was dafür bezahlt wird.

Natürlich lassen wir das nicht einfach so auf uns sitzen und bitten den Bundesbeauftragten für die Informationsfreiheit um Vermittlung, eh wir vielleicht offiziell Widerspruch einreichen. Selbstverständlich nehmen wir auch weiterhin anonyme Zusendungen und braune Briefumschläge entgegen.

11 Ergänzungen

  1. Unbedingt innerhalb der gesetzen Frist einen Widerspruch beim BKA einlegen und in der Begründung auf die fehlerhafte Abwägung/Ermessen hinsichtlich §§ 6,7 IFG hinweisen. Der Unterzeichner des Bescheids („Micro Faßbender“) ist diesbezüglich schon in anderer Hinsicht negativ aufgefallen. An den Kosten für eine ggf. anschließende Klage beim VG Wiesbaden beteilige ich mich gern.

  2. Es bleibt einfach nur zu empfehlen, Piraten zu wählen. Wer denkt, andere Parteien würden diesem Wahnsinn entgegenwirken, ist nicht mehr zu retten.

  3. Die kaufen ernsthaft eine Software, deren Verwendungsmöglichkeit davon abhängt, dass der vertragliche Rahmen geheim bleibt?

  4. Die Linke wäre vllt. noch empfänglich, wenn ihre Basis endlich schreien täte.
    Tut sie aber nicht.
    Und deswegen werden die Errraten in der Versenkug verschwinden, weil alle Stänkerer dorthin gehen, statt die möglichen Parteien herumzubiegen.
    Als Beispiel in die Richtung seien die Grünliberalen erwähnt, die der FDP und der CVP in den Städten Stimmen abgruben. Statt eine ganz neue Partei zu gründen, wurde den etablierten das Wasser ganz leicht angegraben. Das wirkt. Eine 6% Partei ist lächerlich, weil sie keine andere konsequent bedroht.
    Jaja der Parlamentarismus ist tot etc, trotzdem darf man ja noch Sofastrategien entwickeln.

  5. Nur mal schnell wegen dieser lächerlichen Piraten-Empfehlung: Wer die Schlömer Partei wählt, dem ist nicht zu helfen. Also wirklich! Dümmer gehts nümmer…

  6. Verstehe diese „Security through Obscurity“-Denke nicht. Ob da jetzt bspw. dementiert oder zugegeben wird, dass bspw. FinFisher genutzt wird, ist doch da absolut Jacke wie Hose. Schon alleine beim VERDACHT auf den Einsatz diverser Technologien kann ich doch meinen Katalog diversester Angriffs-/Verteidigungsmethoden um den passenden Satz erweitern. Eine klare Bestätigung oder ein klares Dementi ändert doch daran lediglich den Aufwand…

  7. Wie jede Firma will sie alles geheim halten. Legal können es die meisten nicht immer. Die Firma scheint hier „in der Vereinbarungen, den Verhandlungen am Tisch“ eingestimmt haben, solcherlei Geschäftsgeheimnisse als bindend für Nichteinsehbarkeit zu halten, um wiederum auch dem BND einen Gefallen zu tun. Und alle sind glücklich. Vielleicht hat am Tisch auch der BND die Firma darum gebeten. Wo es um Interessen geht, und wo eine Staatsmacht mit grosser Macht ist, die Befugnisse erweitert sind hinsichtlicher EINER Sache (Trojaner), kann man mit dem Schlimmsten rechnen. Einem Durchdrücken einseitiger Interessen, und die liegen beim BND auch im Geheimnis.
    Eine Hand wäscht die andere. Der BND erinnert mich sehr an die NSA. Es übersteigt alles, was man sich noch vorstellen kann, es wäre in einem Rahmen. Woher sollen wir wissen, wie der Rahmen aussieht, wenn dieser teilweise verschwiegen wird.
    Was wird denn überhaupt überwacht? Kinderschänder, Pädophile oder diejenigen, die Kreditkartendaten klauen? Was für Verbrechen werden verfolgt?

    1. „Was wird denn überhaupt überwacht?“ Die Antwort ist einfach „Die Auskunft darf .. erteilt werden, … zum Zweck der Verfolgung von Straftaten oder Ordnungswidrigkeiten, …“ [tkg 113] oder kurz gesagt: es reicht die Behauptung irgendeines Verdachts, dass ein Bürger gegen irgendein Gesetz verstoßen hätte (egal ob falsch Parken, Kaugummi ausgespuckt, Wohnsitz nicht rechtzeitig angemeldet, Steuererklärung nicht rechtzeitig abgegeben, Schule geschwänzt usw). Bei einem konkreten Verdacht können natürlich auch etwa Fingerabdrücke einer Schulmensa beschlagnahmt werden.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.