Das Bundeskriminalamt (BKA) lässt sich bei der Entwicklung seines Staatstrojaners von der US-Firma CSC Solutions helfen. Das berichtet der „Spiegel“ in seiner neuen Print-Ausgabe. Demnach unterstützt der US-Dienstleister das BKA „beim Projektmanagement und bei der Erstellung der Softwarearchitektur für die BKA-eigene Software“. Das Magazin zitiert aus einem „Sachstand“ vom Februar. Vermutlich handelt es sich dabei um ein Papier für den Innenausschuss. Die Rede ist dort von „Quellen-TKÜ“, womit die Ausforschung bestimmter aktiver Programme gemeint ist. Für die viel weitgehendere „Online-Durchsuchung“ des gesamten Rechnersystems kann theoretisch die gleiche Software genutzt werden.

Letztes Jahr war nach journalistischen Recherchen öffentlich geworden, wie CSC eng mit US-Geheimdiensten kooperiert. Über seine deutsche Tochterfirma ist der Konzern in zahlreiche deutsche IT-Vorhaben eingebunden. Hierzu gehören die „elektronische Patientenakte“, das „Nationale Waffenregister“, IT-Anlagen der Bundespolizei und ein Backup-Konzept für das Bundesverwaltungsamt. CSC Deutschland ist auch für die Einführung des biometrischen Personalausweises verantwortlich. Für das Justizministerium betreut CSC die „Elektronische Akte in Strafsachen“ und die „Elektronische Gerichtsakte“ sowie das Projekt „BundOnline“.

Tupperparties mit DigiTask

Zunächst nutzte das BKA zum Eindringen in fremde Computersysteme eine Software der hessischen Firma DigiTask – damals der Hoflieferant des Bundesinnenministeriums. Ab 2008 hatte das BKA regelrechte Tupperparties veranstaltet, um die Trojaner von DigiTask in Nachbarländern anzupreisen. Der Hersteller war meist mit dabei und durfte sein Produkt vorführen, während das BKA über Möglichkeiten der Nutzung referierte. 2011 kam der DigiTask-Trojaner unter anderem deshalb ins Gerede, da Abhördaten über Server in den USA an deutsche Behörden geleitet wurden. Inzwischen war die Werbeabteilung im BKA von „DigiTask User Group“ in „Remote Forensic User Group“ umbenannt worden.

Das Bundesinnenministerium kündigte daraufhin die Entwicklung eines eigenen Trojaners an. Das dauert – für den Übergang beschafft das BKA deshalb die Software „FinSpy“ der britischen Firma Gamma International. Auch hier hatte CSC bereits geholfen: Letztes Jahr teilte die Bundesregierung mit, dass die US-Firma in den Qualitätssicherungsprozess eingebunden sei und den Gamma-Trojaner auf seine Funktion prüfe.

Skandale um zwielichtige oder unrechtmäßige Abhörmaßnahmen führen in der Regel zu einer Aufrüstung des Apparates. Auch im Falle der Trojaner haben die zuständigen Behörden von den eigentlich negativen Berichten profitiert: Seit 2011 errichtet das Bundesinnenministerium das „Kompetenzzentrum Informationstechnische Überwachung“ (CC ITÜ), an dem „Bedarfsträger der Länder und des Bundes“ beteiligt sind. Damals hieß es schwammig, die „Zusammenarbeit mit der Privatwirtschaft“ sei noch „Gegenstand von Prüfungen“.

BKA distanziert sich von Begriff „staatlicher Trojaner“

Wie CSC auch in die Entwicklung des BKA-Trojaners eingebunden ist, wurde spätestens im Herbst vergangenen Jahres bekannt. Das Bundesinnenministerium hatte in einer Kleinen Anfrage unter dem Titel „Neuere Formen der Überwachung der Telekommunikation durch Polizei und Geheimdienste“ im September entsprechende Angaben gemacht:

Im Zusammenhang mit der Eigenentwicklung einer Software zur Durchführung von Maßnahmen der Quellen-TKÜ nehmen die Firmen CSC Deutschland Solutions GmbH und 4Soft eine unterstützende und beratende Funktion wahr, ohne in das CC ITÜ organisatorisch eingebunden zu sein.

4Soft aus München ist bei mehreren anderen Projekten von CSC dabei. Mit welcher „Unterstützung“ sich die beiden Firmen am Staatstrojaner beteiligen, wurde nicht beantwortet. Vielleicht geht es auch um die vorbereitenden Maßnahmen für das Eindringen in fremde Computer: Vor dem Einsatz staatlicher Schadsoftware wird eine „Analyse des Zielsystems“ vorgenommen. Dabei werden „insbesondere Betriebssystem, Art und Version der auf dem Zielsystem verwendeten Kommunikationssoftware sowie dort vorhandene Sicherheitssoftware erhoben“. Weil dabei angeblich alles nach Recht und Gesetz zugeht, meckert das BKA:

Das BKA distanziert sich daher von einer Verwendung der Begriffe Computerspionageprogramme bzw. staatliche Trojaner.

„Übergangslösung“ auch nicht einsatzbereit?

Außer Polizeibehörden verfügt auch das Zollkriminalamt (ZKA) über Trojaner. Vermutlich ist die Schäuble-Behörde deshalb am Aufbau des neuen Überwachungszentrums unmittelbar beteiligt. Weitere Partner sind die Landeskriminalämter Bayern und Hessen sowie Baden-Württemberg. Formal ist das „Kompetenzzentrum Informationstechnische Überwachung“ als neue Gruppe im BKA angesiedelt worden. Es setzt sich aus drei Fachbereichen zusammen:

Im Fachbereich „Softwareentwicklung und ‑pflege ITÜ“ werden die BKA-eigene Software zur Durchführung von Maßnahmen der Quellen-TKÜ entwickelt sowie die im BKA eigen-entwickelte Software zur Durchführung von Maßnahmen der Online-Durchsuchung fortentwickelt und für den jeweiligen Einsatzfall bereitgestellt. Die Durchführung von Maßnahmen der TKÜ/ITÜ einschließlich der erforderlichen netzwerkforensischen Untersuchungen der dabei gewonnen Daten erfolgt im Fachbereich „Einsatz und Service TKÜ/ITÜ“. Der Fachbereich „Monitoring, Test und Protokollierung ITÜ“ ist für die Gewährleistung der rechtskonformen Entwicklung und des rechtskonformen Einsatzes einschließlich der Protokollierung des Einsatzes von Software zur Durchführung von Maßnahmen informationstechnischer Überwachung zuständig (Qualitätssicherung).

Das CC ITÜ startete 2012 mit 30 Planstellen und 2,2 Millionen Euro für Sachmittel. Davon wurden unter anderem die Gamma-Trojaner über den deutschen Partner Elaman gekauft. Welche weiteren „technischen Mittel“ beschafft wurden, wollte das Bundesinnenministerium gegenüber Abgeordneten nicht aufschlüsseln.

Erst nach Abschluss eines Kaufvertrages erlaubte Gamma den Einblick in den Quellcode. In der damals vorliegenden Version entsprach die Software laut dem Bundesinnenministerium „noch nicht vollständig den Vorgaben und Anforderungen der Standardisierenden Leistungsbeschreibung“. Gamma müsse daher „Anpassungen“ vornehmen. Dieser Prozess dauert offenbar an.

Bald weniger Verträge mit CSC?

Nach den Medienberichten über Aufträge an den Geheimdienstpartner CSC hatte das Bundesinnenministerium im Januar eine Stellungnahme abgegeben:

Die Bundesregierung hat keinerlei Erkenntnisse, dass durch die CSC Deutschland Solutions GmbH versucht wurde, vertragswidrige Soft- oder Hardware einzubringen, um Informationen zum Nachteil der Bundesrepublik Deutschland abzuschöpfen.

Mittlerweile will die Bundesregierung sensible öffentliche Aufträge aber nicht mehr an Firmen vergeben, die zur Weitergabe von Informationen an Dritte verpflichtet sind. Allerdings sind von der neuen Regelung nur Neuverträge betroffen.