Das Bundeskriminalamt verfügt laut Medienberichten über selbst programmierte Software, die es ihr ermöglicht, Accounts beim Messenger-Dienst Telegram zu knacken. Dadurch kann sie unverschlüsselte Nachrichten ohne Wissen der Betroffenen und des Anbieters mitlesen.

Dem Bundeskriminalamt (BKA) soll es in diesem und letzten Jahr 44-mal gelungen sein, Zugriff auf Nachrichteninhalte der Messenger-App „Telegram“ zu erhalten. Die technischen Möglichkeiten dazu sollen die Ermittler seit mittlerweile zwei Jahren besitzen. Das geht aus einer Recherche von Vice Motherboard über die Ermittlungen gegen die rechtsextreme „Oldschool Society“ (OSS) hervor, deren Mitglieder derzeit vor dem Münchner Landgericht angeklagt sind. Die Gruppe plante mehrere Anschläge unter anderem auf Flüchtlingsunterkünfte – und nutzte „Telegram“ zur Koordination.

In dem bereits im August bekannt gewordenen Fall war es den Ermittlern gelungen, durch eine Telekommunikationsüberwachung auf die Accounts der Rechtsextremen zuzugreifen. Wie die Ermittler dabei vorgingen, ist schon seit dem Sommer bekannt:

Erst registrierten sie den Account eines Verdächtigen auf einem eigenen Gerät, dann fingen sie die SMS mit dem Authentifizierungscode ab. Zum Schluss deregistrierten die Ermittler das ursprüngliche Gerät für einen Augenblick, so dass der Verdächtige keine Benachrichtigung erhielt. So konnten sie unverschlüsselte Chats sowie Gruppenchats mit mehr als drei Personen mitlesen.

Erstmals bekannt geworden ist nun aber der minutiöse Ablauf der Aktion. BKA-Experten des „Kompetenzzentrums für Informationstechnische Überwachung (CCITÜ)“ drangen in einer nächtlichen Aktion mit Hilfe eines selbst entwickelten Programms in die Accounts ein, wie aus Gerichtsdokumenten hervorgeht. Juristen und Politiker äußerten gegenüber Motherboard erhebliche Zweifel an der Rechtmäßigkeit des Vorgehens. Sie sehen das Knacken der Accounts nicht durch die Strafprozessordnung (StPO) gedeckt:

Nach § 100a [StPO] ist eine Handy-Überwachung aber eigentlich nur dann zulässig, wenn die Firma, die den Dienst anbietet, sich vom BKA eine richterliche Anordnung zeigen lässt und dann die Daten an die Ermittler überträgt. Genauso sehen das sowohl die Verteidigung der Rechtsextremisten als auch mehrere Juristen, mit denen Motherboard die Details diskutiert hat.

Diesen rechtlich fragwürdigen, aber technisch nicht sehr anspruchsvollen Weg hat das BKA eingeschlagen, weil Telegram als nicht sehr kooperationswillig mit Behörden gilt. Das verärgert auch die europäische Kommission und Europol, die auf eine verstärkte Zusammenarbeit zwischen Ermittlungsbehörden und Internetfirmen zur Herausgabe „elektronischer Beweismittel“ und verschlüsselter Kommunikation drängen.

Parallelen zu Staatstrojanern

Das „Kompetenzzentrum für Informationstechnische Überwachung (CCITÜ)“ des BKA wurde nach dem Debakel um den DigiTask-Staatstrojaner eingerichtet, um einen eigenen Trojaner zu entwickeln. In diesem Frühjahr hatte das Bundesverfassungsgericht die rechtliche Grundlage für den Einsatz von Staastrojanern durch das BKA für teilweise grundgesetzwidrig erklärt. Das hindert das Innenministerium aber nicht daran, weitere Versionen des Staatstrojaners für Mobiltelefone zu entwickeln.

Offenbar wurde aber in diesem Fall gar kein Staatstrojaner benötigt. Man hat stattdessen das Wissen um die Schwächen der Telegram-Sicherheit in Kombination mit der staatlichen Zugriffsmöglichkeit auf SMS ausgenutzt, um an die Kommunikationsinhalte zu kommen. Ähnlich wie beim Staatstrojaner gibt es aber erhebliche Zweifel, ob das rechtlich einwandfrei geschehen ist.

Gemacht wird eben, was geht, nicht unbedingt, was erlaubt ist.