Das BKA hat fast sechs Millionen Euro ausgegeben, um zwei Staatstrojaner zu programmieren, die jetzt einsatzbereit sind. Das geht aus sieben eingestuften Dokumenten hervor, die wir veröffentlichen. Die Bundesregierung verweigert Angaben über Firmen und Einsätze, Abgeordnete kritisieren diese Informationspolitik.

Vor ziemlich genau einem Jahr hat der Bundestag den Einsatz von Staatstrojanern bei Alltagskriminalität beschlossen. Wir haben das als „krassestes Überwachungsgesetz der Legislaturperiode“ bezeichnet.

Seitdem gab es sieben Kleine Anfragen zum Thema im Bundestag. Die Regierung hat all diese Fragen nur oberflächlich beantwortet, vieles als Verschlusssache eingestuft und einige Antworten vollständig verweigert. Abgeordnete von Grünen und FDP haben deshalb bereits mit Klage gedroht.

Wir haben jetzt die sieben „nur für den Dienstgebrauch“ eingestuften Antwort-Teile erhalten und veröffentlichen diese wie gewohnt in Volltext.

Fünf Staatstrojaner in zehn Jahren

Bisher sind fünf verschiedene Staatstrojaner bekannt, die von Polizeibehörden in Deutschland verwendet werden. Drei davon sind aktuell einsatzbereit.

Der älteste bekannte Staatstrojaner ist vom Schweizer Unternehmen Era-IT Solutions und wurde 2007 vom Zoll eingesetzt. Laut Bundesregierung hat sich die Firma „2008 aus diesem Geschäftsfeld zurückgezogen“.

DigiTask von Firma aus Hessen

Der bisher am häufigsten eingesetzte Staatstrojaner stammt von der Firma DigiTask aus Hessen. Diese Software hat allein Bayern seit 2008 mindestens 23 mal eingesetzt.

Der Chaos Computer Club konnte 2011 mehrere Versionen von DigiTask analysieren und nachweisen, dass die Software mehr kann als das Gesetz erlaubt. Der bayerische Datenschutzbeauftragte hat schwere Fehler beim Einsatz festgestellt, der Bundesdatenschutzbeauftragte hat ebenfalls Mängel festgestellt. Seit diesen Enthüllungen wird die DigiTask-Software nicht mehr eingesetzt.

Ipoque und Rohde & Schwarz

Vor wenigen Monaten wurde die Firma DigiTask von ipoque aus Leipzig übernommen. Ipoque beschreibt sich als Experten für Deep-Packet-Inspection und gehört wiederum seit 2011 zu Rohde & Schwarz. Die Vermutung liegt nahe, dass ipoque einen eigenen Staatstrojaner entwickeln will.

Auf Anfrage teilt das Unternehmen mit: „Den angesprochenen Bundestrojaner gibt es nicht mehr und die Rechte daran wurden von Rohde & Schwarz bzw. ipoque nicht erworben.“ Über „die zukünftigen Aufgaben der übernommenen MitarbeiterInnen“ will man sich „nicht näher äußern“ und „zu etwaigen Geschäften oder Kunden im sicherheitsrelevanten Bereich“ gibt man „grundsätzlich keine detaillierten Auskünfte“.

BKA programmiert RCIS 1.0 Desktop

Nach dem DigiTask-Debakel programmierte das Bundeskriminalamt einen eigenen Staatstrojaner, die „Remote Communication Interception Software“ (RCIS). In vier Jahren haben 29 Mitarbeiter eine Version 1.0 entwickelt, die auch als „RCIS-Desktop“ bekannt ist und Skype auf Windows abhören kann.

Dann wurde getestet. Das BKA prüfte die Funktion, das System und die „betriebliche Akzeptanz“. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führte Penetrationstests der genutzten IT-Infrastruktur durch. Die Firma TÜV Informationstechnik GmbH (TÜViT) aus Essen prüfte den Quellcode und die Übereinstimmung mit der Leistungsbeschreibung. Die Bundesdatenschutzbeauftragte prüfte die Anwenderoberfläche.

Im Februar 2016 wurde RCIS 1.0 für den Einsatz freigegeben.

BKA programmiert RCIS 2.0 Mobile

Da die Desktop-Variante schon bei der Fertigstellung veraltet war, hat das BKA gleich danach eine RCIS Version 2.0 entwickelt. Die auch als „RCIS-Mobile“ bekannte Software soll moderne Geräte wie Smartphones und Tablets infizieren und abhören. Diese Version wurde 2017 geprüft, nach dem gleichen Verfahren wie der Vorgänger.

Das Bundesinnenministerium bestätigte uns, dass RCIS 2.0 Mobile mittlerweile für den Einsatz freigegeben ist.

Das BKA hat 5,8 Millionen Euro für die Entwicklung von RCIS ausgegeben, davon zwei Drittel Personalkosten und ein Drittel Sachkosten. Die Prüfung durch TÜViT hat rund 186.000 Euro gekostet. Seit 2015 hat das BKA 480.000 Euro für Entwicklung, Prüfung und Ankauf von Staatstrojanern bezahlt.

FinFisher: Das komplette Portfolio des Hackens

Neben der Eigenentwicklung setzt das BKA weiterhin auf kommerzielle Staatstrojaner-Produkte. Mit dem Ende von DigiTask hat das BKA die berüchtigte Software FinFisher/Finspy gekauft, das hatten wir 2013 enthüllt und 2016 den Vertrag freigeklagt. Das deutsch-britische Produkt ist berüchtigt für den Einsatz in Diktaturen.

Ursprünglich hatte das BKA FinFisher als Übergangslösung bezeichnet, bis die eigene Software einsatzbereit ist. Aber dann konnte dieser Trojaner mehr als das Gesetz erlaubt und der Hersteller musste FinFisher dreimal überarbeiten, um die rechtlichen Vorgaben einzuhalten – länger als die Programmierung von RCIS gedauert hat.

Deswegen hat das BKA mittlerweile die Begründung geändert. Jetzt gilt FinFisher als Reserve-Instrument, falls RCIS wieder enttarnt wird. Der eigentliche Grund dürfte jedoch sein, dass FinFisher all das kann, was RCIS nicht kann. Nicht umsonst wird FinFisher als „komplettes Portfolio“ des Hackens beworben.

Seit diesem Jahr darf das BKA FinFisher einsetzen. Nach einer Quellcodeprüfung durch die Firma CSC Deutschland Solutions hat das Innenministerium den Betrieb am 30. Januar freigegeben.

Staatstrojaner elf Mal eingesetzt

Obwohl das BKA also drei neue Staatstrojaner zur Verfügung hat, wurden die neuen Trojaner alle noch nicht eingesetzt. Zwar hat das BKA bereits elf mal Staatstrojaner verwendet, aber nicht seit der Enttarnung von DigiTask 2011. Das gilt für abgeschlossene Verfahren, zu laufenden Vorgängen gibt die Bundesregierung keine Auskunft.

Die Bundespolizei hat noch nie Staatstrojaner eingesetzt, der Zoll seit DigiTask 2011 nicht mehr.

Für die Geheimdienste gelten andere rechtliche Voraussetzungen. Bundesamt für Verfassungsschutz und Militärischer Abschirmdienst dürfen laut Gesetz keine Trojaner verwenden, der Verfassungsschutz tat das jedoch vor 2011. Der BND darf keine Staatstrojaner einsetzen, wenn Deutsche betroffen sind. Ausländer im Ausland sind weiterhin „vogelfrei“, diese hackt der BND seit mindestens elf Jahren.

Seit dem neuen Staatstrojaner-Gesetz vor einem Jahr dürfen Landespolizeien Trojaner einsetzen, zur Verfolgung einer langen Liste an Straftaten. Mit neuen Landespolizeigesetzen soll das ebenfalls zur Gefahrenabwehr erlaubt werden, beispielsweise in Bayern, Nordrhein-Westfalen und Hessen. Aktuelle Zahlen zur Einsatzhäufigkeit in den Ländern liegen noch nicht vor.

Trojaner gegen Geldwäsche und Drogen

Die fünf Trojaner-Einsätze zur „Quellen-TKÜ“ begründet das BKA mit der Verfolgung dieser Straftaten:

Weitere sechs Mal nutzte das BKA Staatstrojaner zur Gefahrenabwehr, je drei Mal als „Quellen-TKÜ“ und „Online-Durchsuchung“. Welche Gefahren abgewehrt werden sollen und ob das erfolgreich war, ist nicht öffentlich bekannt.

Der Staatstrojaner-Einsatz durch das BKA dauerte durchschnittlich 94 Tage, also gut drei Monate.

Messenger-Überwachung ohne Trojaner

Der Hauptgrund für den Einsatz von Staatstrojanern ist das Mitlesen von verschlüsselten Messengern. Eine einfachere Lösung dafür ist, die Endgeräte zu beschlagnahmen und auszulesen, wie es seit Jahren üblich ist.

Eine weitere Möglichkeit ist das heimliche Hinzufügen eines weiteren Geräts zu einem Chat, wie es das BKA beim Messenger Telegram durchführt. Diese Methode hat das BKA bis 2017 in 22 Ermittlungsverfahren eingesetzt, davon je elf im Jahr 2016 und neun im Jahr 2017. Das Bundesamt für Verfassungsschutz ist 45 Mal in Messenger eingedrungen, Bundespolizei und Zoll noch nicht.

Wir haben alle (nicht-menschenfeindlichen) Parteien im Innenausschuss des Bundestages nach einem Kommentar gefragt. Hier die Antworten:

SPD: „Maximale Transparenz geboten“

Saskia Esken, Mitglied im Innenausschuss für die SPD im Bundestag, kommentiert gegenüber netzpolitik.org:

Angesichts der Schwere der Grundrechtseingriffe ist maximale Transparenz geboten. Wo das nicht möglich ist, muss die Regierung zumindest die parlamentarische Kontrolle in den ausgewählten Gremien optimal unterstützen. Stattdessen haben wir immer wieder diese Haltung, Informationen zurückzuhalten. Am Ende schadet das der Akzeptanz des staatlichen Handelns.

FDP: „Parlamentarische Kontrolle verhindert“

Konstantin Kuhle, Mitglied im Innenausschuss für die FDP im Bundestag, kommentiert gegenüber netzpolitik.org:

Die Bundesregierung verweigert weiterhin die Antwort auf wesentliche Fragen zum Einsatz der Quellen-Telekommunikationsüberwachung, etwa hinsichtlich der Anzahl laufender Maßnahmen. Dieses Verhalten verhindert nicht nur eine effektive parlamentarische Kontrolle in diesem grundrechtssensiblen Bereich, sondern schmälert zugleich das Vertrauen der Bürgerinnen und Bürger in die Rechtmäßigkeit der Maßnahmen.

Linke: „Need-to-know-Prinzip“

Martina Renner, Mitglied im Innenausschuss für die Linke im Bundestag, kommentiert gegenüber netzpolitik.org:

Die Antworten der Bundesregierung reihen sich ein in den fortgesetzten Versuch, der Öffentlichkeit und den Betroffenen Sand in die Augen zu streuen. Das Prinzip „need to know“ gilt offensichtlich auch für Parlament und Öffentlichkeit. Unsere Fraktion setzt sich weiterhin für Aufklärung und Transparenz ein. Darüber hinaus arbeiten wir an eigenen Vorschlägen, für den Bereich der verdeckten Informationsbeschaffung durch die Polizei wirksame parlamentarische Kontrollmechanismen zu installieren.

Grüne: „Echter, handfester Skandal“

Konstantin von Notz, Stellvertretender Vorsitzender im Parlamentarischen Kontrollgremium und Mitglied im Innenausschuss für die Grünen im Bundestag, kommentiert gegenüber netzpolitik.org:

Die wiederholte Nicht-Beantwortung unserer drängenden Fragen in einem verfassungsrechtlich extrem heiklen Feld ist ein echter, handfester Skandal, da so parlamentarische Kontrolle bewusst durch die Bundesregierung verunmöglicht wird. Die bisherige Argumentation der Bundesregierung, die Nennung von Zulieferfirmen – selbst in eingestufter Form – würde das Staatswohl gefährden, ist schlicht absurd und lässt die Kontrollrechte des Parlaments vollends ins Leere laufen. Das werden wir uns gewiss nicht gefallen lassen, sondern auch weiterhin mit Hochdruck und allen uns zur Verfügung stehenden Mitteln auf die Beantwortung unserer Fragen drängen.

Andrea Lindholz, Vorsitzende des Innenausschusses und für die CDU/CSU im Bundestag, hat auf unsere Anfrage bisher noch nicht reagiert. Wir werden die Antwort ergänzen, sobald sie bei uns eintrifft.

﻿﻿﻿

Hier die Dokumente in Volltext:

Verschlusssache – Nur für den Dienstgebrauch

Anlage zur Antwort auf die Kleine Anfrage der Abgeordneten Dr. Konstantin von Notz, Hans-Christian Ströbele, Volker Beck (Köln), weiterer Abgeordneter und der Fraktion BÜNDNIS 90/DIE GRÜNEN

Einsatz von Schadsoftware (sog. Bundestrojaner) und Zurückhaltung und Ausnutzung von Sicherheitslücken durch Bundesbehörden

Frage 1: Wie oft gebrauchte das BKA seit 2008 seine Befugnisse gemäß den §§ 20g bis 20n BKA-Gesetz (bitte nach Norm, Jahr und Zahl der je Betroffenen aufschlüsseln)?

Vorbemerkung zu Frage 1: Im BKA werden die seit Inkrafttreten der gesetzlichen Regelungen gem. der §§ 4a, 20a ff. BKAG im Jahr 2009 durch das BKA getroffenen Maßnahmen nach §§ 20g-n BKAG in einer statistischen Übersicht zu Gefahrenabwehrvorgängen nach § 4a BKAG erfasst. Zahlen „der je Betroffenen“ gem. der Fragestellung werden nicht statistisch miterfasst und können nicht retrograd nacherfasst werden, da die durch Maßnahmen nach §§ 20g-n BKAG erlangten Daten aufgrund der Lösch- und Sperrvorgaben des § 20v Absatz 6 BKAG im Sinne der Fragestellung nicht mehr zur Verfügung stehen. Die statistische Übersicht des BKA zu Gefahrenabwehrvorgängen wird aus Gründen einer höheren Aussagekräftigkeit bezüglich der jeweiligen Eingriffsbefugnisse nach einzelnen Gefahrenabwehrvorgängen aufgeschlüsselt. Eine Aufschlüsselung nach Jahren gem. der Fragestellung ist nicht möglich. Zu aktuell noch laufenden Gefahrenabwehrvorgängen können aufgrund deren noch nicht abgeschlossenen statistischen Erfassungen keine Angaben gemacht werden.

Antwort 1: Im BKA wurden seit 2009 gem.

§ 20g Abs. 2 Nr. 1 BKAG (Längerfristige Observationen) 38 Maßnahmen,

§ 20g Abs. 2 Nr. 2 BKAG (Aufzeichnungen außerhalb von Wohnungen) 20 Maßnahmen,

§ 20g Abs. 2 Nr. 3 BKAG (Sonstige technische Mittel) 22 Maßnahmen,

§ 20g Abs. 2 Nr. 4 BKAG (Einsatz von Vertrauenspersonen) 4 Maßnahmen,

§ 20g Abs. 2 Nr. 5 BKAG (Einsatz von Verdeckten Ermittlern) keine Maßnahmen,

§ 20h BKAG (Wohnraumüberwachung) 4 Maßnahmen,

§ 20i BKAG (Ausschreibung zur Polizeilichen Beobachtung) 63 Ausschreibungen,

§ 20j BKAG (Rasterfahndung) 1 Maßnahme mit etwa 20 Betroffenen,

§ 20k BKAG (Online-Durchsuchung) 5 richterliche Beschlüsse (Erstanordnungen),

§ 20l Abs. 1 BKAG (TKÜ) 400 Maßnahmen,

§ 20l Abs. 2 BKAG (Quellen-TKÜ) 7 Beschlüsse (Erstanordnungen),

§ 20m BKAG (TK-Verkehrsdaten) 325 Fälle,

§ 20n BKAG (IMSI-Catcher) Feststellung und Identifizierung weiterer von den tatrelevanten Personen genutzten SIM-Karten und Mobilfunkgeräte in 18 Fällen

durchgeführt bzw. erwirkt.

Frage 2: In wie vielen Fällen davon war die gezielte Ausnutzung von sog. Zero-Day-Sicherheitslücken Grundlage und Voraussetzung des Einsatzes?

Antwort 2: Das BKA hat in keinem der o. g. Fälle sogenannte Zero-Day-Sicherheitslücken ausgenutzt.

Frage 4: Wie oft kamen diese Verfahren bis zum heutigen Tage jeweils zum Einsatz, und auf welcher Rechtsgrundlage konnte dies nach Auffassung der Bundesregierung geschehen?

Teilantwort 4: Das in dem in Frage 3 genannten Online-Artikel beschriebene Verfahren zur Überwachung von Messengerdiensten durch das BKA erfolgt gemäß den geltenden Vorschriften zur Telekommunikationsüberwachung in der StPO und dem BKAG. Das BKA hat dieses Verfahren bislang in 22 Ermittlungsverfahren angewendet.

Frage 6: Wie oft sind der Bundesnachrichtendienst, der Militärische Abschirmdienst, das Bundesamt für Verfassungsschutz, das BKA, das Zollkriminalamt und die Bundespolizei seit 2008 jeweils in Messenger-Dienste-Konten von nach dem Grundgesetz geschützten Personen sowie Angehörigen von Drittstaaten eingedrungen?

Teilantwort 6: Für das BKA wird auf die Antwort zu Frage 4 (VS-NfD) verwiesen. Der Zoll hat seit 2008 keine Maßnahme im fragegegenständlichen Sinne durchgeführt.

Frage 7: Auf welcher Rechtsgrundlage erfolgten jeweils diese Zugriffe?

Teilantwort 7: Es wird auf die Antwort zu Frage 6 (VS-NfD) verwiesen.

Frage 8: In wie vielen Fällen davon waren sog. Zero-Day-Sicherheitslücken Grundlage und Voraussetzung der jeweiligen Maßnahme?

Teilantwort 8: Das BKA hat in keinem der Fälle sogenannte Zero-Day-Sicherheitslücken ausgenutzt. Für den Zoll wird auf die Antwort zu Frage 6 (VS-NfD) verwiesen.

Frage 9: Wie oft wurde die Quellen-TKÜ-Software des BKA (RCIS) bereits seit Freigabe im Februar 2016 eingesetzt?

Antwort 9: Die Quellen-TKÜ-Software „RCIS“ wurde durch das BKA bislang nicht eingesetzt.

Frage 10: Auf welcher Rechtsgrundlage erfolgte nach Auffassung der Bundesregierung der jeweilige Einsatz?

Antwort 10: Auf die Antwort zu Frage 9 (VS-NfD) wird verwiesen.

Frage 11: Wie oft wurde die Quellen-TKÜ-Software des BKA (FinSpy) seit 2015 eingesetzt?

Antwort 11: Die Quellen-TKÜ-Software „FinSpy“ wurde durch das BKA bislang nicht eingesetzt.

Frage 12: Auf welcher Rechtsgrundlage erfolgte der jeweilige Einsatz?

Antwort 12: Auf die Antwort zu Frage 11 (VS-NfD) wird verwiesen.

Frage 13: Von welchen Bundesländern wurde die Quellen-TKÜ-Software des BKA nach Kenntnis der Bundesregierung jeweils erlangt, und in welchen Ländern wurde sie bereits wie häufig konkret eingesetzt?

Antwort 13: Eine Weitergabe der Quellen-TKÜ-Software des BKA an Bundesländer ist bislang nicht erfolgt.

Frage 14: Von welchen Behörden wurde die Quellen-TKÜ-Software nach Kenntnis der Bundesregierung wie häufig eingesetzt (Nennung der Behörde und die Anzahl der Einsetzung)?

Antwort 14: Die Quellen-TKÜ-Software des BKA wurde in den Strafverfolgungsbehörden des Zolls bislang nicht eingesetzt. Im Übrigen wird auf die Antwort zu Fragen 9 und 11 (VS-NfD) verwiesen.

Frage 15: Um welche Verfahren handelt es sich dabei (Nennung der Deliktsbereiche)?

Antwort 15: Auf die Antwort zu Frage 14 (VS-NfD) wird verwiesen.

Frage 16: Wie hoch waren die Entwicklungskosten im BKA in Bezug auf die Quellen-TKÜ-Software?

Antwort 16: Die Entwicklungskosten der Quellen-TKÜ-Software („RCIS“) des BKA beliefen sich bis zur Einsatzfreigabe im Februar 2016 auf ca. 5‚77 Mio. Euro, davon ca. 1,97 Mio. Euro Sachkosten Und ca. 3,8 Mio. Euro Personalkosten.

Frage 17: Wie ist der Stand der Entwicklung der Version RCIS 2.0 für Mobilgeräte?

Antwort 17: Die Fertigstellung der Version RCIS 2.0 ist für das 4. Quartal 2017 geplant.

Frage 18: Welche Überprüfungen der Sicherheit der Quellen-TKÜ-Software RCIS haben vor ihrer Freigabe im Februar 2016 stattgefunden?

Antwort 18: Die vom BKA entwickelte Quellen-TKÜ-Software RCIS wurde vor ihrer Freigabe einer Vielzahl von umfangreichen Tests unterzogen, darunter:

Softwareprüfung (SLB-Konformität) durch die TÜV Informationstechnik GmbH Essen

Penetrationstest durch das BSI

Funktionale Tests durch das BKA

Systemtests durch das BKA

Betrieblicher Akzeptanztest durch das BKA

Frage 19: Durch wen erfolgte die Überprüfung?

Antwort 19: Auf die Antwort zu Frage 18 (VS-NfD) wird verwiesen.

Frage 20: Wie hoch waren die Kosten?

Antwort 20: Die Kosten für die Softwareprüfung der Eigenentwicklung „RCIS“ durch die TÜV Informationstechnik GmbH Essen beliefen sich auf 186.185‚62 Euro. Durch die anderen Testaktivitäten gem. der Antwort zu Frage 18 entstanden dem BKA keine Kosten.

Frage 23: Auf welche Weise ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach wie vor in den Prozess der Erstellung der Trojaner eingebunden?

Teilantwort 23: Das BSI war nicht an der Erstellung der vom BKA entwickelten Quellen-TKÜ Software „RCIS“ beteiligt, sondern lediglich an der Prüfung, ob die im BKA entwickelte Software die Vertraulichkeit, Integrität und Authentizität auf dem Übertragungsweg gewährleistet, so dass es unbefugten Dritten nicht gelingen kann, die übertragenen Daten zu manipulieren oder mitzulesen. Darüber hinaus wird auf die Antwort zu Frage 18 (VS-NfD) verwiesen.

Frage 25: Welche Ergebnisse der Quellcodeprüfung der BKA-eigenen Quellen-TKÜ-Software RCIS lieferte der Bericht des BSI-zertifizierten Softwareprüflabors TÜV Informationstechnik GmbH?

Antwort 25: Im Ergebnis stellte die TÜV Informationstechnik GmbH fest:

„Die Funktionalität ist produktspezifisch festgelegt und entspricht den Vorgaben der Sicherheitsvorgaben basierend auf den Common Criteria“.

Die Sicherheitsvorgaben bildeten die Vorgaben der „Standardisierenden Leistungsbeschreibung“ für Quellen-TKÜ-Software („SLB“) ab. Darüber hinaus wurden „keine Hinweise auf eine nicht SLB-konforme Umsetzung der Anforderungen aus den Sicherheitsvorgaben“ festgestellt.

Frage 26: Kommt die Quellen-TKÜ-Software ebenfalls unter Ausnutzung von verdeckten Software-Schwachstellen (sog. Zero-Day-Exploits) zum Einsatz?

Frage 27: Wer ist konkret mit der Beschaffung der sog. Zero-Day-Exploits beauftragt?

Frage 28: Auf welche Weise werden diese Sicherheitslücken derzeit erworben?

Frage 29: Wer kontrolliert und überprüft den Ankauf der Sicherheitslücken?

Frage 30: Verfügen die zuständigen Stellen über einen eigenen Etat für den Erwerb der entsprechenden Lücken?

Frage 31: Wenn ja, wie hoch ist dieser Etat, und bestehen Vorgaben und Richtlinien für den Ankauf dieser sog. Zero-Day-Exploits?

Antwort 26 bis 31: Fragen 26 bis 31 werden aufgrund Ihres Sachzusammenhangs gemeinsam beantwortet. Es wird auf die Antwort zu Frage 14 verwiesen. Ob und inwieweit im Spannungsfeld technischer Erfordernisse, rechtlicher Vorgaben, sicherheits- und rechtspolitischer Erwägungen sowie taktischer Einsatzrahmenbedingungen zukünftig eine Nutzung sog. „Zero-Day-Exploits“ für die Durchführung von Maßnahmen der Quellen-TKÜ und Online-Durchsuchung durch Sicherheitsbehörden in Betracht kommt, ist durch die zuständigen Stellen der Bundesregierung in Abstimmung mit den zu beteiligenden nationalen und ggf. internationalen Stellen und Gremien zu prüfen.

Frage 32: Wird das BKA die von ihm entwickelte oder erworbene Software zur Quellen-TKÜ und Onlinedurchsuchung den Polizei- und Strafverfolgungsbehörden des Bundes und der Länder zur Verfügung stellen, wenn die neu geschaffenen Rechtsgrundlagen zur Telekommunikationsüberwachung und Onlinedurchsuchung in der StPO in Kraft treten?

Antwort 32: Das BKA beabsichtigt, von ihm entwickelte oder erworbene Software zur Quellen-TKÜ und Online-Durchsuchung den Polizei- und Strafverfolgungsbehörden des Bundes und der Länder auf Anfrage zur Verfügung zu stellen. Darüber hinaus besteht die Möglichkeit der Amtshilfe.

Verschlusssache – Nur für den Dienstgebrauch

Anlage zur Antwort auf die Kleine Anfrage der Abgeordneten Martina Renner, Ulla Jelpke, Jan Korte, Niema Movassat und der Fraktion DIE LINKE.

Informationstechnische Überwachung durch Bundeskriminalamt und Zoll

Frage 5: Welchen Stand hat das Verfahren zur Beschaffung, Prüfung und Zulassung der kommerziellen Quellen-TKÜ-Software „FinSpy“, und in welchem Umfang ist es bereits zum Einsatz gekommen?

Antwort 5: Nach Abschluss der Überprüfung der kommerziellen Quellen-TKÜ-Software „FinSpy“ und Bescheinigung der Konformität der überprüften Software in der für den Einsatz durch das BKA vorgesehenen Konfiguration mit der „Standardisierenden Leistungsbeschreibung“ hat das Bundesministerium des Innern mit Erlass vom 30. Januar 2018 den Betrieb der Software durch das BKA freigegeben. Diese wurde durch das BKA bislang nicht eingesetzt.

Frage 8: Welche Behörden, Unternehmen, Forschungseinrichtungen oder sonstige Dritte haben das BKA seit 2005 nach Kenntnis der Bundesregierung bei der Prüfung (Konformitätsprüfung, Penetrationstest etc.) der zur Verfügung gestellten Softwareprodukte oder Dienstleistungen für die informationstechnische Überwachung (Quellen-TKÜ, Onlinedurchsuchung usw.) in welcher Weise unterstützt (bitte einzeln nach Jahr, unterstützende Behörde/Unternehmen/Forschungseinrichtung/sonstige Dritte, Art der Unterstützungsleistung, angefallene Kosten auflisten)?

Antwort 8: Die Firmen

TÜV Informationstechnik Essen‚ für die Software-Prüfung der BKA-Software RCIS 1.0 (bis 2015) und RCIS 2.0 (2017),

CSC Deutschland Solutions, für die Software-Prüfung von „FinSpy“ der Fa. FinFisher (bis 2017),

haben im fragegegenständlichen Berichtszeitraum bei der Prüfung der im Portfolio des BKA befindlichen Softwareprodukte zur Durchführung von Maßnahmen der informationstechnischen Überwachung mitgewirkt.

Darüber hinaus wurden durch das Bundesamt für Sicherheit in der Informationstechnik mehrere Penetrationstests zur Überprüfung der genutzten IT-Infrastruktur durchgeführt.

Hinsichtlich der im Zusammenhang mit der Prüfung von Softwareprodukten oder Dienstleistungen im fragegegenständlichen Sinne durch beauftragte Firmen angefallenen Kosten wird auf die Antwort der Bundesregierung auf die Kleine Anfrage der Fraktion BÜNDNIS 90/DIE GRÜNEN „Einsatz von Schadsoftware (sogenannte Bundestrojaner) und Zurückhaltung und Ausnutzung von Sicherheitslücken durch Bundesbehörden“ zu Frage 20 auf Bundestagsdrucksache 18/13566 vom 13. September 2017 verwiesen. Darüber hinausgehende Angaben zu weiteren Kosten für die Prüfung von Softwareprodukten oder Dienstleistungen im fragegegenständlichen Sinne können aufgrund von im BKA noch nicht vorliegenden finalen Rechnungslegungen derzeit nicht gemacht werden.

Frage 23: Welche anderen Stellen des Bundes oder der Länder entwickeln ggf. eine solche Software zur Onlinedurchsuchung oder beschaffen sie bei kommerziellen Anbietern, wie ist der Entwicklungsstand, und welche Kosten sind dabei entstanden?

Antwort 23: Mangels möglicher Eingriffsbefugnis führt das BfV derzeit keine Online-Durchsuchungen durch. Eine Beschaffung oder eigene Entwicklung von Software im fragegegenständlichen Sinne findet aus dem genannten Grund durch das Bundesamt für Verfassungsschutz ebenfalls nicht statt.

Verschlusssache – Nur für den Dienstgebrauch

Anlage zur Antwort auf die Kleine Anfrage der Abgeordneten Dr. Konstantin von Notz, Luise Amtsberg, Canan Bayram, weiterer Abgeordneter und der Fraktion BÜNDNIS 90/DIE GRÜNEN

Staatliches Hacking von Internetkommunikation – Transparenz rechtlicher und tatsächlicher Voraussetzungen

Frage 4: In der Konkurrenz mit welchen Unternehmen erhielt die TÜV Informationstechnik GmbH Essen in der Auswahl den Zuschlag, und aufgrund welcher maßgebenden Kriterien (https://netzpolitik.org/2016/kritik-vom-bundesrechnungshof-das-bundeskriminalamt-will-gleich-zwei-staatstrojaner-einsetzen/)?

Antwort 4: Die TÜV Informationstechnik setzte sich im Rahmen des Beschaffungsverfahrens gegen folgende Firmen durch: atsec information security GmbH, datenschutz cert GmbH, secuvera GmbH, SRC Security Research & Consulting GmbH. Der Zuschlag an die TÜV Informationstechnik erfolgte aus fachlichen und ökonomischen Aspekten.

Frage 5: Trifft es zu, dass für die Prüfung von FinSpy auf Einhaltung der Leistungsvorgaben das Unternehmen CSC Deutschland Solutions GmbH beauftragt wurde (http://www.spiegel.de/netzwelt/netzpolitik/staatstrojaner-die-bundesregierung-schweigt-sich-aus-a-1190424.html), und worauf stützt sich ggf. die regierungsseitige Annahme der Vertrauenswürdigkeit dieses Unternehmens für die betraute Aufgabe?

Antwort 5: Die Firma CSC Deutschland Solutions hat bei der Software-Prüfung von „FinSpy“ der Fa. FinFisher mitgewirkt.

Frage 6: Warum wurde in diesem Fall nicht ebenfalls die in der Presse erwähnte TÜV Informationstechnik Essen beauftragt (http://www.spiegel.de/netzwelt/netzpolitik/staatstrojaner-die-bundesregierung-schweigt-sich-aus-a-1190424.html)?

Antwort 6: Im relevanten Prüfungszeitraum bestand ein Rahmenvertrag zwischen der Firma CSC Deutschland Solutions und dem BKA für entsprechende Dienstleistungen. Die für die Software-Prüfung notwendigen Dienstleistungen wurden aus diesem Rahmenvertrag abgerufen.

Frage 9: Wurden Penetrationstests der Software FinSpy durchgeführt, und wenn ja, durch welche Stelle, und mit welchem Ergebnis?

Antwort 9: Es wurden in Abhängigkeit von der Bedarfslage Penetrationstests zur Überprüfung der von Produkten der informationstechnischen Überwachung genutzten IT-Infrastruktur durchgeführt. Die Penetrationstests haben den Charakter einer Qualitätssicherungsmaßnahme, die zu einer Erklärung der betrieblichen Freigabe geführt haben.

Frage 20: Ist die Weiterentwicklung der Protokollierungssoftware ProSys für den Einsatz in den Ländern bereits erfolgt, und wurde sie Sicherheitsbehörden der Länder bereits zur Verfügung gestellt? Wenn ja, welchen?

Antwort 20: Eine Weitergabe der Software ProSys des BKA an andere Stellen des Bundes und der Länder ist bislang nicht erfolgt.

Frage 22: Welche Kosten sind durch die BKA-Eigenentwicklung der Spionagesoftware RCIS bis heute angefallen?

Antwort 22: Die Kosten der Entwicklung der Quellen-TKÜ-Software („RCIS“) des BKA beliefen sich bis zur Einsatzfreigabe auf ca. 5,77 Mio. Euro, davon ca. 1,97 Mio. Euro Sachkosten und ca. 3,8 Mio. Euro Personalkosten. Eine gesonderte Erhebung der davon auf die Teilkomponente „ProSys“ entfallenen Ausgaben erfolgt nicht.

Frage 23: In wie vielen Fällen ist RCIS seit der Betriebsbereitschaft und der Einsatzfreigabe bislang je unter welcher Befugnisnorm zum Einsatz gekommen?

Antwort 23: Das BKA hat seit 2011 keine Software zur Quellen-Telekommunikationsüberwachung in bereits abgeschossenen Vorgängen eingesetzt. Zu noch laufenden Vorgängen kann aus kriminaltaktischen Gründen keine Aussage getroffen werden.

Frage 25: Wie viele sog. Zero-Day-Sicherheitslücken sind den Bundesbehörden zwischenzeitlich (zumindest seit der Antwort auf die letzte Kleine Anfrage der Fraktion BÜNDNIS 90/DIE GRÜNEN vom 13. September 2017 auf Bundestagsdrucksache 18/13413) bekannt und werden vor der Öffentlichkeit geheim gehalten?

Wie lange werden diese bereits zurückgehalten, bzw. sind diese den einschlägigen Meldepflichten staatlicher Stellen bereits entzogen? Auf der Basis welcher Rechtsgrundlage bzw. welchen Verfahrens wird die Entscheidung darüber getroffen, ob und für welche Dauer eine IT-Sicherheitslücke für die Nutzung zu eigenen Zwecken von der Meldung zurückgehalten wird? Wer übernimmt nach Auffassung der Bundesregierung die maßgebende Verantwortung dafür, welche Informationen über Schwachstellen die Sicherheitsbehörden für sich behalten und welche sie dem Hersteller und/oder dem BSI melden, damit diese zum Schutz der Allgemeinheit behoben werden können? Liegen bislang überhaupt Vorgaben für ein derartiges rechtsstaatliches Verfahren u. a. zur Vornahme einer Bewertung der Risiken für die Allgemeinheit vor, und wenn nein, warum nicht? Wird das BSI in jedem Falle in einen derartigen Entscheidungsprozess einbezogen, und wenn nein, warum nicht? Wie viele dem sog. Telegram-Fall (https://netzpolitik.org/2016/bundeskriminalamt-knackt-telegram-accounts/) vergleichbare Verfahren der gezielten Ausnutzung einer Schwachstelle eines gängigen IT-Systems und/oder Messengerprodukts sind den Sicherheitsbehörden noch bekannt und werden von diesen intern für die Infiltration im Rahmen bereits bestehender, allgemeiner Eingriffsnormen ebenfalls für zulässig erachtet? Wie oft wurden diese weiteren Verfahren der Ausnutzung von Schwachstellen bislang im Rahmen welcher Verfahren durch Bundesbehörden eingesetzt (bitte einschlägige Rechtsgrundlage angeben)? Teilt die Bundesregierung die Auffassung, dass auch die Entscheidung über die Nutzung dieser Schwachstellen und die damit einhergehende Nichtmeldung an das BSI und/oder die Öffentlichkeit zumindest einem rechtsstaatlichen Verfahren und ggf. einer hinreichend bestimmten, bereichsspezifischen rechtlichen Regelung unterliegen sollte, und wenn nein, warum nicht? Besteht zumindest auf Seite der Bundesregierung Transparenz hinsichtlich der verschiedenen, im Einsatz befindlichen oder in der Entwicklung befindlichen Verfahren zur gezielten staatlichen Ausnutzung von IT-Schwachstellen durch bundesdeutsche Sicherheitsbehörden, um ein insoweit umfassenderes Lagebild der Risikosteigerung für die IT-Sicherheit erhalten zu können, und wenn ja, wie erreicht die Bundesregierung diesen Überblick derzeit? Bedarf es aus Sicht der Bundesregierung, auch unabhängig von der Frage rechtlicher Zulässigkeit des bisherigen Vorgehens, deshalb zumindest eines internen IT-Schwachstellenmanagements (Beschaffung, Bewertung und Abwägung, Verwendung und Sicherung), um z. B. doppelte Ankäufe von Zero-Day-Exploits auf den illegalen Märkten zu verhindern? Worin bestehen nach Ansicht der Bundesregierung derzeit die verbindlichen ethischen wie rechtsstaatlichen Rahmenbedingungen für die Beschaffung von Sicherheitslücken, um die staatliche Förderung eines illegalen Marktes zu verhindern, auf dem auch autoritäre Staaten ihre Software zur Überwachung von Zivilgesellschaft und politischen Gegnern sowie Straftäter ihre Instrumente beziehen (vgl. dazu Herpig/Schmitz, https://www.security-insider.de/oeffentliche-sicherheit-kontra-it-sicherheit-a-658471/)? Welche internationalen Gremien und Stellen sind nach Auffassung der Bundesregierung zu beteiligen, wenn durch diese bislang nicht veröffentlichte ZeroDays zum Einsatz kommen?

Antwort 25, 25a) bis 25l): Die Frage 25 sowie die Unterfragen werden im Zusammenhang beantwortet. Eine Übersicht über bundesweit in Strafverfolgung, nachrichtendienstlicher Informationsbeschaffung und Gefahrenabwehr eingesetzte IT-Werkzeuge besteht nicht.

Verschlusssache – Nur für den Dienstgebrauch

Anlage zur Antwort auf die Kleine Anfrage der Abgeordneten Konstantin Kuhle, Jimmy Schulz, Manuel Höferlin, weiterer Abgeordneter und der Fraktion der FDP

Rechtsgrundlagen und Einsatz der Quellen-Telekommunikationsüberwachung

Frage 1: In wie vielen Fällen wurde vom BKA bereits Software zur Überwachung informationstechnischer Systeme zur Gefahrenabwehr eingesetzt, und in wie vielen Fällen erfolgt dies derzeit?

Antwort: Das BKA hat in bereits abgeschlossenen Gefahrenabwehrvorgängen bislang drei Quellen-TKÜ-Maßnahmen nach § 20l BKAG und bislang drei Online-Durchsuchungen nach § 20k BKAG durchgeführt. Bei diesen Zahlen wurden Verlängerungen von Maßnahmen nicht als separate Maßnahmen im fragegegenständlichen Sinne gezählt. Im Übrigen hat das BKA seit 2011 keine Software zur Quellen-Telekommunikationsüberwachung in bereits abgeschlossenen Gefahrenabwehr- bzw. Strafverfolgungsvorgängen eingesetzt.

Zum möglichen Einsatz der Maßnahmen in noch laufenden Vorgängen kann aus kriminaltaktischen Gründen unter Bezugnahme auf die Vorbemerkung keine Aussage getroffen werden.

Frage 2: In wie vielen Fällen wurde vom BKA bereits Software zur Überwachung informationstechnischer Systeme zur Strafverfolgung eingesetzt, und in wie vielen Fällen erfolgt dies derzeit? In wie vielen Fällen wurde die Maßnahme dabei auf § 100a Absatz 1 Satz 3 und in wie vielen Fällen auf § 100a Absatz 1 Satz 2 StPO gestützt (bitte aufschlüsseln)?

Antwort 2: Das BKA hat in bereits abgeschlossenen Strafverfahren seit 2009 insgesamt fünf Quellen-TKÜ-Maßnahmen durchgeführt. Bei diesen Zahlen wurden Verlängerungen von Maßnahmen nicht als separate Maßnahmen im fragegegenständlichen Sinne gezählt. Seit Inkrafttreten der § 100a Abs. 1 S. 2 und 3 StPO und § 100b StPO wurden in bereits abgeschlossen Strafverfahren keine Maßnahmen im Sinne der Anfrage durchgeführt.

Zum möglichen Einsatz der Maßnahmen in noch laufenden Verfahren kann aus kriminaltaktischen Gründen unter Bezugnahme auf die Vorbemerkung keine Aussage getroffen werden.

Frage 4: Auf welche Arten informationstechnischer Systeme (Hardware) wurde bei der Überwachung informationstechnischer Systeme zur Strafverfolgung jeweils, d. h. nach beiden Rechtsgrundlagen § 100a Absatz 1 Satz 2 und 3 StPO, zugegriffen (Tablets, PCs, Smartphones) (bitte aufschlüsseln)?

Antwort 4: Eine Überwachung informationstechnischer Systeme nach den Rechtsgrundlagen § 100a Abs. 1 S. 2 und 3 StPO wurde seitens der Bundespolizei und des Zolls bisher nicht durchgeführt. Die Bundesregierung kann aus einsatztaktischen Gründen keine darüber hinaus gehenden Auskünfte zu laufenden Maßnahmen erteilen.

Frage 5: Auf welche konkreten Messenger-Dienste (Software wie z. B. Skype, WhatsApp) wurde in diesen Fällen jeweils zugegriffen? Auf welchen Betriebssystemen liefen die überwachten Dienste (Windows, Linux, Android etc.) (bitte aufschlüsseln)?

Antwort 5: Auf die Antwort zu Frage 4 wird verwiesen.

Frage 6: Aufgrund des Verdachts welcher Straftatbestände wurde die Software zur Überwachung informationstechnischer Systeme bereits eingesetzt (bitte nach Straftatbeständen und Ermächtigungsgrundlagen § 100a Absatz 1 Satz 2 und Satz 3 StPO aufschlüsseln)?

Antwort 6: Produkte zur Durchführung von Maßnahmen der Informationstechnischen Überwachung wurden bislang in Verfahren nach §§ 89a, 129a, 202a, 250, 261, 263, 263a, 303a, 303b StGB und § 29a BtMG (Gesetz über den Verkehr mit Betäubungsmitteln) eingesetzt.

Zum möglichen Einsatz in noch laufenden Vorgängen kann aus kriminaltaktischen Gründen keine Aussage getroffen werden. Ermächtigungsgrundlage für die Durchführung der Maßnahmen war §§ 100a, b StPO in der jeweils gültigen Fassung.

Bezüglich der konkreten Fallzahlen wird auf die Antworten zu den Fragen 1 und 2 verwiesen, im Übrigen wird auf die Antwort zu Frage 4 verwiesen.

Frage 7: Wie vieler Versuche bedurfte es bei diesen Einsätzen für die erfolgreiche Installation der Software?

Antwort 7: Auf die Antwort zu Frage 4 wird verwiesen.

Frage 11: Verwenden neben dem BKA auch andere Behörden auf Bundesebene bereits Software zur Überwachung informationstechnischer Systeme nach den Regeln der Quellen-TKÜ? Wenn ja, welche Behörden sind dies, und in vielen Fällen erfolgte der Einsatz?

Antwort 11: Im Geschäftsbereich des Bundesministeriums der Verteidigung (BMVg) ist nur das Bundesamt für den Militärischen Abschirmdienst (BAMAD) von der Fragestellung betroffen. Entsprechende Software wird dort nicht verwendet. Im Übrigen wird auf die Antwort zu Frage 4 verwiesen.

Frage 12: In wie vielen Strafverfahren sind die durch den Einsatz von Software zur Überwachung informationstechnischer Systeme nach den Regeln der Quellen-TKÜ gewonnenen Erkenntnisse bereits als Beweis eingebracht worden, und welche Straftatbestände wurden angeklagt (bitte aufschlüsseln)?

Frage 13: In wie vielen Strafverfahren und aufgrund welcher Straftatbestände, in denen durch den Einsatz von Software zur Überwachung informationstechnischer Systeme gewonnene Erkenntnisse als Beweis eingebracht wurden, erfolgte eine Verurteilung der Angeklagten?

Antwort 12 und 13: Es wird auf die Antworten zu Frage 2 und Frage 4 verwiesen.

Frage 16: Wird für die Onlinedurchsuchung und für die Quellen-TKÜ dieselbe Software eingesetzt?

Frage 17: Ist die zur Überwachung informationstechnischer Systeme verwandte Software grundsätzlich in der Lage, sowohl eine Quellen-TKÜ als auch eine Onlinedurchsuchung auszuführen, und wie unterscheiden sich die verwandten Programme diesbezüglich?

Antwort 16 und 17: Beim Zoll wurde bisher keine Online-Durchsuchung durchgeführt. Im Übrigen wird auf die Antwort zu Frage 4 und Frage 11 verwiesen.

Verschlusssache – Nur für den Dienstgebrauch

Anlage zur Antwort auf die Kleine Anfrage der Abgeordneten Martina Renner, Dr. André Hahn, Gökay Akbulut, Anke Domscheit-Berg, Ulla Jelpke, Amira Mohamed Ali, Niema Movassat, Kersten Steinke, Friedrich Straetmanns und der Fraktion DIE LINKE.

Besondere Maßnahmen zur technischen Überwachung durch Bundesbehörden

Frage 1: In wie vielen Fällen seit dem Jahr 2016 hat das BKA die Kommunikation von Betroffenen durch Empfangsgeräte erfasst und erhoben, indem jene für die Betroffenen nicht erkennbar in eine von ihnen genutzte Kommunikationsplattform (Mail, Chat etc.) zugeschaltet wurden (bitte nach Jahr, Anzahl, Rechtsgrundlage und ggf. jeweiligem Tatvorwurf auflisten)?

Antwort 1: Im Jahr 2016 wurden in elf und im Jahr 2017 in neun Ermittlungsverfahren des BKA die von Beschuldigten über Messenger-Dienste geführte Kommunikation überwacht. Die Überwachungen erfolgten jeweils auf der Grundlage richterlicher Beschlüsse gemäß § 20l BKAG bzw. § 100a StPO (in der jeweils gültigen Fassung).

Im Jahr 2018 hat das BKA bisher in keinem abgeschlossenen Verfahren das genannte Verfahren eingesetzt. Die Bundesregierung äußert sich aus kriminaltaktischen Gründen grundsätzlich nicht zu laufenden Ermittlungsverfahren.

Frage 1a: In wie vielen Fällen wurde dabei eine Authentifizierung des zusätzlichen Empfangsgerätes im Namen der Betroffenen, jedoch ohne ihre Kenntnis und allein durch das BKA vorgenommen?

Antwort 1a: Auf die Antwort zu Frage 1 wird verwiesen.

Frage 1b: In wie vielen Fällen wurden dabei Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt, wie werden solche Erkenntnisse erkannt und nach welchem Verfahren gelöscht?

Antwort 1b: Die angefragten Daten werden durch das BKA nicht statistisch erfasst.

Frage 2: In wie vielen Fällen seit dem Jahr 2016 hat das BKA bei Betreibern von Kommunikationsplattformen (Mail, Chat etc.) Bestandsdaten von Nutzerinnen und Nutzern abgefragt (bitte nach Jahr, Anzahl, Rechtsgrundlage und ggf. jeweiligem Tatvorwurf auflisten)?

Antwort 2: Die angefragten Daten werden durch das BKA nicht statistisch erfasst.

Frage 7: In wie vielen Fällen seit dem Jahr 2016 hat die Bundespolizei (BPOL) die Kommunikation von Betroffenen durch Empfangsgeräte erfasst und erhoben, indem jene für die Betroffenen nicht erkennbar in eine von ihnen genutzte Kommunikationsplattform (Mail, Chat, etc.) zugeschaltet wurden? (Bitte auflisten nach Jahr, Anzahl, Rechtsgrundlage und jeweiliger Tatvorwurf)

Antwort 7: Das in der Fragestellung genannte Verfahren wurde durch die BPOL nicht eingesetzt.

Frage 7a: In wie vielen Fällen wurde dabei eine Authentifizierung des zusätzlichen Empfangsgerätes im Namen der Betroffenen, jedoch ohne ihre Kenntnis und allein durch die BPOL vorgenommen?

Antwort 7a: Es wird auf die Antwort zu Frage 7 verwiesen.

Frage 7b: In wie vielen Fällen wurden dabei Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt, wie werden solche Erkenntnisse erkannt und nach welchem Verfahren gelöscht?

Antwort 7b: Auf die Antwort Zu Frage 7 wird verwiesen.

Frage 8: In wie vielen Fällen seit dem Jahr 2016 hat die BPOL bei Betreibern von Kommunikationsplattformen (Mail, Chat etc.) Bestandsdaten von Nutzerinnen und Nutzern abgefragt (bitte nach Jahr, Anzahl, Rechtsgrundlage und jeweiligem Tatvorwurf auflisten)?

Antwort 8: Die angefragten Daten werden durch die BPOL nicht statistisch erfasst.

Frage 9: In wie vielen Fällen seit dem Jahr 2016 hat die BPOL im Rahmen von Maßnahmen der Telekommunikationsüberwachung die Kommunikation von Betroffenen durch den Einsatz fernforensischer Software erfasst (bitte auch Rechtsgrundlage angeben)?

Antwort 9: Die BPOL hat keine der in Rede stehenden Maßnahmen seit dem Jahr 2016 durchgeführt.

Frage 10: In wie vielen Fällen seit dem Jahr 2016 hat der Zoll die Kommunikation von Betroffenen durch Empfangsgeräte erfasst und erhoben, indem jene für die Betroffenen nicht erkennbar in eine von ihnen genutzte Kommunikationsplattform (Mail, Chat etc.) zugeschaltet wurden (bitte nach Jahr, Anzahl, Rechtsgrundlage und ggf. jeweiligem Tatvorwurf auflisten)?

Antwort 10: Das in der Fragestellung genannte Verfahren wurde durch den Zoll nicht eingesetzt.

Frage 10a: In wie vielen Fällen wurde dabei eine Authentifizierung des zusätzlichen Empfangsgerätes im Namen der Betroffenen, jedoch ohne ihre Kenntnis und allein durch den Zoll vorgenommen?

Antwort 10a: Es wird auf die Antwort zu Frage 10 verwiesen.

Frage 10b: In wie vielen Fällen wurden dabei Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt, wie werden solche Erkenntnisse erkannt und nach welchem Verfahren gelöscht?

Antwort 10b: Auf die Antwort zu Frage 10 wird verwiesen.

Frage 11: In wie vielen Fällen seit dem Jahr 2016 hat der Zoll bei Betreibern von Kommunikationsplattformen (Mail, Chat etc.) Bestandsdaten von Nutzerinnen und Nutzern abgefragt (bitte nach Jahr, Anzahl, Rechtsgrundlage und ggf. jeweiligem Tatvorwurf auflisten)?

Antwort 11: Die angefragten Daten werden durch den Zoll nicht statistisch erfasst.

Frage 12: In wie vielen Fällen seit dem Jahr 2016 hat der Zoll im Rahmen von Maßnahmen der Telekommunikationsüberwachung die Kommunikation von Betroffenen durch den Einsatz fernforensischer Software erfasst (bitte auch Rechtsgrundlage angeben)?

Antwort 12: Die Zollverwaltung hat keine der in Rede stehenden Maßnahmen seit dem Jahr 2016 durchgeführt.

Frage 13: Wurden die in den Fragen 1, 4, 7 und 10 beschriebenen Maßnahmen auch nach dem 28. Juni 2017 ergriffen, und wenn ja, von welcher Behörde und in welcher Anzahl?

Antwort 13: Im angefragten Zeitraum seit dem 28. Juni 2017 wurden bisher in vier BKA-Verfahren Messenger-Accounts überwacht.

Für die BPOL wird auf die Antwort zu Frage 7, für den Zoll auf die Antwort zu Frage 10 verwiesen.

Verschlusssache – Nur für den Dienstgebrauch

Anlage zur Antwort auf die Kleine Anfrage der Abgeordneten Katja Keul, Dr. Konstantin von Notz, Luise Amtsberg, weiterer Abgeordneter und der Fraktion BÜNDNIS 90/DIE GRÜNEN

Einsatz von Spähsoftware bei der Strafverfolgung (Quellen-Telekommunikationsüberwachung und Online-Durchsuchung)

Frage 1: In wie vielen Fällen haben Bundesbehörden bisher im Auftrag der Bundesanwaltschaft oder in Amtshilfe für Landesstrafverfolgungsbehörden und jeweiliger zugrunde liegender Anordnungen Spähsoftware

zur Quellen-TKÜ (§ 100a Absatz 1 Sätze 2 und 3 StPO) und zur Online-Durchsuchung (§ 100b StPO), bei der Verfolgung jeweils welcher Anlasstaten eingesetzt

(bitte aufschlüsseln nach jeweiliger Rechtsgrundlage, Anlasstat, durchführender Bundesbehörde)?

Antwort 1a, 1b, 1c: Die Bundesregierung äußert sich aus kriminaltaktischen Gründen grundsätzlich nicht zu laufenden Ermittlungsverfahren.

Seit Inkrafttreten des geänderten § 100a StPO zum 24.08.2017 hat das BKA in abgeschlossenen Verfahren keine Quellen-TKÜ-Maßnahmen gem. § 100b Abs. 1 Satz 2, 3 StPO durchgeführt. Dies gilt sowohl für eigene Verfahren als auch für Maßnahmen, die in Amtshilfe für andere Behörden durchgeführt Werden.

Gleiches gilt für Maßnahmen der Online-Durchsuchung gem. § 100b StPO. Auch diese wurden in keinem abgeschlossenen Verfahren durchgeführt, weder in BKA-eigenen Verfahren noch im Rahmen der Amtshilfe.

Durch den Zoll oder die Bundespolizei wurden keine entsprechenden Maßnahmen durchgeführt.

Frage 2: In wie vielen Fällen richtete sich die Maßnahme gemäß Frage 1 gegen

Beschuldigte, Angeschuldigte und Angeklagte?

Antwort 2: Auf die Antwort zu Frage 1 wird verwiesen.

Frage 3: In wie vielen Fällen wurden Erkenntnisse, die aufgrund von Maßnahmen gemäß Frage 1 gewonnen wurden, in Verfahren berücksichtigt, die sich nicht gegen Personen gemäß Frage 2 richteten?

Antwort 3: Die inhaltliche Auswertung von TKÜ-Maßnahmen jeglicher Art und die Entscheidung über die Verwendung der Inhalte liegen in der Verantwortung der sachleitenden Staatsanwaltschaft. Seitens des Bundes werden keine statistischen Erhebungen im Sinne der Fragestellung geführt. Im Übrigen wird auf die Antwort zu Frage 1 verwiesen.

Frage 4: In wie vielen Fällen gemäß Frage 1 wurden Informationen nicht verwendet, da sie den Kernbereich privater Lebensführung betrafen, und in wie vielen Fällen wurden Informationen, die bereits Eingang in Ermittlungsakten gefunden hatten, aus diesem Grund später ausgeschlossen?

Antwort 4: Die angefragten Daten werden durch die Sicherheitsbehörden nicht erfasst.

Frage 19: Inwiefern ist die u. a. im Fall der Oldschool Society angewandte Ermittlungsmethode, heimlich ein weiteres Smartphone zum Mithören anzumelden, aus kriminalistischer Sicht (ggf. nach Einschätzung der Bundesregierung) geeignet, eine Quellen-TKÜ-Maßnahme auf dem jeweiligen Zielgerät zu ersetzen?

Antwort 19: Aufgrund der aus kriminaltaktischer Sicht gegebenen grundsätzlichen Unterschiede zwischen Maßnahmen der Quellen-TKÜ und der genannten, im Fall der Oldschool Society angewandten Ermittlungsmethode ist eine pauschale Beantwortung der Frage aus Sicht der Bundesregierung nicht möglich. Vor der Durchführung entsprechender Maßnahmen erfolgt eine Entscheidung über die Art des einzusetzenden Mittels anhand der Umstände des Einzelfalls. Dabei wird grundsätzlich der Einsatz des am wenigsten eingriffsintensiven Mittels angestrebt.

Frage 20: In wie vielen Fällen wurde die Ermittlungsmethode in Frage 19 in den letzten drei Jahren nach Kenntnis der Bundesregierung angewandt?

Antwort 20: Es wird auf die Antwort der Bundesregierung zu Frage 1 der Kleinen Anfrage der Fraktion DIE LINKE. auf BT-Drs. 19/1650 vom 4. Mai 2018 verwiesen.

Beim Zoll kam die Ermittlungsmethode gemäß Frage Nummer 19 in den letzten drei Jahren nicht zur Anwendung.

Frage 21: Welche Kosten insgesamt sind seit 2015 für die Entwicklung und den Ankauf von Spähsoftware sowie den Ankauf von Sicherheitslücken entstanden?

Antwort 21: Hinsichtlich der Kosten für die Eigenentwicklung des BKA im Rahmen des Projekts „RCIS-Desktop“ wird auf die Beantwortung der Frage 16 der Kleinen Anfrage der Fraktion „Bündnis 90/Die Grünen“ auf BT-Drs. 18/13566 (Anlage VS-NfD) verwiesen. Nach Fertigstellung des Produkts RCIS-Desktop wurde das Projekt in die Regelorganisation überführt. Die vorher gesondert erhobenen Entwicklungs- und Personalkosten werden seither vom BKA nicht mehr gesondert erhoben.

Im Übrigen sind seit 2015 beim BKA Kosten i. H. v. insgesamt etwa 480.000 EUR für Entwicklung, Prüfung und Ankauf von Software zur Durchführung von Quellen-TKÜ bzw. Online-Durchsuchung entstanden. Kosten für den Ankauf von Sicherheitslücken sind im BKA nicht entstanden.

Bei Zoll oder Bundespolizei sind seit 2015 weder für die Entwicklung bzw. den Ankauf von Software zur Durchführung von Quellen-TKÜ bzw. Online-Durchsuchung noch für den Ankauf von Sicherheitslücken Kosten entstanden.

Verschlusssache – Nur für den Dienstgebrauch

Anlage zur Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Konstantin Kuhle, Manuel Höferlin, Jimmy Schulz, weiterer Abgeordneter und der Fraktion der FDP

Umfang des parlamentarischen Fragerechts zu Rechtsgrundlagen und Einsatz der Quellen-Telekommunikationsüberwachung (Nachfrage zur Antwort der Bundesregierung auf die Kleine Anfrage auf Bundestagsdrucksache 19/1505)

Frage 9: Haben das BKA und/oder andere Behörden des Bundes bereits vor der im Jahr 2017 in Kraft getretenen Änderung der §§ 100a Absatz 1 Satz 2 und Satz 3 sowie § 100b StPO Software zur Überwachung informationstechnischer Systeme zur Strafverfolgung eingesetzt? Wenn ja, in wie vielen Fällen, und zur Verfolgung welcher Delikte? Aufgrund welcher Rechtsgrundlage erfolgte dies?

Antwort 9: Das Bundeskriminalamt hat seit der Antwort der Bundesregierung auf Bundestagsdrucksache 17/7760 vom 17. November 2011 bis zum Inkrafttreten der § 100a Absatz 1 S. 2 und 3 der Strafprozessordnung (StPO) und § 100b StPO keine Maßnahmen im Sinne der Frage durchgeführt.

Der Zoll hat seit der Antwort der Bundesregierung auf Bundestagsdrucksache 17/7760 vom 17. November 2011 keine Maßnahmen der Quellen-TKÜ durchgeführt. Beim Zoll wurde bisher keine Online-Durchsuchung durchgeführt.

Die Bundespolizei selbst hat vor der im Jahr 2017 in Kraft getretenen Änderung der §§ 100a Absatz 1 S. 2 und S. 3 sowie § 100 b StPO keine Software zur Überwachung informationstechnischer Systeme zur Strafverfolgung eingesetzt.