Das Bundeskriminalamt will gleich zwei Staatstrojaner einsetzen: den selbst programmierten „RCIS“ und den kommerziellen „FinSpy“. Das sei notwendig, um alle Funktionen abzudecken und für eine erneute Enttarnung gewappnet zu sein. Der Bundesrechnungshof kritisiert hohe Kosten und mangelnde Erfolgskontrolle.

Seit mehr als zehn Jahren arbeitet der deutsche Staat daran, per Schadsoftware IT-Systeme und Kommunikation zu überwachen. Nachdem der Chaos Computer Club vor fünf Jahren nachwies, dass der damals eingesetzte Trojaner der Firma DigiTask illegale Funktionen hatte, wurde diversifiziert: Einerseits begannen deutsche Behörden, eine eigene Schadsoftware zu entwickeln, gleichzeitig kaufte das BKA den Staatstrojaner FinFisher/FinSpy der Firma Gamma.

Wir haben jetzt einen „nur für den Dienstgebrauch“ eingestuften Bericht des Innenministeriums erhalten, aus dem der aktuelle Stand dieser Vorhaben hervorgeht. Wie gewohnt veröffentlichen wir den Bericht an dieser Stelle im Volltext.

RCIS: Staatstrojaner programmiert vom Staat

Der vom BKA selbst programmierte Staatstrojaner „RCIS“ wurde im Juni 2015 fertig gestellt und im Februar 2016 für den Einsatz freigegeben.

Der Name RCIS steht für „Remote Communication Interception Software“, also in etwa „Software zur Telekommunikationsüberwachung aus der Ferne“. Mit diesem Begriff soll betont werden, dass man im Gegensatz zur Online-Durchsuchung, die den ganzen Rechner und alle Dateien ausspähen darf, nur laufende Kommunikation abhören will – auch „Quellen-Telekommunikationsüberwachung“ genannt. Doch auch dafür muss das Zielsystem mit einem Schadprogramm infiziert – und somit dessen Vertraulichkeit und Integrität gebrochen werden.

RCIS kann nur Skype auf Windows abhören

Jahrelang haben 29 BKA-Mitarbeiter die Software im „Kompetenzzentrum Informationstechnische Überwachung“ ( CC ITÜ ) entwickelt. Einen „außertariflichen IT-Spezialisten (Softwarearchitektur)“ hat man seit Ende 2013 nicht gefunden, also wurde die Stelle erneut ausgeschrieben.

Aus der Ausschreibung geht hervor, dass das BKA die Programmiersprache C++ verwendet und den primären Fokus auf die Windows-Betriebssysteme von Microsoft legt. Diese Einschränkung beklagten die Ermittler schon kurz nach der Freigabe:

Nach Informationen der „Welt“ ist der Bundestrojaner allerdings in der Praxis der Ermittlungsarbeit kaum brauchbar. Denn die Spähsoftware ist lediglich in der Lage, Internettelefonie („Voice over IP“ – VoIP) über das Programm Skype abzuhören. Und auch nur dann, wenn Skype auf einem Computer mit einem Windows-Betriebssystem installiert ist. Chat-Programme wie WhatsApp, Viber, Telegram oder Threema kann der Bundestrojaner nicht knacken. Ebenso wenig kann er auf mobilen Endgeräten, sprich Smartphones oder Tablets, eingesetzt werden.

Im Bericht des Innenministeriums klingt das etwas diplomatischer:

Für den Erhalt der Zukunftsfähigkeit von Quellen-TKÜ ist es erforderlich, die Einsatzmöglichkeit zeitnah auf mobile Plattformen (z. B. Android, Blackberry, iOS) auszudehnen.

Ob und wie oft RCIS derzeit eingesetzt wird, darauf bekommen wir auf Anfrage „aus einsatztaktischen Gründen keine Antwort“. In einer Antwort auf eine Kleine Anfrage der Linksfraktion schrieb die Bundesregierung, RCIS „wird derzeit nicht von den Landeskriminalämtern genutzt“. Die ebenfalls gestellten Fragen, ob Verfassungsschutz-Ämter von Bund oder Ländern die Software einsetzen, wurden nicht beantwortet.

FinSpy: Staatstrojaner programmiert von Hackern

Das ist einer der Gründe, warum das BKA neben der Eigenentwicklung von RCIS auch den berüchtigten Trojaner FinFisher/FinSpy der Firma Elaman/Gamma gekauft hat. Das hatten wir im Januar 2013 enthüllt. Seitdem versuchen wir, mehr über diesen 147.000-Euro-Deal zu erfahren. So haben wir eine geschwärzte Version des Vertrags freigeklagt.

Vor zwei Jahren konnten wir berichten, dass die ursprünglich gelieferte Software-Version FinSpy 4.20 – genau wie DigiTask – Funktionen hatte, die mit deutschem Recht nicht vereinbar sind. Also hat man im Januar 2014 einfach Version 4.50 installiert und diese nochmal getestet. Doch laut dem aktuellen Bericht entspricht auch diese Version nicht den gesetzlichen Vorgaben. Im Februar dieses Jahres wurde wieder eine neue Software-Version geliefert, die erneut geprüft wird.

Die Quellcodeprüfung führt weiterhin die Firma CSC Deutschland Solutions GmbH durch, deren Mutterfirma im Buch Geheimer Krieg als „Partnerfirma der CIA“ bezeichnet wird. Wenn CSC grünes Licht gibt, „wird von einer Einsatzbereitschaft Mitte 2016 ausgegangen“. Laut Innenministerium ist die Überprüfung „weiterhin im Gange“. Die Pressestelle teilt uns mit:

Derzeit können ein Abschlusstermin und daran anknüpfend ein Zeitpunkt für die Erklärung der Einsatzbereitschaft nicht genau angegeben werden.

FinSpy: „Cola in die Augen von Aktivisten“

CSC-konform oder nicht: FinSpy ist eine immens mächtige Überwachungs-Software, die Hersteller beschreiben die Produkt-Reihe selbst als „komplettes Portfolio“ des Hackens.

FinSpy wird weltweit gegen politische Aktivisten eingesetzt. Entwickler Martin J. Münch vergleicht sein Produkt schonmal mit „Cola, die auch sehr schmerzhaft sein kann, wenn man sie in die Nase von Menschen gießt, die kopfüber hängen“. Reporter ohne Grenzen erklärte Gamma deshalb zum „Feind des Internets“. Vor zwei Jahren wurde das Unternehmen von einem Aktivisten gehackt und 40 Gigabyte interne Daten veröffentlicht. All das stört das BKA nicht: Es hat beschlossen, „die Zusammenarbeit mit der Firma fortzusetzen“:

Die im Zusammenhang mit der Veröffentlichung der erlangten Daten zu erwartenden Auswirkungen wurden als geringes Risiko für die Einsetzbarkeit der Software FinSpy bewertet. Die Firma hatte nachvollziehbar erläutert, dass Maßnahmen umgesetzt bzw. geplant seien, um das Risiko derartiger Vorfälle zukünftig soweit wie möglich zu minimieren.

Experten bezweifeln, dass dieses Tool der Wahl für Autokratien auch den gesetzlichen Anforderungen in Deutschland entsprechen kann. Das scheint die endlose Prüfung immer neuerer Versionen zu bestätigen.

Ministerium an Rechnungshof: „Erfolgskontrolle nicht sinnvoll“

Doch Kritik kommt auch von anderer Seite: Der Bundesrechnungshof bemängelt die Trojaner-Entwicklungen in einem Bericht an den Haushaltsausschuss des Bundestags. Demnach bezweifelt die Finanzkontrolle des Bundes, dass finanzielle Ausgaben für gleich zwei Staatstrojaner „im Einklang mit den Maßgaben des Haushaltsausschusses [stehen]“. Das Innenministerium rechtfertigt den Ankauf hingegen: Neben den zusätzlichen Funktionen wollen sich die Ermittler auch für eine erneute „Enttarnung der eingesetzten Software“ wappnen. In diesem Fall erhofft man sich „Redundanz“, um schnell FinSpy statt RCIS einsetzen zu können.

Die Kontrolleure der Steuergelder halten auch die „bisherige Erfolgskontrolle“ für ungeeignet und mahnen „eine Verbesserung der Erfolgskontrolle“ an, um die Staatstrojaner „auf ihre Geeignetheit und Wirtschaftlichkeit hin evaluieren zu können“. Schließlich gibt es dafür gesetzliche Vorschriften. Auch das sieht das Innenministerium anders: Man dürfe das nicht so eng sehen.

Die Anwendung klassischer Methoden der Erfolgskontrolle im betriebswirtschaftlichen Sinne, z. B. zur Ermittlung der Wirtschaftlichkeit eines Instrumentes, ist nach Auffassung des BMI und des BKA im Kontext der hier betrachteten polizeilichen Ermittlungsinstrumente nicht sinnvoll.

Im Klartext: Kosten und Nutzen stehen in keinem angemessenen Verhältnis. Aber das ist BKA und Innenministerium egal.

Rechtsgrundlage: Nicht nur Abwehr von internationalem Terrorismus

Streit gibt es weiterhin auch über die Rechtsgrundlage zum Einsatz staatlicher Späh- und Lauschsoftware. Bisher darf (neben Zollkriminalamt und ein paar Landeskriminalämtern) vor allem das Bundeskriminalamt Staatstrojaner einsetzen – aber nur zur Gefahrenabwehr und nur bei internationalem Terrorismus. Also genau zu den Fällen, mit denen die Maßnahme immer politisch begründet wird.

Aber Unions-Parteien und Landes-Justizministern geht das nicht weit genug: Sie fordern eine Ausweitung von Staatstrojaner-Einsätzen für mehr Behörden und mehr Straftaten. Wenig überraschend fordert auch das Innenministerium Staatstrojaner für normale Strafverfolgung. Und dann sind nicht mehr nur Terroristen betroffen, sondern Steuerbetrug durch illegalen Zigarettenhandel und Bodybuilder mit Anabolika:

Im Jahr 2009 hatten Ermittler des bayerischen Landeskriminalamts (LKA) eine Spionage-Software auf dem Rechner eines Verdächtigen installiert, gegen den wegen „banden- und gewerbsmäßigen Handelns und Ausfuhr von Betäubungsmitteln“ ermittelt wurde. Der Betroffene war Mitarbeiter einer Firma, die Psychopharmaka vertreibt. In Deutschland sind diese legal, im Ausland möglicherweise nicht.

Das war der Trojaner, den der CCC enttarnt hatte. Es ist wie so oft: Neue Befugnisse werden zunächst gegen Terrorismus eingeführt – und dann für Kleinkriminalität wie Drogen, Diebstahl und Betrug eingesetzt.

Bericht zur Nr. 10 des Beschlusses des Haushaltsausschusses des Deutschen Bundestages zu TOP 20 der 74. Sitzung am 10. November 2011

Das Bundesministerium des Innern ( BMI ) berichtet über die Arbeit des Kompetenzzentrums Informationstechnische Überwachung ( CC ITÜ ) im Bundeskriminalamt ( BKA ) im Zeitraum 1. September 2014 bis 17. Februar 2016 unter Einbeziehung des Berichts des Bundesrechnungshofs an die Berichterstatter für den Einzelplan 06 des Haushaltsausschusses des Deutschen Bundestags nach § 88 Abs. 2 Bundeshaushaltsordnung vom 5. Februar 2015 wie folgt:

1. Einrichtung des CC ITÜ im BKA

Die Einrichtung des CC ITÜ als neue Gruppe KI 4 des Kriminalistischen Instituts des BKA ist bis auf die Besetzung von einer der 30 bewilligten Planstellen abgeschlossen. Zur Besetzung des bislang unbesetzten Dienstpostens „Softwarearchitektur/außertariflicher IT-Spezialist“ wurde ein weiteres Ausschreibungsverfahren gestartet.

2. Stand der Maßnahmen im Einzelnen

2.1 Eigenentwicklung Quellen- TKÜ -Software

Die Entwicklungsarbeiten an der BKA -eigenen Quellen- TKÜ -Software „RCIS“ wurden im Juni 2015 beendet. Nach Abschluss einer mehrmonatigen Test- und Überarbeitungsphase, Abnahme des Gesamtsystems durch das BKA , Abschluss eines Penetrationstests durch das Bundesamt für Sicherheit in der Informationstechnik ( BSI ) und Bestätigung der Konformität der Software mit der „Standardisierenden Leistungsbeschreibung ( SLB )“ nach Quellcodeprüfung durch das BSI -zertifizierte Softwareprüflaber TÜV Informationstechnik GmbH wurden im Januar 2016 die Einsatzbereitschaft der Software durch das BKA erklärt und im Februar 2016 der Betrieb durch das BMI nach Maßgabe der Rahmenbedingungen der SLB freigegeben. Das BKA wurde gebeten, die Ergebnisse der Quellcodeprüfung gemäß Maßgabe des Haushaltsausschusses des Deutschen Bundestages vom 8. November 2012 BSI und BfDI zur fachlichen Bewertung mitzuteilen.

2.2 Einsatz einer kommerziellen Quellen- TKÜ -Software

Die durch das BKA im Oktober 2012, z. B. für den Fall der Enttarnung der eingesetzten Software, zusätzlich beschaffte kommerzielle Quellen- TKÜ -Software „FinSpy“ wird derzeit noch im Rahmen eines mehrstufigen Überprüfungs- und Überarbeitungsprozesses durch die Herstellerfirma FinFisher GmbH überarbeitet. Der Hersteller plant, die letzten Änderungen zur Erreichung der SLB -Konformität in einer im Februar 2016 ausgelieferten neuen Softwareversion umzusetzen. Die mögliche Freigabe zur Nutzung der Software FinSpy steht unter dem Vorbehalt, dass SLB -Konformität durch ein unabhängiges, BSI -zertifiziertes Prüflabor festgestellt wird. Nach Abschluss der Softwareüberarbeitung ist eine erneute Quellcodeprüfung durch die Firma CSC Deutschland Solutions GmbH vorgesehen. Bei plangemäßem Verlauf der Überarbeitung und des Nachweises der SLB -Konformität wird von einer Einsatzbereitschaft Mitte 2016 ausgegangen.

Die Analyse des Hacking-Angriffs auf einen Internet-Server der Firma FinFisher im Zeitraum vom 1. bis 3. August 2014, in dessen Folge ca. 40 Gigabyte interne Daten der Firma erlangt und im Internet veröffentlicht wurden, hat das BKA im November 2014 mit dem Ergebnis abgeschlossen, die Zusammenarbeit mit der Firma fortzusetzen. Die im Zusammenhang mit der Veröffentlichung der erlangten Daten zu erwartenden Auswirkungen wurden als geringes Risiko für die Einsetzbarkeit der Software FinSpy bewertet. Die Firma hatte nachvollziehbar erläutert, dass Maßnahmen umgesetzt bzw. geplant seien, um das Risiko derartiger Vorfälle zukünftig soweit wie möglich zu minimieren. Die von der Firma gegenüber dem BKA dargestellten Änderungen am Sicherheitskonzept wurden als angemessen bewertet, um eine Wiederholung bzw. ähnliche Vorfälle zukünftig zu vermeiden.

2.3 Zukunftsfähigkeit der Quellen- TKÜ

Für den Erhalt der Zukunftsfähigkeit von Quellen- TKÜ ist es erforderlich, die Einsatzmöglichkeit zeitnah auf mobile Plattformen (z. B. Android, Blackberry, iOS) auszudehnen. Zudem prüft das BKA im Rahmen einer vom BKA geleiteten Bund-Länder-Projektgruppe Kooperationsmöglichkeiten mit den Ländern im Bereich der Softwareentwicklung für Quellen- TKÜ .

3. Qualitätssicherung und Qualitätssicherungsprozess

Dem Fachbereich KI 43 (Monitoring Informationstechnische Überwachung) des CC ITÜ obliegt die Prüfung („Monitoring“) der Durchführung von Quellen- TKÜ -Maßnahmen auf Korrektheit hinsichtlich des Datenschutzes, der Rechtskonformität und der IT-Sicherheit. Zusätzlich obliegen ihm die Prüfung der Einhaltung von Qualitätsstandards und Dokumentation sowie die lückenlose, revisionssichere Protokollierung von im Zuge der Durchführung von Quellen- TKÜ -Maßnahmen anfallenden Daten.

3.1 Gemeinsamer Qualitätssicherungsprozess

Im Rahmen einer Bund-Länder-Projektgruppe, an der sich die Polizeien der Länder Baden-Württemberg, Bayern, Berlin, Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Sachsen-Anhalt sowie das Zollkriminalamt und die Bundespolizei beteiligten, wurde unter der Leitung des BKA ein abgestimmtes Konzept „Qualitätssicherungsprozess Quellen- TKÜ ( QSP QTKÜ )“ erarbeitet, das von der AG Kripo und dem AK II in den Frühjahrssitzungen 2014 für die Gewährleistung eines einheitlichen Qualitätssicherungsprozesses als geeignet befunden wurde.

Auf Basis dieses Konzeptes wurde ein fortlaufender Qualitätssicherungsprozess etabliert, in dessen Rahmen durch den Fachbereich KI 43 des CC ITÜ unter anderem ein Monitoring-Konzept entwickelt wurde, das die Durchführung von Quellen- TKÜ -Maßnahmen im Hinblick auf die Einhaltung der rechtlichen Vorgaben bzw. Anforderungen der SLB präzisiert. Darüber hinaus prüfen die am gemeinsamen Qualitätssicherungsprozess teilnehmenden Stellen stetig, inwieweit weitere Maßnahmen der Qualitätssicherung sinnvoll eingebracht werden können. SLB , QSP QTKÜ und Monitoring-Konzept bilden das Fundament der Qualitätssicherung für den Gesamtprozess „Quellen- TKÜ “ im BKA .

3.2 Protokollierungssystem im BKA

Die Entwicklungs- und Implementierungsarbeiten am BKA -Protokollierungssystem „ProSys“, das im CC ITÜ auf Grundlage des 2013 erstellten „Konzepts zu Protokollierung und Monitoring in der Quellen- TKÜ “ aufgebaut wird‚ wurden abgeschlossen. Die Einsatzbereitschaft der ersten Version wurde als Teil des Gesamt-Systems Quellen- TKÜ im Januar 2016 erklärt.

4. Grundrechtsschonende Alternativen

Das CC ITÜ beobachtet im Rahmen seiner Aufgabenstellung nationale und internationale Forschungsaktivitäten zu Kommunikationstechnologien und initiiert neue Forschungsvorhaben, u.a. in der Zusammenarbeit mit dem Strategie- und Forschungszentrum Telekommunikation ( SFZ TK ).

Für die Erforschung grundrechtsschonender Alternativen zur Quellen- TKÜ hat das SFZ TK im Forschungsprojekt „tGATT“ in einer technischen Studie mögliche Alternativen zur Quellen- TKÜ betrachtet. Das Projekt wurde im Berichtszeitraum mit dem Ergebnis abgeschlossen, dass eine umfassende bzw. vollwertige Alternative zur Quellen- TKÜ im Rahmen der Studie nicht identifiziert werden konnte. Ob grundrechtsschonende Alternativen zur Quellen- TKÜ in Teilbereichen bzw. Einzelszenarien digitaler Kommunikation zielführend sein können, ist noch zu untersuchen.

5. Bericht des Bundesrechnungshofs vom 5. Februar 2015

5.1 Rechtsgrundlage für den Einsatz von Quellen- TKÜ bei Strafverfahren

Der Bundesrechnungshof empfiehlt in seinem Bericht an die Berichterstatter für den Einzelplan 06 des Haushaltsausschusses des Deutschen Bundestags nach § 88 Abs. 2 Bundeshaushaltsordnung vom 5. Februar 2015 im Hinblick auf die Kosten der in der Entwicklung befindlichen Software, die Rechtsgrundlage für die Durchführung von Quellen- TKÜ -Maßnahmen zu überprüfen und ggf. anzupassen, um Rechtssicherheit hinsichtlich des Einsatzes von Quellen- TKÜ durch das BKA im Bereich der Strafverfolgung zu schaffen.

Maßnahmen des BKA im Bereich der Gefahrenabwehr stützen sich auf die Regelung des § 20l Abs. 2 i.V.m. § 4a BKA -Gesetz. Danach kann das BKA das Instrument der Quellen- TKÜ im Rahmen der Abwehr von Gefahren des internationalen Terrorismus einsetzen. Im Bereich der Strafverfolgung fehlt es bislang an einer expliziten Rechtsgrundlage. Aus diesem Grund stellt der Generalbundesanwalt in Ermittlungsverfahren, die unter seiner Sachleitung durchgeführt werden, keine Anträge auf Anordnung von Maßnahmen der Quellen- TKÜ beim Ermittlungsrichter des BGH.

Der Koalitionsvertrag für die 18. Wahlperiode sieht indes die Schaffung einer klarstellenden, expliziten Rechtsgrundlage für die Quellen- TKÜ vor. Die Federführung hierfür liegt beim Bundesministerium der Justiz und für Verbraucherschutz. Sobald eine klarstellende, explizite Regelung in die StPO aufgenommen wurde, kann das BKA das Instrument der Quellen- TKÜ auch im Bereich der Strafverfolgung einsetzen.

5.2 Einsatz von Fremdsoftware neben selbst programmierter Software

Der Bundesrechnungshof hat Zweifel, dass die vom BKA angestrebte Nutzung einer ( SLB -konformen) kommerziellen Quellen- TKÜ -Software als zusätzliche/alternative Software neben der Eigenentwicklung (für den Entdeckungsfall sowie ggf. zur Deckung zusätzlicher funktioneller Bedarfe wie z. B. die Unterstützung mobiler Plattformen) im Einklang mit den Maßgaben des Haushaltsausschusses des Deutschen Bundestags steht.

Gemäß des Maßgabebeschlusses des Haushaltsausschusses des Deutschen Bundestags vom 8. November 2012 ist die Aufgabe des CC ITÜ die Erfüllung der Bedarfe der Sicherheitsbehörden nach Überwachungssoftware. Dies beinhaltet (gemäß Ziffer 6) auch die Bereitstellung einer weiteren Software zur Quellen- TKÜ für den Fall der Enttarnung der eingesetzten Software. Neben dem Vorteil der Redundanz eröffnet die Nutzung einer Fremdsoftware zukünftig gegebenenfalls die Möglichkeit, funktionale Bedarfe, die durch Eigenentwicklungen noch nicht abgedeckt werden können, zu erfüllen.

5.3 Erfolgskontrolle

Der Bundesrechnungshof schätzt die bisherige Erfolgskontrolle (im Sinne von § 7 Bundeshaushaltsordnung i.V.m. den Verwaltungsvorschriften 2.2) des BKA bei Einsätzen von Quellen- TKÜ und Online-Durchsuchung nicht für alle Fallkonstellationen als geeignet ein und empfiehlt eine Verbesserung der Erfolgskontrolle, um die Instrumente Quellen- TKÜ und Online-Durchsuchung auf ihre Geeignetheit und Wirtschaftlichkeit hin evaluieren zu können.