Das Bundeskriminalamt (BKA) tut sich schwer mit der Entwicklung und Beschaffung von Software, mit der verschlüsselte Internet-Telefonate und Messenger-Chats abgehört sowie Computer oder Mobilgeräte ausspioniert werden können. Der von der Polizeibehörde in den vergangenen Jahren in Eigenregie für 5,77 Millionen Euro entwickelte Bundestrojaner taugt allein für das Abfangen laufender Telekommunikation im Rahmen der Quellen-Telekommunikationsüberwachung, geht aus als geheim eingestuften Dokumenten hervor, die Netzpolitik.org veröffentlicht hat. Eine leistungsstärkere Version für heimliche Online-Durchsuchungen ist demnach noch immer in der Mache.

"Technisch auf aktuellem Stand"

Zwischenzeitlich habe das BKA "keine Zeit, keine Ressourcen" gehabt, um neben der für Mobilgeräte erweiterten Lauschsoftware für die Quellen-TKÜ noch eine zweite Variante für das Ausspähen von IT-Systemen hinzubekommen, erklärte der Leiter des Kompetenzzentrums Informationstechnische Überwachung bei der Behörde, Helmut Ujen, laut den nun veröffentlichten Sitzungsprotokollen aus dem Innenausschuss des Bundestags. "Deswegen sind wir jetzt aktuell dabei, eine Software zur Online-Durchsuchung neu zu erstellen, die dann auch allen neuen Ansprüchen genügt".

Die skizzierte neue Version soll Ujen zufolge nicht nur technisch auf dem aktuellen Stand sein, sondern auch die hohen rechtlichen Anforderungen des Bundesverfassungsgerichts an verdeckte Eingriffe in IT-Systeme erfüllen. Karlsruhe hat dazu extra ein eigenes "Computer-Grundrecht" entwickelt, um die Vertraulichkeit und Integrität der vernetzten Gerätewelt abzusichern. Bei der Weiterentwicklung gehe es deswegen vor allem darum, den Kernbereich der privaten Lebensgestaltung zu berücksichtigen. Der BKA-Abgesandte erklärte den Abgeordneten dazu: Dieses Verfahren sei noch im Gange, es solle "nächstes Jahr abgeschlossen sein".

Überrascht von langer Entwicklungszeit

"Darüber hinaus verwenden wir kommerzielle Produkte", berichtete Ujen. Schon 2012 sollte eine "Übergangslösung" quasi von der Stange eingesetzt werden, erläuterte der Ermittler. Auch diese habe aber "die gleichen, sehr strengen, rechtlichen" Vorgaben sowie "darüber hinaus die Anforderungen unserer standardisierenden Leistungsbeschreibung erfüllen" müssen. Der Hersteller habe den Trojaner daher zeitaufwändig "nach unseren Maßgaben" anpassen müssen. Dieser Prozess habe sich "überraschenderweise länger erstreckt als unsere Eigenentwicklung", sodass "wir jetzt im vergangenen Jahr endlich eine überarbeitete Version dieses kommerziellen Produktes haben, das dann allen Anforderungen entspricht". Für beide Lösungen habe das BKA Softwareprüfungen durch unterschiedliche vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte Institute durchführen lassen.

Ujen weigerte sich auch auf mehrere Nachfragen von Oppositionspolitikern hin, Namen von Herstellern zu nennen, mit denen das BKA beim Bundestrojaner zusammenarbeitet. "Die Unternehmen wollen nicht, dass es offenbar wird, dass sie mit der Bundesregierung oder mit Sicherheitsbehörden des Bundes kooperieren", warb der Polizist für Verständnis. "Wenn dies der Fall ist, dann beenden sie ihre Geschäftsbeziehungen mit uns." Innenstaatssekretär Stephan Mayer (CSU) ergänzte: "Ich sage es hier ganz offen, die sind verbrannt, wenn die Namen zirkulieren und öffentlich werden." Dabei ist es längst kein Geheimnis mehr, dass es sich bei dem aktuellen vom BKA beschafften Staatstrojaner um FinSpy des umstrittenen Münchner Unternehmens FinFisher handelt, das zur Gamma Group gehört.

Dramatische Lage auf dem Markt

Der BKA-Vertreter machte auf dem Markt für Überwachungssoftware gar eine "dramatisch zugespitzte" Lage aus und verwies auf einen "entsprechenden Konzentrationsprozess in der Wirtschaft". Aktenkundig ist, dass die hessische Firma DigiTask, die als "Gesellschaft für besondere Telekommunikationssysteme" firmiert und sich mit dem Bayerntrojaner keinen guten Ruf erwarb, jüngst von der Leipziger Firma Ipoque übernommen wurde. Diese gehört wiederum zum Konzern Rohde & Schwarz, der eng mit der neuen staatlichen Hackerbehörde Zitis kooperiert. Letztere soll künftig Staatstrojaner für die Sicherheitsbehörden entwickeln.

Zu laufenden Einsätzen der im Behördenjargon als "Remote Communication Interception Software (RCIS)" titulierten Programme für die Quellen-TKÜ wollten sich Ujen und Vertreter des Bundesinnenministeriums nicht äußern. Auskunft könne es nur über abgeschlossene Fälle geben, hieß es aus dem Innenressort. Ansonsten könnten genauso wie beim Bekanntwerden von Namen kommerzieller Hersteller die innere Sicherheit und das Staatswohl gefährdet sein. Abgeordnete von FDP, Linken und Grünen sahen mit dieser Ansage ihre parlamentarischen Kontrollrechte beschnitten und rechtsstaatliche Prinzipien ausgehöhlt. Ujen warb mehrfach um das Vertrauen der Volksvertreter, dass alles seinen rechten Gang nehme. Es gebe generell deutlich weniger Maßnahmen mit Staatstrojanern als solche der klassischen Telekommunikationsüberwachung. (mho)