BKA und LKA schleichen sich mit der Software auf Computer oder Smartphones ein und schneiden Gespräche mit. Der Eingriff in die Privatsphäre ist hochumstritten.

Von Jannis Brühl und Simon Hurtz

Wenn Twitter-Nutzer den Hashtag #ozapftis verwenden, dann ist normalerweise Herbst, und das Oktoberfest hat begonnen. Die nächste Wiesn liegt aber noch ein gutes halbes Jahr in der Zukunft. Aktueller Grund für die #ozapftis-Tweets ist ein deutlich nüchterneres Thema: der Bundestrojaner. Die Späh-Software der Sicherheitsbehörden zur sogenannten Quellen-Telekommunikationsüberwachung (TKÜ) kann von heute an eingesetzt werden.

Wie das Bundesinnenministerium der SZ bestätigte, ist das umstrittene Programm des Bundeskriminalamtes freigegeben. Der Deutschlandfunk hatte am Montagmorgen zuerst darüber berichtet. Damit will die Behörde Computer und Smartphones überwachen. Laufende Gespräche und Chats sollen so mitgeschnitten werden, und zwar direkt auf dem von der Zielperson genutzten Gerät. So wollen Ermittler Kommunikation abgreifen, bevor sie verschlüsselt wird.

Die Freigabe sei "nach umfassenden Tests und einer externen Software-Prüfung" im Herbst 2015 geschehen, heißt es. In die Beratungen seien die Datenschutzbeauftragten von Bund und Ländern einbezogen gewesen. Auch Landeskriminalämter könnten das Programm nutzen, ihre Mitarbeiter müssten aber noch geschult werden.

Die Software zur Quellen-TKÜ soll nur ein einziges Programm auf einem Computer überwachen und auf Kommunikationsvorgänge beschränkt sein. Theoretisch ließen sich mit einem Trojaner sehr viel weitgehendere Überwachungsmaßnahmen durchführen. Das Bundesverfassungsgericht hatte aber 2008 enge Grenzen für den Fernzugriff auf Computer gezogen: Die Online-Durchsuchung sei nur "bei überragend wichtigen Rechtsgütern" gestattet, etwa bei Gefahr für Leib und Leben oder Straftaten gegen den Bestand des Staates. Für die reine Telekommunikationsüberwachung definierten die Richter allerdings geringere Hürden.

Kritiker bezweifeln, dass diese Einschränkung gewährleistet werden kann. "Man kann sehr einfach nachweisen, dass eine Software eine bestimmte Funktion hat", sagt Falk Garbsch, einer der Sprecher des Chaos Computer Clubs (CCC). "Aber es ist fast unmöglich, nachzuweisen, dass eine Software eine bestimmte Funktion nicht hat." Im besten Fall bleibe die Überwachung tatsächlich auf die Kommunikation des Verdächtigen beschränkt, genauso sei aber möglich, dass zum Beispiel auch Daten auf der Festplatte erfasst würden.

Der Chaos Computer Club hatte 2011 eine ähnliche Software bayerischer Sicherheitsbehörden analysiert. Das Programm erlaubte einen umfassenden Zugriff auf die Festplatten der Zielpersonen, die Fernsteuerung ihrer Rechner und ermöglichte es außerdem, weitere gefährliche Software nachzuladen.

Wenn BKA und LKA die Geräte der Verdächtigen mit dem Trojaner infizieren wollen, haben sie dafür zwei Möglichkeiten. Sie können versuchen, physischen Zugriff auf Rechner oder Smartphone zu erlangen und die Software etwa bei Gepäckkontrollen am Flughafen unbemerkt aufspielen. Wenn sie das Programm aus der Ferne installieren wollen, sind sie auf Sicherheitslücken angewiesen. "Mittelfristig könnte das dazu führen, dass sich Sicherheitsbehörden neue, noch unentdeckte Sicherheitslücken auf dubiosen Märkten einkaufen müssen", sagt Garbsch. "Normalerweise ist das ein Milieu, in dem sich sonst nur Kriminelle und Geheimdienste bewegen."

Der CCC hat noch weitere Bedenken. Ein Trojaner sei immer auch ein Einfallstor für andere Kriminelle. Diese könnten sich Schwachstellen in der Software zunutze machen, die Funktionen des Trojaners erweitern und ihre eigenen Programme einschleusen. So könnten sich etwa ausländische Geheimdienste oder Kriminelle Zugang zu den Computern von Verdächtigen verschaffen, die von deutschen Sicherheitsbehörden überwacht werden.

Der Grünen-Bundestagsabgeordnete Konstantin von Notz forderte, den Quellcode des Programms offenzulegen. Weil dieser bei den Firmen lag und so für Öffentlichkeit und Fachleute nicht nachvollziehbar war, forderten Kritiker, die Überwachungsprogramme nicht von der Privatwirtschaft entwickeln zu lassen. Nun hat das BKA nach jahrelanger Arbeit seinen eigenen Trojaner entwickelt. Allerdings bestätigte das Innenministerium auch, dass es eine Ersatz-Software gekauft habe. Es handele sich um "ein kommerzielles Produkt der Firma Finfisher aus Gründen der Ausfallsicherheit und zur Steigerung der passgenauen Einsatzfähigkeit". Finfisher ist umstritten, weil das Unternehmen Software an autoritäre Staaten verkauft haben soll, mit der auch Oppositionelle überwacht worden sein könnten.