Geheimpapiere: BSI entwickelte Bundestrojaner mit
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat lange jede Verbindung zu heimlichen Online-Durchsuchungen durch das Bundeskriminalamt weit von sich gewiesen. Interne Kommunikation legt das Gegenteil nahe.
(Bild: c't)
Die Glaubwürdigkeit des Bundesamts für Sicherheit in der Informationstechnik (BSI) als Defensivbehörde im Interesse der Bürger hat einen neuen schweren Kratzer erhalten. Lange Zeit hat das BSI, das dem Bundesinnenministerium untersteht, energisch abgestritten, am Bundestrojaner oder vergleichbaren Projekten für staatliche Überwachungssoftware beteiligt zu sein. Interne, als "nur für den Dienstgebrauch" freigegebene Schreiben mit dem Innenressort, aus denen Netzpolitik.org zitiert, zeichnen ein ganz anderes Bild.
Als 2007 ein Mitglied des Chaos Computer Clubs (CCC) in einem Telepolis-Artikel mögliche Wege aufzeigte, wie Staatstrojaner auf Rechnern Verdächtiger eingeschleust werden können und dabei vom BSI zertifizierte Überwachungsgeräte ins Spiel brachte, reagierte die Behörde prompt: Weder sie selbst noch eigene Empfehlungen und Produkte seien mit heimlichen Online-Durchsuchungen verbunden, erklärte sie damals. Mit Trojanern beschäftigten sich die Sicherheitsexperten "ausschließlich mit dem Ziel, solche Angriffe abzuwehren".
Ein Jahr später wandte sich das Bundeskriminalamt (BKA) an das BSI und bat dieses, den als "Remote Forensic Software" (RFS) titulierten Bundestrojaner "im Bereich der kryptographischen Absicherung" mitzuentwickeln. Im Juli 2008 entschied der damalige Bundesinnenminister Wolfgang Schäuble (CDU), dass das BSI dem Gesuch "in vollem Umfang" nachkommen, aber nicht am "operativen Einsatz" der Schadsoftware mitwirken solle, um nach außen hin weiter eine weiße Weste präsentieren zu können. Know-how solle über das Kompetenzzentrum Telekommunikationsüberwachung ausgetauscht werden.
Ende 2008 meldete die Sicherheitsbehörde "vollumfänglichen" Vollzug. Das Kryptokonzept sei erstellt und dafür Quellcode geliefert worden. Die Serverkomponente habe sie abgesichert, Funktionalitätstests durchgeführt. Als sich 2009 herausstellte, dass die RFS-Entwicklung trotzdem noch längere Zeit dauern könne, wollte sich das BSI aus der heiklen Angelegenheit herausziehen. Das Innenministerium ordnete aber an, dass es bis auf Weiteres mit dem BKA zusammenarbeiten solle. Fertig sein sollte der eigene Trojaner der Polizeibehörde Ende 2014. Netzpolitiker der Opposition und der SPD sehen in dem Fall einen weiteren Beweis dafür, dass der dem BSI abverlangte Spagat zwischen Behördendienstleister und Bürgeransprechpartner zu groß sei, und fordert, das Amt neu aufzustellen. (anw)
