Schaust du mal über unsere Software drüber, Bub?

13. Oktober 2011 Twister (Bettina Hammer)

Da das LKA Bayern die Software für den umstrittenen Trojaner nicht durch das CERT oder das BSI überprüfen lassen konnte, griff es zu flexiblen Testern. Was oberflächlich betrachtet noch lustig klingt, ist eine groteske Entwicklung.

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Zusatzfunktionen

Eine derart umstrittene Software wie der sogenannte "Staatstrojaner" bedarf einer steten Überprüfung durch Experten. Nicht nur muss kontrolliert werden, wer sie wann und weshalb anwendet, auch die Software selbst muss geprüft werden. Da das Bundesverfassungsgericht bezüglich des Einsatzes derartiger Software klare Vorgaben in seinem Urteil machte, ist insbesondere darauf zu achten, dass nicht von vorneherein viele Funktionen vorhanden sind, die diesen Vorgaben nicht entsprechen. Zwar kann behauptet werden, diese Funktionen würden ja nicht genutzt werden, doch die berechtigte Frage wäre dann: Warum sind sie in die Software implementiert?

Es ist unwahrscheinlich, dass eine Software konzipiert wird, die nicht den expliziten Vorgaben des Auftraggebers entspricht. Der Auftragnehmer, der Entwickler der Software, mag verschiedenste Versionen im Angebot haben. Jedoch ist es, wenn es sich um ein Baukastensystem handelt (wie momentan behauptet wird), möglich, dem Auftraggeber eben nur die Bestandteile anzubieten, die Inhalt des Auftrages sind. Hier wäre ein Blick in das Pflichtenheft sowie in die Ausschreibung notwendig, um bewerten zu können, was genau gefordert wurde.

Ausschreibungen und Verbindungen

Der genaue Ausschreibungstext wäre auch hilfreich, um zu sehen, inwieweit die Softwareanforderungen gegebenenfalls genau auf den Anbieter Digitask abgestimmt und somit eventuell auf eine Bevorzugung angelegt waren. Vor allem dann, wenn man bedenkt, dass Digitask nicht nur mit millionenschweren Aufträgen aufwarten kann, sondern auch mit einem ehemaligen Chef, der wegen Bestechung von Mitarbeitern des Zollkriminalamtes verurteilt wurde.

Die Verbindungen zwischen der öffentlichen Hand und der Firma sind auch in anderer Hinsicht interessant. Digitask ist laut Auskunft von Creditreform eine hundertprozentige Tochter des Beratungs- und Wirtschaftsprüfungsunternehmens "Deloitte Deutschland", die das allerdings bestreitet und angibt, von 2000 bis 2005 "in Abstimmung mit Ermittlungsbehörden treuhänderisch Gesellschafteranteile der Firma DigiTask verwaltet" zu haben. Diese wurden dem Unternehmen zufolge aber "bereits am 5. Mai 2006 notariell beglaubigt rückübertragen, sodass Deloitte Deutschland zum aktuellen Zeitpunkt keinerlei Geschäftsbeziehungen zum Unternehmen DigiTask unterhält."

Dass gerade "Deloitte" mit dieser treuhänderischen Verwaltung beauftragt wurde, hinterlässt deshalb ein Geschmäckle, weil die Firma 2009 einen Unternehmensbeirat gründete, dessen Vorsitzender Dr. Edmund Stoiber ist, während sich im Beirat selbst unter anderem der ehemalige Bundesinnenminister Otto Schily und Liz Mohn von Bertelsmann wiederfinden. Der Beirat wurde 2 Jahre nach der Verabschiedung Stoibers von der politischen Bühne gegründet, sodass dieser fast nahtlos von der Politik in die Wirtschaft wechseln konnte.

Außer Kontrolle

Unabhängig davon, wie welcher Anbieter nun zu dem Auftrag kam, ist insbesondere die eingangs erwähnte Kontrolle ein Aspekt, der besonderer Beachtung bedarf: Von staatlicher Seite genutzte Software ist vor der Anwendung von einem entsprechenden Expertengremium zu testen und zu bewerten, doch im vorliegenden Fall sind die dafür prädestinierten Experten nicht eingeschaltet worden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sah sich bei der Prüfung der Software einem Interessenkonflikt ausgesetzt, da es auch Bürger berät, die sich vor digitalen Angriffen schützen möchten.

Dies ist verständlich und ließe als unabhängiges Kontrollgremium noch das bayerische CERT, das jedoch nicht gefragt wurde. Die Erläuterung, wer nun also statt dieser versierten Experten die Überprüfung vorgenommen hat, offenbart eine auf den ersten Blick amüsante, auf den zweiten Blick jedoch erschütternde Sicht des LKA Bayern auf rechtstaatliche Grundsätze der Kontrolle, was Überwachung angeht: Statt die Software solange nicht einzusetzen, bis Experten sie kontrolliert, getestet und bewertet haben, setzte man auf den Sachverstand einiger Mitarbeiter benachbarter Landeskriminalämter, deren Einschätzung man anscheinend als ausreichendes Anzeichen für die Unbedenklichkeit der Software und ihre Geeignetheit beim Einsatz ansah.

Eine solche "Kontrolle unter Freunden" ist natürlich keine Kontrolle, die Nachvollziehbarkeitsansprüchen standhält. Nicht nur ist die fachliche Eignung der LKA-Mitarbeiter fraglich, hinsichtlich des oft gerügten exzessiven Korpsgeistes der Ermittlungsbehörden untereinander bleibt die Frage offen, inwiefern hier wirklich neutral entschieden und nicht einfach nur "dem befreundeten LKA" geholfen wurde. Eben um solche Eindrücke zu vermeiden, ist eine unabhängige Kontrolle notwendig, von der das LKA Bayern "kraft souveräner Willkür" abwich, um eine gewünschte Maßnahme anwenden zu können, die unbedingt angewendet werden sollte.

Es gibt noch viele Ungereimtheiten bezüglich des "Bayerntrojaners" - und derzeit ist es bei der Fülle der fast schon stündlich hereinkommenden neuen Informationen fast unmöglich, Aspekte zu finden, die nicht kritikwürdig sind. Die Frage, wieso das LKA Bayern einfach mal "Amigos" eine derart heikle Software abnicken ließen, ist nur eine davon.