Staatstrojaner: Privater "Vermögenswert" wiegt mehr als Grundrechte

Allein die jährliche "Generallizenz" für den DigiTask-Trojaner kostet rund 200.000 Euro. Die Bundesregierung hält Geschäftsbeziehungen zu weiteren Herstellern von Überwachungssoftware für "grundsätzlich geheimhaltungsbedürftig"

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Nach der Trojaner-Affäre liefert das Bundesinnenministerium in seiner Antwort auf eine parlamentarische Kleine Anfrage nun neue Details über das behördliche Infiltrieren privater Rechnersysteme. Gleichwohl werden wichtige Informationen weiter verheimlicht. Die Funktionsweise der nachgefragten Anwendungen bleibt daher im Dunkeln. Angeblich drohe eine reale Gefahr "für den Betrieb wesentlicher Einrichtungen des Staates".

Die IT-Infrastruktur wichtiger Einrichtungen der Bundesrepublik ist angeblich wieder gefährdet - diesmal allerdings nicht wegen chinesischen Geheimdiensten, russischen Hackern oder der Daten-Antifa. Der Grund für die Besorgnis liegt in der Neugier von Abgeordneten der Linksfraktion, die sich nach den Einsätzen von Staatstrojanern und anderer Schnüffelsoftware erkundigten. Etliche deutsche Behörden sind zum Infiltrieren privater Rechner befugt: Bundes- und Landesämter für Verfassungsschutz, Bundes- und Landeskriminalämter, Zollfahndungsdienst, Bundespolizei und Militärischer Abschirmdienst.

Eine öffentlich einsehbare Antwort will die Bundesregierung jedoch weiter schuldig bleiben: Die "detaillierte Kenntnis" über die "Zusammenarbeit oder evtl. bestehende Verabredungen" würde ansonsten die ohnehin "signifikant gestiegene Bedrohungslage" verstärken. Die Informationen wären "für den Betrieb wesentlicher Einrichtungen des Staates" gefährlich.

Weitgehende "Lawful Interception"

Dabei hatten sich die Abgeordneten lediglich für Anwendungen aus dem Bereich von "Lawful Interception" interessiert, also den Vorrichtungen zum Mithören jeglicher elektronischer Kommunikation. Von Interesse waren insbesondere Plattformen der Unternehmen Utimaco, Trovicor, ATIS Uher und Ipoque. Alle Firmen sind regelmäßig auf einschlägigen Überwachungsmessen präsent, wo sie ihre Produkte auf lateinamerikanischen, arabischen, russischen oder afrikanischen Märkten bewerben (Digitale Überwachungstechnologie: Auch ein deutscher Exportschlager).

Sogar die Produkte der Firmen IBM und der deutschen rola Security Solutions beschweigt die Bundesregierung jetzt, obwohl sie kürzlich deren Verwendung beim Bundeskriminalamt (BKA) bestätigte. Beide Firmen stellen Ermittlungssoftware her, die mit weitgehenden Zusatzfunktionen sowie Schnittstellen zu polizeilichen Datenbanken aufpoliert werden kann. Ein Tochterfirma von IBM verspricht die Vorhersage zukünftiger Straftaten, die entsprechende Software ist bereits in zahlreichen US-Polizeidienststellen im Einsatz ("Schon heute wissen, was morgen sein wird").

Nicht mitteilen möchte das antwortende Innenministerium zudem, ob Internetdienstleister beim "Aufspielen" von Trojanern behilflich sind. Die Bundesregierung fürchtet, dass "sowohl staatliche als auch nichtstaatliche Akteure" ansonsten Rückschlüsse auf "Fähigkeiten und Methoden der Behörden" ziehen könnten. Tatsächlich dürfte jedoch nicht die "Funktionsfähigkeit unserer Sicherheitsbehörden" auf dem Spiel stehen. Eher geht es wieder um handfeste deutsche Firmeninteressen: Würde die bereitwillige Kooperation eines Internetproviders bekannt, drohen hohe Vertrauens- und damit Umsatzverluste.

Quellcode wird verheimlicht

Auch zu Tests der Funktionsweise genutzter Überwachungssoftware gibt sich der antwortende Staatssekretär Klaus-Dieter Fritsche schweigsam. Die Frage nach dem Einblick in den Quellcode der genutzten Schnüffelwerkzeuge wird mit dem "Geschäfts- und Betriebsgeheimnis" beantwortet. Grundlegende Funktionsweisen der digitalen Werkzeuge bleiben so verborgen.

Die Bundesbehörden stellen den "Vermögenswert" der deutschen Firmen also über die Grundrechte: Es wird folglich Bürgerrechtlern, Journalisten und Parlamentariern verheimlicht, mit welchen mathematischen Algorithmen Polizeien und Geheimdienste das Recht auf Privatheit einschränken. Das sollte aufrütteln: Spätestens wenn eine Software mehrere Datensätze miteinander abgleicht oder auf mehr als eine Polizeidatenbank zugreift, kann von einem Profiling gesprochen werden. Wenn sogar Prognosen über zukünftiges, unerwünschtes Verhalten errechnet werden, ist ein Einblick in den Quellcode der Programme zwingend notwendig: Nur so kann eine gesellschaftliche Auseinandersetzung über die staatliche Nutzung dieser computergestützten Strafverfolgung überhaupt auf Augenhöhe geführt werden.

Kriminalämter begnügen sich folgsam mit "Anwendungstests" und überlassen die weitere Qualitätssicherung den vermarktenden Unternehmen. Auch mit der hessischen Trojaner-Schmiede DigiTask wird so verfahren. Die Firma aus Haiger unterliegt hierfür mitsamt ihren Mitarbeitern seit 2001 der "Geheimschutzbetreuung" des Bundesministeriums für Wirtschaft und Technologie.

Millionengewinne für DigiTask

DigiTask dürfte seitdem Millionen für Lieferungen von Software an Bundesbehörden verdient haben. Erst im Mai dieses Jahres wurden 199.920 Euro für eine jährliche Generallizenz allein für das Bundeskriminalamt fällig. Kosten über jeweils mehrere Tausend Euro für weitere Maßnahmen addieren sich dazu. Pikant: zur gleichen Zeit, als in Kairo Angebotsunterlagen des Trojaner-Herstellers Gamma gefunden wurden, hatte auch das BKA eine Software der britischen Firma getestet. Für 500 Euro wurde der Behörde von der Firma Elaman, dem deutschen Lizenznehmer von Gamma-Schnüffelsoftware, eine Testversion überlassen. Das geht aus der jetzt vorliegenden Antwort der Bundesregierung hervor.

In Wolfgang Schäubles Zollkriminalamt verlässt man sich trotz des kompromittierenden Urteils gegen den früheren DigiTask-Chef auch weiterhin auf die Software aus dem Lahn-Dill-Kreis. 2007 hatte das Zollkriminalamt noch Anwendungen der Schweizer Firma Era IT Solutions im Betrieb. Laut der Bundesregierung habe sich diese allerdings aus dem "Geschäftsfeld" der Produktion von Trojanern zurückgezogen.

Der Spiegel hatte im Oktober über Geschäftsbeziehungen zwischen DigiTask und dem Zollkriminalamt in Millionenhöhe berichtet, darunter sowohl Hard- und Software wie auch Lizenzen. Allerdings sind hierunter nicht nur Trojaner-Programme erfasst; DigiTask produziert auch andere Schnüffelwerkzeuge. Auf Geheiß des Schweizer Staatsschutzes hatte die Firma beispielsweise Server des IT-Dienstleisters Hetzler in Nürnberg abgehört (Landeskriminalamt Bayern schnüffelt mit DigiTask für Schweizer Polizei). Die Ermittlungen wurden vom Landeskriminalamt Bayern übernommen, das dabei ein "Mietgerät" von Digitask einsetzte.

"Theoretische Möglichkeit" der Manipulation

Angeblich werden die vom BKA ausgeforschten Rechner immer über das Internet infiltriert. Eingriffe in die Hardware seien laut Bundesregierung nicht erforderlich. Kürzlich musste das Bundesinnenministerium zugeben, dass das BKA in einer internationalen Arbeitsgruppe "Remote Forensic Software User Group" Nachhilfe in der Nutzung von DigiTask-Trojanern erteilt ("Qualitätssicherung" für internationale verdeckte Ermittlungen). Der Gruppe, deren Existenz zuvor auch Parlamentariern verheimlicht wurde, gehören "Sicherheitsbehörden" aus den Niederlanden, der Schweiz und Belgiens an.

Doch auch das BKA, das die Gründung des Trojaner-Stammtischs initiiert hatte, scheitert des Öfteren an der "Aufbringung" der Software. Laut der jüngsten Antwort auf die Kleine Anfrage konnten die Anwendungen in rund der Hälfte der Fälle entweder nicht installiert werden oder aber es wurden keine Daten ausgeleitet. Das Zollkriminalamt ist demnach sogar noch weniger erfolgreich.

Vage bleibt die Bundesregierung hinsichtlich der Übertragungssicherheit der ausgeleiteten Daten und ihrer etwaigen Manipulation. Mit "an Sicherheit grenzender Wahrscheinlichkeit" könnten die USA nicht auf den Datenstrom zugreifen, dessen eigentliches Ziel über dortige Server vertuscht wird. Auch eine Manipulation sei lediglich eine "theoretische Möglichkeit". Dass die Überwachten die Software selbst fänden, bedürfe neben "vertieften Fachkenntnissen" auch "technologischer Hilfsmittel und zeitlicher Ressourcen".

Trojaner auch auf Mobiltelefone?

Am Sonntag hatte das Wall Street Journal mehrere Dutzend Produktbeschreibungen von Überwachungstechnologie öffentlich gemacht. Unter anderem geht daraus hervor, dass die Firmen Gamma (Großbritannien) und Hacking Team (Italien) Software zum Infiltrieren von Mobiltelefonen verkaufen. Der Spiegel berichtete am Montag, dass die Firmen ihre Produkte kürzlich in Berlin auf der Verkaufsmesse Cyberwarfare Europe präsentierten. Der Journalist des Spiegel wurde indes von Gamma vor deren Präsentation hinausgeworfen.

Hacker, Bürgerrechtler und Überwachte sollen auch zukünftig über die Funktionsweise der digitalen Schnüffelwerkzeugen im Unklaren bleiben. Deshalb wird seitens des Bundesinnenministeriums in der jetzigen Antwort ebenso mit Stillschweigen übergangen, ob Verfolgungsbehörden bereits fähig sind, Mobiltelefone mit Trojanern zu infiltrieren.

Allerdings werden von dieser Heimlichtuerei auch "Vermögenswerte" deutscher Firmen tangiert: So vertreibt die in Berlin ansässige "Gesellschaft für sichere Mobile Kommunikation" (GSMK) ein sogenanntes Crypto-Phone, das eine verschlüsselte Verbindung zwischen zwei entsprechend ausgestatteten Mobiltelefonen verspricht. Könnten diese theoretisch mit Staatstrojanern attackiert werden, droht der Bedeutungsverlust des Produkts.

Im Impressum der GSMK-Website überrascht die Adresse der Firma, die bislang nur als Geschäftsstelle des Chaos Computer Clubs Berlin bekannt war. Ein Blick in Branchenverzeichnisse verrät die Namen der Inhaber: Zu den Gesellschaftern der GSMK gehört der CCC-Mitbegründer Andy Müller-Maguhn, als "technischer Geschäftsführer" fungiert dessen Sprecher Frank Rieger.

GSMK vertrieb ihr vermeintlich abhörsicheres Telefon auf einschlägigen Verkaufsmessen wie der jüngst zu Ende gegangenen Milipol in Paris. Die weltweit ausgerichtete Messe richtet sich an Militärs, Geheimdienste und Polizeibehörden.