Der Bundestrojaner – das kann er, und das nicht
Vor einem Monat hat der Bundestag mehrheitlich eine der umstrittensten Gesetzesänderungen dieser Legislaturperiode beschlossen. In der Tagesordnung der 240. Sitzung hieß das Vorhaben schlicht: “Entwurf eines Gesetzes zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens”. Konkret geht es darum, die Strafverfolgungsbehörden mit mehr Befugnissen auszustatten. Zu den Standardwerkzeugen der deutschen Polizei sollen zukünftig auch die Online-Durchsuchung und die Quellen-Telekommunikationsüberwachung, Bundestrojaner genannt, gehören. Und zwar nicht nur bei Terrorismus-Abwehr, sondern auch bei geringeren Straftaten wie Drogenhandel.
In den vergangenen Monaten haben wir mehrfach über die staatliche Spionagesoftware und die damit verbundenen technischen und rechtlichen Herausforderungen und Risiken berichtet. Nachfolgend wollen wir einen Überblick darüber liefern, worum es beim Bundestrojaner und seinem umstrittenen Einsatz geht.
Wie funktioniert die reguläre Telekommunikationsüberwachung (TKÜ)?
Die deutsche Polizei darf im Rahmen eines Ermittlungsverfahrens die Kommunikation eines Tatverdächtigen technisch überwachen. Dies wird geregelt durch den Paragraph § 100a der Strafprozessordnung.
Ein richterlicher Beschluss auf Antrag der Staatsanwaltschaft ermöglicht dann das zeitlich begrenzte Überwachen eines bestimmten Anschlusses (Telefonnummer, IMEI, E-Mail-Adresse etc.). Die Maßnahme heißt Telekommunikationsüberwachung (TKÜ). Zunächst wird eine Überwachung für den Zeitraum von drei Monaten erlaubt, wobei Verlängerungen um jeweils weitere drei Monate möglich sind.
Die Telekommunikationsdienstleister, beispielsweise die Telekom oder O2, sind gesetzlich dazu verpflichtet, der Polizei nach Vorlage einer richterlichen Anordnung die Überwachung eines oder mehrerer Telefon- oder Internetanschlüsse zu ermöglichen. Es wird also nicht das Gerät selbst überwacht, sondern vielmehr der Datenverkehr, der über das Gerät läuft.
Der Datenverkehr wird vom Provider kopiert und an die Polizei ausgeleitet, Bei E-Mails erhält die Polizei sogenannte „Spiegel-Konten“, d.h. jede E-Mail die ein Tatverdächtiger erhält oder verschickt, taucht dann auch in einem kopierten E-Mail-Konto der Polizei auf.
Wie oft TKÜ-Maßnahmen jährlich bundesweit stattfinden, kann auf der Webseite des Bundesamtes für Justiz eingesehen werden.
Wozu braucht die Polizei eine Spähsoftware?
Klassische Kommunikation wie Telefongespräche, SMS oder E-Mails kann durch die herkömmliche Telekommunikationsüberwachung (TKÜ) abgehört bzw. mitgelesen werden. Neue Kommunikationskanäle wie etwa Chatprogramme auf Smartphones stellen allerdings eine erhebliche technische Herausforderung dar.
Die Anbieter von Messengerdiensten sind in Deutschland bislang nicht gesetzlich verpflichtet, mit Strafverfolgern zusammenzuarbeiten. Wie wir in der WELT AM SONNTAG im Juni berichtet haben, wären die Unternehmen WhatsApp und Threema zu einer solchen Kooperation auch weder bereit noch in der Lage. Es handelt sich um verschlüsselte Kommunikation, zu der nicht einmal die Betreiber der Programme selbst Zugang haben.
Tagesschau vom 18. Juni 2017 zum WELT AM SONNTAG-Bericht
Die Instant-Messenger wie WhatsApp, Telegram, Signal, Viber oder Threema nutzen keine eigene Infrastruktur, sondern funktionieren als Software über den normalen Internet-Datenverkehr. Die Chats, Audionachrichten und auch Sprachanrufe werden bei der TKÜ-Maßnahme nicht erfasst, weil sie meist verschlüsselt stattfinden. Anders als normale Telefonie oder SMS können die Provider diese Kommunikation nicht einfach kopieren und ausleiten.
Die Kommunikation über WhatsApp oder auch Skype wird beim Versenden verschlüsselt und auf dem Empfängergerät wieder entschlüsselt. Um solche Gespräche oder Chats mitschneiden zu können, müssen die Daten also entweder vor dem Verschicken oder nach dem Empfangen überwacht werden. An der Quelle sozusagen. Daher wird dieser Überwachungsmaßnahme Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) genannt.
Eine solche Quellen-TKÜ findet direkt auf dem Zielgerät eines Verdächtigen statt. Hier spielen die Provider keine Rolle, sondern das Smartphone oder der Laptop direkt werden angezapft. Das geschieht mit einer heimlich installierten Software – umgangssprachlich Bundes- oder Staatstrojaner genannt.
Wie funktioniert die staatliche Spionagesoftware?
Der Bundestrojaner, im Fachjargon Quellen-TKÜ-Software genannt, soll die Überwachung von Kommunikation ermöglichen, die mit der normalen TKÜ-Maßnahme nicht stattfinden kann. Etwa kryptierte Programme. Die Software zielt demnach speziell auf Internet-basierte Kommunikation, vor allem Messengerdienste, ab.
In der Praxis soll das in etwa so ablaufen: Das Smartphone eines Kriminellen wird ohne dessen Wissen mit dem Trojaner infiziert. Beispielsweise indem der Zielperson ein Foto per E-Mail geschickt wird, an dem versteckt die Software angehängt ist. Sobald der Trojaner auf dem Mobiltelefon installiert ist, können die Ermittler dann sämtliche Kommunikation, z.B. über WhatsApp oder Viber, mitlesen und protokollieren.
Seit wann gibt es den Bundestrojaner?
Das Bundeskriminalamt (BKA) darf bereits seit einer Gesetzesänderung im Januar 2009 „mit technischen Mitteln in vom Betroffenen genutzte informationstechnische Systeme eingreifen“. Damals wurde die Anschaffung von kommerziellen Spionageprogrammen beschlossen. Die wiederum auch in den Bundesländern durch die dortigen Landeskriminalämter zum Einsatz kamen.
Im Herbst 2011 hat der Chaos Computer Club (CCC) von einem anonymen Absender eine Festplatte erhalten, auf der sich die Überwachungssoftware des bayerischen Landeskriminalamtes (LKA) befand. Es handelte sich um ein kommerzielles Produkt der Firma DigiTask.
Die CCC-Hacker haben den Quellcode des Trojaners untersucht und stellten fest: Die Software kann viel mehr als sie eigentlich laut Gesetz darf. So konnte der Trojaner nicht nur Skype-Gespräche aufzeichnen, sondern mit der Software konnten auch Dateien auf dem Computer ferngesteuert durchsucht, umgeschrieben, koperiert oder gelöscht werden. Auch die Kamera und Mikrophone konnten gesteuert werden.
Im Bundesinnenministerium sorgte der CCC-Bericht dafür, dass der Einsatz des viel zu potenten Trojaners aus „verfassungsrechtlichen Bedenken“ gestoppt wurde. Stattdessen wurde das Bundeskriminalamt (BKA) beauftragt eine eigene – juristisch einwandfreie – Spähsoftware zu entwickeln.
Wer hat den Bundestrojaner entwickelt?
Um den neuen Trojaner zu entwickeln, wurde im Jahr 2012 beim Bundeskriminalamt (BKA) in Wiesbaden in der Abteilung Operative Einsatz- und Ermittlungsunterstützung (OE) das „Kompetenzzentrum für informationstechnische Überwachung (CC ITÜ)“ eingerichtet. Im dortigen Referat OE 22 wurde schließlich eine eigene Quellen-TKÜ-Software programmiert.
Der BKA-eigene Bundestrojaner trägt die Bezeichnung „Remote Communication Interception Software“ (RCIS). Das Programm wurde im Februar 2016 vom Bundesinnenministerium offiziell zum Einsatz freigegeben. Vorangegangen waren mehrere interne und externe Software-Tests, darunter eine rund 190.000 Euro teure Quellcode-Prüfung durch die TÜV Informationstechnik GmbH.
Zusätzlich zum BKA-Trojaner wurde im Frühjahr 2013 „aus Gründen der Ausfallsicherheit und zur Steigerung der passgenauen Einsatzfähigkeit“, wie das Bundesinnenministerium mitteilte, ein sogenanntes „kommerzielles Produkt“ der FinFisher GmbH / Gamma Group beschafft. Kostenpunkt: Rund 150.000 Euro.
Wie wir in der WELT im Juli berichtet haben, kann der vor Jahren gekaufte Trojaner “FinSpy” bislang noch nicht eingesetzt werden. Die externe Software-Prüfung dauert weiter an.
„Die beschaffte kommerzielle Software wird ebenfalls einer Software-Prüfung durch ein externes Prüflabor unterzogen. Die Prüfung durchlief bisher mehreren Stufen, sie ist noch nicht abgeschlossen“ – Antwort des BMI auf eine WELT-Anfrage, 05. Juli 2017
Neben der CC ITÜ-Stelle im BKA gibt es noch weitere staatliche Stellen, die an Spionageprogrammen oder zumindest an Lösungen für technische Probleme arbeiten. Der Bundesnachrichtendienst (BND) hat im Zuge der technischen Aufrüstung das Projekt “Aniski” zur “Aufklärung nicht-standardisierter Kommunikation und Daten” ins Leben gerufen. In den kommenden Jahren sollen rund 150 Millionen Euro darin investiert werden, verschlüsselte Programme wie WhatsApp zu überwachen.
Zusätzlich gibt es im Bundesinnenministerium mit der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) eine Forschungseinrichtung, die den Sicherheitsbehörden dabei helfen soll, kryptierte Kommunikation zu knacken. ZITiS soll jedoch keine eigenen Befugnisse haben, sprich keine eigenen Überwachungsmaßnahmen starten. In der WELT hatten wir im Juni darüber berichtet, dass ZITiS einige Startschwierigkeiten hat: Nur acht Mitarbeiter (inklusive Chef) gab es in die Hackerbehörde bis dato.
Was kann der Bundestrojaner?
Offiziell will sich sowohl das Bundesinnenministerium als auch das BKA nicht zu den Fähigkeiten der staatlichen Spionagesoftware äußern. Im April 2016 haben wir jedoch in der WELT am Sonntag berichtet, dass die aktuelle Version der BKA-Software, RCIS 1.0., bislang nur das Programm Skype überwachen kann – und zwar nur auf Computern mit Windows-Betriebssystem. Auf mobilen Geräten wie Smartphones oder Tablets kann der Trojaner aktuell nicht eingesetzt werden.
Was genau der Ersatz-Trojaner von FinFisher kann ist bislang nicht bekannt. Das Unternehmen hat die Software inzwischen jedoch mehrfach einem Update unterzogen. Es ist davon auszugehen, dass der Trojaner wesentlich mehr Programme überwachen kann, als die BKA-Eigenentwicklung.
Im BKA arbeitet man indes an einer Erweiterung der Spähsoftware (RCIS 2.0), mit der zukünftig auch Messengerdienste auf Smartphones überwacht werden können. Das geht aus einem vertraulichen Bericht des Bundesinnenministeriums erfuhr, den netzpolitik.org kürzlich veröffentlicht hat.
„Für den Erhalt der Zukunftsfähigkeit von Quellen-TKÜ ist es erforderlich, die Einsatzmöglichkeit der eigenentwickelten Software technisch zu erweitern und auf mobile Plattformen (z. B. Android, Blackberry, Apple iOS) auszudehnen. Das BKA hierzu hat im 3. Quartal 2016 die Weiterentwicklung der „RCIS“ zur Version 2.0 begonnen. Diese soll nach aktueller Planung in 2017 abgeschlossen werden (einschließlich Softwareprüfung und betrieblicher Freigabe).“ – Bericht zur Nr. 10 des Beschlusses des Haushaltsausschusses des Deutschen Bundestages zu TOP 20 der 74. Sitzung am 10. November 2011, 02. Mai 2017
Update: Der Bundestrojaner war bislang noch nie im Einsatz. Das haben wir exklusiv am 22. September 2017 in der WELT berichtet. Aus Sicherheitskreisen heißt es, dass die Software – obwohl im Februar 2016 vom Bundesinnenministerium offiziell zum Einsatz freigegeben – noch in keinem einzigen Ermittlungsverfahren genutzt wurde. Der Trojaner sei in seien technischen Fähigkeiten derart beschränkt, dass er in der Arbeitspraxis nahezu untauglich ist.
Wird der Staat mit dem Bundestrojaner zum Hacker?
Es gibt mehrere Möglichkeiten heimlich Spionagesoftware auf ein Zielgerät aufzuspielen und einzusetzen. Etwa durch die Ausnutzung von Schwachstellen im Programmiercode der Software. Diese Sicherheitslücken werden „Zero Day Exploits“ genannt. Sowohl Cyberkriminelle als auch Geheimdienste setzen solche Software-Schwachstellen gerne für Hackerangriffe ein. Das Wissen um diese Lücken wird daher oft für hohe Summen auf dem Schwarzmarkt gehandelt. Es gilt als höchst umstritten, ob staatliche Stellen, wie Geheimdienste oder Polizeibehörden dort ebenfalls einkaufen sollten.
Ohne die Sicherheitslücken aber wird es schwierig umbemerkt Spionageprogramme auf einem Smartphone oder Laptop zu installieren. Ein weiteres Problem: Es gibt zahlreiche Chatprogramme auf dem Markt. Und die Liste der Angebote wird in den kommenden Jahren wohl noch länger werden. Einen staatlichen Trojaner zu programmieren, der jede neue Software, jede Version und jedes Update beherrscht, gilt als nahezu unmöglich. Gelöst werden soll das Problem mit “Modulen”, mit denen der Trojaner individuell nachgerüstet werden soll.
Denkbar ist allerdings auch, dass der Bundestrojaner in seinen weiteren Entwicklungsstadien möglicherweise gar nicht auf einzelne Programme spezifisch zugeschnitten ist. Die Überwachung könnte auch anders stattfinden: Etwa über sogenannte Keylogger, die jeden Tastenbefehl mitschneidet und protokolliert. Oder über Screengrabber, die den Bildschirm des Smartphones heimlich fotografieren oder filmen. Ob solche Maßnahmen datenschutz- und verfassungsrechtlich einwandfrei möglich sind, wird sich wohl erst zeigen, wenn der Trojaner-Einsatz einmal vor Gericht verhandelt wird.