Bundestrojaner: Kein Einsatz trotz Genehmigung
Am Mittwoch tagte zum zweiten Mal der Ausschuss für Recht und Verbraucherschutz des neuen Deutschen Bundestages. Der Tagesordnungspunkt 16 der Sitzung lautete: „Bericht der Bundesregierung über den Einsatz von Quellen-Telekommunikationsüberwachung und Online-Durchsuchung in Ermittlungsverfahren des Generalbundesanwalts“. Es ging also diesmal um eines der umstrittensten Werkzeuge der deutschen Sicherheitsbehörden. Um den sogenannten Bundestrojaner.
Lange dauerte der Bericht der Bundesregierung allerdings nicht. Ein Vertreter des Bundesministeriums der Justiz und Verbraucherschutz (BMJV) teilte kurz und knapp mit: Der Generalbundesanwalt habe bislang noch in keinem Verfahren die Quellen-TKÜ oder eine Online-Durchsuchung, also den Einsatz des Bundestrojaners, angeordnet. Lediglich “kriminalistische List” sei mehrfach zur Anwendung gekommen. Gemeint ist damit etwa eine Methode die Kommunikation über das Chatprogramm Telegram überwachen zu können.
Im Blog haben wir den Bundestrojaner bereits mehrfach thematisiert.
Seit einer Änderung der Strafprozessordnung im Juni 2017 darf die Polizei bei diversen Straftaten die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) und die Online-Durchsuchung einsetzen. Gemeint ist damit das heimliche Überwachung von Computern und Mobiltelefonen mit einer Spionagesoftware. So soll auch verschlüsselte Kommunikation, wie etwa über WhatsApp, Telegram oder Skype, überwacht werden können.
„Die Überwachung und Aufzeichnung der Telekommunikation darf auch in der Weise erfolgen, dass mit technischen Mitteln in von dem Betroffenen genutzte informationstechnische Systeme eingegriffen wird, wenn dies notwendig ist, um die Überwachung und Aufzeichnung insbesondere in unverschlüsselter Form zu ermöglichen. Auf dem informationstechnischen System des Betroffenen gespeicherte Inhalte und Umstände der Kommunikation dürfen überwacht und aufgezeichnet werden, wenn sie auch während des laufenden Übertragungsvorgangs im öffentlichen Telekommunikationsnetz in verschlüsselter Form hätten überwacht und aufgezeichnet werden können“ – Strafprozessordnung § 100a A Telekommunikationsüberwachung
Den sogenannten Bundes- oder Staatstrojaner, der für derartige Überwachungsmaßnahmen eingesetzt werden soll, gibt es mittlerweile in zwei Varianten. Beide Programme wurden durch das Bundesministerium des Innern (BMI) bereits zum Einsatz freigegeben.
RCIS 1.0 (freigegeben seit Februar 2016)
Das Bundeskriminalamt (BKA) hat in jahrelanger Entwicklungsarbeit eine Software entwickelt, mit der verschlüsselte Kommunikation überwacht werden soll. Der Bundestrojaner, dessen fachlicher Name „Remote Control Interception Software“ (RCIS) lautet, funktioniert in seiner ersten Version allerdings lediglich auf Computern, nicht auf mobilen Geräten wie Smartphones oder Tablets. Und er kann bislang nur das sogenannte Voice-Over-IP (VoIP)-Programm Skype überwachen.
Lesen Sie hier: Bundestrojaner kann nur Skype
Im Februar 2016 hat das Bundesinnenministerium den Trojaner des BKA offiziell zum Einsatz freigegeben. Bislang allerdings kam es nur in sehr wenigen Fällen zu Quellen-TKÜ-Anordnungen, bei denen das BKA die Software auch tatsächlich auf Zielgeräten installiert hat bzw. installieren wollte. Aufgrund seiner beschränkten Einsatzfähigkeit gilt RCIS 1.0 aus Sicht der Ermittler weiterhin als wenig brauchbar.
Lesen Sie hier: Der Bundestrojaner – 5,77 Millionen Euro Entwicklungskosten, noch nie eingesetzt
An einer Weiterentwicklung RCIS 2.0 wird seit Jahren gearbeitet. Eigentlich sollte der erweiterte Bundestrojaner im vierten Quartal 2017 fertig sein. Noch aber hat das BKA keine Software für den Einsatz auf Mobilgeräten selbst entwickelt.
FinSpy (freigegeben seit Januar 2018)
Parallel zur BKA-Eigenentwicklung hat das Bundesinnenministerium auch eine kommerzielle Überwachungssoftware der Münchner Firma FinFisher erworben. Sie soll in der Lage sein, verschlüsselte Kommunikation über Messengerdienste wie WhatsApp auf Mobiltelefonen zu überwachen.
Lesen Sie hier: Neuer Bundestrojaner freigegeben, aber noch nie eingesetzt
Im Januar 2018 hat das Innenministerium die FinSpy-Software zum Einsatz freigegeben. Zuvor wurde das Programm von einem TÜV-Unternehmen geprüft. Auch diese Überwachungssoftware für Handys oder Tablets soll bislang vom BKA, entgegen anders lautender Medienberichte, noch nicht eingesetzt worden sein.
Warum wird der Bundestrojaners bislang nicht eingesetzt?
Zwei staatliche Spionageprogramme – die BKA-Software und der gekaufte Trojaner – sind vom Bundesinnenministerium also zum Einsatz freigegeben worden. Eine Rechtsgrundlage für den Einsatz bei Verfahren vom Terrorismus-Verdacht bis zur Steuerhinterziehung gibt es seit der Reform der Strafprozessordnung ebenfalls. Der Bundestrojaner erweist sich jedoch offensichtlich als ein sehr komplexes Werkzeug, dessen Einsatz noch immer einige Schwierigkeiten bereitet.
Lesen Sie hier: Der Bundestrojaner wird entfesselt – Wie vielen Fragen sind noch ungeklärt
Unklar ist beispielsweise immer noch, wie genau der Trojaner für Mobilgeräte auf Smartphones oder Tabletcomputer aufgebracht werden soll. Der physische Zugriff wäre eine Möglichkeit, die Ausnutzung von Software-Schwachstellen (Exploits) eine andere. Äußerst schwierig ist außerdem eine Einsatzfähigkeit auf unterschiedlichen Betriebssystemen wie Android oder iOS. Oder vereinfacht gesagt: Die Überwachungssoftware für WhatsApp & Co. ist bereit, was noch fehlt ist das passende „Brecheisen“ für das Eindringen in das Zielgerät.
Was ist mit der Online-Durchsuchung?
Die Online-Durchsuchung (ODS) gilt aus Sicht der Ermittler, als weitaus ergiebigere Maßnahme als die Quellen-TKÜ. Die Gründe dafür liegen auf der Hand: Mit dem Ausforschen eines Zielgerätes werden umfangreiche Informationen wie etwa gespeicherte Dateien, Fotos oder Videos abgegriffen, eben nicht nur die Kommunikationskanäle.
Aktuell findet die Online-Durchsuchung noch nicht statt. Auch aus Mangel an einer funktionierenden Software. Es soll technische Hürden und Fragen geben, die noch nicht geklärt sind.
Gibt es bald auch den Bundestrojaner für Verfassungsschutz und BND?
Die Maßnahmen der Quellen-TKÜ und Online-Durchsuchung sind bislang ausschließlich in der Strafprozessordnung geregelt. Das heißt: Die Polizei darf entsprechende Software einsetzen, um verdächtige Personen zu überwachen. Für Nachrichtendienste, die schon bei einem Extremismus-, Terrorismus- oder Spionageverdacht tätig werden dürfen, gilt diese Gesetzesgrundlage nicht.
Ein Missstand ist das – jedenfalls nach Ansicht vieler Nachrichtendienstler. Auch bei der geheimdienstlichen Überwachung könnten Werkzeuge wie der Bundestrojaner hilfreich und nützlich sein, heißt es aus den Sicherheitsbehörden. Andere Staaten, allen voran die USA und Großbritannien, setzen staatliche Spionagesoftware regelmäßig ein, um beispielsweise Smartphones von Terrorverdächtigen überwachen zu können.
Der Bundesnachrichtendienst (BND) hat vor einigen Jahren mit der „Initiative Technik“ begonnen. Ziel ist es, den Dienst technisch zu modernisieren und aufzurüsten. Auch um im internationalen Vergleich mithalten zu können. Mehr als 150 Millionen Euro sind dafür bereitgestellt worden.
Zu dieser Initiative gehört auch das Projekt „Aufklärung nicht-standardisierter Kommunikation und Daten“ (ANISKI), das sich damit beschäftigt, verschlüsselte Kommunikation über Messengerdienste zu knacken. Dazu sei man quasi gezwungen, weil man nach aktueller Rechtslage eben keine Quellen-TKÜ-Software einsetzen dürfe, heißt es aus Sicherheitskreisen.
Der Verfassungsschutz hat den Trojaner womöglich bald in seinem Sortiment. Im neuen Koalitionsvertrag, den Union und SPD vor kurzem vorlegten, gibt es zumindest Hinweise darauf, dass auch das Bundesamt für Verfassungsschutz (BfV) bald den Bundestrojaner einsetzen könnte.
„Zudem wollen wir die Befugnisse des Verfassungsschutzes des Bundes und der Länder vereinheitlichen, insbesondere bei der Datenerhebung und Datenspeicherung. Zu diesem Zwecke werden wir das Bundesverfassungsschutzgesetz auf Grundlage eines einheitlichen Rechtsrahmens der Innenministerkonferenz novellieren“ – Koalitionsvertrag zwischen CDU, CSU und SPD, S. 127
Der Begriff „Datenerhebung“ beschreibt juristisch den Einsatz von diversen nachrichtendienstlichen Werkzeugen. In diesem Sinne werden Daten auch etwa durch den Einsatz von Vertrauenspersonen (V-Personen) oder auch durch technische Überwachung erhoben.
Aus Sicherheitskreisen heißt es, BfV-Präsident Hans-Georg Maaßen habe den Wunsch geäußert, in der kommenden Legislatur-Periode auch den Bundestrojaner zu bekommen. Der Verfassungsschutz-Chef sprach in den vergangenen Monaten immer wieder davon, dass seine Behörde einen „vollen Werkzeugkasten“ benötige, um Aufgaben wie die Terrorismus-Abwehr erfüllen zu können. In Bayern wurde bereits per Gesetz der Trojaner für die Quellen-TKÜ und Online-Durchsuchung durch den Verfassungsschutz freigegeben. Ähnliche Befugnisse will auch die hessische Landesregierung für den dortigen Verfassungsschutz umsetzen.