Von | Veröffentlicht am: 16.01.2013 um 13:21h

finfisher-infectedDas Bundeskriminalamt hat sich den Staatstrojaner FinFisher der Firma Eleman/Gamma beschafft. Das geht aus einem geheimen Dokument des Innenministeriums hervor, das wir an dieser Stelle exklusiv veröffentlichen. Ob die auch in autoritären Staaten eingesetze Software die rechtlichen Vorgaben in Deutschland einhalten kann, wird bezweifelt.

Heute tagt im Bundestag der Haushaltsausschuss. Als Tagesordnungspunkt 13 steht dort die “Jährliche Unterrichtung des Haushaltsausschusses des Deutschen Bundestages über die Arbeit des Kompetenzzentrums Informationstechnische Überwachung (CC ITÜ) im Bundeskriminalamt (BKA)” auf dem Programm. Dort wird ein Dokument mit der “Ausschussdrucksache 17(8)5867″ behandelt, dass unter der Geheimhaltungsstufe “VS – Nur für den Dienstgebrauch” steht.

Dieses Dokument veröffentlichen wir an dieser Stelle: Bericht des Bundesministerium des Innern zum Sachstand und zur Arbeit des Kompetenzzentrums Informationstechnische Überwachung beim Bundeskriminalamt. (Text)

Nach dem Debakel um den von deutschen Behörden eingesetzten Trojaner der Firma DigiTask will der deutsche Staat einen eigenen Trojaner entwickeln. Diese Aufgabe soll das eigens eingerichtete “Kompetenzzentrum für informationstechnische Überwachung (CC ITÜ)” übernehmen. Dafür wurden drei Millionen Euro veranschlagt und 30 neue Stellen ausgeschrieben. Ob die Stellen mittlerweile besetzt sind, geht aus den Dokument mit Stand vom 7. Dezember nicht hervor. Bis Ende 2014 will das BKA “die Eigenentwicklung einer Software zur Quellen-Telekommunikationsüberwachung” abgeschlossen haben.

Bis dahin sollen für die “Übergangszeit” kommerzielle Staatstrojaner eingesetzt werden. Dafür hat das Bundeskriminalamt eine “Marktsichtung” durchgeführt und “drei Produkte als grundsätzlich geeignet bewertet”. Und das ist Ergebnis:

Des BKA hat, für den Fall eines erforderlichen Einsatzes ein kommerzielles Produkt der Firma Eleman/Gamma beschafft.

 

Staatstrojaner regulieren statt fördern

Gamma ist das Firmengeflecht hinter der in Deutschland entwickelten Trojaner-Suite “FinFisher/FinSpy”, die weltweit von autoritären Regimen gegen politische Aktivisten eingesetzt wird. Die Software ist sehr ausgefeilt, kann alle möglichen Geräte komplett übernehmen und als Man-in-the-Middle über den Provider installiert werden. Qualitativ also das Gegenteil von DigiTask, dafür aber umso gefährlicher. Die britische Regierung hat angefangen, den Export von FinSpy zu regulieren, um Menschenrechte zu schützen. Statt diese Software auch noch in Deutschland einzusetzen und damit zu legitimieren, fordern auch wir Export-Kontrollen für westliche Überwachungstechnologien. Zur Erinnerung: Staatstrojaner sind mit Gesetzen nicht kontrollierbar und damit grundsätzlich abzulehnen.

Neben der grundsätzlichen Kritik ist fragwürdig, ob die für den internationalen Markt entwickelte Software überhaupt die Vorgaben des Bundesverfassungsgericht zum Einsatz von Staatstrojanern erfüllen kann. Eine Gesetzesverletzung des DigiTask-Trojaners war die Fähigkeit, einen einmal installierten Trojaner zu updaten und weitere Funktion nachzuladen. Bisherige Analysen zeigen, dass auch die FinFisher/FinSpy-Suite aus einem Basismodul besteht, das “Funktionsmodule” (etwa: Skype überwachen) nachladen kann. Ein mit der Software vertrauter Techniker sagte gegenüber netzpolitik.org:

Beschränkungen, welche Module nachgeladen werden (können) habe ich genauso wenig gesehen wie Überprüfungen von Signaturen von nachgeladenen Modulen.

Im Dokument steht leider kein Preis, wie viel das Bundeskriminalamt an Gamma zahlt. Oder ob sie Software schonmal eingesetzt wurde.

Fragliche Überprüfung

Nachdem der Chaos Computer Club gezeigt hat, dass der Digiask-Trojaner viel mehr kann, als gesetzlich erlaubt ist, sollen die künftig eingesetzten Trojaner, ob Eigenentwicklung oder kommerziell, überprüft werden. Dafür hat das BKA seit November 2011 eine Standardisierende Leistungsbeschreibung (SLB) entwickelt:

In der SLB wird erläutert, wie vornehmlich rechtliche Vorgaben in geeigneter Form technisch umgesetzt werden sollen. Beispielsweise werden in der SLB das Verschlüsselungsverfahren, der Schlüsselaustausch oder technische Maßnahmen zur Gewährleistung, dass ausschließlich laufende Kommunikation erfasst wird, dargelegt. Um zukünftigen Entwicklungen folgen zu können, ist die SLB einerseits so abstrakt gefasst, dass auch zukünftige technische Veränderungen davon abgedeckt werden, andererseits so konkret, dass auf dieser Grundlage eine Prüfung konkreter Produkte möglich ist.

Laut “eigenem Bekunden” können weder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit noch das Bundesamt für Sicherheit in der Informationstechnik “eine Prüfung des Quellcodes auf Übereinstimmung mit den Vorgaben der SLB” leisten. Daher wurde die private Firma CSC Deutschland Solutions GmbH mit der Prüfung beauftragt. (Im Satz mit der Firma wurde als einziges nicht von “Quellcodeprüfung” sondern “Qualitätsprüfung” gesprochen.) Die Prüfung sollte “im Dezember 2012 abgeschlossen” und “allen Bedarfsträgern zur Verfügung gestellt sowie dem BfDI und dem BSI mitgeteilt” werden. Ob das passiert ist und ob wer dieses Prüfergebnis hat, war leider nicht auf Anhieb herauszufinden. Falls der Bericht existiert, freuen wir uns über eine Kopie.

Ein weiteres Problem: Der Quellcode wird nur ab und zu überprüft, dazwischen sind Änderungen möglich.

Wegen des erheblichen Aufwands wird die Quellcodeprüfung als sog. Typmusterprüfung durchgeführt, die lediglich bei wesentlichen Veränderungen der Quellcodes wiederholt werden muss. Die im Einsatzfall notwendigen Änderungen werden durch geeignete Protokollierung und Dokumentation erfasst und können somit im Nachhinein nachgewiesen werden. Das vorgenannte Verfahren soll auch für die Eigenentwicklung durchgeführt werden.

Am Ende des Dokuments gibt es noch einen Absatz “Erforschung grundrechtsschonender Alternativen zur Quellen-TKÜ”. Dieser besteht aus einem Satz: Man beobachtet Entwicklungen.

Update: CCC-Sprecher Frank Rieger dazu:

Das BKA hat sich mit dem Ankauf von Gamma FinFisher für einen Anbieter entschieden, der zum Symbol des Einsatzes von Überwachungstechnik in Unterdrückungsregimen weltweit geworden ist. FinFisher besteht zudem aus verschiedenen Komponenten, die bei Bedarf nachgeladen werden können. So lassen sich im Zweifel auch Spitzel-Funktionen installieren, die weit über die an sich schon fragwürdige ‘Quellen-TKÜ’ hinausgehen.

 

Quelle: netzpolitik.org

About these ads