BKA hat Bundestrojaner seit 2017 kein einziges Mal erfolgreich eingesetzt

Die Bundesregierung will auch Geheimdiensten und der Bundespolizei Befugnisse zum Hacken erteilen, obwohl Staatstrojaner praktisch kaum angewandt werden.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 36 Beiträge

(Bild: Gorodenkoff / Shutterstock.com)

Von
  • Stefan Krempl

Das Bundeskriminalamt (BKA) hat zwischen 2017 und 2020 in keinem einzigen abgeschlossenen Ermittlungsverfahren oder Gefahrenabwehrvorgang den vergleichsweise teuren Bundestrojaner eingesetzt. Dies erklärte der Fraktionsvize der Grünen im Bundestag, Konstantin von Notz, am Sonntag unter Verweis auf eine Antwort der Bundesregierung auf eine Anfrage der Oppositionsfraktion. Das umstrittene Instrument spiele bei der Strafverfolgung in der Realität folglich kaum eine Rolle.

In den vergangenen Jahren tat sich das BKA schwer mit der Entwicklung und Beschaffung von Software, mit der verschlüsselte Internet-Telefonate und Messenger-Chats abgehört sowie Computer oder Mobilgeräte ausspioniert werden können. Der von der Polizeibehörde zunächst in Eigenregie für 5,77 Millionen Euro gebaute Bundestrojaner tauge zunächst nur für das Abfangen laufender Telekommunikation im Rahmen der Quellen-Telekommunikationsüberwachung. Eine leistungsstärkere Version für heimliche Online-Durchsuchungen war lange in der Mache.

Parallel beschaffte sich das BKA daher unter anderem den Staatstrojaner FinSpy des umstrittenen Münchner Unternehmens FinFisher, das zur Gamma Group gehört. Mittlerweile hat es drei einschlägige Softwaresysteme zur Verfügung und dafür Dutzende Millionen Euro ausgegeben. Die Regierung stufte Zahlen zum Einsatz der Programme laut der Antwort "aufgrund der Schutzbedürftigkeit der erfragten Informationen" trotzdem als "nur für den Dienstgebrauch" verwendbare Verschlusssache ein.

Von Notz machte die Angaben dazu nun öffentlich. Er sieht durch die seit Jahren andauernde Geheimniskrämerei "in einem verfassungsrechtlich extrem heiklen Bereich" die parlamentarische Kontrolle "mit teils hanebüchenen Argumenten" unterlaufen.

Der Innenpolitiker verweist darauf, dass die Regierung Staatstrojaner auch allen Geheimdiensten und der Bundespolizei in die Hand drücken will, obwohl dieses Ermittlungsinstrument entgegen der Suggestion der Exekutive eben nicht "wahnsinnig wichtig" sei. Zuvor hatte das Bundesamt für Justiz die Zahlen für den Einsatz der Computerwanzen bei Strafverfolgungsbehörden der Länder und beim Generalbundesanwalt massiv auf 15 Fälle nach unten korrigiert.

Werkzeuge für die Quellen-TKÜ und noch weitergehende Online-Durchsuchungen sind laut der Antwort aus Sicht der Regierung "grundsätzlich erforderlich, um die Handlungsfähigkeit bei der Abwehr erheblicher Gefahren für herausragende Rechtsgüter und bei der Strafverfolgung im jeweiligen Aufgabenbereich zu erhalten".

Bei solchen besonders schützenswerten, mit einem hohen Risiko behafteten oder für die Sicherheitsbehörden essenziellen Techniken sollte Deutschland "zur Stärkung der digitalen Souveränität eine krisenfeste Versorgungssicherheit anstreben", schreibt die Exekutive. Staatliche Eigenentwicklung sei ein unverzichtbarer Teil dabei, um auch die Abhängigkeiten von Herstellern und Dienstleistern aus dem Nicht-EU-Ausland zu verringern und "das Einhalten gesetzlicher Vorgaben und der korrespondierenden ethischen Werte sicherzustellen".

Die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis) soll daher laut dem koordinierenden Bundesinnenministerium Kapazitäten erweitern, um für die Behörden des Bundes mit Sicherheitsaufgaben "Forschungen und Entwicklungen auf dem Gebiet der Quellen-TKÜ anbieten zu können". Damit die entsprechenden Ämter "nicht von den Ergebnissen des technologischen Fortschrittes abgekoppelt werden", müsse es ferner möglich sein, "dass sie sich moderner Verfahren und Entwicklungen aus globalen Lieferketten bedienen". Um "gesichert und selbstbestimmt" Staatstrojaner von FinFisher Co. beschaffen zu können, baue die Zitis die Kompetenz auf, hier "beraten und Produkte evaluieren zu können".

Die staatlichen Zitis-Hacker haben selbst keine Ermittlungsbefugnisse. Kritiker wie von Notz rügen, dass die Stelle wie eine Blackbox funktioniere und Fahnder sehr breit unterstütze. Die Regierung sieht da kein Problem: Sofern etwa im Rahmen eines Strafverfahrens "im Ausnahmefall eine konkrete Dienstleistung angefragt wird", agiere die Zitis "als behördlicher Verwaltungshelfer". Die Rechtsgrundlage des Errichtungserlasses sei dafür "weiterhin ausreichend, auch wenn im konkreten Fall verfahrensbezogene Inhalte verarbeitet werden müssen".

Konkret ist bei der Stelle laut der Antwort in 15 Fällen der dortige Hochleistungsrechner genutzt worden, "um im Rahmen von Amtshilfen als behördlicher Verwaltungshelfer zuzuarbeiten". "Operativ tätig" sei die Zitis nicht. Die Stelle sei zudem an keinem Projekt auf EU-Ebene beteiligt, bei dem es darum gehe, Kryptographie zu brechen.

Zu dem umstrittenen Motto Sicherheit durch und trotz Verschlüsselung, das die Regierung EU-weit verankerte, steht das Innenressort. Die 1999 beschlossenen Eckpunkte der deutschen Kryptopolitik hätten Bestand. Man fördere daher Forschungsvorhaben, um quantencomputerresistente Kryptographie anwendungsreif zu machen und "langfristig den Schutz von Daten im Sinne von Gemeinwohl und Grundrechtsschutz zu gewährleisten". Die Sicherheitsbehörden müssten parallel aber in der Lage sein, "verschlüsselte Kommunikation in Einzelfällen zu entschlüsseln oder zu umgehen".

"Die Bundesregierung plant nicht und setzt sich auch nicht für einen staatlichen Handel mit Sicherheitslücken ein", heißt es. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) arbeite vielmehr darauf hin, sämtliche Schwachstellen "umgehend und im vertrauensvollen Austausch mit den Technologieherstellern zu schließen". Darüber hinaus setze sich die Exekutive derzeit mit einem "verantwortungsvollen Schwachstellenmanagement" auseinander. Die Meinungsbildung dazu sei aber noch nicht abgeschlossen.

Zugleich räumt das Innenministerium aber ein, dass die Zitis eine Sicherheitslücke dem BSI erst gemeldet habe, "als diese bereits im entsprechenden sicherheitstechnischen Umfeld bekannt" gewesen sei. Einen Bericht, wonach die EU künftig auf Betreiben Deutschlands eng mit der Geheimdienstallianz Five Eyes zusammenarbeiten solle, um sichere Verschlüsselung zu umgehen, könne man nicht bestätigen.

(olb)