Aus dem Innenleben der deutschen Trojaner-Schmiede

Der polizeiliche Software-TÜV heißt "Kompetenzentrum Informationstechnische Überwachung". Die Einbindung privater Hersteller von Überwachungssoftware wird erwogen

Mehrere parlamentarische Anfragen enthüllen Details zur Nutzung von Schadprogrammen zum Infiltrieren privater Rechnersysteme. Software der britischen Firma Gamma wird vom BKA zum Billigpreis getestet. Die Niederlande setzen deutsche Trojaner ein, deren Funktionalitäten teilweise "deaktiviert" oder "blockiert" werden können. Auch die EU-Agentur Europol nutzt ein breites Arsenal von Überwachungssoftware. Ob auch Staatsanwaltschaften EU-weit am internationalen Austausch über Trojaner teilnehmen, weiß die Bundesregierung angeblich nicht. Dafür wird ihr Export nach Syrien vielleicht bald sanktioniert.

Das Bundeskriminalamt (BKA) bagatellisiert den Einkauf von Schadsoftware als "Marktbeobachtung": Laut Auskunft der Bundesregierung testet die Behörde Software der britischen Firma Gamma International GmbH zur sogenannten "Quellen-Telekommunikationsüberwachung" ("Quellen-TKÜ"). Damit wird im Behörden-Sprech gemeinhin das Abhören von Internettelefonie bezeichnet.

Im Gegensatz zur "Online-Durchsuchung" darf die "Quellen-TKÜ" nur bestimmte aktive Programme durch Screenshots ihrer geöffneten Fenster an die Ermittler weiterreichen. Mit der "Online-Durchsuchung" infiltrieren Polizei und Geheimdienste hingegen das gesamte Rechnersystem und können ganze Dateien einsehen oder kopieren.

Dass das BKA am 22. März 2011 Software von Gamma International kaufte, machte im November eine Kleine Anfrage der Linksfraktion öffentlich. Demnach hat die Firma hierfür nur schlappe 500 Euro verlangt - der deutsche Konkurrent DigiTask verlangte zwei Jahre zuvor für eine "Testgestellung" mit 5. 950 Euro immerhin den zehnfachen Preis.

Geliefert wurde das Gamma-Produkt jedoch nicht aus Großbritannien, sondern von der deutschen Firma Elaman. Elaman ist laut Gamma International der deutsche Lizenznehmer für eine ganze Reihe von Überwachungsdevotionalien. Auf Wikileaks wurde kürzlich ein Katalog der Firma veröffentlicht, der neben dem Abhören jedweder digitalen Kommunikation auch Überwachungsfahrzeuge, Ausbildung, Training und ganze Kontrollräume feilbietet.

Jetzt präzisiert das Innenministerium auf Nachfrage des Abgeordneten Konstantin Notz von der grünen Bundestagsfraktion, dass die Tests der Gamma-Anwendung "FinSpy" noch nicht abgeschlossen sind. "FinSpy" wird laut einer Präsentation von Gamma für "strategische" und "taktische" Operationen angeboten und kann etwa in Internet-Cafés aufgebracht werden.

Angeblich können damit auch Mikrofone aktiviert werden. Aus der gleichen Produktserie stammt FinSpy Mobile, mit dem Mobiltelefone infiltriert werden sollen.

Unklar ist, welches konkrete Produkt der Serie "FinSpy" das BKA für seine Tests gekauft hatte. In der besagten Kleinen Anfrage der Linksfraktion wurde keine Auskunft gegeben, ob Bundesbehörden bereits Mobiltelefone mit Trojanern beschicken können - die Antwort ist in der sogenannten Geheimschutzstelle hinterlegt, zu der nur Abgeordnete oder Mitarbeiter mit einer besonderen Überprüfung Zutritt haben.

Im Oktober hatte der Chaos Computer Club (CCC) den Quellcode eines zugeschickten staatlichen Trojaners öffentlich gemacht. Daraus ließ sich rekonstruieren, dass die Schadsoftware die ausgespähten Inhalte über einen Server in den USA an Landeskriminalämter weiterleitete. Ebenfalls kam heraus, dass das BKA wegen des Schutzes der "Vermögenswerte" ihrer Hersteller keinen Einblick in den Quellcode von gekauften Anwendungen nehmen wollte. Deren Funktionen können deshalb nur durch Tests geprüft werden. Nach weiteren Enthüllungen und wachsender Kritik hatte das Bundesinnenministerium die Öffentlichkeit mit der Ankündigung beruhigt, die "behördeneigene Quellen-TKÜ-Software" zukünftig selbst entwickeln zu wollen. Außerdem soll innerhalb des BKA eine eigene Abteilung zur Prüfung der Trojaner entstehen.

Mittlerweile hat dieses Kind auch einen Namen: Ausweislich der Antwort auf eine Schriftliche Frage des Abgeordneten Herbert Behrens der Linksfraktion im Bundestag heißt es "Kompetenzentrum Informationstechnische Überwachung" (CC ITÜ). Jedoch befinde man sich noch in der "Aufbauphase" und habe die Arbeit deshalb noch nicht aufgenommen. Für das Haushaltsjahr 2012 sind immerhin 30 zusätzliche Planstellen sowie Personalausgaben und Sachmittel über 2,2 Millionen Euro eingeplant. Zur weiteren Koordination wurde ein eigener Aufbaustab errichtet.

Neben dem BKA haben laut Innenministerium weitere "Bedarfsträger der Länder und des Bundes" ein "Interesse an einer Mitarbeit im CC ITÜ" gezeigt. Über die Art und Weise einer Beteiligung wird anscheinend derzeit verhandelt. Womöglich dürfen auch DigiTask und andere Hersteller von Überwachungssoftware weiter mitmachen: Jedenfalls ist auch eine "Zusammenarbeit mit der Privatwirtschaft" Gegenstand von Vorabgesprächen. Auch das Bundesamt für Sicherheit in der Informationstechnik sowie weitere Institute und Stiftungen seien im Gespräch, erklärt der Parlamentarische Staatssekretär Christoph Bergner.

Die Skandale um die Nutzung von Trojanern hatten im Herbst auch Datenschützer mobilisiert. So will etwa der Bundesdatenschutzbeauftragte Peter Schaar die staatliche Schadsoftware durchleuchten und deren Rechtsgrundlage bewerten. Die Prüfung sei kompliziert und verlaufe "in einem mehrstufigen Prozess", erklärt Schaar und kündigt seine fertige Analyse für Ende des Monats an. Es sei allerdings "nicht ausgeschlossen, dass in dem Bericht nicht alle Fragen geklärt werden können". Immerhin dürfen seine Mitarbeiter laut der Presseagentur dpa "vor Ort in den Behörden" Prüfungen vornehmen.

Schaar dürfte sich auch mit der Praxis befassen, wie die staatliche Überwachungstechnologie auf private Rechner aufgebracht wird. Während Ermittler in Österreich DigiTask-Software noch per Wohnungseinbruch installieren ("physisch am Endgerät"), erfolgt die Infektion durch das BKA angeblich über das Internet (Internationaler Trojaner-Stammtisch).

Hierfür wird laut Staatssekretär Bergner eine "Analyse des Zielsystems " vorgenommen, die "typischerweise" im Rahmen der Auswertung einer "herkömmlichen Telekommunikationsüberwachung" vonstatten geht. Dabei werden "Betriebssystem, Art und Version der auf dem Zielsystem verwendeten Kommunikationssoftware sowie dort vorhandene Sicherheitssoftware" ausgelesen.

Anzeige