Aus dem Innenleben der deutschen Trojaner-Schmiede

Der polizeiliche Software-TÜV heißt "Kompetenzentrum Informationstechnische Überwachung". Die Einbindung privater Hersteller von Überwachungssoftware wird erwogen

Mehrere parlamentarische Anfragen enthüllen Details zur Nutzung von Schadprogrammen zum Infiltrieren privater Rechnersysteme. Software der britischen Firma Gamma wird vom BKA zum Billigpreis getestet. Die Niederlande setzen deutsche Trojaner ein, deren Funktionalitäten teilweise "deaktiviert" oder "blockiert" werden können. Auch die EU-Agentur Europol nutzt ein breites Arsenal von Überwachungssoftware. Ob auch Staatsanwaltschaften EU-weit am internationalen Austausch über Trojaner teilnehmen, weiß die Bundesregierung angeblich nicht. Dafür wird ihr Export nach Syrien vielleicht bald sanktioniert.

Das Bundeskriminalamt (BKA) bagatellisiert den Einkauf von Schadsoftware als "Marktbeobachtung": Laut Auskunft der Bundesregierung testet die Behörde Software der britischen Firma Gamma International GmbH zur sogenannten "Quellen-Telekommunikationsüberwachung" ("Quellen-TKÜ"). Damit wird im Behörden-Sprech gemeinhin das Abhören von Internettelefonie bezeichnet.

Im Gegensatz zur "Online-Durchsuchung" darf die "Quellen-TKÜ" nur bestimmte aktive Programme durch Screenshots ihrer geöffneten Fenster an die Ermittler weiterreichen. Mit der "Online-Durchsuchung" infiltrieren Polizei und Geheimdienste hingegen das gesamte Rechnersystem und können ganze Dateien einsehen oder kopieren.

Dass das BKA am 22. März 2011 Software von Gamma International kaufte, machte im November eine Kleine Anfrage der Linksfraktion öffentlich. Demnach hat die Firma hierfür nur schlappe 500 Euro verlangt - der deutsche Konkurrent DigiTask verlangte zwei Jahre zuvor für eine "Testgestellung" mit 5. 950 Euro immerhin den zehnfachen Preis.

Geliefert wurde das Gamma-Produkt jedoch nicht aus Großbritannien, sondern von der deutschen Firma Elaman. Elaman ist laut Gamma International der deutsche Lizenznehmer für eine ganze Reihe von Überwachungsdevotionalien. Auf Wikileaks wurde kürzlich ein Katalog der Firma veröffentlicht, der neben dem Abhören jedweder digitalen Kommunikation auch Überwachungsfahrzeuge, Ausbildung, Training und ganze Kontrollräume feilbietet.

Jetzt präzisiert das Innenministerium auf Nachfrage des Abgeordneten Konstantin Notz von der grünen Bundestagsfraktion, dass die Tests der Gamma-Anwendung "FinSpy" noch nicht abgeschlossen sind. "FinSpy" wird laut einer Präsentation von Gamma für "strategische" und "taktische" Operationen angeboten und kann etwa in Internet-Cafés aufgebracht werden.

Angeblich können damit auch Mikrofone aktiviert werden. Aus der gleichen Produktserie stammt FinSpy Mobile, mit dem Mobiltelefone infiltriert werden sollen.

Unklar ist, welches konkrete Produkt der Serie "FinSpy" das BKA für seine Tests gekauft hatte. In der besagten Kleinen Anfrage der Linksfraktion wurde keine Auskunft gegeben, ob Bundesbehörden bereits Mobiltelefone mit Trojanern beschicken können - die Antwort ist in der sogenannten Geheimschutzstelle hinterlegt, zu der nur Abgeordnete oder Mitarbeiter mit einer besonderen Überprüfung Zutritt haben.

Innenminister schickt "CC ITÜ" ins Rennen

Im Oktober hatte der Chaos Computer Club (CCC) den Quellcode eines zugeschickten staatlichen Trojaners öffentlich gemacht. Daraus ließ sich rekonstruieren, dass die Schadsoftware die ausgespähten Inhalte über einen Server in den USA an Landeskriminalämter weiterleitete. Ebenfalls kam heraus, dass das BKA wegen des Schutzes der "Vermögenswerte" ihrer Hersteller keinen Einblick in den Quellcode von gekauften Anwendungen nehmen wollte. Deren Funktionen können deshalb nur durch Tests geprüft werden. Nach weiteren Enthüllungen und wachsender Kritik hatte das Bundesinnenministerium die Öffentlichkeit mit der Ankündigung beruhigt, die "behördeneigene Quellen-TKÜ-Software" zukünftig selbst entwickeln zu wollen. Außerdem soll innerhalb des BKA eine eigene Abteilung zur Prüfung der Trojaner entstehen.

Mittlerweile hat dieses Kind auch einen Namen: Ausweislich der Antwort auf eine Schriftliche Frage des Abgeordneten Herbert Behrens der Linksfraktion im Bundestag heißt es "Kompetenzentrum Informationstechnische Überwachung" (CC ITÜ). Jedoch befinde man sich noch in der "Aufbauphase" und habe die Arbeit deshalb noch nicht aufgenommen. Für das Haushaltsjahr 2012 sind immerhin 30 zusätzliche Planstellen sowie Personalausgaben und Sachmittel über 2,2 Millionen Euro eingeplant. Zur weiteren Koordination wurde ein eigener Aufbaustab errichtet.

Neben dem BKA haben laut Innenministerium weitere "Bedarfsträger der Länder und des Bundes" ein "Interesse an einer Mitarbeit im CC ITÜ" gezeigt. Über die Art und Weise einer Beteiligung wird anscheinend derzeit verhandelt. Womöglich dürfen auch DigiTask und andere Hersteller von Überwachungssoftware weiter mitmachen: Jedenfalls ist auch eine "Zusammenarbeit mit der Privatwirtschaft" Gegenstand von Vorabgesprächen. Auch das Bundesamt für Sicherheit in der Informationstechnik sowie weitere Institute und Stiftungen seien im Gespräch, erklärt der Parlamentarische Staatssekretär Christoph Bergner.

Die Skandale um die Nutzung von Trojanern hatten im Herbst auch Datenschützer mobilisiert. So will etwa der Bundesdatenschutzbeauftragte Peter Schaar die staatliche Schadsoftware durchleuchten und deren Rechtsgrundlage bewerten. Die Prüfung sei kompliziert und verlaufe "in einem mehrstufigen Prozess", erklärt Schaar und kündigt seine fertige Analyse für Ende des Monats an. Es sei allerdings "nicht ausgeschlossen, dass in dem Bericht nicht alle Fragen geklärt werden können". Immerhin dürfen seine Mitarbeiter laut der Presseagentur dpa "vor Ort in den Behörden" Prüfungen vornehmen.

Schaar dürfte sich auch mit der Praxis befassen, wie die staatliche Überwachungstechnologie auf private Rechner aufgebracht wird. Während Ermittler in Österreich DigiTask-Software noch per Wohnungseinbruch installieren ("physisch am Endgerät"), erfolgt die Infektion durch das BKA angeblich über das Internet (Internationaler Trojaner-Stammtisch).

Hierfür wird laut Staatssekretär Bergner eine "Analyse des Zielsystems " vorgenommen, die "typischerweise" im Rahmen der Auswertung einer "herkömmlichen Telekommunikationsüberwachung" vonstatten geht. Dabei werden "Betriebssystem, Art und Version der auf dem Zielsystem verwendeten Kommunikationssoftware sowie dort vorhandene Sicherheitssoftware" ausgelesen.

BKA half bei der Vermarktung von DigiTask-Software in Holland

Zwei Wochen nach den Veröffentlichungen des CCC wurde scheibchenweise öffentlich, dass das BKA bei der Vermarktung von DigiTask-Trojanern im Ausland geholfen hatte. So hatte der Parlamentarische Staatssekretär Ole Schröder in der Fragestunde des Bundestages gegenüber dem SPD-Abgeordneten Lars Klingbeil in einem Nebensatz die Zusammenarbeit mit "italienischen Kollegen" angedeutet. Dabei ging es um die Frage, ob Skype an italienische Polizeien oder Geheimdienste mehr Daten weitergibt als an deutsche Strafverfolgungsbehörden.

Erst auf Nachfrage des Linksfraktion-Abgeordneten Andrej Hunko rückte Schröder mehr Details zur internationalen Kooperation heraus: Demnach trifft sich das BKA seit 2008 zum Trojaner-Stammtisch "Remote Forensic Software (RFS) User Group", um sich "zu Aspekten der Onlinedurchsuchung" auszutauschen. "In geringerem Maße" würde in den halbjährlichen Treffen auch die "Quellen-TKÜ" thematisiert.

Dass diese "Remote Forensic Software User Group" sogar auf Initiative des BKA gegründet wurde, erfuhr der Abgeordnete erst auf eine weitere Nachfrage. Demnach hieß die Vereinigung anfangs sogar "DigiTask User Group". Die Firma aus dem hessischen Haiger hat hierfür selbst an einem der geheimen Treffen teilgenommen. In den letzten Jahren standen laut Innenministerium unter anderem die "Zusammenarbeit mit der Firma DigiTask" sowie die "Behandlung operativ-taktischer Aspekte" und ein "Informationsaustausch zu neuen Entwicklungen im Bereich der Kommunikationstechnologie" auf der Agenda der "Remote Forensic Software User Group".

Einzelne Funktionalitäten deutscher Trojaner werden im Ausland "deaktiviert"

Zu den im am geheimen Trojaner-Stammtisch vertretenen "Sicherheitsbehörden" gehören neben der Schweiz, Baden-Württemberg und Bayern auch die Niederlande. Parlamentarische Anfragen mehrerer Abgeordneter hatten dem Justizminister vor vier Wochen aus der Nase gezogen, dass die Abteilung "Landelijke Interceptie" der nationalen Polizei deutsche Trojaner-Software nutzt. Der Minister bestätigte einen englischsprachigen Bericht der Deutschen Welle. Kurz zuvor hatte der Unternehmenssprecher von DigiTask den Verkauf von Überwachungssoftware an Behörden in Österreich, der Schweiz und der Niederlande zugegeben.

Die niederländischen Behörden verfügen ebenfalls nicht über Quellcode der Überwachungssoftware. Alle Änderungen werden deshalb vom Hersteller vorgenommen. Im Gegensatz zu deutschen Behörden erklärt der Justizminister in Den Haag, nicht verwendete Funktionalitäten würden von den Firmen "deaktiviert", "blockiert" oder "gelöscht". Die Schadprogramme dürfen in den Niederlanden nur gegen "schwere Straftaten" in Stellung gebracht werden. Maßgebend ist die Strafprozessordnung und ein Richtervorbehalt. Eine "Onlinedurchsuchung" des gesamten Rechnersystems ist nicht erlaubt.

Auf Einladung der Niederlande nahmen später auch belgische Behörden an der "Remote Forensic Software User Group" teil. Eigentlich sollte Belgien noch in diesem Monat das erste Treffen 2012 ausrichten. Daraus wird wohl nichts, teilte die Bundesregierung jetzt auf eine neuerliche parlamentarische Nachfrage mit: Eine Einladung aus Belgien liege noch nicht vor. Daher könne die Bundesregierung auch nicht beauskunften, welche Teilnehmer vertreten sind und welche Inhalte auf der Tagesordnung von Überwachern aus Deutschland, Belgien, der Schweiz und der Niederlande stehen.

Schnüffelwerkzeuge auch bei Europol

Dem Abgeordneten wurde von Schröder ebenfalls berichtet, dass die für die polizeiliche Zusammenarbeit zuständige EU-Agentur Europol nicht an bi- oder multilateralen Arbeitsgruppen teilnimmt. Der Bundesregierung seien "keine Treffen zu Einsatz von Überwachungssoftware zur Durchführung von Maßnahmen der Quellen-TKÜ oder Onlinedurchsuchung bekannt", an denen Europol in den letzten fünf Jahren beteiligt war, erklärte der Staatssekretär.

Die Unwissenheit muss nicht bedeuten, dass die Agentur bezüglich der Entwicklung von Trojanern tatsächlich untätig ist: Eine Kleine Anfrage der Linksfraktion hatte kürzlich versucht, Details zur Überwachungssoftware bei Europol zu erhalten. Die Bundesregierung kommentiert zu den meisten Fragen knapp, hierzu sei ihr nichts bekannt. Bekannterweise nutzt Europol allerdings ein Werkzeug zur "Social Network Analysis" für die Analyse von Beziehungen zwischen Personen und Sachen (Europol wird internationaler Daten-Marktplatz).

Dieses sogenannte "SNA tool" hat angeblich 2009 bei der Operation Most dafür gesorgt, 25 vermeintlich Verdächtige aus einer Million von polnischen Behörden überwachten Telefongesprächen zu extrahieren. An den Ermittlungen und Razzien gegen die angeblichen Eurofälscher waren auch deutsche Behörden beteiligt.

Europol verfügt laut Selbstauskunft außerdem über weitere "forensische Ausrüstung", etwa das "forensic toolkit" (UFED) oder "mobile phone scanners", womit vermutlich sogenannte "IMSI-Catcher" gemeint sind (Auch die Generalbundesanwaltschaft geht mit IMSI-Catchern auf die Pirsch). Die Polizeiagentur hat ein "expert-operated mobile toolkit for computer data forensics" beschafft und koordiniert das grenzüberschreitende "Computer Forensic Network". Der Öffentlichkeit gegenüber geheimgehaltene Methoden und Anwendungen werden innerhalb einer Cross-Border Surveillance Working Group (CSW) erörtert, deren Mitglied Europol ist.

Immerhin bestätigt die Bundesregierung auch den Einsatz von Software für "Text- und Data Mining" sowie einer "webbasierten Datenvisualisierung". Wie das BKA nutzt auch Europol "vom Markt gekaufte Produkte ", die "durch eigene Entwicklungen ergänzt" werden. Zuständig ist eine Abteilung "Operations". Der Betrieb, die "Integration der Produkte in die Prozessabläufe" sowie der Support erfolgen indes durch die Abteilung "Capabilities".

Interessant wäre aber auch eine Auskunft über die Agentur Eurojust, die für die staatsanwaltschaftliche Zusammenarbeit zuständig ist und gerade die grenzüberschreitende Überwachung der Telekommunikation vorantreibt (Telekommunikationsüberwachung wird grenzenlos). Hierzu teilte die Bundesregierung wenigstens mit, dass "der deutsche Tisch von Eurojust an entsprechenden bi- oder multilateralen Konferenzen oder Arbeitsgruppen nicht teilgenommen" habe. Ob es "entsprechende Aktivitäten dieser Art von Eurojust oder auch von dritter Seite" gegeben hat, sei der Bundesregierung nicht bekannt.

Trojaner zur "Wahrung unserer verfassungsgemäßen Ordnung"?

"Die Telekommunikationsüberwachung widerspricht nicht den Grundrechten", hatte Staatsekretär Schröder in der besagten Fragestunde im Oktober gegenüber dem Bundestag postuliert. Deutsche Grundrechte werden anscheinend auch im Nahen Osten verteidigt. Denn Schröder sollte nicht auf das fragwürdige Gebaren deutscher Überwacher antworten, sondern wurde zum Export von Schnüffeltechnologie in autoritäre Regimes befragt. Der Abgeordnete Hunko hatte sich nach der deutschen Umsetzung einer strengeren Ausfuhrkontrolle von Überwachungswerkzeugen erkundigt, wie sie vom Europäischen Parlament am 27.9.2011 gefordert wurde. Weil die TKÜ laut Schröder "der Wahrung unserer verfassungsgemäßen Ordnung" diene, würde der Beschluss "hier keine Anwendung" finden.

Im Beschluss der Europa-Parlamentarier geht es um "Abfangtechniken und Vorrichtungen der digitalen Datenübertragung, mit denen Mobiltelefone und Textnachrichten überwacht und die Internet-Nutzung gezielt beobachtet werden können". Exporte sollen erschwert werden, sofern diese "im Zusammenhang mit Verstößen gegen die Menschenrechte, die Grundsätze der Demokratie oder die Meinungsfreiheit" verwendet werden können.

Schröders seltsames Verständnis einer "verfassungsgemäßen Ordnung" könnte bald wenigstens im Falle Syriens einen Dämpfer erfahren. Noch vor Weihnachten hatte die EU-Kommission zusammen mit der Hohen Vertreterin einen Entwurf für erweiterte Maßnahmen gegen das Land vorgeschlagen. Bislang gilt eine Verordnung vom Mai 2011, die mehrmals aktualisiert wurde, vornehmlich Handelsverbote zum Inhalt hat und Gelder "einfriert".

Bereits jetzt ist damit die Ausfuhr von "zur internen Repression verwendbare[n] Ausrüstungen" nach Syrien verboten, womit laut Anhang der Verordnung Fahrzeuge, Waffen und chemische Substanzen gemeint sind. Jetzt soll die Liste um Technologie zum Abhören digitaler Kommunikation erweitert werden, wobei auch Trojaner explizit erwähnt werden:

  • "Lawful interception monitoring system;
  • Deep packet inspection systems;
  • Remote forensic software;
  • Equipment for IMSI / IMEI / TMSI monitoring;
  • Network Jamming equipment;
  • Audio surveillance systems (tape recording technology, tube microphones, etc.)
  • Image, video, voice and word pattern recognition technology;
  • Logging technology;
  • SMS and RFID interception technology;
  • Firewalling and monitoring systems for VoIP standard and proprietary protocols; and Satellite phone and data surveillance systems"

Neben den deutschen Firmen Siemens, EADS, rola Security Solutions, DigiTask, Elaman und Trovicor beträfe eine neue Resolution vor allem den deutschen TKÜ-Produzenten Utimaco. Dessen Überwachungswerkzeuge werden in der Niederlassung in Aachen gefertigt. Produkte der Firma wurden über den Umweg eines italienischen Zwischenhändlers auch nach Syrien geliefert. Laut dem Utimaco-Chef Malte Pollman wird der Vertrieb ihrer Technologie vornehmlich durch Hersteller von IT-Hardware vorgenommen, darunter Nokia Siemens Networks, Ericsson, Huawei, Motorola und Cisco.

Bislang ist der Auftrag mit dem Assad-Regime über insgesamt 18 Millionen Dollar noch nicht endgültig abgewickelt. Pollman beruhigte kritische Berichte vor zwei Monaten mit der absichtlich vage gehaltenen Ankündigung, den Auftrag zu überprüfen. Passiert ist seitdem offensichtlich nichts.