Tupper-Party mit Trojanern auch in Kanada, USA und Israel
In zahlreichen internationalen Veranstaltungen trägt das Bundeskriminalamt seine Erfahrungen mit staatlich genutzter Spionagesoftware vor. Auch der britische Trojaner-Hersteller Gamma durfte sich präsentieren
Der Austausch zwischen deutschen und ausländischen Behörden zur Nutzung staatlicher Trojaner-Programme ist weit umfangreicher als bisher bekannt. Dies geht aus der Antwort des Parlamentarischen Staatssekretärs Ole Schröder auf eine neue Parlamentarische Initiative hervor. Demnach hat sich das Bundeskriminalamt unter anderem mit entsprechenden Abteilungen in Großbritannien, den USA, Kanada, Österreich, Luxemburg und Liechtenstein getroffen. Vor sechs Wochen besuchten die digitalen Ermittler die israelische Polizei. Neben dem Bundeskriminalamt haben auch der deutsche Inlandsgeheimdienst sowie das Bundesinnenministerium an Treffen teilgenommen.
Trotz eindeutiger Nachfrage nach allen "bi- oder multilateralen Treffen" zu staatlichen Trojanern hatte die Bundesregierung die jetzt genannten Netzwerke zunächst geheim gehalten. Im Oktober gab sie nur bekannt, dass sich das Bundeskriminalamt mit der Schweiz, den Niederlanden und Belgien in einer informellen Arbeitsgruppe organisiert (Internationaler Trojaner-Stammtisch).
Bundeskriminalamt auf Weltreise
Anfangs firmierte das Netzwerk als "DigiTask User Group" und sollte offensichtlich Trojaner-Software des hessischen Unternehmens DigiTask in Nachbarländern promoten (Digitale Überwachungstechnologie: Auch ein deutscher Exportschlager). Später wurde die Arbeitsgruppe in "Remote Forensic Software User Group" umbenannt. Als einzige Bundesländer nehmen Baden-Württemberg und Bayern an dem Trojaner-Stammtisch teil. Die erste derartige "Veranstaltung" fand laut Bundesregierung im September 2008 statt, seitdem werden die Zusammenkünfte halbjährlich ausgerichtet. Ein für Januar 2012 geplantes Treffen wurde scheinbar auf März verschoben. Die Ausrichtung und Bestimmung der Tagesordnung wird stets von einem anderen Land verantwortet. Federführend ist derzeit Belgien.
Bereits in der damaligen Antwort der Bundesregierung wurde angedeutet, dass es zudem "anlassbezogen Kontakt zu ausländischen Sicherheitsbehörden" gebe, mit denen "bei Bedarf Thematiken mit vorgenanntem Bezug erörtert" würden. Aus der jetzigen Antwort geht beispielsweise hervor, dass sich das Bundeskriminalamt bereits ein halbes Jahr vor Gründung des regelmäßigen DigiTask-Trojaner-Stammtischs mit der kanadischen Polizei getroffen hatte. Das Treffen hatte es in sich: Auf der Tagesordnung stand ein "Erfahrungsaustausch hinsichtlich rechtlicher Voraussetzungen und technischer sowie taktischer Aspekte der Online-Durchsuchung". Zwei Tage später waren die Bundeskriminalisten in den USA, um sich mit Ermittlern des FBI zur staatlichen Spionagesoftware zu verständigen.
Auch Österreich galt bislang nicht Kooperationspartner deutscher Behörden. Mit dem dortigen Innenministerium sowie dem Bundeskriminalamt trafen sich die deutschen Polizisten im Juni 2008. Womöglich erhofften sich österreichische Fahnder Hilfe beim Einbringen der staatlichen Schadsoftware auf private Rechner: Sie waren lediglich in der Lage, die Software durch einen Wohnungseinbruch aufzuspielen. Die von Staatssekretär Ole Schröder vorgelegte Kontaktliste endet mit der "Serious Organised Crime Agency" der britischen Polizei.
Digitale Ermittler missachten Bundesverfassungsgericht
Angeblich diente die Weltreise des BKA ebenso wie die "Remote Forensic Software User Group" dem "Informationsaustausch". Dabei war das BKA allerdings nicht zimperlich und informierte die Kollegen zu "Aspekten der Onlinedurchsuchung". Hiermit ist das pauschale Durchsuchen eines gesamten Rechnersystems gemeint. Nur "in geringerem Maße" sei auch die "Quellentelekommunikationsüberwachung" thematisiert worden, also das gezielte Abgreifen einzelner Fenster, in denen Programme zur Internettelefonie aktiv sind.
Die Antwort der Bundesregierung zeigt, dass das Bundeskriminalamt vom Bundesverfassungsgericht erhobenen Bedenken zur "Online-Durchsuchung" nicht ernst nimmt. Das höchste deutsche Gericht hatte im Februar 2008 bestimmt, dass bei dem ferngesteuerten Zugriff auf private Rechner hohe Auflagen zu beachten sind.
Geklagt hatten eine Journalistin, ein Mitglied der Linkspartei und drei Rechtsanwälte. Die Richter bemängelten die Unbestimmtheit existierender Regelungen zur "Online-Durchsuchung", die demnach das Grundgesetz verletzen. Die Nutzung informationstechnischer Systeme sei "für die Persönlichkeitsentfaltung" von zentraler Bedeutung. Das Gericht postulierte ein Grundrecht "auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme". Vom Februar bis Juli 2008 bereiste das BKA jedoch sechs Länder, um dortige Polizeien zum tiefen Eindringen in die Privatsphäre mittels "Online-Durchsuchung" zu beraten.
Erst zwei Jahre später deutet sich ein Umdenken an: Ab September 2010 referieren Beamte des Bundeskriminalamts nur noch zur eingeschränkten Zwangsmaßnahme der "Quellentelekommunikationsüberwachung". So jedenfalls will es die Bundesregierung glauben lassen. Demnach interessierten sich vor allem Behörden aus Liechtenstein, Luxemburg und Frankreich für die deutsche Expertise zum Einsatz von Trojanern.
Präsentation von "Softwareprodukten" der Firma Gamma
Über die regelmäßig tagende "Remote Forensic Software User Group" hinaus fanden 2008 weitere Zusammenkünfte mit den teilnehmenden Ländern Schweiz, Niederlande und Belgien statt. Die Schweiz setzte damals noch Software der heimischen Trojaner-Schmiede Era IT Solutions ein. Bei mindestens einer dieser Tupper-Parties war ein damals neuer Trojaner-Hersteller zugegen: Im Oktober 2010 durfte die britischen Gamma Group dort ihre "Softwareprodukte" vorstellen. Mittlerweile fordern auch Schweizer Parlamentarier hierzu mehr Aufklärung. Anscheinend will das Land zukünftig eigene Trojaner entwickeln.
Ausweislich der Antwort auf eine Kleine Anfrage testet das BKA seit März einen Trojaner von Gamma International, deren Produkte über die deutsche Firma Elaman vertrieben werden. Für diese "Testgestellung" verlangte die Firma lediglich 500 Euro. Bei der Vorstellung der britischen Spionagewerkzeuge in Belgien war auch das Bayerische Landeskriminalamt mit von der Partie.
Im Januar bestätigte, dass der Gamma-Schädling immer noch vom BKA genutzt wird. Demnach prüfe das Amt, ob die Software "für den Übergangszeitraum" eingesetzt werden könne.
Gemeint ist die Zeitspanne bis zum Wirkbetrieb des "Kompetenzentrum Informationstechnische Überwachung", das zukünftig den Einsatz staatlicher Spionagewerkzeuge vornehmen soll (Aus dem Innenleben der deutschen Trojaner-Schmiede). Dieses CC ITÜ war im Januar noch in der "Aufbauphase". Für das Haushaltsjahr 2012 sind 30 zusätzliche Planstellen sowie Personalausgaben und Sachmittel über 2,2 Millionen Euro eingeplant. Zur weiteren Koordination wurde ein eigener Aufbaustab errichtet. Die Zusammenarbeit mit Herstellern von Überwachungssoftware sei ebenfalls Gegenstand von Vorabgesprächen, erklärte der Parlamentarische Staatssekretär Christoph Bergner.
Vor sechs Wochen "Fachvortrag" in Israel
Im Oktober hatten Veröffentlichungen des Chaos Computer Clubs für wochenlangen Wirbel gesorgt: Heraus kam, dass das Bundeskriminalamt keinen Einblick in den Quellcode der Trojaner nehmen möchte, um das "Betriebsgeheimnis" der Hersteller zu respektieren (Staatstrojaner: Privater "Vermögenswert" wiegt mehr als Grundrechte). Auch in Niedersachsen wird der Trojaner-Blindflug mit den Geschäftsinteressen der verkaufenden Firmen gerechtfertigt.
Eine Überprüfung der vom Chaos Computer Club gefundenen Schwachstellen ist den Kriminalämtern also unmöglich. Trotzdem reist das Bundeskriminalamt weiter durch die Welt und beglückt Polizeien mit Erfahrungen der digitalen Spionage in Deutschland. Erst vor sechs Wochen tourte das Amt nach Israel, um gemeinsam mit dem Bundesinnenministerium einen "Fachvortrag zum Einsatz der Quellen-TKÜ" zu halten.