Deutsche Behörden haben eine Überwachungssoftware eingesetzt, von der sie nicht genau wissen konnten, wozu sie in der Lage ist. Die beteiligten Ministerien bestreiten es zwar – trotzdem ist genau dies das Fazit einer Befragung der Bundesregierung zum Thema Staatstrojaner. Denn sowohl das Innenministerium als auch das für den Zoll zuständige Finanzministerium haben bei der Befragung eingestanden, dass sie den Quellcode des Staatstrojaners nicht kennen.

Der Quellcode ist so etwas wie der Bauplan des Programms. Um das Programm auf einem Rechner ausführen zu können, wird dieser von einem Programmierer geschriebene Quellcode durch einen Assembler oder einen Compiler in den sogenannten Maschinencode übersetzt, also in Nullen und Einsen.

Sowohl Bundeskriminalamt als auch Zollkriminalamt haben nun gesagt, dass sie von der gekauften Software, die für die Quellen-Telekommunikationsüberwachung eingesetzt wird, nur den Maschinencode kennen. Den Quellcode hätten sie nie bekommen.

Das aber wirft zwei Fragen auf. Erstens schrieb der Spiegel gerade, die Firma Digitask, die die Software programmiert und an Behörden verkauft , habe "deutsche Fahnder in den Quellcode schauen" lassen. Dank dieser "vertrauensbildenden Maßnahme" habe die hessische Firma überhaupt erst die millionenschweren Aufträge der Bundes- und Landesbehörden bekommen.

Nun aber sagte Ole Schröder, der Parlamentarische Staatssekretär im Innenministerium, vor dem Bundestag: "Wir kennen den Quellcode nicht, wir kennen nur den Maschinencode." Das gleiche bestätigte der Parlamentarische Staatsekretär im Finanzministerium, Hartmut Koschyk, für den Zoll.

Der Zoll führe eine "Funktionsprüfung" durch, um zu sehen, dass der Trojaner tue, was Digitask verspreche, sagte Koschyk. Auch Innenstaatssekretär Schröder sagte, Experten des BKA hätten die von Digitask gelieferte Software vor dem Einsatz "in einer Testumgebung" geprüft.

Wenn aber nie eine Behörde den Quellcode gesehen hat, warum bekam Digitask dann den Auftrag? Immerhin hat die Firma eine bewegte Vergangenheit. So wurde ein ehemaliger Mitarbeiter der Vorgängerfirma, aus der Digitask hervorging, wegen Bestechung verurteilt. Er hatte Zollbeamte bezahlt, um an Aufträge zu kommen.

Testen genügt bei Software nicht

Die zweite Frage lautet: Wie konnten Behörden wissen, was der Trojaner tut und was nicht, wenn sie den Quellcode nicht kannten? Denn wer sicher sein will, was ein Programm tatsächlich kann und was nicht, der muss den Bauplan kennen, den Quellcode. Das Anschauen in einer Testumgebung genügt nicht.

"Die Behörden können keine Aussagen darüber machen, dass bestimmte Funktionen nicht enthalten sind", sagte dazu Frank Rieger vom Chaos Computer Club. Aus der Maschinencode-Analyse lasse sich das nicht definitiv feststellen. In der Informatik sei das Phänomen im Übrigen als "Halteproblem" bekannt . Und selbst wer den Quellcode kennt, muss sich noch viel Mühe geben, um bewusst versteckte Funktionen zu entdecken. Es gibt ganze Wettbewerbe für Programmierer, einen unschuldig aussehenden Code zu schreiben , der Fallen enthält.

Das ist insofern relevant, weil sich der CCC sicher ist, dass der von Bayern eingesetzte Trojaner mehr kann, als er darf. Auch der Chaos Club hatte den Quellcode nicht. Doch er hat nicht nur – wie das BKA – getestet, ob der Trojaner tut, was er soll. Der CCC hatte auch nachgeschaut, ob er Dinge tut, die er nicht soll. Und dabei entdeckt, dass das Programm zumindest theoretisch in der Lage ist, nicht nur wie geplant Skype abzuhören. Theoretisch könnte es beispielsweise auch das Mikrofon und die Kamera eines Rechners einschalten und Bilder davon verschicken – was bei einer sogenannten Quellen-TKÜ eindeutig illegal wäre.

Unter diesem Gesichtspunkt sei der Einsatz des Trojaners "sorglos, fahrlässig und zum Teil ahnungslos", sagte Thomas Oppermann im Bundestag, der Parlamentarische Geschäftsführer der SPD-Fraktion.

Doch ist das wohl noch untertrieben. "Man erlebt hier politischen Kontrollverlust angesichts komplexer technologischer Systeme in Echtzeit", schrieb der FAZ -Herausgeber Frank Schirrmacher gerade . Und genau darum geht es: Schon bei der Verhandlung 2008 vor dem Bundesverfassungsgericht, bei der es um Onlinedurchsuchung und Quellen-TKÜ ging, sagten verschiedene Gutachter unter anderem vom CCC, dass es technisch kaum möglich sei, sicherzustellen, dass ein solches Programm nur tue, was rechtlich erlaubt sei.

Mit dem in Bayern eingesetzten Trojaner hat das dortige Landeskriminalamt das gerade bewiesen. Und sowohl das Innen- als auch das Finanzministerium haben nun zugegeben, dass sie keine Kontrolle über ihre Überwachungsinstrumente mehr haben. Denn sie wissen gar nicht, was sie tun. Insofern ist es umso bedenklicher, dass inzwischen ein weiteres staatliches Spähprogramm von Digitask aufgetaucht ist , das neuere Betriebssysteme infizieren kann und noch mehr Programme belauscht.

Nachtrag: Auch BKA-Chef Jörg Ziercke sagte am Mittwoch im Innenausschuss des Bundestages : "Richtig ist, dass der Quellcode der Quellen-TKÜ-Software der Firma Digitask dem BKA nicht offen gelegt wurde. Auch die Quellcodes anderer kommerzieller Anbieter wurden dem BKA nicht offen gelegt." Ein entsprechender Bericht im Spiegel sei falsch. Das BKA teste die Software im Übrigen mit Hilfe "eines sogenannten Positivtests". Ein Trojaner gelte als einsatzfähig, "wenn die bestellten Funktionalitäten vorhanden sind, und die Sicherheitssoftware keine Warnungen produziert".