Das Bundeskriminalamt (BKA) will in Zukunft zwei verschiedene "Staatstrojaner" einsetzen, um die Computer von Verdächtigen heimlich zu überwachen. Einer davon ist fertig, der andere noch nicht. Das geht aus der Antwort des Bundesinnenministeriums auf die Fragen des Linken-Abgeordneten Andrej Hunko hervor.

Die Überwachungsprogramme erfüllen unterschiedliche Zwecke: Eines ist für die Online-Durchsuchung gedacht. Er wird heimlich auf dem Rechner eingeschleust, anschließend können alle Dateien auf der Festplatte eines Verdächtigen aus der Ferne auf belastendes Material durchsucht werden.

Das zweite Programm ist für die sogenannte Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) gedacht, also das Mitschneiden der Kommunikation, die von dem Rechner – der Quelle – aus geführt wird. So kann beispielsweise eine Mail auch dann mitgelesen werden, wenn sie verschlüsselt verschickt wird, da das Spionageprogramm sie auf dem Bildschirm des Mailschreibers liest, bevor die Verschlüsselung greift.

Das Bundeskriminalamt besaß entsprechende Programme bereits. Das Innenministerium hatte sie von einer Firma namens DigiTask gekauft und eingesetzt. Analysen des Chaos Computer Clubs bewiesen jedoch 2011, dass das Programm sehr viel mehr ausspähte, als rechtlich zulässig ist. Daraufhin hatte das Innenministerium erklärt, solche Schnüffelsoftware künftig in Eigenregie zu programmieren.

Hunko hatte die Bundesregierung im Juli nun gefragt, wie sie sicherstellen will, dass der künftige Trojaner des BKA gemäß der Vorgaben des Bundesverfassungsgerichts wirklich nur einen laufenden Kommunikationsvorgang überwacht, und wie die Software gleichzeitig trotzdem so erweitert werden könne, dass sie auch eine komplette Online-Durchsuchung ermöglicht. Zweitens wollte der Abgeordnete wissen, wann die Software fertiggestellt werde und welche Rolle die beiden Unternehmen CSC Deutschland und 4Soft dabei spielen.

CSC ist ein amerikanisches Unternehmen, das auch mit den Geheimdiensten der USA kooperiert. Die zweite Frage beantwortete das Innenministerium mit dem Satz: "Zur Durchführung von Maßnahmen der Online-Durchsuchung wurde durch das BKA eine eigenständige Software entwickelt, welche einsatzbereit ist."

Die Antwort auf die erste Frage besagt, dass das BKA für die Quellen-TKÜ ein weiteres System nur für diese Überwachungsmaßnahme entwickelt. Es befinde sich "nach Abschluss der Architekturarbeiten derzeit in der Implementierungsphase. Hieran schließen sich ausführliche Softwaretests und die Quellcodeprüfung an." Ein konkreter Termin, wann das System einsatzbereit ist, "kann derzeit noch nicht mit ausreichender Genauigkeit angegeben werden".

CSC Deutschland und 4Soft nehmen bei der Entwicklung des Quellen-TKÜ-Systems "eine unterstützende und beratende Funktion wahr", heißt es in der Antwort weiter. CSC Deutschland, eine Tochter des umstrittenen US-Unternehmens und NSA-Kooperationspartners CSC, helfe dem BKA beim "Projektmanagement, bei der Erstellung der Softwarearchitektur sowie bei der Vorbereitung der Quellcodeprüfung."

Eigenentwicklung mit der Hilfe von Firmen

Die Eigenentwicklung der Überwachungssoftware war nötig geworden, nachdem der Chaos Computer Club im Jahr 2011 den Quellcode eines Trojaners der hessischen Firma DigiTask analysiert und veröffentlicht hatte. Das Ergebnis der Untersuchung: Die Software für die Quellen-TKÜ konnte mehr, als sie einem Urteil des Bundesverfassungsgerichts von 2008 zufolge können durfte. Sie wäre auch für eine Online-Durchsuchung und sogar die Wohnraumüberwachung ("Großer Lauschangriff") geeignet gewesen. Zudem hat sie den Computer des Verdächtigen anfälliger für Attacken anderer Angreifer gemacht. Die Bundesregierung beschloss daraufhin, den DigiTask-Trojaner nicht mehr einzusetzen.

Um selbst ein gesetzeskonformes Programm entwickeln zu können, hatte die Bundesregierung 2012 das "Kompetenzzentrum Informationstechnische Überwachung" eingerichtet. Trotzdem vertraut sie auf die Hilfe von privaten Unternehmen wie eben CSC Deutschland. Und für die Zeit bis zur Fertigstellung kaufte das Innenministerium Lizenzen für eine Software der Firmen Elamann und Gamma aus München. Gamma heißt mittlerweile FinFisher. Das BKA hat die Software getestet – ob sie zum Einsatz kam, wurde nie bekannt.

Ein Server von FinFisher wurde kürzlich gehackt. Dadurch wurde bekannt, dass das Unternehmen unter anderem dem Königreich von Bahrain dabei half, ihre Bürger auszuspähen.

Ob der Bundesnachrichtendienst eigene Programme zur Überwachung einsetzt, will die Bundesregierung nicht sagen.