Besucher des jährlichen Kongresses, den der Chaos Computer Club (CCC) ausrichtet. © Sean Gallup/Getty Images

Der vom Bundeskriminalamt (BKA) entwickelte Trojaner zur Quellen-Telekommunikationsüberwachung (TKÜ) darf ab sofort eingesetzt werden. Zunächst hatte der Deutschlandfunk berichtet, dass sowohl das Bundesinnenministerium als auch das BKA bestätigt hätten, die Genehmigung stehe kurz bevor. In der Regierungspressekonferenz am Montag wurde dann erklärt, das Ministerium habe die Einwilligung erteilt. Eigentlich sollte die Software schon im vergangenen Herbst zur Verfügung stehen.

Das BKA hatte den Trojaner in den vergangenen Jahren selbst entwickelt, weil die kommerziell erhältlichen Lösungen die verfassungsrechtlichen Anforderungen des Bundesverfassungsgerichts nicht erfüllten. Das Gericht hatte im Jahr 2008 in einem Urteil hohe Hürden sowohl für den Einsatz eines solchen Trojaners als auch für den Funktionsumfang festgelegt. So darf Software mit dem vollen Funktionsumfang eines Trojaners nur zum Einsatz kommen, um überragende Gefahren für Leib und Leben von Menschen oder Straftaten gegen den Bestand des Staates abzuwehren.

Der jetzt entwickelte Trojaner soll nach Angaben der Behörden nur zum Abhören von direkt auf dem Gerät verschlüsselten Kommunikationsmitteln eingesetzt werden – dafür würden dann niedrigere Hürden gelten. Beispiele für diesen Einsatzzweck sind VoIP-Lösungen wie Skype und Messenger sowie möglicherweise mit PGP verschlüsselte E-Mails.

Weiterhin Bedenken gegen den Einsatz der Software

Kritiker haben weiterhin Bedenken gegen den Einsatz von Quellen-TKÜ-Software. Zum einen ist die Rechtsgrundlage für den Einsatz von Quellen-TKÜ weiterhin umstritten, zum anderen gibt es bislang keine unabhängige Prüfung des Quellcodes. Zwar war das Bundesamt für Sicherheit in der Informationstechnik an dem Vorgang beteiligt, doch die Unabhängigkeit der Behörde wird wegen der Nähe zu den Nachrichtendiensten immer wieder in Zweifel gezogen.

Zwischenzeitlich hatte das Bundeskriminalamt eine Kopie des FinFisher-Trojaners Finspy erworben – zu Testzwecken, wie es damals hieß. Dafür zahlte die Behörde mindestens 150.000 Euro an den FinFisher-Reseller Elaman, der im gleichen Gebäude sitzt wie der Spyware-Hersteller selbst. Eine Prüfung des FinFisher-Quellcodes wurde von dem umstritten IT-Outsourcing-Unternehmen CSC Deutschland durchgeführt. Das Produkt wird in zahlreichen autoritären Staaten eingesetzt, unter anderem in Ägypten und Bahrain. Die OECD hatte das Unternehmen wegen mangelnder Menschenrechtsprüfungen gerügt.