Über die Zusammenarbeit deutscher Behörden mit einem Hersteller von umstrittener Überwachungssoftware werden neue Details bekannt. So hat das Beschaffungsamt des Bundesinnenministeriums nun einen Vertrag mit der Münchener Firma Elaman über die Nutzung eines Programms zur sogenannten Quellen-Telekommunikationsüberwachung geschlossen. Die Lizenz gilt für zehn Computer über einen Zeitraum von zwölf Monaten, der Bund bezahlt dafür 147166,11 Euro an Elaman. Dies bestätigten Innenministerium und Bundeskriminalamt gegenüber der ZEIT. Bislang war lediglich bekannt, dass sich deutsche Behörden eine Software namens FinSpy von Elaman besorgt haben, um sie ausgiebig zu testen – in welchem Umfang, war unklar. Dem Innenministerium zufolge wird das Programm derzeit aber nicht eingesetzt. Es seien weitere Tests mit der modifizierten Version von FinSpy erforderlich, da die Software bislang nicht alle Anforderungen erfülle.

Elaman ist der deutsche Partner der britischen Gamma Group, der Firma hinter der Überwachungssoftware. FinSpy ist in seiner ursprünglichen, nicht modifizierten Version, hoch umstritten. Als "digitale Waffe" bezeichnet es Christian Mihr, Geschäftsführer der Organisation Reporter ohne Grenzen, die sich weltweit für Pressefreiheit und Menschenrechte einsetzt. Schon im Februar haben Mihr und seine Kollegen bei der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) eine Beschwerde gegen Gamma eingereicht. Mihr sagt, dass FinSpy von totalitären Regimen als Unterdrückungswerkzeug eingesetzt werde. Wissenschaftler der Universität von Toronto hatten im vergangenen Jahr Spuren von FinSpy in E-Mails an bahrainische Oppositionelle entdeckt. Gamma hat diese Vorwürfe stets bestritten. Reporter ohne Grenzen fordert von der deutschen und anderen westlichen Regierungen, Exportbeschränkungen für FinSpy und ähnliche Programme zu erlassen. Elaman, der Vertragspartner der deutschen Behörden, möchte sich gegenüber der Presse grundsätzlich nicht äußern.

FinSpy kann in seiner nicht modifizierten Version ein äußerst leistungsfähiges Spähprogramm sein: Es kann auf fremden Computern E-Mails abfangen, unbemerkt Mikrofone und Kameras anzapfen oder Gespräche abhören, die über das Videotelefonieprogramm Skype geführt werden. FinSpy kann einen infizierten Rechner nicht nur live überwachen, sondern beispielsweise Skype-Gespräche oder Tastatureingaben auch aufzeichnen. Die Daten können dann später von dem Computer heruntergeladen werden.

Für die deutschen Behörden könnte das zum Problem werden. Das Bundesverfassungsgericht hatte ihnen in einem Urteil aus dem Jahr 2008 nämlich enge Grenzen gesetzt. Die sogenannte Quellen-Telekommunikationsüberwachung im Zuge einer Ermittlung darf sich demnach nur auf einen "laufenden Kommunikationsvorgang" beziehen, zum Beispiel ein gerade geführtes Internettelefonat. In einen Computer eingebaute Mikrofone oder Kameras dürfen hingegen nicht angezapft werden. Die Überwachungssoftware müsste also erst einmal entschärft werden, bevor sie Fahnder wirklich einsetzen können.

Dass eine Überwachungssoftware technisch mehr kann, als ihr juristisch gestattet ist, hatte schon einmal ein großes Projekt deutscher Behörden scheitern lassen. Im Jahre 2011 fanden Hacker des Chaos Computer Clubs heraus, dass das bis dahin eingesetzte Spähprogramm – der sogenannte Bundestrojaner – die Privatsphäre der observierten Zielpersonen verletzte.

Der Test von FinSpy gehört nun zu den Versuchen, einen tauglichen Nachfolger für das gescheiterte Überwachungsprojekt zu finden.

Eigentlich wollte das Bundesinnenministerium einen eigenen Trojaner programmieren lassen, doch im dafür eingerichteten "Kompetenzzentrum" sind bislang noch nicht einmal alle Stellen besetzt. Um herauszufinden, ob die ihnen vorliegende Version von FinSpy den vom Verfassungsgericht vorgegebenen Anforderungen entspricht, lassen die Beamten nun den Quellcode der Software prüfen. Doch das scheint unerwartet kompliziert zu sein, mehrere Bundesbehörden sahen sich selbst dazu jedenfalls nicht in der Lage. Nun ist der Staat auch bei dieser Aufgabe auf externe Hilfe angewiesen. Den Auftrag erhielt laut Innenministerium ein privates Unternehmen: Die CSC Deutschland Solutions GmbH in München.