Was wurde nach dem Urteil des Verfassungsgerichtes bei der Firma DigiTask in Auftrag gegeben? #Staatstrojaner

Gestern wurde im Innenausschuss und in der aktuellen Stunde des Bundestages mit schweren Geschützen gegen den Chaos Computer Club, gegen Chaoten des Netzes und Piraten geschossen.

An vorderster Front marschierte dabei der Unionspolitiker Uhl, der sich mit seinen Äußerungen allerdings selbst zerlegt hat, wie es einige Blogger bereits berichtet haben. So etwa Thomas Stadler:

„Den einsamen Höhepunkt der Rede Uhls bildete allerdings nicht das naheliegende CCC-Bashing, sondern folgende Aussage:

‚Das Land wird von Sicherheitsbehörden geleitet (…) es wird regiert von Sicherheitsbeamten‘

Das ist das Outing eines Zwangsdemokraten. Für ein Land, das von Sicherheitsbehörden geleitet und regiert wird, gibt es einen äußerst prägnanten Begriff: Polizeistaat. Dessen Apologet Hans-Peter Uhl hat heute für die Union im Bundestag gesprochen. Wirkliche Angst kann einer wie Uhl dennoch nicht mehr verbreiten. Dafür agiert sein Widersacher der CCC zu überzeugend und zu souverän.“

Oder Nico Lumma:

„Nein, das ist keine Satire. Nein, niemand hat diese Rede neu vertont. Das ist Hans-Peter Uhl im O-Ton. Vorwärtsverteidung unter Zurhilfenahme von vielen, vielen Blendgranaten. Ein twitternder Altmaier macht noch keine Partei der Internetversteher.“

Blendgranaten wurden auch im Innenausschuss losgelassen:

Bundesinnenminister Hans-Peter Friedrich (CSU) wandte sich in der Ausschusssitzung entschieden gegen Unterstellungen, dass „unsere Beamte mehr machen, als sie dürfen“. Dies machten sie nicht. Es sei rechtlich und technisch dafür gesorgt, dass „nur angeschaut werden kann, was angeschaut werden darf“. Der Ausschuss forderte zugleich vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Peter Schaar, einen weitergehenden Bericht zu der Thematik. Friedrich betonte (immer noch, gs), er könne nicht sagen, mit welcher Software sich der CCC beschäftigt habe (dabei ist das Ganze doch hier abrufbar, Herr Innenminister – sehr komfortabel auf der FAZ-Website, gs). Nach seinem Wissen hätten die ihm unterstellten Behörden diese nicht eingesetzt. Friedrich verwies zugleich darauf, dass er am Donnerstag mit seinen Länderkollegen über das Thema beraten werde. Er mahnte zugleich, den Länder-Innenministern und ihren Behörden bis zum Beweis des Gegenteils keine Rechtsverstöße zu unterstellen. Der Präsident des Bundeskriminalamtes (BKA), Jörg Ziercke, verteidigte das Vorgehen seines Hauses bei der Quellen-TKÜ. Das BKA habe keinen Verfassungsbruch begangen, versicherte er. Ein Vertreter des Bundesfinanzministeriums unterstrich, der Einsatz von Trojanern durch den Zoll sei auf Grundlage geltenden Rechts erfolgt.

Der Bundesdatenschutzbeauftragte Schaar machte im Ausschuss deutlich, derzeit keine Anhaltspunkte dafür zu haben, dass in Verantwortung des Bundes Daten rechtswidrig erhoben wurden. Aber dann kommt der Hammer!

Schaar äußerte sich „schockiert“ über die Aussage Zierckes, dass das BKA keinen Einblick in den Quellcode der von ihm genutzten Software genommen habe. Nur durch eine Analyse der Quellcodes könne garantiert werden, dass die Software nicht über weitergehende Funktionalitäten verfügt.

Und eine Frage blieb bisher unbeantwortet, die heute auf der Sitzung der Innenminister von Bund und Ländern endlich geklärt werden könnte. Was wurde von den Innenministerien nach dem Urteil des Bundesverfassungsgerichtes zu Online-Durchsuchungen bei der Firma DigiTask in Auftrag gegeben. Wahrscheinlich im Wege einer freihändigen Vergabe. Denn es geht doch so: Der Auftrag beschreibt den Leistungsumfang der Programmierung. Dann bekommt man die Leistung geliefert, es kommt zur Abnahme der Leistung und schließlich wird die Rechnung nach der Freigabe bezahlt. Wenn also nach 2008 Funktionälitäten bei DigiTask abgerufen wurden, die gegen das Verfassungsgerichtsurteil verstoßen, ist es schlichtweg egal, wie der Staatstrojaner zum Einsatz kam. Entscheidend ist die Wunschliste der Sicherheitsbehörden, die mit dem Einkauf der Leistungen erfüllt wurde. Und schon hier sehe ich den Verfassungsbruch. Oder läuft der Einkauf der Innenministerien doch so ab wie auf dem Hamburger Fischmarkt?

Es ist Mittwoch, die Kaffeetasse ist voll, der Aschenbecher noch leer und unser Innenminister verliert die Kontrolle

Als Fan von John Belushi tut es mir ja ein wenig leid, dass ich im Zusammenhang mit den digitalen Spionage-Affären der Sicherheitsbehörden so häufig von den Schlapphüten geschrieben habe. „Die Band“ ist mir jedenfalls immer noch heilig 🙂

Nicht ganz so heilig kommt der Bundesinnenminister daher. Eher scheinheilig. Und es ist erfrischend, dass die Staatswanzen-Staatstrojaner-Spionagesoftware-oder-oder-Affäre (auf Google Plus tobt eine Semantik-Disputation über Sinn und Unsinn des Wortes „Tojaner“) nicht in der Versenkung verschwindet und mit den semantischen Nebelkerzen von Friedrich & Co. zerredet wird. Dafür sorgt sicherlich auch der heutige Leitartikel des FAZ-Herausgebers Frank Schirrmacher:

„Warum redet sich Bundesinnenminister Hans-Peter Friedrich ohne Not um Kopf und Kragen? Die Hacker des Chaos Computer Club haben unwiderleglich gezeigt, dass der Staat die Kontrolle über einen mehrfach eingesetzten Staatstrojaner verloren hat. Hätte er es nicht, wäre das, was in Bayern in einen Laptop eingebaut wurde, ein bewusster Verstoß gegen das Grundgesetz. Das wollte eigentlich niemand glauben. Aber seitdem der CSU-Politiker redet, wie er redet, wachsen die Zweifel.“

Und diese Zweifel sind ja berechtigt. Es mag ja sein, dass die Sicherheitshüter nicht mehr den technologischen Durchblick haben, was so eine Überwachungssoftware kann oder nicht kann. Was die Innenminister auf Wunsch ihrer nachgeordneten Sicherheitsbehörden in Auftrag gegeben haben, ist den politisch Verantwortlich durchaus bewusst. Nur die Mechanismen der Netzöffentlichkeit können sie nicht mehr steuern, wie Schirrmacher treffend beschrieben hat:

„Man erlebt hier politischen Kontrollverlust angesichts komplexer technologischer Systeme in Echtzeit. Es ist ein Lehrstück.“

Die Widersprüche des BMI-Chefs sind jedenfalls mehr als peinlich. So wisse er angeblich nicht, was für ein Trojaner dem Chaos Computer Club zugespielt wurde. Dazu Schirrmacher:

„Die Wahrheit ist, dass der Code des Spionageprogramms seit dem vorvergangenen Samstag im Netz steht und die Sicherheitsbehörden wenig später wussten, worum es sich handelt. Schon diese Behauptung allein zeigt, dass der Innenminister entweder nicht weiß, wovon er redet, oder dass er ein hohes Risiko eingeht.“

Der Innenminister rede sich ein, er habe noch die Kontrolle über die Systeme – und es ist diese Illusion, die am erschreckendsten ist. Politiker des digitalen Zeitalters müssten endlich erkennen, dass der Verlust der Kontrolle die Regel kommunikativen und politischen Handelns sein wird.

Noch schlimmer ist jedoch das Demokratieverständnis von Friedrich. Die Meinung einer Regierung, so sagte er der „Frankfurter Allgemeinen Sonntagszeitung“, sei halt manchmal anders als die Meinung eines Gerichts. Weiß er noch, was er sagt, fragt sich Schirrmacher.

Jo mei, Herr Friedrich, auch die Exekutive ist nun mal an Entscheidungen der Judikative gebunden. Beim Staatstrojaner-Fall läuft nun in der Öffentlichkeit nicht nur ein Lehrstück in Sachen Kontrollverlust ab, sondern auch ein Exempel über die rechtsstaatlich nicht gedeckten Ermittlungsmethoden von Sicherheitsbehörden. Es wird mehr gemacht als es Gesetze zulassen. Diesmal funktioniert das Spiel nicht, ex post für Gesetzesänderungen zu sorgen, um die laufenden Praktiken der Staats-Schlapphüte zu legitimieren. Hoffentlich mit einem guten Ende als Lehrstück für Demokratie und nicht für Vertuschung.

Nach dem hier beschriebenen Szenario kann der Fortschrittsbericht der Bundesregierung „Vernetzte und transparente Verwaltung“ unter der Verantwortung des BMI wohl nur als Ulknummer tituliert werden.

#Staatstrojaner, DigiTask und der Hamburger Fischmarkt: Innenminister, veröffentlicht die Ausschreibungen!

Mir war völlig klar, dass nach der Aufdeckung der Staatstrojaner-Staatsaffäre durch den Chaos Computer Club eine Politik der Nebelkerzen los getreten wird: von Innenpolitikern, Innenministern und Behördenchefs. Zugegeben wird nur das, was ohnehin kurz vor der Veröffentlichung steht. Immer mehr Bundesländer müssen einräumen, dass die Trojaner mit den von den Hackern festgestellten „Leistungsmerkmalen“ in den vergangenen Jahren intensiv zum Einsatz kamen.

Mitten drin taucht in schöner Regelmäßigkeit die Firma DigiTask auf, die sich wohl so eine Art Trojaner-Monopolstellung für die öffentliche Hand erarbeitet hat. Wie die Trojaner dann von Bund und Ländern für Spionage-Aktionen verwendet wurden, ist im Prinzip völlig wurscht.

Entscheidend ist das, was die Innenministerien von Bund und Länder in Auftrag gegeben haben. Hier liegt der Bundestagsabgeordnete Hans-Christian Ströbele von den Grünen goldrichtig. Die Bundesregierung müsse diejenigen Personen zur Verantwortung ziehen, die an Beschaffung und Einsatz solcher rechtswidrig gestalteten Software beteiligt waren. Ströbele und die Abgeordneten in den Landtagen sollten ihre Forderung noch erweitern: Es muss die Ausschreibung für die Anschaffung der Staatstrojaner offen gelegt werden. In den Leistungskriterien kann man erkennen, ob schon der Einkauf der Trojaner-Software verfassungswidrig war und den Schlapphut-Prinzipien „Legal, Illegal, Scheißegal“ entspricht.

Glaubt denn irgendjemand wirklich an das Märchen, dass den Sicherheitsbehörden und Innenministern nicht klar war, was diese Programme können und was sie nicht können? Nach dem Vergaberecht muss der Leistungsumfang präzise beschrieben werden. Und agiert der Anbieter, in diesem Fall die Firma DigiTask, in den Geschäften mit dem Staat wie die Verkäufer auf dem Hamburger Fischmarkt? Wenn Ihr, liebe Innenminister, zehn Makrelen kauft, bekommt ihr für den gleichen Preis noch zwei Aale, einen Hering und ein Überraschungsei oben drauf.

Was die CSU-Parteifreunde Friedrich und Herrmann als Innenminister von Bund und Bayern derzeitig treiben, ist nichts anderes als Verzögerungstaktik. Friedrich verlangt jetzt, den Einsatz von Ermittlungssoftware zu unterbinden, die geeignet sei, rechtswidrige Durchsuchungen von Computern zu ermöglichen. Dabei hatte doch das BKA schon das entsprechende Programm geprüft und in der „ursprünglichen“ Fassung nicht akzeptiert. Der Grund seien darin enthaltene zusätzliche, rechtlich fragwürdige Ermittlungsoptionen gewesen (wann wurde geprüft?). Warum wurde also nicht vorher schon eine Warnung vom Bundesinnenminister ausgesprochen? Auch in Bayern hat Herrmann den Einsatz des Staatstrojaners gestoppt bis eine Überprüfung des Landesdatenschützers vorliegt. Vorher erklärte er noch, dass sich die Sicherheitsbehörden an geltendes Recht gehalten haben. Das ist reiner Aktionismus.

Liebe Innenminister, legt die Ausschreibungen auf den Tisch, schmeißt die Chefs der Sicherheitsbehörden raus und bittet um die Entlassungsurkunden. Alles andere wäre eine Farce. Dazu wird es aber nicht kommen. Man spielt halt das Staatstrojaner-Kompetenzverwirrspiel.

Und wenn der Staatstrojaner in nächster Zeit nun gar nicht mehr zur „Terrorbekämpfung“ genutzt werden kann, habe ich für BKA und LKAs sowie sonstige Schlapphüte eine Alternative: Red Robo aka BKA-Robert.

Siehe auch:
Wie Bayern mit dem Trojaner Kleinkriminelle jagte.

Jedes Land späht anders.

Eine Liste der „Geständigen“….

Ländertrojaner: Microsoft wurde vom Staat vorgeführt.

Die staatliche Computerwanze ist eine Staatsaffäre.

Behörden suchen den legalen Staatstrojaner.

Die #Staatstrojaner-Staatsaffäre: Jetzt haben wir wieder das Unschuldslämmer-Wechselspiel

Kurz nach den ersten Aufregungswellen über den vom Chaos Computer Club gehackten Staatstrojaner kommen auch schon die ersten Dementis der betroffenen Stellen:

„Was auch immer der Chaos Computer Club untersucht hat oder zugespielt bekommen haben mag, es handelt sich dabei nicht um einen sogenannten Bundestrojaner“, teilte ein Sprecher des Ministeriums am Sonntag in Berlin mit. Ob aber andere deutsche Ermittlungsbehörden die Überwachungssoftware eingesetzt haben könnten, dazu machte das Ministerium keine Angaben.

Wie kann ein Sprecher des BKA so schnell alle möglichen Ermittlungen seines Hauses untersuchen, um zu solch einer apodiktischen Aussage zu gelangen? Hat er alle Ermittlungsverfahren innerhalb weniger Stunden überprüft, alle verdeckten Ermittler und alle nachgeordneten Stellen befragt? Das wäre zweifelsfrei eine phantastische Arbeitsleistung, die das BKA am Sonntag vollbracht hätte.

Das Innenministerium hat allerdings bestätigt, dass es über solche Software verfügt. Ihre Anwendung halte sich aber an die gesetzlichen Regelungen. Jo, dann legt doch mal die Programmierung auf den Tisch, um einen Abgleich vorzunehmen.

Die Grünen haben angekündigt, BKA-Chef Ziercke und seine Mitarbeiter vor den Innenausschuss des Bundestags zitieren zu wollen. „Sie sollen erklären, in welchem Umfang die Sichherheitsbehörden in Deutschland bereits vergleichbare Überwachungssoftware verwenden“, sagt Grünen-Vorsitzende Claudia Roth nach einem Bericht von heute.de. Der Einsatz der fraglichen Software müsse sofort gestoppt werden.

Auch der Vorsitzende der Piratenpartei, Sebastian Nerz, fordert, sich bei der Aufklärung nicht auf die Person Jörg Ziercke zu beschränken. Selbst ein Rücktritt werde das Problem nicht lösen. „Man muss auch gucken, wer im BKA für diese Entwicklung verantwortlich war.“ Nerz forderte personelle Konsequenzen auch für das Umfeld Zierckes. Auch das reicht nicht aus. Konzentriert Euch doch jetzt nicht nur auf die Chefs der Sicherheitsbehörden. Die unterstehen dem Innenministerium. Diemar Dath hat zu diesem Punkt den richtigen Riecher. In einem FAZ-Artikel schreibt er:

„Den Staatstrojaner haben nach allem, was plausibel ist, wohl nicht Beamte (dazu sind die wohl gar nicht in der Lage, gs), sondern kommerzielle Anbieter programmiert.“

Dingdong. Hier liegen die Fragen aller Fragen, unabhängig von der Dienststelle, die den Staatstrojaner in Umlauf geschickt hat. Welche Firma hat den Staatstrojaner programmiert, wer hat den Auftrag erteilt, über welchen Haushaltstitel läuft das, wie viel hat der ganze Spionage-Spaß gekostet, was kann der Staatstrojaner, wer hat das grüne Licht für die Investition gegeben und wer verfügt überhaupt über die Kompetenz, so einen Staatstrojaner zum Einsatz zu bringen?

Den besten Hinweis lieferte bislang die Frankfurter Rundschau:

„Interne Schriftwechsel aus dem Bayerischen Justizministerium zeigen, dass schon vor vier Jahren mit der Entwicklung und dem Einsatz von rechtswidriger Überwachungssoftware begonnen wurde – und dass der Staat die Kontrolle über das Programm der Trojaner in die Hände privater Firmen legte. In dem Schriftwechsel zwischen Ministerium, Oberlandesgerichtspräsidenten und Generalstaatsanwälten, der der FR vorliegt, geht es um eine Spionagesoftware, die von der Firma DigiTask im hessischen Haiger entwickelt wurde.“

Und ist kommt noch besser, wenn man sich den gesetzlichen Rahmen für die Spionage-Software anschaut. Was steht in den Leistungsbeschreibungen von Bund und Ländern für die Auftragsvergabe. Auch hier bringt die FR wichtige Hinweise für weitere Recherchen und Fragen, die im Parlament gestellt werden sollten:

„In der ‚Leistungsbeschreibung‘ von DigiTask finden sich alle Spionage-Funktionen, die jetzt beim Bundestrojaner als rechtswidrig gebrandmarkt werden: Detailliert wird etwa die ‚Live-Ausleitung‘, des Sprach-, Video-, und Chatverkehrs sowie der kompletten Dateiübertragung beschrieben – also das Ausspionieren eines PC-Nutzers in Echtzeit. Ebenso die Möglichkeit des heimlichen Hochladens weiterer Programme auf den Rechner des Überwachten: ‚Update unbemerkt über den normalen Datenstrom‘. Selbst verschlüsselte Kommunikation könne man mit einer ‚Capture-Unit‘ in Echtzeit ausspionieren und an einen ‚Recording-Server‘ leiten. Mit ‚mobilen Auswertstationen‘ und einem mitgelieferten Multimediaplayer könnten dann alle Kommunikationsarten wie Schrift, Sprache und Videos ‚live wiedergegeben werden‘, so die Firma. Der Mietpreis der Spionagesoftware pro Monat und Maßnahme: 3500 Euro, die einmaligen Installationskosten: 2500 Euro. Für nochmal so viel könne man auch SSL-verschlüsselte Daten ‚decodieren‘, wie sie etwa beim Online-Banking, bei Chat-Netzwerken und in Internet-Shops genutzt werden. Auf dem Computer der Zielperson installiert werden könne dieser Trojaner etwa als Dateianhang einer E-Mail. Auch ‚weitere Installationsroutinen könnten jederzeit integriert werden‘.“

Der Bayerntrojaner kam ja bereits mehrfach zum Einsatz. Hat da irgendein Politiker den Hut nehmen müssen? Von der CSU-Bundesministerin Ilse Aigner ist in diesem Zusammenhang wohl kein großer Enthusiasmus zu erwarten, da sie ja die einschlägigen Gesetzesvorhaben im Bundestag abgenickt hat, wie Richard Gutjahr in einem Interview mit Aigner so schön herausgearbeitet hat.

Weitere Aspekte habe ich in meiner heutigen Kolumne behandelt.

Wer schaut denn mal genauer hinter die Kulissen von BKA, LKAs und Co.? Warum betreiben die Staatsorgane so eine Geheimniskrämerei, wenn es um den Einsatz und den Erwerb von Spionage-Equipment geht? Welche Parlamentarier laufen auf Ballhöhe mit den Überwachungsmöglichkeiten des Staates? Und mit welchen Konsequenzen müssen jetzt Dienstherren rechnen, die gegen Verfassung und Gesetze verstoßen haben? Wie intensiv debattieren wir in den nächsten Wochen und Monaten den Bundestrojaner-Skandal, fernab von Like-Funktionen und Street View?

Auch dieser Punkt sollte intensiver recherchiert werden:

Die Sicherheitsbehörden verfahren wohl nach dem Motto, was die Öffentlichkeit nicht weiß, macht sie nicht heiß. Irgendwo findet sich schon ein kleines Zeitfenster, um die illegalen Praktiken ex post durch Gesetzesnovellen zu legalisieren. Dafür sorgen dann die Innenminister von Bund und Ländern.

Also, was wissen die obersten Dienstherren von den Praktiken ihrer Sicherheitsbehörden, die gegen geltendes Recht verstoßen. Wenn das festgestellt wird im Zuge der Staatstrojaner-Ermittlungen, dann müssen nicht nur die Chefs der betroffenen Sicherheitsbehörden ihren Schlapphut nehmen, sondern auch die Innenminister (ich schreibe bewusst im Plural, weil die Staatstrojaner ja auch von Länderbehörden eingesetzt werden können – siehe Bayern.

Bei der ganzen Affäre geht es auch um die Ilse-Aigner-Hans-Peter-Friedrich-CSU-Schräglage der öffentlich artikulierten Sicherheitsrisiken, die von den wirklich schwerwiegenden Risiken für die Privatsphäre ablenken. Die Verteidigung des Privaten ist beim Staat in schlechten Händen. Das sollte man generell bedenken, wenn wieder über Verbote, Regulierungen, neue Überwachungsbehörden und sonstige Drangsalierungsmethoden nachgedacht wird. Das fängt beim Rauchverbot an und hört beim Bundestrojaner auf. Vorsorge und Fürsorge des Staates, so der Soziologe Wolfgang Sofsky, seien nur fadenscheinige Versprechen. „Der Staat ist weder ein Hort der Sittlichkeit noch eine moralische Instanz. Er hütet kein Gemeinwohl und ist auch keine Quelle väterlicher Geborgenheit. Der Staat ist eine Einrichtung zur Beherrschung der Bürger.“

Siehe auch:
Woher stammt die Schnüffelsoftware?

Update von heise.de:

Patrick Schladt, Anwalt eines Betroffenen, der mittels Staatstrojaner überwacht wurde, teilte nun mit: „Einer der vom CCC dokumentierten Staatstrojaner wurde auf der Festplatte eines meiner Mandanten gefunden, die ich im Einvernehmen mit dem Mandanten an einen öffentlich bekannten Vertreter des CCC habe übergeben lassen. Es handelt sich dabei um den Fall des ‚Screenshot-Trojaners‘, der bereits im Frühjahr dieses Jahres Gegenstand der öffentlichen Diskussion war.“ Die Beweiskette von Schladt zum CCC sei lückenlos dokumentiert.

Aufgespielt sei der Trojaner bei Gelegenheit einer Kontrolle seines Mandanten durch den Zoll auf dem Münchener Flughafen worden, erklärt Schladt weiter. „Auch wenn die Maßnahme selbst von bayerischen Behörden kontrolliert wurde, so steht für mich außer Frage, dass Stellen des Bundes – etwa der Zoll bzw. das Zollkriminalamt – im Wege der Amtshilfe beteiligt waren. Hierfür spricht aus meiner Sicht nicht zuletzt, dass dieselbe Software aus verschiedenen Bundesländern zum CCC gelangte.