Wie Recherchen der bayerischen Landtagsgrünen ergaben, waren die Einsätze des Bayerntrojaner deutlich umfangreicher als bisher bekannt. Auch die Verwicklung von Organen des Bundes und die Finanzierung hinterlassen mehr offene Fragen als Antworten.
Aus zwei Antworten des bayerischen Innenministeriums auf Schriftliche Anfragen der bayerischen Grünen um die innenpolitische Sprecherin Susanna Tausendfreund ergäbe sich, dass die als Bayerntrojaner bekannte und von der hessischen Firma Digitask entwickelte Spähsoftware in 14 Ermittlungsverfahren mit insgesamt 22 Maßnahmen zum Einsatz gekommen sei. Fünfmal (in 6 Maßnahmen) seien Screen Shots angefertigt worden, einmal auch erst nach dem Landshuter Urteil, das dieses Vorgehen für eindeutig rechtswidrig befunden hatte. Amtshilfe sei einmal für Hessen, zweimal für Thüringen geleistet worden, so eine Presseerklärung der Landtagsgrünen. Auch Bundesbehörden waren verwickelt: Einmal sei die Bundespolizei, dreimal der Verfassungsschutz involviert gewesen.
Auch der Reboot war möglich
“Die Software konnte nach Angaben des Staatsministeriums des Inneren Messenger-Entschlüsselung, also Live-Chats (wie Skype) überwachen, Screenshots (im Behördenjargon “Application-Shots”) anfertigen, technische Systemparameter auf dem Zielsystem verifizieren, Updates von Trojanersoftware auf dem Zielsystem vornehmen, Neustarts des Zielsystems erwirken, um Updates wirksam zu installieren und die Quellen-TKÜ löschen.”, so Tausendfreund.
Absichtlich die Ausschreibung vermieden?
Besonders problematisch präsentiert sich auch die Finanzierungsfrage. Knapp 400.000 Euro seien insgesamt für die jeweils individuell pro Auftrag entwickelten Trojaner ausgegeben worden, ohne Ausschreibung und gemäß des EVB-IT-Überlassungsauftrags.
“Das ist ein Mustervertrag, auf den Beschaffer von IT-Dienstleistungen der öffentlichen Hand zurückgreifen können, wenn sie Standardsoftware nutzen wollen. Beim Einkauf von Individualsoftware wird üblicherweise auf den “EVB-IT System” zurückgegriffen, einer Art Werkvertrag, der weitreichende Nutzungsrechte für den Auftraggeber vorsieht. Üblicherweise ist über diesen Vertrag auch der Zugriff auf den Quellcode der Vorschrift möglich. Nur wenn der Quellcode bekannt ist, weiß der Auftraggeber welche Funktionalitäten die Software wirklich hat.”, so die innenpolitische Sprecherin Tausendfreund. “Für den Einsatz jeder Maßnahme wurde ein eigener Vertrag mit der Firma Digitask geschlossen. Das ist unserer Meinung nach bereits vergaberechtlich problematisch, da dadurch die Gesamtsumme der Kosten gestückelt wurde und die Gefahr besteht, dass eine öffentliche Ausschreibung vermieden wird.”
Ohne Quellcode keine Sicherheit
In der gleichen Erklärung fordern die Grünen mehr Transparenz, die Einbindung der Datenschutzbeauftragten und verlangen deutlich höhere Qualitätsanforderungen (“Die Einsicht in den Quellcode ist sicherzustellen.”) als Grundvoraussetzung für derartige Software. Eine Quellen-TKÜ mittels Screen-Shots, die unter Umständen auch Einblick in Entwürfe der Kommunikation erlaube, lehnen sie als rechtswidrig ab (Das Linux-Magazin berichtete).
