Netzpolitik.org hat einen geschwärzten Prüfbericht zum BKA-Trojaner veröffentlicht. Umfassend geprüft wurde offensichtlich nicht.
Neben kommerziellen Staatstrojanern wie Finfisher und Pegasus setzt das Bundeskriminalamt (BKA) auch auf eine Eigenentwicklung. Dieser Remote Communication Interception Software (RCIS) genannte BKA-Trojaner wurden mehrfach von den Behörden geprüft. Das Blog Netzpolitik.org hat den geschwärzten Prüfbericht des Bundesdatenschutzbeauftragten Ulrich Kelber veröffentlicht.
Den zehnseitigen Prüfbericht aus dem Jahr 2020 hat Netzpolitik.org durch eine Informationsfreiheitsanfrage beim Bundesdatenschutzbeauftragten erhalten – in Absprache mit dem BKA allerdings stark geschwärzt. Denn eine vollständige Veröffentlichung des als geheim eingestuften Papieres könnte “die Sicherheit der Bundesrepublik Deutschland gefährde[n]”, heißt es als Begründung zu den umfangreichen Schwärzungen. Der komplette Bericht soll erst im Jahr 2080 veröffentlicht werden.
Der Trojaner wurde für die sogenannte Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) entwickelt, bei welcher der Trojanereinsatz rechtlich auf das Abfangen der aktuellen Telekommunikation auf dem Endgerät beschränkt wird. Damit sollen vornehmlich verschlüsselte Telefonate oder Messenger-Nachrichten vor der Verschlüsselung beziehungsweise nach der Entschlüsselung erfasst werden. Eine solche “Software zur Quellen-TKÜ ist strukturell in grundrechtlicher Hinsicht besonders eingriffsintensiv”, konstatiert der Bundesdatenschutzbeauftragte in seinem Bericht.
Ein besonderes Augenmerk sei bei der Prüfung darauf gerichtet gewesen, ob die Software über die reine Quellen-TKÜ hinausgehende Funktionalitäten aufweise und die gesetzlich vorgeschriebenen technischen Sicherungen einhalte, heißt es in dem Bericht (PDF). “Der Nachweis, ob eine Software nicht geforderte bzw. über das Zulässige hinausgehende Funktionen aufweist, ist allerdings praktisch kaum zu führen”, konstatiert der Bundesdatenschutzbeauftragte. Eine Kontrolle könne insofern immer nur eine Annäherung und Stichprobe sein.
Geprüft wurden ohnehin nur datenschutzrechtlichen Aspekte. So hatte der Datenschutzbeauftragte mehrere Testfälle generiert, die er mit dem BKA durchexerzierte und auf die Einhaltung der rechtlichen Anforderungen überprüfte. Dabei ging er der Frage nach, “ob sich die technische Funktionalität von der abstrakten Anforderungsebene bis zur Realisierung transparent nachvollziehen und prüfen lässt.”
Getestet wurde beispielsweise, ob die Software nach dem Einsatz “sauber” von Zielsystem gelöscht wird oder ob die Überwachung mit dem Beenden der Telekommunikation abgebrochen wird. Zudem ließ sich der Datenschutzbeauftragte ausschnittsweise den Quellcode der Software zeigen. Diese entsprachen laut Prüfbericht den datenschutzrechtlichen Anforderungen. Die Unterpunkte zu einer externen Prüfung und zum Echtzeitbetrieb sind komplett geschwärzt.
Weitergehende Probleme, beispielsweise wie der Staatstrojaner auf die Geräte der Betroffenen gelangt, wurden nicht untersucht. Dabei ist der Umgang mit Sicherheitslücken, neben dem massiven Eingriff in die Grundrechte der Betroffenen und der schwierigen Kontrollierbarkeit der Trojaner-Software, eine der zentralen Kritikpunkte.
Denn das Zurückhalten sogenannter Zero Days ist nicht ungefährlich: Werden die Sicherheitslücken nicht unverzüglich an den Hersteller der Software gemeldet und geschlossen, gefährden sie die IT-Sicherheit für alle. Eindrucksvolles Beispiel ist die Schadsoftware Wannacry, die Millionen Rechner und Firmen lahmlegte. Dafür nutzte sie eine von der NSA gehortete Sicherheitslücke.
Den Einsatz von Sicherheitslücken problematisierte Kelber auch in öffentlichen Stellungnahmen. Zudem kritisierte er die Ausweitung des Staatstrojanereinsatzes auf die Geheimdienste als eine Gefahr für die Demokratie.
Sicherheitsforscher und CCC-Mitglied Thorsten Schröder hat bereits mehrere Staatstrojaner für den Chaos Computer Club (CCC) analysiert. Den Bericht des Datenschutzbeauftragten bezeichnet er als enttäuschend. “Die Datenschutzbehörde untersucht einen kleinen Teil relevanter Fragen in einem Ausschnitt des Staatstrojaners, und die Öffentlichkeit darf lediglich Auszüge des Befunds lesen”, sagte Schröder zu Netzpolitik.org. “Das Ergebnis von vier Jahren Arbeit sind zehn Seiten weitreichend geschwärztes Papier ohne Details. Eine effektive Kontrolle dieser hochsensiblen Schadsoftware findet augenscheinlich nicht statt.”
“Innenminister und BKA haben immer wieder Behauptungen über Staatstrojaner aufgestellt, die sich bei genauerer Betrachtung als unwahr herausgestellt haben”, betont der CCC-Sprecher Linus Neumann. Der CCC prüfe die vom BKA programmierte Software gerne.
Die Stasi hätte gerne in der heutigen zeit existiert da es ja anscheinend niemanden mehr juckt überwacht zu werden.
Wie war das gleich nochmal nach Edward Snowden, Spionage wurde hier für legal erklärt? Hauptsache man kriecht Dumbfuckistan so tief in den Arsch das man schon einen braunen Ring um den Hals hat und kopiert schön deren Propaganda 24/7.
Ganz meiner Meinung, – denn in unserem sogenannten “freiesten Deutschland das es je gegeben hat”, sprich, mit freier Meinungsäußerung und mit dieser tollen Demokratie, war die “Stast” ein armseliger Waißenknabe. Die heutige sogenannte Demokratie geht nur soweit, solange man die gleiche politische Meinung vertritt wie unsere “Superregierung”, andersdenkende, egal welche politische Richtung, aber mit einer anderen politischen Meinung sind nach Ansicht dieser Bande keine Demokraten mehr!?!?!? – Ich verstehe nur nicht diese ständigen Depatten über dieses Thema, die Dummdeutschen wollen das doch so, denn sonst würden diese Ja-sager und jammerer nicht immer so etwas an die Regierung wählen. Gruß von… Mehr »
Eines hab ich noch vergessen zu meinen Bericht:
Ich hör dann nur noch von diesen “Dummdeutschen”, – “was soll ich denn wählen, die sind ja alle gleich”.
Soviel Dämlichkeit von diesen Ja-sagern kann man sich gar nicht vorstellen, eigentlich gehören solche Typen, wegen “Gefahr für die Allgemeinheit” für mindestens 10 Jahre ins Zuchthaus weggesperrt!