„Staatstrojaner“ – Was es ist, was er kann, wer ihn nutzt

Die Zahlen, die das Bundesamt für Justiz im vergangenen Dezember veröffentlicht hat, sorgten für einigen Wirbel. Erstmals waren in einer Statistik zu Maßnahmen der Telekommunikationsüberwachung im Jahr 2019 auch Angaben zur Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) gemacht worden. Hinter dem sperrigen Begriff verbirgt sich das wohl umstrittenste Werkzeug der deutschen Polizei – der sogenannte „Staatstrojaner“ oder „Bundestrojaner“. Es handelt sich um staatliche Spähsoftware, die heimlich auf Geräte von Zielpersonen installiert wird, um eigentlich verschlüsselte Kommunikation etwa über Chatprogramme wie WhatsApp oder Telegram überwachen zu können.

„Die mittels Eingriffs in ein vom Betroffenen genutztes informationstechnisches System erfolgte Überwachung der Telekommunikation (Quellen-Telekommunikationsüber­wachung), die aufgrund ihrer Neueinführung erstmals statistisch erfasst wird, liegt bei 578 Anordnungen, von denen 368 tatsächlich durchgeführt wurden“ – Pressemitteilung des Bundesamt für Justiz vom 18. Dezember 2020

Damit sind nun erstmals Zahlen zum Einsatz des Trojaners durch deutsche Strafverfolger bekannt. „Ermittler setzen 2019 Hunderte Mal Staatstrojaner ein“, titelte daraufhin SPIEGEL. Und Netzpolitik.org heißt es:„Die Polizei setzt täglich Staatstrojaner ein.“ Tatsächlich aber sind die Zahlen aus der Jahresstatistik 2019 falsch, mehrere Staatsanwaltschaften in mindestens fünf Bundesländern hatten unkorrekte Angaben gemacht, wie ich mit einem Kollegen für WDR und NDR recherchiert hatte. In den meisten Bundesländern hatte es keine Einsätze des Staatstrojaners gegeben – in vielen nicht einmal eine Anordnung dazu. Aus den Justizbehörden hieß es, die Fragebögen seien falsch verstanden und damit auch fehlerhaft ausgefüllt worden. Eine korrigierte Statistik soll in Kürze veröffentlicht werden.

Die Jahresstatistik der Maßnahmen der Telekommunikationsüberwachung 2019 – noch mit fehlerhaften Zahlen zur Quellen-TKÜ (Quelle: Bundesamt für Justiz)

Der „Staatstrojaner“ spielt damit für die polizeilichen Ermittlungen bislang nahezu keine Rolle – obwohl Strafverfolger regelmäßig anmerken, dass die Verschlüsselung der Kommunikation von Kriminellen zu einer wachsenden Herausforderung wird. Das Werkzeug, um Computer und Smartphones entsprechend überwachen zu können, wird jedoch weiterhin kaum eingesetzt. Auch das Bundeskriminalamt (BKA), das zahlreiche umfassende Verfahren im Bereich Terrorismus und Schwere und Organisierte Kriminalität führt, hat bis heute noch in keinem abgeschlossenen Verfahren den „Staatstrojaner“ eingesetzt.

Woran liegt es, dass dieses Werkzeug nahezu nie zum Einsatz kommt? Und was ist überhaupt ein „Staatstrojaner“? Dieser Blogeintrag soll dazu einen Überblick liefern.

Wie funktioniert die reguläre Telekommunikationsüberwachung (TKÜ)? 

Die deutsche Polizei darf im Rahmen eines Ermittlungsverfahrens die Kommunikation eines Tatverdächtigen technisch überwachen. Dies wird geregelt durch den Paragraph § 100a der Strafprozessordnung. Ein richterlicher Beschluss auf Antrag der Staatsanwaltschaft ermöglicht dann das zeitlich begrenzte Überwachen eines bestimmten Anschlusses (Telefonnummer, IMEI, E-Mail-Adresse etc.). Die Maßnahme heißt Telekommunikationsüberwachung (TKÜ). Zunächst wird eine Überwachung für den Zeitraum von drei Monaten erlaubt, wobei Verlängerungen um jeweils weitere drei Monate möglich sind.

Die Telekommunikationsdienstleister, beispielsweise die Telekom oder O2, sind gesetzlich dazu verpflichtet, der Polizei nach Vorlage einer richterlichen Anordnung die Überwachung eines oder mehrerer Telefon- oder Internetanschlüsse zu ermöglichen. Es wird also nicht das Gerät selbst überwacht, sondern vielmehr der Datenverkehr, der über das Gerät läuft. Der Datenverkehr wird vom Provider kopiert und an die Polizei ausgeleitet, Bei E-Mails erhält die Polizei sogenannte „Spiegel-Konten“, d.h. jede E-Mail die ein Tatverdächtiger erhält oder verschickt, taucht dann auch in einem kopierten E-Mail-Konto der Polizei auf.

Wie oft TKÜ-Maßnahmen jährlich bundesweit stattfinden, kann auf der Webseite des Bundesamtes für Justiz eingesehen werden.

Wozu braucht die Polizei eine Spähsoftware?

Klassische Kommunikation wie Telefongespräche, SMS oder E-Mails kann durch die herkömmliche Telekommunikationsüberwachung (TKÜ) abgehört bzw. mitgelesen werden. Neue Kommunikationskanäle wie etwa Chatprogramme auf Smartphones stellen allerdings eine erhebliche technische Herausforderung dar.

Die Anbieter von Messengerdiensten sind in Deutschland bislang nicht gesetzlich verpflichtet, mit Strafverfolgern zusammenzuarbeiten. Wie ich in der WELT AM SONNTAG berichtet hatten, wären die Unternehmen WhatsApp und Threema zu einer solchen Kooperation auch weder bereit, noch in der Lage. Es handelt sich oftmals um verschlüsselte Kommunikation, zu der laut eigener Aussage nicht einmal die Betreiber der Programme selbst Zugang haben.

Die Instant-Messenger wie WhatsApp, Telegram, Signal, Viber oder Threema funktionieren als Software über den normalen Internet-Datenverkehr. Die Chats, Audionachrichten und auch Sprachanrufe werden durch regulären TKÜ-Maßnahmen nicht erfasst, weil sie meist verschlüsselt stattfinden. Anders als normale Telefonie oder SMS können die Provider diese Kommunikation nicht einfach lesbar kopieren und ausleiten.

Die Kommunikation über WhatsApp oder auch Skype wird beim Versenden verschlüsselt und auf dem Empfängergerät wieder entschlüsselt. Um solche Gespräche oder Chats mitschneiden zu können, müssen die Daten also entweder vor dem Verschicken oder nach dem Empfangen überwacht werden – an der Quelle sozusagen. Daher wird dieser Überwachungsmaßnahme Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) genannt.

Eine solche Quellen-TKÜ findet direkt auf dem Zielgerät eines Verdächtigen statt. Hier spielen die Provider keine Rolle, sondern das Smartphone oder der Laptop direkt werden angezapft. Das geschieht mit einer heimlich installierten Software – umgangssprachlich „Staatstrojaner“ oder „Bundestrojaner“ genannt.

Seit wann gibt es den „Staatstrojaner“?

Das Bundeskriminalamt (BKA) dürfte seit einer Gesetzesänderung im Januar 2009 „mit technischen Mitteln in vom Betroffenen genutzte informationstechnische Systeme eingreifen“. Damals wurde die Anschaffung von kommerziellen Spionageprogrammen beschlossen. Die wiederum auch in den Bundesländern durch die dortigen Landeskriminalämter und Zollbehörden zum Einsatz kamen. Im Herbst 2011 hat der Chaos Computer Club (CCC) von einem anonymen Absender eine Festplatte erhalten, auf der sich die Überwachungssoftware des bayerischen Landeskriminalamtes (LKA) befand. Es handelte sich um ein kommerzielles Produkt der Firma DigiTask.

Die CCC-Hacker haben den Quellcode des Trojaners untersucht und stellten fest: Die Software kann viel mehr als sie eigentlich laut Gesetz darf. So konnte der Trojaner nicht nur Skype-Gespräche aufzeichnen, sondern mit der Software konnten auch Dateien auf dem Computer ferngesteuert durchsucht, umgeschrieben, koperiert oder gelöscht werden. Auch die Kamera und Mikrophone konnten gesteuert werden. Im Bundesinnenministerium sorgte der CCC-Bericht dafür, dass der Einsatz des viel zu potenten Trojaners aus „verfassungsrechtlichen Bedenken“ gestoppt wurde. Stattdessen wurde das Bundeskriminalamt (BKA) beauftragt eine eigene – juristisch einwandfreie – Spähsoftware zu entwickeln.

Wer darf  „Staatrojaner“ einsetzen?

Seit der Reform der Strafprozessordnung im Sommer 2017 ist es Strafverfolgungsbehörden in Deutschland erlaubt Quellen-TKÜ-Maßnahmen umzusetzen, um diverse Straftaten aufzuklären – vom Terrorismus, über Mord bis zum Drogenhandel. Geregelt wird dies durch den Paragraph 100a Absatz 1 Sätze 2 und 3. Dem BKA ist es zudem erlaubt, solche Programme nicht nur in Strafverfahren, sondern auch zur Gefahrenabwehr einzusetzen.

Die Bundesregierung plant zudem, den Geheimdiensten (Verfassungsschutz, BND und Militärischer Abschirmdienst) ebenfalls solche Befugnisse zu übertragen – durch eine Ergänzung im Bundesverfassungsschutzgesetz. Ein Gesetzesentwurf des Bundesinnenministeriums aus dem vergangenen Jahr sah außerdem eine Verpflichtung von Providern vor, den Sicherheitsbehörden bei der Umsetzung von solchen Ausspähaktionen zu helfen. Sie könnten etwa verpflichtet werden, Spionagesoftware heimlich zu installieren.

Auch die Bundespolizei soll nach dem Wunsch des Bundesinnenministeriums bald Quellen-TKÜ durchführen dürfen. Ein entsprechender Gesetzesentwurf liegt dem Bundestag vor.

Wer hat den „Staatstrojaner“ entwickelt?

Um den neuen Trojaner zu entwickeln, wurde im Jahr 2012 beim Bundeskriminalamt (BKA) in Wiesbaden in der Abteilung Operative Einsatz- und Ermittlungsunterstützung (OE) das „Kompetenzzentrum für informationstechnische Überwachung (CC ITÜ)“ eingerichtet. Im dortigen Referat OE 22 wurde schließlich eine eigene Quellen-TKÜ-Software programmiert.

Der BKA-eigene „Staatstrojaner“ trägt die Bezeichnung „Remote Communication Interception Software“ (RCIS). Das Programm wurde im Februar 2016 vom Bundesinnenministerium offiziell zum Einsatz freigegeben. Vorangegangen waren mehrere interne und externe Software-Tests, darunter eine rund 190.000 Euro teure Quellcode-Prüfung durch die TÜV Informationstechnik GmbH.

Zusätzlich zum BKA-Trojaner wurde im Frühjahr 2013 „aus Gründen der Ausfallsicherheit und zur Steigerung der passgenauen Einsatzfähigkeit“, wie das Bundesinnenministerium mitteilte, ein sogenanntes „kommerzielles Produkt“ der FinFisher GmbH / Gamma Group beschafft. Kostenpunkt: Rund 150.000 Euro.

Neben der CC ITÜ-Stelle im BKA gibt es noch weitere staatliche Stellen, die an Spionageprogrammen oder zumindest an Lösungen für technische Probleme arbeiten. Der Bundesnachrichtendienst (BND) hat im Zuge der technischen Aufrüstung das Projekt “Aniski” zur “Aufklärung nicht-standardisierter Kommunikation und Daten” ins Leben gerufen. In den vergangenen Jahren wurden so rund 150 Millionen Euro u.a. darin investiert, verschlüsselte Programme wie WhatsApp zu überwachen. 

Zusätzlich gibt es im Zuständigkeitsbereich des Bundesinnenministerium mit der 2017 geschaffenen Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) in München eine Forschungseinrichtung, die den Sicherheitsbehörden dabei helfen soll, kryptierte Kommunikation zu knacken. Ein eigener Fachbereich bei ZITiS befasst sich nur mit Telekommuniktionsüberwachung. ZITiS soll jedoch keine eigenen Befugnisse haben, sprich keine eigenen Überwachungsmaßnahmen durchführen.

Was kann der „Staatstrojaner“?

Offiziell will sich sowohl das Bundesinnenministerium als auch das BKA nicht zu den Fähigkeiten der staatlichen Spionagesoftware äußern. Im April 2016 hatte ich in der WELT am Sonntag berichtet, dass die aktuelle Version der BKA-Software, RCIS 1.0., bis dato nur das Programm Skype überwachen konnte – und zwar nur auf Computern mit Windows-Betriebssystem. Auf mobilen Geräten wie Smartphones oder Tablets konnte der Trojaner lange Zeit nicht eingesetzt werden.

Was genau der Ersatz-Trojaner von FinFisher kann, der im Frühjahr 2018 zum Einsatz freigegeben wurde, ist bislang nicht genau bekannt. Das Unternehmen hat die Software inzwischen jedoch mehrfach einem Update unterzogen. Es ist davon auszugehen, dass der Trojaner wesentlich mehr Programme überwachen kann, als die BKA-Eigenentwicklung.

Das BKA hat indes eine Erweiterung der Spähsoftware (RCIS 2.0) erarbeitet, mit der auch Messengerdienste auf Smartphones überwacht werden können. Das geht aus einem vertraulichen Bericht des Bundesinnenministeriums, den netzpolitik.org vor einigen Jahren veröffentlicht hat.

„Für den Erhalt der Zukunftsfähigkeit von Quellen-TKÜ ist es erforderlich, die Einsatzmöglichkeit der eigenentwickelten Software technisch zu erweitern und auf mobile Plattformen (z. B. Android, Blackberry, Apple iOS) auszudehnen. Das BKA hierzu hat im 3. Quartal 2016 die Weiterentwicklung der „RCIS“ zur Version 2.0 begonnen. Diese soll nach aktueller Planung in 2017 abgeschlossen werden (einschließlich Softwareprüfung und betrieblicher Freigabe).“ – Bericht zur Nr. 10 des Beschlusses des Haushaltsausschusses des Deutschen Bundestages zu TOP 20 der 74. Sitzung am 10. November 2011, 02. Mai 2017 

Wird der Staat mit dem „Staatstrojaner“ zum Hacker?

Es gibt mehrere Möglichkeiten heimlich Spionagesoftware auf ein Zielgerät aufzuspielen und einzusetzen. Etwa durch die Ausnutzung von Schwachstellen im Programmiercode der Software. Diese Sicherheitslücken werden „Zero Day Exploits“ genannt. Sowohl Cyberkriminelle als auch Geheimdienste setzen solche Software-Schwachstellen gerne für Hackerangriffe ein. Das Wissen um diese Lücken wird daher oft für hohe Summen auf dem Schwarzmarkt gehandelt. Es gilt als höchst umstritten, ob staatliche Stellen, wie Geheimdienste oder Polizeibehörden dort ebenfalls einkaufen sollten.

Der Präsident des BKA, Holger Münch, sagte jüngst dazu in einem Interview, er setzte sich dafür ein, dass eben nicht unter Ausnutzung von Software-Schwachstellen Zielgeräte von der Polizei gehackt werden müssen – sondern, dass dies durch die Anbieter ermöglicht wird.

„Die Anbieter von elektronischen Kommunikationsdiensten sollten dazu verpflichtet werden, im richterlich angeordneten Einzelfall den Sicherheitsbehörden Kommunikationsinhalte vollständig und unverschlüsselt bereitzustellen“, so Münch. „Diese Pflicht sollte auch für Anbieter gelten, die ihren Sitz im Ausland haben und ihre Dienste in Deutschland anbieten. Der Vorteil: wir müssten nicht mögliche Sicherheitslücken der Anbieter nutzen, um durch die „Hintertür“ zu überwachen, sondern setzen auf die Mitwirkung der Anbieter von Telekommunikationsdiensten. Das Bundeskriminalamt schlägt daher eine so genannte „Frontdoor“ für die Überwachung von Messengerdiensten vor, die genauso sicher gestaltet werden kann, wie wir es bereits seit vielen Jahren bei der klassischen Telekommunikationsüberwachung kennen.“

Ohne die Sicherheitslücken und ohne Mitwirkung von Providern dürfte es tatsächlich schwierig werden, Überwachungsprogramme unbemerkt auf einem Smartphone oder Laptop zu installieren. Ein weiteres Problem: Es gibt inzwischen zahlreiche Chatprogramme auf dem Markt, und die Liste der Angebote wird in den kommenden Jahren wohl noch länger werden. Einen staatlichen Trojaner zu programmieren, der jede neue Software, jede Version und jedes Update beherrscht, gilt als nahezu unmöglich. Gelöst werden soll das Problem mit “Modulen”, mit denen der Trojaner individuell nachgerüstet werden soll.

Denkbar ist allerdings auch, dass der Bundestrojaner in seinen weiteren Entwicklungsstadien möglicherweise gar nicht auf einzelne Programme spezifisch zugeschnitten ist. Die Überwachung könnte auch anders stattfinden: Etwa über sogenannte Keylogger, die jeden Tastenbefehl mitschneidet und protokolliert. Oder über Screengrabber, die den Bildschirm des Smartphones heimlich fotografieren oder filmen. Ob solche Maßnahmen datenschutz- und verfassungsrechtlich einwandfrei möglich sind, wird sich wohl erst zeigen, wenn der Trojaner-Einsatz einmal vor Gericht verhandelt wird.

Kommentar verfassen

Bitte logge dich mit einer dieser Methoden ein, um deinen Kommentar zu veröffentlichen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.