Das Bundeskriminalamt (BKA) erwarb kürzlich die Überwachungs-Software “FinFisher” der Firma Eleman/Gamma. Diese soll – als Ersatz für die nach der Analyse durch den Chaos Computer Club (CCC) unbrauchbar gewordene Software der Firma DigiTask – als neuer Staatstrojaner eingesetzt werden, da die Entwicklung einer eigenen Software bisher erfolglos verlief.
Schon seit rund einem Jahr ist bekannt, dass deustche Behörden “FinFisher” auf eine Eignung für Staatstrojaner-Einsätze hin testeten ( gulli:News berichtete ). Nun wurden dem Blog “Netzpolitik” nach eigenen Angaben Beweise dafür zugespielt, dass das BKA die Software mittlerweile angekauft hat und für einen produktiven Einsatz bereit hält. Netzpolitik veröffentlichte ein “geheimes Dokument des Innenministeriums”, das auf den Ankauf von FinFisher Bezug nimmt.
“ Heute tagt im Bundestag der Haushaltsausschuss . Als Tagesordnungspunkt 13 steht dort die ‘Jährliche Unterrichtung des Haushaltsausschusses des Deutschen Bundestages über die Arbeit des Kompetenzzentrums Informationstechnische Überwachung (CC ITÜ) im Bundeskriminalamt (BKA)’ auf dem Programm . Dort wird ein Dokument mit der ‘Ausschussdrucksache 17(8)5867′ behandelt, dass unter der Geheimhaltungsstufe ‘VS – Nur für den Dienstgebrauch’ steht,” berichtet Netzpolitik. Dabei handelt es sich um die niedrigste in Deutschland übliche Geheimhaltungsstufe.
Netzpolitik wurde die fragliche Ausschussdrucksache scheinbar von einem unbekannten Informanten zugespielt. Das Blog veröffentlichte das eingescannte Original-Dokument sowie eine OCR-Version des Textes .
Das Dokument berichtet über den Stand der Dinge beim Aufbau des “Kompetenzzentrums Informationstechnische Überwachung” (CC ITÜ) beim BKA. Mit dessen Aufbau wurde im November 2011 begonnen, da das Bundesverfassungsgericht die Regierung, nachdem massive Mängel bei der kommerziellen Überwachungs-Software von DigiTask festgestellt wurden, verpflichtete, derartige Software künftig von eigenen Experten entwickeln zu lassen. So soll sichergestellt werden, dass die Software bestimmte Qualitätsstandards einhält und insbesondere keine verfassungswidrigen Features umfasst.
Die Entwicklung der Software geht jedoch offenbar nur sehr schleppend voran. Vor rund einem Monat teilte die Bundesregierung auf eine kleine Anfrage der SPD-Fraktion hin mit, dass wohl erst Ende 2014 mit der Fertigstellung des ersten eigenen Staatstrojaners zu rechnen sei ( gulli:News berichtete ).
Aus diesem Grund setzt die Bundesregierung nun auf eine Übergangslösung. Unter Punkt 2.3 “ Auswahl einer kommerziellen Quellen-TKÜ-Lösung für die Übergangszeit ” heißt es, man habe das BKA “ mit einer Marktsichtung von kommerziellen Quellen-TKÜ-Lösungen beauftragt, die für die Durchführung von Maßnahmen für den Zeitraum bis zur Bereitstellung der BKA-Eigenentwicklung ereignet erscheinen. Dabei wurden drei Produkte als grundsätzlich geeignet bewertet. ” Offenbar wurden also neben FinFisher noch weitere Produkte der Überwachungsindustrie getestet. Letztendlich entschied man sich jedoch für den Ankauf der Gamma-Software: “ Das BKA hat, für den Fall eines erforderlichen Einsatzes ein kommerzielles Produkt der Firma Eleman/Gamma beschafft, ” heißt es in dem Dokument.
Die Prüfung des Quellcodes von FinFisher, zu der das BKA laut Bundesverfassungsgericht verpflichtet ist, wurde “ an ein vom BSI akkreditiertes Prüflabor (CSC Deutschland Solutions GmbH) vergeben “.
Netzpolitik ist skeptisch, was die Grundrechts-Konformität der Software angeht: “ Neben der grundsätzlichen Kritik ist fragwürdig, ob die für den internationalen Markt entwickelte Software überhaupt die Vorgaben des Bundesverfassungsgericht zum Einsatz von Staatstrojanern erfüllen kann. Eine Gesetzesverletzung des DigiTask-Trojaners war die Fähigkeit, einen einmal installierten Trojaner zu updaten und weitere Funktion nachzuladen. Bisherige Analysen zeigen, dass auch die FinFisher/FinSpy-Suite aus einem Basismodul besteht, das ‘Funktionsmodule” (etwa: Skype überwachen) nachladen kann. ” Das Blog zitiert einen mit der Software vertrauten Techniker mit den Worten: “Beschränkungen, welche Module nachgeladen werden (können) habe ich genauso wenig gesehen wie Überprüfungen von Signaturen von nachgeladenen Modulen.” CCC-Sprecher Frank Rieger sagte gegenüber Netzpolitik: “ Das BKA hat sich mit dem Ankauf von Gamma FinFisher für einen Anbieter entschieden, der zum Symbol des Einsatzes von Überwachungstechnik in Unterdrückungsregimen weltweit geworden ist. FinFisher besteht zudem aus verschiedenen Komponenten, die bei Bedarf nachgeladen werden können. So lassen sich im Zweifel auch Spitzel-Funktionen installieren, die weit über die an sich schon fragwürdige ‘Quellen-TKÜ’ hinausgehen. ” Unter Quellen-TKÜ wird die Überwachung von Telekommunikation, insbesondere VoIP-Gesprächen, direkt auf dem Rechner des Verdächtigen mit Hilfe eines Trojaners verstanden. So soll eine bei der Übertragung greifende Verschlüsselung umgangen werden.
Unklar ist, ob FinFisher vom BKA bereits eingesetzt wurde.
Quelle: gulli board