Prüfbericht zu Staatstrojaner: BKA und Datenschutzbeauftragter malen schwarz

Neben kommerziellen Staatstrojanern wie Finfisher und Pegasus setzt das Bundeskriminalamt (BKA) auch auf eine Eigenentwicklung. Dieser Remote Communication Interception Software (RCIS) genannte BKA-Trojaner wurden mehrfach von den Behörden geprüft. Das Blog Netzpolitik.org hat den geschwärzten Prüfbericht des Bundesdatenschutzbeauftragten Ulrich Kelber veröffentlicht.

Den zehnseitigen Prüfbericht aus dem Jahr 2020 hat Netzpolitik.org durch eine Informationsfreiheitsanfrage beim Bundesdatenschutzbeauftragten erhalten - in Absprache mit dem BKA allerdings stark geschwärzt. Denn eine vollständige Veröffentlichung des als geheim eingestuften Papieres könnte "die Sicherheit der Bundesrepublik Deutschland gefährde[n]", heißt es als Begründung zu den umfangreichen Schwärzungen. Der komplette Bericht soll erst im Jahr 2080 veröffentlicht werden.

Der Trojaner wurde für die sogenannte Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) entwickelt, bei welcher der Trojanereinsatz rechtlich auf das Abfangen der aktuellen Telekommunikation auf dem Endgerät beschränkt wird. Damit sollen vornehmlich verschlüsselte Telefonate oder Messenger-Nachrichten vor der Verschlüsselung beziehungsweise nach der Entschlüsselung erfasst werden. Eine solche "Software zur Quellen-TKÜ ist strukturell in grundrechtlicher Hinsicht besonders eingriffsintensiv", konstatiert der Bundesdatenschutzbeauftragte in seinem Bericht.

Datenschutzrechtliche Aspekte geprüft

Ein besonderes Augenmerk sei bei der Prüfung darauf gerichtet gewesen, ob die Software über die reine Quellen-TKÜ hinausgehende Funktionalitäten aufweise und die gesetzlich vorgeschriebenen technischen Sicherungen einhalte, heißt es in dem Bericht (PDF). "Der Nachweis, ob eine Software nicht geforderte bzw. über das Zulässige hinausgehende Funktionen aufweist, ist allerdings praktisch kaum zu führen", konstatiert der Bundesdatenschutzbeauftragte. Eine Kontrolle könne insofern immer nur eine Annäherung und Stichprobe sein.

Geprüft wurden ohnehin nur datenschutzrechtlichen Aspekte. So hatte der Datenschutzbeauftragte mehrere Testfälle generiert, die er mit dem BKA durchexerzierte und auf die Einhaltung der rechtlichen Anforderungen überprüfte. Dabei ging er der Frage nach, "ob sich die technische Funktionalität von der abstrakten Anforderungsebene bis zur Realisierung transparent nachvollziehen und prüfen lässt."

Getestet wurde beispielsweise, ob die Software nach dem Einsatz "sauber" von Zielsystem gelöscht wird oder ob die Überwachung mit dem Beenden der Telekommunikation abgebrochen wird. Zudem ließ sich der Datenschutzbeauftragte ausschnittsweise den Quellcode der Software zeigen. Diese entsprachen laut Prüfbericht den datenschutzrechtlichen Anforderungen. Die Unterpunkte zu einer externen Prüfung und zum Echtzeitbetrieb sind komplett geschwärzt.

Weitergehende Probleme nicht geprüft

Weitergehende Probleme, beispielsweise wie der Staatstrojaner auf die Geräte der Betroffenen gelangt, wurden nicht untersucht. Dabei ist der Umgang mit Sicherheitslücken, neben dem massiven Eingriff in die Grundrechte der Betroffenen und der schwierigen Kontrollierbarkeit der Trojaner-Software, eine der zentralen Kritikpunkte.

Denn das Zurückhalten sogenannter Zero Days ist nicht ungefährlich: Werden die Sicherheitslücken nicht unverzüglich an den Hersteller der Software gemeldet und geschlossen, gefährden sie die IT-Sicherheit für alle. Eindrucksvolles Beispiel ist die Schadsoftware Wannacry, die Millionen Rechner und Firmen lahmlegte. Dafür nutzte sie eine von der NSA gehortete Sicherheitslücke.

Den Einsatz von Sicherheitslücken problematisierte Kelber auch in öffentlichen Stellungnahmen. Zudem kritisierte er die Ausweitung des Staatstrojanereinsatzes auf die Geheimdienste als eine Gefahr für die Demokratie.

"Effektive Kontrolle findet augenscheinlich nicht statt"

Sicherheitsforscher und CCC-Mitglied Thorsten Schröder hat bereits mehrere Staatstrojaner für den Chaos Computer Club (CCC) analysiert. Den Bericht des Datenschutzbeauftragten bezeichnet er als enttäuschend. "Die Datenschutzbehörde untersucht einen kleinen Teil relevanter Fragen in einem Ausschnitt des Staatstrojaners, und die Öffentlichkeit darf lediglich Auszüge des Befunds lesen", sagte Schröder zu Netzpolitik.org. "Das Ergebnis von vier Jahren Arbeit sind zehn Seiten weitreichend geschwärztes Papier ohne Details. Eine effektive Kontrolle dieser hochsensiblen Schadsoftware findet augenscheinlich nicht statt."

"Innenminister und BKA haben immer wieder Behauptungen über Staatstrojaner aufgestellt, die sich bei genauerer Betrachtung als unwahr herausgestellt haben", betont der CCC-Sprecher Linus Neumann. Der CCC prüfe die vom BKA programmierte Software gerne.