Digitask-Trojaner unkontrollierbar

Im Herbst 2011 wurde durch Veröffentlichungen des Chaos Computer Clubs (CCC) der großzügige Einsatz von Trojanern durch Bundes- und Landesbehörden bekannt. Der CCC stellte u.a. fest, dass das von der Firma Digitask entwickelte Programm längst nicht nur die Quellen-Telekommunikationsüberwachung – etwa das Abhören von Skype-Gesprächen– erlaube, sondern durch eine Nachladefunktion auch Online-Durchsuchungen ermöglichen könnte. Eine Kontrolle durch den Bundesdatenschutzbeauftragten (BfDI) war angesagt. Diese wurde zu einem Lehrstück über die Möglichkeiten, die dem Datenschutz bleiben, wenn Sicherheitstechnik und entsprechendes Know how outgesourct werden.

In einem ersten Bericht an den Innenausschuss des Bundestages vom Januar 2012 machte BfDI Peter Schaar deutlich, dass nur durch die Überprüfung des Quellcodes der Software sichergestellt werden könne, dass in dem Programm keine verborgenen Funktionalitäten vorhanden seien.[1] Dieser habe aber auch dem Bundeskriminalamt (BKA) und dem Zollkriminalamt „zu keinem Zeitpunkt“ vorgelegen, weswegen die beiden Behörden auch nicht in der Lage gewesen seien, die Funktionalitäten der von ihnen eingesetzten Software zu beurteilen. Selbst die Programmdokumentation sei unzureichend gewesen. Das BKA und das Unternehmen Digitask, das in den letzten Jahren von der Bundesregierung Aufträge für Software und Lizenzen plus Beratung und Betreuung in Millionenhöhe bekommen hat, sicherten nun zwar zu, dass der Quellcode eingesehen werden könne – allerdings nur in den Räumen der Firma. Schaar hielt diese Lösung wegen des notwendigen Kontrollaufwands zwar für problematisch, willigte aber dennoch ein, „gleichwohl von der angebotenen Möglichkeit … Gebrauch zu machen.“

Aus dem für August 2012 angekündigten ergänzenden Bericht wurde ein bloßes Schreiben an den Vorsitzenden des Innenausschusses.[2] Schaar macht darin erneut klar, dass der Zugang zum Quellcode für eine Kontrolle unbedingt gewährleistet sein muss – und muss im selben Atemzug feststellen, dass ihm die zugesagte Überprüfung nicht möglich war: Digitask bestand nämlich gegenüber dem BfDI auf einer Geheimhaltungsvereinbarung und der Zahlung von 1.200 Euro pro Tag und Mitarbeiter (zuzüglich Mehrwertsteuer). Das BKA lehnte eine Kostenübernahme auch in einer anteiligen Variante ab. Der BfDI verzichtete daraufhin auf die Wahrnehmung seiner gesetzlichen Pflichten zu ungesetzlichen Bedingungen. Nicht nur wegen der Kosten, vollkommen untragbar sei die geforderte Geheimhaltungsverpflichtung.

Fragen nach dem Einsatz dieser und ähnlicher Software ohne Kenntnis des Quellcodes beantwortet auch das Bundesministerium des Innern (BMI) mit Geheimhaltung: Diese Fragen zielten nämlich auf „Auskünfte zu Sachverhalten ab, die aufgrund der Folgen, die bei ihrer Veröffentlichung zu erwarten sind, als geheimhaltungsbedürftige Tatsachen im Sinne des Sicherheitsüberprüfungsgesetzes“ eingestuft seien. „Die Kenntnisnahme von den Einzelheiten zu den technischen Fähigkeiten des Bundeskriminalamtes könnte sich nach der Veröffentlichung der Antwort … nachteilig für die Interessen der Bundesrepublik Deutschland auswirken.“[3] Was dem einen seine Geschäftsinteressen, sind dem Andern die Beeinträchtigung und Gefährdung der Sicherheit.

(Albrecht Maurer)

[1]      BfDI: Bericht gemäß § 26 Abs. 2 Bundesdatenschutzgesetz über Maßnahmen der Quellen-Telekommunikationsüberwachung durch die Sicherheitsbehörden des Bundes v. 31.1.2012, www.ccc.de/system/uploads/103/original/Schaar-Bericht.pdf
[2]     BfDI: Schreiben an den BT-Innenausschuss v. 14.8.2012, www.ccc.de/system/uploads/
122/original/Schaar-Staatstrojaner.pdf
[3]     BT-Drs. 17/10968 v. 28.9.2012