Bürger zahlen alles: BSI programmierte und arbeitete aktiv am #Staatstrojaner

Bürger zahlen alles: Geheime Kommunikation: BSI programmierte und arbeitete aktiv am #Staatstrojaner, streitet aber Zusammenarbeit ab

von Andre Meister am 16. März 2015, 15:40 in Überwachung / 27 Kommentare

Enthält auch Quellcode vom BSI: Staatstrojaner. Bild: mellowbox. Lizenz: Creative Commons BY-SA 2.0.

Das Bundesamt für Sicherheit in der Informationstechnik hat das BKA bei der Programmierung des Staatstrojaners unterstützt und Quellcode beigesteuert. Das geht aus geheimer interner Kommunikation zwischen Innenministerium und BSI hervor, die wir veröffentlichen. Gleichzeitig hat die „Sicherheits“-Behörde öffentlich jede Zusammenarbeit abgestritten und Informationen der Öffentlichkeit vorenthalten. Abgeordnete fordern jetzt Konsequenzen, vor allem eine Unabhängigkeit der BSI von Regierung und Innenministerium.

Sicheren Einsatz von IT ermöglichen“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist in Deutschland für IT-Sicherheit zuständig und richtet sich dabei an Verwaltung, Unternehmen und Bürger. Im Gegensatz zur amerikanischen NSA ist das BSI dabei nur für defensive Sicherheit zuständig – zumindest ist man sehr bemüht, dieses Image in der Öffentlichkeit zu pflegen.

Eine weiße Weste hat das BSI jedoch nicht: Einerseits war ihre Vorgängerbehörde „Zentralstelle für das Chiffrierwesen“ eine geheime Dienststelle des BND, andererseits ist das BSI bis heute dem Innenministerium unterstellt. Das Ministerium, das für die „innere Sicherheit“ und damit für Bundeskriminalamt und Bundesverfassungsschutz zuständig ist, erteilt gleichzeitig Weisungen an die Behörde für IT-Sicherheit. Das führt zwangsläufig zu Interessenskonflikten, die wir bereits öfters thematisiert haben.

Trojaner? Ausschließlich Abwehr.“

Deutlich wird diese doppelte Rolle unter anderem beim Staatstrojaner (auch Online-Durchsuchung oder „Remote Forensic Software“ RFS). Einerseits soll das BSI Bürger und Staat vor Schadsoftware schützen, andererseits will der Staat Schadsoftware gegen Bürger einsetzen – und das BSI hat Kompetenzen in diesem Bereich. Bisher war das BSI peinlich darauf bedacht, damit nicht in Verbindung gebracht zu werden. Auf einen Telepolis-Artikel, in dem das BSI noch nicht einmal namentlich erwähnt wird, reagierte die Behörde mit ihrer einzigen Pressemitteilung zum Thema:

Weder das BSI noch seine Empfehlungen und Produkte, wie zum Beispiel SINA, stehen in Verbindung mit Online-Durchsuchungen. […]

Das BSI beschäftigt sich mit Trojanern bzw. Trojanischen Pferden und deren Vorgehensweise ausschließlich mit dem Ziel, solche Angriffe abzuwehren.

Interne Kommunikation beweist das Gegenteil

Sitz des BSI in Bonn. Bild: Qualle. Lizenz: Creative Commons BY-SA 3.0.

Wir haben jetzt interne Kommunikation zwischen BSI und Innenministerium erhalten, die das Gegenteil beweist. Die „Nur für den Dienstgebrauch“ eingestuften Schreiben aus den Jahren 2007 bis 2009 enthalten die Diskussionen zwischen Innenpolitik und IT-Sicherheitsbehörde über das damals neue und kontrovers diskutierte Instrument.

Im Februar 2008 fällte das Bundesverfassungsgericht sein Grundsatzurteil zum Thema, in dem es erstmalig das neue Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme etablierte.

Vorher wurde dem BSI per ministeriellem Erlass ein „Zusammenarbeitsverbot“ zum Staatstrojaner verordnet. Nach dem Urteil wurde das Verbot aufgehoben beziehungsweise ins Gegenteil verkehrt: Das BSI sollte das BKA bei der Software-Entwicklung „in vollem Umfang unterstützen“. Das BSI tat wie geheißen, lieferte Quellcode und analysierte Software und Server.

Vertrauen in Mitleidenschaft gezogen“

Gleichzeitig war man sich des Risikos der Kooperation durchaus bewusst. Um das „Vertrauen der Öffentlichkeit in die Leistungen des BSI nicht zu beeinträchtigen“, wollte man „ein negatives Bild in Öffentlichkeit und Fachkreisen verhindern“. Schon damals sah man „das Vertrauen in BSI-Produkte (z. B. Sicherheits-CDs), aber auch in die Integrität von BSI-Mitarbeitern […] bereits in Mitleidenschaft gezogen“.

Um weitere schlechte Publicity zu verhindern, sollte „in der Öffentlichkeit weiterhin dargestellt werden […], dass [das] BSI das BKA nicht bei der Durchführung von Online-Durchsuchungen unterstützt“. Dazu sollte „eine reaktive Sprachregelung für Art und Umfang der Mitwirkung des BSI“ entwickelt werden.

Schon damals hatte „die Diskussion um die Online-Durchsuchungin einem Fall zum Zurückhalten von Informationen geführt: Das BSI hat bis heute den sogenannten Trojaner-Leitfaden […] nicht der Allgemeinheit zugänglich gemacht.“

CCC: „Längst verlorene Glaubwürdigkeit wieder herstellen“

Linus Neumann, Mitblogger und Sprecher des Chaos Computer Clubs, kommentiert gegenüber netzpolitik.org:

Das BSI arbeitet hier – wieder einmal – gegen die Sicherheit der Bürger und Bürgerinnen. Doch damit nicht genug: Es beteiligt sich an potenziell grundgesetzwidrigen Aktivitäten, denn alle bisher bekannten Staatstrojaner sind mit dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme nicht vereinbar.

Das BSI untersteht dem Innenministerium und ist daher einem konstanten Interessenkonflikt ausgesetzt: Effektiver Schutz der informationsverarbeitenden Systeme wird immer wieder den Überwachungszielen der Geheimdienste und Strafverfolgungsbehörden untergeordnet. Nur eine Aufstellung des BSI als unabhängige Behörde könnte die längst verlorene Glaubwürdigkeit wieder herstellen.

Linke: „Sehr ernster Vorgang, der Konsequenzen haben muss“

Jan Korte, stellvertretender Fraktionsvorsitzender der Linken im Bundestag, kommentiert gegenüber netzpolitik.org:

Die Bundesregierung muss schnellstmöglich für Aufklärung sorgen. Sollte sich bestätigen, dass gerade das BSI, welches sich ja stets nach außen als treuer Helfer der Bürger bei IT-Sicherheitsproblemen aller Art ausgibt, auch bei der Entwicklung des Staatstrojaners mitgemischt hat, dann wäre das ein sehr ernster Vorgang, der Konsequenzen haben müsste. Wir wissen zwar seit Snowden, dass das BSI ein „Schlüsselpartner“ der NSA ist, aber über die Zusammenarbeit mit den hiesigen Sicherheitsbehörden hüllt sich das Amt weitestgehend in Schweigen. Wir wissen z.B. viel zu wenig, was das BSI zusammen mit dem BKA und den Geheimdiensten im „Kompetenzzentrum Informationstechnische Überwachung“ treibt.

Wenn das Vertrauen der Bürger nicht vollends zerstört werden soll, muss jetzt endlich reiner Tisch gemacht werden. Als das BSI vor zwei Jahren vor dem Trojaner „DNS-Changer“ warnte, glaubten Bürgerinnen und Bürger, dass man beim Besuch der eigens von BSI, Telekom und BKA eingerichteten Test-Webseite registriert und mit einem Staatstrojaner infiziert würde. Das ist kein Zustand für eine Behörde, die sich selbst als „nationale Informationssicherheitsbehörde“ bezeichnet.

Wir brauchen eine transparente Diskussion über die künftige Rolle des BSI und seine Aufgaben. Aus meiner Sicht muss die Behörde aus dem Bundesinnenministerium herausgelöst und tatsächlich zu einem Dienstleister zum Schutz der Privatsphäre umgewandelt werden.

Grüne: „Verspielt die Glaubwürdigkeit des Amtes endgültig“

Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen im Bundestag, kommentiert gegenüber netzpolitik.org:

Der Vorgang belegt einmal mehr: Das dem Innenministerium unterstellte BSI ist zerrissen zwischen der Aufgabe, den Schutz unserer digitaler Infrastrukturen zu sichern, und Wünschen von Seiten des Ministeriums, die das Ziel verfolgen, genau diesen zu untergraben. Als Diener der Sicherheitsinteressen des Innenministeriums kann das BSI jedoch nur sehr bedingt seiner Aufgabe nachkommen, den Schutz digitaler Infrastrukturen und privater Kommunikation zu gewährleisten.

Dass die Große Koalition, um die eigenen Überwachungspläne umzusetzen, mehr und mehr auch das Bundesamt in Mithaftung nimmt, ist eine gefährliche Entwicklung. Die heikle Situation für das Bundesamt ist offenkundig. Dass man dennoch versucht, die eigene schwierige Lage gegenüber der Öffentlichkeit zu verstecken, ist befremdlich und peinlich. Das BSI muss zumindest in Teilen seines breiten Aufgabenkranzes die vollständige Unabhängigkeit von Bundesregierung und Bundesinnenministerium erhalten, sonst verspielt die Große Koalition die Glaubwürdigkeit des Amtes endgültig.

SPD: „Unabhängigkeit ist zentrale Grundlage und Voraussetzung“

Lars Klingbeil, netzpolitischer Sprecher der SPD-Bundestagsfraktion, kommentiert gegenüber netzpolitik.org:

Das Beispiel zeigt, in welchem Interessenkonflikt sich das BSI befindet. Zwar ist es nach geltendem Recht die Aufgabe des BSI, Behörden bei der Erfüllung ihrer Aufgaben zu unterstützen. Auf der anderen Seite soll das BSI ein unabhängiger und Ansprechpartner sein für Bürgerinnen und Bürger und für die Wirtschaft und es soll mit dem IT-Sicherheitsgesetz zahlreiche neue Aufgaben zum Schutz der IT-Sicherheit zugewiesen bekommen.

Aus meiner Sicht kann das nur gehen, wenn man das BSI hierfür als unabhängige Bundesbehörde aus dem Geschäftsbereich des Innenministeriums herauslöst, vergleichbar etwa der neuen Rechtsstellung der Bundesbeauftragten für Datenschutz und Informationsfreiheit als unabhängige oberste Bundesbehörde. Einzig die für öffentliche Stellen und Behörden zuständigen Bereiche des BSI sollten dann beim BMI verbleiben.

Die Unabhängigkeit des BSI ist aus meiner Sicht eine zentrale Grundlage und Voraussetzung, wenn das BSI diese neuen Aufgaben erfüllen und das Vertrauen von Bürgerinnen und Bürgern und von Unternehmen behalten will.

Burkhard Lischka, Sprecher der SPD im Innenausschuss, kommentiert gegenüber netzpolitik.org:

Herrn Lischka ist das Dokument nicht bekannt, daher kann er sich hierzu leider nicht äußern.

Stephan Mayer, Sprecher der CDU/CSU im Innenausschuss, hat auf unsere wiederholte Anfrage leider nicht reagiert.

BSI: „IT-sicherheitliche Korrektheit der Software gewährleisten“

Die Pressestelle des BSI kommentierte am Freitag gegenüber netzpolitik.org:

Das Bundesinnenministerium hatte [nach dem BVerfG-Urteil] das BSI beauftragt, im Rahmen seiner gesetzlichen Aufgaben das BKA bei den für die Erstellung der RFS erforderlichen IT-Sicherheitsüberlegungen, wie die Eignung grundsätzlicher Sicherheitsmechanismen, Kryptoalgorithmen und Protokolle, zu unterstützen, um so die notwendige IT-sicherheitliche Korrektheit der Software gewährleisten zu können.

Entsprechend seiner Ausrichtung als präventive IT-Sicherheitsbehörde wirkt das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu keiner Zeit am operativen Einsatz so genannter Staatstrojaner-Software, bzw. Remote Forensic Software mit.

Das dürfte die besagte Sprachregelung sein.

Auf unsere explizite Nachfrage, wie diese Unterstützung konkret aussah und ob das BSI auch Quellcode geliefert hat, haben wir ebenfalls noch keine Antwort erhalten.

Wir haben alle Dokumente auch per Informationsfreiheitsgesetz auf FragDenStaat.de angefragt. Hier Auszüge der Dokumente im Einzelnen, in chronologischer Reihenfolge:

weiterlesen:

https://netzpolitik.org/2015/geheime-kommunikation-bsi-programmierte-und-arbeitete-aktiv-am-staatstrojaner-streitet-aber-zusammenarbeit-ab/

via spynet

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s