Das Bundeskriminalamt (BKA) hat offenbar Überwachungssoftware der Firma Elaman/Gamma (Finfisher/Finspy) angeschafft, wie aus einem vertraulichen Schreiben (PDF-Datei) an den Haushaltsausschuss des Deutschen Bundestags hervorgeht, das vom Blog Netzpolitik.org veröffentlicht wurde.
Damit soll die Zeit überbrückt werden, bis die eigenentwickelte Software zur Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) zur Verfügung steht – womit aber nicht vor Ende 2014 gerechnet wird.
Bei der Quellen-TKÜ soll Internet-Telefonie abgehört werden, in dem durch einen Trojaner die Gespräche vor der Verschlüsselung beim Sender beziehungsweise nach der Entschlüsselung beim Emnpfänger mitgeschnitten werden. Kritiker wie der Bundesdatenschutzbeauftragte Peter Schaar bemängeln, dass die Grenzen zur heimlichen Online-Überwachung fließend sind und die Software technisch nicht ausschließen könne, dass über die Quellen-TKÜ hinaus in den absolut gestützten privaten Kernbereich eindringe.
In dem Schreiben werden nun die zusätzlichen Finanzmittel erläutert, die das Bundeskriminalamt bekommt, damit eine eigene Software zur Quellen-TKÜ entwickelt werden kann. Für diese Aufgabe sind 30 Planstellen bewilligt worden, denen im Rahmen des „Strategie- und Forschungszentrums Telekommunikation“ (SFZ TK) weitere Experten der Bundesländer zuarbeiten sollen. Das SFZ TK soll außerdem die Aufgabe übernehmen, „grundrechtsschonende Alternativen zur Quellen-TKÜ“ national wie international zu suchen und auf Einsatztauglichkeit zu prüfen.
Bis die nach dem V-Modell XT Bund zu entwickelnde Quellen-TKÜ-Software fertiggestellt ist, hat das BKA Software von Elaman/Gamma angeschafft. Obwohl das Dokument keine Namen nennt, dürfte es sich beim Produkt der umstrittenen Firma Gamma um die Software-Suite Finfisher handeln.
Weil die 30 Planstellen im BKA mit der Eigenentwicklung der Quellen-TKÜ beschäftigt sind und weder das Bundesamt für Sicherheit in der Informationtechnik (BSI) noch der Bundesdatenschutzbeauftragte (BfDI) über entsprechende Expertise verfügt, wurde die Firma CSC Deutschland mit der Prüfung des Quellcodes beauftragt. Diese Prüfung, deren Ergebnis unter die Geheimhaltung fällt, wurde als sogenannte „Typmusterprüfung“ durchgeführt. Sollten später noch leichte Änderungen in der Überwachungssoftware notwendig werden, so soll es in Zukunft ausreichen, lediglich diese Änderungen durch Einblick in die Protokolle und die Programmdokumentation zu prüfen.
Zur Durchführung einer Überwachung per Quellen-TKÜ soll das BKA zudem in einem weiteren Schritt die Kriterien für einen Qualitätssicherungsprozess (QSP) aufstellen. Darin sollen alle Arbeitsschritte beschrieben werden, die von einer Software alleine nicht dokumentiert werden können. Die Bundesländer haben sich dem Vernehmen nach bereits darauf geeinigt, diesen QSP bei ihrer Durchführung von Quellen-TKÜ-Maßnahmen zu befolgen. (Detlef Borchers) / (axk)