Bild: Imago

Exklusiv: BKA-Mitarbeiter verrät, wie Staatshacker illegal Telegram knacken

Täglich chatten Millionen Nutzer mit dem angeblich besonders abhörsicheren Telegram. Unsere Recherchen zeigen, dass das BKA die App mit einer einfachen Software austricksen kann—und das auch schon dutzendfach getan hat.

|
Dez. 8 2016, 6:00am

Bild: Imago

Es ist der 24. April 2015, weit nach Mitternacht. Mitarbeiter des Bundeskriminalamtes (BKA) machen sich unweit der Spree in Berlin-Treptow an die Arbeit. Einer von ihnen ist der 28-jährige Michael K., der später detailliert berichten wird, was in dieser Nacht passiert ist. Seine Zeugenaussage wird zeigen: Was er und seine Behörde, bei der er als technischer Leiter angestellt ist, in dieser Nacht beginnen, wird zwar von der Generalbundesanwaltschaft gedeckt – doch es ist illegal.

Michael K.s Spezialgebiet ist die Telekommunikationsüberwachung. In dieser Nacht arbeitet er den Kollegen vom Referat ST 12 zu, zuständig für Ermittlungen zu politisch motivierter Kriminalität von rechts. Der Auftrag in dieser Aprilnacht: Die Telegram-Accounts von acht terrorverdächtigen Rechtsextremisten knacken, die über den Messenger über das Anzünden von Flüchtlingsheimen fantasieren.

Die klandestine Aktion ist akribisch vorbereitet. Nach wenigen Minuten sind die Ermittler in die Konten eingedrungen, noch vor dem Morgengrauen hat sich das Team an der Spree alle zurückliegenden privaten Nachrichten, Bilder und Videos aus den Gruppenchats der Verdächtigen kopiert. Was die Neonazis nicht wissen als sie an diesem sonnigen Frühlingstag aufwachen: Ab jetzt lesen die Ermittler auf Telegram mit. Nur zwölf Tage später setzt eine großangelegte, deutschlandweite Razzia mit vier Festnahmen ihren Plänen auf einen Schlag ein Ende.

So sieht das BKA-Überwachungsprotokoll aus | Nachbau aus der Prozessmitschrift | Bild: S. Lipp

Doch was in dieser Nacht von Samstag auf Sonntag in Berlin-Treptow geschieht, ist kein Einzelfall. Denn das BKA hat für den Angriff eigens eine Software geschrieben, mit der sich der Angriff gegen jede Telefonnummer wiederholen lässt. Wie Motherboard erfahren hat, ist genau das tatsächlich geschehen: Eingesetzt wird die Methode vom BKA offenbar seit knapp zwei Jahren. Allein im Jahr 2015 knackte Deutschlands höchste Ermittlungsbehörde auf diese Weise 32 Accounts.

Auch wenn der Telegram-Hack bereits im Innenausschuss des Bundestags thematisiert wurde, nachdem Motherboard im August erstmals über den Fall der Nazi-Gruppierung berichtete, deutet nichts darauf hin, dass der Einsatz der Methode beendet wurde. Nach unseren Informationen hat das BKA das Verfahren im laufenden Jahr schon in zwölf Fällen genutzt. Stets geht es dabei um gravierende Straftaten und brisante Verfahren. Die Vorwürfe gegen die Zielpersonen lauten: internationaler Terrorismus, Spionage oder Rechtsterrorismus.

"Ich befürchte, dass die BKA-Beamten sich hier tatsächlich strafbar gemacht haben könnten."

Doch durfte das BKA überhaupt, was es immer wieder tat? Einer ausführliche Analyse der technischen Details nach, die Motherboard heute ebenfalls veröffentlicht, sieht es ganz und gar nicht danach aus. Mehrere Experten sind sich sicher: Diese BKA-Hacks sind nicht durch geltendes Recht gedeckt – und alles, was staatliche Ermittler ohne gesetzliche Grundlage tun, ist nach deutschem Recht illegal.

Die Tricks des BKA besorgen inzwischen auch das politische Berlin. Nach einer kleinen Anfrage der Linken hat sich auch die Bundesregierung vor den Abgeordneten bereits äußern müssen. Martina Renner von der Linken kritisiert die Maßnahme von Deutschlands oberster Ermittlungsbehörde gegenüber Motherboard scharf: "Auch das BKA darf nur das machen, was erlaubt ist. Ich befürchte, dass die BKA-Beamten sich hier tatsächlich strafbar gemacht haben könnten."

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Auch der netzpolitische Experte der Grünen, Konstantin von Notz, äußert sich besorgt: „Hier tun sich bislang weitgehend unbeachtet gebliebene neue Risiken für Rechtsstaat und Grundrechtsschutz auf. Nicht alles, was technisch möglich ist, ist auch rechtlich erlaubt." Von Notz, der unter anderem auch im NSA-Untersuchungsausschuss sitzt, fordert angesichts der BKA-Aktion, dass "Bundeskriminalamt und Innenministerium nun in allen, gegenüber dem Bundestag bisher nur auf Nachfrage zahlenmäßig eingeräumten Fällen, rasch und konsequent für Aufklärung sorgen".

Dass wir heute von jener Aprilnacht berichten können, verdanken wir einer Fußnote in einem Schreiben eines hartnäckigen Anwalts, mit der unsere Recherche im Juli dieses Jahres begann. Wenige Wochen später kommt die Aktion von Michael K. und Kollegen erstmals in einem Münchener Gerichtssaal zur Sprache. Die technischen Details sind eigentlich nur ein Nebenaspekt in dem Terrorprozess, der inzwischen schon längst beendet sein sollte – doch was einst eine Randnotiz war, wird das Gericht noch bis ins nächste Jahr beschäftigen.

"Eine Kugel reicht nicht"

Die Zielpersonen, die Michael K. in jener April-Nacht ins Visier nimmt, sind Anhänger einer Gruppe, die sich "Oldschool Society" (OSS) nennt. Zunächst treffen sie sich auf Facebook, wo sie offen gegen Asylsuchende, Juden und Antifaschisten hetzen. Die Gruppe gibt sich nicht einmal Mühe, ihre Affinität zu Gewalt zu verschleiern: "Eine Kugel reicht nicht", heißt es auf einem Logo der OSS. Um zu kommunizieren, bilden sie eine Gruppe auf WhatsApp, in der sie ihrer neonazistischen Gesinnung freien Lauf lassen können, ohne von Facebook für ihre Äußerungen sanktioniert zu werden.

Das BKA wurde nicht von alleine auf die Gruppe aufmerksam, der erste Tipp kam vom Verfassungsschutz. Wie genau die Zusammenarbeit zwischen den involvierten Verfassungsschutzämtern und dem Bundeskriminalamt ablief, gehört noch zu den großen Unbekannten in dem Fall. Klar ist aber: Die Ermittlungen gegen die "Oldschool Society" haben nur dank des Verfassungsschutzes begonnen, doch am Ende sind es die drastischen Chats und SMS-Nachrichten, die das BKA per Überwachung abfängt, die zur Festnahme der Neonazis führen werden.

Der "Präsident" posiert mit Sturmgewehr | Bild: A.i.d.a.-Archiv | Verwendet mit freundlicher Genehmigung.

Schon nach kurzer Zeit verlässt die "Oldschool Society" WhatsApp und wechselt zum vermeintlich sicheren Telegram-Messenger. Was sie zu der Entscheidung getrieben hat, lässt sich bisher nicht rekonstruieren. Technisch bot Telegram Anfang 2015 als einer der wenigen großen Messenger mit einer Ende-Zu-Ende-Verschlüsselung, eine Möglichkeit besonders abhörsicher am Smartphone zu chatten. WhatsApp und viele andere Dienste führten dieses kryptographische Feature, das wohl auch die NSA nicht knacken kann, erst in diesem Jahr ein. Telegram gilt in der breiten Öffentlichkeit als besonders sicherer Chat-Dienst, den unter anderem auch der IS zuvor seinen Anhängern empfohlen hatte. Doch das Sicherheits-Image kann die Firma selbst nur bedingt halten, wie ein Blick auf diesen andere Fälle zeigt. Betroffen von der BKA-Maßnahme sind allerdings nur unverschlüsselte Chats – gegen die Ende-zu-Ende-Verschlüsselung haben die Beamten um Michael K. keine Chance, wie sie selbst in einem Schreiben eingestehen. Das Problem bei Telegram ist allerdings, dass früher nicht alle privaten Chats automatisch verschlüsselt wurden – und dass Gruppenchats, wie sie die OSS benutzt, nie kryptographisch gesichert sind. Bei Diensten wie Signal oder WhatsApp ist das anders.

Die Neonazis der Oldschool Society besprechen in ihrer Telegram-Gruppe den bewaffneten Kampf gegen Salafisten, Angriffe auf politische Gegner und Sprengstoffanschläge auf den Kölner Dom oder Einkaufszentren, "um das Ausländern und Salafisten in die Schuhe zu schieben" und damit eine ausländerfeindliche Stimmung anzuheizen. Die Führungsebene der Truppe trifft sich zusätzlich zum Chat in der "Hauptgruppe" im Kanal "OSS Geheimrat" und lenkt von dort aus die Geschicke der OSS. Dafür müssen sich aktuell Andreas H., Markus W., Denise G. und Olaf O. als Rädelsführer vor dem Oberlandesgericht (OLG) München verantworten.

Wie ans Licht kam, dass das BKA Telegram nachbaut

17 Monate nachdem in Borna, Bochum und Augsburg die Handschellen gegen die vier Verdächtigen klicken, reist der BKA-Informatiker Michael K. nach Bayern, um sich vor Gericht zu erklären. Der 8. Staatsschutzsenat am OLG München hat K. geladen, da er als technischer Leiter die Überwachung der Neonazis umsetzte. Seine Abteilung, das OE 23, ist Teil des sogenannten "Kompetenzzentrum für Informationstechnische Überwachung (CCITÜ)", das schon in der Vergangenheit für politischen Wirbel gesorgt hat. Das CCITÜ war zuvor mit der Entwicklung des sogenannten Bundestrojaner befasst, der bereits zum Ziel heftiger Kritik wurde. Nachdem im Jahr 2009 in einem Gerichtsverfahren bekannt wurde, dass das BKA wohl eine spezielle Überwachungssoftware eingesetzt haben könnte, entspann sich eine große Debatte, um den sogenannten Staatstrojaner, die dazu führte, dass der Einsatz vorerst gestoppt und wohl bis heute nicht wieder aufgenommen wurde.

Auch dieses Mal setzt das BKA eine selbst entwickelte Software ein – und auch dieses Mal ist der Einsatz umstritten. Das zeigen Details, die der Informatiker zum Vorgehen seiner Behörde vor Gericht verrät. Diesmal geht es um eine Software-Eigenproduktion des BKA, "die dem originalen Telegram sehr ähnlich ist", erläutert K. "Das Gerät, das wir einsetzen um die Nachrichten vom Server herunterzuladen, ist so gestaltet, dass es nicht möglich ist, eigene Nachrichten zu schreiben oder zu löschen oder zu verändern. Im Prinzip ein kleines Programm zum runterladen", erklärt Michael K. dem Vorsitzenden Richter in München. Der Staatshacker steht im Gerichtssaal vor einer schweren Aufgabe: Er soll den Juristen helfen, doch seine Behörde hat ihm ausdrücklich verboten, zu sehr ins Detail zu gehen. Er bewegt sich allerdings geschickt auf dem schmalen Grat zwischen Geheimnisverrat und seinem Willen, die Umstände der Überwachung aufzuklären.

Wie einfach das BKA-Programm zu schreiben ist, zeigt ein Blick auf die Programmierschnittstelle von Telegram. Alle Kommando-Eingaben stehen frei im Netz zur Verfügung. Eigentlich eine sinnvolle und gängige Praxis, denn so können unabhängige Sicherheitsexperten Schwachstellen ausmachen und Drittanbieter neue Anwendungen für Telegram programmieren.

Die Kommandos, die die BKA-Mitarbeiter in ihre Software einbauen müssen, sind oft nur eine Zeile lang. Das von der Behörde entwickelte Überwachungstool ist in diesem Fall deutlich weniger komplex, als es der Staatstrojaner war. Der Sicherheitsexperte Claudio Guarnieri, mit dem Motherboard den Angriff technisch Schritt für Schritt nachvollzogen hat, kommentiert trocken: "Wenn du die Kommandos von der Telegram-API kennst, dann brauchst du einen halben Tag, um eine solchen Software-Klon zu schreiben", so der Hacker. Guarnieri hat sich bereits in der Vergangenheit ausführlich mit Telegram beschäftigt und hat unter anderem zusammen mit seinem Kollegen Collin Anderson aufgedeckt, dass eine ähnliche Account Hijacking-Methode auch im Iran eingesetzt wurde.

Vor dem Hack steht das juristische Dilemma

BU: Der Code, mit dem der Angriff beginnt. Dieser Befehl fordert Telegram zum Versenden der Authentifizierungscodes auf, den die Ermittler dann abfangen. Screenshot: Telegram-Homepage

Anders als im Iran ist der Angriff gegen die Telegram-Accounts in Deutschland von der Strafprozessordnung gedeckt. Die Grundlage ist Paragraph 100a – jener Paragraph, der festlegt, was der Staat im Rahmen einer Telekommunikationsüberwachung (TKÜ) darf. Er spielt nun im Münchner Gerichtssaal eine zentrale Rolle. Zwar darf Paragraph 100a nur angewendet werden, wenn ein Richter zustimmt, doch der Beschluss dürfte für die Bundesanwaltschaft nicht schwer zu bekommen gewesen sein – schließlich ging es bei der "Oldschool Society" um den Vorwurf der Bildung einer rechtsterroristischen Vereinigung und einen schwerwiegenden Tatverdacht. Beides stützte sich auf Erkenntnisse, die der Verfassungsschutz aus der Gruppe beschaffte.

Im Fall der OSS kommt die Erlaubnis vom Ermittlungsrichter am Bundesgerichtshof, dem obersten deutschen Gericht in Sachen Strafverfahren – weniger als 24 Stunden bevor Michael K. und seine Kollegen zur Tat schreiten. Doch dank der Zeugenaussagen im Münchner Gerichtssaal wissen wir heute: Es gibt mindestens drei Punkte in dem Hacking-Prozess, die eben nicht von Paragraph 100a gedeckt sind. Das zeigt eine Untersuchung der technischen Details des BKA-Hacks, die Motherboard heute ebenfalls veröffentlicht – und für die mehrere unabhängige Juristen ihre Bewertung des Vorgangs abgegeben haben.

Tatsächlich steht das BKA vor einem unlösbaren Dilemma, bevor es den Informatikern rund um Michael K. den Startschuss erteilt: Deutschlands höchste Ermittlungsbehörde weiß schlicht nicht, wo die Firma Telegram ihren Sitz hat – und an wen sie ihre Überwachungsanfrage richten könnte; das geht auch aus Gerichtsunterlagen hervor, die Motherboard heute ebenfalls veröffentlicht.

Logo der OSS | Bild: A.i.d.a.-Archiv | Verwendet mit freundlicher Genehmigung.

Nach Paragraph 100a ist eine Handy-Überwachung aber eigentlich nur dann zulässig, wenn die Firma, die den Dienst anbietet, sich vom BKA eine richterliche Anordnung zeigen lässt und dann die Daten an die Ermittler überträgt. Genauso sehen das sowohl die Verteidigung der Rechtsextremisten als auch mehrere Juristen, mit denen Motherboard die Details diskutiert hat. Die Generalbundesanwaltschaft sieht den Fall anders und glaubt, der Hack sei von der Strafprozessordnung gedeckt – verwies auf Rückfrage von Motherboard aber lediglich auf die Einlassungen vor Gericht. Das BKA wollte sich zu den Vorgängen und zur Anzahl der Einsätze gegenüber Motherboard nicht äußern.

Als der Verteidiger der "Oldschool Society" selbst bei Telegram anfragt, um zu verstehen, wie das BKA an die Nachrichten seiner Mandanten kam, erhält er vom Support-Account eine recht unverblümte Erläuterung der Firmen-Taktik: "Telegram ist ja ein internationales Projekt mit weltweit verteilter Infrastruktur. Wir versuchen, Telegram so weit wie möglich zu dezentralisieren, um lokalen Rechtssprechungen aus dem Wege zu gehen :). Bislang gelingt das."

Gegen diese etwas eigentümliche Strategie, die auch ein Telegram-Firmensprecher gegenüber Motherboard bestätigt, ist das BKA tatsächlich machtlos. Die Behörde entscheidet sich dafür, die Maßnahme trotzdem in Angriff zu nehmen.

Related: Weitere Hintergründe zu Telegram, den Erklärungen des Firmensprechers und des Generalbundesanwalts findet ihr in unserer ausführlichen Erläuterung der juristischen Hintergründe.

Ob die per Telegram-Hack gewonnen Informationen aber jetzt vor Gericht verwendet werden dürfen, ist alles andere als sicher. Auch wenn der Vertreter der Generalbundesanwaltschaft, Jörn Hauschild, die gesamte Aktion als legal verteidigte, pocht die Verteidigung darauf, dass die durch das OE 23 gesammelten Beweise nicht zugelassen werden. Auf Anfrage von Motherboard wollte sich weder das BKA noch die Generalbundesanwaltschaft äußern. Beide verwiesen darauf, dass man zu Einzelfällen grundsätzlich nicht Stellung nehme, allerdings wollte man auch zu den Aspekten unserer Recherche, die über den OSS-Prozess hinausgehen, kein Statement abgeben. Auch die Frage, ob das Verfahren weiterhin eingesetzt werde, bleibt damit vorerst unbeantwortet.

Eindeutiger äußert sich da die Oppositionspolitikerin Martina Renner. Die Linken-Abgeordnete kommentiert die Vorgänge mit deutlicher Kritik: "Es ist auch dem BKA verboten, die Kommunikationsdaten von Verdächtigen zu manipulieren. Selbst wenn es um solche gravierende Bedrohungen der öffentlichen Sicherheit wie Rechts-Terrorismus geht." Auch Konstantin von Notz, der ebenso wie Renner im NSA-Untersuchungsausschuss sitzt, betont gegenüber Motherboard, dass der "Zweck in einem Rechtsstaat nicht die Mittel heiligt": Entschlossene Ermittlungen gegen gewaltbereite Rechtsextreme seien natürlich wichtig, aber "dieser Überwachungseingriff ist hochproblematisch, und die Methode ist laut Bundesregierung überhaupt kein Einzelfall".

Christopher Lauer (SPD) weist daraufhin, dass die Aktion noch eine andere grundsätzliche Schwierigkeit aufwirft: "Der durchgeführte Hack ist alleine schon deswegen problematisch, weil dadurch gezeigt wurde, dass der Account angreifbar ist und auch der Staatsanwalt gar nicht mehr sicher sein kann, wessen Kommunikation überwacht wird", erklärt er gegenüber Motherboard. Tatsächlich kritisieren Netzpolitik-Experten staatliche Hacking-Aktionen besonders deshalb, weil sie Sicherheitslücken ausnutzen statt sie zu schließen – und die Programme so letztlich für alle Nutzer unsicherer machen.

Von Notz befürchtet außerdem, dass der Telegram-Hack von Michael K. und seinen Kollegen exemplarisch für die neuesten digitalen Spezialbehörden sein könnte, die in Deutschland gerade mit großem Budget aus dem Boden gestampft werden. "In einer Behörde wie Zitis, für deren Schaffung und Aufgaben es bisher keinerlei Rechtsgrundlage gibt, drohen derlei Praktiken zum Tagesgeschäft zu werden", sagt der Grünen-Politiker mit Verweis auf die neue Bundesbehörde Zitis. Über deren Auftrag ist zwar noch nicht viel bekannt geworden, außer, dass es ihr erklärtes Ziel sein soll, verschlüsselte Kommunikation zu knacken. Es liegt aber nahe, dass die neue Behörde, für die laut NDR und WDR bereits im kommenden Jahr 60 Mitarbeiter eingestellt werden sollen, tatsächlich mit sehr ähnlichen Mitteln wie das OE 23 in jener Aprilnacht arbeiten werden.

Telegram hat inzwischen einige Neuerungen eingeführt, die Account-Übernahmen zumindest unwahrscheinlicher machen. Wenn ein Nutzer den per SMS übersendeten Registrierungscode nicht eingibt, ruft die Firma jetzt automatisch nach zwei Minuten auf dem Handy an und gibt ihm den Code dort noch einmal durch. So sollen wohl mögliche Opfer hellhörig werden, dass etwas nicht stimmt. Das Problem: Der Anruf wird automatisch von einer Computerstimme durchgeführt.

In der Vergangenheit wies Telegram außerdem daraufhin, dass Nutzer sich vor Angriffen besser schützen können, wenn sie ihren Account mit einer Zwei-Faktor-Anmeldung absichern. Tatsächlich konnten Michael K. und Kollegen in jener Nacht nicht alle Accounts ihrer Zielperson öffnen – der Grund dürfte darin liegen, dass diese Two-Factor-Authentification aktiviert hatten.

Der Treppenwitz der TKÜ

Nur sechs Tage, nachdem sich Michael K. und seine Kollegen in die Accounts der Neonazis gehackt haben, passiert etwas, was der Vertreter der Generalbundesanwaltschaft später als "Glücksfall aus Ermittlersicht" bezeichnen wird: Der Verdächtige Markus W. und seine Lebensgefährtin Denise G. überqueren am 1. Mai 2015 die Grenze nach Tschechien und kehren mit großen Mengen pyrotechnischen Sprengstoffs zurück nach Deutschland. Noch am selben Tag ruft W. den "Präsidenten" des OSS an und erzählt von dem vielversprechenden Einkauf. Die Ermittler hören mit, wie W. seinem Chef vorschlägt, den Sprengsatz mit Nägeln zu präparieren und in eine Asylsuchendenunterkunft zu werfen. Das Gespräch versetzt die Strafverfolgungsbehörden in Alarmbereitschaft: Am frühen Morgen des 6. Mai schlagen mehrere Polizeibehörden mit Unterstützung verschiedener Spezialeinheiten zu und nehmen die vier Führungsmitglieder fest.

Es gehört zur Ironie des Falls, dass es eben nicht der Telegram-Hack war, der den Ermittlern die entscheidenden Informationen lieferte. Ein Blick auf die Beweislage im OSS-Prozess zeigt, dass es eben längst nicht immer die hochentwickelten digitalen Überwachungsmaßnahmen sind, die zum Ziel führen: Angestoßen wurden die Ermittlungen durch Tipps von Quellen des Verfassungsschutzes; die Entscheidung für den Zugriff brachte letztlich ein abgehörtes Telefonat.