Was die Regierung nicht über den Staatstrojaner verraten will – und was wir trotzdem wissen

Anfang des Jahres genehmigte das Innenministerium dem BKA, sein bisher wirksamstes und zugleich umstrittenstes Überwachungs-Tool einzusetzen: Einen Staatstrojaner, den die Behörde von einer Spyware-Firma gekauft hat. Das Tool soll Nachrichten mitlesen können, bevor sie verschlüsselt werden. Besonders Chat-Programme wie WhatsApp, iMessage, Signal oder Threema sind Ermittlern seit Jahren ein Dorn im Auge, denn diese Messenger sind verschlüsselt und schützen ihre Nutzer mit einer Ende-zu-Ende-Verschlüssleung, die Ermittler in der Regel nicht knacken können.

"Wir beobachten immer öfter, dass Kriminelle verschlüsselt kommunizieren", sagte Thomas de Maizière dann auch im Juni 2017 als Begründung, warum die Regierung den Staatstrojaner so dringend braucht. Damals weitete die Große Koalition unter dem damaligen Innenminister die Palette der Straftaten aus, bei denen solche Trojaner eingesetzt werden dürfen.

Das Tool soll Ermittlern aber nicht nur ermöglichen, WhatsApp mitzulesen. In schwereren Fällen soll der Staatstrojaner auch Smartphones und Computer durchsuchen können, nach Dateien und alten Nachrichten zum Beispiel. Dafür nutzen die Ermittler Sicherheitslücken aus. Mit dem Staatstrojaner wird der Staat zum Hacker. Wie genau das funktioniert, was der Trojaner heute schon kann und wie oft er eingesetzt wird, all das versucht die Regierung geheimzuhalten – und verrät damit indirekt, wo die großen Probleme des Staatstrojaners liegen.

Klar ist: Die Regierung will sich nicht in die Karten schauen lassen, obwohl das Tool teuer und kontrovers ist und nur funktionieren kann, wenn die Regierung die Wirksamkeit ihrer eigenen Werkzeuge über den Schutz von Millionen Internetnutzern stellt. Wichtige Details, wurden bisher stets nur durch die beharrliche Arbeit von Journalisten bekannt. Für unser FAQ zum Staatstrojaner haben wir uns durch öffentliche und nicht-öffentliche Dokumente gewühlt und fassen zusammen, was andere Medien und wir durch Recherchen herausfinden finden konnten.

Ende Januar berichtete die SZ, das BKA habe begonnen Staatstrojaner einzusetzen. Wenige Tage später schrieb dann die Welt das vermeintliche Gegenteil, der Trojaner sei doch noch nicht zum Einsatz gekommen. Beide Informationen müssen sich nicht widersprechen: Denn es gibt zwei verschiedene Staatstrojaner im Werkzeugkasten des BKA: Der eine heißt RCIS und wurde von der Behörde selbst entwickelt. Doch RCIS kann laut Informationen der Welt nur Skype auf Windows abhören. Doch Skype wird heute nur noch selten genutzt, für wirksame Ermittlungsarbeit ist das viel zu wenig. Dementsprechend ist die Eigenentwicklung des BKA nicht mehr zeitgemäß.

Den zweiten Staatstrojaner hat das BKA vom SpyWare-Hersteller FinFisher eingekauft und weiterentwickeln lassen. Das Programm kann sehr viel mehr als der Trojaner Marke Eigenbau. Nach Informationen, die Motherboard vorliegen, wurde aber auch dieser Trojaner noch nicht in abgeschlossenen Verfahren eingesetzt. Das schließt aber nicht aus, dass die Spionageprogramme in laufenden Verfahren genutzt werden. Ob das tatsächlich der Fall ist, verrät das BKA nicht – aus "einsatztaktischen Gründen", wie auch die SZ schrieb.

Doch die Geschichte des Staatstrojaners reicht viel länger zurück als die aktuellen Entwicklungen. In den letzten zehn Jahren beschäftigt die Suche nach einem gesetzeskonformen und tauglichen Tool die Behörden. Laut Dokumenten, die Motherboard vorliegen hat das BKA bereits im Jahr 2011 drei Mal eine damals vorliegende Version des Staatstrojaners genutzt. Begründet wurden das mit Gefahrenabwehr – das heißt, der Trojaner wurde damals eingesetzt schon bevor schwere Straftaten ausgeführt wurden. Damals nutzte das BKA eine Entwicklung der Firma Digitask. Der Trojaner der hessischen Firma war in Verruf geraten, denn der damals in Bayern eingesetzte Trojaner hatte schwere Sicherheitslücken. Laut Bundesregierung erhielt das BKA jedoch eine andere, modifizierte Version.

Motherboard vorliegende Dokumente zeigen außerdem, dass seit 2009 noch weitere fünf Mal die Kommunikation von Verdächtigen direkt am Gerät ausspioniert wurde – und zwar im Zuge der sogenannten Quellen-Telekommunikationsüberwachung. Eingesetzt wurd der Staatstrojaner damals gegen Verdächtige, denen schwerer Raub, die Bildung einer terroristischer Vereinigung oder die Vorbereitung einer schweren staatsgefährdenden Gewalttat vorgeworfen wurde. Weitere Fälle, in denen das Tool zum Einsatz kam: Computerbetrug und Computersabotage oder Drogenhandel. Außerdem zeigt eine parlamentarischen Anfrage aus dem Jahr 2011, dass das Bundeskriminalamt mit dem Staatstrojaner auch zwei Länderbehörden unter die Arme gegriffen hat. Im Zuge von Amtshilfe unterstützte das BKA mit dem Tool Hessen und Rheinland-Pfalz.

Funktioniert der Staatstrojaner eigentlich auf allen Geräten oder ist das BKA machtlos bei Verdächtigen, die sich das neueste iPhone zulegen? Klar, dass das nicht öffentlich werden soll. Bekannt ist, dass das BKA sich nicht damit nicht abfinden will, das die Eigenentwicklung RCIS nur Skype auf Windows knacken kann. Dass es Pläne für einen verbesserten Trojaner 2.0 gibt, zeigte ein nicht für die Öffentlichkeit bestimmtes Dokument, das netzpolitik.org veröffentlichte. Laut diesen Informationen soll der aktualisierte Trojaner zusätzlich Smartphones infizieren und damit beliebte Messenger wie WhatsApp mitlesen können. Aus dem gleichen Dokument ging hervor, bis wann das BKA damit fertig sein wollte, nämlich Ende 2017. Ob das wirklich passiert ist und ob es eine verbesserte Eigenentwicklung RCIS 2.0 inzwischen schon fertig ist, wissen wir bisher nicht.

Was genau der vom BKA eingekaufte FinSpy-Trojaner kann, ist ein gut gehütetes Geheimnis. Zu was FinSpy theoretisch in der Lage ist, verraten geleakte Werbeprospekte: Webcam und Mikrofon von Smartphones und Laptops können in Echtzeit überwacht werden, auf der Festplatte gespeicherte Dateien sind direkt abrufbar und per Key-Logger können Passwörter und jede eingetippte Nachricht mitgeschnitten werden. Doch für das BKA musste FinFisher den Trojaner umprogrammieren und verändern. Der Grund: rechtliche und technische Vorgaben, die in der sogenannten "Standardisierenden Leistungsbeschreibung" festgehalten sind. Kann der FinSpy-Staatstrojaner das gleiche wie die reguläre FinSpy-Version?

Verraten will die Bundesregierung das natürlich nicht, aber es gibt eine indirekte Antwort. Die Software musste über einen langen Zeitraum hinweg immer wieder angepasst und geprüft werden, um "verfassungsrechtlichen und gesetzlichen Vorgaben" zu genügen. Der Trojaner konnte also mehr als das Gesetz erlaubt und musste deshalb abgespeckt werden.

Bis 2012 sollte das passiert sein, tatsächlich dauerte es bis zum Januar dieses Jahres. Die Welt berichtete darüber, dass das Innenministerium den Trojaner nun freigab. Der alte, nur für Skype nutzbare BKA-Trojaner hat schon 2016 grünes Licht für den Einsatz bekommen, bestätigte die Bundesregierung damals dem Deutschlandfunk.

Auch wie teuer die Trojaner genau waren, soll ein Geheimnis bleiben. Ganz funktioniert hat das nicht. 5,8 Millionen Euro für den praktisch unbenutzbaren Eigenbau, das ist eine Zahl, die immer wieder in Medienberichten auftaucht. Kosten für das nötige Update sind noch nicht bekannt geworden, ebenso wie die Gesamtausgaben für FinSpy. Zu Beginn erwarben die Ermittler für den kommerziellen Trojaner erst einmal eine Lizenz für zehn Computer und ein Jahr. Das kostete sie damals rund 147.000 Euro. In den letzten fünf Jahren dürften da noch einige weitere Kosten entstanden sein.

Dass es sinnvoll ist, gleich für zwei Trojaner so viel Geld auszugeben, darüber war obersten Haushaltsprüfer des Landes nicht sicher: 2015 meldete der Bundesrechnungshof Zweifel an. Aber das Innenministerium argumentierte, man brauche einen zweiten Trojaner, falls einer enttarnt werden sollte – und um "funktionale Bedarfe" zu decken. Oder im Klartext: all das zu machen, was der Eigenbau noch nicht kann.

Ebenfalls auf Motherboard: Totalüberwachung für 150 Euro

Egal, ob der Trojaner "nur" Skype abhören oder sich vollen Zugriff aufs Gerät verschaffen kann: Damit das Programm überhaupt funktionieren kann, müssen die Ermittler Sicherheitslücken in Betriebssystemen oder bestehenden Programmen ausnutzen. Nur so kann der Staatstrojaner überhaupt auf das Geräte der Verdächtigen gelangen. Dafür reicht eine Sicherheitslücke nicht aus. Vielmehr ist der Staat gezwungen, immer wieder neue zu finden, um das Programm bei Verdächtigen einzusetzen. Denn eine Android-Sicherheitslücke, die gestern noch offenstand, könnte schon heute mit einem Update unbrauchbar sein. Damit die Sicherheitslücken so lange wie möglich nutzbar bleiben, müssen die Trojanerentwickler vor allem eines tun: Schweigen und sie niemandem verraten. Bisher hat das ziemlich gut funktioniert.

Dass der Trojaner nur mit Sicherheitslücken funktioniert, ist ein riesiges Problem für die IT-Sicherheit, finden viele. Denn Lücken, die der Staat ausnutzen kann, können genausogut Kriminelle finden. Und gegen jede und jeden einsetzen. Auch gegen den Staat selbst. Bundestag und Bundesregierung wurden selbst schon gehackt, sie wissen also genau, wie wichtig es ist, Sicherheitslücken zu schließen. Nicht nur von IT-Experten, selbst aus den Reihen der Regierungsfraktionen gibt es daran Kritik, dass der Regierung die Wirksamkeit des Staatstrojaners wichtiger ist, als Software sicher zu machen, die Millionen Bürger nutzen. Die SPD-Abgeordnete Saskia Esken bezeichnete den Trojanereinsatz als einen "krassen Widerspruch zu der gesamtstaatlichen Verantwortung für die IT-Sicherheit".

Doch wie findet der Staat die Lücken? Auch das verrät er nicht. De facto gibt es zwei Möglichkeiten: Er könnte sie einkaufen. Zum Beispiel im Darknet, wo eine umfassende Sicherheitslücke fürs iPhone kann schonmal zwei Millionen Dollar kosten kann. Es ist umstritten, ob staatliche Stellen das dürfen und so diesen illegalen Handel unterstützen sollten. Ex-Innenminister Thomas de Maiziére wollte nicht ausschließen, Sicherheitslücken bei Dritten einzukaufen.

Die zweite Möglichkeit, an die Sicherheitslücken heranzukommen wäre, selbst welche zu finden. Diese Aufgabe hat die neu geschaffene Behörde ZITiS. Auch wenn der Name "Zentralstelle für Informationstechnik im Sicherheitsbereich" das nicht gleich vermuten lässt, gehört zu den Aufgaben unter anderem, Überwachungstechniken zu erforschen und dieses Wissen an andere Behörden weitergeben. Bis ZITiS richtig arbeiten kann, wird es aber wohl noch eine Weile dauern. Eigentlich sollten beim "Start-Up unter den Behörden", wie sich ZITiS selbst bewirbt, bis Ende 2017 schon 120 Menschen arbeiten, doch da gibt es Schwierigkeiten. Bis zum März dieses Jahres waren es gerade mal 34.

Noch vor einigen Jahren war die Regierung deutlich auskunftsfreudiger, wenn es darum ging, wie eine Zielperson infiziert werden soll. Noch 2011 verriet man auf Anfrage der Linken, dass die Beamten nicht unbedingt direkt in die Hardware des Geräts eingreifen müssten, um den Trojaner einzupflanzen. MIt anderen Worten: Auch ein Angriff aus der Ferne ist möglich. Auf eine aktuelle Anfrage der Grünen im Bundestag will die Regierung inzwischen nicht einmal mehr sagen, was theoretisch rechtlich zulässig wäre. Wenn ein Thema schon jahrelang diskutiert wird und es währenddessen unterschiedliche Regierungskonstellationen gab, kann es anscheinend schon einmal passieren, dass Dinge, die früher noch öffentlich waren, plötzlich geheim sind.

Dass staatliche Hacker ein Gerät nicht unbedingt in der Hand haben müssen, um es zu infizieren, zeigt ein Beispiel aus Bahrain: Hier wurden Trojaner von FinFisher als an E-Mails angehängte Bilder verschickt und beim Öffnen auf den Zielgeräten unliebsamer Aktivisten installiert. Bei einer neuen Variante für Angriffe aus der Ferne wirkten Internetprovider bei der Installation mit: Sie leiteten Downloads beliebter und vertrauenswürdiger Software um, wie Antivirenforscher 2017 entdeckten. Wenn sich ein Nutzer also zum Beispiel WhatsApp heruntergeladen hat, bekam er bei diesem Angriffsszenario die gewünschte Chat-App – und den Trojaner gleich unbemerkt dazu.

Noch etwas verriet die Regierung im Jahr 2011: dass die Daten vom Zielrechner über Server im In- oder Ausland oder beides weitergeleitet werden, um den Kommunikationskanal zu verschleiern. Solche Informationen sucht man für die neuen Trojaner vergeblich. Gerade die Frage, wie der Trojaner aufs Gerät kommt, ist rechtlich relevant. Wenn Ermittler dafür heimlich in Privaträume eindringen müssten, erfordert das eine andere Rechtsgrundlage als beispielsweise eine infizierte Mail zu verschicken.

Fragt man Politiker, Ermittler und Geheimdienstler, warum sie Staatstrojaner brauchen, argumentieren sie oft mit Terrorismusgefahr. Es sei notwendig, die Nachrichten von mutmaßlichen Terroristen lesen zu können, wenn sie verschlüsselt kommunizieren. Wann genau Staatstrojaner eingesetzt werden dürfen, befindet sich in einer langen Liste an Straftaten in der Strafprozessordnung. Da stehen neben Terrorismus auch Völkermord, Erwerb von Atomwaffen, um Deutschland zu gefährden, oder Menschenhandel.

Doch längst nicht alles ist so drastisch wie die obigen Beispiele. Es gibt zwei verschiedene gesetzliche Grundlagen, die den Einsatz des Staatstrojaners erlauben. Die sogenannte Quellen-TKÜ, mit der vor der Festnahme Verdächtige observiert werden und die Onlinedurchsuchung, die erst nach einer Festnahme passiert. Bei der Onlinedurchsuchung dürfen sie auf alles auf dem Gerät zugreifen, egal ob die Textnachricht zwei Jahre oder eine Sekunde alt ist. Bei der Quellen-TKÜ dürfen sie ausschließlich aktuell stattfindende Kommunikation mitschneiden. Dafür sind die Eingriffsschwellen niedriger. Es reicht schon, wenn jemand einen Menschen dazu verleitet, einen Asylantrag zu stellen und dabei falsche Angaben zu machen. Oder wenn jemand über 21 einem Minderjährigen Marihuana abgibt. Das ist zwar illegal, Terrorismus ist das aber unzweifelhaft nicht.

Offiziell bekannt ist bisher nur, dass das BKA den Trojaner einsetzen kann. Doch klar ist auch, dass es längst weitere Behörden und Dienste in Deutschland gibt, die Interesse an der Spionagesoftware hätten. Welche Behörden genau Trojaner in ihrem Werkzeugkasten haben, offenbart die Regierung nur in Teilen.

Beim Verfassungsschutz ist die Sache klar: Auf Bundesebene hat dieser keine Befugnisse, um selbst Trojaner einzusetzen. In manchen Bundesländern sieht das anders aus, der bayerische Verfassungsschutz darf schon Geräte infiltrieren, in Hessen ist gerade ein entsprechendes Gesetz in Planung. Vielleicht könnte das auch auf Bundesebene bevorstehen, die Formulierungen im Koalitionsvertrag dazu sind schwammig und in der Heimat des zuständigen Innenministers Horst Seehofer hat der Verfassungsschutz ja bereits entsprechende Möglichkeiten. Ob der bayrische Verfassungsschutz einen eigenen Trojaner besitzt und nutzt oder diesen über Amtshilfe vom BKA bekommt, ist nicht bekannt.

Mehr Geheimniskrämerei betreibt die Regierung dagegen beim BND: Sie will nicht sagen, ob der Auslandsgeheimdienst Trojaner nutzt. Dabei sind bereits mehrere Fälle bekannt geworden, in denen die Geheimdienstler fremde Geräte infiltriert haben. Sie hatten es zum Beispiel auf einen afghanischen Handelsminister abgesehen und bei dieser Operation gleichzeitig die Mails einer SPIEGEL-Journalistin abgefangen. Der ehemaliger Geheimdienstkoordinator des Kanzleramts sprach bereits 2011 mit Medien darüber, dass der BND gleich mehrere Trojaner zur Verfügung hätte - "multifunktionale Rohlinge" nannte er sie.

Zusammengefasst: Fast alles, was wir über den Staatstrojaner wissen, haben verschiedene Medien ans Licht gebracht. Auch die Abgeordneten im Bundestag werden durch die Presse ausführlicher informiert als durch die Regierung.

Grünen-Fraktionsvize Konstantin von Notz, der auf seine letzte Anfrage viele Nicht-Antworten bekam, ist davon genervt. Er will es nicht länger hinnehmen, keine Antworten zu bekommen. Gegenüber Motherboard sagte von Notz, die Nicht-Beantwortung mehrerer Fragen durch die Bundesregierung sei inakzeptabel. Das Parlament müsse das Handeln der Bundesregierung kontrollieren können. Zur Not will er dazu vor Gericht gehen: "Wir behalten uns, sollte die Bundesregierung weiter mauern, eine erneute gerichtliche Prüfung der Praxis der weitreichenden Nicht-Beantwortung ganzer Fragekomplexe durch die Bundesregierung vor."

Die FDP im Bundestag, die auf eine ähnliche Anfrage ebenso unbefriedigende Antworten erhielt, prüft laut der SZ ebenfalls, diesen Weg einzuschreiten. Vorher wollen Grüne und FDP versuchen, die Bundesregierung im Innenausschuss zu Aussagen zu bewegen. Doch selbst wenn es zu Klagen kommt, wird es viele Monate bis zu einer Entscheidung dauern. Zeit, in der eine intransparente Spähsoftware im Einsatz ist. Eine Software, die viele Millionen Euro gekostet hat, doch von der niemand außer den Entwicklern und Prüfern weiß, was der Code wirklich kann, weil die Ergebnisse der Qualitätsprüfung geheim bleiben. Eine Software, die nur funktionieren kann, wenn der Staat Sicherheitsücken ausnutzt, die das Internet für Millionen Bürger unsicherer machen.

Folgt Anna auf Twitter und Motherboard auf Facebook, Instagram, Snapchat und Twitter