Einsatz von Schadsoftware (sog. Bundestrojaner) und Zurückhaltung und Ausnutzung von Sicherheitslücken durch Bundesbehörden
der Abgeordneten Dr. Konstantin von Notz, Hans-Christian Ströbele, Volker Beck (Köln), Katja Keul, Renate Künast, Monika Lazar und der Fraktion BÜNDNIS 90/DIE GRÜNEN
Vorbemerkung
Seit der Änderung des Bundeskriminalamtgesetzes (BKAG) im April 2017 hat das BKA in § 49 BKAG die Ermächtigung zum präventiv-polizeilichen Einsatz von sog. Staatstrojanern erhalten. Dabei wurde in § 49 BKAG u. a. verfahrensrechtlich nicht sichergestellt, „dass die vom BKA einzusetzende Überwachungs-Software Mindestanforderungen an die Datensicherheit erfüllen“ (Buermeyer, Stellungnahme für die Öffentliche Anhörung zum Gesetzentwurf zur Neustrukturierung des BKAG, Ausschussdrucksache 18(4)806 E). Die Rechtsgrundlage für den Einsatz der Staatstrojaner führt zu einem Interesse der Sicherheitsbehörden, Sicherheitslücken offen zu halten, um Systeme von Zielpersonen infiltrieren zu können und nicht im Sinne der Cybersicherheit und des Schutzes aller Bürgerinnen und Bürger an die zuständigen Behörden und die Betroffenen zu melden, damit diese geschlossen werden. Das Gesetz tritt am 25. Mai 2018 in Kraft.
Bezüglich der Frage, ob die vom BKA entwickelten Trojaner sowie die zusätzlich erworbenen, kommerziellen Trojanerprodukte verfassungskonform eingesetzt werden können, bestehen aus Sicht der Fragesteller weiterhin erhebliche Zweifel. Die Rechtmäßigkeit des Einsatzes und die Verfassungskonformität des Programms wären u. a. nur über die vollständige Offenlegung des Quellcodes nachzuweisen. Dass die Schadsoftware wie im Falle der sog. Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) ausschließlich auf Kommunikationsvorgänge beschränkt werden kann, halten Experten jedoch für kaum möglich (vgl. https://netzpolitik.org/2017/staatstrojaner-bundestag-beschliesst-diese-woche-das- krasseste-ueberwachungsgesetz-der-legislaturperiode/).
Durch die Schaffung neuer Rechtsgrundlagen in der Strafprozessordnung (StPO) zum Einsatz von Trojanern in der Strafverfolgung verschärft sich die Problematik der vom BKA entwickelten Software. Es besteht die Möglichkeit, dass die Software massenhaft in der Strafverfolgung eingesetzt werden wird und sich die Risiken sowohl für die Rechte der Bürgerinnen und Bürger als auch für die IT-Sicherheit dadurch potenzieren. Zudem wurden jüngst Berichte darüber öffentlich, dass das BKA jedoch nicht einmal die passende Überwachungssoftware besitze, um die als geringfügigerer Eingriff geltende, sog. Quellen-TKÜ durchführen zu können. So funktioniere der neue Bundestrojaner nach Informationen der „taz“ nur auf Computern mit den Betriebssystemen Windows 7 und Windows 8. An einer Version für Windows 10 werde gearbeitet. Noch gar keine Lösung gibt es angeblich für die gängigen Betriebssysteme von Smartphones – wo eigentlich der Hauptbedarf bestehe (taz vom 20. Januar 2017, www.taz.de/!5373564/).
Wir fragen die Bundesregierung:
Fragen33
Wie oft gebrauchte das BKA seit 2008 seine Befugnisse gemäß den §§ 20g bis 20n BKAG (bitte nach Norm, Jahr und Zahl der je Betroffenen aufschlüsseln)?
In wie vielen Fällen davon war die gezielte Ausnutzung von sog. Zero-Day-Sicherheitslücken Grundlage und Voraussetzung des Einsatzes?
Wie viele allgemein technisch unterscheidbare Verfahren der gezielten Ausnutzung von IT-Sicherheitslücken einzelner Kommunikationsanbieter unterhalb der Schwelle des Trojanereinsatzes (vgl. dazu etwa https://motherboard. vice.com/de/article/exklusiv-wie-das-bka-telegram-accounts-von-terrorverdächtigen) werden von Seiten der Bundesregierung bislang unterschieden (bitte im Einzelnen erläutern)?
Wie oft kamen diese Verfahren bis zum heutigen Tage jeweils zum Einsatz, und auf welcher Rechtsgrundlage konnte dies nach Auffassung der Bundesregierung geschehen?
Welche Konsequenzen zieht die Bundesregierung aus dem landgerichtlichen Verfahren zu den Ermittlungen gegen Tatverdächtige der Old-School-Society-Gruppe und die im Verfahren sowie in der öffentlichen Diskussion dazu aufgeworfenen rechtlichen Fragen (Quelle siehe Frage 3)?
Wie oft sind der Bundesnachrichtendienst, der Militärische Abschirmdienst, das Bundesamt für Verfassungsschutz, das BKA, das Zollkriminalamt und die Bundespolizei seit 2008 jeweils in Messenger-Dienste-Konten von nach dem Grundgesetz geschützten Personen sowie Angehörigen von Drittstaaten eingedrungen?
Auf welcher Rechtsgrundlage erfolgten jeweils diese Zugriffe?
In wie vielen Fällen davon waren sog. Zero-Day-Sicherheitslücken Grundlage und Voraussetzung der jeweiligen Maßnahme?
Wie oft wurde die Quellen-TKÜ-Software des BKA (RCIS) bereits seit Freigabe im Februar 2016 eingesetzt?
Auf welcher Rechtsgrundlage erfolgte nach Auffassung der Bundesregierung der jeweilige Einsatz?
Wie oft wurde die Quellen-TKÜ-Software des BKA (FinSpy) seit 2015 eingesetzt?
Auf welcher Rechtsgrundlage erfolgte der jeweilige Einsatz?
Von welchen Bundesländern wurde die Quellen-TKÜ-Software des BKA nach Kenntnis der Bundesregierung jeweils erlangt, und in welchen Ländern wurde sie bereits wie häufig konkret eingesetzt?
Von welchen Behörden wurde die Quellen-TKÜ-Software nach Kenntnis der Bundesregierung wie häufig eingesetzt (Nennung der Behörde und die Anzahl der Einsetzung)?
Um welche Verfahren handelt es sich dabei (Nennung der Deliktsbereiche)?
Wie hoch waren die Entwicklungskosten im BKA in Bezug auf die Quellen-TKÜ-Software?
Wie ist der Stand der Entwicklung der Version RCIS 2.0 für Mobilgeräte?
Welche Überprüfungen der Sicherheit der Quellen-TKÜ-Software RCIS haben vor ihrer Freigabe im Februar 2016 stattgefunden?
Durch wen erfolgte die Überprüfung?
Wie hoch waren die Kosten?
Hat die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit vollumfänglichen Zugriff auf alle zur Prüfung nach dem BDSG erforderlichen Informationen und Daten (einschließlich der Quellcodes der unterschiedlichen Trojanerprodukte) erhalten?
Wenn nein, warum nicht?
Auf welche Weise ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach wie vor in den Prozess der Erstellung der Trojaner eingebunden?
Stellt die Bundesregierung den sog. Trojanerleitfaden (Titel: „Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen“) der Öffentlichkeit zur Verfügung, damit nachvollzogen werden kann, welche Empfehlungen diese dafür zuständige Behörde ursprünglich gegeben hat, und wenn nein, warum nicht (vgl. https://netzpolitik.org/ 2015/geheime-kommunikation-bsi-programmierte-und-arbeitete-aktiv- amstaatstrojaner-streitet-aber-zusammenarbeit-ab/)?
Welche Ergebnisse der Quellcodeprüfung der BKA-eigenen Quellen-TKÜ-Software RCIS lieferte der Bericht des BSI-zertifizierten Softwareprüflabors TÜV Informationstechnik GmbH?
Kommt die Quellen-TKÜ-Software ebenfalls unter Ausnutzung von verdeckten Software-Schwachstellen (sog. Zero Day Exploits) zum Einsatz?
Wer ist konkret mit der Beschaffung der sog. Zero Day Exploits beauftragt?
Auf welche Weise werden diese Sicherheitslücken derzeit erworben?
Wer kontrolliert und überprüft den Ankauf der Sicherheitslücken?
Verfügen die zuständigen Stellen über einen eigenen Etat für den Erwerb der entsprechenden Lücken?
Wenn ja, wie hoch ist dieser Etat, und bestehen Vorgaben und Richtlinien für den Ankauf dieser sog. Zero Day Exploits?
Wird das BKA die von ihm entwickelte oder erworbene Software zur Quellen-TKÜ und Onlinedurchsuchung den Polizei- und Strafverfolgungsbehörden des Bundes und der Länder zur Verfügung stellen, wenn die neu geschaffenen Rechtsgrundlagen zur Telekommunikationsüberwachung und Onlinedurchsuchung in der StPO in Kraft treten?
Teilt die Bundesregierung die Auffassung, dass die Zurückhaltung bzw. fehlende staatliche Meldung jeglicher Formen von Sicherheitslücken an Hersteller wie Bürgerinnen und Bürger im konkreten Fall nicht nur Gefahren für Einzelpersonen, sondern für die kritischen Infrastrukturen der Bundesrepublik Deutschland insgesamt nach sich ziehen können, und wie verantwortet und rechtfertigt sie diese gravierende Gefährdungslage?