Nach dem Interesse, das die Behandlung des Staatstrojaners in der Bundespressekonferenz hier gefunden hat, geht’s weiter: Die Aussagen von Bundesinnen- und Bundesfinanzministerium am 12. Oktober vor der Hauptstadtpresse. Erst mal als Audio zum Reinhören.
Ein paar rausgegriffene Fakten: Das Zollkriminalamt hat bislang in 16 Fällen Quellen-TKÜ betrieben, allerdings mit einem jeweils maßgeschneiderten Trojaner-Programm, und der Auftrag des ZKA an Digitask über gut zwei Millionen Euro 2009 war für herkömmliche Überwachungstechnik, nicht für Quellen-TKÜ. Das Innenministerium ist am Freitag vergangener Woche vom Rechtsantwalt Burkhard Hirsch über eine bevorstehende Veröffentlichung zum Bundestrojaner informiert worden.
(Es sprechen: Für das Innenministerium Jens Teschke, für das Finanzministerium Martin Kotthaus. Außerdem der stellvertretende Regierungssprecher Georg Streiter und für das Bundesjustizministerium Thorsten Bauer.)
http://player.soundcloud.com/player.swf?url=http%3A%2F%2Fapi.soundcloud.com%2Ftracks%2F25355805 Trojaner Bundespressekonferenz 12oct2011 by Wiegold
Nachtrag: Das Bundesinnenministerium hat zu der offen gebliebenen Frage der Kosten für die Online-TKÜ bei seinen Sicherheitsbehörden nachträglich mitgeteilt:
Bundeskriminalamt:
Das Bundeskriminalamt hat für die Technik-Bereitstellung zur Durchführung von Maßnahmen der Onlinedurchsuchung 101,5 T€ an Sachkosten investiert (ausweislich der Bundestags-Drs. 17/1814).Bundespolizei:
In den Haushaltsjahren 2010 und 2011 waren im Kassenanschlag der entsprechenden Titelgruppe der Bundespolizei jeweils Mittel in Höhe von 35 T€ für das Verfahren Quellen-TKÜ für Einzelaufträge zur Entwicklung, Einbringung und Nutzung von Ausleitungstools vorgesehen, die aber nicht verausgabt wurden.Bundesamt für Verfassungsschutz:
Der Haushalt des BfV ist nicht öffentlich und wird lediglich vor dem Vertrauensgremium differenziert. Insoweit kann also keine Aussage getätigt werden.
Zur Ergänzung: Von der Pressekonferenz gibt es jetzt auch eine Abschrift, damit man nicht nur das Audio anhören muss…
Frage: Herr Teschke, war es eigentlich aus Sicht des Bundesinnenministers zulässig, dass Parteifreund Herrmann in Bayern den „Bayern-Trojaner“ angewandt hat, obwohl er ganz klar gegen die Regeln verstoßen hat, die der Innenminister ‑ zumindest gestern in seinem Interview ‑ geäußert hat? Was gedenkt der Bundesinnenminister gegen den bayerischen Staatsminister des Innern zu unternehmen, damit das in Zukunft unterbleibt?
Teschke: Sie wissen, dass der bayerische Innenminister selber gestern den Einsatz der Software zunächst einmal eingestellt und gesagt hat, dass sie erst einmal nicht mehr zum Einsatz kommt. Wir als Bundesregierung sehen erst einmal die Länderverantwortung. Wir können nur noch einmal festhalten, dass das in den Bundessicherheitsbehörden und im Geschäftsbereich des Bundesinnenministeriums eingesetzte Programm vollkommen verfassungsgemäß war.
Zusatzfrage: Herr Streiter, wie gedenkt die Bundesregierung eine einheitliche Sprachregelung der beiden mittelbar für diesen Bereich zuständigen Ministerien, also Innen und Justiz, in Zukunft so zu schaffen, dass Äußerungen nicht als gegenseitige Kritik zu verstehen sind, sondern im Sinne der Sache eine Klärung der Angelegenheit herbeiführen? Den Eindruck konnte man ja gestern nicht haben, als man sich quasi gegenseitig mit Pressemitteilungen angegriffen hat.
SRS Streiter: Heute sind wir schon wieder einen Tag weiter. Ich kann nur sagen, dass die Bundesregierung eine rasche, sorgfältige und umfassende Überprüfung dieser erhobenen Vorwürfe anstrebt. Die Bundesregierung wird auch dafür Sorge tragen, dass ihre Behörden nach Recht und Gesetz handeln. Es ist ihr ein Anliegen, dass das Recht der Bürger auf Privatsphäre gewahrt bleibt.
Zusatzfrage: Wie wird man dafür Sorge tragen? Wenn Sie die eine Frage nicht beantworten, dann wenigstens diese. Dass Sie das wollen, ist mir klar. Das haben Sie als Bundesregierung seit einigen Stunden immer wieder erklärt. Aber wie werden Sie dafür Sorge tragen, dass Frau Leutheusser-Schnarrenberger und Herr Friedrich eine gemeinsame Linie vertreten und nicht die Verantwortung gegenseitig auf die jeweils anderen Ressorts abschieben?
SRS Streiter: Bevor man irgendwelche Maßnahmen ergreift, muss man erst einmal die Sachen aufklären. Das geschieht. Sie können ganz sicher sein, dass die Bundesregierung eine gemeinsame Linie hat und diese auch öffentlich machen wird.
Teschke: Ich kann das ergänzen. Es ist in der Tat nach wie vor so: Es gilt das, was wir seit Sonntagnachmittag sagen. Die Software, die von Bundespolizei, BKA und Bundesverfassungsschutz einsetzt wurde, ist vollkommen verfassungsgemäß.
Bauer: Auch von meiner Seite eine kurze Ergänzung. Diesen Dissens, den Sie konstruieren, was die Vorgehensweise angeht, vermag ich überhaupt nicht zu sehen. Es ist klar: Die Bundesjustizministerin nimmt es sehr ernst, dass der Vorwurf im Raum steht, dass eine verfassungswidrige Überwachungssoftware zum Einsatz gekommen ist. Dieser Vorwurf steht im Raum. Dieser Vorwurf muss aufgeklärt werden. Das hat die Bundesjustizministerin in mehreren Äußerungen sehr deutlich gemacht. Das ist das Gebot der Stunde. Auch die Bundesjustizministerin sieht keinen Widerspruch zum Bundesinnenminister, der gestern empfohlen hat, dass zum Beispiel die Länder diese Software, die in Rede steht, vorerst nicht einsetzen sollen, bis alle Fragen geklärt sind.
Insofern ist es gemeinsames Anliegen, dass jetzt eine Sachaufklärung betrieben wird. Genau das hat die Bundesjustizministerin wiederholt gefordert. Das fordert sie auch weiterhin.
Frage: Da Herr Teschke so oft auf den Geschäftsbereich des Bundesministerium des Innern abgehoben hat, geht die Frage an Herrn Kotthaus zum Zollkriminalamt und Beschaffung Quellen-TKÜ-Software 2009. Welchen Umfang und welche Aufgaben hat diese Software? Vielleicht können Sie ergänzend erläutern, inwieweit die Abgabenordnung für solche Aktionen des Zollkriminalamtes andere Voraussetzungen sieht als die Strafprozessordnung.
Kotthaus: Sie wissen, dass der Zoll nur in ganz eingeschränkten Fällen im Bereich der Strafverfolgung und Strafprävention tätig werden kann. Es ist ein sehr klar definierter Katalog, der sehr eng ist. Nur schwere Straftaten können überhaupt relevant werden.
Insgesamt hat der Zoll in 16 Fällen in einem engen rechtlichen Rahmen und ‑ das möchte ich betonen ‑ nur zur Überwachung von verschlüsselten Telefonaten, was Sie unter Skype und Ähnliches mehr kennen, einen Trojaner verwendet. Jeder dieser Trojaner war nur speziell für den jeweiligen Einzelfall designed, fähig und konnte auch nur genau das, also Telefonate über einen Computer überwachen. In jedem dieser Fälle gab es eine richterliche Anordnung. Da endet es auch schon.
Zusatzfrage: Bestand der Auftrag des Zollkriminalamtes an die Firma DigiTask über zwei Millionen Euro aus 16 einzelnen Softwarepaketen? Oder wie ist das zu verstehen?
Kotthaus: Nein. Dieser größere Auftrag hat mit der Überwachung mit diesen Trojanern nichts zu tun. ‑ Sie schauen jetzt skeptisch. Jeder dieser Trojaner wird aufgrund einer einzelnen Anweisung eines Richters einzeln beauftragt, einzeln gefertigt und speziell für einen Fall eingesetzt. Ebenso ist das bei der Telefonüberwachung. Diese andere Ausschreibung hat mit den Trojanern im engeren Sinne nichts zu tun.
Zusatzfrage: Ich schaue nicht skeptisch, sondern in das betreffende europäische Amtsblatt. Dort steht in der Ausschreibung: „Lieferung von Hardware und Software zur Telekommunikationsüberwachung“. Wo ist jetzt der Unterschied?
Kotthaus: Da gab es eine Anfrage für Software und Hardware wohl allgemeinerer Art. Sowohl als Zollkriminalamt als auch als andere Behörde braucht man dementsprechend Hardware, um diese Telefonüberwachung vornehmen zu können. Es gab eine größere Ausschreibung, um die dementsprechende Hardware und Software zu besorgen. Aber diese Pakete, für die diese Ausschreibung vorgenommen worden sind, konnten nicht die Funktion des Trojaners erfüllen. Sondern für jeden Einzelfall wurde immer ein einzelner Trojaner programmiert, einzeln bestellt, einzeln angeordnet und einzeln eingesetzt, und zwar, wie gesagt, in 16 Fällen.
Zusatzfrage: Das heißt, wir haben ein Grundpaket für zwei Millionen Euro plus 16 einzelne Softwarepakete für jeweilige Überwachungen. Verstehe ich das richtig?
Kotthaus: Wir haben 16 einzelne Programme, also Trojaner, die für den jeweiligen Einzelfall programmiert wurden. Es gab ein größeres Paket ‑ die letzten Details sind mir auch noch nicht bekannt ‑, um die dementsprechende Hardware und Software insgesamt für allgemeine Sachen abzudecken.
Frage: Ich bin etwas verwirrt und hoffe, dass Sie das noch aufklären können. ‑ Herr Teschke, Sie sagen, Bundespolizei, BKA und Verfassungsschutz setzen die Software verfassungskonform ein. Herrn Beyer habe ich am Montag so verstanden, dass sie gar nicht eingesetzt wurde. Jetzt sagt das BMJ: Solange nicht einsetzen, bis die Vorwürfe geklärt sind. Darf jetzt eingesetzt werden, weil es verfassungskonform ist und eigentlich nicht zu beanstanden wird? Oder wurde nie eingesetzt? Oder wird nie eingesetzt? Was wird eigentlich noch geprüft? Sie sitzen hier und sagen: Es ist alles verfassungskonform.
Teschke: Die Aussage von Herrn Beyer war, dass nicht die Software, die dem CCC vorliegt, eingesetzt wurde. Eingesetzt wird eine andere Software, die aber nur das kann, was das Bundesverfassungsgericht erlaubt. Das heißt: Für jeden Einzelfall, für jede einzelne Maßnahme wird das Paket der Firma DigiTask so konfiguriert, dass sie genau das kann, was richterlicherseits angeordnet wird. Damit ist es zwangsläufig verfassungskonform, weil der Richter nichts Verfassungsfeindliches anordnen wird.
Zusatzfrage: Was wird jetzt noch geprüft?
Teschke: Wir haben über die jeweiligen nachgeordneten Behörden bei den jeweiligen Landebehörden anfragen lassen, welches Programm dort zum Einsatz kommt. Wir hören nach, was Landeskriminalämter und Landesverfassungsschutzämter einsetzen. Das wird geprüft. Für die Sicherheitsbehörden im Geschäftsbereich des Bundesinnenministeriums können wir sagen, dass dort nur Programme zum Einsatz kommen, die vollkommen den Auflagen des Bundesverfassungsgerichts entsprechen.
Frage: Herr Teschke, ist das Bundesinnenministerium der Ansicht, dass das bayerische Staatsministerium verfassungswidrige Software eingesetzt hat?
Teschke: Der Minister hat sich gestern dahingehend geäußert, dass die Länder sehr genau prüfen sollten, welche Software dort zum Einsatz kommt; das gilt auch für Bayern. Sollte Software zum Einsatz kommen, die mehr kann als erlaubt, sollte diese Software nicht mehr benutzt werden.
Zusatzfrage: Darf ich genau deswegen meine Frage wiederholen: Die Software, die eingesetzt wurde, konnte deutlich mehr, als das Verfassungsgericht erlaubt hat. Das ist unstrittig und wird auch von niemandem ‑ nicht einmal mehr von Herrn Herrmann ‑ bestritten. Deswegen meine Frage, nachdem Sie Zeit hatten, die Fakten zu beurteilen: Hat das bayerische Innenministerium verfassungswidrige Software eingesetzt?
Teschke: Wir gehen davon aus, dass die bayerischen Behörden die Programme so eingesetzt haben, dass sie verfassungskonform waren.
Zusatzfrage: Es ging um die verfassungswidrige Möglichkeit, die diese Software geboten hat. Wird von Ihrem Haus bestritten, dass diese Software verfassungswidrige Möglichkeiten eröffnet hat?
Teschke: Da stimme ich Ihnen zu: Es ist wohl Allgemeinwissen, dass diese Software wohl mehr konnte, als erlaubt war. Diese Software sollte nicht mehr zum Einsatz kommen.
Frage: Herr Teschke, Herr Beyer hat am Montag gesagt, die Aussage des CCS, vor Veröffentlichung sei das BMI informiert worden, treffe nicht zu. Wird diese Aussage aufrechterhalten?
Teschke: Ja.
Zusatzfrage: Nach Angaben des CCC wurde Herr Burkhard Hirsch gebeten, beauftragt ‑ wie auch immer ‑, mit Ihrem Haus Kontakt aufzunehmen. Ich entnehme Ihren Worten, dass auch das nicht geschehen ist.
Teschke: Nein. Herr Hirsch hat am Freitagnachmittag Kontakt aufgenommen.
Zusatzfrage: Bleiben Sie trotzdem bei der Aussage, dass Sie nicht vorher informiert wurden?
Teschke: Wir sind am Freitagnachmittag nicht vom CCC informiert worden. Wir sind von einem Anwalt Hirsch über eine anstehende Veröffentlichung zum Thema Bundestrojaner informiert worden. Die Worte waren „Veröffentlichung“ und „Bundestrojaner“. Mehr Informationen haben wir nicht bekommen.
Kotthaus: Noch zur Ausschreibung: Bei der Ausschreibung ging es um Material zur Telekommunikation insgesamt. Das hatte nichts mit Computern, nichts mit Online, nichts mit Viren, nichts mit Trojanern zu tun, sondern das war einfach Equipment für Telekommunikationsüberwachungsmaßnahmen klassischer Art, also Handy, Fax, Telefon usw. Davon getrennt ist die Frage der 16 Einzelfälle der geschätzten Trojaner zu sehen, die wiederum jeweils beauftragt, einzeln abgerechnet und einzeln gefertigt wurden.
Zusatzfrage: Das heißt, die Firma DigiTask ist auch Partner erster Wahl, wenn es um sonstige TKÜ geht?
Kotthaus: Ich würde es so formulieren: Es gab eine Ausschreibung, und die Firma hat offensichtlich die Ausschreibung gewonnen.
Zusatzfrage: Die etwas juristisch problematischen Beziehungen des Zollkriminalamtes zur Firma DigiTask in den Jahren zuvor sind offensichtlich erledigt?
Kotthaus: Davon kann ich momentan nur ausgehen. Ich weiß, dass es diese Ausschreibung ein paar Jahre später gab, die die Firma gewonnen hat. Ich gehe davon aus, dass bei der Ausschreibung alle Kriterien berücksichtigt worden sind. Ich habe zumindest keine gegenteiligen Hinweise, dass das nicht gemacht worden ist.
Frage: Allgemein gefragt: Existiert in den Bundesbehörden eigentlich die Expertise, solche Software selber herzustellen oder, wenn sie in Auftrag gegeben und eingekauft wurde, dann auch zu kontrollieren und zu wissen, was diese Software kann oder nicht kann?
Teschke: Ich kann zu dem einen Teil Ihrer Frage, nämlich zum Test, etwas sagen: Diese Software wird jeweils für die Maßnahme speziell konfiguriert und wird dann getestet, ob sie nur das kann, was vorgesehen ist. Das kann ich dazu sagen. Sie wird eingekauft. Es besteht also zunächst einmal im Haus selber kein Know-how.
Frage: Die letzte Aussage provoziert die Nachfrage: Ist dies ein allgemeiner Standard? Oder gilt solche Sorgfalt nur im Bereich des Bundesministeriums des Innern? Wenn Software immer „tailor-made“ ist, also maßgeschneidert für die Aufgabe, muss doch ein Trojaner, der mehr kann, ebenso maßgeschneidert für die Aufgabe gewesen sein. Das heißt, die rechtswidrige Zuschneidung war beabsichtigt.
Ich darf noch einmal allgemein verständlich formulieren: Sie sagen, die Software werde für den jeweiligen Einzelfall konfiguriert. Wenn ein Trojaner auffällig geworden ist, der nach der Konfiguration deutlich mehr zulässt als rechtlich erlaubt, muss auch er für den Einzelfall konfiguriert worden sein, also in dem Bewusstsein, dass er rechtswidrig konfiguriert wird. Liege ich da falsch?
Teschke: Ich kann, wie gesagt, nur für unsere Bundessicherheitsbehörden sprechen. Für diese Behörden kann ich ausschließen, dass es dort zu Konfigurationen gekommen ist, die mehr können. Wenn gesagt wird: „nur E-Mail-Verkehr“, dann wird nur der E-Mail-Verkehr kontrolliert. Die Software bezieht sich jeweils nur auf diese einzeln angeordnete Maßnahme. Sie kann nicht mehr. Es gibt auch keine rechtswidrigen Konfigurationen in dem Bereich der Bundessicherheitsbehörden.
Zusatz: Das heißt aber, andere Behörden ‑ vielleicht Landesbehörden ‑ gehen nicht mit der gleichen Sorgfalt vor, wie offensichtlich die Sicherheitsbehörden im Bereich des Bundesministeriums des Innern vorgehen.
Teschke: Danach müssten Sie in den Ländern fragen.
Vorsitzende Wefers: Die Ausgangsfrage war, ob das ein allgemeiner Standard in der Bundesregierung ist.
Kotthaus: Wir haben, wie gesagt, wirklich nur diesen Einzelfall und den speziell programmierten Trojaner, der nur eines kann. Das ist die Telefonüberwachung. Punkt. Mehr kann er nicht. Schluss.
Frage: Wenn Sie hausintern in der Lage sind, aus den vorhandenen Softwareblöcken etwas zu machen, was „tailor-made“ genau nur für diesen Fall passt, und wenn Sie auch in der Lage sind, zu überprüfen, dass alles andere nicht geht, dann müssen Sie doch das Fachwissen für diese Trojaner im Haus haben. Die Darstellung widerspricht sich meiner Meinung nach. Sie haben gerade gesagt, die Expertise für solche Trojaner sei im Haus nicht vorhanden.
Teschke: Die Expertise, ein gesamtes Programm zu programmieren, ist nicht vorhanden. Deswegen kaufen wir sie ein. Deswegen haben wir ein Basispaket, wo wir sagen: Du musst das können, und du musst das können. Das wird getestet. Das wird im Beisein der jeweiligen Behörden getestet. Man fragt: Kann das Programm das, was wir erwarten? Dann macht es das. Dieser Test wird uns vorgelegt. Dann gehen wir davon aus, dass die Software das kann. Das ist die eine Sicherheitsmaßnahme.
Die andere ist, dass wir genauestens protokollieren, was gemacht wird. Es ist auch revisionssicher, sodass keine Eingriffe von dritter Hand stattfinden können, sondern es ist ganz klar, dass wir sehen, was mit dieser Software gemacht wird. Das wird protokolliert. Daran sehen wir auch, dass keine anderen Daten abgefragt werden als die für die Einzelmaßnahme vorgesehenen.
Zusatzfrage: Das heißt, dass Sie, was die Möglichkeiten eines Trojaners oder eines Programms angeht ‑ Sie sagen: Das wird uns dann gezeigt ‑, auf das Expertenwissen der Macher angewiesen sind und dass Sie zweitens nicht das Programm in Gänze verstehen, sondern nur die Konfektionierung und Ihnen die anwendbaren Teile so gezeigt werden, dass es geht.
Teschke: Ja.
Frage: Herr Teschke, Sie reden immer von Bundessicherheitsbehörden. Dazu gehören nicht nur BKA und Bundespolizei, sondern auch das BfV.
Teschke: Für die drei Bundessicherheitsbehörden im Geschäftsbereich des BMI kann ich sprechen.
Zusatzfrage: Bedeutet diese eben beschriebene genaue Protokollierung auch, dass Sie ausschließen, dass zum Beispiel eine Software, die rechtlich zulässig wäre, für die Verwendung im Bereich Verfassungsschutz, im Polizeibereich eingesetzt worden ist?
Teschke: Die Frage habe ich nicht ganz verstanden.
Zusatzfrage: Der Verfassungsschutz darf mehr machen als die Polizei. Das heißt, eine für den Verfassungsschutz rechtmäßige Software darf mehr als eine, die für die Polizei rechtmäßig wäre. Trotzdem sind sie beide in den Bereichen durchaus hin und wieder möglicherweise vertauschbar oder man hilft sich auf dem kleinen Dienstweg. So etwas würden Sie ausschließen?
Teschke: Die Maßnahme, die die Bundespolizei durchführt, wird mit einer Software durchgeführt, die speziell für diesen einzelnen Fall konfektioniert wurde. Das BfV wird genauso für die Fälle, die das BfV betreffen, auch eine Software konfektionieren. Da gibt es aber keinen Austausch.
Frage: Frage an BMF und BMI: Haben Bundesbehörden Amtshilfe, Beratung, Unterstützung für Landesbehörden bei der Anwendung einer solchen Software geleistet? Hat also das BKA dem LKA geholfen, beraten, Expertise gegeben, eine solche Software einzusetzen?
Teschke: Das ist mir für unseren Geschäftsbereich derzeit nicht bekannt.
Kotthaus: Es gab einen Fall, bei dem bei einer Zollkontrolle ein Computer dem LKA Bayern übergeben wurde. Die haben dann wohl einen Trojaner aufgespielt, und dann wurde der Computer wieder zurückgegeben. Der Beitrag der Zollkontrolle war dabei, dem LKA den Computer zu geben. Mit dem Computer, mit der Software und Ähnlichem war der Zoll nicht befasst.
Zuruf (akustisch unverständlich)
Kotthaus: Ich glaube, das ist der Fall, der in den Medien behandelt wurde. Insoweit wurde nur gesagt: „Guten Tag, Zollkontrolle. Wir wollen mal gucken.“ Weder mit dem Programm noch mit dem Aufspielen oder mit sonst etwas war der Zoll befasst, sondern es gab nur in diesem einen Fall diese körperliche Übergabe des Computers.
Wiegold zwo 
Pingback: Bundespressekonferenz zum Bundestrojaner | Denkmaschinen-Blog