Deutscher Bundestag Drucksache 17/11087 17. Wahlperiode 17. 10. 2012 Kleine Anfrage der Abgeordneten Burkhard Lischka, Michael Hartmann (Wackernheim), Brigitte Zypries, Petra Ernstberger, Iris Gleicke, Lars Klingbeil, Ute Kumpf, Christine Lambrecht, Thomas Oppermann, Gerold Reichenbach, Dr. Frank-Walter Steinmeier und der Fraktion der SPD Einsatz der Quellen-Telekommunikationsüberwachung Am8.Oktober2011veröffentlichtederChaosComputerClub (CCC)dieAnalyseeinerihmzugespieltenbehördlichenÜberwachungssoftware,sogenannter Trojaner,welchevomLandeskriminalamtBayernaufdenLaptopeinesVerdächtigenaufgespieltwordenwar.DieSoftwareverfügteüberweitausmehr Funktionen,alsesderzugrundeliegenderichterlicheBeschlusszurDurchführungeinerQuellen-Telekommunikationsüberwachung (Quellen-TKÜ)vorsah. InderFolgewurdebekannt,dassentsprechendeSoftwareinzahlreichenweiteren Fällen eingesetzt worden war. AusdenErmittlungsaktenhatsichergeben,dassdieÜberwachungssoftware nichtnurdietelekommunikationinformvoninternettelefonatenunde-mail- Verkehrüberwachte,sondernauchalle30SekundeneineFotografiedesBildschirms,insgesamt60000Screenshotsangefertigthatte.Bildschirminhalte sindjedochnichtteildertelekommunikation.hinzukam,dassdiesoftwarein derlagewar,weiteremodulenachzuladen.diesesogenanntenachladefunktionermöglichtes,dienutzungdeszielrechnersumfassendzuüberwachen unddenrechnerumfänglichzumanipulieren.soistesbeispielsweisemöglich, denraum,indemsichderzielrechnerbefindet,miteinereingebautenkamera odereinemeingebautenmikrofonzuüberwachen,sämtlicheaufdemrechner gespeichertendatenzulesenundzuverändernsowiebeliebigeprogrammeauf demrechnerauszuführen.nachauskunftdescccwardienachladefunktion funktionsfähig, ihr tatsächlicher Einsatz jedoch nicht beweisbar. DasProgrammenthieltnachEinschätzungvonFachleutenmassiveSicherheitslücken.DurcheineunprofessionelleVerschlüsselungwardasProgramm demzugriffunautorisierterdritterausgesetzt.derccckonnteseintrojanerprogramminnurwenigenstundenanpassenmitderfolge,dasserdiesoftware hättesteuernundfunktionenaufdenzielrechnerhättenachladenkönnen. Hinzukommt,dassdieausgespähtenDatenzurTarnungderSteuerzentraleseitensderBehördeübereinenindenUSAbefindlichenServerumgeleitetwurden.Esistnichtauszuschließen,dassamerikanischeDiensteZugriffaufdie Daten genommen haben. EntwickeltwurdedasÜberwachungsprogrammvonderhessischenFirma DigiTaskGmbH,derenGründervomLandgerichtKölnwegenBestechungvon BeamtendesZollkriminalamtesKölnzu21MonatenFreiheitsstrafeaufBewährungund1,5Mio.EuroGeldstrafeverurteiltwurde.Warumausgerechnet diesesunternehmenmitderentwicklungundlieferungdersoftwarebeauftragt wurde, ist bis heute nicht geklärt.
Drucksache 17/11087 2 Deutscher Bundestag 17. Wahlperiode InihrerAntwortaufdieKleineAnfrage Staatstrojaner (Bundestagsdrucksache17/7760)verneintdieBundesregierungdenEinsatzdervomCCCanalysiertenSoftwaredurchBundesbehörden.InErmangelungdesQuellcodeshabe sieauchkeinekenntnisvondenfunktionsmöglichkeitendervonbundesbehördeneingesetztensoftwaregehabt.voranwendungdersoftwareseienjedoch in jedem Einzelfall Anwendungstests durchgeführt worden. DieBundesministerinderJustizSabineLeutheusser-SchnarrenbergerundweitereMitgliederderBundesregierunghabenangesichtsdervielfältigenVorwürfetotaleTransparenzundAufklärungversprochen bisherjedochohneergebnis.nochimmeristnichtabschließendgeklärt,welchebehördentrojaner eingesetzt haben und mit welchem Funktionsumfang. AufdieFrage,obdieQuellen-TKÜderzeitvonBundesbehördenangewendet wird,oderobesbiszurentwicklungeinereigenensoftwareeinmoratorium gebe,antwortetederparlamentarischestaatssekretärbeiderbundesministerin derjustizinderfragestundeam13.juni2012,dassernurdiesichereerkenntnishabe,dassdievonderdigitaskgmbhhergestelltesoftwareinbayern nichtmehreingesetztwerde.schriftlichreichteernach,dass derzumgeschäftsbereichdesbundesministeriumsderjustiz (BMJ)gehörendeGeneralbundesanwaltdieQuellen-TKÜderzeitwederanwendetnochdieseveranlasst.GründefürdieNichtanwendungdurchdenGeneralbundesanwaltnannte ernicht.unbeantwortetbliebauchdiefrage,welchebundesbehördendiesoftware einsetzen oder Quellen-TKÜ durchführen. DerzeitfindetderEinsatzvonÜberwachungssoftwarezumZweckederStrafverfolgungaufGrundlageder 100aff.derStrafprozessordnung (StPO)statt. BeiderSchaffungder 100aff.StPOhattederGesetzgeberjedochdienetzbasierteÜberwachungderherkömmlichenTelekommunikationvorAugenund nichtdiewesentlichkomplexereüberwachungdurchdenheimlichenzugriff aufeinenrechner. 100aStPOberücksichtigtdiedurchdenEinsatzvonÜberwachungssoftwarebewirkteBeeinträchtigungdesGrundrechtsaufGewährleistungderVertraulichkeitundIntegritätinformationstechnischerSystemenicht. InsbesondereenthältdieseVorschriftkeineSchutzvorkehrungen,umrechtlich undtechnischsicherzustellen,dassdieüberwachungsichaufdielaufende TelekommunikationbeschränktunddassManipulationendurchDritteausgeschlossensind.DasBundesverfassungsgericht (BVerfG)hatinseinerEntscheidungzurOnlinedurchsuchungvom27.Februar2008 (BVerfGE1BvR 370/07u.a.)dieentsprechendenAnforderungenformuliert.DazuzähleninersterLiniedermöglichstweitgehendeSchutzderIntegritätdesZielsystemsund diebeschränkungaufdielaufendetelekommunikation.dasbverfghatzudemtechnischesicherungengegenmissbrauchangemahntundausgeführt, dasseineermächtigungzumheimlichenzugriffaufinformationstechnische SystememitgeeignetengesetzlichenVorkehrungenverbundenwerdenmuss, umdieinteressendesbetroffenenverfahrensrechtlichabzusichern (BVerfGE, a.a.o.,rn.257).aufgrundderdurchheimlicheermittlungsmaßnahmenbewirktenschwerwiegendengrundrechtseingriffeistesgeboten,denbetroffenen mittelseinervorbeugendenkontrolledurcheineunabhängigeinstanzzuschützen (BVerfGE, a. a. O., Rn. 259). AufdieFrage,obdieBundesregierungbeabsichtige,denEntwurffüreineeigeneRechtsgrundlagefürdieQuellen-TKÜvorzulegen,antwortetederParlamentarischeStaatssekretärbeiderBundesministerinderJustiz,dassdieGerichte 100aStPOimBereichderStrafverfolgungauchfürdieQuellen-TKÜ anwenden.hierzugäbeesmittlerweileeineverfestigterechtsprechung.die Erforderlichkeit einer zusätzlichen Regelung würde derzeit geprüft. TrotzeindeutigerFormulierungeninderEntscheidungdesBVerfGundgewichtigerGegenstimmeninRechtsliteraturundWissenschaftberuftsichdie Bundesregierungalleinaufdie einhelligepraxisdergerichte,die 100a
Deutscher Bundestag 17. Wahlperiode 3 Drucksache 17/11087 StPOalsRechtsgrundlageheranziehen.WährenddieBundesministerinder JustizdieNormnochzuJahresbeginnalsnichthinreichendeRechtsgrundlage bezeichnethat,ziehtsiesichjetztaufdenstandpunktzurück,dieerforderlichkeit einer speziellen Rechtsgrundlage sei Gegenstand intensiver Prüfung. Wir fragen die Bundesregierung: 1.WirddieQuellen-TKÜderzeitimBereichdesBundesdurchgeführt,und wenn ja, durch welche Bundesbehörden, und in welchem Umfang? 2.WirdnachKenntnisderBundesregierungdieQuellen-TKÜderzeitvon Landesbehördendurchgeführt,undwennja,durchwelcheLandesbehörden, und in welchem Umfang? 3.WelcheÜberwachungssoftware,inwelcherVersionundvonwelchemHerstellerkommtimBereichdesBundesundnachKenntnisderBundesregierung der Länder jeweils zum Einsatz? 4.InwievielenFällenhabenwelcheBundes-undnachKenntnisderBundesregierungLandesbehördenimZeitraumvon2008bis2011Quellen-TKÜ durchgeführt (bitte gesondert nach Jahr und Behörde)? 5.HabenBehördenrechtlicheund/odertechnischeBedenkengegendenEinsatzvonSoftwareprodukten (Trojaner,etc.)zurQuellen-TKÜundderOnlinedurchsuchunggeltendgemacht,undwennja,mitwelcherBegründung? 6.WurdedieeingesetzteSoftwaredaraufhingeprüft,obdieVorgabendes BVerfG für die Quellen-TKÜ technisch eingehalten werden? LiegtdenjeweiligenErmittlungsbehördenderQuellcodedereingesetzten Software vor? 7.KanndieBundesregierungihrenachderVeröffentlichungdesCCCimOktober2011vertreteneAuffassungbestätigen,dassbiszurEntwicklungeinereigenenSoftwarekeineQuellen-TKÜimBereichderBundesbehörden eingesetzt wird? 8.GabodergibtesÜberlegungen,dasBundesamtfürSicherheitinderInformationstechnik (BSI)mitderEntwicklungeinerQuellen-TKÜ-Software zu betrauen? 9.WurdeaußerderumstrittenenSoftwarederDigiTaskGmbHweitereSoftware für die Quellen-TKÜ genutzt, und wenn ja, von welchen Anbietern? Haben diese Anbieter den Quellcode offengelegt? 10.WirddasZollkriminalamtweitervonderFirmaDigiTaskGmbHmitÜber- wachungssoftwarebeliefert,obwohldieuntersuchungderdigitaskgmbh- Software durch den CCC gravierende Mängel zutage brachte? 11.WurdeaucheineSoftwarederFirmaERAITSolutionsAGgenutzt,und wenn ja, von wem, und in welchem Umfang? 12. Hat die Firma ERA IT Solutions AG den Quellcode offengelegt? 13.WurdedieSoftwarederFirmaERAITSolutionsAGüberprüft,undwenn ja, mit welchem Ergebnis? 14.WurdeQuellen-TKÜ-SoftwareaufeinemimAuslandbefindlichenRechner genutzt? WurdegegebenenfallsdieSoftwarebereitsimAuslandaufgespielt,oder wurde der infizierte Rechner später ins Ausland verbracht? WurdengegebenenfallsdieBehördenamausländischenStandortdes Rechners in die Überwachungsmaßnahmen einbezogen?
Drucksache 17/11087 4 Deutscher Bundestag 17. Wahlperiode 15.a)AufwessenVeranlassungwendetderGeneralbundesanwaltbeimBundesgerichtshofdieQuellen-TKÜderzeitnichtanbzw.veranlasstdiese nicht? b)auswelchemgrundwendetdergeneralbundesanwaltbeimbundesgerichtshof die Quellen-TKÜ derzeit nicht an? c) Hat das BMJ dieses Vorgehen gebilligt? d)wiebewertetdesbmjdieentscheidungdesgeneralbundesanwalts beim Bundesgerichtshof? 16.ZuwelchemErgebniskommtdasdemGeneralbundesanwaltbeimBundesgerichtshof vorliegende Gutachten zur Rechtmäßigkeit der Quellen-TKÜ? 17. Wer hat das Gutachten erstellt, und in wessen Auftrag? 18. Wie bewertet die Bundesregierung das Ergebnis des Gutachtens? 19.WannwirddieBundesregierungdenDeutschenBundestagüberdieErgebnisse dieses Gutachtens unterrichten? 20.WaspassiertindenFällen,indenenbereitsErmittlungenlaufenundeine Quellen-TKÜangeordnetist,wenndieErmittlungenvomGeneralbundesanwalt beim Bundesgerichtshof übernommen werden? 21.KanndieBundesregierungausschließen,dassErmittlungsverfahrennicht andengeneralbundesanwaltbeimbundesgerichtshofalsermittlungsführendestaatsanwaltschaftübertragenwerden,aussorge,diequellen-tkü als Ermittlungsinstrument nicht nutzen zu können? a) Wenn ja, wie begründet die Bundesregierung diese Einschätzung? b) Wenn nein, was wird die Bundesregierung veranlassen? 22.TeiltdieBundesregierungdieAnsichtdesInnnenpolitischenSprechersder CDU/CSU-Bundestagsfraktion,Dr.Hans-PeterUhl,derzufolgedieEntwicklungeinerSoftwarezurQuellen-TKÜdurchdasBundeskriminalamt (BKA)voraussichtlichnochMonate,vielleichtsogarJahredauernoder möglicherweise gar nicht realisiert werden kann? 23.WoraufbezogensichdieinBundundnachKenntnisderBundesregierung indenländerndurchgeführtenmaßnahmenzurquellen-tkü (bitteaufschlüsseln): Internettelefonie (Voice over IP, z.b. Skype), Internetchat, E-Mail über HTTP(S)/Webmail, ÜberwachunginhaltsverschlüsselterE-Mail-Kommunikation (S/MIME oder PGP), ÜberwachungtransportbasierterE-Mail-Kommunikation (IMAPS, POPS, SMTP mit TSL), Onlinebanking, andere, und wenn ja, welche? 24.KanndieBundesregierungausschließen,dassaufgespielteTrojanerzwar abgeschaltet, jedoch nicht vom System entfernt wurden? 25.Wennnein,wievieleTrojanerwurden abgeschaltet,ohnevomsystem entfernt worden zu sein? 26.ErfolgtedieDeinstallationderÜberwachungssoftwaredurchdieErmittlungsbehörden, und war sie jeweils erfolgreich?
Deutscher Bundestag 17. Wahlperiode 5 Drucksache 17/11087 27.WurdendieBetroffenennachBeendigungderQuellen-TKÜüberdenEingriff informiert? 28.WarumhatdiehessischeFirmaDigiTaskGmbHdenZuschlagfürdieEntwicklung der Überwachungssoftware bekommen? Gab es weitere Bewerber, und wenn ja, welche? 29.HatsichdieBundesregierungumdieOffenlegungdesQuellcodesbemüht, und wenn ja, in welcher Form, und mit welchem Ergebnis? Wenn nein, warum nicht? 30.HatdieBundesregierungjemalsVerhandlungenzurÄnderungdesVertrags geführt? Wenn nein, warum nicht? Wenn ja, mit welchem Ergebnis? 31.WiebewertetdieBundesregierungdieTatsache,dassdieFirmaDigiTask GmbHdenZugangzumQuellcodemitHinweisaufvertraglicheAbreden verweigert,dieaussichtdesbundesbeauftragtenfürdendatenschutzund die Informationsfreiheit (BfDI) nicht akzeptabel sind? 32.WiesollderBfDIseinegesetzlicheAufgabe,alsodiedatenschutzrechtlicheBeratungundKontrollederBundesbehörden,ohneKenntnisdes Quellcodes erfüllen? 33.TeiltdieBundesregierungdieAuffassungdesBfDI,dass 9desBundesdatenschutzgesetzes (BDSG)inverfassungskonformerAuslegungdieDokumentation des Quellcodes bei Maßnahmen der Quellen-TKÜ fordert? 34.WarumhabendieBundesbehördenangesichtsderhohenEingriffsintensität nicht von Anfang an auf die Offenlegung des Quellcodes bestanden? 35.TeiltdieBundesregierungdieAuffassung,dass umunzulässigefunktionalitätenzuverlässigausschließenzukönnen dieeinsichtnahmeinden Quellcode unerlässlich ist? 36.WarumhabendasBKAundnachKenntnisderBundesregierungdieLandeskriminalämter (LKAs)nichtaufderVereinbarungeinesvertraglichen RechtsaufEinsichtnahmeindenQuellcodebestanden,dasdieKontrolle durchdieerhebendeundspeicherndestelleunddiedesbfdiundderjeweiligen Landesbeauftragten für den Datenschutz ermöglicht hätte? 37.WeristanderErstellungderLeistungsbeschreibungfürdieAusgestaltung einerkünftigenüberwachungssoftwaredurchdaskompetenzzentruminformationstechnische Überwachung (CC ITÜ) beteiligt? 38. Wer ist an der Entwicklung der Software für die Quellen-TKÜ beteiligt? 39.WelcheFunktionensolldiezuerstellendeSoftwarehaben (genauetechnische VorgabenfürdiezuüberwachendeKommunikation,Nachladefunktion,Dokumentation, Löschungsmöglichkeiten für kernbereichsrelevante Inhalte, etc.)? 40.IstesausSichtderBundesregierungverfassungsrechtlichzulässig,dass dervomcccanalysiertetrojanernichtnurdasauslesen,sondernauch das Einspielen von Daten auf das Zielsystem ermöglichte? 41.DurchwelchetechnischenundrechtlichenVorkehrungenwilldieBundesregierungsicherstellen,dasssichdieÜberwachungausschließlichaufDaten auseinemlaufendentelekommunikationsvorgangbeschränkt,undinwieweit kann dies angesichts der Nachladefunktion gewährleistet werden? 42.Wiesollsichergestelltwerden,dassnurdievonderrichterlichenAnordnung umfassten Zielrechner infiltriert werden?
Drucksache 17/11087 6 Deutscher Bundestag 17. Wahlperiode 43.BerechtigtdieRechtsgrundlagefürdieQuellen-TKÜnachAnsichtderBundesregierungzumBetretenderWohnung,indersichderZielrechnerbefindet? 44.IstdasAuslesenvonSoftwarelistenimSinneeinereffektivenStrafverfolgung unumgänglich? 45.WielässtsichdieQuellen-TKÜvonderOnlinedurchsuchungabgrenzen, wenn man die Notwendigkeit der Nachladefunktion unterstellt? 46. Für welche konkreten Fälle ist eine Quellen-TKÜ unerlässlich? 47.WelchegrundrechtsschonenderenAlternativenzumEinsatzvonÜberwachungssoftware,etwadasAbhörenvonInternettelefonieüberSchnittstellen, hat die Bundesregierung geprüft, und mit welchem Ergebnis? 48.MitwelchenAnbietern,beispielsweisevonInternettelefonieoderauch Clouddiensten,hatdieBundesregierungdiesbezüglichGesprächegeführt, und mit welchem Ergebnis (bitte aufschlüsseln)? 49.HatdieBundesregierunggeprüft,obdieweitverbreiteteVoice-over-IP- Software Skype dietechnischemöglichkeitbietet,gesprächeaufanforderungvonsicherheitsbehördenmitzuschneiden (vgl.http://ijure.org/wp/ archives/808)? 50.IstdieBundesregierungderAuffassung,dassessichbei 100aStPOum eine verfassungsgemäße Rechtsgrundlage für die Quellen-TKÜ handelt? Wie begründet die Bundesregierung ihre Position? 51.WenndieBundesregierung 100aStPOalsverfassungsgemäßeRechtsgrundlagefürdieQuellen-TKÜbetrachtet,warumduldetdieBundesministerinderJustiz,dassderGeneralbundesanwaltbeimBundesgerichtshofdie Ermittlungsmaßnahme zur Aufklärung schwerer Straftaten unterlässt? 52.FallsdieBundesregierungeineneueRechtsgrundlageinderStPOnichtfür erforderlichhält,warumwurdedasgesetzüberdasbundeskriminalamt unddiezusammenarbeitdesbundesundderländerinkriminalpolizeilichenangelegenheiten (BKAG)umeinespezifischeErmächtigungsgrundlagefürdieQuellen-TKÜergänzt ( 20lAbsatz2BKAG),obwohldasGesetzbereitseineParallelnormzu 100aStPOfürklassischeTelekommunikationsüberwachungenthieltundauchheutenochenthält (vgl. 20lAbsatz 1 BKAG)? 53.TeiltdieBundesregierungdieEinschätzungdesBayerischenLandesbeauftragtenfürdenDatenschutz,demzufolgedieMaßnahmenzumAbhörender Internettelefonieineinem tiefdunklengraubereich erfolgtsindsowiedessen Forderungnachentsprechenden Trojaner-Gesetzen fürbundundländer, um den Einsatz der Überwachungssoftware für die Quellen-TKÜ zu regeln? 54.TeiltdieBundesregierungdieAuffassung,dasseineverfassungsgemäße RechtsgrundlagefürdieQuellen-TKÜsowohlderenhoheEingriffsintensitätalsauchdietechnischenBesonderheitenberücksichtigensowiedie ModalitätendesAufspielensderSoftwareundBenachrichtigungspflichten regeln muss? 55.WiewilldieBundesregierungdieverfassungsgerichtlicheForderunggewährleisten,dasssichdieÜberwachungimRahmeneinerQuellen-TKÜ ausschließlichaufdatenauseinemlaufendentelekommunikationsvorgang erstrecken darf? Berlin, den 17. Oktober 2012 Dr. Frank-Walter Steinmeier und Fraktion
Gesamtherstellung: H. Heenemann GmbH & Co., Buch- und Offsetdruckerei, Bessemerstraße 83 91, 12103 Berlin, www.heenemann-druck.de Vertrieb: Bundesanzeiger Verlagsgesellschaft mbh, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de ISSN 0722-8333