Frage an Joachim Herrmann von Peter M. bezüglich Innere Sicherheit
Sehr geehrte Frau Leutheusser-Schnarrenberger und Herr Herrmann,
das Nachrichtenportal Heise berichtetete:
Zitat:
Wie Bundesjustizministerin Sabine Leutheusser-Schnarrenberger (FDP) plädierte Herrmann für einen Software-TÜV, um Spähprogramme vor ihrer Verwendung auf Sicherheitslücken zu prüfen. "Ich glaube, das ist ein vernünftiger Vorschlag."
Nun stellt sich mir die Frage ob Ihnen bewusst ist, dass ein "Software-TÜV", welcher prinzipiell schon durch den TÜV angeboten wird, nur mit Kenntnisnahme des sogenannten Quellcodes möglich ist.
Da Sie keine Experten auf dem Gebiet sind, Informiere ich sie über den Umstand, dass jegliche verkauften Programme ein sogenanntes Kompilat sind. Dabei handelt es sich um, wie eine Behörde sagen würde, ein "verschlüsseltes" Endergebnis des geschriebenen Wortes.
Sie Frau Leutheusser-Schnarrenberger sollten den Unterschied zwischen Quelloffen und Kompilaten kennen nachdem ich Sie auf dem Linux TAG getroffen hatte.
Nun Frage ich Sie ...
1) ob sie Interesse an einem Software TÜV haben, der ein Kompilat oder den Quellcode untersucht.
2) können Sie sich vorstellen, dass es ein Problem für den Anbieter sein könnte den Quellcode zu "veröffentlichen", da es sich um sein geistiges Werk handelt?
3) kann der TÜV die selbe technische Kompetenz anbieten wie der Chaos Computer Club? Wenn nein, wie soll dieser das machen?
4) Wie planen Sie zu verhindern, dass der Staatstrojaner nicht nach dem TÜV Gutachten von dem Anbieter oder den Behörden verändert wird und zusätzliche Funktionen angefügt werden? (Hinweis: Ich spreche hier nicht von den Funktionen des Trojaners, sondern von dem technischen Umstand einen zweiten Trojaner in den "Transferumschlag" einzulegen)?
5) Wie viele Mannstunden lang hätten die 5 Observierten in Bayern für die Kosten des Trojaners von ~ 13 Millionen EUR (basierend auf ted.europa.eu), von echten Polizisten observiert werden können?
6) Ist es korrekt, dass jeder Trojaner neu eingekauft wird?
MfG
Peter Müller
Sehr geehrter Herr Müller,
vielen Dank für Ihre Anfrage vom 13.10.2011.
In Ihrer Anfrage thematisieren Sie die aktuelle Diskussion zum staatlichen Einsatz von speziell entwickelter Software zur Überwachung verschlüsselter Telekommunikation (sog. Quellen-Telekommunikationsüberwachung).
Angesichts der kontrovers geführten öffentlichen Diskussion erscheint es mir zunächst wichtig, die Hintergründe zu dieser Thematik näher zu beleuchten.
Zugrunde liegen Veröffentlichungen des Chaos-Computer-Clubs vom 08.10.2011 über eine angebliche "Regierungs-Malware". Das Bayerische Landeskriminalamt hat festgestellt, dass eine dem Chaos-Computer-Club zugespielte Version (der CCC spricht selbst von mehreren Versionen) einem Ermittlungsverfahren der Staatsanwaltschaft Landshut aus dem Jahr 2009 zugeordnet werden kann. Im gegenständlichen Verfahren wurde gegen einen größeren Personenkreis u. a. wegen des illegalen gewerbs- und bandenmäßig betriebenen Internetversandhandels mit nach dem Betäubungsmittelrecht rezeptpflichtigen Arzneimitteln ermittelt. Der illegale Gewinn der Tätergruppe in den Jahren 2005 bis 2009 dürfte mehrere Mio. Euro betragen haben. Vor diesem Hintergrund hat das zuständige Amtsgericht einen Beschluss nach §§ 100a, 100b StPO erlassen, in dem ausdrücklich auch die Überwachung des verschlüsselten Telekommunikationsverkehrs angeordnet wurde. Um die verschlüsselte Kommunikation der Beschuldigten über das Internet überwachen zu können, wurde von den bayerischen Ermittlungsbehörden ein speziell für diesen Einzelfall angepasstes Softwareprogramm eingesetzt.
In meiner Pressekonferenz am 11.10.2011 und im Rahmen der Behandlung von Dringlichkeitsanträgen im Plenum des Bayerischen Landtags am 12.10.2011 habe ich dazu Stellung genommen. Die Kernpunkte sind wie folgt:
Die Bayerische Polizei hat bislang keine Online-Durchsuchungen und keine präventiven Maßnahmen der Quellen-TKÜ durchgeführt. Die wenigen bisher vom Bayerischen Landeskriminalamt durchgeführten Quellen-TKÜ-Maßnahmen zum Zweck der Strafverfolgung wurden stets auf Antrag der zuständigen Staatsanwaltschaft mit richterlichem Beschluss umgesetzt. Die für das jeweilige Ermittlungsverfahren individuell zugeschnittene Software zur Überwachung der verschlüsselten Kommunikation beinhaltete keine darüber hinausgehenden Funktionalitäten.
Darüber hinaus habe ich mich bei der Pressekonferenz zum Schlagwort "Software-TÜV" dahingehend geäußert, dass meinerseits keine Einwände bei der Prüfung der Frage bestehen, inwieweit künftig auf Bundesebene eine Prüfinstanz bei der Zulassung einschlägiger Software miteinbezogen werden kann.
Zu Ihren Fragen im Einzelnen:
Zu 1)
Umfang und Tiefe der durch eine Prüfinstanz durchzuführenden Untersuchungen müsste von den zuständigen Fachgremien ggf. unter Beiziehung weiterer Experten festgelegt, bundesweit koordiniert sowie ggf. mit der Prüfinstanz abgestimmt werden.
Zu 2)
Die Frage der Notwendigkeit des Zugriffs der Prüfinstanz auf den Quellcode einer Software müsste ebenfalls ggf. von den zuständigen Fachgremien bewertet und - bei Bedarf - ggf. in vertraglichen Vereinbarungen mit dem Urheber der Software geregelt werden. Von einer "Veröffentlichung" des Quellcodes war jedenfalls bislang nicht die Rede.
Zu 3)
Ich bitte um Verständnis, dass ich von vergleichenden Betrachtungen der Fachkompetenz einzelner Institutionen absehe. Ich gehe jedoch davon aus, dass bei Einrichtungen, die sich mit der Bewertung/Zertifizierung von Software befassen, fachkundige Personen agieren. Im Übrigen ist anzumerken, dass das von den Medien geprägte Schlagwort "Software-TÜV" als Synonym für die diskutierte Prüfinstanz anzusehen ist und daher eine singuläre Fokussierung auf den Technischen Überwachungsverein nicht angezeigt ist. Der CCC ist schon allein wegen seines Selbstverständnisses kein geeigneter Kooperationspartner.
Zu 4)
Die in Rede stehende Software wurde in Bayern bislang vor dem Einsatz auf die spezifischen Einsatzmodalitäten angepasst und vor dem Aufbringen auf den Zielrechner einem entsprechenden Qualitätsmanagement unterzogen. Alle Qualitätssicherungsmaßnahmen werden umfassend dokumentiert.
Ob - im bundesweiten Kontext - ggf. das Qualitätsmanagement angepasst werden muss, muss bedarfsorientiert ebenfalls von den zuständigen Fachgremien geprüft werden. Des Weiteren wird auch die Machbarkeit einer Eigenentwicklung von spezieller Überwachungssoftware durch staatliche Behörden im bundesweiten Kontext geprüft.
Zu 5)
Entgegen der Formulierung in Ihrer Fragestellung wurden bei den entsprechenden Maßnahmen der Polizei in Bayern keine Personen observiert, sondern in den genannten Fällen - basierend auf der Rechtsgrundlage des § 100a der Strafprozessordnung nach richterlichem Beschluss - die Telekommunikation vor der Verschlüsselung bzw. nach der Entschlüsselung ausgeleitet.
Da bei jeder Maßnahme spezifisch vorgegangen werden muss und jeweils eine Speziallösung für das zu überwachende Zielsystem entwickelt wird, fallen bei jedem Verfahrensergebnis Kosten an. Die von Ihnen genannte Summe von 13 Mio. Euro entbehrt jedoch jeglicher vernünftiger Grundlage und ist für uns nicht nachvollziehbar.
Zu 6)
Auf die Antwort zu Frage 5 wird verwiesen.
Mit freundlichen Grüßen,
Joachim Herrmann, MdL
Bayerischer Staatsminister des Innern