Der Bundesnachrichtendienst (BND) setzt den Staatstrojaner Pegasus ein. Nach Informationen von ZEIT, SZ, WDR und NDR nutzt der Geheimdienst die Spähsoftware der israelischen Firma NSO Group, um damit im Ausland zu spionieren.
Das Kanzleramt sei in den Vorgang eingeweiht und habe den Einsatz gebilligt. Gleichzeitig habe die Bundesregierung dem geheim tagenden Parlamentarischen Kontrollgremium verschwiegen, dass der BND Kunde von NSO Group ist.
Damit ist der Auslandsgeheimdienst der zweite bekannte deutsche Kunde für die umstrittene Software. Erst vor kurzem war bekannt geworden, dass das Bundeskriminalamt das Spionagewerkzeug einsetzt.

Pegasus steht in der Kritik, weil die Software auf den Geräten von Oppositionellen und Journalisten entdeckt wurde. NSO Group weist diesbezügliche Vorwürfe zurück. Das Bundeskriminalamt (was Wunder) verweigert Auskunft über seinen Kaufvertrag zum Staatstrojaner NSO Pegasus. Obwohl der Kauf des berüchtigten Trojaners allgemein bekannt ist, will die Polizei geheimhalten, ob es überhaupt einen Vertrag gibt. Das nehmen wir nicht hin und verklagen das BKA zusammen mit netzpolitik.org.
Deutsche Polizisten dürfen immer öfter IT-Geräte mit Staatstrojanern hacken und überwachen, zuletzt jede Woche. Dazu nutzen sie diverse Produkte, neben ihrer Eigenentwicklung RCIS auch FinFisher FinSpy undNSO Pegasus. Das Bundeskriminalamt hackte mit Pegasus die rechtsterroristische „Patriotische Union“, Unbekannte hackten mit Pegasus russische Exil-Journalisten in Berlin.

Weder bestätigen noch dementieren

Wir wollen Einblick in den Vertrag des BKA mit NSO. Also haben wir das Dokument auf FragDenStaat beantragt. Das ist bereits über ein Jahr her. Erst hat das BKA unseren Antrag pauschal abgelehnt, dann unseren Widerspruch monatelang verzögert. Im Januar hat das BKA unseren Widerspruch zurückgewiesen. Dagegen wehren wir uns. Gemeinsam mit FragDenStaat und dem Anwalt Nico Sanderverklagen wir das BKA.

 

Das ist bereits unsere dritte Klage gegen das BKA wegen Staatstrojaner-Verträgen. Vorher hatten wir den Vertrag mit FinFisher/FinSpy (netzpolitik u. w.) sowie Änderungen zu diesem Vertrag angefordert. In beiden Fällen hatte das BKA zu viele Stellen geschwärzt und musste nach Gerichtsurteilen die Schwärzungen rückgängig machen.

Diesmal weigert sich das BKA sogar, den Vertrag mit einigen Schwärzungen herauszugeben. Die Polizeibehörde will weder bestätigen noch dementieren, ob sie überhaupt mit NSO spricht: „Bereits die Fragestellung, ob das BKA in Verbindung mit Kaufverhandlungen in Kontakt mit der NSO Group steht oder nicht, unterliegt einem besonderen Informationsschutz, so dass eine jegliche Stellungnahme zu diesem Punkt zu versagen“ sei.

BKA setzt Pegasus ein

Die Öffentlichkeit weiß, dass das BKA Pegasus gekauft hat. Medien haben detailliert über Verkaufsgespräche, Anforderungen, Zeitverlauf, Preis und Einsätze berichtet. Dass das BKA Pegasus nutzt, steht auf Wikipedia und im Bericht des Pegasus-Untersuchungsausschusses. Im Deutschen Bundestag sagte der SPD-Abgeordnete Uli Grötsch: „Das Bundeskriminalamt setzt Pegasus ein.“

Das BKA und ihre Anwälte vertreten jedoch den Standpunkt, wonach das BKA bisher nicht offiziell und öffentlich bestätigt hat, Pegasus gekauft zu haben. Dass die BKA-Vizepräsidentin Martina Link laut Tagesschau den Kauf im Innenausschuss des Bundestages bestätigt hat, zählt demnach nicht, das war ja nicht öffentlich und eingestuft.

Staaten trotzen Erklärungsdruck

Die Polizei befürchtet „nachteilige Auswirkungen auf internationale Beziehungen“, wenn sie zugibt, Pegasus zu besitzen. Demnach haben sich die europäischen Sicherheitsbehörden gegenseitig „zur Vertraulichkeit über Details der informationstechnischen Überwachung“ verpflichtet. Gäbe Deutschland zu, Pegasus zu haben, würde das „Erklärungsdruck“ auf andere EU-Staaten aufbauen, „sich ebenfalls zu konkret eingesetzten Produkten zu erklären“.

Wir sind der Auffassung, dass ein Vertrag zwischen einem Unternehmen und einer deutschen Behörde ein rein nationaler Sachverhalt ist. Andere Staaten sind davon nicht betroffen. Auch das Verhalten anderer Staaten widerspricht der These des BKA: Polen, Ungarn und Spanien haben offiziell zugegeben, Pegasus zu haben. Der Pegasus-Untersuchungsausschuss nennt weitere Länder. Der Hersteller NSO gab öffentlich zu, dass 14 EU-Staaten Pegasus gekauft haben. Diese Staaten dürfen darüber auch reden. (!)

Die Begründung des BKA ist über den konkreten Fall hinaus relevantWenn Behörden Anträge wegen eines „Erklärungsdrucks“ auf andere Staaten ablehnen, „würde der Sinn und Zweck des Informationsfreiheitsgesetzes ad absurdum geführt“. Das könnte auch weitere Sachverhalte betreffen, die in Deutschland und anderen Staaten relevant sind, zum Beispiel „Impfstofflieferungen, Umgang mit Versammlungen zum Ukraine-Krieg oder Maßnahmen zur Erreichung der Klimaschutzziele“.

BKA zitiert früheren Autor

Das BKA behauptet weiter, dass die Herausgabe des Vertrags die innere und öffentliche Sicherheit gefährdet. Wenn Kriminelle wissen, dass das BKA Pegasus besitzt, können sich „mögliche Betroffene“ darauf einstellen und dagegen schützen. Dazu verweisen die BKA-Anwälte auf den Golem-Artikel „Was hilft gegen den Staatstrojaner?“

Wir halten es für weltfremd, dass Kriminelle die Information auf Tagesschau, Wikipedia, Bundestag und EU-Parlament nicht verwenden und erst aktiv werden, wenn der Produktname auch auf bka.de steht.

Pegasus nutzt öffentlich unbekannte Schwachstellen, die eine Infektion ohne Interaktion der Zielpersonen erlauben. Dagegen kann man sich nicht schützen, sagt auch das Bundesamt für IT-Sicherheit. Allgemeine IT-Sicherheitsmaßnahmen trifft man jedoch gegen alle Arten von Schadsoftware, egal ob Staatstrojaner oder nicht.

Ein ehemaliger Mitarbeiter – Moritz Tremmel -, den das BKA zitiert hatte, bestätigt unsere Sicht: „Der von mir auf Golem.de veröffentlichte Artikel Was hilft gegen den Staatstrojaner‘ gibt einen allgemeinen Überblick, wie man sich vor Staatstrojanern schützen kann. Der Artikel konstatiert: ‚Letztlich handelt es sich beim Staatstrojaner schlicht um eine Schadsoftware, die von Behörden eingesetzt wird. Entsprechend unterscheiden sich die Installationswege nicht sonderlich von gewöhnlicher Malware.’“

Zu kritisch über Staatstrojaner

Der erste Satz des Informationsfreiheitsgesetzes lautet: „Jeder hat nach Maßgabe dieses Gesetzes gegenüber den Behörden des Bundes einen Anspruch auf Zugang zu amtlichen Informationen.“

Die BKA-Anwälte begründen ihre Ablehnung aber konkret so: „Der Kläger ist Mitglied im Chaos Computer Club und hat sich in der Vergangenheit sehr kritisch zu ‚Staatstrojaner‘-Software geäußert. Als Beleg überreichen wir einen Bericht über eine Rede des Klägers als Angehöriger im EU-Untersuchungsausschuss.“

Unser Informant war tatsächlich im November Sachverständiger im PEGA-Untersuchungsausschuss. Die Anhörung war öffentlich und wurde gestreamt, seine Rede wurde in Volltext veröffentlicht. Der Ausschuss hat auch das BKA eingeladen, und zwar drei Mal. Aber das BKA wollte nicht im EU-Parlament aussagen und hat die Einladung drei Mal ausgeschlagen.

Transparenz nicht erfolgreich

Dass das BKA derart mauert, ist neu. Vor zehn Jahren haben Kollegen enthüllt, dass das BKA den Staatstrojaner Gamma FinFisher gekauft hat. Damals hat uns die Polizei offiziell bestätigt: Wir haben die Software.“ Die Polizeibehörden des Bundes haben auch offiziell bestätigt, Hacking-Tools von Cellebrite, ElcomSoft und anderen Firmen zu nutzen.

Diese Offenheit bezeichnet das BKA jetzt als Fehler. „Die frühere Transparenzstrategie hat aus Sicht des BKA nicht die gewünschten Ergebnisse gebracht, so dass das BKA im Einklang mit der Gesetzeslage generell keine Auskünfte zu taktischen und technischen Fähigkeiten mehr gibt.“

Auch dieses Argument weist die Klageschrift zurück: „Zuletzt weisen wir darauf hin, dass die Beantwortung von IFG-Anträgen nicht nach Maßgabe einer wie auch immer gearteten ‚Transparenzstrategie‘ der Beklagten zu erfolgen hat, sondern allein nach Maßgabe des Gesetzes.“

Ampel will Transparenz sicherstellen

Pikant ist zudem, dass uns das BKA unter einem CSU-Innenminister und Großer Koalition Informationen gegeben hat, die das BKA unter SPD-Innenministerin und Ampel-Regierung jetzt verweigert. Dabei enthält der Koalitionsvertrag ein eigenes Kapitel über Transparenz: „Wir wollen durch mehr Transparenz unsere Demokratie stärken.“ Im Kapitel zu Staatstrojanern steht: „Transparenz und effektive Kontrolle durch Aufsichtsbehörden und Parlament werden wir sicherstellen.“

Der grüne Bundestagsabgeordnete Konstantin von Notz hat den Koalitionsvertrag mitgeschrieben. In der Opposition bezeichnete er Pegasus (in der taz) als „Traum aller Diktaturen und Albtraum für den Rechtsstaat“. Er kritisierte die Informationspolitik der Großen Koalition als Maulkorb und drohte damit, die Bundesregierung zu verklagen.

Wir haben Konstantin von Notz gefragt, wie er die Ablehnung unseres Antrags durch das BKA bewertet. Der stellvertretende Fraktionsvorsitzende erklärt allgemein: „In welchem Umfang in Deutschland Überwachungssoftware von kommerziellen Anbietern zum Einsatz kommt, ist eine aus freiheitsrechtlicher und rechtsstaatlicher Perspektive sehr relevante Frage. Wir setzen uns seit langer Zeit dafür ein, dass Parlament und Öffentlichkeit in angemessenem Umfang über diese Sachverhalte in Kenntnis gesetzt werden. Das tun wir weiterhin mit allen uns zur Verfügung stehenden Mitteln.“

Auf unsere Nachfrage, ob und wie er sich in unserem konkreten Fall dafür eingesetzt hat, „dass Parlament und Öffentlichkeit in angemessenem Umfang über diese Sachverhalte in Kenntnis gesetzt werden“, hat er nicht geantwortet.

zur Anfrage und Klage

Sep 2023 | Allgemein, Essay, In vino veritas, Junge Rundschau, Politik, Sapere aude | Kommentieren