Staatliches Spähprogramm Behörden im Bunker, hilflose Datenschützer

Es ist also nach dieser Philosophie nicht Sache des Unternehmens zu überprüfen, ob die Ware nur im genehmigten Einzelfall eingesetzt wird oder im System verbleibt und dann möglicherweise auch mal ungenehmigt verwendet wird.

"Der Markt ist vollkommen intransparent, sowohl hinsichtlich der fachlich-technischen wie auch der finanziellen Entscheidungskriterien", meint die Expertin Annette Brückner, die seit Anfang der neunziger Jahre eine IT-Sicherheitsfirma leitet, die Behörden mit Informationssystemen ausstattet. Brückner, die auch bei einschlägigen Gesetzgebungsverfahren als Gutachterin auftrat, kommt "alles in allem" zu dem Ergebnis, dass "die gesetzlichen Anforderungen" in diesem Bereich meist "nur sehr lückenhaft umgesetzt" würden.

Bei den "Entscheidungsträgern in den Behörden" herrsche eine "Mischung aus technischer Inkompetenz und Bunkermentalität". Sozusagen alle gegen den großen Feind, der da draußen lauert: "Und die Datenschützer sind personell überfordert", sagt Brückner.

Bei Behörden soll es also so geregelt chaotisch zugehen wie der Hacker-Verein CCC seit 30 Jahren heißt. Und die Bewegung der Aktivisten, die manchmal auch "Hacktivisten" genannt werden, gelten mancherorts - wie die Reaktionen auf die Entdeckung der inkriminierten Schadsoftware zeigen - als eine Art Technischer Überwachungsverein für alles Digitale. Was für eine verrückte Welt.

Dem BKA war das System zu unsicher

Die möglicherweise richtige Einschätzung der Dimension dieses Falles hängt auch davon ab, wie oft wer sich nicht an staatliche Vorgaben gehalten hat und wie viele Fälle es wirklich gibt.

Klar ist: Auf dem Markt der Überwachungssoftware spielen Privatfirmen eine große Rolle. Ihnen trauen die Behörden Kompetenz zu. Spätestens nachdem in diesem Jahr Hacker einer "No-Name-Crew" mit einfachsten Mitteln Daten aus einem Computer mehrerer Sicherheitsbehörden wie dem Zollkriminalamt holten, sind die Verhältnisse klar: Um Geld zu sparen, hatten Behörden einige Beamte gebeten, in ihrer Freizeit eine Software für Observationssysteme zu entwickeln.

Das haben die entsprechend gemacht; und zahlreiche Landeskriminalämter, die sparen wollten, haben sich aus dem System bedient. Nur das BKA mochte nicht. Das selbstentwickelte System war ihm zu unsicher. Bedauerlicherweise hat das BKA die Kollegen nicht gewarnt.

Treiben hinter Milchglasscheiben

Der Firmen-Markt ist allerdings auch nicht unproblematisch: Unter dieses Segment fallen Unternehmen, deren "Existenz von Behörden oder deren Mitarbeitern gefördert oder initiiert wurde", meint Spezialistin Annette Brückner. So was kennt man eigentlich von Nachrichtendiensten.

Solche bilateralen Systeme verhindern die Ausschreibung von Projekten und bedingen, dass sich das Treiben hinter Milchglasscheiben abspielt. Aber auch das gilt es festzustellen: Am Ende hat nicht das Unternehmen, sondern der Staat die Kontrolle, wer und was mit der Überwachungssoftware überwacht wird.

"Keinerlei Haftung" für Schäden

Die in den achtziger Jahren gegründete DigiTask, die einen großen Namen hat, brauchte keinen staatlichen Geburtshelfer. Einer der Gesellschafter des Unternehmens ist eine renommierte Wirtschaftsprüfungsgesellschaft. Was das Unternehmen so alles anbietet, steht in einem schon vor Jahren von Hackern im Internet veröffentlichten Angebot der Firma an bayerische Behörden.

In der Leistungsbeschreibung findet sich vieles, was so ein Trojaner auch kann. "Der Einsatz (...) liegt in der Verantwortung Ihrer Behörde", schreibt das Unternehmen. Die Firma übernehme "für den Einsatz der Software, sowie für evtl. auftretende Schäden keinerlei Haftung". Technische Änderungen "im Sinne des Fortschritts vorbehalten".