 Ich möchte die Zeit nutzen, ein bisschen über die Anhörung in Karlsruhe zu sprechen. Einige Events mitbekommen haben, der Chaos Computer Club hat eine Stellungnahme abgegeben zu einem Gesetz, nämlich BKA-Gesetz. Und die Anhörung dazu fand am 7. Juli statt und darüber will ich heute sprechen. Zum einen, welche Argumente davor getragen wurden, was so die Knackpunkte waren, in welcher Weise da um den Staatsruhaner ging, was der CTC dort argumentiert hat. Also ich bin selber dort in der mütlichen Verhandlung aufgetreten und wir haben eine schriftliche Stellungnahme, die man natürlich bei CCC.de finden kann, geschrieben. Und ich will natürlich zum Ende hin auch etwas orakelen darüber, was dann möglicherweise bei dem Urteil am Ende rauskommt, was wir im Herbst oder zumindest hoffentlich Ende des Jahres erwarten. Darüber will ich ein bisschen sprechen. Ich glaube, die Berichterstattung an dem Tag im Juli war gar nicht schlecht. Es wurde überregional berichtet, aber ich glaube, so eine Anhörung aus paar Stunden und die verschiedenen Argumente, die ja so ausgetauscht werden, sind durchaus interessant, um ein bisschen was darüber zu erfahren, was die Knackpunkte sind an diesem BKA-Gesetz, was auch technisch die Knackpunkte sind und wie möglicherweise sich die Richter in ihrem Urteil entscheiden werden. Eigentlich wollte Ulf Burmaier noch zu mir stoßen heute, denn er war ebenfalls ein technischer Sachverständiger, der dort angehört wurde. Er hat dort für Amnesty und Netzpolitikorg gesprochen, aber irgendwie scheint da, weiß ich auch nicht, in seinem Zelt verschollen. Also muss ich irgendwie alleine machen. Macht aber nichts. Ich ziehe vorher einen kleinen Bogen, weil dieser Staatsröhrner ja eine gewisse Geschichte hat, die erwähnen möchte, zum einen, weil vielleicht nicht jeder im Detail weiß, aber ich werde es auch nicht übermäßig lang ausdehnen. Ich will zum Anfang nochmal eine Urteil vom Staatsröhrner zitieren. Das ist mir wichtig. Zum einen, weil das Urteil von 2008 nicht die Beachtung gefunden hat, die die hätte finden müssen. Wir erinnern uns, dieser Staatsröhrner war schon mal in Karlsruhe. Und zwar eben 2008, das war ein Gesetz vom Verfassungsschutz, NRW, und wurde damals für nicht dich erklärt und hat gleichzeitig diese unten aufgeschriebene Grundrecht, auf Gewährleistung der Vertraulichkeit und Integrität informationstechnische Systeme konstituiert. Das heißt, seit mehreren Jahren haben wir diese Grundrecht, aber ich glaube so richtig über die Interpretation wurde erst mit der Veröffentlichung der Analyse des Staatsröhrners durch den CCC öffentlich meinigen politischen Raum und darüber hinaus debattiert. Insgesamt bin ich eigentlich mit der Interpretation des Urteils, mit jetzt ja mehr als sechs Jahren schon her, ein bisschen unzufrieden, weil ich glaube, dass viele Nuancen, die in diesem ziemlich weit sichtigen Urteil enthalten sind, sich in der einfach Rechtssetzung in Bund und Land nicht wirklich niedergeschlagen haben. Da gibt es nämlich zum Beispiel nicht nur um Introjana und die Frage, wo welches System man infiltrieren kann und mit welchen technischen und rechtlichen Hürden, sondern da wurde auch darüber gesprochen, wie es sich mit Festplatten verhält, also der Durchsuchung von Festplatten ohne dass man Trojaner besitzt, sondern bei der Beschlagnahme, aber so richtig in die Rechtssetzung und auch so in diesen justizches Schriftum hat sich nicht verbreitet. Entsprechend ist mir das wichtig, diese Urteil nochmal zu erwähnen und die Anhörung jetzt in Karlsruhe hat natürlich einige darüber hinaus debattiert. Schlicht, weil die Fakten 2008 so noch nicht bekannt waren. In Bezug auf die Details der technischen Umsetzung diese Staatstrojaners, aber sicherlich haben auch die zwei Jahre Snowden und die Debatten um IT Security und um Schadsoftware, möglicherweise auch automatisierte Verbreitung von Schadsoftware, generell die technisch angebliche Omnipotenz der Geheimdienste in dieser Debatte eine Rolle gespielt in gewisser Weise. Zudem war an dem Tag oder kurz vorher in der Nacht eigentlich davor, waren die Daten vom Hacking-Team-Hack öffentlich geworden. Ich hatte dann noch verzweifelt in der Nacht nach Hinweisen in diesen 400 Gigabyte, die aus mehreren Hotelnetzen zusammengeschnort habe, nach Hinweisen auf den Kauf von Hacking-Team Malware durch den deutschen Staat oder deutscher Behörden gesucht und bin auch fündig geworden und habe dann tatsächlich auch noch gerade quasi live in Karlsruhe erwähnen können. Also auch mehrere LKAs und BKA waren Kunde von Hacking-Team. Zumindest gab es geschäftliche Beziehungen und die haben sich mal so ein bisschen die Malware zeigen lassen. Der BKA-Gesetz ist ziemlich lange her, das hat beschlossen worden, das ist noch aus der Zeit der großen Koalition, also der davor, 2008. Und er dreht sich bei dem BKA-Gesetz insbesondere um den internationalen Terrorismus, also sozusagen die Klammer vor dem Gesetz, d.h. die Vorfeldbefugnisse, also Vorfeld im Sinne von, bevor irgendeine Straftat faktisch passiert, wo man jemand verfolgen könnte aufgrund eines konkreten Verdachtes, sondern im präventiven Feld beziehen sich immer auf den sogenannten internationalen Terrorismus, der wie in den Verfassungsbeschwerden mehrfach moniert wurde, überhaupt nicht definiert ist in diesem Gesetz. Nicht wirklich, man hat so indirekte Definitionen. Schon alleine der Begriff Terrorismus ist schwierig zu definieren, aber schon erst recht internationaler Terrorismus war natürlich ein Geburtsfehler dieses Gesetzes, denn wenn man bestimmte Eingriffsbefugnisse, die hier sehr weit sind, Staatsreuer nachhalt, aber auch Rasterverhandlungen, Glauschangriff, Speerangriff, mögliche natürlich Telekommunikationsüberwachung, Internetüberwachung, aber auch Observationen und dergleichen. Wenn man das so lässt, dann wäre natürlich schön, weil man wenigstens eine Definition hätte, was denn mit diesem sogenannten internationalen Terrorismus gemeint sei, dann haben natürlich die Beschwerdeführer gerügt. Es sind also zwei Verfassungsbeschwerden. Die erste, die jetzt hier sozusagen für die Akten mit dem Verfassungsgerichts-Aktenzeichen hier benannt haben, vertreten Gerhard Baum und Bokateursch, die ja sehr bekannt sind für sehr viele Urteile, die sie in Karlsruhe in Sachen Überwachungstechnik erstritten haben. Die zweite war ein Team um Sönke Hilbrans, der die damalige Grüne Bundestagsfraktion vertreten hat, also sozusagen noch die jetzt ja mittlerweile mehrfach ausgetauschte Fraktionen, insbesondere Wolfgang Wieland und auch Claudia Roth, die auch vor Ort waren. Und die bisschen unterschiedliche Aspekte, aber sehr grundsätzliche Kritik an dem Gesetz dort niedergeschrieben haben. Die Verfassungsbeschwerden sind teilweise auch online zu finden, zumindest aber die Argumentation. Ich werde natürlich nicht auf die einzelnen Rechtsfragen eingehen. Die sind da dort in Karlsruhe immer auf sehr hohem Niveau debattiert. Da wird nicht viel erklärt, weil davon auch gegangen wird, dass alle Juristen, die da anwesend sind und natürlich sind es in der Metzerjuristen, sich mit der materie- verfassungsrechtliche Art gut auskennen, Sönke natürlich mehr auf die technischen Details eingehen, zumindest dann, wenn sie also rechtliche Abhängigkeiten in gewisser Weise haben. Und kann natürlich auch nicht alles referenzieren, das hat sehr viele Stunden ja dauert. Ich bin selber nicht mehr bis zum Ende geblieben, weil irgendwann muss ich zurück nach Berlin schaffen an dem Tag, also ich habe sozusagen letzte Stunde verpasst, weil so eine Fülle an Schwierigkeiten, auch komplizierten rechtlichen Fragen dort debattiert wurden, die übrigens nicht mal alle abgearbeitet werden können. Ich zeige nachher noch mal konkret sozusagen die Gliederung. Ich will noch noch trotzdem ein bisschen ausholen, weil also bevor zu der eigentlichen Anhörung kommen und den Fragen, die debattiert wurden, weil natürlich der Staatsröhrer, den ich jetzt nicht näher erklären will, aber wollte wenigstens noch mal sagen, worum geht es da. Wesentlich ist es eine staatliche Schadsoft-Ganomalware-Halt, die entweder die Telekommunikation ausspionieren soll oder aber auch den Zugriff auf die Festplatte ermöglichen soll und diese einen klassischen Ablauf hat. Man macht eine gewisse Zielsystemanalyse, die unterschiedlich genau sein kann. Man klöppelt diese Software zusammen, wenn man in der Regel von einem Dienstrester machen lässt, das ist so modular. Dann bringt man sie auf entweder remote oder aber wie in den Fällen, die wir später untersucht haben, ein CCC, in dem man direkt einen physischen Zugriff nimmt, in dem Fall, den wir untersucht haben, weil der eine Fingerte Zeugkontrolle am Flughafen, wo man den Rechner mal kurz aus den Augen des Besitzer nahm und dann diese Schadsoftware raufbrachte, dann hat man natürlich eine Komponente der Steuerung auf dem Zielsystem. Und ich habe jetzt noch fünftens Entfernung dazu geschrieben, aber wir wissen ja, sonst hätten wir die Binarys von dem Staatsröhrner, nicht bekommen können. Die Entfernung scheint optional zu sein. Die ist natürlich aber eigentlich vorgesehen, so im Behördenvorgehen. Im Behördendeutsch heißt die Remote Forensic Software ein interessanter Neusprich, weil natürlich nicht wirklich um nur forensische Analyse geht, schon gar nicht. Deshalb bei natürlich einige forensische, in Bezug auf die Beweissicherung, wichtige Techniken gar nicht eingehalten werden. Da man natürlich die Schadsoftware in der Benutzung modifizieren kann. Man kann Module nachladen. Entsprechend ist das eigentlich nicht wirklich eine forensische Untersuchung in diesem informatischen Wort. Es gibt eine Unterteilung, die aus meiner Sicht artificiell ist, die sich aber zieht, bereits seit 2008 durch alle Papiere, die seitens der Behörden da so kommen. Nämlich die Unterscheidung in den sogenannten kastrierten Staatstrojaner Quellen-TKÜ. Quellen-TKÜ steht für Telekommunikationsüberwachung an der Quelle, also auf dem Rechner. Dieser Trojaner soll nur ausschließlich die Kommunikation überwachen. Und dann der sogenannten Online-Durchsuchung, der dämlichste Begriff, den man sich vorstellen kann für eine Spionagessoftware, weil natürlich da nichts online durchsucht wird. Diana, der den vollen Zugriff erlaubt. Also eine Online-Durchsuchung hat deutlich höherechtliche und möglichst auch technische Hürden. Die Quellen-TKÜ wird in diesem, ja, in dem Milieu der Behörden eher mal verglichen mit einer Telekommunikationsüberwachung. Diese Argumentation zu widerlegen war uns schon wichtig, 2008, da war auch schon der CCC Sachverständiger, da hat damals Andreas Bug für uns gesprochen. Das haben wir natürlich diesmal auch betont. Ich werde auch kurz nochmal in aller Kürze allerdings nur nochmal kurz sagen, wie unsere technische Argumentation da war. Dennoch zieht sich durch diesen Gesetzentwurf auch, dass immer eine Unterscheidung gemacht wird, will man mit einem Trojaner nur eine Kommunikation abschneuchen oder ist die gesamte Festplatte der Durchsuchung geöffnet. Das sollte man halt im Hinterkopf haben. Ich habe noch mal ein Zitat aus 2007, damals gab es ja diese langen Fragenkataloge, die vom Justizministerium und Innenministerium beantwortet wurden, wo sie vor allen Dingen, also auf jeder Seite mal betonten, dass es dir auf gar keinen Fall zu erwarten sei, dass die RFS, also der Behördensprech vom Staatsrojaner irgendwann entdeckt wird, das hat sich natürlich dann falsch erwiesen, es war so ein bisschen wie ein Elefant im Raum in Karlsruhe, aber natürlich klar war das mit der ziemlich genauen Analyse von uns einige Dinge nicht mehr abzustreiten waren. Also bestimmte Argumentationen, die wir 2008 noch gehört haben, die wurden natürlich nicht wiederholt, da man ja durch die Analyse, die übrigens auch Teil der Akten wurde, in dieser neuen Anhörung, einige technische Fakten schlecht nicht mehr abstreiten konnte. Ich habe jetzt noch mal das Bild mitgebracht, ich werde aber nicht genau erläutern, was der von uns analysierte Digitastrojaner konnte. Ich habe jetzt nur noch mal eine Zusammenfassung gebracht, entsprechend unsere Analyse, die man ja nachlesen kann und die natürlich bei CCCDE hängt und eben auch zu den Akten dort gegeben wurde, ist es keine Quellenticker, sondern das war eben genau eine Unanlösung, weil eben diese Nachladefunktionen möglich waren. Vor allen Dingen war bei unserer Analyse vollkommen klar, dass es eklatante, wirklich sehr amatörmäßige, handwerkliche Mängel hatte. Implementierungsfehler, mehrere, die Befehle an den Trojaner wurden unverschüsselt übermittelt, die Datenausleitung passierte teilweise über ein Commod and Control Server in den USA, also wurde sozusagen auch noch in andere Justiktionen übertragen. Die Ausnutzbarkeit von Dritten war ohne Zweifel gegeben, wir haben ja selber ein Commod and Control Server gebaut. Hinzu kamen, dass die Behörden für die Vorlaufzeit, wir haben eine gewisse Vorwarnung vor der Veröffentlichung am 8. Oktober in der damals mit der Frankfurter Allgemeinen Sonntagszeitung als Frank Schulmacher noch lebte, eine Vorwarnzeit, die Behörden gegeben, die war nicht in der Lage, diesen Commod and Control Server abzuschalten, also da waren eine ganze Reihe von technischen Unzulänglichkeiten. Zusätzlich kam dazu eine Fernsteuerungsfunktion und damit auch eine Möglichkeit zum Nachladen, also nicht nur zur Befehle senden, sondern eben auch zum Modul nachladen und damit eben zum Ausführen beliebiger weiterer Schadsoftware, die man nachladen konnte oder aber auch entfernen konnte. Entsprechend war die Debatte sofort da über die Manipulation von Daten, aber auch der Platzieren von Daten, Löschen von Daten, was sozusagen technisch möglich gewesen wäre. Es waren von unserer Seite ein Reverse Engineering Projekt, also entsprechend können wir natürlich aus der Binary-Analyse nicht wissen, ob tatsächlich so was vorgenommen wurde, weil wir ja, wir hatten ja nicht den Source-Code oder aber auch eine Beobachtung der konkreten Benutzung, sondern Spionagesoftware, dennoch war die technische Möglichkeit gegeben, was natürlich gerade aufgrund des Urteils von 2008 nicht rechtmäßig ist und ja zumindest auch in einem Fall vom Landgericht Landshut teilweise auch als unrechtmäßig erkannt wurde, denn in dem Urteil von 2008 steht sehr klar, dass es nicht nur rechtliche, sondern auch technische Beschränkungen geben muss, dass man Quellen-TKU eine Quellen-TKU bleibt und eben keine Unanlösung ist. Es stellten sich noch so ein bisschen größere Fragen, die nämlich generell die Frage der Software-Sicherheit wegen der handwerklichen Mängel, aber natürlich auch der Beweis-Sicherheit, das bezieht sich dann so ein bisschen auf die sichere Protokollierung. Wenn man in einem Strafverfahren gegen einen Verdächtigen vorging, dann geht es sich hier insbesondere um einen Fall einer Firma, die Pharmazeutiker exportiert und importiert, die also als ganze Firma, sozusagen als Bandenkriminalität verfolgt. Da geht es natürlich auch darum, dass man, wenn man später in einem Strafverfahren verwenden will, wie beweist sich ja solche Daten, die man darüber erlangt sind. Die Fragen wurden jetzt in Karlsruhe relativ wenig angesprochen. Wir haben sie natürlich in der Stellungnahme angesprochen, aufgrund aber der Fülle von Problemen, die dort diskutiert wurden, war das nicht im Mittelpunkt. Das ist natürlich dennoch eine problematische Sache, denn wenn man sich später mithilfe seines Verteidigers wehren will, dann braucht man ja auch eine gewisse Sicherheit, dass nicht Daten auf dem System platziert, gelöscht oder modifiziert wurden. Und deshalb ist die Beweissicherheit natürlich nicht ganz unwichtig. Es spielte damals noch nicht so eine große Rolle 2008, weil das ja damals nicht ein BKA-Gesetz war, also ein Polizeigesetz, sondern ein Gesetz eines Geheimdienstes im Namen recht des Fassungsschutzes NRW. Und da spielte diese Beweissicherheit wenig in der Rolle, die sammeln ja in erster Linie Informationen und die sind ja für den Strafprozess dann weniger, oder für die Verteidigung in einem Strafprozess weniger von Bedeutung. Es gab einige politische Reaktionen, die ich hier in einer Kürze benennen will, war so eine Rolle spielt. Bei der Anhörung zum einen der konkrete Fall, den wir eigentlich nicht veröffentlichen wollten, aber wo der Betroffenen und sein Anwalt selbst an die Öffentlichkeit ging, nämlich gerade dieser Mensch, der in dieser Medikamente-Import-Exportfirma da arbeitet, der ist ja damit in die Öffentlichkeit gegangen, der war ein bayerischer Fall. Und der bayerische LKA und der bayerische Innenminister Hermann haben damals ja auch eingeräumt, diese Software zu benutzen. Deswegen gab es an den bayerischen Landesbeauftragten für den Datenschutz ein Ersuchen, die einstehigen Verfahren in Bayern zu berprüfen. Das ist auch geschehen. Die Stellungnahme findet sich mittlerweile im Netz und ist extrem interessant zu lesen, wer man Lust hat. Zwar gab es dort einige Mängel in Bezug auf die rückwärtige Überprüfung dieser Verfahren, weil einige Sachen einfach nicht einsehbar oder protokollierbar sind. Da konnte also der bayerische Landes-Datenschutzbeauftragte Petri nicht viel machen, dennoch lehste ich jetzt sehr interessant, gerade wenn man die Analyse der Staatsröhren aus vom TCC kennt. Diese ging natürlich in das Verfahren ein, da er eben nur der bayerische, wie auch der damalige Bundesdatenschutzbeauftragte Schrar, solche Berichte abgegeben haben, das ist nämlich die zweite politische Reaktion, dass der Innenausschuss ebenfalls so ein Bericht beauftragt hat. Der ist zwar geheim gestempelt gewesen, der hat aber seinen Weg in die Öffentlichkeit gefunden. Man findet den auf ccc.de und so war in den Akten, man kriegt, wenn man Sachverständiger ist, immer so ein richtig großen Stapelpapier, sehr viel Papier. Da war er dabei, aber in der Version, wie er auf cc.de stand, da der Geheimstempel da nicht mehr vorhanden war, konnte der wohl in die Akten kommen. Der ist ebenfalls interessant, weil Peter Schar dort einige Details veröffentlicht hat über die Praxis des Einsatzes, die wir natürlich aus einer Reverse-Engineering-Analyse nicht wissen konnten. Insbesondere die Transkription eines Telefonsexgesprächs, das also nicht nur aufgezeichnet wurde, was rechtswidrig ist, sondern auch noch transkribiert. Aber generell auch viele Mängel, die wir vermutet hatten, aber die erst durch diese Berichte eigentlich wirklich bestätigt wurden. Insofern waren die wichtig, die dieser Bericht ging natürlich auch in diese Anhörung ein. Es gab damals auch einige Versprechungen. Ihr erinnert euch, war diese kurze Episode in der Berliner Politik, wo Friedrich unser Innenminister war, CSU, wenn sich noch jemand erinnert, deswegen habe ich mal ein Bild dahin getan, wo lange auch um die Frage der Überprüfung ging, also um die Frage, wer sieht eigentlich den Quellkurt ein, wer kann ihn potenziell einsehen in Bezug auf die Behörden, in Bezug auf den Richter, der dazu genehmigen hat, in Bezug auf die Betroffenen, die möglicherweise im Strafprozess damit später konfrontiert sind. Und die Frage, ich habe Sie jetzt hier mal aus dem Interview kurz nach der Veröffentlichung im Oktober 2011, nämlich überhaupt jemand in der Lage ist von den Beamten diesen Trojaner von Digitast zu überprüfen und das hat damals mit großer Selbstverständlichkeit der Innenminister bejaht, bestand bis 2011 die Zensvertrag mit den BKA-Fürgerinnen genau diesen Digitast-Trojaner, den es allerdings in verschiedenen Versionen gibt, der den Zugriff auf den Quellkurt vertraglich ausgeschlossen hat, also ist diese Antwort faktisch falsch, also und auch tatsächlich falsch. Zum anderen war bei diesem Trojaner keine Möglichkeit vorgesehen, dass man Kernbereichsrelevante Inhalte unter Beiberhaltung der Protokollierung löscht. Das war einfach technisch nicht vorgesehen. Warum erwähnen Sie es? Die Kernbereichsfrage ist eine sehr entscheidende. Der Kernbereich privater Lebensgeschaltung ist der juristische Begriff für die Intimsphäre eines Menschen und zu unterscheiden von der Privatsphäre. Meinen tatsächlich Gespräche mit sehr engen Freunden oder Verwandten über den Kernbereich der Lebensgeschaltung. Es ist ein typischer juristischer Begriff eigentlich, aber ich finde ihn ganz treffend, wenn man darüber nachdenkt. Dieser Kernbereich, der es in Deutschland in dieser Weise geschützt hat, dass er an der Menschenwürde angebunden ist und entsprechend nicht verletzt werden darf. Deswegen war diese Frage der löschung, der technischen Möglichkeit der löschung natürlich wichtig. Ich komme nachher nochmal auf den Kernbereich zurück, weil das war einer der zentralen, also von den zwei zentralen Punkten, die dort sehr intensiv debattiert wurden. Ich kann tatsächlich nicht in der epischen Breite, wie das dort war, fast zwei Stunden debattiert wurde, wiedergeben, weil wir versuchen, die Essenz und möglicherweise auch die Implikationen, die sich für das Urteil und auch für die Zukunft der Infiltration von unseren Rechnern und allen informationstechnischen Systemen, das betrifft ja nicht nur Rechnern, sondern auch für alle informationstechnischen Systeme daraus ergeben wird. Insgesamt wird es nochmal betonen, alle Maßnahmen, die später bekannt wurden, auf Landeshaupt- und Bundesebene, wurden auf Basis von richterlichen Maßnahmen, also Anordnung durchgeführt und es in Deutschland so vorgeben, war auch immer so. Aber daran sieht man natürlich, dass der Richtervorbehalt, der ja immer wie so ein bisschen wie so eine Monstranz als politischer Argument von Politikern vor sich hergetragen wird, letztlich natürlich faktisch gar nichts bewirkt. Die haben den Digitas Trojaner mit all den Unzulänglichkeiten, vor allem aber auch mit den rechtlichen Überschreitungen, nämlich, dass nicht nur Telekommunikation abgegriffen wird, mal alle durchwunken. Schon aufgrund der faktischen Unmöglichkeit wirklich zu prüfen, die müssen ja da letztlich glauben, was der Herr Schaller Ihnen versichert hat. Es gab noch ein paar politische, ich komme tatsächlich gleich zu der Anhörung wirklich, es gab noch ein paar politische Versprechungen, ich musste nur deshalb erzählen, damit man weiß, welche alle nicht eingelöst wurden und weil ich darauf gleich zurückkomme. Man hatte damals versprochen, im Alfa des Gefechts wahrscheinlich ohne sehr viel nachzudenken, man muss ja nur irgendeine der Presse geben, die sich ja aufregte über diese Staatsröhrener-Veröffentlichung, dass man vorhandene Software-Lösung bundesweit evaluiert, dass man vor allen Dingen eine standardisierte Leistungsbeschreibung, also so eine Art Pflichtenheft, entwirft und einen Qualitätssicherungsprozess unter Einbindung eines unabhängigen Expertengremiums einberufen wird. Diese Expertengremium, die sind unabhängig, ist dann irgendwie der Geschichte, unter dem Schleier der Geschichte verloren gegangen, darüber redet heute keiner mehr übrig geblieben ist, aber die standardisierte Leistungsbeschreibung, die tatsächlich existiert, die ist laut den Angaben im BKA in der Anhörung so etwa zehn Seiten lang und beschreibt eben, welche technischen Vorstellungen sie haben, vor allen Dingen für die Teile, die sie nicht selber entwerfen sollen, dazukommen. Dann war die zweite wichtige politische Versprechung, dass sie anfangen, die staatliche Software letztlich selbst zu entwickeln. Insbesondere im Bereich der Quellentäkerüde, das war immer nur für die Quellentäker übertont, nicht aber für die Online-Unsuchung, wahrscheinlich aufgrund technischer Schwierigkeiten das zu tun. Und zwar im Kompetenzzentrum Informationstechnische Überwachung im BKA. Faktisch hat sich dann aber in den Jahren, das zieht sich ja, also ich erinnere daran, Urteil 2008, BKA-Gesetz, erst Jahre später wirklich in der Anhörung zu sprechen, zwischendurch die Veröffentlichung, dann noch die neue Debatte über IT Security und Malware im Rahmen des Notenveröffentlichungs. Also da ist ja eine ganze Menge Veränderungen und ich glaube auch eine gewisse Veränderung der Sicht auf solche Spionages auf der staatliche hinzugetreten. Es ist ja nicht nur die Veröffentlichung des Staatsführer, natürlich in die CEC, sondern die Veröffentlichung von Citizen LAP erinnern. Also sich überhaupt staatliche Malware genauer anzusehen und deren Fähigkeiten ist also ein bisschen zum Trendsport unter Aktivisten geworden. Das spielt natürlich alle in die Diskussion in gewisser Weise hinein. Obgleich man im Hinterkopf haben muss, dass dann erst mal Juristen streiten, denen man natürlich versuchen kann, einige technische Fakten mitzugeben, um sie möglichst in die Entscheidung einfließen zu lassen, für uns die zentrale Motivation zu machen. Anders als es versprochen wurde, war tatsächlich dann so, dass sie zwar erstmal den Digitastrojaner zu den Akten gelegt haben, aber tatsächlich 150.000 Euro den Findfischer, also die Malware von Gamma, gekauft haben. Es gibt auch dazu eine Bestätigung. Ich habe hier mal ein Stück von Netzpolitikorg, die damals bei dem BKA mal nachgefragt haben, ob die Pressebrichte und auch die Summen stimmen, aber eben auch Kontakte zur Hacking-Team, die eben ganz kurz vor der Anhörung öffentlich wurden. Der BKA hat seine Fühler ausgestreckt bei den wenigen fragwürdigen Firmen, die da solche staatliche Spionage-Softwaren bieten. In der Anhörung kam tatsächlich, da sind auch, also zumindest einige, zumindest zwei vom BSI und vom BKA technisch Sachverständige von Seiten der Behörden dort gewesen, haben sie immer nur betont, dass es vor allen Dingen um die Eigenentwicklung geht. Also diese kognitive Dissonanz zwischen, wir haben uns eigentlich mit all diesen Firmen getroffen und teilweise eben auch Geld bezahlt, auch an, ja, Solutions, also da waren noch andere Firmen, wo man versucht hat, mal Test reinzumachen. Die wurde da gar nicht näher besprochen, da wurde immer nur betont, dass wir als BKA quasi wie jetzt Eigenentwicklung jetzt wurde sehr betont. Ich will noch mal kurz ein paar Grafen nennen im BKA-Gesetz. Das ist der 20K, der diese Undernlösung erlaubt. Der ist im Wesentlichen, lehnt sich sehr stark an den Urteil an. Also man hat die Gründe, die in dem Urteil 2008 stehen, relativ gut kopiert in das Gesetz und beschreibt eben den sogenannten, also im Behördensprech, verdeckten Eingriff Informations-, Informationstechnisches Thema. Also eine sehr breite Definition von Spionagesoftstär und vor allen Dingen auch von den Geräten, die betreffen kann. Dieser Begriff ist ja eigentlich nicht von den Behörden geprägt, sondern stammt auch aus dem Urteil, 2008 haben die Richter schon sehr klar gesehen, dass wir hier nicht über PCs reden, sondern sie haben nicht nur Mobiltelefone, sondern alle Informationstechnischen Geräte reingenommen. Das war aus meiner Sicht sehr weit sichtig und es wurden wir, glaube ich, heute auch noch sehr viel stärker über Spionagesoftware für Computer reden und nicht für alle möglichen Geräte, die computerartig sind. Ich hatte zu der Abgrenzung schon einige gesagt, die ist heute nicht klarer als früher, darauf haben wir auch in unserer Stellungnahme wieder quasi rumgehackt. Es ist in dem Urteil auch schon sehr klar, dass der eigentliche Schritt und die Grundrechtsverletzung die Infiltration des Systems ist und nicht unbedingt, was dann nachgetan werden kann. Aber juristisch ist das natürlich eine Unterscheidung. Vor allen Dingen wird sie aber von den Behörden sehr häufig benutzt, weil man eben bei der Qualitikerü sagt, hey, das ist ja nur TM-Kommunikation, die wir da ausleiten. Sie ist es natürlich nicht. Ich habe jetzt hier mal als Beispiel die Application-Shots, die im Rahmen dieser Trojaner gemacht werden können. Die natürlich wiederum Daten, die mit der laufenden Telekommunikation zusammenhängen, die gar nicht betreffen. Das ist natürlich ein Problem, was man technisch nicht so richtig lösen kann. Da hat ja nicht wirklich eine Semantik gibt bei dieser Spionagesoftware. Es gibt ja nicht wirklich eine Unterscheidung, bei welcher Semantik von Daten wir hier reden sollen. Man hat ja bestimmte Funktionen, die man einprogrammiert und eben nicht nur Unterscheidungen der inhaltliche Art, was da gerade auf dem Rechner läuft und welche Daten man jetzt hier aufzeichnet und ausleitet. Ich fand noch ganz nett, die ist nicht von mir, diese Analogie, die Juristen bemühen sich ja immer sehr um Analogien. Aber ich fand sie eigentlich nicht schlecht. Das ist eine Analogie zu E-Mails. Man hat sich also diese Qualitikerü, die ja auch E-Mail-Kommunikation betreffen kann, nicht immer nur Skype und andere in der Telefonie, ganz hübsch beschrieben mit der Forschung, dass man ein Brief, ein Papierbrief, den man schreibt, schon beim Absenden auf dem Schreibtisch, bevor man die überhaupt in den Umschlag steckt und wegschickt. Aber aus meiner technischen Sicht würde ich natürlich hinzufügen, dass man auch alle Vorweisen mitliest. Also etwa bei der E-Mail, wenn die Sachen weglöschen. Das war ja auch gerade die Problematik, also oder gar nicht Abschicke. Bei den Applicationsschutz war man ja letztlich erfasst, was jemand tippt, ob er später zur Kommunikation macht, in dem er es abschickt oder nicht. Natürlich schwierige technische Fragen, wo oft betont wurde, dass man versucht, technische Lösungen zu finden. Aber aus meiner Sicht natürlich illusorisch. Man wird, wenn man die Browserfenster mit so einem Screencast festhält, nicht unterscheiden können, ob die Sachen, die da getippert werden, jemals eine Kommunikation werden, weil die Entscheidung eben ja dann erst fällt, wenn jemand die E-Mail abschickt oder auch die Chatnachricht. Danke. Okay, ich will ein bisschen mal zu der Anhörung sagen. Wie gesagt, es ist viele Stunden lang, ich möchte aber zwei Dinge erwähnen. Deswegen diese wunderbare Bild. Die eine Person wir wahrscheinlich alle kennen, das ist unser Innenminister, den wir sehr daneben, ist noch eine der unbekannte Frau, die heißt Andrea Fossoff, dass unsere Bundesdatenschutzbeauftragte die glänzte durch Abwesenheit ist. Also die Prüfbehörde, die die BKA überprüft, die ist nicht erschienen zu der Anhörung. Das fand ich bemerkenswert. Bemerkenswert ist aber genauso, dass der Bundesinnenminister gekommen ist. Er hat sehr viele Anhörungen in Karlsruhe erlebt, wo die betroffenen Ministerien nicht erschienen sind. Und es ging sogar so weit, dass der Vertreter der Bundesregierung dauernd war, Christoph Müllers, also als Jurist, sozusagen bevollmächtigter, auf seinen Eingangsstatement, was das üblicherweise besprochen wird, verzichtet hat. Und selber ist ja auch Jurist dafür ein Statement gegeben, also keine juristische Argumentation, sondern eine politische Rede. Was eine bemerkensweite Sache war, war der Minister in meiner früheren Erfahrung, Karlsruhe, ich bin ja kein Jurist, aber ich habe ja einige in dieser Anhörung teilgenommen, waren die Minister in der Regel nur durch Abwesenheit glänzen. Insofern war natürlich eine politische Statement, aber auch für die Presse dann interessanter, wenn der Minister aufläuft und aber auch eine Rede hält. In der Rede hat da im Wesentlichen gesagt, dass ohne BKA-Gesetz wir von ISIS-Terror in Deutschland bereits überzogen worden wären, dass es sich lediglich um 340 Gefährder handelt, die damit hier in Deutschland verfolgt werden. Er hat aber auch gesagt, dass es derzeit nur weniger als fünf Quellen-Täker-Üs gibt und seit 2009 auch nur eine Online-Durchsuchung. Also dass es sehr sparsam eingesetzt wird, aber das hat natürlich die Juristen nicht überzeugt. Dann geht ja nicht darum, wie die Praxis in den Behörden derzeit ist und wie technisch unzulänglich die Spenagesoffe ist, sondern was man in dem Gesetz eigentlich erlaubt. Ich habe jetzt mal so eine Verhandlungssiedel mitgebracht, nur wenn man eine Vorstellung bekommt, was da so besprochen wurde, gibt also so ein bisschen formalien Sachbericht und ein leidendes Stellungnahmen, die in dem Fall eben der Minister selbst gemacht hat, auf Seiten der Beschwerdeführer, dann Vokatürsch und Sönke Hebrans für beide Beschwerdeführer, Seiten, die ein bisschen unterschiedliche Argumentationen haben und dann kommt man zu einer stundenlangen verfassungsrechtlichen Bewertung, die aufgeteilt wird in einzelnen Problemen bereichen. Die Befugnisse gesprochen im Einzelnen, also die technischen Überwachungsbefugnisse. Welche Voraussetzungen gibt es dafür? Welche technischen Gegebenheiten? Wie ist die Praxis, sowohl die Verwaltungspraxis wie auch die technische Praxis? Dann im zweiten Teil ein wichtiger Kern war, wie ist der Kernbereich Schutz gegeben? Wie wird es technisch, praktisch und in dem Gesetz selbst umgesetzt? Es hat sehr unterschiedlich für die einzelnen Paragrafen, insbesondere 20, also Karbis, die haben verschiedene Buchstaben und verschiedene technischen Überwachungsmöglichkeiten, die dort erlaubt sind. Und da waren teilweise die Voraussetzungen unterschiedlich. Es wird dann einzeln besprochen. Und die Berufsgeheimnisträger, wie im Ärzte- und Vereinigbaranwalte, wurde natürlich viel gesprochen, sind sehr viele Juristen, da wurde nochmal extra, so ein, ja, ich sag mal, mehr Verfassungsbeschwerden und Urteilen vorher, sind Berufsgeheimnisträger eben besser gestellt und da hatte man verschiedene rechtliche Mängel. Dann gehen wir in den dritten Teil, der ein bisschen kürzer war, um Benachrichtigungspflichten von Betroffenen, die so ein Treuer nachkriegen oder sonst irgendwie überwacht werden, späher Angriff, da gibt es ja auch die Möglichkeit, Wansen in Wohnungen, längerfristige Observationen, optische Überwachung und so weiter, Rasterverhandlungen, wie der Rechtsschutz aussieht, wie sie auf sich der Behörden aussieht, von der nicht anlesenden Bundesratenschutzbeauftragten, dann aber auch, wie wird protokolliert, in den Berichten. Dann gab es zwei letzte Teile, die die Übermittlungen dieser Daten aus den verschiedenen technischen Überwachungsarten ins Inland betreffen, denn wir haben eine Zweckbindung und man kann die ja nicht einfach an anderen Behörden, die möglicherweise ganz andere Zwecke haben, übermitteln, da gab es also Kritik und noch so ein Teil übermittlungsausland, also da meine Datenhandel unter den Behörden ist ja bekannt, die aber deutlich kürzer behandelt wurden und der Trojaner war halt insbesondere eine Rolle spielend. Ich will mal, ich will ziemlich kurz unsere Argumentation mal darlegen. Ich hatte das Glück, relativ viele dieser Punkte auch mündlich sagen zu können. Diese Anhörung sind nicht immer so, dass sich alle Sachverständigen darauf verlassen können, dass sie ihre Argumentation auch bringen. Es lag vor allen Dingen an der Fülle der Fragen, aber so ein bisschen auch an der Verhandlungsführung. Es ist nicht immer sehr strukturiert, es gibt vor dieser Anhörung immer noch so eine Besprechung mit den Betroffenen, also die Beschwerden, die Bundesregierung, die da übrigens BMI kam, mit einer Kompanie da angereist, wo die Richter unnummer betonen, dass sie natürlich auch einen Dialog wollen. Es ist nicht immer so festgefahren, das hat schon was von der Verhandlung und dem Gespräch, aber das führt natürlich dazu, dass nicht alle Sachverständigen alle ihre Punkte auch machen konnten und da hatte ich also ein bisschen Glück, weil ich relativ thematisch, relativ früh dran war und B. Das Interesse an den technischen Fakten verhältnismäßig groß ist. Der zuständige Berichterstatter, Prof. Marsing, der hatte natürlich über die Jahre, die in Karlsruhe da schon liegt, zu den juristischen Fragen ein wenig geschrieben, also es gibt ein vielseitiges Gutachten und davon nochmal eine Exapierung und so weiter, aber diese technischen Fragen waren schon von einem gewissen Interesse. Also hatte ich halt Glück, dass ich es doch relativ deutlich machen konnte. Ich will es aber nur in ein paar Stichpunkten sagen. Zum einen ging es uns und da steht es natürlich so, in der Stellungnahme und nochmal um die Abgrenzung und wo wir die Schwierigkeiten zwischen der Abgrenzung zwischen einem kastrierten Staatstrojaner und der Onlinelösung sehen und wie schwierig es eigentlich ist in der Unterscheidung und dass wir letztlich aus einer technischen Perspektive sagen, das ist eine rein technische Beschränkung, die letztlich wenig aus technischer Perspektive wenig Sinn macht. Wir haben die Risiken, die sich natürlich damit verbinden angesprochen, das war uns auch wichtig in die Debatte um die Frage der Zukauf von Sicherheitslücken generell, befeuert man mit Behördengelder diesen Schwarzmarkt. Da wollten wir nochmal diese Problematik aufwerfen, indem man zulässt, dass der Staat sich Sicherheitslücken kauft, diesen Schwarzmarkt natürlich damit auch finanziert, dass man da neue Schwierigkeiten in der IT-Sicherheit aufmacht. Wir haben natürlich über den Kernbereich gesprochen, also wie es überhaupt möglich, dass man nach Spionagesoftware sagt, hier beginnt die Intimsphäre eines Menschen und war das also technisch nicht möglich. Es ist nicht immer leicht zu übersetzen, weil natürlich so die Vorstellung, also die Vorstellung davon, was eine technische Software kann in Bezug auf die Unterscheidung worüber ein Mensch gerade spricht oder welche Art von Daten auf der Festplätze gesucht werden, oft so eine Art Science-Fiction-Wissen, wie bei Science-Fiction-Filmen und die Vorstellung, so ein Computer könnte quasi auch semantisch unterscheiden, worüber jemand gerade spricht und darüber mal zu sprechen war uns wichtig und dann die Frage der nachträglichen Prüfung, also die Frage des Qualkots. Wer sie denn ein, wer darf später auch auf die Binarys Zugriff nehmen, wenn er zu dem Einsatz sich auch dagegen wehren. Ist eine Musterprüfung, wie sich die Behörden das vorstellen, also dass man von der Firma, mit der man zusammenarbeitet eine Art Baumuster kriegt und dann gilt die Zertifizierung für alle. Das ist überhaupt die Problematik bei diesen Zertifizierungen. Im Falle des BKA Trojanas machte die BSI, prüft aber nur die Krypto. Also dann natürlich die Frage der Dienstleister, da war der Hacking-Team Hack, der ja eine unmittelbar vorher schon in den Medien war, so ein guter Beispiel, an dem man einige von den Prozessen in diesem Markt, wo diese Sicherheitswirken vertickt werden, die ja wie wir sowieso aus den NSA- öffentlichen Wissen im Wesentlichen von Staatsgeltern bezahlt wird, konnte man nochmal klarmachen, dass die natürlich ihrerseits Sicherheitsprobleme haben, nicht nur dass sie irgendwie mangelhafte Qualität liefern in Bezug auf die Spionagessoftware, sondern dass sie selber offen bei ihre Netze nicht sichern können. Was wir auch in die Stellungnahme geschrieben haben, ist natürlich aber die Frage, die Gericht selbst, Gesamtüberwachungsrechnung nannte in einem früheren Ort. Also die Frage, welche Art von technischen Überwachung wollen wir eigentlich zulassen und muss man nicht mal darauf achten, was kommt da eigentlich zusammen? Und ist das nicht für diese Kernbereichsrelevanten Fragen, also wo, ab wann beginnt es eigentlich, wo man eine vollständige Leuchtung eines Verdächtigen, und in diesem Fall sind es ja nicht mal Verdächtige, die haben, wo eben gerade keine konkreten Tatverdachte vorliegen, sondern nur eben Verdächtigungen, Gefährder. Wann hat man die denn komplett durchleuchtet? Also es war uns relativ wichtig, diese Fragen nochmal aufzuwerfen, die das Gericht ja selber mal betont hat. Ich will deswegen an diesem dritten Leitsatz aus dem alten Urteil nochmal erinnern, denn die Problematik, dass natürlich wir auf diesen Rechnern und Mobiltelefonen, die unser ausgelagertem Gehirne sind, unglaublich viel private Sachen, aber eben auch intime, in diesem justischen Sinne, der Intimsphäre zuzuordnenden Daten haben, Filme und auch Kommunikation, war mir wichtig und es wurde schon 2008 betont. Denn, sagt hier ganz klar am dritten Leitsatz, das hat Gesetz dazu solchen Eingriffen ermächtigt. Vorkehrung enthalten muss um den Kernbereich zu schützen. Und genau das ist nicht passiert und schon gar nicht in einer konsistenten Weise. Das haben die Beschwerdeführer auch sehr gerügt. Also um mal ein bisschen zu urakeln für das Urteil, geht schon davon aus, dass insbesondere dieser Kernbereich Schutz ein Knackpunkt sein wird. Und das hat auch gar keine Zweifel, dass das BKA-Gesetz zumindest in Teilenverfassungswidrig sein wird. Sie haben, muss ich schon sagen, in der Anhörung des BMI und auch den Vertreter, den Rechtsvertreter Möllers da schon ganz schön auseinandergenommen, denn die Rechtsprechung ist eben relativ deutlich aus Grazruhe. Vor allen Dingen aber, dass man in verschiedenen technischen Überwachungsmaßnahmen den Kernbereich Schutz nicht überall überhaupt gut geregelt hat. Also, ich denke daran, daran wird sicherlich das BKA-Gesetz auch schreit dann. Sicher wird das Urteil, aber also wird sicherlich nicht sagen, der Schatz Heuerner wird insgesamt zu den Akten gelegt. Da sind meine Hoffnungen gering, obwohl ich es mir natürlich wünschen würde, wird sicherlich wieder sowohl als auch. Dennoch, aus meiner Sicht wird diese, die Frage, wie sie in ein Gesetz schreiben, wie sie bei solcher Infiltration diese Menschen würde schützen, die würden eine zentrale Rolle spielen. Ich habe jetzt nochmal kurz die Ableitung, aber ich lasse das jetzt mal weg. Das spielt vor allen Dingen eine Rolle, dass wir wissen, ob bei der technischen Überwachungsmaßnahme möglicherweise Kernbereichsrelevante Erinnerte dabei sind. Würde da zu einem wirklich intimen Gespräch kommen, da ging es um eine interessante Frage. In Karlsruhe die ganze Zeit, nämlich ob man mit einer automatisierten Aufzeichnung, wo also kein Mensch rüber guckt, den Kernbereich vielleicht schützen würde, wogegen sich die Beschwerdeführer extrem gewährt haben, weil sie gesagt haben, damit würde man ja quasi in der Automatisierung eine Speicherung auch von möglicherweise Kernbereichsrelevanten immer betonen. Das darf nicht aufgezeichnet werden. Die Verletzung ist nicht okay, egal was man jemandem beschuldigt. Diesen Kernbereich der Menschen sichert man jedem Menschen zu. Und den Menschen, die dort überwacht werden, denen wird keine Art von konkreter Tat Verdacht vorgeworfen. Das ist nur eine präventive Befugnis. Entsprechend. Es wird ein interessanter Punkt, betrifft aber auch das Löschen der Notizen die sie auch in dem Bericht von Peter Schar gesehen haben, was ja auch tatsächlich passiert ist. Ein ganz bisschen wirkt noch über die nahezukunft treten, die in Karlsruhe nicht mehr intensiv zur Sprache kam. Zum einen wird wohl informationstechnischer Geräte sein in ein paar Jahren, die der Infratation offen stehen. Das ist natürlich eine offene Frage. Die wurde auch schon 2008 besprochen, aber in den Jahren hat sich natürlich auch eine Menge getan die nicht digitalisiert sind. Das ist aus meiner Sicht natürlich eine sehr spannende Frage und dann Karlsruhe wurde häufig schon zum Volkszählungsurteilszeiten relativ weit in die Zukunft geblickt. Das ist meine Hoffnung, dass man daran denkt, aber natürlich auch die ganze Frage der Menschmaschine Symbiose oder sogar die Frage wird später in der Infratation solche Folgen wie eine Körperverletzung haben können. Also etwa wenn man denkt an die Geräte oder so, die ja auch informationstechnische Geräte sind, die hackbar sind etwa wenn man jemand belauschen will, dass man dessen Hörgerät abschnorchert also ob man da in Bereiche kommt, wo man jemand nicht nur in seiner Menschen wurde, sondern auch physisch verletzen kann solche Fragen. Ich denke aber für das Urteil im Konkreten wird es natürlich keine große Rolle spielen, aber aus meiner Sicht ist die Diskussion darum eine, die wir uns nicht nehmen lassen sollten wenn wir über die Zukunft im Wesentlichen ist das meine Zusammenfassung. Mir ist natürlich klar, dass viele Aspekte, die dort besprochen wurden vor allem juristische Natur, in denen ich referiert habe, gab natürlich eine Berichterstattung im Einzelnen, ist das aber nicht protokolliert. Man hat eigentlich keine Möglichkeit, die vielen Knackpunkte, die dort angesprochen wurden nochmal näher nachzulesen. Dennoch wurde natürlich im Herbst oder im Winter, wenn das Urteil kommt, auch eine längere Urteilsbegründung lesen. Was mir persönlich wichtig ist, ist, dass wir alle dafür sorgen die Öffentlichkeit herzustellen. Das heißt, dass mit Urteil was kommt, aber auch die Folgen aus dem Urteil, dass wir daran mitwirken, wie das interpretiert wird, dass wir dafür sorgen, dass es eine öffentliche Debatte gibt und diese staatliche Infiltration nicht zu den Akten gelegt wird, sondern wir wissen, wir haben mit dem Staatsrahmen etwas falsch gemacht, aber jetzt haben wir etwas geregelt und nach dem Urteil werden sowieso wieder alle sagen, aber auch die Bundesregierung, dass sie ganz zufrieden mit dem Urteil sind, also erwartet mit hoher Sicherheit. Und ich denke, wir müssen vor allen Dingen dafür sorgen, dass wir diese Urteil mitinterpretieren und was wir daraus lesen, dass wir vor allen Dingen aber eine Öffentlichkeit dafür herstellen, dass diese staatliche Infiltration nicht zum Normalfall wird. Weil nicht nur, dass jetzt auch die Bundeswehr irgendwie anfängt, über offensive Maßnahmen nachzudenken und die Geheimnienste sowieso den ganzen Schwarzmarkt finanzieren, sondern wir müssen in diesen Markt einsteigen, dann ist es sehr glaub ich aus meiner Sicht überhaupt nicht mehr einzudämmen und noch für mehr Firmen von dem Kaliber von Gamma und der Hacking-Team werden sich da breit machen. Insofern ist es zu sagen, auch meine Aufforderung an euch alle und an alle, die irgendwie mitwirken am öffentlichen Diskurs, darauf zu achten, wenn der Urteil kommt und möglichst daran mitzuwirken, diesen Staatsrahmen nicht zu einem alltäglichen Ermittlungsinstrument zu machen und letztlich, wahrscheinlich würde jetzt hier niemanden überraschen, auch und gerade nach dieser Anhörung, unbedingt mehr denn jeder Überzeugung, dass die staatliche Infiltration von Informationstechnischen Systemen nicht rechtlich erlaubt sein sollte. Und bedanke mich für eure Aufmerksamkeit. Okay, danke Constanze. Wir haben jetzt ungefähr 15 Minuten Zeit für den Q&A. Davor gibt es allerdings noch eine kurze Durchsage von der Security und der Fahrzeuge des Fahrzeuges Berlin JF236 sofort bei Honkhase melden und unter der M110 unterdeckt. Bitte sofort melden. Wer ihn auch kennt, möge bitte sofort Bescheid sagen, der parkt ungefähr 400 Autos zu. Dankeschön. Also wer jetzt noch nervt wird zu fragen, kann das gerne tun. Ich weiß, dass ich immer relativ schnell rede und jetzt relativ viele Informationen in die Zeit gepackt habe. Aber wenn ihr Fragen habt, könntet ihr natürlich gerne stellen, entweder jetzt hier oder ich bin natürlich auch die ganze Zeit da. Gut. Wer Fragen hat, ans Mikrofon und dann geht es los. Ja, ich habe eine Frage zu dieser Benachrichtigung nach dieser Maßnahme. Ist es nicht so, dass das jetzt auch schon bei den normalen Telefonüberwachung nicht so wirklich immer erfolgt? Also auch sowohl für den Trojaner, wenn es jetzt nicht gerade ein geheimnisiger Trojaner ist, gibt es eine Benachrichtigungspflicht. Es gilt auch für Telekommunikationsüberwachung und andere Überwachungsmaßnahmen. Aber in all diesen Gesetzen, wie auch hier im BKA-Gesetz, gibt es natürlich Ausnahmen, die diese Benachrichtigungspflicht aussetzen. Die sind verschiedene rechtliche Natur. Meistens haben sie damit zu tun, dass Ermittlungen noch laufen gegen andere. Also es gibt meistens so 3-4 Gründe. Ehrlich gesagt, für den Staatsrojaner konkret kenne ich keinen Fall, der benachrichtigt wurde, kein einzigen. Allerdings ist natürlich auch die Anzahl insgesamt nicht sehr hoch bisher. Der Einsätze. Ich kann dich nicht sehen, aber sprich einfach. Ja, eine Frage, die du sprachst, das Bundesministerium des Inneren bei der Anhörung so in Kompaniestärke angereist sei und du hattest von diesem ungewöhnlichen Vorgang berichtet, dass der in den Minister selber gekommen war, aber nicht die Datenschutz beauftragte. Dazu jetzt eine Frage. Müssen die sich dann eigentlich alle persönlich vorstellen? Beziehungsweise waren das Leute, die aus dem Stab der BMI waren? Oder waren das eben auch Leute aus den Stäben, die für BKA, Verfassungsschutz und so weiter zuständig sind? Ja, ich weiß jetzt nicht, ob das von allgemein Interesse ist, aber ich kann mir mal 2 Minuten nehmen, mal zu erklären. Zunächst mal, wer ist in den letzten Jahren aufgefahren, wenn es um technische Überwachung geht, aber wir hatten ja auch noch nicht mit Überwachung zu tun, sondern auch mit Wahlcomputer oder so. Es gibt immer einen Wunsch der Richter, Leute aus der Praxis einzuladen. Das ist auch beim BKA diesmal erfolgt. Das heißt, in dieser BMI-Kompanie waren auch Leute, die tatsächlich damit zu tun haben. Einmal technisch, aber auch vom Einsatz her. Weil sich die Richter auch erzählen lassen, wie das in der Praxis läuft. Ich persönlich muss sagen, dass mich das zunehmend ärgert. Das nimmt großen Raum ein. Es hat überhaupt nichts mit der rechtlichen Regelung zu tun, weil die Praxis, also die Versicherung natürlich immer, die damit sehr vorsichtig umgehen. Aber es hat ja überhaupt keine Rechtsfrage. Denn im Gesetz kann was anderes stehen. Vor allen Dingen aber hatte so eine sehr beschwichtigende Wirkung. Aber die Richter wollen diese Praxis hören. Dann war natürlich das BSI da. Vom BMI waren einfach eine ganze Reihe von Leuten da, die damit beschäftigt sind. Aber da ist dann auch so jemand wie der Sprecher vom BMI. Dass der Minister selbst gesprochen hat, spielt eher für die Öffentlichkeit oder einfach weil die Presse mehr anzieht. Weil letztlich ist die Berichterstattung darüber größer, wenn der Minister selbst dieses Gesetz verteidigt, obwohl er ja damals, er kann es ja nicht verantworten. Vor allen Dingen aber hat dann eine politische Rede gehalten, auch noch relativ kluge. Natürlich gab es also BKA gesetzt, gemacht wurde noch kein Isis oder so. Aber er hat das relativ geschickt, aber er hat natürlich überhaupt nicht über rechtliche Argumentationen gesprochen. Aber er macht letztlich diese Angstschema da auf. Nämlich, dass wir alle, vom internationalen Terrorismus überrollt werden, wenn es hier Einschränkungen gibt. Das ist eine ganz klare Drohung auch. Auf der anderen Seite muss ich auch sagen, das ist ja mal nach rechter und linken Seite in Karlsruhe. Also die Richterbank, auf der linken Seite sitzen die Verfechter von Freiheit und rechts sitzen die MPatisanten. Da waren natürlich auch eine Menge Leute. Da waren noch Landesdaten-Schutzbeauftragte, da waren andere technische Sachverständige. Da sind natürlich auch die Beschwerdeführer und teilweise auch neben denjenigen, die die Befassungsbeschwerden selber eingereicht haben, aber auch noch die Anbieter davon. Also das ist ja auch nicht leer auf der anderen Seite. Das dauert immer am Anfang so 20 Minuten, weil die alle feuchtig werden. Die werden einzeln feuchtig. Das ist dann eher so die Unterabteilung. Ja. Eben. Okay. Ach so. Ihr müsst das mal machen. Wenn ihr mal in Karlsruhe seid, geht mal hin. Das ist wirklich interessant. Mach mal, man kann da ja einen Platz kriegen. Haben wir sonst noch irgendwelche Fragen? Irgendwer? Bitte ans Mikrofon. Links oder rechts? Du hast eben erwähnt, dass es ja auch die Statttüren in Deutschland verab von Staatströernereinsätzen. Gibt es denn dazu überhaupt eine dedizierte Statistik, sowie zum Beispiel einen großen Lauschangriff? Und wenn ja, wo kann man sich diese Statistik anschauen? Ja und nein. Es hat nach dem Oktober 2011 in verschiedenen Parlamenten auf Landes- und Bundes-Eben natürlich parlamentarische Anfragen in der Regel von der Opposition gegeben, sodass wir aus verschiedenen Bundesländern und auch Daten von den Bundesbehörden, also Bundesgrenzschutz, Bundespolizei, Zollverhandlungsdienst und BKA die Daten zusammenzielen mit den Landesbehörden, die ja eben auch meistens Köln-Täker, Ytroyana eingesetzt haben. Es gibt aber keine offizielle Statistik, weil Polizei-Ländersache sind und schon gar nicht über den geheimnändischen Einsatz. Bei den Bundesbehörden aber, den Dreien, die ich eben nannte, da haben sie Zahlen der Anhörung genannt. Da war die Rede von genau einer Unterdurchsuchung seit 2009. Und ich glaube, sie sind dann unter fünf, ich glaube, waren vier, oder ich glaube, er hatte gesagt, kann man eine Hand ab 10, vier oder fünf Köln-Täker ist. Und wir wurden natürlich auch nochmal betont, dass der Digitastroyana an sich nicht mehr zum Einsatz kommt. Es gilt aber, alles, was in der Anhörung besprochen wurde, nur für die Bundesbehörden, also für den BKA. Was in den Länderpolizeien passiert, weiß man nicht so recht. EG, aber davon aus, dass es in den Parlamenten durchaus auch Streit gab über den Landeskriminalämter und den Einsatz der Trojaner und auch weil die Richter, glaube ich, nach der Debatte anders damit umgehen, dass es zumindest derzeit nicht viele Fälle gab. Die, die wir zusammen erzählt haben, kommen auf über 80. Über 80 bundesweit. Über 80 jetzt in dem Zeitraum seit 2009? Nein, manche, das kommt darauf an. Eigentlich eher seit 2010, denn die Anfragen in den Parlamenten haben einige Datumsangaben. Also je nachdem, was die parlamentarischen Anfragen für Zeitraum angegeben haben. Und die gehen auch nicht bis 2015, sondern eher bis 2013, weil danach ist das Thema aus so ein bisschen untergegangen. Also in dem Zeitraum. Eher also dreieinhalb Jahre. Genauer weiß ich leider auch nicht. Wenn da jemand mehr weiß, bin ich immer für mehr Informationen zu haben. Wir nehmen auch immer noch Binarys entgegen. Ach, da kann ich eigentlich eine lustige Geschichte erzählen. Ach nein, na ja. Na ja, gut. Das war eine furchtbar knappe Zeit. Wir hatten nur dreieinhalb Wochen, was extrem wenig ist. Sonst hatten wir für so eine Stellungnahme in der Regel über zwei Monate. Das war richtig doll Stress. Und lustig war so eine Woche, bevor wir, also waren wir eigentlich schon am Schreiben und war ja so heiß, war ja so eine heißen Tage, kriegten wir in einer Platte mit den Binarys einer staatlichen Malware. Und waren schon total aufgeregt und bringen da einen Staatsröhrer mit. Aber es hat sich dann anders ergeben. Aber wir nehmen ihn bei so einem Binarys. Okay, dann sieht es aus, das hätten wir keine weiteren Fragen. Und noch mal einen riesen Dank an Constanze.