04.09.2015, 11:23 Uhr
Zürcher Regierungsrat nimmt Stellung zum Staatstrojaner - von Reue keine Spur
Der Zürcher Regierungsrat glaubt nach wie vor, dass bei der Notwendigkeit, Evaluation und Beschaffung eines Staatrojaners niemand einen Fehler beging.
Weil sich die Zürcher Kantonspolizei mit dem Kauf des Staatstrojaners Galileo der Firma HackingTeam ein Ei ins Nest legte, verlangten die Kantonsräte Markus Bischoff und Beat Bloch, Zürich, sowie Jörg Mäder, Opfikon, Antworten vom Regierungsrat. Gestern erhielten sie diese und wer hoffte, beim Regierungsrat nur ein winziges Anzeichen eines Schuldeingeständnisses oder einer Entschuldigung an den Steuerzahler zu finden, wurde enttäuscht. Stattdessen wurde einmal mehr darauf hingewiesen, dass die Strafvermittlungsbehörden darauf angewiesen seien, bei schweren Delikten auch verschlüsselt geführte Kommunikation überwachen zu können. Dies sei rechtlich auch überhaupt kein Problem fand der Regierungsrat, da der Einsatz eines Staatstrojaners von der Staatsanwaltschaft angeordnet werden müsse und im Fall von «Galileo» durch das Obergericht genehmigt wurde. Dass andere Kantone vom Einsatz absehen, weil auf Bundesebene noch keine entsprechende Gesetzgebung existiert, scheint egal zu sein. Weiter wurde darauf hingewiesen, dass die Kapo Zürich technisch nicht in der Lage war, selber eine GovWare zu entwickeln. Das erstaunt nicht, schliesslich war sie nicht einmal in der Lage zu erkennen, dass Backdoors eingebaut waren. Warum man sie dann einsetzt, bleibt ein Rätsel. Schliesslich würde nie ein Polizist eine Waffe im Einsatz ziehen, deren Funktionsweise ihm nicht hundertprozentig bekannt ist.
Das soll sorgfältig sein?
In der Interpellation wurde der Regierungsrat zudem gefragt, ob er genügend Abklärungen über den Hersteller des Staatstrojaners vorgenommen habe. Der Regierungsrat antwortete darauf, dass die Kantonspolizei eine «sorgfältige Evaluation» durchgeführt habe. Und erklärte, wie diese aussah: «Die Kantonspolizei hat Abklärungen über die Firma HackingTeam getätigt. Die Firma verpflichtet sich, ihre Produkte nur staatlichen Stellen anzubieten die nicht auf einer Blacklist stehen. Zudem lässt sie von Kun den ein End-User-Statement unterzeichnen in dem diese verpflichtet werden, die Produkte von HackingTeam nicht zu zweckentfremden. «Falls die Firma unwahre Angaben zu ihren Kundinnen und Kunden gemacht hat, stützt dies die Position der Kantonspolizei im bereits laufenden rechtlichen Verfahren gegen HackingTeam». Die Kantonspolizei hat also nichts anderes getan, als bei «HackingTeam» angefragt, ob sie sich denn auch an «Schurkenstaaten» liefern würden. Und dachte wirklich, dass ihnen eine ehrliche Antwort gegeben werde. Nun, «HackingTeam» hat gelogen. Wenig überraschend, es ist immerhin ein Anbieter von Spionagesoftware. In keinem Fall können diese Abklärungen aber als «sorgfältig» bezeichnet werden. Kommt dazu, dass bei der Beschaffung der Software ebenfalls keine besonders hohen Hrden bestanden. Sicherheitsdirektor Mario Fehr (SP) konnte es quasi im Alleingang tun, weil er Beschaffungen seines Departements erst ab einer Million Franken vom Gesamtregierungsrat genehmigen lassen muss. Und weil Artikel 10 der Interkantonalen Vereinbarung ber das ffentliche Beschaffungswesen (IVB) besagt, dass keine öffentliche Ausschreibung stattfinden muss, wenn die Sicherheit gefährdet ist, konnte Fehr den Auftrag freihändig vergeben. Und hat sich für einen Anbieter entschieden, der auch totalitäre Regimes beliefert und dumm genug war, sich hacken zu lassen. Da kann der Regierungsrat noch so von der Beschaffung überzeugt sein. Sie war ein Flop. Sie hat den Steuerzahler 586 150 Franken gekostet, zuzüglich Mehrwertsteuer. Und kann nie mehr eingesetzt werden, weil ihr Quellcode offengelegt ist. Das hindert den Regierungsrat nicht daran zu schreiben, dass nach wie vor «der dringende Bedarf bestehe, bei schweren Straftaten wie schwerem Drogenhandel, Menschenhandel und Geldwäscherei auch verschlüsselte Kommunikation zu überwachen». Allerdings nicht mit «HackingTeam». Noch kurz nach Veröffentlichung des Hacks im Juli sprach man davon, bestehende Vertrge fr Support und Bezug zustzlicher Schwachstellen einzuhalten. Seither «habe sich die Situation aber geändert», sagte uns Urs Grob, Sprecher der Sicherheitsdirektion. Die Kapo habe mittlerweile auf straf- und zivilrechtlichem Weg ein Verfahren gegen das Unternehmen bzw. die verantwortlichen Personen eingeleitet.