imago stock&people Behörden außer Kontrolle: »Gefahrenabwehr« soll schrankenlosen Zugriff auf persönliche Daten legitimieren

Am 10. Juni hat der Bundestag den Einsatz staatlicher Trojanerprogramme drastisch ausgeweitet. Zur Abstimmung stand ein Gesetzentwurf zur »Anpassung des Verfassungsschutzrechts«, den die Abgeordneten mit 355 Stimmen der Koalitionsfraktionen angenommen haben. Demnach wird es nunmehr auch dem Inlandsgeheimdienst erlaubt, mit Hilfe von Spionagesoftware in fremde Computersysteme einzudringen. Dagegen stimmten die Fraktionen Die Linke, FDP, Bündnis 90/Die Grünen und AfD; bei der SPD gab es fünf Neinstimmen und drei Enthaltungen.

Auch der Gesetzentwurf »zur Modernisierung der Rechtsgrundlagen der Bundespolizei« wurde von CDU/CSU und SPD gegen die Stimmen der Opposition beschlossen. Damit hätte die Bundespolizei wie der Verfassungsschutz Rechner und Mobiltelefone infiltrieren können, ohne dass die Betroffenen eine Straftat begangen haben müssen. Dieses neue Bundespolizeigesetz hat der Bundesrat vor einer Woche aus verschiedenen Gründen kassiert, deshalb muss sich die nächste Bundesregierung erneut damit befassen. Das erneuerte Verfassungsschutzgesetz bleibt hingegen gültig.

Bislang durften nur die Polizeibehörden und der Zollfahndungsdienst Trojanerprogramme zur Strafverfolgung nutzen. Die Strafprozessordnung (StPO) erlaubt ihren Einsatz in Paragraph 100 b als sogenannte Onlinedurchsuchung, Voraussetzung ist ein zuvor ergangener richterlicher Beschluss. Anschließend können die Behörden auf den gesamten Rechner der Zielperson zugreifen, das Dateisystem durchsuchen und Dokumente, Fotos oder Videos kopieren. Im Falle von Länderpolizeien muss dieser Eingriff in den jeweiligen Landespolizeigesetzen erlaubt werden. In einigen Bundesländern ist dies bereits so, andere erneuern ihre Polizeigesetze derzeit entsprechend. Auch das Bundeskriminalamt führt Onlinedurchsuchungen durch, gemäß dem BKA-Gesetz darf dies in Terrorismusfällen auch zur sogenannten Gefahrenabwehr erfolgen.

Angeblich wird die Onlinedurchsuchung nur in sehr wenigen Fällen tatsächlich durchgeführt. Häufiger ist hingegen der Einsatz der sogenannten Quellentelekommunikationsüberwachung (»Quellen-TKÜ«), die im Strafrecht in Paragraph 100 a StPO geregelt ist. Sie soll lediglich die laufende Kommunikation auf dem Endgerät überwachen, also Screenshots von Chatverläufen anfertigen oder das Belauschen von verschlüsselter und damit im Grunde abhörsicherer Audio- und Videotelefonie ermöglichen. Mit der Quellen-TKÜ werden im Prinzip die gleichen Trojanerprogramme genutzt, wie sie auch zur Onlinedurchsuchung eingesetzt werden. Deshalb ist die Erlaubnis nach Paragraph 100 a StPO irreführend, denn dort ist ansonsten das allseits bekannte Abhören von Kommunikation auf dem Leitungsweg geregelt. Beim Einsatz eines Staatstrojaners handelt sich hingegen um einen »heimlichen digitalen Einbruch in ein IT-System«, wie es der Chaos Computer Club vor fünf Jahren in einer Stellungnahme zum BKA-Gesetz beschrieb.

Genauso hatte es bereits der Bundesgerichtshof 2006 formuliert. Zunächst hatte der Dritte Senat geurteilt, dass die Onlinedurchsuchung eines Beschuldigten ohne sein Wissen durch Paragraph 102 StPO gedeckt sei. Dieser regelt Haus- und Wohnungsdurchsuchungen. Der Erste Senat hat die Einschätzung anschließend kassiert, da die offene Durchsuchung in Anwesenheit des Betroffenen oder Zeugen erfolgt, eine Onlinedurchsuchung jedoch ohne deren Wissen.

Die Infektion mit einem Staatstrojaner kann auf verschiedenen Wegen erfolgen. Die Behörden können sich heimlichen Zutritt zur Wohnung der Zielperson verschaffen und die Schadsoftware von einem USB-Stick auf die entsprechenden Rechner oder Mobiltelefone aufspielen. Bekannt ist die Methode außerdem bei Grenzkontrollen, indem die Betroffenen für kurze Zeit von ihrem Gepäck getrennt werden. Ebenfalls verbreitet ist der Versand einer E-Mail, in deren Anhang sich ein getarntes Schadprogramm befindet. Hier muss der Empfänger allerdings dazu gebracht werden, die betreffende Datei anzuklicken.

Einfacher kann es deshalb sein, die Zielperson auf manipulierte Webseiten zu locken. Dort werden die für das Surfen genutzten Geräte ohne jegliches Zutun ihrer Nutzer mit einem sogenannten Drive by Download infiziert. Dies ist jedoch nur möglich, wenn die Behörden eine bis dahin unbekannte Sicherheitslücke im Betriebssystem ausnutzen. Der Whistleblower Edward Snowden hatte zusammen mit Journalisten aufgedeckt, dass Geheimdienste viel Geld investieren, um derartige »Zero-Day-Ex­ploits« auf dem Schwarzmarkt zu kaufen. Eigentlich sollte der Staat jedoch dafür sorgen, Schwachstellen zu schließen, um Betriebssysteme, E-Mail-Programme oder Browser seiner Bürger vor Hackerangriffen zu schützen. Dass diese nicht zur Reparatur an die Hersteller gemeldet werden, sondern für das Einbringen von Staatstrojanern genutzt werden, gehört deshalb zu den Hauptkritikpunkten vieler Bürgerrechtsorganisationen und Firmen aus dem Bereich der Computersicherheit.

Nicht nur Geheimdienste und Polizeien in vermeintlich demokratischen Ländern profitieren von »Zero Days«. Hersteller von Trojanerprogrammen, darunter die deutschen Firmen Finfisher GmbH sowie Rohde und Schwarz, verkaufen bekanntlich auch an Länder wie Bahrain, Ägypten und die Türkei. Dort können die Trojaner gegen Journalisten, Menschenrechtsaktivisten oder andere unliebsame Personen in Anschlag gebracht werden. Mit dem neuen Verfassungsschutzgesetz gilt dies aber auch in Deutschland. Nachdem der Staatstrojaner nun für alle Geheimdienste freigegeben ist, kann mit dem heimlichen Ermittlungswerkzeug auch hierzulande die politische Gesinnung überwacht werden.