IT-Sicherheit Warum der Staatstrojaner so umstritten ist

Der Staatstrojaner ist eine Schadsoftware, mit der Ermittler Geräte von Verdächtigen infizieren.

(Foto: Matthias Ferdinand Döring)
  • Die Große Koalition hat ohne nennenswerten Widerstand ein neues Überwachungsgesetz durchgesetzt.
  • Der Staatstrojaner ist umstritten, weil er Ermittlern weitreichende Zugriffsmöglichkeiten gibt und auch normale Nutzer gefährdet.
  • Kritiker sagen voraus, dass sich das Bundesverfassungsgericht mit dem Gesetz wird beschäftigen müssen.
Von Hakan Tanriverdi

Vor exakt einem halben Jahr ließ sich erahnen, dass die Bundesregierung auf Heimlichkeit setzen würde. Am 23. Dezember 2016, einen Tag vor Weihnachten, bekam ein Sprecher des Innenministeriums in der Bundespressekonferenz zwei Fragen gestellt.

Innenminister Thomas de Maizière (CDU) hatte zuvor gesagt, dass die Behörden auch Dienste wie Whatsapp überwachen können sollen, so wie das aktuell bereits bei SMS möglich ist. Der fragende Journalist wollte wissen: "Können Sie einen zeitlichen Rahmen dafür nennen, bis wann diese Angleichung vollzogen werden wird und welches parlamentarische Vorgehen dafür noch nötig ist?"

Der Staatstrojaner ist ein Einbruch ins Grundrecht

Heimlich, still und leise beschließt der Bundestag ein Gesetz, das Computer und Handys zu staatlichen Spionageanlagen macht. Das ist ein Skandal. Kommentar von Heribert Prantl mehr ...

Während Ermittler SMS problemlos mitlesen können, bleiben ihnen Whatsapp-Chats verborgen. Das Unternehmen verschlüsselt alle Nachrichten. Wenn ein Nachrichtendienst die Botschaften abgreifen oder Whatsapp Kommunikation der Nutzer weiterleiten würde, erhielten die Behörden am Ende nur Zahlensalat.

Weitreichendes Überwachungsgesetz, das seinesgleichen sucht

In der Bundespressekonferenz übergab der BMI-Sprecher die Frage an einen Vertreter des Justizministeriums. Dieser verwies auf den Koalitionsvertrag. Dort heißt es auf Seite 104: "Die Vorschriften über die Quellen-Telekommunikationsüberwachung werden wir rechtsstaatlich präzisieren" Der Sprecher schob noch einen Satz nach: "Wir sind uns einig, dass diese Ergänzung noch in dieser Wahlperiode erfolgen soll."

Zwei vage Antworten auf zwei eindeutige Fragen. Dabei war zu diesem Zeitpunkt bereits abzusehen, wie sich die Regierung Zugriff auf verschlüsselte Kommunikation verschaffen will: Mit einem weitreichenden Überwachungsgesetz, das seinesgleichen sucht in der Geschichte der Bundesrepublik.

Am heutigen Donnerstag segnet der Bundestag den sogenannten Staatstrojaner ab. Damit wird es deutschen Behörden erlaubt, unter anderem Rechner, Smartphones und Tablet-PCs mit Schadsoftware zu infizieren, um auf die gespeicherten Inhalte zuzugreifen. So hatten es auch vergangene Woche die deutschen Innenminister beschlossen.

"Ich finde das Verfahren unangemessen und politisch unredlich"

Tobias Singelnstein, Professor an der Ruhr-Uni in Bochum mit Schwerpunkt Strafrecht, kritisiert das Vorgehen scharf. "Ich finde das Verfahren, über das die Gesetzesänderung nun umgesetzt wird, absolut unangemessen und politisch unredlich." Die konkrete Ausgestaltung des Gesetzes wurde still und heimlich vollzogen.

Der Rechtsausschuss packte die entsprechenden Paragrafen vor wenigen Wochen in ein laufendes Gesetzesverfahren, eine öffentliche Debatte fand kaum statt. Das Gesetz, das den Staatstrojaner einführt, ist also selbst ein Trojaner: eingeführt durch die Hintertür, ohne, dass die Betroffenen Notiz davon nehmen.

Es beinhaltet zwei verschiedene Formen der Überwachung: Bei der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) soll "laufende Kommunikation" überwacht werden, etwa E-Mails oder Messenger-Dienste. Bei der "Online-Durchsuchung" können die Ermittler auf alle Daten auf der Festplatte des Zielgeräts zugreifen. Die Quellen-TKÜ wird der normalen Überwachung von Telekommunikation gleichgestellt. Damit darf sie zur Bekämpfung von knapp 40 Straftaten eingesetzt werden, unter anderem gegen schwere Verbrechen wie Mord und Besitz von Kinderpornografie, aber auch gegen leichtere Delikte wie Drogenbesitz.

Der Katalog für die Online-Durchsuchung ist nur minimal kürzer. Vor neun Jahren beschränkte das Bundesverfassungsgericht die Online-Durchsuchung in einem Grundsatzurteil auf die Gefahrenabwehr von konkreten, schweren Straftaten. Das neue Gesetz weicht diese Schranken auf und etabliert die Maßnahme im polizeilichen Alltag.

Die Bundesregierung könnte Sicherheitslücken auf dem Schwarzmarkt kaufen

Um die Probleme zu verstehen, die das mit sich bringt, muss man wissen, wie Behörden von nun an agieren, wenn sie an Daten herankommen wollen. Damit sie die Schadsoftware auf den Geräten der Verdächtigen installieren können, benötigen sie eine Sicherheitslücke. IT-Sicherheitsexperte Linus Neumann vom Chaos Computer Club hat das Vorgehen in einer Sachverständigenauskunft Ende Mai beschrieben.

Die Ermittler müssen sich entweder unbemerkt Zugriff zum Gerät verschaffen, zum Beispiel bei einer Verkehrskontrolle, oder das iPhone aus der Ferne übernehmen. Eine solche Sicherheitslücke wäre extrem mächtig. Wer sie kennt, wäre nicht nur in der Lage, das Smartphone des Verdächtigen zu knacken. Er könnte alle iPhones übernehmen. "Dem möglicherweise berechtigten und legitimen Interesse zur Nutzung einer Schwachstelle zum Zwecke der Strafverfolgung steht somit unweigerlich das Risiko für die Allgemeinheit gegenüber", fasst Neumann zusammen. Was will der Staat, die Sicherheit seiner Bürger oder seine Daten?

Die Antwort der Bundesregierung: beides. In Bonn gibt es seit Jahrzehnten das Bundesamt für Sicherheit in der Informationstechnik (BSI). Diese Behörde soll IT-Sicherheit gewährleisten. Gleichzeitig wurde in München eine neue Behörde geschaffen, sie heißt Zitis: Zentrale Stelle für Informationstechnik im Sicherheitsbereich.

Die Angestellten sollen Schwachstellen finden und an zuständige Strafverfolgungsbehörden weitergeben. Möglicherweise kauft sich die Bundesregierung auch Sicherheitslücken auf dem Schwarzmarkt. Eine iPhone-Schwachstelle kann dort bis zu einer Million Dollar kosten - Geld, dass der Staat nun an halbseidene IT-Experten zahlen könnte, um Drogendealer zu überführen.