Überwachung Geheime Mitleser

Immer öfter nutzen deutsche Sicherheitsbehörden einen technischen Trick, um Zugang zu Messenger-Chats zu bekommen. Diese Zunahme ist brisant - denn die Rechtsgrundlage für die Methode ist bisher nicht eindeutig geklärt.

Von Reiko Pinkert und Ronen Steinke

Auch die CIA kocht nur mit Wasser, so kann man die jüngsten Wiki- leaks-Enthüllungen auch lesen. Zumindest in einem Punkt: Nicht einmal die Technik-Spezialisten des mächtigen US-Geheimdiensts können verschlüsselte Messenger-Dienste wie Whatsapp bislang knacken. Deshalb arbeitet die CIA offenbar mit großer Energie daran, Wege zu finden, um direkt in die Hardware von Nutzern einzudringen, also in Handys und Computer. Von dort aus kann sie Messenger-Chats mitlesen. Einen ähnlichen Trick nutzen auch deutsche Sicherheitsbehörden. Inzwischen sogar recht oft, wie eine vertrauliche interne Aufstellung zeigt.

Im Jahr 2015 hackten die deutschen Ermittler sich demnach in 32 Messenger- Accounts hinein, 2016 in weitere 23, und im noch jungen Jahr 2017 wendeten sie den Trick bereits in vier Fällen an. Dass die Sicherheitsbehörden unter großem Druck stehen, eine Antwort auf die zunehmende Verschlüsselung zu finden, ist bekannt: Der Generalbundesanwalt schätzte unlängst, man könne nur noch 15 Prozent der überwachten Kommunikation erfassen. Wie groß das Dunkelfeld in Wahrheit ist, weiß niemand. Der Bundesnachrichtendienst hat für 2017 ein Budget von 21,25 Millionen Euro allein für die Suche nach Schwachstellen in verbreiteten Messenger-Diensten bekommen.

Die Behörden könnten dann sogar mitchatten. Theoretisch. Denn das wäre ein klarer Rechtsverstoß

Der Trick, mit dem sich deutsche Sicherheitsbehörden in der Zwischenzeit behelfen, ist umständlich: Wenn sich ein Ermittler von außen einer Messenger-App nähert und um Zugang zu einem Account bittet, dann verlangt die App gewöhnlich eine Verifizierung, bei Telegram etwa über eine SMS mit einem Sicherheitscode. Die Behörden müssen diese SMS abfangen, ohne dass der Nutzer es merkt. Klappt das, erhalten sie vollen Zugang auf den Account; ganz so, als habe der Nutzer für seinen Account schlicht ein weiteres Endgerät freigeschaltet. Die Behörden könnten dann theoretisch sogar mitchatten unter der Identität des Account-Inhabers - was allerdings ein klarer Rechtsverstoß wäre.

Weil dies umständlich ist, bleibt Nutzern verschlüsselter Chats ein Trost. Eine automatisierte Massenüberwachung ist kaum möglich, diesen Schutz bieten Whatsapp, Telegram und andere Dienste bis heute mit Erfolg. Erst wenn sich Sicherheitsbehörden einen Account gezielt vornehmen, kann die Überwachung gelingen. Dafür braucht es dann aber nicht die Manpower der CIA, es genügt schon das BKA. Bekannt wurde diese Methode in Deutschland durch den Prozess gegen die mutmaßlich rechtsterroristische Vereinigung Oldschool Society. Das BKA las dort 2015 die Chats von Mitgliedern der Gruppe aus, die über Telegram kommunizierten. Vier der Mitglieder stehen derzeit vor Gericht. Das Urteil wird am Mittwoch erwartet.

Dass deutsche Behörden diese Methode nun schon dutzendfach genutzt haben, ist brisant, weil die Rechtsgrundlage dafür noch nicht geklärt ist. Das BKA stützt seine Vorgehensweise auf eine alte Vorschrift der Strafprozessordnung, den Paragrafen 100a, der lang und umständlich ist - und diesen neuen technischen Trick nicht vorsieht, wie der Strafrechtler Tobias Singelnstein kritisiert, der an der Uni Bochum lehrt. Das "Leitbild" des alten Paragrafen sei es, "dass sich die Sicherheitsbehörde mit einer Anfrage an den Telekommunikationsanbieter wendet".

Anfragen von Behörden an die Firma Whatsapp oder Telegram gelten als aussichtslos. Dürfen sich die Behörden dann darüber hinwegsetzen und direkt in Chat-Accounts einhacken, ohne diese Maßnahme offen als das zu deklarieren, was manche Juristen darin sehen: eine Art kleiner Online-Durchsuchung? Im Bundesjustizministerium heißt es, man sei sich der Kritik bewusst; ein Vorschlag für eine Ergänzung des Paragrafen 100a sei in Arbeit.