IT-Sicherheit:Warum der Staatstrojaner so umstritten ist

Hacker Symbolbild

Der Staatstrojaner ist eine Schadsoftware, mit der Ermittler Geräte von Verdächtigen infizieren.

(Foto: Matthias Ferdinand Döring)
  • Die Große Koalition hat ohne nennenswerten Widerstand ein neues Überwachungsgesetz durchgesetzt.
  • Der Staatstrojaner ist umstritten, weil er Ermittlern weitreichende Zugriffsmöglichkeiten gibt und auch normale Nutzer gefährdet.
  • Kritiker sagen voraus, dass sich das Bundesverfassungsgericht mit dem Gesetz wird beschäftigen müssen.

Von Hakan Tanriverdi

Vor exakt einem halben Jahr ließ sich erahnen, dass die Bundesregierung auf Heimlichkeit setzen würde. Am 23. Dezember 2016, einen Tag vor Weihnachten, bekam ein Sprecher des Innenministeriums in der Bundespressekonferenz zwei Fragen gestellt.

Innenminister Thomas de Maizière (CDU) hatte zuvor gesagt, dass die Behörden auch Dienste wie Whatsapp überwachen können sollen, so wie das aktuell bereits bei SMS möglich ist. Der fragende Journalist wollte wissen: "Können Sie einen zeitlichen Rahmen dafür nennen, bis wann diese Angleichung vollzogen werden wird und welches parlamentarische Vorgehen dafür noch nötig ist?"

Während Ermittler SMS problemlos mitlesen können, bleiben ihnen Whatsapp-Chats verborgen. Das Unternehmen verschlüsselt alle Nachrichten. Wenn ein Nachrichtendienst die Botschaften abgreifen oder Whatsapp Kommunikation der Nutzer weiterleiten würde, erhielten die Behörden am Ende nur Zahlensalat.

Weitreichendes Überwachungsgesetz, das seinesgleichen sucht

In der Bundespressekonferenz übergab der BMI-Sprecher die Frage an einen Vertreter des Justizministeriums. Dieser verwies auf den Koalitionsvertrag. Dort heißt es auf Seite 104: "Die Vorschriften über die Quellen-Telekommunikationsüberwachung werden wir rechtsstaatlich präzisieren" Der Sprecher schob noch einen Satz nach: "Wir sind uns einig, dass diese Ergänzung noch in dieser Wahlperiode erfolgen soll."

Zwei vage Antworten auf zwei eindeutige Fragen. Dabei war zu diesem Zeitpunkt bereits abzusehen, wie sich die Regierung Zugriff auf verschlüsselte Kommunikation verschaffen will: Mit einem weitreichenden Überwachungsgesetz, das seinesgleichen sucht in der Geschichte der Bundesrepublik.

Am heutigen Donnerstag segnet der Bundestag den sogenannten Staatstrojaner ab. Damit wird es deutschen Behörden erlaubt, unter anderem Rechner, Smartphones und Tablet-PCs mit Schadsoftware zu infizieren, um auf die gespeicherten Inhalte zuzugreifen. So hatten es auch vergangene Woche die deutschen Innenminister beschlossen.

"Ich finde das Verfahren unangemessen und politisch unredlich"

Tobias Singelnstein, Professor an der Ruhr-Uni in Bochum mit Schwerpunkt Strafrecht, kritisiert das Vorgehen scharf. "Ich finde das Verfahren, über das die Gesetzesänderung nun umgesetzt wird, absolut unangemessen und politisch unredlich." Die konkrete Ausgestaltung des Gesetzes wurde still und heimlich vollzogen.

Der Rechtsausschuss packte die entsprechenden Paragrafen vor wenigen Wochen in ein laufendes Gesetzesverfahren, eine öffentliche Debatte fand kaum statt. Das Gesetz, das den Staatstrojaner einführt, ist also selbst ein Trojaner: eingeführt durch die Hintertür, ohne, dass die Betroffenen Notiz davon nehmen.

Es beinhaltet zwei verschiedene Formen der Überwachung: Bei der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) soll "laufende Kommunikation" überwacht werden, etwa E-Mails oder Messenger-Dienste. Bei der "Online-Durchsuchung" können die Ermittler auf alle Daten auf der Festplatte des Zielgeräts zugreifen. Die Quellen-TKÜ wird der normalen Überwachung von Telekommunikation gleichgestellt. Damit darf sie zur Bekämpfung von knapp 40 Straftaten eingesetzt werden, unter anderem gegen schwere Verbrechen wie Mord und Besitz von Kinderpornografie, aber auch gegen leichtere Delikte wie Drogenbesitz.

Der Katalog für die Online-Durchsuchung ist nur minimal kürzer. Vor neun Jahren beschränkte das Bundesverfassungsgericht die Online-Durchsuchung in einem Grundsatzurteil auf die Gefahrenabwehr von konkreten, schweren Straftaten. Das neue Gesetz weicht diese Schranken auf und etabliert die Maßnahme im polizeilichen Alltag.

Die Bundesregierung könnte Sicherheitslücken auf dem Schwarzmarkt kaufen

Um die Probleme zu verstehen, die das mit sich bringt, muss man wissen, wie Behörden von nun an agieren, wenn sie an Daten herankommen wollen. Damit sie die Schadsoftware auf den Geräten der Verdächtigen installieren können, benötigen sie eine Sicherheitslücke. IT-Sicherheitsexperte Linus Neumann vom Chaos Computer Club hat das Vorgehen in einer Sachverständigenauskunft Ende Mai beschrieben.

Die Ermittler müssen sich entweder unbemerkt Zugriff zum Gerät verschaffen, zum Beispiel bei einer Verkehrskontrolle, oder das iPhone aus der Ferne übernehmen. Eine solche Sicherheitslücke wäre extrem mächtig. Wer sie kennt, wäre nicht nur in der Lage, das Smartphone des Verdächtigen zu knacken. Er könnte alle iPhones übernehmen. "Dem möglicherweise berechtigten und legitimen Interesse zur Nutzung einer Schwachstelle zum Zwecke der Strafverfolgung steht somit unweigerlich das Risiko für die Allgemeinheit gegenüber", fasst Neumann zusammen. Was will der Staat, die Sicherheit seiner Bürger oder seine Daten?

Die Antwort der Bundesregierung: beides. In Bonn gibt es seit Jahrzehnten das Bundesamt für Sicherheit in der Informationstechnik (BSI). Diese Behörde soll IT-Sicherheit gewährleisten. Gleichzeitig wurde in München eine neue Behörde geschaffen, sie heißt Zitis: Zentrale Stelle für Informationstechnik im Sicherheitsbereich.

Die Angestellten sollen Schwachstellen finden und an zuständige Strafverfolgungsbehörden weitergeben. Möglicherweise kauft sich die Bundesregierung auch Sicherheitslücken auf dem Schwarzmarkt. Eine iPhone-Schwachstelle kann dort bis zu einer Million Dollar kosten - Geld, dass der Staat nun an halbseidene IT-Experten zahlen könnte, um Drogendealer zu überführen.

Professor vermutet eine Verfassungsklage bis vors BVerfG

Jan Roggenkamp ist Professor an der Hochschule für Wirtschaft und Recht in Berlin. Er unterrichtete auch an der Polizeiakademie in Niedersachsen und kennt die Sorgen und Nöte von Beamten. Grundsätzlich teilt Roggenkamp die Auffassung des Bundesverfassungsgerichts, dass Quellen-TKÜ und Online-Durchsuchung - wenn auch unter strengen Auflagen - als erforderliche und geeignete Maßnahmen bezeichnete. "Aber es sind hohe Anforderungen an die Umsetzung zu stellen."

Die Software für die Quellen-TKÜ müsse sehr spezifische Anforderungen erfüllen, sagt Roggenkamp. Theoretisch könne man das ganze System ausspähen. "Die Software muss in der Lage sein, den Eingriff auf laufende Kommunikation zu beschränken und nur diese Daten auszuleiten." Der Trojaner soll also lediglich Nachrichten abfangen, die tatsächlich verschickt werden. Es muss auch möglich sein, den Zugriff auf Nachrichten auszuschließen, die in der Vergangenheit verschickt wurden - bevor die Maßnahme durch einen Richter genehmigt wurde.

Um alte Chatprotokolle oder andere Daten auszulesen, die auf dem Gerät gespeichert sind, kommt die Online-Durchsuchung in Betracht. Deren Umsetzung im aktuellen Gesetz sieht Roggenkamp noch kritischer als die Quellen-TKÜ. "Im BKA-Gesetz ist geregelt, wann diese Maßnahmen eingesetzt werden dürfen. Es muss eine Gefahr für Leib, Leben oder Freiheit einer Person bestehen, oder aber eine Bedrohung, die den Bestand des Bundes oder die Grundlagen der Existenz der Menschen berühren", sagt Roggenkamp. Jetzt wolle der Gesetzgeber die Online-Durchsuchung massiv ausweiten und auch Jagd auf Kleinkriminelle machen. Roggenkamp geht davon aus, dass das Gesetz vor dem Bundesverfassungsgericht landen wird.

Für viele Menschen sei der Computer eine Art ausgelagertes Gehirn. Die Online-Durchsuchung stelle deshalb einen tiefen Eingriff in die Privatsphäre dar. "Es berührt auch den Kernbereich der Persönlichkeitsgestaltung, und damit die Menschenwürde", sagt Roggenkamp. "Diese muss weiterhin unantastbar bleiben." Wenn man Zugriff auf Fotos, Notizen und weitere private Informationen habe, die auf einem Rechner gespeichert liegen, dann existiere kein wirksamer Schutz mehr. "Da sind alle Türen offen."

Selbst Regierungsmitglieder hätten sich "mehr Diskussion" gewünscht

Die Gegenmeinung vertreten vor allem Mitarbeiter der Ermittlungsbehörden. Im Bundestag sprachen der Vizechef des BKA, Peter Henzler, ein Oberstaatsanwalt und ein Bundesanwalt. Alle drei betonen, dass es für ihre Arbeit notwendig sei, die Gesetzeslage anzupassen. Whatsapp könne derzeit nicht mitgelesen werden, der Staat erblinde, was Kommunikation angehe.

Singelnstein von der Ruhr-Uni Bochum hält das nicht für ein überzeugendes Argument: "Einerseits bleibt den Behörden Kommunikation verborgen, da diese verschlüsselt wird", gesteht er zu. "Andererseits führt der technische Fortschritt aber eher dazu, dass Strafverfolgungsbehörden, insbesondere die Polizei, heute Zugriff auf sehr viel mehr Informationen über Menschen haben als früher." Außerdem sei es nach wie vor möglich, Smartphones und Computer zu beschlagnahmen.

Ermittler bei Strafverfolgungsbehörden sehen das anders. Wenn sie beispielsweise versuchen, Terroristen auf die Spur zu kommen, wollen sie Verdächtige nicht vorwarnen, indem sie deren Geräte beschlagnahmen. Ihnen geht es darum, Nachrichten mitzulesen und kriminelle Netzwerke zu überwachen und auszuheben; dafür sei es nötig, Zugriff auf laufende Kommunikation zu erhalten.

Statt diese Fragen öffentlich zu diskutieren, ging die große Koalition den Weg der Heimlichkeit. Patrick Sensburg (CDU), Mitglied des Rechtsausschusses, kann die Kritik nachvollziehen. "Es hat mich auch nicht erfreut, ich hätte mir mehr Diskussion erwünscht."

Zur SZ-Startseite

Lesen Sie mehr zum Thema