Verschlüsselte Kommunikation ist den Ermittlern ein Graus, ein Staatstrojaner soll Daten deshalb künftig direkt von der Quelle auslesen dürfen. Diana Nadeborn zur Debatte im Rechtsausschuss, die sich mit dem Für und Wider auseinandersetzte.
Lange sah es so aus, als wäre die Reform der Strafprozessordnung zu unwesentlichen Änderungen zerkocht. Kurz vor der Verabschiedung und weitgehend unbemerkt ergänzte sie das Bundesjustizministerium dann aber um die digitale Revolution der Ermittlungsmaßnahmen: Die heimliche Überwachung von IT-Systemen mithilfe des Staatstrojaners soll Ermittlern zukünftig viele neue Beweismittel bescheren. Welche Folgen das für die IT-Sicherheit aller Bürger haben kann, wurde am Mittwoch vor dem Rechtsausschuss im Bundestag diskutiert.
Ein Staatstrojaner ist eine Überwachungssoftware, die der Staat bisher nur zur Gefahrenabwehr, insbesondere zur Verhinderung von Terroranschlägen, einsetzen darf. Nach einem Änderungsantrag der CDU-/CSU- und SPD-Fraktionen, den die Bundesregierung Mitte Mai kurzfristig durch eine Formulierungshilfe auf den Weg gebracht hat, soll die Software zukünftig auch zur Strafverfolgung eingesetzt werden dürfen. Wollen die Ermittler Gespräche aufzeichnen und ausleiten, die der Betroffene zum Beispiel per Skype oder Whatsapp an seinem Computer oder Handy – also eben der "Quelle" - führt, spricht man von Quellen-Telekommunikationsüberwachung (Quellen-TKÜ). So werden Beweismittel vor beziehungsweise nach der verschlüsselten Übertragung gewonnen.
Wollen die Ermittler mit der Software hingegen auf alle gespeicherten Daten zugreifen, nennen sie es Online-Durchsuchung. Auch das ermöglicht der Trojaner, solange das Gerät angeschaltet ist. Die Ermittler müssen dann keinen Passwortschutz und keine Festplattenverschlüsselung überwinden. Das Bundeskriminalamt hat 2016 einen – ursprünglich für die Gefahrenabwehr vorgesehenen - Staatstrojaner fertiggestellt, der für Quellen-TKÜ und Online-Durchsuchung bereitsteht. Die teure Entwicklung soll sich schließlich lohnen.
Ermittler fordern die nötigen Befugnisse für den Trojaner-Einsatz
Im Rahmen der Sachverständigen-Anhörung sprachen sich die Vertreter der Ermittlungsbehörden einhellig für die Einführung der neuen Eingriffsbefugnisse durch die geplanten Gesetzesänderungen aus. Zur Aufklärung von Straftaten müsse der Staatstrojaner eingesetzt werden dürfen. Linus Neumann, der einzige Programmierer unter den Sachverständigen, wies hingegen nachdrücklich auf die Folgen für alle Computer- und Handynutzer hin. Zur Installation der Schadsoftware seien IT-Schwachstellen eine zwingende Voraussetzungen. Das Bestehen von Sicherheitslücken auf allen Systemen wäre also zukünftig im staatlichen Interesse.
Der Einsatz des Staatstrojaners wird dabei häufig mit dem Abhören der Wohnung verglichen, die als privater Rückzugsraum gilt. Deshalb war das Abhören der privaten Räumlichkeiten durch den Großen Lauschangriff so umstritten. In Zeiten der Sharing-Economy sehen das diejenigen, die ihre Privatwohnungen über AirBnB mit Fremden teilen, schon nicht mehr so.
Heutzutage schaffen sich viele einen privaten Entfaltungsraum vielmehr mithilfe von Fotos, E-Mails, besuchten Webseiten, etc., den sie auf dem Handy, Tablet oder Laptop mit sich tragen. Mit dem ausgeweiteten Einsatz des Staatstrojaners würde sich der Staat eben dazu Zugang verschaffen. Richter am Landgericht Berlin Dr. Ulf Buermeyer bezeichnete die geplante Überwachungsausweitung bei der Anhörung deshalb treffend als "das ganz große Besteck des Strafprozessrechts".
2/2: Angst im Dunkeln
Der ehemalige FBI-Direktor Comey formulierte schon 2014 die These des "going dark". Die deutschen Strafverfolger teilten am Mittwoch die Auffassung, mittlerweile (zu) blind zu sein. Beispielsweise würden im Bereich der organisierten Kriminalität Fälle nur oberflächlich aufgedeckt, da die Behörden wegen verschlüsselter Kommunikation und technisch begrenzter Möglichkeiten nicht weiter kämen. Wenn die Handlanger ihre Bosse in solchen Fällen nicht verrieten, blieben diese ohne die geforderten neuen Ermittlungsmaßnahmen unerkannt.
Peter Henzler, Vizepräsident des Bundeskriminalamts (BKA), führte dann ausgerechnet ein Strafverfahren wegen Mitgliedschaft in einer terroristischen Vereinigung ins Feld, bei dem nächste Woche die Hauptverhandlung vor dem Hanseatischen Oberlandesgericht beginnt. Das von ihm gewählte Beispiel zeigt jedoch gerade, dass die Staatsanwaltschaft offenbar auch ohne Auswertung verschlüsselter Kommunikation genügend Beweismittel für eine Anklage zusammentragen konnte.
So lassen sich etwa Verkehrs- und Standortdaten nicht verschlüsseln und können dank Funkzellenabfrage und Vorratsdatenspeicherung abgerufen werden. BKA-Vertreter Henzler erklärte vor dem Rechtsausschuss auch selbst, dass angeschaltete Rechner, deren Festplatte also noch nicht verschlüsselt ist, durch Sondereinsatzkommandos als Beweismittel sichergestellt würden. Wozu braucht es dann einen Trojaner-Einsatz? Ein Widerspruch.
IT-Schwachstellen für alle
Der diskutierte Änderungsantrag sieht keine Befugnis zum heimlichen Betreten von Wohnungen vor. Um die Software zu installieren, müssten Ermittler der Zielperson ihre Geräte unter einem Vorwand vorrübergehend abnehmen. Wer eins und eins zusammenzählen kann, nutzt diese Geräte anschließend nicht mehr für kriminelle Zwecke. Den Ermittlern bleibt daher nur, die Überwachungssoftware unbemerkt aus der Ferne aufzuspielen.
Das tun sie in der Regel auch, indem sie Sicherheitslücken finden und ausnutzen. Dieses kostbare Wissen behalten die Ermittler sinnvoller Weise auch für sich, anstatt sie den Herstellern wie Microsoft zu melden. Der Haken: Die Schwachstellen bleiben dadurch bestehen und können wiederum auch von Kriminellen entdeckt und genutzt werden, so geschehen jüngst im Fall des weltweit aufgetauchten "Wanna Cry"-Virus. Die Schadsoftware soll zur Verbreitung eine Sicherheitslücke genutzt haben, die dem amerikanischen Auslandsgeheimdienst NSA schon lange bekannt gewesen sein soll.
Sollte die Quellen-TKÜ so häufig eingesetzt werden wie das klassische Abhören des Telefonanschlusses, käme sie nur in 0,1 Prozent aller Ermittlungsverfahren zum Einsatz. Die offen gelassenen IT-Schwachstellen würden dagegen 100 Prozent aller genutzten IT-Systeme betreffen und nicht zwischen Straftätern und sonstigen Bürgern unterscheiden.
Vertrauen darauf, dass der Einsatz des Staatstrojaners nicht ausufert
Ein weiterer Aspekt am Mittwoch: Für den Einsatz des Staatstrojaners gibt es nur rechtliche, aber keine technischen Grenzen. Ob die Ermittler die vorgesehenen rechtlichen Grenzen einhalten, ist damit eine reine Vertrauensfrage. Oder wie es die CDU-Abgeordnete Elisabeth Winkelmeier-Becker, eine von insgesamt nur sechs anwesenden Ausschussmitgliedern, formulierte: "Wir würden Ihnen, den Ermittlungsbehörden, einen Vertrauensvorschuss mitgeben."
Neumann forderte daher: "Für alle Betroffenen und auch für die zuständigen Datenschutzbehörden muss eine Einsichtnahme in den Quellcode zur Prüfung der rechtmäßigen Ausgestaltung der Spionagesoftware gesetzlich festgeschrieben werden." Auf diese Weise ließen sich verdeckte Funktionalitäten zuverlässig ausschließen. Es bestünde anderenfalls die Gefahr, dass eine Quellen-TKÜ, die lediglich die Kommunikation abgreifen soll, in eine volle Online-Durchsuchung aller gespeicherten Daten abgleitet.
Einen Kompromiss schlug Buermeyer deshalb vor: Für den Einsatz des Trojaners sollen Sicherheitslücken nur dann ausgenutzt werden dürfen, wenn die Sicherheitslücken den jeweiligen Herstellern bereits bekannt sind. Wenn die Ermittlungsbehörden IT-Schwachstellen nicht für sich behielten, sondern an den Hersteller meldeten, könne dieser ein Update für alle Nutzer bereitstellen, das die Lücke schließt, so Buermeyer. Damit sei ein Ausgleich geschaffen zwischen dem Interesse der Ermittlerbehörden an einem ausgeweiteten Trojaner-Einsatz und dem Interesse aller Nutzer, sich vor der Spionage schützen zu können.
Bekanntermaßen warten bei weitem nicht alle Menschen ihre Systeme regelmäßig. Wer so nachlässig ist, ist dann selbst dafür verantwortlich, wenn seine Systeme angreifbar sind. Solche nachlässigen Straftäter könnten dann mithilfe des Staatstrojaners ermittelt werden. Der Preis, den die Allgemeinheit dann zahlt, wäre dann nicht mehr so hoch: Nur das perfekte Verbrechen einschließlich regelmäßiger Updates aller IT-Systeme kann nicht aufgeklärt werden. Alle Nicht-Verbrecher haben dabei weiterhin die Chance, ihre IT-Systeme umfassend zu schützen.
Die Autorin Diana Nadeborn ist Strafverteidigerin in Berlin und betreibt den Blog www.it-strafrecht.org.
Diana Nadeborn, Expertenanhörung zur Ausweitung des Staatstrojaners: Wird der Startschuss fallen? . In: Legal Tribune Online, 01.06.2017 , https://www.lto.de/persistent/a_id/23091/ (abgerufen am: 18.07.2024 )
Infos zum Zitiervorschlag