Überwachung: Rechtlicher Blindflug mit dem Staatstrojaner
Dass die Bundesregierung den Einsatz des Staatstrojaners still und leise ausweiten will, kritisieren Juristen und Netzaktivisten bei einer Anhörung im Bundestag. Das überarbeitete Gesetz gehe viel zu weit, lautet der Vorwurf. Vertreter der Sicherheitsbehörden sind indes zufrieden.
Als verfassungswidrig bezeichnet der Berliner Richter Ulf Buermeyer den Entwurf der Bundesregierung. Wenn der Staat einen Trojaner einsetzt, um die Systeme von Verdächtigen zu infiltrieren, handele es sich um einen schwerwiegenden Eingriff in die Grundrechte. Zu rechtfertigen sei das aber nur, wenn „ein überragend wichtiges Rechtsgut bedroht ist“. Dafür gehe der Gesetzentwurf aber zu weit, Sicherheitsbehörden dürften den Staatstrojaner künftig bei so vielen Straftaten nutzen, dass es nicht mit den Vorgaben des Bundesverfassungsgerichts vereinbar sei.
Mit dem aktuellen Entwurf schafft die Bundesregierung eine neue Rechtsgrundlage für die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) und die Online-Durchsuchung. Künftig kann die Quellen-TKÜ immer zum Einsatz kommen, wenn die herkömmliche Telefon-Überwachung nicht mehr funktioniert – das gilt etwa bei verschlüsselten Messenger-Diensten wie WhatsApp. Mehr als die Kommunikation abhören darf der Trojaner allerdings nicht. Um ein System vollständig zu infiltrieren, ist der Trojaner für eine Online-Durchsuchung erforderlich. Die ist allerdings mit höheren Auflagen verbunden.
Warnung vor Trojaner-Blindfluggesetz
Der Osnabrücker Strafrechtler Arndt Sinn kritisierte indes, dass der Entwurf zu vage ist. Grundsätzlich sei er zwar nicht gegen den Einsatz des Staatstrojaners, aktuell würde das Gesetz aber zu viel Spielraum bieten. So bestehe etwa die Möglichkeit, dass ein Trojaner mehr kann, als er eigentlich sollte. Angesichts der vagen technischen Vorgaben spricht auch Buermeyer von einem „Trojaner-Blindfluggesetz“.
Die Vorwürfe existieren schon länger, nun versuchte BKA-Vizepräsident Peter Henzler die Bedenken auszuräumen. Bei den Trojanern handele es sich nicht um „Software von der Stange“, sonder um ein für jeden Fall angepasstes „Unikat“, das „exakt zugeschnitten auf das (ist), was das Bundesverfassungsgericht zulässt“. Überprüft werde das von einer externen Firma, die entsprechend zertifiziert sei.
Dass die Ausweitung nötig sei, betonen zudem weitere Vertreter aus den Reihen der Sicherheitsbehörden. Insbesondere im Bereich der organisierten Kriminalität werde oftmals verschlüsselt kommuniziert, erklärte der Fürther Oberstaatsanwalt Alfred Huber. Sein Fazit lautet daher: „Ich komme mit meinem Schlüssel nicht mehr herein, der Gesetzgeber muss mir einen neuen Schlüssel geben.“
CCC: Die Technik ist nicht mit den rechtlichen Vorgaben vereinbar
Ob sich der Einsatz des Trojaners in der Praxis aber tatsächlich kontrollieren lässt, bezweifeln sowohl Buermeyer als auch der Chaos Computer Club (CCC). Bereits 2011 analysierten die Hacker den damaligen Staatstrojaner für die Quellen-TKÜ. Das Resultat: Die Überwachungssoftware erfasste mehr Inhalte, als sie eigentlich durfte. Erklären lasse sich das aber nicht nur mit einer nachlässigen Programmierung, es wäre schlicht nicht machbar, einen Trojaner so zu programmieren, dass er ausschließlich die Kommunikation erfasst. „Eine der vielen Lehren aus diesem Skandal lautet daher auch, dass eine ‚reine‘ Quellen-TKÜ praktisch nicht realisierbar ist“, so der CCC in der Stellungnahme (PDF).
Diese Einschätzung teilt auch Buermeyer, der obendrein noch die mangelhafte Aufsicht kritisiert. In seiner Stellungnahme (PDF) heißt es: Es „fehlen Regelungen sowohl über die an Staatstrojaner zu stellenden technischen Anforderungen, die wenigstens im Verordnungswege erlassen werden müssen, als auch über eine obligatorische unabhängige Prüfung, dass ein Staatstrojaner diese Anforderungen tatsächlich erfüllt“. Was im Kern bedeutet: Ob ein Staatstrojaner tatsächlich die rechtlichen Vorgaben erfüllt, kann von außen kaum einer kontrollieren.
Ein weiterer Kritikpunkt ist zudem altbekannt: Bei Staatstrojanern müssen Behörden Sicherheitslücken ausnutzen, die sie nicht melden, sondern für sich behalten. Das schafft allerdings auch ein Einfallstor für Kriminelle, wie zuletzt der WannaCry-Angriff verdeutlichte – der basierte auf einem NSA-Exploit, den Hacker veröffentlicht hatten. CCC-Sprecher Linus Neumann bezeichnete daher auch das deutsche Gesetz als weltweite Gefahr für die IT-Sicherheit.