Verfassungsbeschwerden Wann dürfen Polizisten zu Hackern werden?

2008 sprach das Bundesverfassungsgericht ein wegweisendes Urteil zum Staatstrojaner. Nun verlangen Bürgerrechtler und der Journalist Hajo Seppelt ein Update. Der Staat solle IT-Schwachstellen schließen, nicht nutzen.

Smartphone-Nutzer
Estevez/ EPA/ REX/ Shutterstock

Smartphone-Nutzer

Von


Wenig Zeit? Am Textende gibt's eine Zusammenfassung.


Seit knapp einem Jahr dürfen Deutschlands Strafverfolger heimlich in Computer und Smartphones eindringen, um Überwachungssoftware zu installieren. Das entsprechende Staatstrojaner-Gesetz trat am 24. August 2017 in Kraft.

Die Strafverfolger können so Zugang zu intimsten Informationen eines Verdächtigen und seiner Kommunikationspartner erhalten, theoretisch in einer Vielzahl von Fällen. Praktisch, beteuert das Bundeskriminalamt (BKA), seien es extrem wenige. Ein BKA-Experte sagte dem Innenausschuss des Bundestages im Juni, die Zahl sei "so gering, (...) dass sich die Frage stellt, ob es sich hier überhaupt um ein so großes Problem handelt, wie es vielfach in kritischen Anmerkungen dargestellt wird".

Für gleich vier Organisationen stellt sich diese Frage nicht. Sie halten das Problem für groß genug, um es zum zweiten Mal vor das Bundesverfassungsgericht zu bringen: Der Verein Digitalcourage, die Gesellschaft für Freiheitsrechte (GFF) sowie mehrere FDP-Politiker, darunter Christian Lindner, Gerhart Baum, Sabine Leutheusser-Schnarrenberger und Burkhard Hirsch, werden in den kommenden Tagen Verfassungsbeschwerde einreichen. Der Bundesverband IT-Sicherheit (TeleTrusT) hat das bereits am 19. April getan.

Was sind Staatstrojaner?
Staatliche Spionagesoftware
Überwachungsprogramme, die Strafverfolger heimlich auf Geräten von Verdächtigen installieren, werden umgangssprachlich Staatstrojaner genannt. Unterschieden wird dabei zwischen dem Ziel, nur eine laufende Kommunikation zu überwachen, oder das ganze Zielgerät zu durchsuchen.
Quellen-TKÜ
Deutsche Strafverfolger dürfen gemäß § 100a der Strafprozessordnung die laufende Kommunikation von Verdächtigen direkt an der Quelle überwachen (Quellen-Telekommunikationsüberwachung, kurz: Quellen-TKÜ) - also auf dessen Computer oder Smartphone, mit Hilfe heimlich eingeschleuster Software. Nötig kann das sein, wenn die Kommunikation verschlüsselt stattfindet, zum Beispiel über WhatsApp. Ohne Zugang zum Gerät von Sender oder Empfänger ließe sie sich nicht überwachen, anders als das bei klassischen SMS der Fall ist.
Online-Durchsuchung
§ 100b der Strafprozessordnung regelt die Online-Durchsuchung. Hier kann die Polizei mit Hilfe spezieller Überwachungssoftware alle Dateien, Programme und Nachrichten auf einem Gerät heimlich und aus der Ferne einsehen. Der Eingriff ist also schwerwiegender als eine Quellen-TKÜ.
Ausstattung des Bundeskriminalamts (BKA)
Für die Quellen-TKÜ hat das BKA eine entsprechende Software selbst entwickelt. „Remote Communication Interception Software“ (RCIS) heißt sie. Knapp sechs Millionen Euro hat die Entwicklung gekostet. Die erste Version konnte allerdings nur Skype-Gespräche mitschneiden und funktionierte nur auf Windows-Rechnern. Die zweite Version kann mehr. Außerdem hat die Behörde bereits 2013 eine Lizenz für die Software FinFisher/FinSpy des deutsch-britischen Unternehmens Elaman/Gamma gekauft. Eingesetzt werden darf sie laut „Welt“ aber erst seit Anfang des Jahres. Für die Online-Durchsuchung wiederum arbeitet das BKA noch an einer Eigenentwicklung.
Ausstattung der Landeskriminalämter
Die Landeskriminalämter haben – Stand Januar 2018– keine eigenen Trojaner. Das BKA darf zwar Amtshilfe leisten. Aber zumindest bis Mai 2018 ist das laut Bundesregierung nicht vorgekommen, jedenfalls nicht in abgeschlossenen Verfahren.
Offensive Fähigkeiten und die Frage der IT-Sicherheit
Damit die Überwachungssoftware überhaupt auf dem Zielgerät landen und dort unbemerkt arbeiten kann, muss sie Sicherheitslücken in der Hardware, dem Betriebssystem oder einzelnen Anwendungsprogrammen ausnutzen. Die Entwickler nutzen also bekannte, aber nicht behobene, oder auch neu entdeckte Schwachstellen offensiv aus, statt sie den Herstellern zu melden und so die IT-Sicherheit aller Nutzer zu stärken.

Es gibt bereits ein höchstrichterliches Urteil zum Thema aus dem Jahr 2008. Vor zehn Jahren ging es um die Befugnis zur Onlinedurchsuchung des nordrhein-westfälischen Verfassungsschutzes, zu den Klägern gehörte auch damals schon Gerhart Baum.

Die Richter schufen in ihrer Entscheidung ein neues Grundrecht auf "Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme", (kurz: IT-Grundrecht). Ihre Begründung: Weil digitale Technik unser Leben immer stärker bestimmt, entsteht auch ein neuer, schützenswerter Lebensbereich.

Schon 2008 erkannte das Gericht an, dass die Bedeutung von Computern "für die Persönlichkeitsentfaltung erheblich gestiegen" ist. Nur wenn "tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut vorliegen", hielten die Richter deshalb eine heimliche Onlinedurchsuchung für vertretbar.

Als das Urteil im Februar 2008 fiel, war das iPhone gerade einmal drei Monate auf dem deutschen Markt. Seither haben sich die Technik und das Nutzungsverhalten noch einmal dramatisch verändert. Wie sehr solche Geräte zum allgegenwärtigen Universalwerkzeug und zum externen Speicherplatz selbst für privateste Gedanken werden würde, konnten auch die Verfassungsrichter kaum ahnen.

Digitalcourage: Ziel ist das endgültige Aus für Staatstrojaner

Rena Tangens von Digitalcourage zufolge bedeutet das: "Wer Smartphones heimlich beobachtet, forscht letztlich die Gedankenwelt der Nutzer aus und kann Persönlichkeitsbilder erstellen, die umfangreicher, gläserner nicht sein können". Das dürfe niemandem gestattet werden, auch nicht dem Staat.

Tangens hält daher sowohl die Quellen-TKÜ, als auch die Onlinedurchsuchung für Verletzungen der Menschenwürde, des geschützten Kernbereichs privater Lebensgestaltung und des IT-Grundrechts. Sie hofft, dass die Karlsruher Richter beide Maßnahmen für verfassungswidrig und nichtig erklären - und zwar grundsätzlich, nicht nur in der derzeit im Gesetz formulierten Ausprägung.

GFF: Ziel ist Verpflichtung des Staats zur Defensive

Ganz so weit gehen die Liberalen und die GFF mit ihren beiden Verfassungsbeschwerden nicht, sie streben eher eine Einschränkung der Überwachungsregelungen an. Der GFF-Vorsitzende Ulf Buermeyer etwa möchte erreichen, dass der Onlinedurchsuchung wieder engere Grenzen gesetzt werden.

Denn das Staatstrojaner-Gesetz von 2017 sorgte auch dafür, dass das Mittel - bereits seit 2009 in sehr engen Grenzen zur Terrorabwehr erlaubt - häufiger gestattet werden kann. Etwa, wenn es um Verleitung zur missbräuchlichen Asylantragstellung, Geldfälschung oder Drogenhandel geht. So etwas habe mit der 2008 vom Verfassungsgericht postulierten Grundvoraussetzung einer "konkreten Gefahr für überragend wichtige Rechtsgüter" nichts zu tun, findet Buermeyer.

Aber eigentlich geht es ihm um etwas anderes: darum, dass der Staat bestehende Schwachstellen in Software und Hardware nicht zum Schutz aller Nutzer an die Hersteller meldet, sondern heimlich ausnutzt, um die Geräte von Verdächtigen hacken zu können - in der Hoffnung, dass niemand sonst sie findet und damit Unschuldige angreift. Die Ransomware-Welle WannaCry war genau so ein Fall und sollte laut Buermeyer ein warnendes Beispiel sein.

Journalisten als Betroffene

Zu den Beschwerdeführern der GFF gehören die Journalisten Hajo Seppelt und Can Dündar. Beide gehen davon aus, immer wieder Ziel von Angriffen mit Überwachungssoftware zu sein. Seppelt hat den staatlich unterstützten Dopingskandal im russischen Sport aufgedeckt. Dündar lebt im Exil in Deutschland, in der Türkei läuft noch ein Verfahren wegen Geheimnisverrats gegen ihn.

Buermeyer hofft, dass das Bundesverfassungsgericht den Staat zum IT-Schwachstellen-Management verpflichtet. Er sagt: "Wenn der Gesetzgeber schon eine Rechtsgrundlage für den Trojanereinsatz schafft, dann soll er auch festlegen müssen, unter welchen Umständen Strafverfolger die dafür nötigen IT-Sicherheitslücken horten dürfen oder melden müssen".

In eine ähnliche Richtung zielt der Verband TeleTrusT. Dessen Geschäftsführer Holger Mühlbauer sagt, man wolle verhindern, dass der Staat verdeckt Exploits - also Schadsoftware, die bestimmte Sicherheitslücken ausnutzt - aufkauft und einsetzt. Zu den Verbandsmitgliedern gehört allerdings auch das BKA. Dessen Vertreter habe intern für die Position der Behörde geworben, sei aber überstimmt worden, sagt Mühlbauer.

Überlegungen, wie eine Regelung zur Offenlegung von Schwachstellen aussehen könnte, gibt es bereits. Das Bundesinnenministerium hat einen ersten internen Entwurf erarbeitet. Aber ganz so problematisch wie die GFF sieht man den bisher rein offensiven Umgang mit Sicherheitslücken dort wohl nicht. Im Mai hatte das Ministerium den Grünen noch geschrieben: "Im Übrigen teilt die Bundesregierung nicht die Auffassung der Fragesteller, dass durch die Durchführung einer Quellen-TKÜ die IT-Sicherheit insgesamt gefährdet wird".

Zusammengefasst: Drei Organisationen werden im August ihre Verfassungsbeschwerden gegen das Staatstrojaner-Gesetz einreichen, eine hat das bereits im April getan. Ihr Ziel: Dem Staat soll es untersagt oder nur unter strengeren Auflagen erlaubt werden, Smartphones und Computer von Verdächtigen zu infiltrieren, um Überwachungssoftware darauf zu installieren. Außerdem hoffen sie, dass die Regierung verpflichtet wird, IT-Sicherheitslücken an die Hersteller zu melden, statt sie offensiv für solche Hacking-Aktionen auszunutzen.

Update: Die Angaben zur Verfassungsbeschwerde des Bundesverbandes IT-Sicherheit (TeleTrusT) wurden ergänzt.

insgesamt 36 Beiträge
Alle Kommentare öffnen
Seite 1
realist85 06.08.2018
1. Bis sie betroffen sind...
Ich würde gerne wissen, wie die Kläger dazu stehen, wenn ein Angehöriger von ihnen bei einem Anschlag drauf geht... Achso habe ich vergessen, die haben genug Geld um ÖPNV etc nicht zu brauchen oder haben sogar Personenschutz... Heuchler
muekno 06.08.2018
2. Und ich warte darauf, dass Sie
Zitat von realist85Ich würde gerne wissen, wie die Kläger dazu stehen, wenn ein Angehöriger von ihnen bei einem Anschlag drauf geht... Achso habe ich vergessen, die haben genug Geld um ÖPNV etc nicht zu brauchen oder haben sogar Personenschutz... Heuchler
zufällig in Verdacht geraden und auf ihren Rechner was gefunden wird das Sie zumindest mal für ein paar Tage in den Knast bingt bis Sie ihre Unschuld beweisen oder ein mögliches weniger tolerantes System diese Mittel nutzt, nicht nur für schwere Straftaten. Aber Sie haben ja nichts zu verbergen, logo.
GoaSkin 06.08.2018
3. mit einwenig Kreativität würde die Polizei-Hackerei akzeptiert werden
Vielleicht sollte die Polizei garnicht heimlich hacken, sondern einfach einen privaten Anbieter gründen, der ein Soziales Netzwerk samt Instant Messanger incl. Spyware anbietet, die dann auch laut AGBs akzeptiert werden muss. Dann mittels Influenzern dem Dummvolk unaufhörlich klarmachen, dass der Dienst angesagt und hip ist. Dass das funktioniert, erkennt man doch gut an WhatsApp und Facebook, wobei die Dienste auch zeigen, dass die Leute es OK finden, wenn Privatunternehmen Daten sammeln. Darum sollte die Polizei auch eins vorschicken.
Semmelbroesel 06.08.2018
4.
Zitat von realist85Ich würde gerne wissen, wie die Kläger dazu stehen, wenn ein Angehöriger von ihnen bei einem Anschlag drauf geht... Achso habe ich vergessen, die haben genug Geld um ÖPNV etc nicht zu brauchen oder haben sogar Personenschutz... Heuchler
Was für ein blödsinniger Kommentar. Lesen Sie mal das neue bayrische Polizeigesetz, da sollen diese Instrumente schon bei Alltagsdelikten, bzw. präventiv eingesetzt werden. Das Gerede davon, dieses nur bei "tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut vorliegen" anwenden zu wollen und zu dürfen, ist haltloses Geschwätz, um solchen Menschen wie Ihnen ein Gefühl von Sicherheit zu vermitteln und zu allem ja und amen sagen, da es doch der Sicherheit dient. Das diese Instrumente auch dafür geeignet sind, Inhalte zu auf den IT-Systemen zu manipulieren, halte ich für die grösste Schwachstelle. Wer weiss denn schon, ob diese Möglichkeit nicht eines Tages angewendet wird. Ich werden auf jeden Fall die Klage von digitalcourage wieder unterstützen, auch monetär.
Fuxx81 06.08.2018
5. Heuchler
Zitat von realist85Ich würde gerne wissen, wie die Kläger dazu stehen, wenn ein Angehöriger von ihnen bei einem Anschlag drauf geht... Achso habe ich vergessen, die haben genug Geld um ÖPNV etc nicht zu brauchen oder haben sogar Personenschutz... Heuchler
Dann erklären sie doch mal den Angehörigen eines Verkehrstoten, warum Autofahren weiter legal ist. Tipp: weil in beiden Fällen eine Güterabwägung stattfindet und der Schaden Weniger allgemein als akzeptabler Preis für die Freiheitsrechte Vieler angesehen werden.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.