15 statt 380: Bundesamt korrigiert Zahl der Staatstrojaner-Einsätze drastisch

Im Dezember hatte das Bundesamt für Justiz erstmals öffentlich gemacht, wie oft deutsche Ermittler die Geräte von Verdächtigen hacken. Die Zahlen erschienen überraschend hoch. Jetzt wurden sie korrigiert.

»Kreuzchen/Häkchen versehentlich falsch gesetzt«: Die Quellen-TKÜ wurde 2019 nur drei Mal durchgeführt

Foto: Sebastian Gollnow/ dpa

Die Statistik zum Einsatz von sogenannten Staatstrojanern in Deutschland ist offenbar tückisch, nicht zuletzt für diejenigen, die an ihrer Erstellung beteiligt sind. Schon im Dezember 2020, als die Zahlen erstmalig veröffentlicht wurden, wichen die Zahlen in der Pressemitteilung und in der eigentlichen Statistik voneinander ab. Und sie erschienen überraschend hoch, denn eigentlich gilt das Hacken von Geräten verdächtiger Personen unter Polizisten angeblich als mühsam und kompliziert.

Demnach gab es im Jahr 2019 bundesweit genau 578 Anordnungen zur Quellen-Telekommunikationsüberwachung (Quellen-TKÜ), von denen 368 tatsächlich durchgeführt wurden, sowie 33 angeordnete Onlinedurchsuchungen, von denen aber nur zwölf durchgeführt wurden. Die beiden Maßnahmen unterscheiden sich in ihrer Eingriffstiefe (siehe Kasten): Bei einer Quellen-TKÜ darf die Polizei nur laufende Kommunikation abhören, bei der Onlinedurchsuchung darf sie auch gespeicherte Daten auslesen.

Was sind Staatstrojaner?

Überwachungsprogramme, die Strafverfolger heimlich auf Geräten von Verdächtigen installieren, werden umgangssprachlich Staatstrojaner genannt. Unterschieden wird dabei zwischen dem Ziel, nur eine laufende Kommunikation zu überwachen, oder das ganze Zielgerät zu durchsuchen.

Deutsche Strafverfolger dürfen gemäß § 100a der Strafprozessordnung die laufende Kommunikation von Verdächtigen direkt an der Quelle überwachen (Quellen-Telekommunikationsüberwachung, kurz: Quellen-TKÜ) - also auf dessen Computer oder Smartphone, mithilfe heimlich eingeschleuster Software. Nötig kann das sein, wenn die Kommunikation verschlüsselt stattfindet, zum Beispiel über WhatsApp. Ohne Zugang zum Gerät von Sender oder Empfänger ließe sie sich nicht überwachen, anders als das bei klassischen SMS der Fall ist.

§ 100b der Strafprozessordnung regelt die Online-Durchsuchung. Hier kann die Polizei mithilfe spezieller Überwachungssoftware alle Dateien, Programme und Nachrichten auf einem Gerät heimlich und aus der Ferne einsehen. Der Eingriff ist also schwerwiegender als eine Quellen-TKÜ.

Für die Quellen-TKÜ hat das BKA eine entsprechende Software selbst entwickelt. »Remote Communication Interception Software« (RCIS) heißt sie. Knapp sechs Millionen Euro hat die Entwicklung gekostet. Die erste Version konnte allerdings nur Skype-Gespräche mitschneiden und funktionierte nur auf Windows-Rechnern. Die zweite Version kann mehr. Außerdem hat die Behörde bereits 2013 eine Lizenz für die Software FinFisher/FinSpy des deutsch-britischen Unternehmens Elaman/Gamma gekauft. Eingesetzt werden darf sie laut »Welt« aber erst seit Anfang des Jahres. Für die Online-Durchsuchung wiederum arbeitet das BKA noch an einer Eigenentwicklung.

Die Landeskriminalämter haben (Stand Januar 2018) keine eigenen Trojaner. Das BKA darf zwar Amtshilfe leisten. Aber zumindest bis Mai 2018 ist das laut Bundesregierung nicht vorgekommen, jedenfalls nicht in abgeschlossenen Verfahren.

Damit die Überwachungssoftware überhaupt auf dem Zielgerät landen und dort unbemerkt arbeiten kann, muss sie Sicherheitslücken in der Hardware, dem Betriebssystem oder einzelnen Anwendungsprogrammen ausnutzen. Die Entwickler nutzen also bekannte, aber nicht behobene, oder auch neu entdeckte Schwachstellen offensiv aus, statt sie den Herstellern zu melden und so die IT-Sicherheit aller Nutzer zu stärken.

In dieser Woche hat das zuständige Bundesamt für Justiz (BfJ) die Zahlen deutlich nach unten korrigiert. Zwar bleibt es bei den zwölf durchgeführten Onlinedurchsuchungen. Doch die Quellen-TKÜ hat bundesweit ganze drei Mal stattgefunden, heißt es nun, bei 31 entsprechenden richterlichen Anordnungen.

»Die Landesjustizverwaltungen haben ihre dem BfJ übermittelten Daten aktuell überprüft. Soweit sich hierbei ein Korrekturbedarf ergeben hat, wurde dieser in die Statistik über­nommen und zur Kenntlichmachung grau unterlegt«, schreibt das BfJ in bestem Beamtendeutsch zur Erklärung, ohne ins Detail zu gehen.

Genauer hatten es WDR und NDR bereits im Januar berichtet. Auf Nachfrage hatten Staatsanwaltschaften in Bremen, Nordrhein-Westfalen und weiteren Bundesländern ihre Zahlen noch einmal überprüft und eingeräumt, dass sie falsch waren.

Eine Sprecherin der Essener Staatsanwaltschaft wurde mit den Worten zitiert, bei der Erstellung der Statistik seien möglicherweise »Kreuzchen/Häkchen versehentlich falsch gesetzt worden«. Aus Bremen hieß es, »dass ein/e Dezernent/in die Bögen offenbar missinterpretiert hat«, und auch im Saarland habe es eine »fehlerhafte statistische Erfassung« gegeben.

Die neue Gesamtstatistik des BfJ spiegelt das Ergebnis der Überprüfungen wider.

pbe