Neues Überwachungsgesetz Hackerangriff aus dem Bundestag
Der Bundestag hat am Donnerstag das Gesetz "zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens" in zweiter und dritter Lesung verabschiedet.
Auf den ersten Blick sind es eher harmlose Maßnahmen, mit denen die Bundesregierung Strafverfahren "effektiver und praxistauglicher" machen will: Von Vernehmungen sollen künftig auch Videoaufzeichnungen, nicht nur Wortprotokolle, verwendet werden dürfen. Und bei Vergehen, die nichts mit dem Straßenverkehr zu tun haben, soll zur Strafe der Führerschein entzogen werden können.
Doch kurz vor den Beratungen im Bundestag wurde an das Gesetz zur Reform der Strafprozessordnung noch ein wohl folgenreiches Papier angeheftet. Eine lange Liste von Straftaten, bei denen Ermittler künftig zu einer der schärfsten Waffen greifen können: Staatliche Hacker sollen Schadsoftware auf die Smartphones, Tablets und Computer Verdächtiger aufspielen - und dadurch mitlesen, mithören, Daten kopieren können.
Nun ist von "Überwachungsfantasien" oder von "Totalüberwachung" die Rede. Warum der Einsatz der hauptsächlich unter dem Stichwort Staatstrojaner diskutierten Spähsoftware so heikel ist und welche Folgen sie hat - die wichtigsten Fragen und Antworten im Überblick:
Warum gibt es das Gesetz?
Der Staat möchte den Behörden mehr Möglichkeiten zur Strafverfolgung im Digitalen geben. Dabei wird in Deutschland grundsätzlich zwischen zwei unterschiedlich gravierenden Maßnahmen unterschieden:
- Quellen-Telekommunikationsüberwachung (Quellen-TKÜ): Mitschnitt von laufenden Kommunikationsvorgängen, zum Beispiel von WhatsApp-Nachrichten, bevor sie verschlüsselt versandt werden
- Online-Durchsuchung: Auslesen kompletter Telefone und Computer inklusive aller gespeicherter Daten
Die deutschen Ermittler stehen vor dem Problem, dass Kriminelle genauso selbstverständlich online kommunizieren wie der Rest der Bevölkerung - und das oft verschlüsselt über Dienste wie WhatsApp oder Telegram. Das herkömmliche Abhören von Telefonaten, so das Argument, hilft nicht mehr weiter.
Deshalb sollen Ermittler häufiger auf die Quellen-TKÜ und auch die Onlinedurchsuchung zurückgreifen können, nicht wie bisher nur zur Abwehr von schwerwiegenden Taten, sondern auch zur nachträglichen Strafverfolgung. Die Regeln im Detail werden hier erklärt:
Weshalb ist das Gesetz so umstritten?
Das Gesetz wird wohl dazu führen, dass tiefgreifende Überwachungsmaßnahmen deutlich häufiger zum Einsatz kommen. Eine breite Allianz an Kritikern ärgert sich nicht nur über das undurchsichtige Verfahren, durch das die Regeln zustande kamen. Viele stufen die Regeln auch als verfassungswidrig ein. Das Gesetz widerspreche unter anderem Urteilen des Bundesverfassungsgerichts. Das hat zum Beispiel in einem Urteil zur Onlinedurchsuchung von 2008 ein neues "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme " definiert.
Der Richter und Bürgerrechtler Ulf Buermeyer sieht die Vielzahl an möglichen Einsatzfällen für eine Onlinedurchsuchung als "verfassungsrechtlich nicht zu rechtfertigen", auch die Quellen-TKÜ werde so weit gefasst, dass sie verfassungswidrig sei .
Auch wenn der Gesetzestext die vom Verfassungsgericht gesetzten Grenzen selbst thematisiert: Kritiker haben bereits angekündigt, vor das Bundesverfassungsgericht ziehen zu wollen, um die Regeln zu kippen.
Generell gibt es zwei Grundprobleme beim staatlichen Einsatz solch mächtiger Spähwerkzeuge:
- Datenschützer und Bürgerrechtler betonen, dass ein gehacktes Smartphone oder Laptop ein viel schwererer Eingriff in die Privatsphäre ist als eine klassische Telefonüberwachung, etwa über das Mittel des sogenannten Großen Lauschangriffs. "Staatliches Hacking ist viel schlimmer als der Große Lauschangriff, weil heute auf dem Handy das gesamte Privatleben enthalten ist: Fotos, Kontakte, SMS, E-Mails, Surfverhalten, Standort- und Bewegungsdaten", sagt Jan Korte, stellvertretender Fraktionsvorsitzender der Linken.
Die Onlinedurchsuchung soll laut neuem Gesetzestext "soweit möglich" keine Daten aus dem laut Verfassungsgericht besonders geschützten Kernbereich des privaten Lebens erheben. Passiert das doch, müssen sie gelöscht oder einem Richter zur Beurteilung vorgelegt werden. Das zeigt: Unantastbar ist dieser Schutzbereich nicht mehr. - Wenn der Staat Spähprogramme gegen seine Bürger einsetzt, wird er letztlich selbst zum Hacker und muss Sicherheitslücken ausnutzen, statt sie dem Hersteller zu melden, der sie zum Wohle aller Nutzer dann schließen kann. Mehr dazu hier:
Staatstrojaner - war da nicht schon einmal etwas?
Um staatliche Spähprogramme wird seit Jahren gestritten, der eigentlich nicht ganz korrekte Oberbegriff "Staatstrojaner" hat sich dabei längst etabliert. In Deutschland wird die Schadsoftware zur Onlinedurchsuchung sowohl auf Länder- wie auch auf Bundesebene eingesetzt. 2011 etwa sorgte eine Analyse des Chaos Computer Clubs (CCC) für Aufsehen, die einen unter anderem von Bayern eingesetzten Staatstrojaner identifizierte, der mehr konnte, als er laut Gesetz darf.
Der Spruch des Bundesverfassungsgericht von 2016 zum BKA-Gesetz betraf auch den Umgang mit dem Einsatz von Bundestrojanern. Dieser sei zwar im Grundsatz mit den Grundrechten vereinbar. Die konkrete Ausgestaltung der Befugnisse durch den Gesetzgeber sei aber in verschiedener Hinsicht ungenügend, so das Gericht.
Wozu sind die Bundeshacker heute in der Lage?
Der aktuelle Bundestrojaner, den das Bundeskriminalamt programmiert hat, ist nur auf Windows-Desktoprechnern einsatzfähig. Für das Knacken verschlüsselter Chats auf dem Smartphone ist er also nicht zu gebrauchen. Nur über Umwege gelingt es Ermittlern schon jetzt, etwa Konten des Dienstes Telegram anzuzapfen .
Klar ist: Mit der gesetzlichen Grundlage für den Einsatz werden sich die Behörden und die Geheimdienste intensiver bemühen, sich die passenden Werkzeuge zu verschaffen. Sie können sie in der Privatwirtschaft einkaufen oder selbst entwickeln - eine dafür vorgesehene Behörde leidet allerdings unter Personalmangel .
Wessen Geräte könnten gehackt werden?
Das ist schwammig definiert. "Die Maßnahme darf sich nur gegen den Beschuldigten richten", heißt es zwar zunächst zur Onlinedurchsuchung im vorgeschlagenen Gesetzestext. Allerdings sei auch "ein Eingriff in informationstechnische Systeme anderer Personen" zulässig: zum Beispiel, wenn man annimmt, dass der Beschuldigte auch den Rechner oder das Handy einer anderen Person benutzt. Oder wenn die Ausspähung auf den Geräten des Verdächtigen nicht ausreicht zur "Erforschung des Sachverhalts".
Die Maßnahme dürfe auch durchgeführt werden, heißt es, "wenn andere Personen unvermeidbar betroffen werden." Gerade solche sehr weit gefassten Formulierungen dürften die Skepsis gegenüber dem Gesetz noch verstärken.
Wurde das Vorhaben auf unlautere Art durchs Parlament gedrückt?
Die letzten Bundestagssitzungen vor der Sommerpause sind Jahr für Jahr geprägt von hektischen Verfahren, in denen auch wichtige Gesetze hektisch zusammengezimmert und kaum debattiert werden. Außerdem ist seit dem Koalitionsvertrag von 2013 bekannt, dass Union und SPD eine rechtliche Grundlage für den Einsatz solcher Staatstrojaner wollen.
Dennoch ist es außergewöhnlich, dass nur sechs Wochen vor der Sommerpause plötzlich das Vorhaben in Form einer nicht-öffentlichen Formulierungshilfe aus dem Justizministerium auftauchte. Die Abläufe hatten auch in den Koalitionsfraktionen und in der Parlamentsverwaltung für Verstimmung gesorgt.
Die Abgeordneten einigten sich erst am Dienstagnachmittag in geheimer Sitzung des Rechtsausschusses auf den Antrag - 48 Stunden später ist der Staatstrojaner dann vom Parlament beschlossen worden.
