Verfassungsbeschwerden: Wann dürfen Polizisten zu Hackern werden?

2008 sprach das Bundesverfassungsgericht ein wegweisendes Urteil zum Staatstrojaner. Nun verlangen Bürgerrechtler und der Journalist Hajo Seppelt ein Update. Der Staat solle IT-Schwachstellen schließen, nicht nutzen.

Smartphone-Nutzer

Foto: Estevez/ EPA/ REX/ Shutterstock

Seit knapp einem Jahr dürfen Deutschlands Strafverfolger heimlich in Computer und Smartphones eindringen, um Überwachungssoftware zu installieren. Das entsprechende Staatstrojaner-Gesetz trat am 24. August 2017 in Kraft.

Die Strafverfolger können so Zugang zu intimsten Informationen eines Verdächtigen und seiner Kommunikationspartner erhalten, theoretisch in einer Vielzahl von Fällen. Praktisch, beteuert das Bundeskriminalamt (BKA), seien es extrem wenige. Ein BKA-Experte sagte dem Innenausschuss des Bundestages im Juni, die Zahl sei "so gering, (...) dass sich die Frage stellt, ob es sich hier überhaupt um ein so großes Problem handelt, wie es vielfach in kritischen Anmerkungen dargestellt wird".

Für gleich vier Organisationen stellt sich diese Frage nicht. Sie halten das Problem für groß genug, um es zum zweiten Mal vor das Bundesverfassungsgericht zu bringen: Der Verein Digitalcourage , die Gesellschaft für Freiheitsrechte  (GFF) sowie mehrere FDP-Politiker, darunter Christian Lindner, Gerhart Baum, Sabine Leutheusser-Schnarrenberger und Burkhard Hirsch, werden in den kommenden Tagen Verfassungsbeschwerde einreichen. Der Bundesverband IT-Sicherheit (TeleTrusT) hat das bereits am 19. April getan.

Was sind Staatstrojaner?

Überwachungsprogramme, die Strafverfolger heimlich auf Geräten von Verdächtigen installieren, werden umgangssprachlich Staatstrojaner genannt. Unterschieden wird dabei zwischen dem Ziel, nur eine laufende Kommunikation zu überwachen, und dem, das ganze Zielgerät zu durchsuchen.

Deutsche Strafverfolger dürfen gemäß Paragraf 100a der Strafprozessordnung die laufende Kommunikation von Verdächtigen direkt an der Quelle überwachen (Quellen-Telekommunikationsüberwachung, kurz: Quellen-TKÜ) – also auf deren Computer oder Smartphone, mithilfe heimlich eingeschleuster Software. Nötig kann das sein, wenn die Kommunikation verschlüsselt stattfindet, zum Beispiel über WhatsApp. Ohne Zugang zum Gerät von Sender oder Empfänger ließe sie sich nicht überwachen, anders als das bei klassischen SMS der Fall ist.

Paragraf 100b der Strafprozessordnung regelt die Onlinedurchsuchung. Hier kann die Polizei mithilfe spezieller Überwachungssoftware alle Dateien, Programme und Nachrichten auf einem Gerät heimlich und aus der Ferne einsehen. Der Eingriff ist also schwerwiegender als eine Quellen-TKÜ.

Für die Quellen-TKÜ hat das BKA eine entsprechende Software selbst entwickelt. Remote Communication Interception Software (RCIS) heißt sie. Knapp sechs Millionen Euro hat die Entwicklung gekostet. Die erste Version konnte allerdings nur Skype-Gespräche mitschneiden und funktionierte nur auf Windows-Rechnern. Die zweite Version kann mehr. Außerdem hat die Behörde bereits 2013 eine Lizenz für die Software FinFisher/FinSpy des deutsch-britischen Unternehmens Elaman/Gamma gekauft. Eingesetzt werden darf sie laut »Welt« aber erst seit Anfang des Jahres. Für die Onlinedurchsuchung wiederum arbeitet das BKA noch an einer Eigenentwicklung.

Die Landeskriminalämter haben (Stand Januar 2018) keine eigenen Trojaner. Das BKA darf zwar Amtshilfe leisten. Aber zumindest bis Mai 2018 ist das laut Bundesregierung nicht vorgekommen, jedenfalls nicht in abgeschlossenen Verfahren.

Damit die Überwachungssoftware überhaupt auf dem Zielgerät landen und dort unbemerkt arbeiten kann, muss sie Sicherheitslücken in der Hardware, dem Betriebssystem oder einzelnen Anwendungsprogrammen ausnutzen. Die Entwickler nutzen also bekannte, aber nicht behobene, oder auch neu entdeckte Schwachstellen offensiv aus, statt sie den Herstellern zu melden und so die IT-Sicherheit aller Nutzer zu stärken.

Es gibt bereits ein höchstrichterliches Urteil zum Thema  aus dem Jahr 2008. Vor zehn Jahren ging es um die Befugnis zur Onlinedurchsuchung des nordrhein-westfälischen Verfassungsschutzes, zu den Klägern gehörte auch damals schon Gerhart Baum.

Die Richter schufen in ihrer Entscheidung ein neues Grundrecht auf "Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme", (kurz: IT-Grundrecht). Ihre Begründung: Weil digitale Technik unser Leben immer stärker bestimmt, entsteht auch ein neuer, schützenswerter Lebensbereich.

Schon 2008 erkannte das Gericht an, dass die Bedeutung von Computern "für die Persönlichkeitsentfaltung erheblich gestiegen" ist. Nur wenn "tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut vorliegen", hielten die Richter deshalb eine heimliche Onlinedurchsuchung für vertretbar.

Als das Urteil im Februar 2008 fiel, war das iPhone gerade einmal drei Monate auf dem deutschen Markt. Seither haben sich die Technik und das Nutzungsverhalten noch einmal dramatisch verändert. Wie sehr solche Geräte zum allgegenwärtigen Universalwerkzeug und zum externen Speicherplatz selbst für privateste Gedanken werden würde, konnten auch die Verfassungsrichter kaum ahnen.

Digitalcourage: Ziel ist das endgültige Aus für Staatstrojaner

Rena Tangens von Digitalcourage zufolge bedeutet das: "Wer Smartphones heimlich beobachtet, forscht letztlich die Gedankenwelt der Nutzer aus und kann Persönlichkeitsbilder erstellen, die umfangreicher, gläserner nicht sein können". Das dürfe niemandem gestattet werden, auch nicht dem Staat.

Tangens hält daher sowohl die Quellen-TKÜ, als auch die Onlinedurchsuchung für Verletzungen der Menschenwürde, des geschützten Kernbereichs privater Lebensgestaltung und des IT-Grundrechts. Sie hofft, dass die Karlsruher Richter beide Maßnahmen für verfassungswidrig und nichtig erklären - und zwar grundsätzlich, nicht nur in der derzeit im Gesetz formulierten Ausprägung.

GFF: Ziel ist Verpflichtung des Staats zur Defensive

Ganz so weit gehen die Liberalen und die GFF mit ihren beiden Verfassungsbeschwerden nicht, sie streben eher eine Einschränkung der Überwachungsregelungen an. Der GFF-Vorsitzende Ulf Buermeyer etwa möchte erreichen, dass der Onlinedurchsuchung wieder engere Grenzen gesetzt werden.

Denn das Staatstrojaner-Gesetz von 2017 sorgte auch dafür, dass das Mittel - bereits seit 2009 in sehr engen Grenzen zur Terrorabwehr erlaubt - häufiger gestattet werden kann. Etwa, wenn es um Verleitung zur missbräuchlichen Asylantragstellung, Geldfälschung oder Drogenhandel geht. So etwas habe mit der 2008 vom Verfassungsgericht postulierten Grundvoraussetzung einer "konkreten Gefahr für überragend wichtige Rechtsgüter" nichts zu tun, findet Buermeyer.

Aber eigentlich geht es ihm um etwas anderes: darum, dass der Staat bestehende Schwachstellen in Software und Hardware nicht zum Schutz aller Nutzer an die Hersteller meldet, sondern heimlich ausnutzt, um die Geräte von Verdächtigen hacken zu können - in der Hoffnung, dass niemand sonst sie findet und damit Unschuldige angreift. Die Ransomware-Welle WannaCry war genau so ein Fall und sollte laut Buermeyer ein warnendes Beispiel sein.

Journalisten als Betroffene

Zu den Beschwerdeführern der GFF gehören die Journalisten Hajo Seppelt und Can Dündar. Beide gehen davon aus, immer wieder Ziel von Angriffen mit Überwachungssoftware zu sein. Seppelt hat den staatlich unterstützten Dopingskandal im russischen Sport aufgedeckt. Dündar lebt im Exil in Deutschland, in der Türkei läuft noch ein Verfahren wegen Geheimnisverrats gegen ihn.

Buermeyer hofft, dass das Bundesverfassungsgericht den Staat zum IT-Schwachstellen-Management verpflichtet. Er sagt: "Wenn der Gesetzgeber schon eine Rechtsgrundlage für den Trojanereinsatz schafft, dann soll er auch festlegen müssen, unter welchen Umständen Strafverfolger die dafür nötigen IT-Sicherheitslücken horten dürfen oder melden müssen".

In eine ähnliche Richtung zielt der Verband TeleTrusT. Dessen Geschäftsführer Holger Mühlbauer sagt, man wolle verhindern, dass der Staat verdeckt Exploits - also Schadsoftware, die bestimmte Sicherheitslücken ausnutzt - aufkauft und einsetzt. Zu den Verbandsmitgliedern gehört allerdings auch das BKA. Dessen Vertreter habe intern für die Position der Behörde geworben, sei aber überstimmt worden, sagt Mühlbauer.

Überlegungen, wie eine Regelung zur Offenlegung von Schwachstellen aussehen könnte, gibt es bereits. Das Bundesinnenministerium hat einen ersten internen Entwurf erarbeitet. Aber ganz so problematisch wie die GFF sieht man den bisher rein offensiven Umgang mit Sicherheitslücken dort wohl nicht. Im Mai hatte das Ministerium den Grünen noch geschrieben : "Im Übrigen teilt die Bundesregierung nicht die Auffassung der Fragesteller, dass durch die Durchführung einer Quellen-TKÜ die IT-Sicherheit insgesamt gefährdet wird".

Zusammengefasst: Drei Organisationen werden im August ihre Verfassungsbeschwerden gegen das Staatstrojaner-Gesetz einreichen, eine hat das bereits im April getan. Ihr Ziel: Dem Staat soll es untersagt oder nur unter strengeren Auflagen erlaubt werden, Smartphones und Computer von Verdächtigen zu infiltrieren, um Überwachungssoftware darauf zu installieren. Außerdem hoffen sie, dass die Regierung verpflichtet wird, IT-Sicherheitslücken an die Hersteller zu melden, statt sie offensiv für solche Hacking-Aktionen auszunutzen.

Update: Die Angaben zur Verfassungsbeschwerde des Bundesverbandes IT-Sicherheit (TeleTrusT) wurden ergänzt.