Staatstrojaner: Dein trojanischer Freund und Helfer

Erstveröffentlicht: 
22.06.2017

Der Bundestag hat ein weitreichendes Überwachungsgesetz beschlossen. Wir analysieren es Satz für Satz und erklären, warum es wohl verfassungswidrig ist.

 

Von Patrick Beuth und Kai Biermann

 

Der Bundestag hat eine neue rechtliche Grundlage für den Einsatz von Staatstrojanern beschlossen. Für das Hacken von Computern durch Deutschlands Strafverfolgungsbehörden, für das Verwanzen von Smartphones, für das heimliche Mitlesen von WhatsApp-Nachrichten.

 

Offiziell heißt es Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens. SPD-Fraktionschef Thomas Oppermann nennt es, schon etwas weniger schwammig, ein Gesetz, das den Einsatz von Quellen-Telekommunikationsüberwachung (TKÜ) "erlaubt, um schwere Straftaten zu verhindern." Bekannt ist es vor allem unter dem Stichwort Staatstrojaner.

 

Bemerkenswert ist, dass die Staatstrojaner aber gar nicht im Entwurf selbst stehen. Sondern in diesem Änderungsantrag, den die Bundesregierung selbst nachträglich als "Formulierungshilfe" eingebracht hat. Eine größere, geschweige denn öffentliche Debatte kam deshalb praktisch nicht zustande. Selbst die Bundesdatenschutzbeauftragte erfuhr erst über die Berichterstattung von netzpolitik.org davon – und war nicht amüsiert. Die Koalition hat den Änderungsantrag aber fast Wort für Wort übernommen und im Rechtsausschuss passieren lassen, sodass er heute zur Abstimmung steht.

 

Was eine Quellen-TKÜ beinhalten darf und was nicht

 

Der relevante Teil beginnt auf Seite 10 des Antrags, mit einer Ergänzung von Absatz 1, Paragraf 100a Strafgesetzbuch. Sie lautet:  

Die Überwachung und Aufzeichnung der Telekommunikation darf auch in der Weise erfolgen, dass mit technischen Mitteln in von dem Betroffenen genutzte informationstechnische Systeme eingegriffen wird, wenn dies notwendig ist, um die Überwachung und Aufzeichnung insbesondere in unverschlüsselter Form zu ermöglichen.

 

Informationstechnische Systeme mit Verschlüsselung kann alles Mögliche heißen. Die Innenminister von Bund und Ländern reden immer über WhatsApp, also Messenger-Apps, die standardmäßig eine Ende-zu-Ende-Verschlüsselung verwenden. Aber der Satz ist so allgemein formuliert, dass er für alle elektronischen Geräte und Dienste gilt, über die jemand verschlüsselt kommunizieren kann. Auch für jene, die es noch nicht gibt.

 

Der zweite neue Satz in 100a Absatz 1 klingt erst einmal selbst kryptisch:

Auf dem informationstechnischen System des Betroffenen gespeicherte Inhalte und Umstände der Kommunikation dürfen überwacht und aufgezeichnet werden, wenn sie auch während des laufenden Übertragungsvorgangs im öffentlichen Telekommunikationsnetz in verschlüsselter Form hätten überwacht und aufgezeichnet werden können.

 

Noch einmal aufgegriffen wird das im komplett neuen Absatz 5:

Bei Maßnahmen nach Absatz 1 Satz 2 und 3 ist technisch sicherzustellen, dass 1. ausschließlich überwacht und aufgezeichnet werden können: a) die laufende Telekommunikation (Absatz 1 Satz 2), oder b) Inhalte und Umstände der Kommunikation, die ab dem Zeitpunkt der Anordnung nach § 100e Absatz 1 auch während des laufenden Übertragungsvorgangs im öffentlichen Telekommunikationsnetz hätten überwacht und aufgezeichnet werden können.

 

Um zu verstehen, was mit den beiden Schachtelsätzen gemeint ist, muss man einen Blick in die Gesetzesbegründung werfen. Darin argumentiert die Bundesregierung, die Quellen-TKÜ von Messenger-Apps solle letztlich nichts anderes sein als die bisherige Telefon- und SMS-Überwachung. Ermittler sollen nur mitlesen können und dürfen, was als laufende Kommunikation gilt. Nicht aber das ganze System oder auch nur die gesamte gespeicherte Kommunikation.

 

Das soll "technisch" sichergestellt werden, sprich: Die staatliche Überwachungssoftware muss so entwickelt werden, dass sie nur Messenger-Nachrichten erfasst, die auch im Rahmen der klassischen Telefonüberwachung beim jeweiligen Provider erfasst würde – nur eben unverschlüsselt. Sie muss also einerseits gesendete oder empfangene und damit in beiden Fällen auf einem Gerät gespeicherte Nachrichten erfassen und an die Strafverfolger ausleiten können, andererseits aber alle sonstigen Tastatureingaben, Entwürfe oder ältere Nachrichten aus vorangegangenen Chats ignorieren. Nur unter diesen Voraussetzungen sei das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (IT-Grundrecht) nicht unzulässig eingeschränkt. 

 

Thomas Hoeren, Professor für IT-Recht an der Universität Münster, der schon mehrfach als Sachverständiger im Bundestag aufgetreten ist, hält die Argumentation für "Unsinn". Das IT-Grundrecht gelte vom Anfang einer Kommunikation bis zu ihrem Ende, daran ändere auch die Interpretation der Bundesregierung nichts. Die Quellen-TKÜ bedeutete einen "massiven Eingriff" in das Grundrecht.

 

Wer überwacht die Überwacher?

 

Die entscheidende Frage ist: Wer überprüft das und wer erfährt von dem Prüfungsergebnis? Die Bundesregierung verweist in der Begründung auf eine von Bund und Ländern erarbeitete Standardisierende Leistungsbeschreibung, laut der unter anderem eine Dokumentation des Quellcodes vorgesehen ist. Da die dort genannten Stellen aber der Geheimhaltung unterliegen, bleibt die Verfassungsmäßigkeit der Staatstrojaner für die Öffentlichkeit eine Vertrauensfrage. Zudem taucht die Leistungsbeschreibung im Gesetzestext selbst gar nicht auf.

 

Detail am Rande: Ein Staatstrojaner darf, so steht es in der Begründung, "nur auf technischem Wege oder mittels kriminalistischer List" installiert werden. Heimlich in die Wohnung eines Verdächtigen eindringen und dort ein Gerät verwanzen darf die Polizei hingegen nicht. Aber sie dürfte zum Beispiel am Flughafen kurz mit einem Gerät im Hinterzimmer verschwinden.

 

Wer überwacht werden darf

 

Paragraf 100a Absatz 3 wird umformuliert. Künftig dürfen Ermittler nicht mehr nur die Anschlüsse von Dritten überwachen, wenn "auf Grund bestimmter Tatsachen" anzunehmen ist, dass die eigentlich Verdächtigen sie mitbenutzen. Die Polizei darf dann auch alle möglichen technischen Geräte der Dritten hacken.

Ob die Belege für "bestimmte Tatsachen" ausreichen, um eine Quellen-TKÜ eines Dritten anzuordnen, muss im Einzelfall ein Gericht entscheiden.

 

Was die Entwickler der Staatstrojaner sicherstellen müssen

 

Paragraf 100a Absatz 4 wird (in Form des neuen Absatzes 5) mit einem bemerkenswerten Satz ergänzt. Er lautet: "Das eingesetzte Mittel ist nach dem Stand der Technik gegen unbefugte Nutzung zu schützen."

 

Das heißt, die Polizei muss ihre Trojaner verschlüsseln und verstecken. Niemand außer den Ermittlern soll damit Daten auslesen können. Das klingt sinnvoll, könnte aber auch ein Versuch sein, einen Fall wie im Jahr 2011 zu verhindern. Damals gelang es dem Chaos Computer Club (CCC), einen Staatstrojaner zu untersuchen und nachzubauen. Der CCC wies damals nach, dass der Trojaner mehr konnte, als die Verfassung erlaubt. So etwas soll der neue Absatz verhindern.

 

Was die Quellen-TKÜ im Zielsystem anrichtet

 

Im neuen Absatz 5 heißt es laut Entwurf, dass bei einer Quellen-TKÜ sicherzustellen ist, dass (…) (2.) an dem informationstechnischen System nur Veränderungen vorgenommen werden, die für die Datenerhebung unerlässlich sind, und (3) die vorgenommenen Veränderungen bei Beendigung der Maßnahme, soweit technisch möglich, automatisiert rückgängig gemacht werden.

 

Der Einschub "soweit technisch möglich" zeigt: Der Bundesregierung ist bewusst, dass sie die IT-Sicherheit in Deutschland gefährdet, weil die staatlichen Hacks einen Zielcomputer mitunter auch dauerhaft manipulieren oder beschädigen können.

 

Was die Onlinedurchsuchung von der Quellen-TKÜ unterscheidet

 

Paragraf 100b soll künftig lauten:

Auch ohne Wissen des Betroffenen darf mit technischen Mitteln in ein von dem Betroffenen genutztes informationstechnisches System eingegriffen und dürfen Daten daraus erhoben werden (Online-Durchsuchung), ...

 

"Daten daraus erhoben" ist die Abgrenzung zur Quellen-TKÜ. Gemeint ist: alles, was auf dem Gerät gespeichert ist, nicht nur ein laufender Kommunikationsvorgang.

 

wenn 1. bestimmte Tatsachen den Verdacht begründen, dass jemand als Täter oder Teilnehmer eine in Absatz 2 bezeichnete besonders schwere Straftat begangen oder in Fällen, in denen der Versuch strafbar ist, zu begehen versucht hat, 2. die Tat auch im Einzelfall besonders schwer wiegt und 3. die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten auf andere Weise wesentlich erschwert oder aussichtslos wäre.

 

Die Quellen-TKÜ darf nicht grenzenlos sein, das hat das Bundesverfassungsgericht 2008 geurteilt. Die neuen Grenzen stehen in Paragraf 100a StPO. Sie sind sehr weit gefasst, die Quellen-TKÜ darf unter anderem beim Verdacht auf Subventionsbetrug, Sportwettbetrug, Urkundenfälschung oder Steuerhinterziehung eingesetzt werden.

 

Für die Onlinedurchsuchung hingegen muss jemand im Verdacht stehen, eine jener besonders schweren Straftaten begangen zu haben, die in 100b Absatz 2 festgehalten wird. Darunter fallen neben Hochverrat, Mord und Totschlag sowie Kriegsverbrechen auch Hehlerei, Geldwäsche, Bestechung und sogar Paragraf 29, Absatz 1, Satz 1 Nummer 13 des Betäubungsmittelgesetzes. Der stellt schon die Bereitstellung von Geldmitteln zum Verbreiten von Schriften unter Strafe, in denen zum Konsum von illegalen Drogen aufgefordert wird.

 

Wahrscheinlich ist die separate Liste der Versuch, den Maßgaben des Bundesverfassungsgerichts zu entsprechen, das in seinem Urteil zur Onlinedurchsuchung schrieb: "Die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, ist verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen." Sportwettbetrug und Urkundenfälschung wären mit dem Maßstab des überragend wichtigen Rechtsguts kaum vereinbar. Ob das bei Bestechung und bestimmten Verstöße gegen das Betäubungsmittelgesetz anders ist, könnte eine Frage sein, die irgendwann wieder das Bundesverfassungsgericht beantworten muss. Professor Thomas Hoeren hält die Auflistung jedenfalls für einen "Wunschzettel" aus den verschiedenen Ministerien und die Liste in 100b für den "Versuch der Bundesregierung, das Gesetz zu retten".

 

Nur Beschuldigte dürfen gehackt werden – es sei denn, das reicht nicht

 

Um es noch einmal anschaulicher zu machen: Der Straftatenkatalog in 100b klingt so, als ob das Bundesverfassungsgericht der Bundesregierung sagt, es sei vertretbar, in einer Tempo-30-Zone auch mal 50 zu fahren, woraufhin die Regierung beschließt, vom Gas zu gehen und statt 100 nur noch Tempo 80 zu fahren.

 

Eingeschränkt wird der Einsatz der Onlinedurchsuchung immerhin noch dadurch, dass auch der Einzelfall "besonders schwer" wiegen muss. Laut Hoeren ist das aber "eine Gummiklausel".

 

Dass es keine aussichtsreiche alternative Ermittlungsmöglichkeit gebe, könnte hingegen zu einem Standardargument der Polizei werden.

 

Wessen Computer heimlich durchsucht werden dürfen

 

In 100b Absatz 3 heißt es: Die Maßnahme darf sich nur gegen den Beschuldigten richten.

Außer, wenn das nicht reicht. Was in der schlichten Ergänzung Die Maßnahme darf auch durchgeführt werden, wenn andere Personen unvermeidbar betroffen werden zum Ausdruck kommt. Außerdem gilt wie schon bei der Quellen-TKÜ, dass die Geräte von Dritten nicht tabu sind, wenn die Polizei Grund zur Annahme hat, dass der eigentliche Verdächtige deren Geräte benutzt.

 

Warum der Kernbereich privater Lebensgestaltung schrumpft

 

Der verfassungsrechtlich garantierte Schutz des Kernbereichs privater Lebensgestaltung ist bisher in Paragraf 100a Absatz 4 und 100c Absatz 4 bis 7 festgelegt. Der erstgenannte besagt sinngemäß, dass eine Überwachung unzulässig ist, wenn zu vermuten ist, dass dabei ausschließlich Informationen zutage kommen, die mit Straftaten nichts zu tun haben. Künftig steht er wortgleich in Paragraf 100d Absatz 1 und 2 und gilt gleichermaßen für Quellen-TKÜ, Onlinedurchsuchung und akustische Wohnraumüberwachung.

 

Neu ist Absatz 3. Er besagt, dass bei der Onlinedurchsuchung soweit möglich keine Daten aus dem Kernbereich privater Lebensgestaltung erhoben werden dürfen. Sollte das doch passieren, müssen sie entweder sofort gelöscht oder einem Richter zur Beurteilung vorgelegt werden.

 

Das ist eine verkürzte Form des bisherigen Paragrafen 100c Absatz 4, der künftig entfällt. Dort stand bisher: Die Maßnahme darf nur angeordnet werden, soweit auf Grund tatsächlicher Anhaltspunkte, insbesondere zu der Art der zu überwachenden Räumlichkeiten und dem Verhältnis der zu überwachenden Personen zueinander, anzunehmen ist, dass durch die Überwachung Äußerungen, die dem Kernbereich privater Lebensgestaltung zuzurechnen sind, nicht erfasst werden. Gespräche in Betriebs- oder Geschäftsräumen sind in der Regel nicht dem Kernbereich privater Lebensgestaltung zuzurechnen.

 

Im Umkehrschluss hieß das: Was im Schlafzimmer passiert, bleibt im Schlafzimmer. Dieser Raum durfte bisher nicht verwanzt werden, ebenso wenig das Bad. Mit dem Wegfall dieser Einschränkung wird der geschützte Kernbereich privater Lebensgestaltung faktisch kleiner. Aus Ermittlersicht ist das wünschenswert, andernfalls wäre zum Beispiel ein Computer im Schlafzimmer kein legitimes Ziel. Allerdings stellt die Regierung in der Gesetzesbegründung klar, dass ein Richter in jedem Einzelfall entscheiden muss, ob der Kernbereich betroffen sein könnte. Vorab bei der Anordnung – oder nachträglich, wenn es halt doch mal passiert ist, weil es technisch nicht anders zu machen war.

 

Fragen für das Bundesverfassungsgericht

 

Diese Kann-ja-mal-passieren-Einschränkung ist ein Eingeständnis der Bundesregierung, dass es extrem schwierig ist, eine Überwachungssoftware zu entwickeln und einzusetzen, die ein Gerät komplett kompromittiert und gleichzeitig ausschließlich ermittlungsrelevante Daten sammelt. Denn Computer und Smartphones sind inzwischen so etwas wie ausgelagerte Gehirne, in ihnen ist alles zu erkennen, was Menschen denken und wünschen. Genau deswegen hatte das Bundesverfassungsgericht das IT-Grundrecht ja geschaffen. Ob die Onlinedurchsuchung es nun abschwächt, könnte ebenfalls eine Frage für das Verfassungsgericht sein.

 

Wie die Onlinedurchsuchung präventiv genutzt werden soll

 

Der Paragraf 100e wird künftig unter anderem den Richtervorbehalt für Quellen-TKÜ, Onlinedurchsuchung und akustische Wohnraumüberwachung festlegen. Wobei die Quellen-TKÜ bei Gefahr in Verzug auch durch die Staatsanwaltschaft angeordnet werden kann, was das Gericht aber spätestens drei Tage später bestätigen muss.

 

Außerdem gestattet Absatz 6 Satz 1 eine Weiterverwertung der durch eine Onlinedurchsuchung gewonnenen Erkenntnisse auch in anderen Strafverfahren. Voraussetzung ist, dass es auch dabei um Straftaten geht, die eine Onlinedurchsuchung erlauben würden.

 

Es sei denn, die Erkenntnisse sollen zur Gefahrenabwehr eingesetzt werden, dann dürfen sie fast grenzenlos genutzt werden. Satz 2 besagt nämlich: Die Verwendung der Daten, auch solcher nach § 100d Absatz 5 Satz 1 Halbsatz 2, zu Zwecken der Gefahrenabwehr ist nur zur Abwehr einer im Einzelfall bestehenden Lebensgefahr oder einer dringenden Gefahr für Leib oder Freiheit einer Person, für die Sicherheit oder den Bestand des Staates oder für Gegenstände von bedeutendem Wert, die der Versorgung der Bevölkerung dienen, von kulturell herausragendem Wert oder in § 305 des Strafgesetzbuches genannt sind, zulässig. Die Daten dürfen auch zur Abwehr einer im Einzelfall bestehenden dringenden Gefahr für sonstige bedeutende Vermögenswerte verwendet werden.

 

Das ist in mehrfacher Hinsicht brisant. Eigentlich soll die Onlinedurchsuchung von der Polizei nur eingesetzt werden, um begangene Straftaten aufzuklären. Gefahrenabwehr aber heißt, Taten zu verhindern, die noch nicht passiert sind. Das darf mit diesem Werkzeug bisher nur das BKA. Mit diesem Paragrafen soll das nun auch allen anderen Polizeibehörden erlaubt werden. Dazu versucht die Bundesregierung, die Grenzen abzuschwächen, die das Verfassungsgericht dem BKA 2016 auferlegt hatte. Das Gericht hatte geurteilt, es müsse eine konkrete Gefahr vorliegen, das neue Gesetz macht daraus eine dringende Gefahr, was ein rechtlich viel schwammigerer Begriff ist.

 

Noch dazu hält IT-Rechtler Hoeren den Einsatz der Onlinedurchsuchung zur Abwehr einer Gefahr für bedeutende Vermögenswerte oder für Gegenstände von kulturell herausragendem Wert für unverhältnismäßig und nicht im Sinne des Urteils des Verfassungsgerichts: "Da können Sie ja anfangen, Urheberrechtsverletzungen auf diese Weise zu verfolgen."

 

Außerdem verstößt die Ausweitung der Onlinedurchsuchung auf die Gefahrenabwehr gegen das Gebot der Zweckbindung, wie es das Bundesdatenschutzgesetz fordert. Darin stehen aber Ausnahmefälle, in denen Daten für einen anderen als den ursprünglich vorgesehenen Zweck genutzt werden dürfen. Einer dieser Fälle ist die "Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person". Damit können Strafverfolger praktisch immer argumentieren.

 

Ohnehin könnte die Praxis zum eigentlichen Problem des Gesetzes werden: wenn nämlich Polizisten, die einfach mal behaupten, das Hacken eines Verdächtigen sei alternativlos, auf überlastete Richter treffen, die das schon aus Zeitmangel gerne glauben und genehmigen. Dann kann der Staatstrojaner, so aufwendig die technische Entwicklung oder Beschaffung sein mag, zum alltäglichen Werkzeug der Polizeiarbeit werden. Unsicher gemachte IT-Systeme werden dann zum Standard. Die rechtliche Grundlage dafür schafft der Bundestag heute.