Staatstrojaner

Online-Durchsuchung: Für Sicherheit oder Überwachung?

Bei der Online-Durch­suchungen werden Smart­phones, Tablets und PCs via Internet ausspio­niert: Wir infor­mieren Sie über den poli­tischen, recht­lichen und tech­nischen Stand der Dinge.
Von Julian Ruecker /

Online-Durchsuchung: Sicherheits- oder Überwachungsinstrument? Online-Durchsuchung: Sicherheits- oder Überwachungsinstrument?
Fotos: Tomasz Trojanowski - fotolia.com/teltarif.de, Montage: teltarif.de Die Online-Durch­suchung ermög­licht Ermitt­lungs­behörden den heim­lichen Zugriff auf PCs. Ohne zuvor physi­schen Zugriff auf das Gerät haben zu müssen, ist es dem Bundes­kriminalamt (BKA) und den Nachrichten­diensten möglich, entweder Daten des PC-Nutzers auszu­spähen oder die computer­gestützte Kommuni­kation abzu­fangen, noch bevor eine Verschlüs­selung statt­finden kann.

Diese digi­tale Durch­suchung wird vor allem mithilfe von Bundes­tro­janern durch­geführt. Sobald ein Computer, der mit dieser Spyware infi­ziert wurde, eine Internet­verbindung aufbaut, werden im Hinter­grund die entspre­chenden Daten an die Behörde versendet.

Über­wachung von Messenger-Diensten wie WhatsApp

Mit der Billi­gung von Bundestag und Bundesrat wurde Mitte 2017 ein umfas­sendes Überwachungs­gesetz durch die Hintertür einge­führt ("Gesetz zur effek­tiveren und praxis­tauglicheren Ausge­stal­tung des Straf­verfah­rens"), das sowohl die Online-Durch­suchung als auch den Einsatz von Bundes­trojanern gestattet. Dabei rückt die Kommu­nika­tion über Messenger-Dienste wie WhatsApp in den Fokus: Auch auf Smart­phones dürfen seitdem Staats­trojaner instal­liert sowie Daten vor oder nach der Entschlüs­selung abge­fangen werden.

Möglich wird der Eingriff "mit tech­nischen Mitteln in von dem Betrof­fenen genutzte infor­mati­onstech­nische Systeme", wie es im Gesetz heißt, nicht mehr nur bei Terror­bekämp­fung, sondern unter anderem auch bei Straf­taten wie Mord, Totschlag, Steuer­hinterziehung, Geld­fälschung und sogar miss­bräuch­licher Asyl­antrag­stellung (der Straf­taten-Katalog ist unter § 100a, Absatz 2 StPO aufge­führt). Online-Durchsuchung: Sicherheits- oder Überwachungsinstrument? Online-Durchsuchung: Sicherheits- oder Überwachungsinstrument?
Fotos: Tomasz Trojanowski - fotolia.com/teltarif.de, Montage: teltarif.de

Die recht­liche Rahmen­setzung: Wer darf ausge­späht werden?

Bereits 2006 wurde die Entwick­lung des Programms für die Online-Durch­suchung zur Stär­kung der Inneren Sicher­heit (PSIS) vom Bundestag beschlossen. Um das aus diesem Beschluss hervor­gehende Werk­zeug, den Bundes­trojaner, spannt sich seitdem eine bis heute andau­ernde, heftig geführte Debatte über dessen tech­nische Reali­sierung und recht­liche Rahmenset­zung. Eine Verfas­sungs­beschwerde im Jahr 2008 führte zu einer Entschei­dung des Bundes­verfas­sungs­gerichts (BVerfG), die der Online-Durch­suchung enge recht­liche Grenzen setzte. So hieß es in dieser Entschei­dung: "Ange­sichts der Schwere des Eingriffs ist die heim­liche Infil­tration eines informations­technischen Systems, mittels derer die Nutzung des Systems über­wacht und seine Speicher­medien ausge­lesen werden können, verfassungs­rechtlich nur zulässig, wenn tatsäch­liche Anhalts­punkte einer konkreten Gefahr für ein über­ragend wich­tiges Rechtsgut bestehen." Für einen darüber hinaus­gehenden Einsatz mangele es an Vorkeh­rungen zum Schutz des "absolut geschützten Kern­bereichs privater Lebens­gestaltung" sowie an der Verhältnis­mäßigkeit der Mittel.

Entschei­dungen des Bundes­verfas­sungs­gerichts
(BVerfG) und die gesetz­liche Grund­lage

Daraufhin wurde die Online-Durch­suchung in der Novel­lierung des BKA-Gesetzes 2008 neu gere­gelt und erhielt seine bis heute geltende recht­liche Grund­lage. Gegen die darin beschlos­senen Richt­linien wurde jedoch wiederum Verfassungs­beschwerde einge­reicht mit der Begrün­dung, dass die Entschei­dung des BVerfG im Sinne der Sicherheits­organe zu sehr aufge­weicht wurde. Während das Urteil des BVerfG die Anwen­dung von Bundes­trojanern nur bei konkreter Gefahr für Leib und Leben oder über­ragend wich­tiger Rechts­güter gutheißt, erlaubt das BKA-Gesetz ("Gesetz zur Abwehr von Gefahren des inter­natio­nalen Terro­rismus durch das Bundes­kriminalamt") den Einsatz bereits bei schwerer Körper­verletzung. Darüber hinaus sieht das Gesetz in Bezug auf die Online-Durch­suchung eine verstärkte Zusam­menar­beit der Behörden vor, wodurch neben dem BKA auch das Bundes­zollamt sowie die Nachrichten­dienste BND, MAD und Verfassungs­schutz Zugriff auf die Bundes­trojaner erhalten. Diese Zusammen­arbeit steht insbe­sondere deshalb in der Kritik, weil das Trennungs­gebot zwischen Nachrichten­diensten und Polizei aufge­weicht wird.

Mit einem Urteil hat das BVerfG im Jahr 2016 ent­schie­den, dass die Befug­nisse des BKAs teil­weise verfassungs­widrig sind. Das BKA-Gesetz musste bis Juni 2018 nach­gebessert werden, die Erfül­lung dieses vom BVerfG aufer­legten Nach­besse­rungs­gebots erfolgte mit der letzten Novelle des BKA-Gesetzes, die am 25. Mai 2018 in Kraft trat.

Ähnlich erging es dem beson­ders weit­gehenden baye­rischen Verfas­sungs­schutz­gesetz. 2022 gaben die Karls­ruher Richter einer Verfas­sungs­beschwerde in vielen Punkten statt und ordneten an, das Gesetz bis spätes­tens Ende Juli 2023 anzu­passen, was auch geschah. Fast zeit­gleich kündigte Bundes­jus­tiz­minister Marco Busch­mann (FDP) an, die Über­wachung von verschlüs­selten Chats in Ermitt­lungs­ver­fahren wieder beschränken zu wollen.

Doch Internet-Nutzern in Deutsch­land droht nicht nur vom deut­schen Staat aus Unge­mach, auch die EU(-Kommis­sion) hat sich zum Ziel gesetzt, möglichst alles über die Bürger in der EU zu wissen und zu kontrol­lieren. Der vorerst letzte trau­rige Höhe­punkt war die Verab­schie­dung des Digital Services Act (DSA) (Gesetz über digi­tale Dienste, GdD), dessen Kern­vor­schriften bereits ab November 2022 in Kraft traten, der Groß­teil der Vorschriften wird jedoch erst am 17. Februar 2024 in Kraft treten.

Tech­nische Möglich­keiten: Das können die Bundestro­janer

Dem Chaos Computer Club (CCC) wurde 2011 die damals aktu­elle Version des Bundes­trojaners zuge­spielt. Nach der Analyse des Mate­rials teilte der CCC mit, dass dem Bundes­trojaner erheb­liche Risiken inne­wohnen.

Es wurde beispiels­weise heraus­gefunden, dass dem Programm einer­seits tech­nisch mehr möglich war, als recht­lich erlaubt ist, und ande­rerseits, dass das Programm betrof­fene Computer anfäl­liger macht für unbe­rech­tigte Zugriffe Dritter über das Internet. Infolge der Kritik hat das Innen­minis­terium in Eigen­regie den Bundes­trojaner voll­kommen neu geschrieben und in zwei sepa­rate Programme aufge­teilt.

Digi­tale Haus­durch­suchung

Online-Durchsuchung: Sicherheits- oder Überwachungsinstrument? Online-Durchsuchung: Sicherheits- oder Überwachungsinstrument?
Bild: dpa Die eine Version ist weiterhin in der Lage, Daten aus dem betrof­fenen Computer auszu­lesen und ist somit grob mit einer umfas­senden, digi­talen Haus­durch­suchung zu verglei­chen. Während einer einma­ligen Anwen­dung oder über einen zuvor rich­terlich defi­nierten Zeit­raum hinweg kann die Nutzung des Compu­ters von den Behörden mit­protokolliert werden.

Hierbei geht es neben der Über­tragung von Daten auch um das Abgreifen von Pass­wörtern oder einge­gebenen Texten, beispiels­weise bei der Bear­beitung von verschlüs­selten Dateien via Keylogger. Die betrof­fenen Daten und Doku­mente werden auf dem Ziel­rechner bis zum Aufbau einer Internet­verbindung zwischen­gespeichert und dann verschlüs­selt an die Sicher­heits­organe über­mittelt und anschlie­ßend auf dem über­wachten PC gelöscht.

Modernes Wiretap­ping

Die zweite Version des Troja­ners ist ausge­legt auf die Über­wachung der über den Computer geführten Kommu­nika­tion und erin­nert somit an das altmo­dische "wiretap­ping" (abhören) bei Telefon­über­wachungen. Per Quellen-Telekommu­nika­tions­überwachung (Quellen-TKÜ) kann somit beispiels­weise auf die E-Mail-Kommu­nika­tion oder VoIP-Tele­fonate (zum Beispiel Skype-Gespräche) zuge­griffen werden.

Hierbei schützt auch keine verschlüs­selte Über­tragung der Kommu­nika­tion, da die Inhalte so abge­fangen werden, wie sie auf dem Bild­schirm des Anwen­ders abge­bildet sind. Neben der 2015 aber­mals beschlos­senen Vorrats­daten­spei­che­rung, die laut Euro­päi­schem Gerichts­hofs (EuGH) übri­gens gegen EU-Recht verstößt, ist diese Version des Bundes­trojaners das wich­tigste Werk­zeug der Ermittlungs­behörden und Nachrichten­dienste, um digi­taler Kommu­nika­tion habhaft zu werden.

Konkrete Anwen­dung des Troja­ners

Während der Trojaner zur Online-Durch­suchung gespei­cherter Daten, laut Aussage des Innen­ministeriums, seit 2014 zum Einsatz bereit­steht, findet das Programm zur Quellen-TKÜ seit Anfang 2016 Anwen­dung. Wie genau der Trojaner auf dem Rechner plat­ziert wird, bleibt selbst­verständlich dem Wissen der Behörden vorbe­halten. Schwach­stellen im Betriebs­system oder in bestimmten Anwen­dungen sollen nicht genutzt werden und auch die Über­tragung im Zuge von Updates mit Unter­stüt­zung der jewei­ligen Soft­ware-Entwick­lungs-Firma soll unan­getastet bleiben.

Für den Fall, dass eine der Versionen des Troja­ners entdeckt und die Über­tragung der Daten unter­bunden wird, werde er vom Rechner entfernt. Eine Rück­verfolgung zu den Behörden sei im Nach­hinein prin­zipiell "nahezu unmög­lich" und einer Analyse des Schad­programms werde mittels "krypto­grafischer Verfahren" vorge­baut.

Die jewei­lige Durch­suchung sei in jedem Fall "lückenlos doku­mentiert", um sie nach­voll­ziehbar und damit gerichts­fest zu machen. Durch digi­tale Signa­turen könne der Wahrheits­gehalt der Daten nach­voll­zogen und zudem der Code des Troja­ners dem Gericht zugäng­lich gemacht werden. Mitt­lerweile ist der Bundestro­janer für die Anwen­dung auf Smart­phones und Tablets erwei­tert worden.

Fazit

Unab­hängig davon, ob der Wahr­heits­gehalt der gewon­nenen Daten zwei­fels­frei nach­gewiesen werden kann, wird das Thema der Online-Über­wachung auch in den kommenden Jahren Anlass für hitzige Diskus­sionen bleiben: In recht­licher und gesell­schaft­licher Hinsicht stellt sich zum Beispiel die Frage, inwie­weit die Staats­organe Einblick in die Privat­sphäre der Bürger erhalten dürfen. Im Hinblick auf tech­nisch-prak­tische Aspekte ist frag­lich, wie sich eine Über­wachung digi­taler Daten und Daten­ströme sicher und nur für den vorge­sehenen Zweck der Krimi­nali­täts­bekämp­fung reali­sieren lässt.

Der unbe­dingte Erhalt der Privat­sphäre und Wach­sam­keit gegen­über zu viel staat­licher Kontrolle stehen der legi­timen Aufgabe des Staates gegen­über, echte und schwere Straften zu verhin­dern und/oder aufzu­klären. Wach­sam­keit und die Sensi­bili­sie­rung von Mitmen­schen im Sinne einer gesamt­gesell­schaft­lichen Diskus­sion sind bei diesem Thema jeden­falls wichtig.