Online-Durchsuchung: Für Sicherheit oder Überwachung?
Online-Durchsuchung: Sicherheits- oder Überwachungsinstrument?
Fotos: Tomasz Trojanowski - fotolia.com/teltarif.de, Montage: teltarif.de
Die Online-Durchsuchung ermöglicht Ermittlungsbehörden den heimlichen Zugriff auf PCs. Ohne zuvor physischen
Zugriff auf das Gerät haben zu müssen, ist es dem Bundeskriminalamt (BKA) und den Nachrichtendiensten
möglich, entweder Daten des PC-Nutzers auszuspähen oder die computergestützte Kommunikation abzufangen,
noch bevor eine Verschlüsselung stattfinden kann.
Diese digitale Durchsuchung wird vor allem mithilfe von Bundestrojanern durchgeführt. Sobald ein Computer, der mit dieser Spyware infiziert wurde, eine Internetverbindung aufbaut, werden im Hintergrund die entsprechenden Daten an die Behörde versendet.
Überwachung von Messenger-Diensten wie WhatsApp
Mit der Billigung von Bundestag und Bundesrat wurde Mitte 2017 ein umfassendes Überwachungsgesetz durch die Hintertür eingeführt ("Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens"), das sowohl die Online-Durchsuchung als auch den Einsatz von Bundestrojanern gestattet. Dabei rückt die Kommunikation über Messenger-Dienste wie WhatsApp in den Fokus: Auch auf Smartphones dürfen seitdem Staatstrojaner installiert sowie Daten vor oder nach der Entschlüsselung abgefangen werden.
Möglich wird der Eingriff "mit technischen Mitteln in von dem Betroffenen genutzte informationstechnische Systeme",
wie es im Gesetz heißt, nicht mehr nur bei Terrorbekämpfung, sondern unter anderem auch bei Straftaten wie Mord, Totschlag,
Steuerhinterziehung, Geldfälschung und sogar missbräuchlicher Asylantragstellung (der Straftaten-Katalog ist unter
§ 100a, Absatz 2 StPO aufgeführt).
Online-Durchsuchung: Sicherheits- oder Überwachungsinstrument?
Fotos: Tomasz Trojanowski - fotolia.com/teltarif.de, Montage: teltarif.de
Die rechtliche Rahmensetzung: Wer darf ausgespäht werden?
Bereits 2006 wurde die Entwicklung des Programms für die Online-Durchsuchung zur Stärkung der Inneren Sicherheit (PSIS) vom Bundestag beschlossen. Um das aus diesem Beschluss hervorgehende Werkzeug, den Bundestrojaner, spannt sich seitdem eine bis heute andauernde, heftig geführte Debatte über dessen technische Realisierung und rechtliche Rahmensetzung. Eine Verfassungsbeschwerde im Jahr 2008 führte zu einer Entscheidung des Bundesverfassungsgerichts (BVerfG), die der Online-Durchsuchung enge rechtliche Grenzen setzte. So hieß es in dieser Entscheidung: "Angesichts der Schwere des Eingriffs ist die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen." Für einen darüber hinausgehenden Einsatz mangele es an Vorkehrungen zum Schutz des "absolut geschützten Kernbereichs privater Lebensgestaltung" sowie an der Verhältnismäßigkeit der Mittel.
(BVerfG) und die gesetzliche Grundlage
Daraufhin wurde die Online-Durchsuchung in der Novellierung des BKA-Gesetzes 2008 neu geregelt und erhielt seine bis heute geltende rechtliche Grundlage. Gegen die darin beschlossenen Richtlinien wurde jedoch wiederum Verfassungsbeschwerde eingereicht mit der Begründung, dass die Entscheidung des BVerfG im Sinne der Sicherheitsorgane zu sehr aufgeweicht wurde. Während das Urteil des BVerfG die Anwendung von Bundestrojanern nur bei konkreter Gefahr für Leib und Leben oder überragend wichtiger Rechtsgüter gutheißt, erlaubt das BKA-Gesetz ("Gesetz zur Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalamt") den Einsatz bereits bei schwerer Körperverletzung. Darüber hinaus sieht das Gesetz in Bezug auf die Online-Durchsuchung eine verstärkte Zusammenarbeit der Behörden vor, wodurch neben dem BKA auch das Bundeszollamt sowie die Nachrichtendienste BND, MAD und Verfassungsschutz Zugriff auf die Bundestrojaner erhalten. Diese Zusammenarbeit steht insbesondere deshalb in der Kritik, weil das Trennungsgebot zwischen Nachrichtendiensten und Polizei aufgeweicht wird.
Mit einem Urteil hat das BVerfG im Jahr 2016 entschieden, dass die Befugnisse des BKAs teilweise verfassungswidrig sind. Das BKA-Gesetz musste bis Juni 2018 nachgebessert werden, die Erfüllung dieses vom BVerfG auferlegten Nachbesserungsgebots erfolgte mit der letzten Novelle des BKA-Gesetzes, die am 25. Mai 2018 in Kraft trat.
Ähnlich erging es dem besonders weitgehenden bayerischen Verfassungsschutzgesetz. 2022 gaben die Karlsruher Richter einer Verfassungsbeschwerde in vielen Punkten statt und ordneten an, das Gesetz bis spätestens Ende Juli 2023 anzupassen, was auch geschah. Fast zeitgleich kündigte Bundesjustizminister Marco Buschmann (FDP) an, die Überwachung von verschlüsselten Chats in Ermittlungsverfahren wieder beschränken zu wollen.
Doch Internet-Nutzern in Deutschland droht nicht nur vom deutschen Staat aus Ungemach, auch die EU(-Kommission) hat sich zum Ziel gesetzt, möglichst alles über die Bürger in der EU zu wissen und zu kontrollieren. Der vorerst letzte traurige Höhepunkt war die Verabschiedung des Digital Services Act (DSA) (Gesetz über digitale Dienste, GdD), dessen Kernvorschriften bereits ab November 2022 in Kraft traten, der Großteil der Vorschriften wird jedoch erst am 17. Februar 2024 in Kraft treten.
Technische Möglichkeiten: Das können die Bundestrojaner
Dem Chaos Computer Club (CCC) wurde 2011 die damals aktuelle Version des Bundestrojaners zugespielt. Nach der Analyse des Materials teilte der CCC mit, dass dem Bundestrojaner erhebliche Risiken innewohnen.
Es wurde beispielsweise herausgefunden, dass dem Programm einerseits technisch mehr möglich war, als rechtlich erlaubt ist, und andererseits, dass das Programm betroffene Computer anfälliger macht für unberechtigte Zugriffe Dritter über das Internet. Infolge der Kritik hat das Innenministerium in Eigenregie den Bundestrojaner vollkommen neu geschrieben und in zwei separate Programme aufgeteilt.
Digitale Hausdurchsuchung
Online-Durchsuchung: Sicherheits- oder Überwachungsinstrument?
Bild: dpa
Die eine Version ist weiterhin in der Lage, Daten aus dem betroffenen Computer auszulesen und ist somit
grob mit einer umfassenden, digitalen Hausdurchsuchung zu vergleichen. Während einer einmaligen Anwendung
oder über einen zuvor richterlich definierten Zeitraum hinweg kann die Nutzung des Computers von den Behörden
mitprotokolliert werden.
Hierbei geht es neben der Übertragung von Daten auch um das Abgreifen von Passwörtern oder eingegebenen Texten, beispielsweise bei der Bearbeitung von verschlüsselten Dateien via Keylogger. Die betroffenen Daten und Dokumente werden auf dem Zielrechner bis zum Aufbau einer Internetverbindung zwischengespeichert und dann verschlüsselt an die Sicherheitsorgane übermittelt und anschließend auf dem überwachten PC gelöscht.
Modernes Wiretapping
Die zweite Version des Trojaners ist ausgelegt auf die Überwachung der über den Computer geführten Kommunikation und erinnert somit an das altmodische "wiretapping" (abhören) bei Telefonüberwachungen. Per Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) kann somit beispielsweise auf die E-Mail-Kommunikation oder VoIP-Telefonate (zum Beispiel Skype-Gespräche) zugegriffen werden.
Hierbei schützt auch keine verschlüsselte Übertragung der Kommunikation, da die Inhalte so abgefangen werden, wie sie auf dem Bildschirm des Anwenders abgebildet sind. Neben der 2015 abermals beschlossenen Vorratsdatenspeicherung, die laut Europäischem Gerichtshofs (EuGH) übrigens gegen EU-Recht verstößt, ist diese Version des Bundestrojaners das wichtigste Werkzeug der Ermittlungsbehörden und Nachrichtendienste, um digitaler Kommunikation habhaft zu werden.
Konkrete Anwendung des Trojaners
Während der Trojaner zur Online-Durchsuchung gespeicherter Daten, laut Aussage des Innenministeriums, seit 2014 zum Einsatz bereitsteht, findet das Programm zur Quellen-TKÜ seit Anfang 2016 Anwendung. Wie genau der Trojaner auf dem Rechner platziert wird, bleibt selbstverständlich dem Wissen der Behörden vorbehalten. Schwachstellen im Betriebssystem oder in bestimmten Anwendungen sollen nicht genutzt werden und auch die Übertragung im Zuge von Updates mit Unterstützung der jeweiligen Software-Entwicklungs-Firma soll unangetastet bleiben.
Für den Fall, dass eine der Versionen des Trojaners entdeckt und die Übertragung der Daten unterbunden wird, werde er vom Rechner entfernt. Eine Rückverfolgung zu den Behörden sei im Nachhinein prinzipiell "nahezu unmöglich" und einer Analyse des Schadprogramms werde mittels "kryptografischer Verfahren" vorgebaut.
Die jeweilige Durchsuchung sei in jedem Fall "lückenlos dokumentiert", um sie nachvollziehbar und damit gerichtsfest zu machen. Durch digitale Signaturen könne der Wahrheitsgehalt der Daten nachvollzogen und zudem der Code des Trojaners dem Gericht zugänglich gemacht werden. Mittlerweile ist der Bundestrojaner für die Anwendung auf Smartphones und Tablets erweitert worden.
Fazit
Unabhängig davon, ob der Wahrheitsgehalt der gewonnenen Daten zweifelsfrei nachgewiesen werden kann, wird das Thema der Online-Überwachung auch in den kommenden Jahren Anlass für hitzige Diskussionen bleiben: In rechtlicher und gesellschaftlicher Hinsicht stellt sich zum Beispiel die Frage, inwieweit die Staatsorgane Einblick in die Privatsphäre der Bürger erhalten dürfen. Im Hinblick auf technisch-praktische Aspekte ist fraglich, wie sich eine Überwachung digitaler Daten und Datenströme sicher und nur für den vorgesehenen Zweck der Kriminalitätsbekämpfung realisieren lässt.
Der unbedingte Erhalt der Privatsphäre und Wachsamkeit gegenüber zu viel staatlicher Kontrolle stehen der legitimen Aufgabe des Staates gegenüber, echte und schwere Straften zu verhindern und/oder aufzuklären. Wachsamkeit und die Sensibilisierung von Mitmenschen im Sinne einer gesamtgesellschaftlichen Diskussion sind bei diesem Thema jedenfalls wichtig.
Meldungen zu Online-Durchsuchung
-
13.10.23NeugierigChatkontrolle: Private Nachrichten & Verschlüsselung tot?Anbieter von Messengern, E-Mail- und Chat-Diensten sollen gezwungen werden, alle privaten Nachrichten und Fotos automatisch nach verdächtigen Inhalten zu durchsuchen. zur Meldung
-
10.09.23StaatstrojanerOnline-Durchsuchung: Für Sicherheit oder Überwachung?Bei der Online-Durchsuchungen werden Smartphones, Tablets und PCs via Internet ausspioniert: Wir informieren Sie über den politischen, rechtlichen und technischen Stand der Dinge. zur Meldung
-
22.07.23BuschmannJustizminister will Chat-Überwachung wieder beschränkenBirgt die seit 2017 praktiziert Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) die Gefahr der Totalausforschung einer Person? Justizminister Buschmann will sie jedenfalls wieder beschränken. zur Meldung
-
26.04.22VerfassungsschutzGrundsatzurteil weist Verfassungsschutz in die SchrankenVerdeckte Ermittler, Ausspähen von Wohnungen, Online-Durchsuchungen: Am Beispiel Bayerns schreibt Karlsruhe erstmals en détail vor, an was sich der Verfassungsschutz halten muss, wenn er Menschen heimlich überwacht. Das könnte bundesweit Auswirkungen haben. zur Meldung