Staatstrojaner – ein Angriff auf die Grundrechte
Kurz vor Ende der Legislaturperiode startete die schwarz-rote Bundesregierung ihren finalen Angriff auf die Bürgerrechte, die vor Willkür und Überwachung durch einen übermächtigen Staatsapparat schützen sollen.
Unter dem Label »Bekämpfung des Terrorismus« verabschiedete der Gesetzgeber schon seit geraumer Zeit fast im Wochentakt neue Gesetze, mit denen die verfassungsrechtlichen Grenzen ausgedehnt sowie die Privatsphäre beeinträchtigt und Bürgerrechte eingeschränkt werden.
In aller Regel sind diese Überwachungsgesetze Aktionismus, der vom Versagen der Sicherheitsbehörden ablenken soll. Insofern ist es konsequent, wenn die Unions-Parteien immer mehr Möglichkeiten zur Überwachung der Bürger fordern. Die SPD stellte mit Blick auf die Bundestagswahl ihrem Zehn-Punkte-Programm für eine »starke sozialdemokratische Innenpolitik« zwar den Leitspruch »Freiheit für viele, nicht für die Wenigen. Ohne Sicherheit regiert die Angst« voran, doch letztlich hat sie sich wie ihr Koalitionspartner der »Law-and-Order-Politik« verschrieben.
»Chef-Hacker der Republik«
Die Verabschiedung des Gesetzes zur Reform der Strafprozessordnung im Bundestag – gegen die Stimmen der Linken, der Grünen und von zwei SPD-Abgeordneten – ist ein Beleg dafür. Es erlaubt erstmals die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) und die Onlinedurchsuchung mit »Staatstrojanern«. [1] Sicherheitsbeamte erhalten künftig als »Chef-Hacker der Republik« Befugnisse, Smartphones und Computer mit einer Schadsoftware zu infiltrieren, um geschützte, persönliche, hoch sensible Daten auszuspähen.
Damit endet die Große Koalition (GroKo) nach der Verabschiedung der Vorratsdaten-Speicherung und dem BND-Gesetz mit einem noch weiterreichenden Überwachungsgesetz, das den Angriff auf die Privatsphäre sanktioniert. Der große Lauschangriff, über den lange erbittert diskutiert wurde, ist verglichen mit den neuen Möglichkeiten ein geradezu lächerliches Unterfangen. Beim großen »Computerangriff« geht es nicht nur um einen Eingriff, »es handelt sich um einen Einbruch in die Privatheit – und um einen Einbruch ins Grundgesetz« (Heribert Prantl, Süddeutschen Zeitung, 23.6.2017).
Allein die Art und Weise, wie dieses Gesetz in den Bundestag zur Abstimmung gelangte und ohne öffentliche Debatte durchgepaukt wurde, ist eines demokratischen Rechtsstaats nicht würdig. So wie sich die Soldaten in Homers Epos in einem hölzernen Pferd versteckten, wurde ein laufendes, harmlos klingendes Gesetzgebungsverfahren, in dem es um Fahrverbote als Teil des Strafverfahrens geht, als Trojanisches Pferd verwendet. Das Gesetz über die neuen Methoden »der heimlichen Infiltration eines informationstechnischen Systems«, das den staatlichen Zugriff auf private Computer und Handys erlaubt, wurde in dessen Bauch versteckt. Der Bundesrat blieb außen vor und eine größere öffentliche Debatte wurde vermieden. Für Peter Schaar, ehemaliger Bundesbeauftragter für Datenschutz, ist es unverantwortlich, »die Überwachungsbefugnisse in einem parlamentarischen Schnelldurchgang ohne Möglichkeit zur gründlichen Prüfung und Debatte zu beschließen«.
Offiziell heißt es Gesetz zur »effektiveren und praxistauglicheren Ausgestaltung des Strafver-fahrens«. Relevant sind zwei Neuerungen der Strafprozessordnung betreffend den § 100a ff. Dieser regelt bisher das Abhören klassischer Telefonate oder den Zugriff auf E-Mails. Als zusätzliche Maßnahme der Datenerhebung soll die Quellen-TKÜ neu eingeführt werden, die auf verschlüsselte Kommunikation, zum Beispiel Internettelefonate oder Messenger-Dienste wie WhatsApp zielt.
Spätestens seit den Snowden-Enthüllungen findet elektronische Kommunikation zunehmend verschlüsselt statt. Da verschlüsselte Kommunikation nicht wie üblich auf dem Übertragungsweg überwacht werden kann, sollen die Ermittler mit diesem Instrument laufende Kommunikation »an der Quelle« abgreifen dürfen, bevor sie verschlüsselt oder aber nachdem sie entschlüsselt wurde.
Die Onlinedurchsuchung in §100b StPO geht noch weiter: Die Ermittlungsbehörden erhalten die Möglichkeit, heimlich Schadsoftware auf private Computer, Laptops, Handys und Tablets zu spielen, um damit nicht nur die laufende Kommunikation mitlesen, sondern auch auf sämtliche gespeicherten Inhalte auf der Festplatte zugreifen zu können. Damit geht die Intensität des Eingriffs deutlich über den des großen Lauschangriffs hinaus – der bis dahin eingriffsintensivsten Ermittlungsmaßnahme.
Einsatz von Staatstrojanern auf breiter Front
Staatstrojaner sollen auf breiter Front eingesetzt werden können, keineswegs nur dann, wenn es um »eine im Einzelfall drohende Gefahr für ein überragend wichtiges Rechtsgut« geht, wie es das Bundesverfassungsgericht verlangte. Der Katalog von Straftaten, bei denen die staatliche Infiltration privater Computer möglich sein soll, reicht von Terrorismus über Bestechlichkeit bis hin zur »Verleitung zu missbräuchlicher Asylantragstellung«. Damit werden Smartphone und Computer, ohne dass die Betroffenen davon wissen, zu staatlichen Spionageinstrumenten.
Die bisher auf Bundesebene nur zur »Terrorabwehr« freigegebenen Staatstrojaner sind auch deshalb umstritten, weil die ermittelnden Beamten technisch genauso vorgehen wie Cyberkriminelle. Um Geräte hacken zu können, müssen staatliche Stellen Schwachstellen ausnutzen. Dafür müssen sie Sicherheitslücken kennen, die Hersteller der Produkte noch nicht geschlossen haben. Der Staat nutzt diese Lücken, statt sie zu schließen, um seine Ausforschungen vornehmen zu können. Eine Vorgehensweise, wie sie der US-amerikanische Geheimdienst CIA anwendet, wie Wikileaks vor Kurzem öffentlich machte. [2]
Die erforderliche Software soll von der im Aufbau befindlichen »Zentralen Stelle für Informationstechnik im Sicherheitsbereich« (Zitis) geliefert werden. Da dies nicht ausreicht, werden die Strafverfolger Informationen über Sicherheitslücken und Software-Schwachstellen (»Zero-Day-Exploits«) wie Betrüger und Erpresser auf illegalen Märkten kaufen, wo öffentlich unbekannte und nicht gestopfte Sicherheitslecks mitunter für sechsstellige Summen angeboten werden. Welch hohe Risiken für die Allgemeinheit damit verknüpft sind, zeigen die weltweiten Angriffe mit dem Erpressungstrojaner »wanna-cry«. [3] Die in diesem Zusammenhang genutzten Werkzeuge stammen ursprünglich von US-Geheimdiensten.
Fakt ist: Das BKA darf schon seit 2009 Staatstrojaner als Präventionsmaßnahmen zur Bekämpfung von internationalem Terrorismus einsetzen. In einem Grundsatzurteil zur präventivpolizeilichen Online-Durchsuchung hat das Bundesverfassungsgericht allerdings klargestellt, dass diese überaus eingriffsintensive Maßnahme nur in allerengsten Grenzen zulässig ist. Nur in absoluten Ausnahmefällen, bei extrem schweren Straftaten oder bei Gefahr für Leib und Leben dürfe der Staat in die Computer seiner Bürger einbrechen.
Jeder ist unschuldig, solange seine Schuld nicht bewiesen ist? Dieser jahrhundertealte Grundsatz gehört zum Fundament dessen, was einen Rechtsstaat ausmacht. Doch diese Unschuldsvermutung gilt nicht mehr. Den Geheimdiensten sind längst alle BürgerInnen verdächtig, deshalb will er sie stets im Blick behalten. Das im Juni verabschiedete Gesetz verfehlt nicht nur deutlich die Vorgaben des Bundesverfassungsgerichts zum Grundrecht auf IT-Sicherheit, sondern ignoriert sie bewusst. Die Bundesdatenschutzbeauftragte Andrea Voßhoff, die von dem Vorhaben erst durch Medienberichte erfahren hatte, [4] spricht von einem klaren Verfassungsverstoß.
Am gleichen Tag, an dem der Bundestag das »Staatstrojaner-Ausweitungsgesetz« durchwinkte, kippte das nordrhein-westfälische Oberverwaltungsgericht die ab 1. Juli 2017 geltende Regelung zur Vorratsdatenspeicherung bestimmter Verkehrs- und Standortdaten von Nutzern von Internet- und Telefondiensten. Die im Dezember 2015 eingeführte Pflicht ist nach Ansicht der Richter in Münster nicht mit dem Recht der Europäischen Union vereinbar. Nun wird erwartet, dass der auf dem regulären Rechtsweg nicht anfechtbare Beschluss vor dem Bundesverfassungsgericht landet.
Den gleichen Weg wird wohl das neue »Überwachungsgesetz« nehmen. Da das Gesetz sich über die Vorgaben des Bundesverfassungsgerichts zur heimlichen Infiltration informationstechnischer Systeme hinwegsetzt, hält es der ehemalige Datenschützer Peter Schaar für sehr wahrscheinlich, dass die Regelungen von den Karlsruher Richtern kassiert werden.
[1] Die Gesetzesänderung wurde bereits im Koalitionsvertrag von 2013 vereinbart, das federführende Bundesjustizministerium hatte sich aber bis im Frühjahr 2017 Zeit gelassen. Das Bundesinnenministerium hat für die Entwicklung u.a. von Software für den Einsatz der Staatstrojaner ein Budget von 50 Millionen Euro zur Verfügung gestellt. Als Notlösung sei denkbar, Hacking-Tools auch auf dem freien Markt zu kaufen.
[2] Vgl. Otto König/Richard Detje: Wikileaks öffnet den »digitalen Waffenschrank« der CIA –Die Guten und die Bösen, SozialismusAktuell, 11.4.2017.
[3] Mitte Mai 2017 wurden weltweit Hunderttausende Computer in Krankenhäusern, Bahnhöfen und großen Fabriken von dem Schadprogramm »wanna-cry« befallen, das offenbar für den amerikanischen Geheimdienst NSA programmiert und später von kriminellen Hackern gekapert wurde.
[4] Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, schreibt in ihrer Stellungnahme zur öffentlichen Anhörung am 31. Mai 2017: »Leider hat es das BMJV (Bundesministerium der Justiz und für Verbraucherschutz) unterlassen, mich zu dem mit der Formulierungshilfe eingereichten Änderungsantrag zur Einführung einer Quellen-Telekommunikationsüberwachung und einer Online-Durchsuchung in der Strafprozessordnung zu beteiligen. Angesichts der erheblichen datenschutzrechtlichen und verfassungsrechtlichen Bedeutung des Vorhabens ist für mich diese Verfahrensweise nicht nachvollziehbar.«