Abhören von Internet-Telefonie als Einfallstor für den Bundestrojaner?

Der umkämpfte Referentenentwurf für die Novelle des Gesetzes für das Bundeskriminalamt (BKA) schürt Befürchtungen, dass das Abhören von Internet-Telefonaten mit Hilfe von Trojanern eine vergleichsweise weite Ausspähung der betroffenen Rechner ohne große rechtliche Hürden zulassen würde. Laut dem mit Begründung 94 Seiten umfassenden Vorstoß, den die Blogger von Netzpolitik.org mittlerweile online gestellt haben (PDF-Datei), wird eine ausgesprochene heimliche Online-Durchsuchung zwar an enge Vorgaben gemäß dem entsprechenden Urteil des Bundesverfassungsgerichts geknüpft. Die sogenannte Quellen-Telekommunikationsüberwachung (TKÜ), bei der Voice-over-IP (VoIP) vor einer Verschlüsselung direkt auf einem Zielrechner abgegriffen werden soll, ist dagegen an einen vergleichsweise weiten Gefahrenkatalog gekoppelt.

Das Bundesinnenministerium hatte im November 2007 eingeräumt, dass die Software fürs Belauschen verschlüsselter Internet-Telefonate technisch dem geplanten Bundestrojaner nahe kommt. Auch aus Bayern gab es Anfang des Jahres kein Dementi, dass bei der Quellen-TKÜ des dortigen Landeskriminalamts nicht ebenfalls Trojaner in Stellung gebracht werden. Zuvor war ein Schreiben des bayerischen Justizministeriums aufgetaucht, in dem die entsprechende Lauschsoftware unter anderem als per E-Mail installierbare digitale Wanze beschrieben wurde. Auf Bundesebene wird eine Quellen-TKÜ nach Regierungsangaben bislang allein beim Zollkriminalamt verwendet.

Das Bundesinnenministerium beteuert zwar immer wieder, dass beim VoIP-Abhören eine "über den Überwachungszweck hinausgehende Online-Durchsuchung ausgeschlossen" sei. Sachverständige hatten sich dagegen vor dem Bundesverfassungsgericht skeptisch geäußert, ob nach dem Aufspielen eines Trojaners etwa für das Belauschen von via Skype geführten Gesprächen die Datenerhebung tatsächlich rein technisch derart exakt begrenzt werden könne. Ein Restrisiko, das mit einer solchen Software immer auch auf andere Informationen zugegriffen werden könne, wollten sie nicht ausschließen.

Die heimliche Online-Durchsuchung wird in Paragraph 20k des Entwurfs als "verdeckter Eingriff in informationstechnische Systeme" geregelt. Das BKA darf demnach "ohne Wissen des Betroffenen mit technischen Mitteln in vom Betroffenen genutzte informationstechnische Systeme eingreifen und aus ihnen Daten erheben". Die Maßnahme soll zum einen beschränkt sein auf Gefahren für "Leib, Leben oder Freiheit einer Person". Im anderen Fall einer Gefahr für Güter der Allgemeinheit, deren Bedrohung "die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt", müssen bestimmte Tatsachen die Annahme der entsprechenden Bedrängnis rechtfertigen.

Eingeschlossen werden soll laut Begründung auch der Einsatz sogenannter Keylogger, mit denen sämtliche Tastatureingaben erfasst werden können. Es sei ferner technisch sicherzustellen, dass an dem IT-System nur Veränderungen vorgenommen werden, die für die Datenerhebung unerlässlich sind. Bei Gefahr im Verzuge kann die Anordnung durch den BKA-Präsidenten oder seinen Vertreter getroffen werden. Sie ist dann zunächst drei Tage gültig.

Gemäß Paragraph 20l soll das BKA im Rahmen der Aufgabe der Abwehr von Gefahren des internationalen Terrorismus dagegen mit der TK-Überwachung einschließlich VoIP-Abhören auch Straftaten verhüten, die im umstrittenen und weit gefassten Paragraphen 129a Strafgesetzbuch bezeichnet sind. Diese müssen dazu bestimmt sein, "die Bevölkerung auf erhebliche Weise einzuschüchtern, eine Behörde oder eine internationale Organisation rechtswidrig mit Gewalt oder durch Drohung mit Gewalt zu nötigen oder die politischen, verfassungsrechtlichen, wirtschaftlichen oder sozialen Grundstrukturen eines Staates oder einer internationalen Organisation zu beseitigen". Auch angestrebte "erhebliche Beeinträchtigungen" oder "Beschädigungen" der Verwaltungsarbeit von Ämtern oder internationalen Organisationen sollen darunter fallen. Blogger aus dem Umfeld des Chaos Computer Clubs (CCC) fürchten daher, dass BKA-Fahnder die Quellen-TKÜ schon bei reiner "Sachbeschädigung" durchführen dürfen.

Durch technische Maßnahmen soll zwar unter Rückgriff auf den Karlsruher Richtspruch sicher gestellt werden, "dass ausschließlich laufende Telekommunikation überwacht und aufgezeichnet wird". Der als Eingrenzung gedachte Schlüsselbegriff ist aber stark dehnbar und dürfte sich in der Praxis als schwer handhabbar herausstellen. Zudem sollen TK-Anbieter verpflichtet werden, dem BKA die erforderlichen Maßnahmen zur Quellen-TKÜ zu ermöglichen und erforderliche Auskünfte "unverzüglich" zu erteilen. Die Entschädigung soll nur wie bei einer Zeugenvernehmung geregelt werden. Zu einer Hochrechnung der auf die Wirtschaft zukommenden Kosten durch die geplanten Befugnisse schweigt sich der Referentenentwurf insgesamt noch mit Leerstellen aus. Der viel beschworene Schutz des Kernbereichs der privaten Lebensgestaltung soll ferner nur greifen, wenn "allein" Kenntnisse über besonders private Angelegenheiten bei der Überwachung eines Gesprächs gewonnen würden.

Insgesamt geht die Liste der Kompetenzen, die der Rechtsexperte der SPD-Fraktion im Bundestag, Klaus Uwe Benneter jüngst als "Sammelsurium der Grausamkeiten aus allen Länder-Polizeigesetzen" bezeichnet hatte, in den geplanten neuen Paragraphen 20a bis x des BKA-Gesetzes weit übers VoIP-Abhören, Online-Razzien und den viel diskutierten großen Spähangriff hinaus. In seiner auch für Nichtjuristen leicht verständlichen Auflistung der ersonnenen Kompetenzen führt der Aktivist Patrick Breyer etwa auch die umfassende erkennungsdienstliche Behandlung, die Wohnungsdurchsuchung sowie das Abrufen von Internet-Nutzungsdaten Verdächtiger auf. (Stefan Krempl) / (pmz)