Crypto Wars 3.0: Erneuter Streit um Quellen-TKÜ

Das Bundesinnenministerium setzt auf die Quellen-TKÜ für Strafverfolger, um Verschlüsselung zu umgehen. Dabei will es aber auf eine gesetzliche Regelung verzichten. Die Bundesdatenschutzbeauftragte stellt sich gegen die Regierung.

In Pocket speichern vorlesen Druckansicht 54 Kommentare lesen
Crypto Wars 3.0: Erneuter Streit um Quellen-TKÜ

(Bild: c't)

Lesezeit: 4 Min.
Von
  • Christiane Schulzki-Haddouti
Inhaltsverzeichnis

Das Bundesministerium des Inneren (BMI) hält es angesichts der immer stärkeren Verschlüsselungstechnik für geboten, dass Ermittlungsbehörden im Falle des Falles auch an der Quelle ansetzen, um etwa eine Nachricht vor ihrer Verschlüsselung abzufangen. Das geht aus der Antwort des BMI auf eine Anfrage des Linken-Abgeordneten Andrej Hunko im Bundestag hervor.

Bei der Entschlüsselung von verschlüsselten Nachrichten in Ermittlungsverfahren seien die technischen Mittel begrenzt, erläutert der Parlamentarische Staatssekretär Günter Krings in der Antwort des BMI. „In diesem Fall kann versucht werden, die Kommunikation noch auf dem IT-System, auf dem sie verschlüsselt wird, vor der Kryptierung auszuleiten (Quellen-TKÜ).“ Für Hunko ist damit klar: „Die Debatte um das Brechen von Verschlüsselung dient dazu, Einsätze von Trojanern zu erleichtern.“

Bei der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) installieren Ermittler ein auch "Staatstrojaner" genanntes Programm auf dem Computer eines Verdächtigen. Damit sollen Mails, Internet-Telefonie oder Chats direkt am System mitgeschnitten werden, bevor die Kommunikation vom Programm verschlüsselt wird. Eine Rechtsgrundlage gibt es derzeit nur für Terrorermittlungen des Bundeskriminalamts (BKA). Das Bundesverfassungsgericht hat spezielle Vorgaben für den Einsatz der Quellen-TKÜ sowie der Online-Durchsuchung entwickelt.

Das BKA verfolgt derzeit zwei Ansätze mit der Entwicklung eines eigenen Systems und einer kommerziellen Software von Gamma/FinFisher. Die Eigenentwicklung befinde derzeit noch in der Entwicklungsphase, erläuterte eine Sprecherin des Innenministeriums gegenüber heise online. Ein konkreter Termin für die Einsatzbereitschaft könne derzeit noch „nicht mit ausreichender Genauigkeit“ angegeben werden. Bei der kommerziellen Software erfolge aktuell „eine Quellcodeprüfung der Software auf die Einhaltung der entsprechenden Rahmenbedingungen insbesondere unter Gesichtspunkten des Datenschutzes und IT-Sicherheitsvorgaben.“ Auch hier: kein Termin.

Das Bundesinnenministerium hält für die Quellen-TKÜ keine spezielle Rechtsgrundlage für nötig. So betonte Krings, dass dadurch „keine Daten erlangt werden, die nicht auch durch eine ‚konventionelle’ Telekommunikationsüberwachung erlangt würden.“ Als ausreichende Rechtsgrundlage nannte Krings den Paragrafen 100a der Strafprozessordnung (StPO), den Paragrafen 20 l BKA-Gesetz sowie das G-10-Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses. Gleichwohl steht laut Koalitionsvertrag eine Überarbeitung der Rechtsgrundlagen auf dem Programm. Darin heißt es: „Die Vorschriften über die Quellen-Telekommunikationsüberwachung werden wir rechtsstaatlich präzisieren, um unter anderem das Bundeskriminalamt bei seiner Aufgabenerfüllung zu unterstützen.“

Die Bundesdatenschutzbeauftragte Andrea Voßhoff betont hingegen, dass es derzeit allein mit den Vorschriften des BKA-Gesetzes zur Bekämpfung des internationalen Terrorismus eine gesetzliche Grundlage gebe. Der von Krings angeführte Paragraph 100a StPO sei im Lichte der Rechtsprechung des Bundesverfassungsgerichts „keine geeignete Rechtsgrundlage für die Quellen-TKÜ“. Das hatte nach dem Karlsruher Urteil auch die Bundesanwaltschaft so gesehen.

„Der Gesetzgeber muss damit nach Ansicht des Gerichts die Risiken begrenzen, die mit der Infiltration des Systems verbunden sind", erklärt Voßhoff. Diese Risiken entstünden nicht erst, wenn Ermittler das verwanzte System auslesen. "Sie können schon vorher entstehen, wenn eine Behörde Sicherheitslücken des Zielsystems gezielt ausnutzt und dort eine Überwachungssoftware einpflanzt.“ Für all dies enthalten die Regelungen der StPO keine Vorkehrungen, da sie offenkundig nicht als Rechtsgrundlage für eine Quellen-TKÜ gedacht seien, betont die Datenschützerin. Auch für die Nachrichtendienste gäbe es derzeit keine rechtliche Grundlage für den Einsatz von Quellen-TKÜ.

Beim Koalitionspartner SPD will derzeit niemand das heiße Eisen Quellen-TKÜ anfassen. Es ist noch völlig ungeklärt, ob es überhaupt eine technische Lösung gibt, die den harten Vorgaben des Bundesverfassungsgerichts entspricht, heißt es bei den Sozialdemokraten. Gerold Reichenbach, Berichterstatter für Datenschutz und IT-Sicherheit der SPD im Bundestag, sieht Berlin am Zug: „Die Bundesregierung muss erst einmal ihre Hausaufgaben machen und dafür sorgen, dass den Ermittlern rechtskonforme Mittel an die Hand gegeben werden.“

Auch Grüne Konstantin von Notz fordert Klarheit und darüber hinaus ein „Verbot für Sicherheitsbehörden, Sicherheitslücken zu kaufen, bewusst offenzuhalten und zu verbauen“ sowie „eine bessere Kontrolle des Exports entsprechender Techniken“. Auch Hunko kritisiert „die widersprüchliche Internetpolitik der Bundesregierung“: Vom Bundesamt für Sicherheit in der Informationstechnik werde Verschlüsselung gefördert, BKA und Verfassungsschutz suchten aber nach Hintertüren. Hunko: „Das ist nicht nur paradox, sondern schizophren.“ (vbr)