Analyse: Gläserne Menschen per Bundestrojaner?
Keine andere Ermittlungsmethode erlaubt so umfassendes Ausspähen eines Menschen wie der Trojanereinsatz. Das BKA muss jetzt nachweisen, dass es damit auf dem Boden des Grundgesetzes bleibt.
Unsere Computer und Smartphones enthalten oft unsere intimste Kommunikation, unsere Termine, unsere Kontakte und unser soziales Netz. Mit Speichern im Giga- bis Terabyte-Bereich enthalten sie ein weitgehendes Abbild unseres Lebens. Bildhaft gesprochen, gleichen moderne informationstechnische Systeme einem ausgelagerten Teil des Gehirns: Wer Zugriff auf diese Datenmengen hat, der kennt die Besitzer der Systeme vielleicht besser als sie sich selbst – und wer einen Live-Zugriff darauf bekommt, der kann ihnen geradezu beim Denken zuschauen.
Auch in der #heiseshow:
Der Bundestrojaner wird auch am Donnerstag in der #heiseshow Thema sein - im Livestream ab 16 Uhr.
Dieser unvergleichlich tiefe Einblick in das Wissen, Fühlen und Denken eines Menschen macht den Einsatz von Trojanern in einem Rechtsstaat so heikel: Keine andere Ermittlungsmethode erlaubt es, eine Zielperson in dieser Weise zum Objekt der Ausspähung zu machen. Gegen keine andere Methode ist man so wehrlos, denn der direkte Zugriff auf das System dient gerade dem Zweck, Verschlüsselungsverfahren zu umgehen, also informationellen Selbst-Schutz ins Leere laufen zu lassen. Keine andere Ermittlungsmethode bietet insgesamt ein vergleichbares totalitäres Potential. Wenn staatliche Stellen sich mit Trojanern bewaffnen, dann legen sie – bildhaft gesprochen – den Finger auf den Roten Knopf.
Grundrecht auf Integrität und Vertraulichkeit der IT
Der Gefahren staatlicher Überwachungssoftware war sich auch das Bundesverfassungsgericht bewusst, als es 2008 über eine Lizenz zum Trojanisieren für den Verfassungsschutz Nordrhein-Westfalen zu entscheiden hatte: Die Karlsruher Richter erfanden in ihrem Urteil ein neues Grundrecht – das Grundrecht auf Integrität und Vertraulichkeit informationstechnischer Systeme – und stellten strenge Hürden für Eingriffe in dieses „Computer-Grundrecht“ auf. Damit staatliche Trojaner für Online-Durchsuchungen eingesetzt werden können, müssen danach „überragend“ wichtige Rechtsgüter in konkreter Gefahr sein – etwa menschliches Leben oder der Bestand des Staates.
Das klingt erst einmal nach wirksamen Grenzen für staatliche Trojaner, allerdings ließen die Verfassungsrichter an entscheidender Stelle auch eine Hintertür: Wenn lediglich „laufende Kommunikation“ mitgeschnitten wird, dann soll auch ein Trojaner-Einsatz nicht in das neue Grundrecht
eingreifen. Folglich soll eine solche Online-Durchsuchung „light“ – im Fachjargon „Quellen-Telekommunikations-Überwachung“ (Quellen-TKÜ) genannt – auch nicht an den strengen Anforderungen des Computer-Grundrechts zu messen sein. Immerhin muss aber bei einer Quellen-TKÜ, nach dem Urteil der Karlsruher Richter, durch „technische Vorkehrungen und rechtliche Vorgaben“ sichergestellt werden, dass sich die Schnüffelei des Trojaners wirklich auf laufende Kommunikation beschränkt.
"drin" ist "drin"
Bereits die Differenzierung des Bundesverfassungsgerichts zwischen verschiedenen Online-Durchsuchungen allein danach, welche Daten sie mitschneiden, kann nicht überzeugen: Die entscheidende Hürde ist mit der Infektion eines Systems durch staatliche Überwachungs-Software genommen – "drin“ ist eben "drin“. Die Beschränkung auf laufende Kommunikation kastriert lediglich eine Maßnahme, die die Integrität des betroffenen Systems aufhebt.
Denn ist der Staat erst einmal in ein System eingedrungen, so kann man zunächst nur hoffen, dass er sich auch an die verfassungsrechtlichen Spielregeln hält. Und die Grenzen, die die Karlsruher Richter für die Quellen-TKÜ gezogen haben, werden auch von der Justiz nicht immer eingehalten. Obwohl die Strafprozessordnung keine Rechtsgrundlage für Trojaner-Einsätze enthält, haben Ermittlungsrichter gelegentlich Trojaner-Einsätze im Strafverfahren erlaubt – nach den alten Regeln für die "normale" Telefon-Überwachung, gerade so, als käme bei der Quellen-TKÜ kein Trojaner zum Einsatz. Ein Ermittlungsrichter dürfte jedoch angesichts der technischen Komplexität solcher Maßnahmen kaum in der Lage sein, wirksame Regeln dafür aufzustellen, was genau ein Trojaner auf dem System eines Verdächtigen anstellen darf und wie dies zu kontrollieren ist.
"0zapftis", das blau-weiße Ungeziefer
Das ist leider keine graue Theorie: 2011 analysierte der Chaos Computer Club (CCC) den Bayern-Trojaner "0zapftis“ aus dem Hause Digitask, der annähernd baugleich auch von vielen anderen Behörden eingesetzt wurde. Der Einsatz der Software war von Richtern zwar als Quellen-TKÜ durchgewunken worden, doch konnten sie einen verfassungskonformen Einsatz – insbesondere die Beschränkung auf laufende Kommunikation – nicht sicherstellen.
Wie der CCC darlegte, konnte der Trojaner nicht nur Kommunikation mitschneiden, sondern auch Bildschirmfotos schießen und Software hochladen. Er bot damit ein ganzes Arsenal von Manipulations- und Überwachungs-Funktionen, bei denen sich auch vielen eher konservativen Beobachtern die Nackenhaare aufstellten: Die Frankfurter Allgemeine Zeitung (FAZ) widmete dem Skandal damals mehrere Sonderseiten unter der Überschrift "Anatomie eines digitalen Ungeziefers“.
Frisch gezapfte Daten
Ein solcher GAU des Rechtsstaats, bei dem Polizei und Justiz Beschuldigte mit verfassungswidrigen Mitteln ausspähen, soll in Zukunft offenbar vermieden werden. Das Bundeskriminalamt (BKA) hat in den letzten Jahren nach Presseberichten 30 Millionen Euro investiert, um mit eigenen Kräften einen Staats-Trojaner zu entwickeln: eine Überwachungs-Software, mit der die elektronische Kommunikation von Bürgerinnen und Bürgern "an der Quelle“ abgefangen werden kann. So sollen etwa Skype-Gespräche direkt auf einem der beteiligten Systeme mitgeschnitten werden. Damit soll eine Überwachungs-Lücke geschlossen werden, die dadurch entsteht, dass bei vielen modernen Kommunikationsmitteln die Daten verschlüsselt durchs Netz geschickt werden: Die klassische Überwachung des Internet-Verkehrs beim Provider liefert dann nur unverständlichen Datensalat.
Wird mit dem vom BKA selbst gebastelten Trojaner nun endlich gut, was mit dem weiß-blauen Ungeziefer alles andere als rechtsstaatlich begann? Einen Vertrauensvorschuss können die Ermittlungsbehörden nach dem laxen Umgang mit den Grundrechten beim ersten Versuch jedenfalls nicht mehr beanspruchen: Sie müssen ohne jeden Zweifel nachweisen, dass sie die Vorgaben des Bundesverfassungsgerichts einhalten.
Prüfung des Quellcodes nötig?
IT-Experten verweisen nun immer wieder darauf, wie schwer Software zu kontrollieren ist: Letztlich kann man die Funktionen eines Trojaners nur einschätzen, wenn man den Quellcode prüft und außerdem sicherstellt, dass die eingesetzte Version auch tatsächlich aus dem geprüften Code gebaut wurde. Ob das BKA eine wirksame Kontrolle ermöglicht bleibt abzuwarten.
Ein Sprecher des Bundesinnenministeriums verwies zwar auf eine "Beteiligung des Datenschutzbeauftragten“, aber was genau geprüft wurde ist unklar. Immerhin dürfte bei dem Trojaner Marke Eigenbau der Quellcode für eine Prüfung zur Verfügung stehen. Der neue Bundestrojaner bietet damit das Potential für transparente und glaubwürdige Ermittlungen. Das BKA bleibt aufgefordert, eine Prüfung durch wirklich unabhängige und vertrauenswürdige Kontrolleure nachzuweisen.
Erst die Gesetze, dann der Einsatz
Doch selbst wenn die Technik zuverlässig und geprüft ist, bleiben die rechtlichen Vorgabe des Bundesverfassungsgerichts zu erfüllen: Trojaner dürfen auch zur Quellen-TKÜ nur auf der Grundlage spezieller Gesetze zum Einsatz kommen. Solange es solche Gesetze nicht gibt, muss der Bundestrojaner eben warten – die Justiz darf keine Grundrechtseingriffe genehmigen, die der Gesetzgeber nicht vorgesehen hat.
Der Generalbundesanwalt, der oberste Staatsanwalt der Republik, geht hier mit gutem Beispiel voran: Schon 2013 hat seine Behörde erklärt, auf den Einsatz von Trojanern im Strafverfahren zu verzichten, solange es in der Strafprozessordnung keine klare Grundlage gibt. Zur Gefahrenabwehr allerdings existieren bereits Rechtsgrundlagen für Online-Durchsuchung und Quellen-TKÜ, beispielsweise im BKA-Gesetz. Ob sie verfassungsmäßig sind, prüft derzeit das Bundesverfassungsgericht.
Kauft sich das BKA Zero Days?
Abgesehen von der komplexen Rechtslage, die den Einsatz so schwierig macht, spricht aber auch aus technischer Sicht vieles dafür, dass der Bundestrojaner weitgehend ein Papiertiger bleiben wird. Dies liegt daran, dass es so viele unterschiedliche Systeme gibt, mit denen Menschen verschlüsselt kommunizieren: Neben Computern im klassischen Sinne kommen vor allem Smartphones in Frage. Ob das BKA tatsächlich in der Lage ist, für alle gängigen Versionen von Windows, MacOS und Linux ebenso Trojaner zu bauen wie für Dutzende verschiedener Android- und iOS-Versionen, ganz zu schweigen von Windows Phone oder Blackberry?
So relativ einfach ein Windows noch zu infiltrieren sein mag, so komplex stellt sich die Installation dar, wenn es um ein iPhone mit aktuellem iOS und ohne Jailbreak geht. Hier müssten wohl teure Zero-Day-Exploits angeschafft werden, sofern man nicht Apple dazu bewegen kann, staatliche Malware zu signieren.
Auf dem Boden des Grundgesetzes erden
All dies macht deutlich, dass die Ermittlungsbehörden das Potential von Trojanern grob überschätzen dürften: Das BKA hat zwar bereits Millionen-Summen ausgegeben, aber ob diesem enormen Aufwand – für den man ja Dutzende Ermittler hätte einstellen können – letztlich nennenswerte Ermittlungs-Erfolge gegenüberstehen werden, steht völlig in den Sternen. Der Bayern-Trojaner wurde damals von der Leine gelassen, um ein paar Anabolika-Händler zur Strecke zu bringen. Bei allem Verständnis für den Jagd-Instinkt der Fahnder – Terrorismus oder Schwerkriminalität sehen anders aus.
Vor seinem Computer und seinem Smartphone hat kaum jemand Geheimnisse. Wir sollten daher sehr genau überlegen, unter welchen Voraussetzungen wir zulassen wollen, dass Ermittler solche Systeme überwachen können: Trojaner haben das technische Potential, Zielpersonen zu gläsernen Menschen zu machen oder gar Beweismittel unterzuschieben. Wenn es solche Software überhaupt geben soll, dann stehen Polizei und Justiz zumindest in der Pflicht, jeden Zweifel daran zu zerstreuen, dass sie auf dem Boden des Grundgesetzes arbeiten. Man kann das Recht nicht schützen, indem man es bricht. Trojaner im Graubereich darf es in Deutschland nie wieder geben. (axk)
