Windei Bundestrojaner
Sollte nach dem Bundestag auch der Bundesrat das neue BKA-Gesetz verabschieden, so wird demnächst auch die heftig umstrittene Online-Durchsuchung zum Repertoire bundesdeutscher Ermittler gehören. Schaut man sich aus technischer Sicht die Möglichkeiten und Auswirkungen von Online-Durchsuchungen näher an, stellt man fest, dass der in der Berliner Koalition ausgehandelte Kompromiss in der Sache mehr schadet als nützt.
- Markus Hansen
- Andreas Pfitzmann
Die Online-Durchsuchung gehört zu den neuen Befugnissen, die das Anfang November vom Bundestag beschlossene, vom Bundesrat noch zu bestätigende BKA-Gesetz staatlichen Ermittlern bundesweit einräumen will (siehe S. 48). Anders als bei einer Beschlagnahme von IT-Hardware oder Speichermedien erfasst man bei einer Online-Durchsuchung Daten auf einem von den verdächtigten Personen weiterhin genutzten informationstechnischen System (IT-System) heimlich und übermittelt gefundene Daten – gegebenenfalls nach einer Vorauswahl – zur Auswertung an die Ermittler. Nach Abschluss der Untersuchung werden eventuell für die Online-Durchsuchung installierte Zugriffsmöglichkeiten auf das IT-System wieder entfernt [1].
Der erste Versuch in Deutschland, eine rechtliche Grundlage für dieses Vorgehen zu schaffen, war eine Änderung des Verfassungsschutzgesetzes Nordrhein-Westfalens, ein weiterer folgte im Polizeiaufgabengesetz Bayerns. Den nordrhein-westfälischen Vorstoß hat das Bundesverfassungsgericht unter anderem wegen der darin vorgesehenen Regelungen zur Online-Durchsuchung im Februar 2008 für verfassungswidrig erklärt, nachdem es sich sehr intensiv mit den technischen Grundlagen, Begrifflichkeiten und Sachverhalten auseinandergesetzt hatte [2]. In seinem wegweisenden Urteil leitete es aus dem allgemeinen Persönlichkeitsrecht – nicht aus den bereits eingeschränkten und bei entsprechenden Mehrheiten im Parlament auch weiter einschränkbaren Artikeln des Grundgesetzes zum Brief-, Post- und Fernmeldegeheimnis und zur Unverletzlichkeit der Wohnung – das Grundrecht auf Gewährleistung von Vertraulichkeit und Integrität informationstechnischer Systeme ab [3].
Das Verfassungsgericht hat dies sehr weitreichend formuliert [4]: „Das Grundrecht […] ist […] anzuwenden, wenn die Eingriffsermächtigung Systeme erfasst, die allein oder in ihren technischen Vernetzungen personenbezogene Daten des Betroffenen in einem Umfang und in einer Vielfalt enthalten können, dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten“ (Abs. 203). Der Grundrechtsschutz umfasst nicht nur alle Geräte, in denen Daten in digitaler Form verarbeitet oder gespeichert werden können, von PCs und Notebooks über Smartphones und PDAs bis hin zu externen Festplatten und USB-Sticks, sondern auch beteiligte Infrastrukturkomponenten: „Soweit die Nutzung des eigenen informationstechnischen Systems über informationstechnische Systeme stattfindet, die sich in der Verfügungsgewalt anderer befinden, erstreckt sich der Schutz des Nutzers auch hierauf“ (Abs. 206).
Auch bei diesem Grundrecht gilt der Schutz allerdings nicht absolut. Das Bundesverfassungsgericht hat die von den Ermittlungsbehörden geforderte heimliche Durchsuchung von IT-Systemen nicht prinzipiell für unzulässig erklärt, sondern in seinem Urteil die rechtlichen Anforderungen abgesteckt, die eine gesetzliche Regelung eines solchen Grundrechtseingriffs erfüllen muss. Innerhalb dieses Rahmens ist es die Aufgabe des Gesetzgebers zu entscheiden, ob er die Wünsche der Ermittlungsbehörden nach einem weiteren Instrument erfüllen will und wenn ja, wie dieses aussehen sollte.
Technische Möglichkeiten
Online-Durchsuchungen sind als heimliche Durchsuchung genutzter IT-Systeme technisch nicht auf den reinen Internetzugriff mit Hilfe des umstrittenen Bundestrojaners beschränkt. Ohne aktiven Zugriff auf ein IT-System kann man auch passiv die auf ihm ausgeführten Aktionen beobachten, indem man allein die aus jeweils unterschiedlichen Entfernungen mess- und auswertbare Abstrahlung des Zielsystems nutzt. Dies können optische Signale sein, etwa ein Monitorbild, das durch ein Fenster direkt oder über Reflexionen aufgefangen wird [5, 6], akustische Signale wie der unterscheidbare Klang der Tasten einer Tastatur [7] oder elektromagnetische Signale der im IT-System verbauten Komponenten [8, 9, 10, 11]. So erhält man die Informationen, die die Nutzer eines Zielsystems während der Beobachtung direkt auf diesem eingeben oder aufrufen, unabhängig davon, ob diese gespeichert werden.
Will man auch die gespeicherten Informationen heimlich durchsuchen, geht dies nur, wenn man das Zielsystem infiltriert und für die anschließende Überwachung erforderliche Soft- oder Hardware-Komponenten installiert. Auch hierfür gibt es grundsätzlich mehrere technische Möglichkeiten.
Für eine Infiltration durch physischen Zugriff muss man heimlich in die das Zielsystem beherbergenden Räume eindringen, um dort Soft- oder Hardware-Komponenten – zum Beispiel Keylogger oder zusätzliche Speichereinheiten – für die Datenerfassung zu installieren, eine bitidentische Kopie (Image) der Festplatten für die Durchsuchung in einem forensischen Labor anzufertigen oder beides zugleich zu machen. Anhand der Image-Datei kann man bei unverschlüsselten Festplatten die Konfiguration analysieren, um eine angepasste Software-Komponente zu entwickeln, für deren Installation man erneut in die Räume eindringen muss.
Bei einer Infiltration über Kommunikationsnetze, bei der man die Räume nicht betreten muss, hat man die gleichen technischen Optionen wie Angreifer aus der Wirtschaftskriminalität oder von fremden Geheimdiensten: Man versucht beispielsweise über das Internet eine Software-Komponente – den sagenumwobenen Bundestrojaner – auf das Zielsystem aufzuspielen oder vorhandene Sicherheitslücken in bereits installierter Software auszunutzen. Infiltrationsmethoden wie E-Mails, die zum Öffnen von Dateien animieren, oder Datenträger, die gezielt „herumliegen“, benötigen eine Aktion der Nutzer, während sich manche Sicherheitslücken installierter Software ohne Mithilfe ausnutzen lassen. Wenn noch nicht öffentlich bekannte Lücken mit einem Zero Day Exploit ausnutzbar sind, können Verdächtigte diesen Zugriff meist nur mit der sehr grundsätzlichen Möglichkeit verhindern, das IT-System mit keinem für Ermittler zugänglichen Netz zu verbinden. Dies gilt auch für die Manipulation von Daten während der Übertragung durch das Internet in Echtzeit, sodass beim abrufenden Rechner andere Daten ankommen, als vom Server versandt wurden – eine Methode, die unter anderem die Firma Phorm zusammen mit British Telecom benutzt, um den BT-Kunden Werbung in Webseiten einzublenden.
Als dritter Weg zur Infiltration ist denkbar, dass bereits beim Hersteller von Soft- und Hardware [12] Hintertüren implementiert werden, also Möglichkeiten des verdeckten Zugriffs auf das IT-System durch Dritte. Man kann so nicht nur Informationen gewinnen oder manipulieren, sondern kann dies auch für Angriffe auf die Verfügbarkeit nutzen [13].
Im bayrischen Polizeiaufgabengesetz sind Manipulationen zur Gefahrenabwehr bereits erlaubt. Eine Software-Komponente, die mit den Rechten des Nutzers oder gar eines Administrators auf einem IT-System läuft, kann aber nicht nur wie der Nutzer selbst Daten erfassen, speichern, übertragen, verändern und löschen, ohne dass der Nutzer dies ohne Weiteres bemerkt oder verhindern könnte. Man kann so auch auf angeschlossene Peripherie zugreifen, um die Umgebung des IT-Systems mit bereits vorhandenen Mikrofonen oder Kameras zu überwachen oder auch hierüber laufende Videochats oder VoIP-Gespräche (sogenannte Quellen-Telekommunikationsüber-wachung) zu erfassen.
Mit administrativen Rechten ist über die heimliche Durchsuchung hinaus auch eine gezielte Manipulation möglich: Ähnlich wie beispielsweise beim kriminellen Phishing oder Skimming kann man dem Verdächtigten eine von den tatsächlichen Begebenheiten abweichende Sicht auf das eigene IT-System und die darin gespeicherten Daten vortäuschen, um den Nutzer zu bestimmten Aktionen zu veranlassen oder die Heimlichkeit des Angriffs aufrechtzuerhalten.
Da man in der Regel die Informationen nicht kontinuierlich beispielsweise per Internet an die Ermittler übertragen kann, muss man nicht nur die Hard- oder Software für den Zugriff selbst, sondern auch die zwischengespeicherten Informationen verstecken. Am sichersten geht dies auf einer vom Zielsystem abgeschotteten und gegen Manipulation gesicherten Hardware-Komponente mit eigener Speichereinheit, wobei man alternativ statt des Speichers auch einen eigenen Kommunikationskanal nach außen vorsehen könnte. Deutlich höher ist das Risiko der Entdeckung, wenn der Speicher beispielsweise als zwischen Hauptplatine und Festplatten verbaute Komponente Teil des Zielsystems ist oder die Informationen sogar direkt auf der Hardware des Verdächtigten zwischengespeichert werden. Lässt sich eine Zwischenspeicherung von Daten auf dem Zielsystem nicht vermeiden, könnten steganographische Methoden ein Auffinden erschweren. Mittels Steganographie werden Daten in anderen Daten versteckt eingebettet, ohne die Nutzbarkeit der „Wirtsdaten“ zu beeinträchtigen. Da auch diese Einbettung auf dem Zielsystem unter dessen Kontrolle stattfindet, ist eine Aufdeckung jedoch ebenfalls nicht auszuschließen.
Praktische Grenzen
Betrachtet man diese auf den ersten Blick vielfältigen technischen Möglichkeiten in einem größeren Zusammenhang, ist die Geheimhaltung nicht das einzige praktische Problem. Die Frage, wer im Zielsystem die Kontrolle hat, berührt auch ein anderes grundlegendes Problem der Sicherheitsbehörden bei der Online-Durchsuchung: Insbesondere, wenn man die gewonnenen Informationen anschließend vor Gericht verwerten will, muss nicht nur ein rechtsstaatlich korrektes Vorgehen der Ermittler garantiert sein. Es muss ebenso zweifelsfrei sein, dass die gewonnenen Informationen tatsächlich genau von demjenigen stammen, dem sie zugeordnet wurden, die erhobenen Daten also von niemand anderem manipuliert worden sind. Die Forderung nach Integrität des Zielsystems gilt in diesem Fall nicht nur für die bei der Online-Durchsuchung direkt gewonnenen Informationen. Sie ist auch eine notwendige Voraussetzung, wenn man die bei einer anschließenden Durchsuchung beschlagnahmter IT-Systeme gefundenen Daten als Beweis vor Gericht verwerten will.
Die Integrität des Zielsystems ist allerdings nur schwierig bis gar nicht zu garantieren. Eine erfolgreiche Infiltration kompromittiert ein IT-System in der Regel sofort. Bei Systemen mit vom Hersteller eingebauten Hintertüren gilt dies sogar bereits ab dem Moment der ersten Nutzung, im Hardware-Fall also noch vor der Installation des Betriebssystems. Generell ist nicht nur die Installation einer Soft- oder Hardware-Komponente mit schreibendem Zugriff auf das Zielsystem eine Manipulation, die die Beweiseignung aller ab diesem Moment erfassten Daten in Frage stellt. Dies gilt auch für Software-Komponenten mit nur lesendem Zugriff, da nun nicht mehr nur die eigentlichen Nutzer auf dem System agieren, sondern auch die zusätzliche Software-Komponente, sodass die Echtheit der gewonnenen Informationen nicht mehr garantiert ist. Lediglich eine rein lesende Hardware-Komponente könnte Informationen liefern, die auch beweiskräftig sind. Das hierfür zwingend notwendige Betreten der Räume des Verdächtigten berührt allerdings in aller Regel zusätzlich zu dem vom Bundesverfassungsgericht formulierten IT-Grundrecht auch noch das Recht auf Unverletzlichkeit der Wohnung.
Dies vermeidet man zwar bei allen Varianten der Software-Infiltration über Kommunikationsnetze. Aber wenn diese gelingt, muss man zusätzlich zu den bereits beschriebenen Problemen auch noch davon ausgehen, dass Dritte mit einer Infiltration genauso erfolgreich waren und ebenfalls auf das IT-System verändernd zugreifen oder zugegriffen haben. Egal, ob dies nun ein kriminelles BotNet, ein Geheimdienst oder ein Scherze treibender Jugendlicher ist, stellt dies die eindeutige Zurechnung gefundener wie zwischengespeicherter Daten zu den Nutzern eines IT-Systems stark in Frage. Das Bundesverfassungsgericht weist in seinem Urteil zwar darauf hin, dass selbst diesen Daten dennoch zumindest ein Informationswert zukommen könne – mehr aber auch nicht, denn dieser ist aufgrund der erwiesenen Manipulierbarkeit des Zielsystems mit deutlicher Vorsicht zu genießen.
Auch der Vorschlag, die in diesem Fall notwendigerweise auf dem Zielsystem selbst zwischengespeicherten Daten durch Verschlüsseln gegen Manipulationen zu sichern, hilft in der Regel nicht nur deshalb nicht weiter, weil dies – insbesondere wenn sonst kaum verschlüsselte Daten auf dem Zielsystem sind – relativ einfach aufzuspüren ist. Für eine verlässliche Verschlüsselung oder digitale Signatur ist stets eine exklusive Kontrolle über das hierfür verwendete System notwendig – neben den Ermittlern dürfen also weder der Verdächtigte noch ein Dritter Zugang haben. Auch dies lässt sich nur mit einer entsprechend stark abgesicherten Hardware-Komponente mit eigener Speichereinheit realisieren, sodass Verschlüsselung und digitale Signatur bei jeder Online-Durchsuchung per Software prinzipbedingt nicht sicher einsetzbar sind.
Die einzige Variante der Online-Durchsuchung, die nicht die Integrität des Zielsystems verletzt und gleichzeitig kein Betreten der Wohnung erfordert, ist eine Beobachtung von außen. Dies manipuliert das zu untersuchende IT-System in keiner Weise – ein entscheidender Punkt, wenn man beispielsweise Passwörter für verschlüsselte Daten auffangen will, um das Zielsystem anschließend in einer offenen Durchsuchung mit forensisch nicht zu beanstandenden Methoden vollständig zu untersuchen und beweisfest auszuwerten. Bei der Auswertung elektromagnetischer Abstrahlung muss man durch geeignete Antennen beziehungsweise deren Ausrichtung und entsprechende Signalfilter sicherstellen, dass nicht versehentlich die Abstrahlung der Geräte unbeteiligter Dritter aufgefangen und ausgewertet wird. Diese Gefahr ist bei der Nutzung akustischer oder optischer Abstrahlung deutlich geringer. Grundsätzlich ist die direkte Beobachtung bei der Dateneingabe aber der einzige Weg, wirklich sicherzustellen, dass die Informationen tatsächlich vom Verdächtigten stammen – nimmt man die Daten automatisch auf, hat man auch bei einem Offline-System keine Garantie dafür, dass nur der Verdächtigte auf das IT-System zugegriffen hat.
Fehlerträchtig
Bei einer Infiltration über Kommunikationsnetze durch Manipulationen der Netzinfrastruktur sind nach der Festlegung des Bundesverfassungsgerichts sogar prinzipiell nicht nur die Rechte der Zielpersonen, sondern auch aller anderen Nutzer betroffen, deren Datenverkehr diese Infrastrukturkomponenten nutzt, da der Eingriff bei IT-Systemen wie E-Mail-Servern die Vertraulichkeit und Integrität für alle aufhebt. Angesichts der Tendenz, statt auf leistungsfähige Einzelplatzsysteme auf die Komponenten verteilter IT-Systeme zuzugreifen, ist bereits heute davon auszugehen, dass es keine Infrastrukturkomponenten im Internet gibt, die nicht vom Grundrechtsschutz erfasst sind. Die Trends, IT-Systeme in immer mehr Komponenten der Alltags-Umgebung oder auch den menschlichen Körper zu integrieren und so Funktionalität nicht mehr in einem Gerät zu vereinen, sondern über mehrere vernetzte IT-Systeme zu verteilen und andererseits die Ressourcen eines IT-Systems per Virtualisierung als mehrere Systeme darzustellen, die physisch jedoch nicht voneinander zu trennen sind, machen es zunehmend schwieriger, vernetzte IT-Systeme von einander unabhängig zu betrachten. In absehbarer Zeit dürfte es daher kaum noch IT-Systeme geben, bei denen der Grundrechtsschutz nicht zu beachten ist. Der erforderliche Nachweis, dass bei einem Zugriff auf ein System über Kommunikationsnetze keine Gefährdung des Grundrechtsschutzes unbeteiligter Dritter erfolgt, wird schon heute in aller Regel nicht zu erbringen sein.
Dies gilt umso mehr, als man gerade bei einer Online-Durchsuchung per Internet am wenigsten davor gefeit ist, versehentlich das falsche IT-System zu infiltrieren, da dynamisch mit dem Internet verbundene Rechner sich in der Regel nicht hinreichend sicher eindeutig adressieren lassen: In der Verhandlung vor dem Bundesverfassungsgericht zog BKA-Präsident Jörg Ziercke zur Beantwortung der Frage, woran man denn erkennen könne, dass man das richtige System infiltriert habe, einen Techniker hinzu. Dieser antwortete, man erkenne dies, wenn man die Daten finde, die man suche. In der Bundestagsanhörung zum Gesetzentwurf entgegnete Ziercke zwar, es handle sich dabei um eine unautorisierte Aussage eines Mitarbeiters, sie verdeutlicht dennoch die mangelnde Kontrollierbarkeit von Angriffen über Kommunikationsnetze.
Eine Infiltration über Kommunikationsnetze kann man also nur einleiten, wenn man in Kauf nimmt, Unbeteiligte damit zu schädigen. Da die vom Verfassungsgericht aufgestellten sehr hohen Schranken deutlich die Schwere eines solchen Eingriffs in das allgemeine Persönlichkeitsrecht der Betroffenen aufzeigen, kommt in derartigen Fällen die Anwendung des Strafrechtsparagrafen 303 a, b zu Datenveränderung und Computersabotage in Betracht. In jedem Fall müssen fälschlich überwachte Personen umgehend benachrichtigt werden. Für die Wiederherstellung der Vertraulichkeit und Integrität ihrer IT-Systeme nach dem Abbruch der Aktion braucht man einen klar festgelegten Prozess zur De-Infiltration. Sind die Überwachungsfunktionalitäten bereits ab Werk in Hard- oder Software enthalten, ist eine solche De-Infiltration allerdings kaum möglich. In den meisten anderen Fällen wird man das System von Grund auf neu installieren müssen: Installierte Softwarekomponenten können mit oder ohne Deinstallation Sicherheitslücken hinterlassen, die durch Dritte ausgenutzt werden können, und auch die relativ einfache Entfernung von Hardware-Komponenten macht die Vertraulichkeitsverluste von zum Beispiel Passwörtern nicht rückgängig. In beiden Fällen hebt die De-Infiltration allein die Kompromittierung des Zielsystems nicht auf. Wird nur die physikalische Abstrahlung ausgewertet, ist eine De-Infiltration zur Wiederherstellung der Integrität des IT-Systems naturgemäß nicht erforderlich. Da jedoch die Vertraulichkeit kompromittiert wurde, ist auch hier davon auszugehen, dass verwendete Passwörter nicht mehr nur den rechtmäßigen Nutzern bekannt sind und folglich geändert werden müssen.
Kaum einsetzbar
Um überhaupt Daten zu finden, muss man auch tatsächlich auf das System zugreifen können. Bei IT-Nutzern, die nur ein geringes Verständnis der genutzten Technik haben und daher – ausgestattet mit der heutigen Informationstechnik – kaum in der Lage sind, sich gegen Angriffe zu schützen, dürfte dies mit allen Methoden möglich sein. Da etwaige Infiltrationsmöglichkeiten der Ermittler aber notwendigerweise identisch mit den Angriffen von Schadsoftware, organisierter Kriminalität, Wirtschaftsspionage und fremden Geheimdiensten sind, kann das System in einem solchen Fall bereits vorher kompromittiert worden sein, während im Falle sensibilisierter IT-Nutzer ein Infiltrationsversuch über Kommunikationsnetze nur wenig erfolgversprechend ist.
Für Eingriffe in das neue Grundrecht hat das Bundesverfassungsgericht sinnvollerweise sehr hohe materielle und prozessuale Schranken festgelegt, sodass Online-Durchsuchungen praktisch nur für die Abwehr terroristischer Angriffe und erst dann in Frage kommen, wenn die jeweilige Zielperson und ihr Aufenthaltsort bereits bekannt sind, womit eine Infiltration per Internet nicht mehr notwendig ist. Da es sich bei terroristischen Anschlägen um geplante, gesteuerte und gezielte Aktionen handelt, muss man zudem von hochgradig sensibilisierten IT-Nutzern ausgehen, die nicht einfach die üblichen Kommunikationswege nutzen, sondern die verwendeten IT-Systeme und Kommunikationskanäle entsprechend absichern. Es erfordert wenig Aufwand und nahezu triviales Fachwissen, vertrauliche Informationen auf einem vom Netz getrennten IT-System zu erstellen und zu verschlüsseln, dann auf ein anderes System zu überspielen, sodass dieses andere System stets nur die verschlüsselten Daten vorhält. Wird dann zur Übertragung der Informationen per Internet ein jeweils anderes ungesichertes WLAN genutzt, ist eine Lokalisierung des Systems, in dem die Informationen in unverschlüsselter Form vorliegen, nahezu unmöglich. Das Gebrauchspotenzial von Methoden, die auf die Nutzung von Kommunikationsnetzen angewiesen sind, tendiert daher bei motivierten Akteuren gegen null.
Hinzu kommt die Notwendigkeit, ganz generell Datensicherheit als eine Grundvoraussetzung für technischen Datenschutz zu verstärken. Sind Vertraulichkeit, Integrität und Verfügbarkeit von IT-Systemen nicht gegeben, können digitale Informationen nicht wirksam vor Missbrauch geschützt werden, was für die weitere Entwicklung der Informationsgesellschaft aber zwingend erforderlich ist. Deshalb ist es nicht nur notwendig, IT-Nutzer stärker als bisher für technischen Datenschutz zu sensibilisieren, sondern auch Informationstechnik so fortzuentwickeln, dass möglichst viele Angriffe zwangsläufig ins Leere laufen – selbst wenn Nutzer nur ein sehr geringes Verständnis der genutzten Technik haben und hin und wieder Fehler machen. Anders ist der Cyberkriminalität nicht beizukommen, sodass es im Interesse auch des Staates liegt, aktiv Angriffsmöglichkeiten zu minimieren. Das Gebrauchspotenzial der Verfahren für Online-Durchsuchungen wird sich daher deutlich reduzieren, sodass langfristig höchstens das Auffangen physikalischer Abstrahlung von IT-Systemen, gegebenenfalls verbunden mit einer daran anschließenden offenen Beschlagnahme und forensischen Auswertung, als praktisch durchführbare Möglichkeit verbleibt.
Schutz statt Schädlingsentwicklung
Angesichts dieser sehr begrenzten Möglichkeiten für den ebenfalls sehr eingeschränkten Anwendungszweck könnte man eine Einführung der Online-Durchsuchung für praktisch unbedeutend halten. Für die Gesellschaft insgesamt ist sie aber keineswegs weitgehend folgenlos. Das Bundesverfassungsgericht hat in seinem Urteil nicht ohne Grund die zentrale Verantwortung des Staates deutlich gemacht, indem es nicht nur ein Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme proklamiert hat, sondern ein Recht auf Gewährleistung derselben. Hiermit nimmt es den Staat ausdrücklich in die Pflicht, Vertraulichkeit und Integrität nicht nur selbst zu respektieren, sondern diese aktiv zu fördern und ein Respektieren auch von Dritten durchzusetzen.
Die Einführung einer Online-Durchsuchung wirkt allerdings genau in die entgegengesetzte Richtung: Statt die Schranken für IT-Grundrechtsverletzungen nicht nur rechtlich, sondern auch technisch zu erhöhen, vergrößert der Staat das bereits reichlich vorhandene Risiko noch durch eigene Weiterentwicklungen dieser Werkzeuge.
Die im BKA-Gesetz vorgesehenen Infiltrationen ĂĽber Kommunikationsnetze ebenso wie vom Hersteller eingebaute HintertĂĽren sind Verfahren, die ohne groĂźen finanziellen und personellen Aufwand skalieren, sich also in einer relativ gering geschĂĽtzten IT-Landschaft wie der heutigen fĂĽr MassenĂĽberwachungen einsetzen lassen. Auch die anderen Techniken der Online-Durchsuchung unterscheiden sich prinzipiell nicht von denen, die fĂĽr nichtstaatliche Angriffe auf IT-Systeme bereits verwendet werden, haben also ebenfalls immanent ein hohes Missbrauchspotenzial.
Nicht nur eine Ausweitung des Anwendungsbereichs durch den Staat kann die Grundrechte weiter unterminieren. Durch eigentlich Berechtigte, die die Zielsetzung der ihnen zur Verfügung stehenden Mittel widerrechtlich ändern, kann es auch zum konkreten Missbrauch kommen – insbesondere wenn wie im BKA-Gesetz unabhängige Kontrollstrukturen wie ein parlamentarisches Gremium zur Überwachung der geheimdienstlichen Befugnisse nicht existieren. Es wäre ausgesprochen leichtsinnig, darauf zu vertrauen, dass eine derartige Entwicklung schon nicht stattfinden wird. Sind solche Werkzeuge erst einmal vorhanden, sinkt die Hemmschwelle, diese für immer weitere Zwecke einzusetzen. Gleichzeitig spricht alle Erfahrung dagegen, dass ein einmal entwickeltes Werkzeug nur von Berechtigten benutzt wird und nicht in falsche Hände gerät.
Die daraus folgenden Gefahren unterscheiden sich allerdings je nach verwendetem Verfahren. Eine Infiltration per Hardware eignet sich ebenso wie das heimliche Auffangen physikalischer Abstrahlung von IT-Systemen zumindest nicht für eine Massenüberwachung. Der hohe Aufwand für einen heimlichen physikalischen Zugriff könnte als „rechtsstaatliche Absicherung“ betrachtet werden, denn er schließt eine Massenanwendung aus und unterstützt zugleich die Bereitschaft zu einer sorgfältigen Prüfung, ob der tatsächliche Informationsgewinn den schweren Eingriff rechtfertigt.
Auf dem Weg in die Informationsgesellschaft sollte verantwortungsbewusstes Handeln eines Staates zudem bedeuten, nicht nur wie derzeit auf die staatliche Verordnung von bereits vom Hersteller eingebauten Hintertüren in Hard- oder Software zu verzichten, weil sie die Vertraulichkeit und Integrität von IT-Systemen prinzipiell aushebeln. Zusätzlich sollte der Staat aktiv Maßnahmen zur Vermeidung, zum Auffinden und zur Beseitigung solcher Hintertüren ergreifen, indem er solche Produkte umgehend von der Verwendung durch öffentliche Stellen ausschließt, ihre Unsicherheit allgemein bekannt macht und für derartige Fälle strenge Haftungsregelungen und Strafvorschriften vorsieht.
Kompromissgeburt BKA-Gesetz
Der Kompromiss zur Online-Durchsuchung, so wie die große Koalition ihn beschlossen hat, ist daher zwar aus parteipolitischer Sicht verständlich: Er nützt der CDU, die sich mit der Forderung nach der Online-Durchsuchung aus ihrer Sicht endlich durchgesetzt hat, und er nützt der SPD, die sich als Hüterin von Artikel 13 des Grundgesetzes bewährt und den physischen Zugriff in der Wohnung ausgeschlossen hat – auch wenn dies nur die Online-Durchsuchung betrifft, denn die Befugnisse zur heimlichen Video-Überwachung von Wohnungen, die ebenfalls vorgesehen sind, sprechen eine andere Sprache.
Denjenigen, die mit diesem Gesetz geschützt werden sollen, nützt es jedoch am wenigsten: Die Bevölkerung bekommt mit dem jetzt vom Bundestag beschlossenen BKA-Gesetz eine Bestimmung, die den Ermittlern die Methoden gibt, die sich für Massenüberwachungen und Missbrauch durch Einzelne am besten eignen, und ihnen die Methoden verweigert, die – auch wenn sie keineswegs gänzlich unproblematisch sind – solche Konstellationen weitgehend erschweren und dabei zugleich verlässlichere Ergebnisse ermöglichen. Gegen hochmotivierte professionell einen Anschlag vorbereitende Akteure, die als Ziel der Online-Durchsuchung einzig in Frage kommen, ist das Ganze hingegen ein ziemlich stumpfes Schwert.
Markus Hansen arbeitet als Informatiker im Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein. Im Technik- und Projektbereich befasst er sich unter anderem mit Fragen der Technikfolgenabschätzung.
Andreas Pfitzmann ist Inhaber des Lehrstuhls fĂĽr Datenschutz und Datensicherheit an der TU Dresden. Im Prozess um die Online-Durchsuchung in Nordrhein-Westfalen war er vom Bundesverfassungsgericht als sachkundige Auskunftsperson bestellt.
Literatur
[1] Markus Hansen, Andreas Pfitzmann, Technische Grundlagen von Online-Durchsuchung und -Beschlagnahme
[2] Gutachten von Andreas Bogk, Dirk Fox, Felix Freiling, Andreas Pfitzmann, Ulrich Sieber
[3] Holger Bleich, Jörg Heidrich, Renaissance des Datenschutzes, Verfassungsrichter schränken Eingriffe in die Privatsphäre ein, c't 7/08, S. 51
[4] Urteil des Bundesverfassungsgerichts
[5] Markus Kuhn, Optical Time-Domain Eavesdropping Risks of CRT Displays
[6] Michael Backes, Markus DĂĽrmuth, Dominique Unruh, Compromising Reflections
[7] Li Zhuang, Security Inference from Noisy Data
[8] Markus Kuhn, Ross Anderson, Hidden Data Transmission Using Electromagnetic Emanations
[9] Ross Anderson, Markus Kuhn, Soft Tempest – An Opportunity for NATO
[10] Markus Kuhn, Electromagnetic Eavesdropping Risks of Flat-Panel Displays
[11] NSA, TEMPEST – A Signal Problem
[12] Samuel King et al, Designing and implementing malicious hardware
[13] Sally Adee, The Hunt for the Kill Switch
Grundbegriffe des Datenschutzes
Vertraulichkeit, Integrität und Verfügbarkeit informationstechnischer Systeme sind die elementaren Schutzziele der Datensicherheit. Ihre Gewährleistung ist eine entscheidende Voraussetzung für technischen Datenschutz.
Informationstechnische Systeme im Sinne des Verfassungsgerichtsurteils sind temporäre oder permanente Verbindungen logischer und/oder physischer datenverarbeitender Komponenten. Je nach Komplexität des betrachteten Systems können die einzelnen Komponenten jeweils selbst wieder IT-Systeme sein.
Vertraulichkeit (engl.: confidentiality) bedeutet, dass Informationen nur berechtigten Personen bekannt werden. Berechtigung bezieht sich dabei auf eine bewusst eingerichtete technische Zugriffsmöglichkeit.
Integrität (engl.: integrity) bedeutet, dass Informationen vollständig, richtig und aktuell sind oder deutlich zu erkennen ist, dass dies nicht der Fall ist.
Verfügbarkeit (engl.: availability) bedeutet, dass Informationen für Berechtigte dann und dort zugänglich sind, wenn und wo sie gebraucht werden. (anm)