Experten: "Trojaner-Blindfluggesetz" würde "Kultur der IT-Unsicherheit" fördern
Sachverständige warnten bei einer Anhörung vor dem schwarz-roten Plan, Strafverfolgern zur gängigen Verbrecherjagd Trojaner in die Hand zu geben. Staatsanwälte und das BKA begrüßten das Vorhaben ohne Abstriche.
(Bild: dpa, Sebastian Kahnert/Archiv)
Mit der Gesetzesinitiative, wonach Ermittler eine umfassende Lizenz zum Einsatz von Staatstrojanern im Kampf gegen schwere Verbrechen erhalten sollen, hat die Bundesregierung "das ganz große Besteck" ausgepackt. Dies erklärte Ulf Buermeyer, Richter am Landgericht Berlin, am Mittwoch bei einer Anhörung im Bundestag. Die Betroffenen würden damit derart gläsern, wie es das Strafrecht bisher nicht kenne: "Hier geht es ums Ganze rechtsstaatlich betrachtet."
Buermeyer erinnerte daran, dass das Bundesverfassungsgericht dazu "schärfste Vorgaben" aufgestellt habe. Demnach dürften digitale Wanzen nur auf IT-Geräte aufgespielt werden, wenn eine "konkrete Gefahr für ein überragend wichtiges Rechtsgut" vorliege. Der rechtsstaatliche Preis für den Einsatz solcher Überwachungssoftware erweise sich als sehr hoch: Erforderlich seien dafür Sicherheitslücken, um ein Zielsystem infizieren zu können. Diese könnten von jedem beliebigen Hacker ausgenutzt werden, was "massiv zur Kultur der IT-Unsicherheit beitragen würde". Der deutsche Gesetzgeber dürfe sich hier nicht "weltweit versündigen".
Justiz kann "nur hoffen und beten"
Die vorgesehenen heimliche Online-Durchsuchung und die verwandte Quellen-Telekommunikationsüberwachung, bei der nur der laufende Nachrichten- oder Informationsaustausch erfasst werden soll, bevor er ver- oder nachdem er entschlüsselt wurde, werfen laut dem Richter nicht nur technische Probleme auf. Es fehle auch eine "verfahrensmäßige Sicherung". Die Justiz könne "nur hoffen und beten", dass die Maßnahmen grundrechtskonform durchgeführt würden. Eindringlich warnte Buermeyer davor, ein "Trojaner-Blindfluggesetz" zu verabschieden. Der Gesetzgeber müsse zumindest nachbessern und klare Vorgaben zum Grundrechtsschutz machen. Ferner könnte er die Sicherheitsbehörden verpflichten, nur bekannte Sicherheitslücken auszunutzen. Damit würde er gezielt auf die Nachlässigkeit von Beschuldigten abstellen.
Ein Dissens entwickelte sich zwischen dem IT-Sicherheitsexperten Linus Neumann und dem Vizepräsidenten des Bundeskriminalamts (BKA), Peter Henzler. Letzterer behauptete, dass der für die Behörde schon zur Terrorabwehr freigegebene Bundestrojaner "exakt zugeschnitten" sei auf die Bestimmungen aus Karlsruhe. Die "Remote Software" könne nur das, was in der "standardisierten Leistungsbeschreibung" festgehalten sei. Dies werde durch eine externe Firma geprüft. Auch bei den künftigen Digitalwanzen werde es sich um zielgerichtete "technische Unikate" handeln.
Staatstrojaner kastrierbar?
"Wir reden von universell programmierbaren Geräten", hielt Neumann als Vertreter des Chaos Computer Clubs (CCC), dem entgegen. "Sie können nicht ein System in seiner Integrität schwächen und garantieren, dass Sie nur eine bestimmte Applikation angreifen", wandte er sich gegen "rhetorische Tricks". Er halte es nicht für möglich, Staatstrojaner so gezielt zu programmieren, dass sie nicht über ihre Berechtigungen hinausgingen.
Für Neumann schießt die Initiative generell "ziemlich weit über das Ziel hinaus". Ein System werde dabei so geschwächt, "dass es nicht genehmigte Software ausführt". Für jede Anwendung zum Chatten oder fürs Telefonieren übers Internet Wege zu schaffen, um Daten abzugreifen, sei schwierig. Daher werde eher ständig der Bildschirm abfotografiert oder das Mikrofon eingeschaltet. Das mache aus einer Quellen-TKÜ aber sofort eine akustische Wohnraumüberwachung oder eine Online-Durchsuchung.
"Diese Büchse der Pandora nicht öffnen"
Auch mit dem Osnabrücker Strafrechtler Arndt Sinn kam sich der Sicherheitsexperte ins Gehege. Der Professor führte aus, dass Telekommunikationsanbieter "ihre Infrastruktur zur Verfügung stellen" müssten, damit "autorisierte Personen" die Überwachungssoftware aufspielen könnten. Wenn aber etwa der Smartphone-Hersteller helfen solle, würde Verschlüsselung insgesamt geschwächt, gab Neumann zu bedenken. Die Krypto-Eckpunkte der Regierung wären damit hinfällig. Der Hacker beschwor die Abgeordneten, "diese Büchse der Pandora nicht zu öffnen", sonst werde den Herstellern und Diensteanbietern niemand mehr vertrauen.
Auch mit der skizzierten Freigabe "werden wir keine flächendeckende Überwachung haben", versicherte Alfred Huber, Oberstaatsanwalt für Nürnberg und Fürth. Er verwies die Sorge, dass die Polizei bei einem Fahrraddiebstahl Smartphones hacken werde, ins Reich der Fantasie. Michael Greven vom Deutschen Richterbund verwies in einer Stellungnahme darauf, dass schon die klassische Telefonüberwachung nur in 0,1 Prozent der Ermittlungsfälle zum Tragen komme und sich an diesem Verhältnis mit der neuen Befugnis wenig ändern werde. Für Neumann blieb unverständlich, "wieso für so wenige Fälle 100 Prozent der Rechner weltweit mit Sicherheitsschwächen versehen werden sollen".
Datenschutz=Täterschutz?
Für Huber führt an der Quellen-TKÜ aber "kein Weg vorbei". Es handle sich dabei angesichts des gezielten Einsatzes von Kryptografie durch Kriminelle um ein ganz wichtiges Werkzeug. Die Politik müsse den Fahndern hier den Schlüssel zur Verfügung stellen, "damit wir wieder auf Augenhöhe mit den Straftätern agieren können". Wer "lieber die Daten" schütze, schütze die Täter. Matthias Krauß, Oberstaatsanwalt beim Bundesgerichtshof, hielt den Entwurf ebenfalls "für sachgerecht und praktikabel". Ein milderes Mittel könne er nicht erkennen.
Die Bundesdatenschutzbeauftragte Andrea Voßhoff, die nicht geladen war und nach eigenen Angaben von dem Plan erst aus den Medien erfuhr, warnt derweil in einer Stellungnahme vor "erheblichen datenschutzrechtlichen Risiken" und einem "klaren Verfassungsverstoß". Letzterer drohe durch eine Klausel, mit der die Quellen-TKÜ im Einzelfall zur "vollwertigen" Online-Durchsuchung ausgebaut werde.
Voßhoff sieht "Grenzüberschreitung"
Voßhoff spricht von einer "Grenzüberschreitung". Laut dem Artikel dürften Ermittler auch auf dem System der betroffenen Person gespeicherte Daten auslesen, "wenn diese Gegenstand früherer Kommunikation waren", schreibt die CDU-Politikerin. Gestattet werde ein Zugriff "bereits für den Fall einer hypothetischen Überwachung", wenn Informationen auch während eines laufenden Vorgangs hätten erlangt werden können. Dies solle offenbar einen Abruf "gespeicherter E-Mail-Postfächer, WhatsApp-Accountdaten, gespeicherter SMS, Anruflisten des Mobiltelefons etc." sowie von Daten in der Cloud zulassen.
Voßhoff hat ferner "erhebliche Zweifel" an einem Bedarf von Polizeibehörden, die Quellen-TKÜ beim gesamten Katalog des Paragrafen 100a Strafprozessordnung (StPO) zu nutzen. Ferner sei fraglich, ob bei dem offenbar geplanten "flächendeckenden Einsatz" von Staatstrojanern "im Bund und bei den Strafverfolgungsbehörden in allen Bundesländern der dafür notwendige technische Aufwand geschaffen und aufrechterhalten werden kann". Für "beachtlich" hält die Kontrolleurin auch den vorgesehenen Straftatenkatalog bei der Online-Durchsuchung, der "sage und schreibe 74 Paragrafen" nenne. (axk)
