© thelightwriter, 123RF
Auf den letzten Metern der Legislaturperiode will die große Koalition in Deutschland die Sicherheitsgesetze verschärfen. Der Polizei soll der Einsatz von Staatstrojanern in vielen Fällen erlaubt werden.
Die Bundesregierung will in den kommenden Monaten noch die rechtlichen Grundlagen für einen umfangreichen Einsatz von Überwachungsprogrammen auf Endgeräten von Verdächtigen schaffen. Die bereits geplante Strafrechtsreform [1] soll stark ergänzt werden, um mit Hilfe von gehackten Smartphones oder Computern eine verschlüsselte Kommunikation überwachen (Quellen-TKÜ) oder Dateien auslesen (Onlinedurchsuchung) zu können. Der Einsatz dieser “Staatstrojaner” soll der Polizei nicht nur zur Gefahrenabwehr, sondern bei Ermittlungen zu Straftaten erlaubt sein.
Das Portal Netzpolitik.org veröffentlichte eine entsprechende Formulierungshilfe des Bundesjustizministeriums [2]. Das Papier ist die Basis für einen Änderungsantrag von Union und SPD im laufenden Gesetzgebungsverfahren des Bundestags.
Nach Angaben der Grünen-Fraktion ist für Ende Mai eine Anhörung im Justizausschuss des Bundestags geplant. Das Parlament diskutierte bereits am 9. März über das Gesetz, doch war der Einsatz von Staatstrojanern damals kein Thema.
Weil die Regierung auf einen eigenen Gesetzesentwurf verzichtet, verkürzen sich das parlamentarische Verfahren und die öffentliche Debatte. Unter anderem entfällt dadurch die erste Lesung des Entwurfs im Bundestag.
Vorgaben umgehen
Bundesinnenminister Thomas de Maizière (CDU) verteidigte auf der Internetkonferenz Republica den Einsatz der umstrittenen Ermittlungsinstrumente. Der Staat kann, so der Minister, nicht akzeptieren, dass “wenn es eine Ende-zu-Ende-Verschlüsselung in einem Messengerdienst gibt, nur deswegen, weil es eine Ende-zu-Ende-Verschlüsselung gibt, automatisch rechtsstaatliche Befugnisse des Staates zur Strafverfolgung in diesem Dienst technisch ausgeschlossen sind. Wir müssen im Einzelfall versuchen, unter den rechtsstaatlichen Bedingungen wie bisher, darauf zugreifen zu können.” Daher seien Quellen-TKÜ und Onlinedurchsuchung “unter rechtsstaatlichen Voraussetzungen zwingend geboten”.
Allerdings hat das Bundesverfassungsgericht hohe Hürden für den Eingriff in so genannte informationstechnische Systeme gesetzt. Die Bundesregierung behilft sich im Falle der Quellen-TKÜ daher mit einem Trick: Sie erklärt in der Gesetzesbegründung, dass es sich beim direkten Abgreifen von verschlüsselten Nachrichten auf einem Smartphone oder einem Computer nicht um einen solchen Eingriff handelt:
“Soweit das Bundesverfassungsgericht höhere Anforderungen an die Rechtfertigung von Eingriffen in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme gestellt hat, betrafen diese nicht den Fall, dass die Überwachung und Aufzeichnung auf neu ankommende oder abgesendete Messenger-Nachrichten auf dem Endgerät begrenzt und technisch ausgeschlossen wird, dass die Gefahr des Auslesens des gesamten Systems oder auch nur der gesamten gespeicherten Kommunikation nicht besteht”, heißt es in der Begründung.
Quellcode prüfen
Wie das möglich sein soll, ist völlig unklar. Schließlich braucht man sowohl bei der Quellen-TKÜ als auch bei der Onlinedurchsuchung zunächst kompletten Zugriff auf ein Endgerät, um die Überwachungs- oder Auslesesoftware installieren zu können. Damit ist es technisch immer möglich, Funktionen zu implementieren, die über die gesetzlichen Vorgaben hinausgehen. Das will die Regierung mit folgender Vorschrift verhindern: “Durch die Dokumentation des Quellcodes, des Prozesses der Programmerzeugung aus diesem Quellcode und des Programms selbst kann im Nachhinein der Funktionsumfang der jeweils eingesetzten Überwachungssoftware abschließend nachvollzogen werden.” Grundlage dafür soll die Standardisierte Leistungsbeschreibung [3] sein, die das Bundeskriminalamt (BKA) erfüllen soll.
Wannacry ist keine Warnung
Besonders problematisch ist dieses Vorgehen vor dem Hintergrund, dass Polizeibehörden und Nachrichtendienste Sicherheitslücken horten müssen, um sich den Zugriff auf Endgeräte verschaffen zu können. Denn das Gesetz erlaubt es nicht, etwa durch das heimliche Eindringen in die Wohnung eines Verdächtigen per direkten Zugriff auf die Hardware ein Programm zu implementieren.
De Maizière sagte dazu auf der Republica lapidar, mit dem Ankauf und dem Aufspüren von Zero-Day-Exploits “kein Problem” zu haben. Dazu hat die Regierung eigens eine neue Behörde, Zitis, gegründet. Der aktuelle Fall der Ransomware Wannacry (Abbildung 1) zeigt jedoch, wie problematisch das Horten von Sicherheitslücken sein kann.
Abbildung 1: Die Wannacry-Exploits sollen aus dem Fundus des US-Dienstes NSA stammen.
Keine Hintertüren
Staatliche Hintertüren in verschlüsselten Messengerdiensten lehnt die Regierung in der Formulierungshilfe jedoch ab. Weiter heißt es: “Nach den Grundsätzen der von der Bundesregierung verfolgten Kryptopolitik wird im Gegenteil aus Gründen des Schutzes vertraulicher Daten vor den Zugriffen Dritter sogar eine Stärkung der Verschlüsselungstechnologien und deren häufige Anwendung befürwortet.” Wie das möglich wird, wenn Nutzer nicht auf die Integrität ihrer Systeme vertrauen können, bleibt ein Widerspruch.
Sollte eine geeignete Software für die Quellen-TKÜ verfügbar sein, sollen die Strafverfolgungsbehörden daher konsequenterweise direkt zur Onlinedurchsuchung greifen. Das könnte etwa der Fall sein, wenn die Überwachungssoftware nicht in der Lage ist, zwischen aktueller und früherer Kommunikation zu unterscheiden. Bei der Quellen-TKÜ dürfen nur solche Nachrichten abgehört werden, die nach einem bestimmten Zeitpunkt gesendet oder empfangen wurden.
CCC: “Verantwortungslos”
Der Gesetzesentwurf erlaubt die Quellen-TKÜ künftig bei “schweren Straftaten”, bei denen auch Ermittlungsbehörden die Telekommunikation überwachen dürfen (Paragraf 100a Strafprozessordnung, [4]). Dazu zählen neben Mord und Totschlag auch Betrug und Computerbetrug. Die Onlinedurchsuchung soll nur bei “besonders schweren Straftaten” erlaubt sein, bei denen eine akustische Wohnraumüberwachung möglich ist (Paragraf 100c Strafprozessordnung, [5]).
Kritik an den Plänen kam vom Chaos Computer Club. Dessen Sprecher Linus Neumann warf der Koalition vor, die “absolute Verantwortungslosigkeit” des US-Geheimdienstes NSA im Umgang mit Sicherheitslücken wie im Fall von Wannacry nicht abzulehnen, sondern statt dessen den gleichen Weg zu gehen.
Auch die Opposition kritisiert die Pläne. “Staatliches Hacking in dem Rahmen, den das Bundesverfassungsgericht zugelassen hat, ist technisch einfach nicht möglich”, sagte der stellvertretende Vorsitzende der Linke-Fraktion, Jan Korte. Der Verzicht auf Quellen-TKÜ und Onlinedurchsuchung sei “rechtsstaatlich die einzige saubere Lösung”.
Nach Ansicht des Grünen-Netzpolitikers Konstantin von Notz dürfen “die Strafverfolgungsbehörden nicht dazu ermutigt werden, Sicherheitslücken in informationstechnischen Systemen bewusst aufrecht zu erhalten”. Notz forderte die Koalition auf, die Anforderungen an die Staatstrojaner genauer zu definieren. Das dürfe man nicht Strafverfolgungsbehörden oder Gerichten überlassen. Zudem, so Notz, dürften Staatstrojaner nur bei besonderer Gefahr für Leib, Leben und Gesundheit zum Einsatz kommen, ein darüber hinausgehender Einsatz sei verfassungsrechtlich bedenklich. (uba)
Infos
-
Strafrechtsreform:http://www.bundestag.de/presse/hib/2017_03/-/495580
-
Formulierungshilfe Justizministerium: https://netzpolitik.org/2017/wir-veroeffentlichen-den-gesetzentwurf-der-grossen-koalition-zum-massenhaften-einsatz-von-staatstrojanern/#Formulierungshilfe
-
Standardisierte Leistungsbeschreibung: https://fragdenstaat.de/files/foi/8095/leistungsbeschreibung-quellen-tku.pdf
-
Paragraf 100a Strafprozessordnung: https://www.gesetze-im-internet.de/stpo/__100a.html
-
Paragraf 100c Strafprozessordnung: https://www.gesetze-im-internet.de/stpo/__100c.html
