Hysterie?

Online-Durchsuchung: Sicherheits- oder Überwachungs­instrument?

Mittels Online-Durch­suchungen ist es möglich, PCs via Internet auszu­spio­nieren - inzwi­schen ist auch die Kommu­nika­tion über Smart­phones und Tablets Ziel der Ermitt­lungs­behörden. Als Haupt­instrument dienen soge­nannte Bundestro­janer. Wir infor­mieren Sie über den poli­tischen, recht­lichen und tech­nischen Stand der Dinge.
Von Arne Düsterhöft / Ulrike Michel

Onlinedurchsuchung: Sicherheits- oder Überwachungsinstrument? Onlinedurchsuchung: Sicherheits- oder Überwachungsinstrument?
Fotos: Tomasz Trojanowski - fotolia.com/teltarif.de, Montage: teltarif.de
Die Online-Durch­suchung ermög­licht Ermittlungs­behörden den heim­lichen Zugriff auf PCs. Ohne zuvor physi­schen Zugriff auf das Gerät haben zu müssen, ist es dem Bundes­kriminalamt (BKA) und den Nachrichten­diensten möglich, entweder Daten des PC-Nutzers auszu­spähen oder die computer­gestützte Kommuni­kation abzu­fangen, noch bevor eine Ver­schlüsselung statt­finden kann. Diese digi­tale Durch­suchung wird vor allem mithilfe von Bundes­trojanern durch­geführt. Sobald ein Computer, der mit dieser Spyware infi­ziert wurde, eine Internet­verbindung aufbaut, werden im Hinter­grund die entspre­chenden Daten an die Behörde versendet.

Über­wachung von Messenger-Diensten wie WhatsApp

Mit der Billi­gung von Bundestag und Bundesrat wurde Mitte 2017 ein umfas­sendes Überwachungs­gesetz durch die Hintertür einge­führt ("Gesetz zur effek­tiveren und praxis­tauglicheren Ausge­stal­tung des Straf­verfah­rens"), das sowohl die Online-Durch­suchung als auch den Einsatz von Bundes­trojanern gestattet. Dabei rückt die Kommu­nika­tion über Messenger-Dienste wie WhatsApp in den Fokus: Auch auf Smart­phones dürfen zukünftig Staats­trojaner instal­liert sowie Daten vor oder nach der Entschlüs­selung abge­fangen werden. Möglich wird der Eingriff "mit tech­nischen Mitteln in von dem Betrof­fenen genutzte infor­mati­onstech­nische Systeme", wie es im Gesetz heißt, nicht mehr nur bei Terror­bekämp­fung, sondern unter anderem auch bei Straf­taten wie Mord, Totschlag, Steuer­hinterziehung, Geld­fälschung und sogar miss­bräuch­licher Asyl­antrag­stellung (der Straf­taten-Katalog ist unter § 100a, Absatz 2 StPO aufge­führt).

Die recht­liche Rahmen­setzung: Wer darf ausge­späht werden?

Onlinedurchsuchung: Sicherheits- oder Überwachungsinstrument? Onlinedurchsuchung: Sicherheits- oder Überwachungsinstrument?
Fotos: Tomasz Trojanowski - fotolia.com/teltarif.de, Montage: teltarif.de
Bereits 2006 wurde die Entwick­lung des Programms für die Online-Durch­suchung zur Stär­kung der Inneren Sicher­heit (PSIS) vom Bundestag beschlossen. Um das aus diesem Beschluss hervor­gehende Werk­zeug, den Bundes­trojaner, spannt sich seitdem eine bis heute andau­ernde, heftig geführte Debatte über dessen tech­nische Reali­sierung und recht­liche Rahmen­setzung. Eine Verfas­sungs­beschwerde im Jahr 2008 führte zu einer Entschei­dung des Bundes­verfas­sungs­gerichts (BVerfG), die der Online-Durch­suchung enge recht­liche Grenzen setzte. So hieß es in dieser Entschei­dung: "Ange­sichts der Schwere des Eingriffs ist die heim­liche Infil­tration eines informations­technischen Systems, mittels derer die Nutzung des Systems über­wacht und seine Speicher­medien ausge­lesen werden können, verfassungs­rechtlich nur zulässig, wenn tatsäch­liche Anhalts­punkte einer konkreten Gefahr für ein über­ragend wich­tiges Rechtsgut bestehen." Für einen darüber hinaus­gehenden Einsatz mangele es an Vorkeh­rungen zum Schutz des "absolut geschützten Kern­bereichs privater Lebens­gestaltung" sowie an der Verhältnis­mäßigkeit der Mittel.

Entschei­dungen des Bundes­verfas­sungs­gerichts
(BVerfG) und die gesetz­liche Grund­lage

Daraufhin wurde die Online-Durch­suchung in der Novel­lierung des BKA-Gesetzes 2008 neu gere­gelt und erhielt seine bis heute geltende recht­liche Grund­lage. Gegen die darin beschlos­senen Richt­linien wurde jedoch wiederum Verfassungs­beschwerde einge­reicht mit der Begrün­dung, dass die Entschei­dung des BVerfG im Sinne der Sicherheits­organe zu sehr aufge­weicht wurde. Während das Urteil des BVerfG die Anwen­dung von Bundes­trojanern nur bei konkreter Gefahr für Leib und Leben oder über­ragend wich­tiger Rechts­güter gutheißt, erlaubt das BKA-Gesetz ("Gesetz zur Abwehr von Gefahren des inter­natio­nalen Terro­rismus durch das Bundes­kriminalamt") den Einsatz bereits bei schwerer Körper­verletzung. Darüber hinaus sieht das Gesetz in Bezug auf die Online-Durch­suchung eine verstärkte Zusam­menar­beit der Behörden vor, wodurch neben dem BKA auch das Bundes­zollamt sowie die Nachrichten­dienste BND, MAD und Verfassungs­schutz Zugriff auf die Bundes­trojaner erhalten. Diese Zusammen­arbeit steht insbe­sondere deshalb in der Kritik, weil das Trennungs­gebot zwischen Nachrichten­diensten und Polizei aufge­weicht wird.

Mit einem Urteil hat das Bundes­verfassungs­gericht (BVerfG) im Jahr 2016 ent­schie­den, dass die Befug­nisse des BKAs teil­weise verfassungs­widrig sind. Das BKA-Gesetz musste bis Juni 2018 nach­gebessert werden, die Erfül­lung dieses vom BVerfG aufer­legten Nach­besse­rungs­gebots erfolgte mit der letzten Novelle des BKA-Gesetzes, die am 25. Mai 2018 in Kraft trat.

Tech­nische Möglich­keiten: Das können die Bundestro­janer

Dem Chaos Computer Club (CCC) wurde 2011 die damals aktu­elle Version des Bundes­trojaners zuge­spielt. Nach der Analyse des Mate­rials teilte der CCC mit, dass dem Bundes­trojaner erheb­liche Risiken inne­wohnen. Es wurde beispiels­weise heraus­gefunden, dass dem Programm einer­seits tech­nisch mehr möglich war, als recht­lich erlaubt ist, und ande­rerseits, dass das Programm betrof­fene Computer anfäl­liger macht für unbe­rech­tigte Zugriffe Dritter über das Internet. Infolge der Kritik hat das Innen­minis­terium in Eigen­regie den Bundes­trojaner voll­kommen neu geschrieben und in zwei sepa­rate Programme aufge­teilt.

Digi­tale Haus­durch­suchung

Onlinedurchsuchung: Sicherheits- oder Überwachungsinstrument? Onlinedurchsuchung: Sicherheits- oder Überwachungsinstrument?
Bild: dpa
Die eine Version ist weiterhin in der Lage, Daten aus dem betrof­fenen Computer auszu­lesen und ist somit grob mit einer umfas­senden, digi­talen Haus­durch­suchung zu verglei­chen. Während einer einma­ligen Anwen­dung oder über einen zuvor rich­terlich defi­nierten Zeit­raum hinweg kann die Nutzung des Compu­ters von den Behörden mit­protokolliert werden. Hierbei geht es neben der Über­tragung von Daten auch um das Abgreifen von Pass­wörtern oder einge­gebenen Texten, beispiels­weise bei der Bear­beitung von verschlüs­selten Dateien via Keylogger. Die betrof­fenen Daten und Doku­mente werden auf dem Ziel­rechner bis zum Aufbau einer Internet­verbindung zwischen­gespeichert und dann verschlüs­selt an die Sicher­heits­organe über­mittelt und anschlie­ßend auf dem über­wachten PC gelöscht.

Modernes Wiretap­ping

Die zweite Version des Troja­ners ist ausge­legt auf die Über­wachung der über den Computer geführten Kommu­nika­tion und erin­nert somit an das altmo­dische "wiretap­ping" (abhören) bei Telefon­über­wachungen. Per Quellen-Telekommu­nika­tions­überwachung (Quellen-TKÜ) kann somit beispiels­weise auf die E-Mail-Kom­muni­kation oder VoIP-Tele­fonate (zum Beispiel Skype-Gespräche) zuge­griffen werden. Hierbei schützt auch keine verschlüs­selte Über­tragung der Kommu­nika­tion, da die Inhalte so abge­fangen werden, wie sie auf dem Bild­schirm des Anwen­ders abge­bildet sind. Neben der 2015 aber­mals beschlos­senen Vorrats­datenspeicherung ist diese Version des Bundes­trojaners das wich­tigste Werk­zeug der Ermittlungs­behörden und Nachrichten­dienste, um digi­taler Kommu­nika­tion habhaft zu werden.

Konkrete Anwen­dung des Troja­ners

Während der Trojaner zur Online-Durch­suchung gespei­cherter Daten, laut Aussage des Innen­ministeriums, seit 2014 zum Einsatz bereit­steht, findet das Programm zur Quellen-TKÜ seit Anfang 2016 Anwen­dung. Wie genau der Trojaner auf dem Rechner plat­ziert wird, bleibt selbst­verständlich dem Wissen der Behörden vorbe­halten. Schwach­stellen im Betriebs­system oder in bestimmten Anwen­dungen sollen nicht genutzt werden und auch die Über­tragung im Zuge von Updates mit Unter­stüt­zung der jewei­ligen Soft­ware-Entwick­lungs-Firma soll unan­getastet bleiben. Für den Fall, dass eine der Versionen des Troja­ners entdeckt und die Über­tragung der Daten unter­bunden wird, werde er vom Rechner entfernt. Eine Rück­verfolgung zu den Behörden sei im Nach­hinein prin­zipiell "nahezu unmög­lich" und einer Analyse des Schad­programms werde mittels "krypto­graphischer Verfahren" vorge­baut. Die jewei­lige Durch­suchung sei in jedem Fall "lückenlos doku­mentiert", um sie nach­voll­ziehbar und damit gerichts­fest zu machen. Durch digi­tale Signa­turen könne der Wahrheits­gehalt der Daten nach­voll­zogen und zudem der Code des Troja­ners dem Gericht zugäng­lich gemacht werden. Mitt­lerweile ist der Bundestro­janer für die Anwen­dung auf Smart­phones und Tablets erwei­tert worden.

Fazit

Unab­hängig davon, ob der Wahrheits­gehalt der gewon­nenen Daten zwei­fels­frei nach­gewiesen werden kann, wird das Thema der Online-Über­wachung auch in den kommenden Jahren Anlass für hitzige Diskus­sionen bleiben: in ideo­logisch-recht­licher Hinsicht stellt sich zum Beispiel die Frage, inwie­weit die Staats­organe Einblick in die Privat­sphäre der Bürger erhalten dürfen, oder in Hinblick auf tech­nisch-prak­tische Aspekte, wie sich eine Über­wachung digi­taler Daten und Daten­ströme sicher reali­sieren lässt.