Online-Durchsuchung: Sicherheits- oder Überwachungsinstrument?
Onlinedurchsuchung: Sicherheits- oder Überwachungsinstrument?
Fotos: Tomasz Trojanowski - fotolia.com/teltarif.de, Montage: teltarif.de
Die Online-Durchsuchung ermöglicht Ermittlungsbehörden den heimlichen Zugriff auf PCs. Ohne zuvor physischen
Zugriff auf das Gerät haben zu müssen, ist es dem Bundeskriminalamt (BKA) und den Nachrichtendiensten
möglich, entweder Daten des PC-Nutzers auszuspähen oder die computergestützte Kommunikation abzufangen,
noch bevor eine Verschlüsselung stattfinden kann. Diese digitale Durchsuchung wird vor allem mithilfe von
Bundestrojanern durchgeführt. Sobald ein Computer, der mit dieser
Spyware infiziert wurde, eine Internetverbindung aufbaut,
werden im Hintergrund die entsprechenden Daten an die Behörde versendet.
Überwachung von Messenger-Diensten wie WhatsApp
Mit der Billigung von Bundestag und Bundesrat wurde Mitte 2017 ein umfassendes Überwachungsgesetz durch die Hintertür eingeführt ("Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens"), das sowohl die Online-Durchsuchung als auch den Einsatz von Bundestrojanern gestattet. Dabei rückt die Kommunikation über Messenger-Dienste wie WhatsApp in den Fokus: Auch auf Smartphones dürfen zukünftig Staatstrojaner installiert sowie Daten vor oder nach der Entschlüsselung abgefangen werden. Möglich wird der Eingriff "mit technischen Mitteln in von dem Betroffenen genutzte informationstechnische Systeme", wie es im Gesetz heißt, nicht mehr nur bei Terrorbekämpfung, sondern unter anderem auch bei Straftaten wie Mord, Totschlag, Steuerhinterziehung, Geldfälschung und sogar missbräuchlicher Asylantragstellung (der Straftaten-Katalog ist unter § 100a, Absatz 2 StPO aufgeführt).
Die rechtliche Rahmensetzung: Wer darf ausgespäht werden?
Onlinedurchsuchung: Sicherheits- oder Überwachungsinstrument?
Fotos: Tomasz Trojanowski - fotolia.com/teltarif.de, Montage: teltarif.de
Bereits 2006 wurde die Entwicklung des Programms für die Online-Durchsuchung zur Stärkung der Inneren Sicherheit
(PSIS) vom Bundestag beschlossen. Um das aus diesem Beschluss hervorgehende Werkzeug, den Bundestrojaner,
spannt sich seitdem eine bis heute andauernde, heftig geführte Debatte über dessen technische Realisierung und
rechtliche Rahmensetzung. Eine Verfassungsbeschwerde im Jahr 2008 führte zu einer Entscheidung des
Bundesverfassungsgerichts (BVerfG), die der Online-Durchsuchung enge rechtliche Grenzen setzte.
So hieß es in dieser Entscheidung: "Angesichts der Schwere des Eingriffs ist die heimliche Infiltration eines
informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien
ausgelesen werden können, verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten
Gefahr für ein überragend wichtiges Rechtsgut bestehen." Für einen darüber hinausgehenden Einsatz mangele es an
Vorkehrungen zum Schutz des "absolut geschützten Kernbereichs privater Lebensgestaltung" sowie an der
Verhältnismäßigkeit der Mittel.
(BVerfG) und die gesetzliche Grundlage
Daraufhin wurde die Online-Durchsuchung in der Novellierung des BKA-Gesetzes 2008 neu geregelt und erhielt seine bis heute geltende rechtliche Grundlage. Gegen die darin beschlossenen Richtlinien wurde jedoch wiederum Verfassungsbeschwerde eingereicht mit der Begründung, dass die Entscheidung des BVerfG im Sinne der Sicherheitsorgane zu sehr aufgeweicht wurde. Während das Urteil des BVerfG die Anwendung von Bundestrojanern nur bei konkreter Gefahr für Leib und Leben oder überragend wichtiger Rechtsgüter gutheißt, erlaubt das BKA-Gesetz ("Gesetz zur Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalamt") den Einsatz bereits bei schwerer Körperverletzung. Darüber hinaus sieht das Gesetz in Bezug auf die Online-Durchsuchung eine verstärkte Zusammenarbeit der Behörden vor, wodurch neben dem BKA auch das Bundeszollamt sowie die Nachrichtendienste BND, MAD und Verfassungsschutz Zugriff auf die Bundestrojaner erhalten. Diese Zusammenarbeit steht insbesondere deshalb in der Kritik, weil das Trennungsgebot zwischen Nachrichtendiensten und Polizei aufgeweicht wird.
Mit einem Urteil hat das Bundesverfassungsgericht (BVerfG) im Jahr 2016 entschieden, dass die Befugnisse des BKAs teilweise verfassungswidrig sind. Das BKA-Gesetz musste bis Juni 2018 nachgebessert werden, die Erfüllung dieses vom BVerfG auferlegten Nachbesserungsgebots erfolgte mit der letzten Novelle des BKA-Gesetzes, die am 25. Mai 2018 in Kraft trat.
Technische Möglichkeiten: Das können die Bundestrojaner
Dem Chaos Computer Club (CCC) wurde 2011 die damals aktuelle Version des Bundestrojaners zugespielt. Nach der Analyse des Materials teilte der CCC mit, dass dem Bundestrojaner erhebliche Risiken innewohnen. Es wurde beispielsweise herausgefunden, dass dem Programm einerseits technisch mehr möglich war, als rechtlich erlaubt ist, und andererseits, dass das Programm betroffene Computer anfälliger macht für unberechtigte Zugriffe Dritter über das Internet. Infolge der Kritik hat das Innenministerium in Eigenregie den Bundestrojaner vollkommen neu geschrieben und in zwei separate Programme aufgeteilt.
Digitale Hausdurchsuchung
Onlinedurchsuchung: Sicherheits- oder Überwachungsinstrument?
Bild: dpa
Die eine Version ist weiterhin in der Lage, Daten aus dem betroffenen Computer auszulesen und ist somit
grob mit einer umfassenden, digitalen Hausdurchsuchung zu vergleichen. Während einer einmaligen Anwendung
oder über einen zuvor richterlich definierten Zeitraum hinweg kann die Nutzung des Computers von den Behörden
mitprotokolliert werden. Hierbei geht es neben der Übertragung von Daten auch um das Abgreifen von Passwörtern
oder eingegebenen Texten, beispielsweise bei der Bearbeitung von verschlüsselten Dateien via Keylogger.
Die betroffenen Daten und Dokumente werden auf dem Zielrechner bis zum Aufbau einer Internetverbindung
zwischengespeichert und dann verschlüsselt an die Sicherheitsorgane übermittelt und anschließend auf dem
überwachten PC gelöscht.
Modernes Wiretapping
Die zweite Version des Trojaners ist ausgelegt auf die Überwachung der über den Computer geführten Kommunikation und erinnert somit an das altmodische "wiretapping" (abhören) bei Telefonüberwachungen. Per Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) kann somit beispielsweise auf die E-Mail-Kommunikation oder VoIP-Telefonate (zum Beispiel Skype-Gespräche) zugegriffen werden. Hierbei schützt auch keine verschlüsselte Übertragung der Kommunikation, da die Inhalte so abgefangen werden, wie sie auf dem Bildschirm des Anwenders abgebildet sind. Neben der 2015 abermals beschlossenen Vorratsdatenspeicherung ist diese Version des Bundestrojaners das wichtigste Werkzeug der Ermittlungsbehörden und Nachrichtendienste, um digitaler Kommunikation habhaft zu werden.
Konkrete Anwendung des Trojaners
Während der Trojaner zur Online-Durchsuchung gespeicherter Daten, laut Aussage des Innenministeriums, seit 2014 zum Einsatz bereitsteht, findet das Programm zur Quellen-TKÜ seit Anfang 2016 Anwendung. Wie genau der Trojaner auf dem Rechner platziert wird, bleibt selbstverständlich dem Wissen der Behörden vorbehalten. Schwachstellen im Betriebssystem oder in bestimmten Anwendungen sollen nicht genutzt werden und auch die Übertragung im Zuge von Updates mit Unterstützung der jeweiligen Software-Entwicklungs-Firma soll unangetastet bleiben. Für den Fall, dass eine der Versionen des Trojaners entdeckt und die Übertragung der Daten unterbunden wird, werde er vom Rechner entfernt. Eine Rückverfolgung zu den Behörden sei im Nachhinein prinzipiell "nahezu unmöglich" und einer Analyse des Schadprogramms werde mittels "kryptographischer Verfahren" vorgebaut. Die jeweilige Durchsuchung sei in jedem Fall "lückenlos dokumentiert", um sie nachvollziehbar und damit gerichtsfest zu machen. Durch digitale Signaturen könne der Wahrheitsgehalt der Daten nachvollzogen und zudem der Code des Trojaners dem Gericht zugänglich gemacht werden. Mittlerweile ist der Bundestrojaner für die Anwendung auf Smartphones und Tablets erweitert worden.
Fazit
Unabhängig davon, ob der Wahrheitsgehalt der gewonnenen Daten zweifelsfrei nachgewiesen werden kann, wird das Thema der Online-Überwachung auch in den kommenden Jahren Anlass für hitzige Diskussionen bleiben: in ideologisch-rechtlicher Hinsicht stellt sich zum Beispiel die Frage, inwieweit die Staatsorgane Einblick in die Privatsphäre der Bürger erhalten dürfen, oder in Hinblick auf technisch-praktische Aspekte, wie sich eine Überwachung digitaler Daten und Datenströme sicher realisieren lässt.
Meldungen zu Online-Durchsuchung
-
26.04.22VerfassungsschutzGrundsatzurteil weist Verfassungsschutz in die SchrankenVerdeckte Ermittler, Ausspähen von Wohnungen, Online-Durchsuchungen: Am Beispiel Bayerns schreibt Karlsruhe erstmals en détail vor, an was sich der Verfassungsschutz halten muss, wenn er Menschen heimlich überwacht. Das könnte bundesweit Auswirkungen haben. zur Meldung
-
30.08.21Online-DurchsuchungTrotz notwendiger Sicherheitslücken: CDU will StaatstrojanerVon den für den Staatstrojaner notwendigen Schwachstellen in Betriebssystemen profitiert nicht nur der Staat, sondern auch der Hacker. Dieses Risiko nimmt die CDU in Kauf. zur Meldung
-
03.03.21Persönliche DatenBMI fordert Ident-Verfahren auch für WhatsApp und Co.Ein neuer Antrag des Bundesministeriums sieht weitreichende Änderungen des Telekommunikationsgesetzes vor. Diese betreffen unter anderem eine verpflichtende Verifizierung der Personendaten von Messengern. zur Meldung
-
15.05.20Neues GesetzVerfassungsschutz soll Chats mitlesen dürfenKein verdeckter Zugriff auf Computer, dafür aber Mitlesen von Chats: Der Entwurf für das neue Verfassungsschutzgesetz liegt nach zähem Ringen vor. Kritiker erachten manche Befugnis-Erweiterungen als verfassungswidrig. zur Meldung