Online-Durchsuchung: Sicherheits- oder Überwachungsinstrument?
Die Online-Durchsuchung ermöglicht Staatsorganen den heimlichen Zugriff auf PCs. Ohne zuvor physischen Zugriff auf das
Gerät haben zu müssen, ist es dem Bundeskriminalamt (BKA) und den Nachrichtendiensten möglich entweder Daten des PC-Nutzers
auszuspähen oder die computergestützte Kommunikation abzufangen noch bevor eine Verschlüsselung stattfinden kann. Diese
digitale Durchsuchung wird vor allem mit den sogenannten Bundestrojanern durchgeführt.
Onlinedurchsuchung: Sicherheits- oder Überwachungsinstrument?
Sobald ein Computer, der mit dieser
Spyware infiziert wurde eine
Internetverbindung aufbaut, werden im Hintergrund die entsprechenden Daten an die Behörde versendet.
Rechtliche Rahmensetzung: Wer darf ausgespäht werden?
Bereits 2006 wurde die Entwicklung eines Programms für die Online-Durchsuchung zur Stärkung der Inneren Sicherheit vom Bundestag beschlossen. Um das aus diesem Beschluss hervorgehende Werkzeug, dem Bundestrojaner, spannt sich seitdem eine bis heute andauernde heftig geführte Debatte über dessen technische Realisierung und rechtliche Rahmensetzung. So hat eine Verfassungsbeschwerde im Jahr 2008 zu einer Entscheidung des Bundesverfassungsgerichts (BVerfG) geführt, welche der Online-Durchsuchung enge rechtliche Grenzen setzt. So heißt es in dieser Entscheidung: "Angesichts der Schwere des Eingriffs ist die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen." Für einen Einsatz darüber hinaus mangelt es an Vorkehrungen zum Schutz des "absolut geschützten Kernbereichs privater Lebensgestaltung" sowie an der Verhältnismäßigkeit der Mittel.
Daraufhin wurde die Online-Durchsuchung in der Novellierung des BKA-Gesetzes 2008 neu geregelt und erhielt seine bis heute geltende rechtliche Grundlage. Gegen die darin beschlossenen Richtlinien wurde jedoch wiederum Verfassungsbeschwerde eingereicht mit der Begründung, dass die Entscheidung des BVerfG im Sinne der Sicherheitsorgane zu sehr aufgeweicht wurde. Während das Urteil des BVerfG die Anwendung von Bundestrojanern nur bei konkreter Gefahr von Leib und Leben oder überragend wichtiger Rechtsgüter gutheißt, erlaubt das BKA-Gesetz ("Gesetzes zur Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalamt") den Einsatz bereits bei schwerer Körperverletzung. Darüber hinaus sieht das Gesetz in Bezug auf die Online-Durchsuchung eine verstärkte Zusammenarbeit der Behörden vor, wodurch neben dem BKA auch das Bundeszollamt sowie die Nachrichtendienste des Verfassungsschutzes, des BND und des MAD Zugriff auf die Bundestrojaner erhalten. Diese Zusammenarbeit steht dahingehend in der Kritik, dass somit das Trennungsgebot zwischen Nachrichtendiensten und Polizei aufgeweicht wird.
Ein Urteil des BVerfG über die Beschwerde wird im Laufe des Jahres 2016 erwartet und kann ein weiteres Mal maßgeblich über die Rechtsgültigkeit von Online-Durchsuchungen entscheiden.
Technische Möglichkeiten: Das können die Bundestrojaner
Bild: dpa
2011 wurde dem Chaos Computer Club (CCC) die damals aktuelle Version des Bundestrojaners zugespielt. Nach der Analyse des Materials hat der CCC mitgeteilt, dass dem Bundestrojaner erhebliche Risiken innewohnen. So hat er bspw. herausgefunden, dass dem Programm einerseits technisch mehr möglich war als rechtlich erlaubt ist. Andererseits machte das Programm den betroffenen Computer anfälliger für unberechtigte Zugriffe Dritter über das Internet. Auf die folgende Kritik hat das Innenministerium in Eigenregie den Bundestrojaner vollkommen neu geschrieben und in zwei separate Programme aufgeteilt. Die eine Version ist weiterhin in der Lage Daten aus dem betroffenen Computer auszulesen und ist somit grob mit einer umfassenden, digitalen Hausdurchsuchung zu vergleichen. Während einer einmaligen Anwendung oder über einen zuvor richterlich definierten Zeitraum kann die Nutzung des Computers daraufhin von den Behörden mitprotokolliert werden. Hierbei geht es neben der Übertragung von Daten auch um das Abgreifen von Passwörtern oder eingegebenen Texten bei der Bearbeitung von zum Beispiel verschlüsselten Dateien via Keylogger. Die betroffenen Daten und Dokumente werden auf dem Zielrechner bis zum Aufbau einer Verbindung zum Internet zwischengespeichert und dann verschlüsselt zu den Sicherheitsorganen übertragen und anschließend auf dem überwachten PC gelöscht.
Die zweite Version des Trojaners ist ausgelegt für die Überwachung der über den Computer geführten Kommunikation und erinnert somit an das altmodische "wire-tapping" bei Telefonüberwachungen. Per Quellen-Telekommunkiationsüberwachung (Quellen-TKÜ) kann somit bspw. auf die E-Mailkommunikation oder VoIP-Telefonate (z.B. Skype-Gespräche) zugegriffen werden. Hierbei schützt auch keine verschlüsselte Übertragung der Kommunikation, da die Inhalte so abgefangen werden, wie sie auf dem Bildschirm des Anwenders abgebildet werden. Neben der 2015 abermals beschlossenen Vorratsdatenspeicherung ist diese Version des Bundestrojaners das wichtigste Werkzeug der Ermittlungsbehörden und Nachrichtendienste um digitaler Kommunikation habhaft zu werden.
Während der Trojaner zur Online-Durchsuchung gespeicherter Daten, laut Aussage des Innenministeriums, seit 2014 zum Einsatz bereit steht, findet das Programm zur Quellen-TKÜ seit Anfang 2016 Anwendung. Wie genau der Trojaner auf dem Rechner platziert wird, bleibt selbstverständlich dem Wissen der Behörden vorbehalten, jedoch sollen Schwachstellen im Betriebssystem oder in bestimmten Anwendungen sowie die Übertragung im Zuge von Updates mit Unterstützung der jeweiligen Software-Entwicklungs-Firma nicht genutzt werden. Sollte eine der Versionen des Trojaners entdeckt und die Übertragung der Daten unterbunden werden, werde er vom Rechner entfernt. Eine Rückverfolgung zu den Behörden sei im Nachhinein prinzipiell "nahezu unmöglich" und einer Analyse des Schadprogramms werde mittels "kryptographischer Verfahren" vorgebaut. Die jeweilige Durchsuchung sei in jedem Fall "lückenlos dokumentiert", um sie nachvollziehbar und damit gerichtsfest zu machen. Durch digitale Signaturen könne der Wahrheitsgehalt der Daten nachvollzogen werden und zudem der Code des Trojaners dem Gericht zugänglich gemacht werden. Doch auch wenn der Wahrheitsgehalt der Daten zweifelsfrei nachgewiesen werden kann, wird das Thema der Online-Überwachung auch in den kommenden Jahren Anlass für hitzige Diskussionen bleiben, seien sie ideologisch-rechtlich wie weit die Staatsorgane in die Privatsphäre der Bürger Einblick erhalten dürfen oder technisch-praktisch wie sich eine Überwachung digitaler Daten und Datenströme sicher realisieren lässt.
Meldungen zu Online-Durchsuchung
-
22.02.16BKA-Software
Nach einer Verzögerung von mehreren Monaten ist nun der Bundestrojaner für Online-Durchsuchungen einsatzbereit. Die Kooperation des BKA mit einer umstrittenen Softwarefirma steht dabei in der Kritik. zur Meldung -
25.04.15Bundestrojaner
Der Bundestrojaner ist bald einsatzbereit, sagt BKA-Präsident Münch dem Spiegel. Dann können Privatrechner online durchsucht werden. Erlaubt sein soll das aber nur nach richterlicher Genehmigung und in "engen Grenzen". zur Meldung -
15.08.14Überwachung
Aus einer Antwort auf eine entsprechende Anfrage des Bundestagsabgeordneten Andrej Hunko geht hervor, dass dem BKA inzwischen eine einsatzbereite Software zur heimlichen Online-Durchsuchung zur Verfügung steht. zur Meldung -
03.05.13Spähsoftware
Wie bereits im Januar angekündigt, hat das Bundesinnenministerium die Bundestrojaner-Software FinFisher gekauft, die üblicherweise von autoritären Staaten verwendet wird. Den Steuerzahler kostet die Übergangslösung 147 000 Euro. zur Meldung
