Expertenanhörung zur Ausweitung des Staatstrojaners: Wird der Start­schuss fallen?

von Diana Nadeborn

01.06.2017

2/2: Angst im Dunkeln

Der ehemalige FBI-Direktor Comey formulierte schon 2014 die These des "going dark". Die deutschen Strafverfolger teilten am Mittwoch die Auffassung, mittlerweile (zu) blind zu sein. Beispielsweise würden im Bereich der organisierten Kriminalität Fälle nur oberflächlich aufgedeckt, da die Behörden wegen verschlüsselter Kommunikation und technisch begrenzter Möglichkeiten nicht weiter kämen. Wenn die Handlanger ihre Bosse in solchen Fällen nicht verrieten, blieben diese ohne die geforderten neuen Ermittlungsmaßnahmen unerkannt.

Peter Henzler, Vizepräsident des Bundeskriminalamts (BKA), führte dann ausgerechnet ein Strafverfahren wegen Mitgliedschaft in einer terroristischen Vereinigung ins Feld, bei dem nächste Woche die Hauptverhandlung vor dem Hanseatischen Oberlandesgericht beginnt. Das von ihm gewählte Beispiel zeigt jedoch gerade, dass die Staatsanwaltschaft offenbar auch ohne Auswertung verschlüsselter Kommunikation genügend Beweismittel für eine Anklage zusammentragen konnte.

So lassen sich etwa Verkehrs- und Standortdaten nicht verschlüsseln und können dank Funkzellenabfrage und Vorratsdatenspeicherung abgerufen werden. BKA-Vertreter Henzler erklärte vor dem Rechtsausschuss auch selbst, dass angeschaltete Rechner, deren Festplatte also noch nicht verschlüsselt ist, durch Sondereinsatzkommandos als Beweismittel sichergestellt würden. Wozu braucht es dann einen Trojaner-Einsatz? Ein Widerspruch.

IT-Schwachstellen für alle

Der diskutierte Änderungsantrag sieht keine Befugnis zum heimlichen Betreten von Wohnungen vor. Um die Software zu installieren, müssten Ermittler der Zielperson ihre Geräte unter einem Vorwand vorrübergehend abnehmen. Wer eins und eins zusammenzählen kann, nutzt diese Geräte anschließend nicht mehr für kriminelle Zwecke. Den Ermittlern bleibt daher nur, die Überwachungssoftware unbemerkt aus der Ferne aufzuspielen.

Das tun sie in der Regel auch, indem sie Sicherheitslücken finden und ausnutzen. Dieses kostbare Wissen behalten die Ermittler sinnvoller Weise auch für sich, anstatt sie den Herstellern wie Microsoft zu melden. Der Haken: Die Schwachstellen bleiben dadurch bestehen und können wiederum auch von Kriminellen entdeckt und genutzt werden, so geschehen jüngst im Fall des weltweit aufgetauchten "Wanna Cry"-Virus. Die Schadsoftware soll zur Verbreitung eine Sicherheitslücke genutzt haben, die dem amerikanischen Auslandsgeheimdienst NSA schon lange bekannt gewesen sein soll.

Sollte die Quellen-TKÜ so häufig eingesetzt werden wie das klassische Abhören des Telefonanschlusses, käme sie nur in 0,1 Prozent aller Ermittlungsverfahren zum Einsatz. Die offen gelassenen IT-Schwachstellen würden dagegen 100 Prozent aller genutzten IT-Systeme betreffen und nicht zwischen Straftätern und sonstigen Bürgern unterscheiden.

Vertrauen darauf, dass der Einsatz des Staatstrojaners nicht ausufert

Ein weiterer Aspekt am Mittwoch: Für den Einsatz des Staatstrojaners gibt es nur rechtliche, aber keine technischen Grenzen. Ob die Ermittler die vorgesehenen rechtlichen Grenzen einhalten, ist damit eine reine Vertrauensfrage. Oder wie es die CDU-Abgeordnete Elisabeth Winkelmeier-Becker, eine von insgesamt nur sechs anwesenden Ausschussmitgliedern, formulierte: "Wir würden Ihnen, den Ermittlungsbehörden, einen Vertrauensvorschuss mitgeben."

Neumann forderte daher: "Für alle Betroffenen und auch für die zuständigen Datenschutzbehörden muss eine Einsichtnahme in den Quellcode zur Prüfung der rechtmäßigen Ausgestaltung der Spionagesoftware gesetzlich festgeschrieben werden." Auf diese Weise ließen sich verdeckte Funktionalitäten zuverlässig ausschließen. Es bestünde anderenfalls die Gefahr, dass eine Quellen-TKÜ, die lediglich die Kommunikation abgreifen soll, in eine volle Online-Durchsuchung aller gespeicherten Daten abgleitet.

Einen Kompromiss schlug Buermeyer deshalb vor: Für den Einsatz des Trojaners sollen Sicherheitslücken nur dann ausgenutzt werden dürfen, wenn die Sicherheitslücken den jeweiligen Herstellern bereits bekannt sind. Wenn die Ermittlungsbehörden IT-Schwachstellen nicht für sich behielten, sondern an den Hersteller meldeten, könne dieser ein Update für alle Nutzer bereitstellen, das die Lücke schließt, so Buermeyer. Damit sei ein Ausgleich geschaffen zwischen dem Interesse der Ermittlerbehörden an einem ausgeweiteten Trojaner-Einsatz und dem Interesse aller Nutzer, sich vor der Spionage schützen zu können.

Bekanntermaßen warten bei weitem nicht alle Menschen ihre Systeme regelmäßig. Wer so nachlässig ist, ist dann selbst dafür verantwortlich, wenn seine Systeme angreifbar sind. Solche nachlässigen Straftäter könnten dann mithilfe des Staatstrojaners ermittelt werden. Der Preis, den die Allgemeinheit dann zahlt, wäre  dann nicht mehr so hoch: Nur das perfekte Verbrechen einschließlich regelmäßiger Updates aller IT-Systeme kann nicht aufgeklärt werden. Alle Nicht-Verbrecher haben dabei weiterhin die Chance, ihre IT-Systeme umfassend zu schützen.

Die Autorin Diana Nadeborn ist Strafverteidigerin in Berlin und betreibt den Blog www.it-strafrecht.org.

Zitiervorschlag

Diana Nadeborn, Expertenanhörung zur Ausweitung des Staatstrojaners: Wird der Startschuss fallen?. In: Legal Tribune Online, 01.06.2017, https://www.lto.de/persistent/a_id/23091/ (abgerufen am: 20.11.2017)

Infos zum Zitiervorschlag
Kommentare
  • 01.06.2017 16:16, Durchblick

    Hier wird ein Weltuntergangsszenario beschrieben, das letzten Endes wo anders liegt: Der kriminalpolizeiliche Aufwand, eine Sicherheitslücke zu entdecken, ist enorm. Ebenso enorm ist der Aufwand der Polizei, ein Ermittlungsverfahren erfolgreich zu Ende zu führen, wenn sie keine Quellen-TKÜ schalten darf. Die Ressource Mensch bei Polizei und Staatsanwaltschaft ist eben endlich. Die Misere entsteht aber gerade dadurch, dass die Diensteanbieter ihren Quellcode nicht offen legen. Schon Kanther hatte die Offenlegung einst gefordert. Dass sich Straftäter unter Ausnützung der Diensteanbieter einen rechtsfreien Raum schaffen und darüber kommunizieren, ist eines Rechtsstaates nicht würdig! Es gibt noch andere Grundrechte außer Datenschutz!

    Auf diesen Kommentar antworten
  • 06.06.2017 09:00, Ach so

    Tolle Zwickmühle: Schütze ich den Bürger indem ich eine entdeckte Sicherheitslücke des Betriebssystems melde oder nutze ich diese aus um ihn ggf. bespitzeln zu können.
    Außerdem wurde der Staatstrojaner immer als die "ultima Ratio" verkauft - ah stimmt - deshalb soll er jetzt Einzug in die alltägliche Polizeiarbeit halten.
    Übrigens: haben Sie gewusst, dass der Trojaner von Dritten gekapert und umprogrammiert werden kann ? Kann man auf der Homepage des Chaos Computer Clubs (CCC) nachlesen. D.h. der Staat erleichtert ungewollt kriminellen Elementen den Zugang zu privaten Rechnern.
    Es gibt noch andere Grundrechte ZUSÄTZLICH zum Datenschutz.

    Auf diesen Kommentar antworten
  • 17.06.2017 14:12, Silentrunner

    In Zeiten von Athena, erfolgreichem IP und GSM Spoofing muss ebenfalls sichergestellt sein, dass man tatsächlich auf den "echten" Täter überwacht.

    Auf diesen Kommentar antworten
Neuer Kommentar
TopJOBS
Rechts­an­wäl­tin / Rechts­an­walt im Bau- und Pla­nungs­recht / Um­welt­recht

Dolde Mayen & Partner Rechtsanwälte Partnerschaftsgesellschaft mbB, Stutt­gart

Rechts­an­wäl­te (m/w) für den Fach­be­reich Ar­beits­recht

Linklaters, Düs­sel­dorf und 1 wei­te­re

Voll­ju­ris­ten/in, ger­ne als Syn­di­kus­rechts­an­walt/an­wäl­tin 2017/0493

Helmholtz-Zentrum München, Mün­chen

Rechts­an­wäl­tin­nen/ Rechts­an­wäl­te - Bank- und Fi­nanz­recht - Trans­ak­tio­nen

kallan Rechtsanwaltsgesellschaft mbH, Frank­furt/M. und 1 wei­te­re

Rechts­an­walt (m/w) für den Be­reich Kar­tell­recht

Oppenländer Rechtsanwälte, Stutt­gart

Rechts­an­walt (m/w) für den Be­reich Com­mer­cial (Da­ten­schutz/IT)

Bird & Bird LLP, Düs­sel­dorf und 2 wei­te­re

RECHTS­AN­WALT (M/W) im Be­reich BANK- UND KA­PI­TAL­MARKT­RECHT

GSK Stockmann, Frank­furt/M.

Rechts­an­wäl­tin/Rechts­an­walt im Ar­beits­recht

MEYER-KÖRING, Bonn

Rechts­an­wäl­te (m/w) Ban­king & Fi­nan­ce, ins­be­son­de­re Un­ter­neh­mens­fi­nan­zie­rung und Fi­nan­zie­rung von Un­ter­neh­mens­über­nah­men

Clifford Chance, Frank­furt/M. und 1 wei­te­re

Neueste Stellenangebote
Spe­zia­list (m/w) Da­ten­schutz
Steu­er­fach­wirt/Steu­er­fach­an­ge­s­tell­ter (m/w)
Ma­na­ger In­ter­na­tio­nal Tax (m/w)
(Ju­nior) Ma­na­ger Tech­no­lo­gy Al­li­an­ces (m/w)
Sour­cing Ma­na­ger (m/w) Claims Pro­cu­re­ment
Rechts­an­walt / Voll­ju­rist (m/w)
Voll­ju­rist (w/m) Ar­beits­recht (be­fris­tet auf zwei Jah­re)