Expertenanhörung zur Ausweitung des Staatstrojaners: Wird der Start­schuss fallen?

2/2: Angst im Dunkeln

Der ehemalige FBI-Direktor Comey formulierte schon 2014 die These des "going dark". Die deutschen Strafverfolger teilten am Mittwoch die Auffassung, mittlerweile (zu) blind zu sein. Beispielsweise würden im Bereich der organisierten Kriminalität Fälle nur oberflächlich aufgedeckt, da die Behörden wegen verschlüsselter Kommunikation und technisch begrenzter Möglichkeiten nicht weiter kämen. Wenn die Handlanger ihre Bosse in solchen Fällen nicht verrieten, blieben diese ohne die geforderten neuen Ermittlungsmaßnahmen unerkannt.

Peter Henzler, Vizepräsident des Bundeskriminalamts (BKA), führte dann ausgerechnet ein Strafverfahren wegen Mitgliedschaft in einer terroristischen Vereinigung ins Feld, bei dem nächste Woche die Hauptverhandlung vor dem Hanseatischen Oberlandesgericht beginnt. Das von ihm gewählte Beispiel zeigt jedoch gerade, dass die Staatsanwaltschaft offenbar auch ohne Auswertung verschlüsselter Kommunikation genügend Beweismittel für eine Anklage zusammentragen konnte.

So lassen sich etwa Verkehrs- und Standortdaten nicht verschlüsseln und können dank Funkzellenabfrage und Vorratsdatenspeicherung abgerufen werden. BKA-Vertreter Henzler erklärte vor dem Rechtsausschuss auch selbst, dass angeschaltete Rechner, deren Festplatte also noch nicht verschlüsselt ist, durch Sondereinsatzkommandos als Beweismittel sichergestellt würden. Wozu braucht es dann einen Trojaner-Einsatz? Ein Widerspruch.

IT-Schwachstellen für alle

Der diskutierte Änderungsantrag sieht keine Befugnis zum heimlichen Betreten von Wohnungen vor. Um die Software zu installieren, müssten Ermittler der Zielperson ihre Geräte unter einem Vorwand vorrübergehend abnehmen. Wer eins und eins zusammenzählen kann, nutzt diese Geräte anschließend nicht mehr für kriminelle Zwecke. Den Ermittlern bleibt daher nur, die Überwachungssoftware unbemerkt aus der Ferne aufzuspielen.

Das tun sie in der Regel auch, indem sie Sicherheitslücken finden und ausnutzen. Dieses kostbare Wissen behalten die Ermittler sinnvoller Weise auch für sich, anstatt sie den Herstellern wie Microsoft zu melden. Der Haken: Die Schwachstellen bleiben dadurch bestehen und können wiederum auch von Kriminellen entdeckt und genutzt werden, so geschehen jüngst im Fall des weltweit aufgetauchten "Wanna Cry"-Virus. Die Schadsoftware soll zur Verbreitung eine Sicherheitslücke genutzt haben, die dem amerikanischen Auslandsgeheimdienst NSA schon lange bekannt gewesen sein soll.

Sollte die Quellen-TKÜ so häufig eingesetzt werden wie das klassische Abhören des Telefonanschlusses, käme sie nur in 0,1 Prozent aller Ermittlungsverfahren zum Einsatz. Die offen gelassenen IT-Schwachstellen würden dagegen 100 Prozent aller genutzten IT-Systeme betreffen und nicht zwischen Straftätern und sonstigen Bürgern unterscheiden.

Vertrauen darauf, dass der Einsatz des Staatstrojaners nicht ausufert

Ein weiterer Aspekt am Mittwoch: Für den Einsatz des Staatstrojaners gibt es nur rechtliche, aber keine technischen Grenzen. Ob die Ermittler die vorgesehenen rechtlichen Grenzen einhalten, ist damit eine reine Vertrauensfrage. Oder wie es die CDU-Abgeordnete Elisabeth Winkelmeier-Becker, eine von insgesamt nur sechs anwesenden Ausschussmitgliedern, formulierte: "Wir würden Ihnen, den Ermittlungsbehörden, einen Vertrauensvorschuss mitgeben."

Neumann forderte daher: "Für alle Betroffenen und auch für die zuständigen Datenschutzbehörden muss eine Einsichtnahme in den Quellcode zur Prüfung der rechtmäßigen Ausgestaltung der Spionagesoftware gesetzlich festgeschrieben werden." Auf diese Weise ließen sich verdeckte Funktionalitäten zuverlässig ausschließen. Es bestünde anderenfalls die Gefahr, dass eine Quellen-TKÜ, die lediglich die Kommunikation abgreifen soll, in eine volle Online-Durchsuchung aller gespeicherten Daten abgleitet.

Einen Kompromiss schlug Buermeyer deshalb vor: Für den Einsatz des Trojaners sollen Sicherheitslücken nur dann ausgenutzt werden dürfen, wenn die Sicherheitslücken den jeweiligen Herstellern bereits bekannt sind. Wenn die Ermittlungsbehörden IT-Schwachstellen nicht für sich behielten, sondern an den Hersteller meldeten, könne dieser ein Update für alle Nutzer bereitstellen, das die Lücke schließt, so Buermeyer. Damit sei ein Ausgleich geschaffen zwischen dem Interesse der Ermittlerbehörden an einem ausgeweiteten Trojaner-Einsatz und dem Interesse aller Nutzer, sich vor der Spionage schützen zu können.

Bekanntermaßen warten bei weitem nicht alle Menschen ihre Systeme regelmäßig. Wer so nachlässig ist, ist dann selbst dafür verantwortlich, wenn seine Systeme angreifbar sind. Solche nachlässigen Straftäter könnten dann mithilfe des Staatstrojaners ermittelt werden. Der Preis, den die Allgemeinheit dann zahlt, wäre  dann nicht mehr so hoch: Nur das perfekte Verbrechen einschließlich regelmäßiger Updates aller IT-Systeme kann nicht aufgeklärt werden. Alle Nicht-Verbrecher haben dabei weiterhin die Chance, ihre IT-Systeme umfassend zu schützen.

Die Autorin Diana Nadeborn ist Strafverteidigerin in Berlin und betreibt den Blog www.it-strafrecht.org.