Bundestrojaner & Co: Die Inva­sion der Schrott­wanzen

Digitale Spähangriffe sind nicht aus der Welt, nur weil die bayerischen Behörden mit ihrem wenig disziplinierten, dafür teuren 08/15-Trojaner aufgeflogen sind. Für die so genannte Quellen-TKÜ gibt es ein umstrittenes Gesetz, zur Abwehr von Gefahren könnte auch das BKA auf einen Trojaner setzen. Einen aktuellen Virenscan liefern Karsten Kinast und Sebastian Schreiber.

Groß ist die Aufregung, seit der Chaos Computer Club (CCC) am vergangenen Wochenende seine Analyse des "Staatstrojaners" veröffentlicht hat. Die Hacker trafen anscheinend ins Mark der Republik, als sie die Qualität staatlicher Schnüffelei bloßstellten. Die Spähwanze wird seitdem verspottet, die Qualität der Programmierung sei schlichtweg katastrophal. Naturgemäß zögern andere Stimmen nicht, die staatliche Ermittlungsarbeit in der digitalen Welt gleich insgesamt zu verdammen. Quellen-Telekommunikationsüberwachung (Quellen-TKÜ), so der Lauschangriff auf PC & Co. in der Justizsprache, ist entgegen dem öffentlichen Aufschrei aber nicht grundsätzlich verboten. Allerdings auch nur unter strengen Voraussetzungen erlaubt, wobei die Meinungen dazu sehr weit auseinander gehen. Fest steht inzwischen, dass egal wie und wo der Staat seine Nase in Systeme seiner Bürger steckt, die Schrotthaftigkeit seiner Trojanischen Pferde den Eingriff immer verfassungswidrig macht.

Dass Daten auf unseren PCs und Smartphones dem Staat nicht heillos ausgeliefert sind, verdanken wir spätestens dem Bundesverfassungsgericht (BVerfG) und seiner Grundsatzentscheidung aus dem Jahre 2008 zur so genannten Online-Durchsuchung (Urt. v. 27.02.2008, Az. 1 BvR 370/07 und 1 BvR 595/07). Das Land NRW hatte sein Verfassungsschutzgesetz erweitert, der heimliche Zugriff auf infomationstechnische Systeme sollte ermöglicht werden, natürlich unter Einsatz technischer Mittel. Verfassungsbeschwerden gegen die Ermächtigung zum damaligen Trojanereinsatz ließen nicht lange auf sich warten und mündeten in das Urteil des BVerfG.

Betroffen von dem Verfassungsschutzgesetz NRW waren potenziell alle informationstechnischen Systeme jenseits des Taschenrechners, soweit sie mindestens die Funktionalität eines Smartphones hatten. Computer und Laptops gehörten also dazu, sie konnten "technisch infiltriert" werden. Die Behörden hätten dafür über vorhandene Sicherheitslücken in das System einsteigen oder einen Trojaner installieren können. Erlaubt war die komplette Überwachung des infizierten Systems – neben der Durchsuchung der Festplatten wäre sogar zulässig gewesen, das gesamte System fernzusteuern.

Geburtsstunde des Computergrundrechts

Die Richter des BVerfG holten tief Luft und deklinierten im Zuge der Entscheidung ein neues Grundrecht. Das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 und Art. 1 Abs. 1 Grundgesetz (GG) galt es vor der heimlichen Staatsinspektion zu schützen, findet doch inzwischen ein guter Teil des Lebens über, in und durch informationstechnische Systeme, sprich Laptop und Smartphone, statt. Heraus kam als besondere Ausprägung des allgemeinen Persönlichkeitsrechts das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, das neue "Computergrundrecht".

Als typisches Grundrecht wird es nicht schrankenlos gewährleistet, sondern kann präventiv oder zur Strafverfolgung eingeschränkt werden. Solche Eingriffe müssen nach dem Grundsatz vom Parlamentsvorbehalt zwingend in einem verfassungsmäßigen Gesetz genau geregelt sein – andernfalls droht ein Verfassungsverstoß. Denn eins haben Eingriffe in das Computergrundrecht meistens gemein: Sie erfolgen heimlich. Daran knüpfen sich für den Betroffenen nur Nachteile, weil ihm rechtzeitiger Rechtsschutz mangels Kenntnis schlicht unmöglich ist. Wer sich wehren will, kann das nur im Nachhinein. Das eigene Verhalten der dauerhaft potentiellen staatlichen Überwachung anzupassen, ist ohne Paranoia kaum möglich – selbst wenn man, wie so oft, nichts zu verheimlichen hat. Entsprechend hoch setzten die Verfassungsrichter die Anforderungen an ein Gesetz, das die heimliche Online-Durchsuchung zur Gefahrenabwehr über einen Trojaner erlauben würde. Das Verfassungsschutzgesetz aus NRW konnte dieser Prüfung nicht standhalten, die Verfassungsbeschwerden waren erfolgreich.

Für den heutigen Einsatz von Trojanern, gleich welcher Staats- oder Landesangehörigkeit, müsste unterschieden werden, ob sie zur Strafverfolgung im Nachinein oder zur präventiven Gefahrenabwehr eingesetzt werden. Letztere fällt in die Zuständigkeit der Länder, die eigene Gesetze für ihre Behörden schaffen müssten und dies zum Teil auch getan haben. Mangels Alternativen müssten sich Trojaner zur Aufklärung von Straftaten demgegenüber nach den Vorschriften der Strafprozessordnung (StPO) richten. Trojaner einsetzen dürfte außerdem nach § 20k BKA-Gesetz auch das Bundeskriminalamt zur Abwehr von besonderen Gefahren für Leib und Leben oder die Existenz der Menschen.

Große und kleine Trojaner

Um Trojaner rechtlich einzuordnen, wird zwischen ihrem Funktionsumfang unterschieden. Die Onlinedurchsuchung als Vollzugriff beschäftigte damals das BVerfG, heraus kam das ablehnende Urteil. Eine etwas harmlosere Spezies ist der Trojaner zur Quellen-TKÜ, mit dem Telefongespräche über das Internet belauscht werden sollen.

In der StPO fehlt eine ausdrückliche Regelung für den Einsatz von Bundestrojanern zur Online-Durchsuchung, also dem Vollzugriff auf einen fernen PC. Damit wird schnell klar, dass umfangreiche Durchsuchungen über das Internet für Strafverfolgungsbehörden nicht zulässig sind, weil das vom BVerfG verlangte Gesetz fehlt. Das Computergrundrecht würd bei jedem Trojanereinsatz zur Online-Durchsuchung mangels Parlamentsentscheidung, die eine digitale Invasion erlaubt, verletzt. Nur in zweiter Linie würde sich die Frage stellen, ob der Trojaner erst im Kampf gegen Terrorismus oder auch bei illegalem Autohandel zum Einsatz kommen dürfte.

Während Online-Durchsuchungen den Vollzugriff bedeuten, wird bei der so genannten Telekommunikationsüberwachung „an der Quelle“ nicht im vollen Umfang auf das Zielsystem eingewirkt. Mittels der Quellen-TKÜ sollen keine Festplatten durchsucht, sondern allein die Daten der Internettelefonate mitgeschnitten werden. Für diesen Eingriff könnte eine gesetzliche Ermächtigung in Betracht kommen. Die Fachwelt diskutiert ausgiebig, ob durch die bestehende StPO auch der Lauschangriff auf Skype und Co. erlaubt ist. Der Vergleich zum zulässigen Abhören von klassischen Telefonaten liegt nahe, ist doch schlicht die Technik eine andere. Ermittler stehen nämlich vor dem Problem, dass Online-Telefonate oft verschlüsselt ablaufen, die Codes zu knacken wäre aber zu aufwändig. Abhelfen könnte da nur ein Trojaner „light“, der sich darauf beschränkt, bei den beteiligten Computern das Gespräch an der Quelle im noch unverschlüsselten Zustand abzugreifen.

BVerfG: Disziplin ist alles für Trojaner

An dieser Stelle führt der Einsatz der "Schrottwanze" zurück zum eigentlichen Problem: Das BVerfG sah schon damals die Gefahr, dass nach Einnistung des Schnüfflers  weitere Eingriffe in Grundrechte zu wahrscheinlich seien. Hürden würden eingerissen, egal welcher Trojaner installiert werde. Die gesetzlichen Anforderungen müssten noch viel explizierter formuliert, die richterliche Prüfung vorab noch genauer und vor allem dokumentiert stattfinden. Das sei das mindeste in Grenzbereichen, wo nur schwerlich ein Ausgleich der staatlichen Interessen mit dem Schutz des Betroffenen möglich sei. Grundrechte könnten dort allein über ein wasserdichtes Verfahren geschützt werden. Wenn schon Trojaner zum Einsatz kommen, dann nur solche, die sich streng an die Vorgaben und vor allem dichthalten. Sie müssen insbesondere so sicher sein, dass Dritte auf den Überwachungsvorgang keinen Einfluss nehmen können.

Vor diesem Hintergrund steht die Entdeckung des CCC, drei Jahre nach der Entscheidung des BVerfG. Heimliche Maßnahme des Staates können grundsätzlich in Zweifel gezogen werden, wenn zwar eine Kontrollinstanz wie das BVerfG verbindliche Regeln aufstellt, sich aber niemand daran hält.

Immerhin das Innenministerium gab nach einem Bericht der taz zu, den Katastrophentrojaner geprüft und für untauglich befunden zu haben. Ist die Software so schlecht und löchrig, dass fest damit gerechnet werden muss, sie komme nicht nur für die Gesprächsüberwachung zum Einsatz, weil jegliche Beschränkung fehlt – dann stellt sich die berechtigte Frage, ob solche vorsätzliche Missachtung von Grundrechten und verfassungsrechtlichen Vorgaben folgenlos bleiben kann.

 

Rechtsanwalt Dr. Karsten Kinast, LL.M., ist Partner der auf Datenschutzrecht spezialisierten Kanzlei Kinast & Partner in Köln und als externer Datenschutzbeauftragter für eine Vielzahl national und international agierender Unternehmen bestellt.

Sebastian Schreiber ist Wissenschaftlicher Mitarbeiter der Kanzlei Kinast & Partner und promoviert derzeit mit einer zivilrechtlichen Arbeit unter anderem im Bereich des Datenschutzrechts.

 

Mehr auf LTO.de:

Trojaner-Einsatz: Strafbare Strafverfolger?

Wirbel um Bundestrojaner: Leutheusser-Schnarrenberger fordert Aufklärung

Zitiervorschlag

Karsten Kinast und Sebastian Schreiber, Bundestrojaner & Co: . In: Legal Tribune Online, 13.10.2011 , https://www.lto.de/persistent/a_id/4541 (abgerufen am: 11.12.2024 )

Infos zum Zitiervorschlag
Jetzt Pushnachrichten aktivieren

Pushverwaltung

Sie haben die Pushnachrichten abonniert.
Durch zusätzliche Filter können Sie Ihr Pushabo einschränken.

Filter öffnen
Rubriken
oder
Rechtsgebiete
Abbestellen