Staatliche Überwachungssoftware im Strafverfahren: Tro­janer marsch?

3/3: Grundlage für Quellen-TKÜ juristisch schlecht begründet

Noch weiter als der exzessive Straftatenkatalog für die Online-Durchsuchung verfehlt die vorgeschlagene Norm zur Quellen-TKÜ die Karlsruher Vorgaben. Wie dargestellt ist conditio sine qua non einer solchen Maßnahme, dass ausschließlich laufende Kommunikation erhoben wird – sonst handelte es sich ja um eine am Computer-Grundrecht zu messende Online-Durchsuchung. Hierüber setzt sich der Entwurf aus dem Hause Maas jedoch hinweg, indem er darüber hinaus auch die Erhebung "gespeicherter Inhalte und Umstände der Kommunikation" erlauben will. Die überaus schwache Begründung  ist eine klassische Analogie:

Den Entwurfsverfassern erscheint es ebenso wie bei laufender Kommunikation auch bei früherer Kommunikation "verfassungsrechtlich nicht geboten, die wegen der besonderen Sensibilität informationstechnischer Systeme [...] aufgestellten höheren Anforderungen des Bundesverfassungsgerichts [für Eingriffe in das Computer-Grundrecht] anzuwenden." Dabei ist bereits die Figur der Quellen-TKÜ für laufende Kommunikation eine Ausnahme von der Regel, dass Trojaner-Einsätze einen Eingriff in dieses Grundrecht darstellen. Und Ausnahmen können gerade nicht ihrerseits analog angewendet werden, sondern sind restriktiv auszulegen.

Außerdem müsste der Trojaner - wie die Begründung des BMJV selbst einräumt - zunächst alle gespeicherten Inhalte auslesen, um entscheiden zu können, welche davon nach dem Beginn der Quellen-TKÜ gespeichert wurden, sodass sie ausgelesen werden können. In dieser vollumfänglichen Auswertung der gespeicherten Kommunikation läge jedoch bereits eine dem Staat zuzurechnende Kenntnisnahme und damit eine Online-Durchsuchung, auch wenn die Daten nicht ausgeleitet, sondern "vor Ort" auf dem Gerät analysiert werden. Mit anderen Worten schlägt das BMJV allen Ernstes eine verkappte Online-Durchsuchung vor, um festzustellen, welche ehemaligen Kommunikationsinhalte der Trojaner unter den leichteren Voraussetzungen einer Quellen-TKÜ "abschnorcheln" darf - ganz abgesehen davon, dass schon ein aus welchen Gründen auch immer falscher Zeitstempel einer gespeicherten Datei zu einer "irrtümlichen" Online-Durchsuchung führen würde. Ein derart laxer Umgang mit den ohnehin weiten Spielräumen, die der Erste Senat für die Quellen-TKÜ gelassen hat, kann nur als bewusste Provokation des BVerfG interpretiert werden.

Fatale Anreize zur Schwächung der IT-Sicherheit

Aus der Perspektive der IT-Sicherheit ist schließlich der Einsatz von staatlichen Trojanern generell zu hinterfragen. In diesem Kontext mutet es fast skurril an, dass der Vorschlag ausgerechnet öffentlich wurde, als der Erpressungs-Trojaner "wannacry" Schlagzeilen machte . Wie für Schadsoftware üblich nutzt auch wannacry eine Schwachstelle in Windows-Betriebssystemen zur Verbreitung aus. Die konkrete Sicherheitslücke war dem US-amerikanischen Geheimdienst NSA schon seit Jahren bekannt. Die Agenten behielten ihr Wissen aber für sich, um ihrerseits Computer hacken zu können, anstatt den Fehler an den Hersteller Microsoft zu melden, sodass dieser die Lücke hätte schließen können. Der Fall macht überdeutlich: Das Geheimhalten von Sicherheitslücken durch Hoheitsträger in der Absicht, ein Arsenal von IT-Angriffswaffen anzulegen, schwächt die Datensicherheit von Millionen von Menschen weltweit.

Vor diesem Hintergrund braucht es nicht viel Phantasie, um sich vorzustellen, welche Anreize weitreichende Ermächtigungsgrundlagen für den alltäglichen Einsatz von Trojanern setzen würden, wie sie das BMJV nun vorschlägt. Wenn Sicherheitslücken zum ganz normalen Handwerkszeug deutscher Strafverfolger werden, dann werden deutsche Stellen viel Geld für den Ankauf von Sicherheitslücken auf dem Schwarzmarkt ausgeben, aber sicherlich keine Schwachstellen mehr an Software-Hersteller melden, damit sie diese schließen und so die Sicherheit ihrer Produkte für die Allgemeinheit verbessern können.

Senfgas des Informations-Zeitalters

Die jüngst eingerichtete "Zentrale Stelle für Informationstechnik im Sicherheitsbereich" (ZITiS)  im Geschäftsbereich des Bundesinnenministeriums folgt genau diesem Kalkül. Bisher können Staatstrojaner vor allem auf der Grundlage des BKA-Gesetzes allein zur Abwehr terroristischer Gefahren eingesetzt werden; die in fast zehn Jahren einstelligen Fallzahlen sprechen dafür, dass das BKA diese Vollmachten sehr zurückhaltend einsetzt. Wenn nun jedoch Trojaner zum gängigen Mittel der Strafverfolgung werden sollen, wie es die Große Koalition offenbar für richtig hält, dann dürften im Bereich IT-Sicherheit alle Dämme brechen.

Diesen Irrweg sollten die Abgeordneten des deutschen Bundestages nicht mitgehen. Software-Sicherheitslücken sind das Senfgas des Informations-Zeitalters, ihr Einsatz zum Hacken von IT-Systemen muss international geächtet werden. Deutschland sollte hier mit gutem Beispiel vorangehen: Sicherheitslücken sind im Interesse der IT-Sicherheit weltweit den Herstellern zu melden, damit sie geschlossen werden können. Strafverfolgung ist zweifellos ein hohes Gut. Doch das Horten von Sicherheitslücken, um einen Masseneinsatz von Trojanern zu ermöglichen, folgt einem ebenso zynischen wie verwerflichen Kalkül, bei dem am Ende alle verlieren.

Der Autor Dr. Ulf Buermeyer, LL.M. (Columbia) ist Strafrichter am Landgericht Berlin und Vorsitzender der Gesellschaft für Freiheitsrechte e.V. (GFF).