Staatliche Überwachungssoftware im Strafverfahren: Tro­janer marsch?

Ein Vorhaben erheblichen Ausmaßes

Die Überwachung der Telekommunikation im Strafverfahren hat schon heute Hochkonjunktur: Allein 32.658 Anordnungen zum Mitschneiden von Telefon- und Internet-Verkehr ergingen im Jahr 2015, zwei Drittel davon betrafen Mobilfunkanschlüsse. Nun möchte die Große Koalition nach einem Vorschlag des Bundesministeriums für Justiz und Verbraucherschutz (BMJV) in neue Dimensionen vordringen: Die Überwachung soll nicht mehr wie bisher nur bei den Providern ansetzen. Vielmehr möchte Justizminister Heiko Maas zusätzlich auf breiter Front Staatstrojaner einsetzen lassen. In allen oben genannten Fällen soll es in Zukunft zulässig sein, die Rechner und Handys der Beschuldigten mittels staatlicher Überwachungssoftware zu infizieren – zehntausendfach, Jahr für Jahr. Mit der sogenannten Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) möchte der Minister laufende und frühere Kommunikation direkt aus den Endgeräten auslesen, die hierzu mittels spezieller Staatstrojaner digital verwanzt werden sollen.

Der Vorschlag des BMJV ist dabei nicht wie üblich in einem Gesetzentwurf der Bundesregierung enthalten. Die Fraktionen der CDU/CSU und SPD sollen den Trojaner-Einsatz vielmehr durch die Hintertür ins Parlament einbringen, nämlich in Form von Änderungsanträgen zu einem längst im parlamentarischen Verfahren befindlichen, eher unspektakulären Gesetzentwurf. Hierbei möchte ihnen Justizminister Maas die Hand führen – mit einer volle 30 Seiten umfassenden "Formulierungshilfe", die jüngst auf netzpolitik.org veröffentlicht wurde . Eine konsolidierte Fassung der Strafprozessordnung mit den geplanten Änderungen  hat die Gesellschaft für Freiheitsrechte erstellt.

Noch weiter als die Quellen-TKÜ soll die ebenfalls in der Formulierungshilfe enthaltene sogenannte Online-Durchsuchung gehen. Hier soll es nach dem Willen des BMJV keine inhaltlichen Beschränkungen mehr geben: Die betroffenen Computer und Handys sollen vielmehr vollständig ausgelesen werden können – unter Umständen monatelang. Nur eine rote Linie erkennt der Vorschlag des BMJV noch an: Die Systeme dürfen von den Strafverfolgungsbehörden nur soweit manipuliert werden, wie es für die Überwachung notwendig ist. Es dürfen also keine Beweismittel manipuliert oder gar untergeschoben werden. Wirksam kontrollieren lässt sich diese Begrenzung allerdings nicht.

Unvergleichliche Eingriffstiefe

Die Bedeutung der geplanten Neuregelung wird deutlich, wenn man sich vor Augen führt, dass Computer und Smartphones heute oft eine unermessliche Fülle an Informationen enthalten: alltägliche bis intimste Emails und SMS, Terminkalender, Kontakte, Kontoumsätze, Tagebücher und Social-Media-Daten. Mit Speicherkapazitäten im Giga- bis Terabyte-Bereich enthalten sie ein weitgehendes digitales Abbild unseres Lebens. Erhalten Ermittlungsbehörden Zugriff auf diese Datenmengen, können sie die Besitzer der Systeme so vollständig ausspähen. Hinzu kommt bei der Online-Durchsuchung die Möglichkeit des Live-Zugriffs: Ermittler können den Betroffenen also virtuell über die Schulter blicken und ihnen so quasi beim Denken zuschauen.

Dieser unvergleichlich tiefe Einblick in das Wissen und Fühlen eines Menschen macht den Einsatz von Trojanern in einem Rechtsstaat so heikel. Wie kein anderes Ermittlungsvorgehen erlaubt es die Online-Durchsuchung, Menschen zum Objekt der Ausspähung zu machen. Gegen keine andere Methode ist man so wehrlos, denn der direkte Zugriff auf das System dient gerade dem Zweck, Verschlüsselungsverfahren zu umgehen, also den informationellen Selbstschutz ins Leere laufen zu lassen. Keine andere Ermittlungsvariante bietet insgesamt ein vergleichbares totalitäres Potential. Selbst beim Skandal um den "Großen Lauschangriff" beschränkte sich das Vorgehen auf die akustische Wahrnehmung dessen, was aktuell in einer Wohnung geschieht.

Wird hingegen ein Rechner oder ein Smartphone mit einem Trojaner infiziert, erlaubt dies ebenfalls einen Lauschangriff auf dessen Umgebung. Hinzu kommt bei der Online-Durchsuchung aber ein heimlicher Zugriff auf mitunter über Jahrzehnte angesammelte digitale Daten sowie ein großer Spähangriff, indem auf die Kameras der infizierten Systeme zugegriffen wird. Die Eingriffstiefe einer Online-Durchsuchung geht daher über die einer akustischen Wohnraumüberwachung nochmals deutlich hinaus.

Grenzen des Grundgesetzes

Der unvergleichlichen Gefahren staatlicher Überwachungssoftware war sich auch das Bundesverfassungsgericht (BVerfG) bewusst, als es im Jahre 2008 über eine krude Rechtsgrundlage für Staatstrojaner im Verfassungsschutzgesetz des Landes Nordrhein-Westfalen zu entscheiden hatte. Der Erste Senat des BVerfG erfand dabei das "Grundrecht auf Integrität und Vertraulichkeit informationstechnischer Systeme" .

Wie alle Grundrechte mit Ausnahme der Menschenwürde gilt es zwar nicht schrankenlos. Doch errichtete das BVerfG besonders hohe Hürden für Eingriffe in dieses "Computer-Grundrecht": Selbst präventiv ist der Einsatz von Trojanern nur zulässig, wenn "tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen". Überragend wichtig sind dabei nur Leib, Leben und Freiheit der Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt.

Allerdings ließen die Verfassungsrichter eine Hintertür offen: Wenn ausschließlich "laufende Kommunikation" mitgeschnitten wird, dann soll auch ein Trojaner-Einsatz nicht in das neue Grundrecht eingreifen. Folglich soll eine abgespeckte Version der Online-Durchsuchung – eben die Quellen-TKÜ – auch nicht an den Schranken des Computer-Grundrechts zu messen sein. Lediglich muss durch "technische Vorkehrungen und rechtliche Vorgaben" sichergestellt werden, dass sich die Datenerhebung wirklich auf laufende Kommunikation beschränkt.

Ob Quellen-TKÜ oder Online-Durchsuchung: "Drin" ist man immer

2/3 Die Krux: Drin ist drin

Die Differenzierung des BVerfG zwischen Online-Durchsuchungen und Quellen-TKÜ kann nicht überzeugen: Die entscheidende Hürde ist mit der Infektion eines Systems durch staatliche Überwachungssoftware genommen – "drin" muss man für beide Methoden sein. Das Merkmal der "laufenden Kommunikation" begrenzt lediglich die Datenerhebung bei einer Maßnahme, die die Integrität und Vertraulichkeit des Systems aber ebenso umfassend aufhebt. Es dürfte sich hier um einen politischen Kompromiss im Ersten Senat gehandelt haben – die Quellen-TKÜ als Preis des Computer-Grundrechts.

Ungeachtet der Zweifel an der Sinnhaftigkeit dieser Differenzierung müssen sich Ermächtigungsgrundlagen an den Vorgaben des BVerfG orientieren. Bei einer Regelung für den Strafprozess kommt noch etwas hinzu: Die Anforderungen des BVerfG an Eingriffe in das Computer-Grundrecht, also an die Online-Durchsuchung, beziehen sich unmittelbar nur auf den präventiven Einsatz von Staatstrojanern, weil dieser Gegenstand des Verfassungsbeschwerdeverfahrens war. Die Frage ist also, welche Eingriffsschwellen für repressive Eingriffe in das Computer-Grundrecht gelten.

Aus verfassungsrechtlicher Perspektive ist dies vergleichsweise leicht zu beantworten: Während bei präventiven Maßnahmen unmittelbar die bedrohten Rechtsgüter und der Grad der Gefahr in die Abwägung eingestellt werden können, dient eine repressive Regelung zunächst nur der Durchsetzung des staatlichen Strafanspruchs und allenfalls mittelbar dem Rechtsgüterschutz. Denn bei einem Eingriff in das Computer-Grundrecht zu präventiven Zwecken kann die Rechtsgutsverletzung (hoffentlich) noch verhindert werden. Ist sie aber bereits begangen worden, dienen die dann allein noch möglichen repressiven Eingriffe lediglich der Sanktionierung der Verantwortlichen. Damit sind an Eingriffe in das Computer-Grundrecht zu repressiven Zwecken jedenfalls keine geringeren und im Zweifel eher höhere Anforderungen zu stellen als an präventive Eingriffe.

Maßgeblich ist dabei zunächst, ob die Strafnorm unmittelbar dem Rechtsgüterschutz dient, letztlich also im repressiven Gewande der Abwehr einer konkreten Gefahr dient. So mag es sich etwa in Einzelfällen der Bildung einer terroristischen Vereinigung (§ 129a StGB) verhalten. In der Regel aber wird bei strafrechtlichen Ermittlungen keine konkrete Gefahr für ein hinreichend gewichtiges Rechtsgut vorliegen. In diesem Fällen muss also die Durchsetzung des staatlichen Strafanspruchs im konkreten Fall verfassungsrechtlich zumindest von gleicher Wertigkeit sein wie die Abwehr einer konkreten Gefahr für die vom BVerfG aufgezählten Rechtsgüter. Dies wird man nur bei Straftatbeständen annehmen können, die ebendiese Rechtsgüter vor schwersten Verletzungen schützen sollen.

Online-Durchsuchung Verfassungsrechtlich unhaltbar

Gemessen an diesen Vorgaben sind die Vorschläge des BMJV verfassungsrechtlich nicht zu rechtfertigen. Betrachtet man die vorgesehene Grundlage (§ 100b StPO n.F.) für die Online-Durchsuchung, so findet sich hier ein schier endloser Straftatenkatalog, der bis auf wenige Ausnahmen dem der "normalen" Telekommunikationsüberwachung (§ 100a Abs. 2 StPO) entspricht. Der Gefahrenabwehr im Gewande des Strafrechts wird man mit gewissen Bedenken noch Straftatbestände wie Hochverrat, Gefährdung des demokratischen Rechtsstaates oder Landesverrat zurechnen können, ebenso die Organisationsdelikte der §§ 129, 129a StGB, jedenfalls wenn diese restriktiv interpretiert werden. Aber Geld- und Wertzeichenfälschung oder gewerbsmäßige Hehlerei?

Diese Straftatbestände haben mit der Abwehr konkreter Gefahren für besonders wichtige Rechtsgüter nicht einmal entfernt etwas zu tun. Auch die Funktionsfähigkeit der Strafrechtspflege kann in diesen Fällen der allenfalls mittleren Kriminalität nicht den Einsatz von Trojanern rechtfertigen. Denn sie kann logisch betrachtet nicht bedeutsamer sein als die von den einzelnen Straftatbeständen jeweils geschützten Rechtsgüter. Vielmehr liest sich der Straftatenkatalog wie eine Wunschliste der Ermittler, die die Entwurfsverfasser – von verfassungsrechtlicher Sorgfalt weitgehend unbelastet – einfach in den Formulierungsvorschlag übernommen haben.

Wenn Trojaner zum Standard in der Strafverfolgung werden

3/3: Grundlage für Quellen-TKÜ juristisch schlecht begründet

Noch weiter als der exzessive Straftatenkatalog für die Online-Durchsuchung verfehlt die vorgeschlagene Norm zur Quellen-TKÜ die Karlsruher Vorgaben. Wie dargestellt ist conditio sine qua non einer solchen Maßnahme, dass ausschließlich laufende Kommunikation erhoben wird – sonst handelte es sich ja um eine am Computer-Grundrecht zu messende Online-Durchsuchung. Hierüber setzt sich der Entwurf aus dem Hause Maas jedoch hinweg, indem er darüber hinaus auch die Erhebung "gespeicherter Inhalte und Umstände der Kommunikation" erlauben will. Die überaus schwache Begründung  ist eine klassische Analogie:

Den Entwurfsverfassern erscheint es ebenso wie bei laufender Kommunikation auch bei früherer Kommunikation "verfassungsrechtlich nicht geboten, die wegen der besonderen Sensibilität informationstechnischer Systeme [...] aufgestellten höheren Anforderungen des Bundesverfassungsgerichts [für Eingriffe in das Computer-Grundrecht] anzuwenden." Dabei ist bereits die Figur der Quellen-TKÜ für laufende Kommunikation eine Ausnahme von der Regel, dass Trojaner-Einsätze einen Eingriff in dieses Grundrecht darstellen. Und Ausnahmen können gerade nicht ihrerseits analog angewendet werden, sondern sind restriktiv auszulegen.

Außerdem müsste der Trojaner - wie die Begründung des BMJV selbst einräumt - zunächst alle gespeicherten Inhalte auslesen, um entscheiden zu können, welche davon nach dem Beginn der Quellen-TKÜ gespeichert wurden, sodass sie ausgelesen werden können. In dieser vollumfänglichen Auswertung der gespeicherten Kommunikation läge jedoch bereits eine dem Staat zuzurechnende Kenntnisnahme und damit eine Online-Durchsuchung, auch wenn die Daten nicht ausgeleitet, sondern "vor Ort" auf dem Gerät analysiert werden. Mit anderen Worten schlägt das BMJV allen Ernstes eine verkappte Online-Durchsuchung vor, um festzustellen, welche ehemaligen Kommunikationsinhalte der Trojaner unter den leichteren Voraussetzungen einer Quellen-TKÜ "abschnorcheln" darf - ganz abgesehen davon, dass schon ein aus welchen Gründen auch immer falscher Zeitstempel einer gespeicherten Datei zu einer "irrtümlichen" Online-Durchsuchung führen würde. Ein derart laxer Umgang mit den ohnehin weiten Spielräumen, die der Erste Senat für die Quellen-TKÜ gelassen hat, kann nur als bewusste Provokation des BVerfG interpretiert werden.

Fatale Anreize zur Schwächung der IT-Sicherheit

Aus der Perspektive der IT-Sicherheit ist schließlich der Einsatz von staatlichen Trojanern generell zu hinterfragen. In diesem Kontext mutet es fast skurril an, dass der Vorschlag ausgerechnet öffentlich wurde, als der Erpressungs-Trojaner "wannacry" Schlagzeilen machte . Wie für Schadsoftware üblich nutzt auch wannacry eine Schwachstelle in Windows-Betriebssystemen zur Verbreitung aus. Die konkrete Sicherheitslücke war dem US-amerikanischen Geheimdienst NSA schon seit Jahren bekannt. Die Agenten behielten ihr Wissen aber für sich, um ihrerseits Computer hacken zu können, anstatt den Fehler an den Hersteller Microsoft zu melden, sodass dieser die Lücke hätte schließen können. Der Fall macht überdeutlich: Das Geheimhalten von Sicherheitslücken durch Hoheitsträger in der Absicht, ein Arsenal von IT-Angriffswaffen anzulegen, schwächt die Datensicherheit von Millionen von Menschen weltweit.

Vor diesem Hintergrund braucht es nicht viel Phantasie, um sich vorzustellen, welche Anreize weitreichende Ermächtigungsgrundlagen für den alltäglichen Einsatz von Trojanern setzen würden, wie sie das BMJV nun vorschlägt. Wenn Sicherheitslücken zum ganz normalen Handwerkszeug deutscher Strafverfolger werden, dann werden deutsche Stellen viel Geld für den Ankauf von Sicherheitslücken auf dem Schwarzmarkt ausgeben, aber sicherlich keine Schwachstellen mehr an Software-Hersteller melden, damit sie diese schließen und so die Sicherheit ihrer Produkte für die Allgemeinheit verbessern können.

Senfgas des Informations-Zeitalters

Die jüngst eingerichtete "Zentrale Stelle für Informationstechnik im Sicherheitsbereich" (ZITiS)  im Geschäftsbereich des Bundesinnenministeriums folgt genau diesem Kalkül. Bisher können Staatstrojaner vor allem auf der Grundlage des BKA-Gesetzes allein zur Abwehr terroristischer Gefahren eingesetzt werden; die in fast zehn Jahren einstelligen Fallzahlen sprechen dafür, dass das BKA diese Vollmachten sehr zurückhaltend einsetzt. Wenn nun jedoch Trojaner zum gängigen Mittel der Strafverfolgung werden sollen, wie es die Große Koalition offenbar für richtig hält, dann dürften im Bereich IT-Sicherheit alle Dämme brechen.

Diesen Irrweg sollten die Abgeordneten des deutschen Bundestages nicht mitgehen. Software-Sicherheitslücken sind das Senfgas des Informations-Zeitalters, ihr Einsatz zum Hacken von IT-Systemen muss international geächtet werden. Deutschland sollte hier mit gutem Beispiel vorangehen: Sicherheitslücken sind im Interesse der IT-Sicherheit weltweit den Herstellern zu melden, damit sie geschlossen werden können. Strafverfolgung ist zweifellos ein hohes Gut. Doch das Horten von Sicherheitslücken, um einen Masseneinsatz von Trojanern zu ermöglichen, folgt einem ebenso zynischen wie verwerflichen Kalkül, bei dem am Ende alle verlieren.

Der Autor Dr. Ulf Buermeyer, LL.M. (Columbia) ist Strafrichter am Landgericht Berlin und Vorsitzender der Gesellschaft für Freiheitsrechte e.V. (GFF).