Pegasus landet in Wiesbaden: BKA setzt ums­trit­tene Spy­ware ein

Gastbeitrag von Dr. Arne Klaas

14.09.2021

Das BKA hat die umstrittene Spähsoftware "Pegasus" von der israelischen NSO Group erworben. Ob die Behörde die Spähsoftware auch einsetzen darf und wenn ja, in welchen Fällen, erklärt Arne Klaas.

Am 7. September 2021 berichtete das Bundeskriminalamt (BKA) im Innenausschuss des Bundestages, dass dieses die umstrittene Spähsoftware Pegasus des israelischen Unternehmens NSO Group erworben hat und bereits seit diesem Jahr aktiv nutzt. Gegenwärtig würden, so teilte die Behörde weiter mit, in einer mittleren einstelligen Zahl von Ermittlungsverfahren Personen mithilfe von Pegasus überwacht.

Das als sehr mächtig geltende Überwachungsinstrument wird seit dem Bekanntwerden seiner Existenz und seines Einsatzes heftig kritisiert. Kritiker werfen der NSO Group die Missbrauchsanfälligkeit der Software vor. Amnesty International wurde im Juli dieses Jahres eine Liste zugespielt, auf der über 50.000 Zielpersonen der Spionagedienstleistung der NSO Group stehen sollen. Darunter befinden sich neben dem französischen Regierungschef Emmanuel Macron auch der Präsident des Europäischen Rates Charles Michelle. Betroffen sind auch zahlreiche Menschrechtsaktivisten, Journalisten und Mitarbeiter von NGOs. Darüber hinaus wird der Einsatz der Spyware auch mit dem Mord an Jamal Ahmad Khashoggi im saudi-arabischen Konsulat in Istanbul in Verbindung gebracht.

Funktionsweise von Pegasus

Erstmals entdeckt wurde der Einsatz von Pegasus im Jahr 2016. Die Software nutzt gezielt unbekannte Schwachstellen in iOS- und Android-Betriebssystemen aus und überwindet die an sich abgeschirmten Installationsmechanismen und verändert die Nutzungsberechtigung einzelner Apps.

Mittlerweile existieren Anhaltspunkte dafür, dass die Software auch ohne eine Interaktion des Nutzers (bspw. durch den Klick auf einen infizierten Link) auf Endgeräte eingeschleust werden kann (sog. "Zero-Day-Exploits"). Infolgedessen kann die Software unbemerkt vom Nutzer zahlreiche Funktionen im Handy ansteuern und hierbei erlangte Informationen an den jeweiligen Kunden der NSO Group weitergeben. Insbesondere soll auf die Kamera und das Mikrofon zugegriffen sowie der Standort, Kalendereinträge und das Adressbuch abgefragt werden.

Da die Software direkt „im Handy“ und damit an der "Quelle" sitzt, können auch Nachrichten, die über Messenger-Apps mit Ende-zu-Ende Verschlüsselung versendet werden, noch vor der Verschlüsselung im Klartext abgefangen und ausgelesen werden. Das ermöglicht ein „live“ mitlesen. Diese Form der Quellen-Telekommunikationsüberwachung ist bereits länger gesetzlich vorgesehen. Da hierfür jedoch der technische Zugriff auf das Endgerät erforderlich wird, scheiterte die praktische Anwendung in der Realität regelmäßig.

Anpassung der Software für das BKA

Wichtig ist: Die Kunden – und damit nun auch das BKA – können die Software nicht autonom bedienen. Sie sind vielmehr auf die Mithilfe der NSO Group angewiesen und liefern diesen die zur Durchführung der jeweiligen Abhörmaßnahmen notwendigen Informationen (bspw. die zu überwachende Telefonnummer).

Der Funktionsumfang der extra für das BKA erstellten Version von Pegasus soll laut den Aussagen der Beamten im Innenausschuss eingeschränkt und an die Vorgaben des Bundesverfassungsgerichts (BVerfG) und des deutschen Gesetzgebers angepasst worden sein. Unter anderem sollen Informationen, die in den Kernbereich des Allgemeinen Persönlichkeitsrecht fallen, umgehend gelöscht werden. Ferner soll der Spionageangriff selbst und die hierbei erlangten Informationen dokumentiert werden, um eine nachträgliche Kontrolle durch Aufsichtsbehörden zu ermöglichen.

Der verfassungsrechtliche Maßstab

Im Jahr 2008 nahm das BVerfG mehrere Verfassungsbeschwerden gegen das Verfassungsschutzgesetz von Nordrhein-Westfalen zum Anlass, um das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme zu entwickeln, besser bekannt auch als das sog. "IT-Grundrecht" (BVerfG, Urt. v. 27. 02. 2008, Az. 1 BvR 370/07, 1 BvR 595/07). Dieses ist – genauso wie das Recht auf informationelle Selbstbestimmung – eine besondere Ausprägung des allgemeinen Persönlichkeitsrechts.

Zur Rechtfertigung von Maßnahmen der Gefahrenabwehr urteilte das BVerfG bereits 2008: "Die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, ist verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen." Hierunter fallen der Schutz von "Leib, Leben und Freiheit der Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt".

Geht es um die repressive Verfolgung bereits begangener Straftaten, kommt "es auf das Gewicht der verfolgten Straftaten an" (BVerfG, Urteil vom 20.4.2016 – 1 BvR 966/09, 1 BvR 1140/09). Mit anderen Worten: Die durch die Straftatbestände geschützten Rechtsgüter müssen ebenfalls "überragend wichtig" sein und den oben genannten entsprechen.

Einsatz von Pegasus durch das BKA

Nun stellt sich die Frage, ob das BKA unter Berücksichtigung der verfassungsrechtlichen Grenzen überhaupt auf ihr neues Überwachungsinstrument zurückgreifen darf. Der Einsatz von Pegasus kommt danach sowohl im Rahmen der präventiven Polizeiarbeit als auch der repressiven Strafverfolgungstätigkeit in Betracht.

Das BKA nimmt bei einigen ausgewählten Straftaten die polizeilichen Aufgaben auf dem Gebiet der Strafverfolgung wahr (§ 4 BKAG). Das heißt, dass die Beamten des BKA die jeweils zuständigen Staatsanwaltschaften bei den Ermittlungen unterstützen. Hierunter fallen bspw. Fälle des international organisierten ungesetzlichen Handels mit Waffen, Munition, Sprengstoffen, Betäubungsmitteln und Straftaten mit einem Bezug zu innenpolitischen Interessen.

Daneben ist das BKA auch zur Abwehr von Gefahren des internationalen Terrorismus zuständig (§ 5 BKAG). Hierunter fallen die drohende Begehung von Straftaten, wie Mord, Völkermord und Verbrechen gegen die Menschlichkeit – aber auch die Computersabotage (§ 303b StGB). Der Anwendungsbereich wird jedoch dadurch erheblich eingeengt, dass diese Straftaten dazu bestimmt sein müssen, die Bevölkerung auf erhebliche Weise einzuschüchtern oder eine Behörde/eine internationale Organisation rechtswidrig mit Gewalt oder durch Drohung mit Gewalt zu nötigen oder die politischen, verfassungsrechtlichen, wirtschaftlichen oder sozialen Grundstrukturen eines Staates oder einer internationalen Organisation zu beseitigen oder erheblich zu beeinträchtigen. Darüber hinaus müssen die Art der Begehung oder die Auswirkungen der Straftaten einen Staat oder eine internationale Organisation erheblich schädigen können.

Kumulative Grundrechtseingriffe

Dennoch ist die Zulässigkeit des Einsatzes der Spyware mit einem großen Fragezeichen zu versehen. Wie immer kommt es hier auf den individuellen Einzelfall und die konkrete Verwendung des Tools an.

Pegasus soll auf eine Vielzahl verschiedener Funktionen zugreifen können. Werden während eines Einsatzes sowohl die live ausgetauschten Nachrichten auf WhatsApp mitgelesen, während das Mikrofon die akustische Umgebung abhört und parallel hierzu auch der Live-Standort getrackt wird, handelt es sich um einen sog. "additiven Grundrechtseingriff". Die kumulativen Maßnahmen – die für sich genommen und punktuell betrachtet möglicherweise rechtmäßig wären – führen zusammengenommen zu einem so intensiven Grundrechtseingriff, dass dieser insgesamt unverhältnismäßig und nicht mehr zu rechtfertigen ist.

Auch die vom BKA eingeforderte Möglichkeit, Informationen, die den Kernbereich der privaten Lebensgestaltung berühren (bspw. tagebuchartige Notizen, die sich auf die innere Gefühlswelt beziehen sowie Nacktbilder) umgehend zu löschen wirft Fragen auf.

Löschen von Daten heilt nicht die Erhebung

Zunächst einmal beseitigt ein nachträgliches Löschen nicht die in einem ersten Schritt erfolgte (rechtfertigungsbedürftige) Erhebung. Auch das BVerfG hat erkannt, dass es "praktisch unvermeidbar [ist], Informationen zur Kenntnis zu nehmen, bevor ihr Kernbereichsbezug bewertet werden kann" (BVerfG, Urt. v. 27. 02. 2008, Az. 1 BvR 370/07, 1 BvR 595/07). Daher hat es dem Gesetzgeber aufgegeben „durch geeignete Verfahrensvorschriften sicherzustellen, dass dann, wenn Daten mit Bezug zum Kernbereich privater Lebensgestaltung erhoben worden sind, die Intensität der Kernbereichsverletzung und ihre Auswirkungen für die Persönlichkeit und Entfaltung des Betroffenen so gering wie möglich bleiben“ (BVerfG, Urt. v. 27. 02. 2008, Az. 1 BvR 370/07, 1 BvR 595/07).

Nach dem was über die Funktionsweise von Pegasus und deren hybride Ausgestaltung als Software und Dienstleistung bekanntgeworden ist, bestehen erhebliche Zweifel daran, ob der Einsatz von Pegasus diesen Anforderungen gerecht werden kann. Denn der Cyberangriff soll primär durch die NSO Group selbst gesteuert werden. Durch die Einbindung eines privaten, nicht grundrechtsgebundenen Unternehmens in den Erhebungs- und den Löschprozess wird – selbst wenn die Entscheidungshoheit bei den deutschen Beamten verbleibt – die Intensität der Persönlichkeitsbeeinträchtigung gerade nicht so gering wie möglich gehalten, sondern vielmehr gesteigert. Als "hash"-Wert pseudonymisierte Telefonnummern oder Vertraulichkeitsvereinbarungen können nicht vermeiden, dass der den Cyberangriff steuernde Mitarbeiter der NSO Group Nacktbilder, intime Gespräche oder medizinische Diagnosen ganz unmittelbar zur Kenntnis nimmt.

Outsourcing von Ermittlungsarbeit

Losgelöst von dieser speziellen Problematik könnte das "outsourcen" von grundrechtsbeeinträchtigender Ermittlungsarbeit an ein privates, profitorientiertes Unternehmen bereits generell unzulässig sein. Die Ausübung von Hoheitsgewalt ist im Regelfall Angehörigen des öffentlichen Dienstes zu übertragen (Art. 33 Abs. 4 GG).

Es spricht viel dafür, dass der Schutz der Allgemeinheit vor internationalem Terrorismus, die Verfolgung der Katalogstraftaten aus § 4 BAKG aber auch die Gewährleistung des Kernbereichs der Menschenwürde der betroffenen Personen eine sog. "unvertretbare Staatsaufgabe" darstellt. Eine solche darf nicht – auch nicht teilweise – auf Private übertragen werden. Unvertretbare Staatsaufgaben zeichnen sich dadurch aus, dass sowohl die Aufgabenverantwortung als auch die Aufgabenerfüllung zwingend durch Hoheitsträger wahrgenommen werden muss.

Insofern dürfte die NSO Group den Einsatz von Pegasus nicht selbst steuern bzw. unterstützen, selbst wenn während des gesamten Cyberangriffs die Entscheidungshoheit bei den BKA-Beamten liegt. Hinzutritt, dass die NSO Group ihrerseits dem israelischen Recht unterliegt und Israel eigene Sicherheitsinteressen verfolgt, die sich nicht notwendigerweise in jedem Einzelfall mit den deutschen Sicherheitsinteressen decken müssen.

Dr. Arne Klaas ist Rechtsanwalt bei der auf Wirtschaftsstrafrecht spezialisierten Boutique Krause & Kollegen in Berlin. Er beschäftigt sich regelmäßig mit Fragen an der Schnittstelle von Straf- und Datenschutzrecht. 

Zitiervorschlag

Pegasus landet in Wiesbaden: BKA setzt umstrittene Spyware ein . In: Legal Tribune Online, 14.09.2021 , https://www.lto.de/persistent/a_id/46008/ (abgerufen am: 30.11.2021 )

Infos zum Zitiervorschlag