„Staatstrojaner“, Online-Durchsuchung, Verfassungsbruch – Was bleibt jenseits des Hypes?

Share

Die aktuelle Debatte in Politik und Medien über „Staatstrojaner“ und Grundrechte zeichnet sich durch ein hohes Maß an Aufgeregtheit aus, was die relevante Diskussion über technische und rechtliche Aspekte verdeckt. Im Folgenden soll zur Klärung beigetragen werden.

Von Dr. Patrick Grete

 



Was ist passiert

Am 9. Oktober 2011 wurden in den Medien Meldungen über eine Enthüllung des „Chaos Computer Clubs“ (CCC) verbreitet. Experten des CCC war ein Computerprogramm übergeben worden, dass offenbar von staatlichen Stellen zur verdeckten Online-Durchsuchung genutzt wurde und nicht verfassungskonform ist. Der CCC-Bericht (LINK) liest sich wie ein Skript für ein Software-Seminar an der Universität, um den Studenten zu zeigen, was man so alles handwerklich falsch machen kann. Der Bericht enthält zusätzlich einige rechtliche Erwägungen und hat auch einen skurrilen Aspekt, da eine der Hauptfunktionen des Programms den Namen „Ozapftis“ trägt.

Es folgten diverse Kommentare und Stellungnahmen von Politikern und allerlei Experten. Von offizieller Seite wurde vieldeutig dementiert. Kritiker forderten Rücktritte diverser Präsidenten von höheren Polizeidienststellen und sogar von Bundes- und Landesministern, weil „willentliche Verfassungsbrüche“ vorlägen. Zum Zeitpunkt der Veröffentlichung dieses Beitrags ist sogar eine Strafanzeige der Piratenpartei gegen den bayrischen Landesinnenminister Joachim Herrmann und Bayerns LKA Präsidenten Peter Dathe anhängig. Am Dienstag den 11.10.2011 wurde dann von der bayrischen Landesregierung zugegeben, dass das dem CCC zugespielte Programm vom LKA Bayern tatsächlich eingesetzt worden war, aber dabei sei alles mit rechten Dingen zugegangen. Es folgten „Aktuelle Stunden“ im bayrischen Landtag, politische und mediale Kritiker ergingen sich teilweise in wüsten Beschimpfungen – vor allem aber zeichnete sich die öffentliche Debatte durch profunde Unkenntnis in der Sache aus.

Überblick über die Sachlage

Wir erinnern uns an die öffentlichen Diskussionen in 2007 über die Online-Durchsuchung und das wegweisende Urteil des Bundesverfassungsgerichts hierzu in 2008. Es ging um eine neue Befugnis für die Polizei und die Geheimdienste, die ihnen das Recht geben sollte, sich im Einzelfall verdeckten Zugriff auf den Computer eines Verdächtigen zu verschaffen und dort Beweise für Straftaten zu erheben. Das Gesetz zur Online-Durchsuchung in NRW war allerdings so weit gefasst, dass es das Bundesverfassungsgericht BVG als verfassungswidrig – und damit nichtig – erklärte. Das BVG zog mehrere „rote Linien“ ein. So ist eine Online-Durchsuchung zwar nicht als solche verfassungswidrig, aber dabei muss das Grundrecht auf Vertraulichkeit und Integrität informationsverarbeitender Systeme gewahrt bleiben. Dieses Recht wurde vom BVG höher als die Unverletzlichkeit der Wohnung (Artikel 13) und das Telekommunikationsgeheimnis (Artikel 10) bewertet, da es direkt aus der Würde des Menschen (Artikel 1) und seinen Persönlichkeitsrechten (Artikel 2) folgt. Dieses Grundrecht darf nur beschränkt werden, wenn es „tatsächliche Anhaltspunkte“ gibt, die den Schluss nahe legen, dass eine schwerste Straftat gegen Leib und Leben begangen werden soll, oder aber die Straftat den Staat in seinem Bestand bedroht. Der verdeckte Eingriff muss vom Leiter der Polizeibehörde beantragt werden und von einem Richter mit ausführlicher Begründung genehmigt werden.

Bei der Online-Durchsuchung wird der gesamte Computer eines Verdächtigten durchsucht. Wenn dies geschieht, muss, gemäß den Vorgaben des BVG, der Vorgang streng protokolliert werden. Das dafür eingesetzte Programm muss höchsten qualitativen Ansprüchen genügen und muss die Wahrung der Grundrechte gewährleisten. Es darf nur so wenig wie irgend möglich den Datenbestand des Computers des Verdächtigten verändern, weil sonst die bei der Durchsuchung erlangten Beweise vor Gericht unbrauchbar wären. Bei der Online-Durchsuchung darf der PC nur „beobachtet“, nicht aber „ferngesteuert“ werden. Wenn Letzteres geschähe, dann wäre ja nicht auszuschließen, dass beispielsweise Bombenanleitungen oder Anschlagspläne gar nicht durch den Nutzer selbst auf den PC gekommen sind, sondern durch das verdeckt installierte Programm.

Solche Programme werden in den Medien „Staatstrojaner“ genannt. Zu dieser scheinbar einleuchtenden Bezeichnung sei eine kritische Anmerkung erlaubt: Sie beinhaltet nämlich eine mythologisch falsche Zuschreibung. Es waren die Griechen, die mittels eines hölzernen Pferdes in das zuvor erfolglos belagerte Troja eindrangen – und dann Trojaner niedermachten. Das „trojanisches Pferd“ war also keineswegs trojanisch, sondern griechisch. In Analogie zum „trojanischen Pferd“ wird nun ein Computerprogramm, das seine eigentliche eindringenden Funktionen verdeckt, „Trojaner“ genannt. Mythologisch falsch und auch noch höchst unfair gegenüber den Trojanern, deren Stadt von den Griechen ausgelöscht wurde.

Zurück zur Online-Durchsuchung. PCs werden auch zur verschlüsselten Kommunikation verwendet. Dienste wie „Skype“ verschlüsseln Gespräche zwischen den Gesprächspartnern, womit ein Abhören durch Dritte unterbunden werden soll. Auch Programme wie der „GNU Privacy Guard“ (GnuPG) oder „Pretty Good Privacy“ (PGP) können E-Mail-Verkehr effektiv vor dem Zugriff Dritter schützen. Die einzige Möglichkeit für das Abhören bzw. Abgreifen dieser Kommunikationsformen besteht darin, die Kommunikation vor der Verschlüsselung abzufangen. Auch dafür muss in der Regel der Computer durch einen „Trojaner“ infiziert werden.

Wenn ein solches Programm von staatlichen Behörden – im rechtsstaatlichen Rahmen – eingesetzt wird, muss es aber andere Funktionen besitzen als bei der Online-Durchsuchung. So dürfte es nur aktiv werden, wenn tatsächlich „Skype“ benutzt oder eine E-Mail verfasst wird. Dabei ist zu beachten, dass eine Telekommunikationsüberwachung (TKÜ) durch Einschränkung des Telekommunikationsgeheimnis (Artikel 10) rechtlich begründbar ist. TKÜ fällt daher nicht direkt unter das Grundrecht auf Integrität und Vertraulichkeit von informationsverarbeitenden Systemen.

Wird sie eine TKÜ-Maßnahme durch ein Programm im Computer des Überwachten durchgeführt – an der Quelle der Kommunikation – also nicht irgendwo „zwischen“ den Kommunikationspartnern – so spricht man von der Quellen-TKÜ. Online-Durchsuchung und Quellen-TKÜ muss man klar unterscheiden: Es werden jeweils sehr unterschiedliche Grundrechte berührt, gleichwohl für beides ein trojanisches Pferd im betroffenen PC eingesetzt wird. Für eine Quellen-TKÜ gelten, da hier „lediglich“ das Telekomunikationsgeheimnis (Artikel 10) und nicht das Recht auf freie persönliche Entfaltung eingeschränkt wird, deutlich geringere rechtliche Hürden als für eine Online-Durchsuchung. Dennoch ist die Grenze in technischer Hinsicht äußerst problematisch. Dem war sich auch das Bundesverfassungsgericht sehr bewusst und es entschied in seinem Urteil zur Online-Durchsuchung (Randnotizen 189-191):

„Wird ein komplexes informationstechnisches System zum Zweck der Telekommunikationsüberwachung technisch infiltriert („Quellen-Telekommunikationsüberwachung“), so ist mit der Infiltration die entscheidende Hürde genommen, um das System insgesamt auszuspähen. Die dadurch bedingte Gefährdung geht weit über die hinaus, die mit einer bloßen Überwachung der laufenden Telekommunikation verbunden ist. Insbesondere können auch die auf dem Personalcomputer abgelegten Daten zur Kenntnis genommen werden, die keinen Bezug zu einer telekommunikativen Nutzung des Systems aufweisen. Erfasst werden können beispielsweise das Verhalten bei der Bedienung eines Personalcomputers für eigene Zwecke, die Abrufhäufigkeit bestimmter Dienste, insbesondere auch der Inhalt angelegter Dateien oder – soweit das infiltrierte informationstechnische System auch Geräte im Haushalt steuert – das Verhalten in der eigenen Wohnung.

Nach Auskunft der in der mündlichen Verhandlung angehörten sachkundigen Auskunftspersonen kann es im Übrigen dazu kommen, dass im Anschluss an die Infiltration Daten ohne Bezug zur laufenden Telekommunikation erhoben werden, auch wenn dies nicht beabsichtigt ist. In der Folge besteht für den Betroffenen – anders als in der Regel bei der herkömmlichen netzbasierten Telekommunikationsüberwachung – stets das Risiko, dass über die Inhalte und Umstände der Telekommunikation hinaus weitere persönlichkeitsrelevante Informationen erhoben werden. Den dadurch bewirkten spezifischen Gefährdungen der Persönlichkeit kann durch Art.10 Abs.1 GG nicht oder nicht hinreichend begegnet werden.

Art.10 Abs.1 GG ist hingegen der alleinige grundrechtliche Maßstab für die Beurteilung einer Ermächtigung zu einer „Quellen-Telekommunikationsüberwachung“, wenn sich die Überwachung ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang beschränkt. Dies muss durch technische Vorkehrungen und rechtliche Vorgaben sichergestellt sein.“

Soll also ein PC infiltriert werden, um die Kommunikation zu überwachen, muss die Überwachung auf die laufende Kommunikation beschränkt sein, was sowohl technisch wie rechtlich sicherzustellen ist. Alles andere – da ist das BVG leicht zu interpretieren – stellt eine verfassungswidrige Online-Durchsuchung dar. Soweit so klar.

In der Praxis ergaben sich dabei gerade in Bayern schwerwiegende Probleme, da das dort eingesetzte Programm bei E-Mails so funktioniert, dass es ein Foto des Bildschirms anfertigt und dieses an die Ermittler versendet. Das Foto kann jedoch auch andere Informationen enthalten, als die E-Mail selbst – und so das allgemeine Nutzerverhalten offenlegen. Ferner werden diese Fotos in regelmäßigen Zeitintervallen (in einem bekannten Fall alle 30 Sekunden) und nicht etwa nur bei der Fertigstellung der E-Mail hergestellt. In einem konkreten Fall hat ein Überwachter in den Ermittlungsakten mehrere zehntausend solcher Bildschirmfotos entdeckt und gegen die Überwachung geklagt. Das Landgericht Landshut hat in zweiter Instanz dem Überwachten, vertreten durch den Anwalt Patrick Schladt, recht gegeben. Dieser konkrete Fall ist bereits rechtsgültig, da das Land Bayern keine Rechtsmittel eingelegt hat. Ansonsten ist zu erwarten, dass diese Ermittlungspraxis wieder bis zum Verfassungsgericht gehen wird.

Wenn dieser Tage von einer „laufenden rechtspolitischen Diskussion“ die Rede ist, dann ist genau dieser Fall gemeint (auch wenn in diesem konkreten Fall die Diskussion durch die Gerichte bereits abgeschlossen ist): Sind diese Bildschirmfotos noch Quellen-TKÜ oder schon Online-Durchsuchung? Oder noch diffiziler: Ab wie vielen Bildschirmfotos wird die Grenze von Quellen-TKÜ zur Online-Durchsuchung überschritten?

Auch als technisch wenig versierter Laie kann man aber eine andere Frage stellen: Warum werden den überhaupt Bildschirmfotos gemacht? Warum wird der Computer nicht dazu veranlasst, jede gesendete und empfangene Mail an die Polizei zu schicken? Wäre das wirklich „auffälliger“ als tausende Bildschirmfotos zu versenden? Dazu lohnt ein Blick auf sich im Umlauf befindlichen Schadprogrammen zum Gelddiebstahl bei der Online-Überweisung. Diese Programme laufen, wie für ein trojanisches Pferd üblich, verdeckt im Hintergrund und bemerken, wenn der Nutzer sich bei seiner Bank einloggt, um dann beispielsweise die Verbindung an eine nahezu gleich aussehende Seite des Diebes umzuleiten, wo die Bankzugangsdaten und TANs ausgespäht werden. Bildschirmfotos sind also wahrlich nicht mehr „Stand der Technik“.

An dieser Stelle ist auch auf das höchst auffällige Rechtsverständnis von einigen Politikern wie dem bayrischen Innenminister hinzuweisen, die zwar das Urteil der Landshuter Richter „zur Kenntnis nehmen“, aber eine „andere Rechtsauffassung“ bekunden – und mit den Überwachungen einfach fortfahren. Das ist umso erstaunlicher, da dieser Fall, wie oben bereits erwähnt, rechtsgültig ist und das Land Bayern keine Rechtsmittel mehr eingelegt hat. Warum kämpft hier nicht Bayern für seine „andere Rechtsauffassung“, wie es in einem Rechtsstaat üblich ist, sondern ignoriert dieses Urteil, indem es die recht fragwürdige Auffassung vertritt, dass dies ja nur ein Einzelfall wäre und keine Grundsatzentscheidung vorliegen würde?

Kehren wir zurück zum aufgeflogenen „Staatstrojaner“. Wie der Bericht des CCC darlegt, verschickt dieser die eingesammelten Daten nur unzureichend verschlüsselt, so dass die Gefahr einer Kenntnisnahme durch Dritte besteht, was gegen das Grundgesetz Artikel 10 verstößt. Die Schlüssel zur Verschlüsselung sind fest in das Programm einprogrammiert, wie auch das Passwort für den Kontrollserver, so dass, wie jetzt geschehen, von versierter Stelle Passwort und Schlüssel extrahiert werden können und so alle anderen Überwachten selbst überwachen kann. Ferner – und das ist weit schwerwiegender – besitzt dieses Programm die Möglichkeit, seine Funktionen durch das Nachladen weiterer Module zu erweitern. Es ist also technisch so angelegt, dass es nicht nur Kommunikation überwachen kann. Ferner kann es wohl die vollständige Kontrolle über den PC übernehmen. Es kann damit hinreichend bezweifelt werden, dass dieses Programm verfassungskonform eingesetzt werden kann.

Das Urteil des Verfassungsgerichts spricht aber nicht nur von technischen, sondern auch von rechtlichen Maßnahmen, durch die eine Trennung von Quellen-TKÜ und Online-Durchsuchung sichergestellt sein muss. An dieser Stelle lohnt ein Blick in das BKA-Gesetz, um eine Vorstellung davon zu bekommen, wie eine solche Trennung aussehen kann. Dort wird in §20k die Online-Durchsuchung geregelt und in Artikel 2 festgeschrieben, dass

„2) Es ist technisch sicherzustellen, dass

  1. an dem informationstechnischen System nur Veränderungen vorgenommen werden, die für die Datenerhebung unerlässlich sind, und
  2. die vorgenommenen Veränderungen bei Beendigung der Maßnahme soweit technisch möglich automatisiert rückgängig gemacht werden.

Das eingesetzte Mittel ist nach dem Stand der Technik gegen unbefugte Nutzung zu schützen. Kopierte Daten sind nach dem Stand der Technik gegen Veränderung, unbefugte Löschung und unbefugte Kenntnisnahme zu schützen.“

Mit so einer klaren Regelung werden Programme ausgeschlossen, die unzureichende Verschlüsselung und die schlechte Absicherung des Kontrollservers (die Befehle an den Computer des Überwachten sind gänzlich unverschlüsselt) aufweisen. Kein Wunder also, dass das BKA, wie in einigen Medienberichten zu lesen war, gegen den Einsatz dieser von den bayerischen Behörden eingesetzten Software rechtliche Bedenken hatte.

Ebenso klar formuliert ist der Einzelparagraph zur Quellen-TKÜ (§20l(2)):

„Die Überwachung und Aufzeichnung der Telekommunikation darf ohne Wissen des Betroffenen in der Weise erfolgen, dass mit technischen Mitteln in vom Betroffenen genutzte informationstechnische Systeme eingegriffen wird, wenn

  1. durch technische Maßnahmen sichergestellt ist, dass ausschließlich laufende Telekommunikation überwacht und aufgezeichnet wird, und
  2. der Eingriff in das informationstechnische System notwendig ist, um die Überwachung und Aufzeichnung der Telekommunikation insbesondere auch in unverschlüsselter Form zu ermöglichen.

§ 20k Abs. 2 und 3 gilt entsprechend. § 20k bleibt im Übrigen unberührt.“

Unter diesen rechtlichen Vorgaben würde ein Programm, das durch Nachladen von Funktionen beliebig erweitert werden kann, durchfallen. Hier werden nahezu wörtlich die Forderungen des Bundesverfassungsgerichtes umgesetzt. Eine solch eindeutige Trennung findet man z.B. im Polizeiaufgabengesetz Bayerns nicht. Ebenso fehlt eine solche Trennung in vielen anderen diesbezüglichen Ländergesetzen. Warum haben nicht alle Bundesländer eine so klare Trennung wie im BKA-Gesetz umgesetzt und riskieren damit eine (weitere) Ohrfeige vom Verfassungsgericht? Einige Politiker reagieren auf solche Grundrechtefragen gereizt und daher stellen wir zusätzlich noch eine pragmatisch orientierte Frage: Wieso gefährden Politiker Gerichtsverfahren gegen Straftäter, indem sie Forderungen des Verfassungsgerichtes nicht erfüllen und damit die Nichtigkeit der Beweismittelerhebung riskieren, was dann Strafverfahren mit großer Wahrscheinlichkeit zum Scheitern bringen kann?

Bewertung

Es scheint festzustehen, dass das aufgeflogene Programm zur Quellen-TKÜ eingesetzt wurde, obwohl es die eindeutigen Anforderungen des Bundesverfassungsgerichts nicht erfüllt. Damit war die Datenerhebung in allen Einsatzfällen verfassungswidrig und entsprechende Beweise werden vor Gericht nicht verwendbar sein. Das hat weitreichende Folgen:

Stellen wir uns folgenden hypothetischen Fall vor: Ein vermeintlicher Drogenhändler wird mit dem bayerischen Programm zur Quellen-TKÜ überwacht und spricht mit seinen Partnern in Pakistan. Dabei erzählt er ihnen, dass er – z.B. beim Papstbesuch – einen Anschlag auf den Bundestag plant, um Kanzlerin, Kabinett, Bundespräsident, Papst und möglichst viele Abgeordnete zu töten. Diese Überwachung hätte zwar seinen Dienst zur Gefahrenabwehr getan, aber im Gerichtsverfahren wäre diese Aufzeichnung trotz der besonderen Schwere der geplanten Straftat wertlos gewesen – mit der wahrscheinlichen Folge eines Freispruchs, weil das Programm zur Beweismittelerhebung verfassungswidrig war.

So etwas wäre beim Einsatz des dilettantisch und nachlässig programmierten „Staatstrojaners“ möglich gewesen. Vor dem Hintergrund der eindeutigen Aussagen des Verfassungsgerichts kann eine solche „Nachlässigkeit“ nur verwundern. Die rechtliche Rahmung war eigentlich mit dem neuen BKA-Gesetz abgeschlossen. Die fehlende Umsetzung in allen Bundesländern muss erstaunen.

Auch wenn der aktuelle Fall inzwischen das Medieninteresse schon wieder verloren hat, wird er nachhaltige Auswirkungen zeitigen:

  • Die Betroffenen werden gegen die Untersuchung klagen und Recht bekommen. Alle Strafsachen, bei denen sich die Beweise sich auf diesen „Staatstrojaner“ gründen, werden vor Gericht scheitern, wenn nicht noch stichhaltige Beweise aus anderen Quellen verfügbar sind. Es ist eine Klage vor dem Bundesverfassungsgericht zu erwarten, um zu klären, was noch Quellen-TKÜ und was schon Online-Durchsuchung ist. In der Folge wird es eine ähnliche Trennung von Online-Durchsuchung und Quellen-TKÜ in den Länderpolizeigesetzen geben, wie sie derzeitig schon beim BKA-Gesetz zu finden ist.
  • Es werden früher oder später diverse Politiker und eventuell auch Behördenleiter von Landeskriminalämtern in den betroffenen Bundesländern zurücktreten müssen. Sie stecken in einer Zwickmühle: Scheitert die Verurteilung von Straftätern, so tragen sie die politische Verantwortung dafür. Liegen andere stichhaltige Beweise vor, so war die Quellen-TKÜ mit dem eingesetzten „Staatstrojaner“ unnötig.
  • Die Piratenpartei in Deutschland wird weiter Auftrieb bekommen – so sehr auch die FDP versuchen wird, Positionen der Piraten zu übernehmen. Es wird sich aber auch zeigen, ob die konstruktiven oder die fundamentalistischen Elemente in der Piratenpartei hier die Oberhand gewinnen. Das Fachwissen der Piraten ist derzeitig von anderen Parteien unerreicht. Wenn die Piraten konstruktive Vorschläge machen, wie Sicherheitsbehörden Online-Durchsuchung und Quellen-TKÜ rechtlich und technisch sowohl transparent wie nachvollziehbar durchführen können, hätten sie um unser Land verdient gemacht.

Ein Gedanke zum Schluss…

Die Diskussion über den geschilderten Fall weist ein hohes Maß an Ideologisierung und technische sowie rechtliche Unkenntnis auf, aber auch eine seltsame Einseitigkeit: Zwar sind die hier genannten Verfassungsbrüche von staatlichen Stellen untragbar und müssen abgestellt werden, aber wenn „Staatstrojaner“ die Menschen dieses Landes so sehr in ihren Grundrechten bedrohen, sollten wir dann nicht auch – und das intensiv – diskutieren, wie mit den Cyberkriminellen umzugehen ist, die täglich massenhaft „Trojaner“ versenden und so das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme systematisch verletzen?

Ein Vergleich aus der „analogen“ Welt: Was wäre, wenn es zwar den einen oder anderen Fall (wir reden derzeitig von insgesamt etwa 20 Quellen-TKÜs 2011 in Bayern) einer rechtlich nicht gänzlich einwandfreien Hausdurchsuchung durch die Polizei gäbe, aber gleichzeitig täglich hunderttausendfach versuchte Wohnungseinbrüche und tausendfach vollendete Einbrüche stattfänden? Damit soll bezüglich des Behördenverhaltens nichts beschönigt werden, sondern die Dimensionen und Proportionen des Problems illustriert werden.

So wichtig, wie die Diskussion über die Sicherheitsbehörden in diesem Land ist und die Forderung selbstverständlich ist, dass diese Behörden ausschließlich im Rahmen der Verfassung handeln dürfen und hinreichend demokratisch kontrolliert werden müssen. Die zahlenmäßig deutlich größere Gefahr für die Bürger und Unternehmen dieses Landes geht von Cyberkriminellen aus, die qualitativ deutlich bessere „Trojaner“ einsetzen als das dilettantische Fundstück in diesem Fall. Es wäre eine lohnenswerte Frage an alle Hoch-Empörten, die sich hier (zurecht) um die Privatsphäre, den Rechtsstaat und die Verfassung sorgen, wie diese viel größere Gefahr gebannt werden soll. Hierauf wird es keine „einfachen Antworten“ geben können, sondern es wird ein breiter gesellschaftlicher und politischer Diskurs nötig sein, der mehr Tiefe und Sachlichkeit aufweisen muss, als das, was wir gerade erlebt haben.

Bildnachweis: Bild unter CC BY-SA 2.0-Lizenz von mellowbox (LINK).

Die Kommentarfunktion für diesen Beitrag wurde beendet.