Nach einem Bericht von Hakan Tanriverdi u.a. in der Süddeutschen Zeitung vom 26.1.2018 (http://www.sueddeutsche.de/digital/ueberwachung-polizei-spioniert-handynutzer-mit-trojaner-aus-1.3842439) setzt das Bundeskriminalamt schon seit einiger Zeit einen digitalen Schädling ein, um die verschlüsselte Kommunikation in Smartphone-Messengern wie Threema, Signal oder WhatsApp mitzulesen: Der Staatstrojaner für Smartphones ist da.

In der vergangenen Legislatur habe ich als Mitglied des Bundestags an den Beratungen zu den gesetzlichen Grundlagen dieses Staatstrojaners mitgewirkt. Ich habe vor der Unverhältnismäßigkeit des Grundrechtseingriffs gewarnt und vor verfassungsrechtlichen Problemstellungen. Ich habe auf die Gefahren für die allgemeine Sicherheit von IT-Systemen hingewiesen, die mit der Entwicklung und dem Einsatz einer solchen staatlichen Schadsoftware einhergehen.

Leider ist es mir nicht gelungen, die Befürworter des Staatstrojaners in Regierung und Bundestag von meiner Argumentation zu überzeugen, und so blieb mir nur, die Gesetzesvorlage im Parlament abzulehnen. Die Gesellschaft für Freiheitsrechte (GFF) wird beim Bundesverfassungsgericht in Karlsruhe Verfassungsbeschwerde gegen den Staatstrojaner einlegen. Wenn ich nicht schon Mitglied wäre, dann wäre das ein guter Grund, einzutreten und die Arbeit dieser selbsternannten „Rechtsschutzversicherung für das Grundgesetz“ zu unterstützen: https://freiheitsrechte.org/

Auch Heribert Prantl macht diese Bedenken in seinem Kommentar in der Süddeutschen Zeitung vom 26.1.18 noch einmal deutlich, er sagt: „Der Staatstrojaner frisst die Grundrechte auf“: http://www.sueddeutsche.de/digital/ueberwachung-der-staatstrojaner-frisst-die-grundrechte-auf-1.3842098

Warum greift der Staatstrojaner in die Grundrechte ein?

In Art. 10 verbürgt unser Grundgesetz das Brief-, das Post- sowie das Fernmeldegeheimnis, das den Schutz der Vertraulichkeit der Kommunikation vor hoheitlichen Zugriffen gewährleistet. Beschränkungen dieses Freiheitsrechts dürfen nur auf Grund eines Gesetzes angeordnet werden. Es braucht einen wichtigen Grund für eine solche Kommunikationsüberwachung, und sie muss richterlich genehmigt werden.

Auf der Grundlage von Art. 2 GG in Verbindung mit der Menschenwürdegarantie des Grundgesetzes (Art. 1 Abs. 1) entwickelte das Verfassungsgericht in den 80er Jahren im sogenannten Volkszählungsurteil das Recht auf informationelle Selbstbestimmung.

Als Reaktion auf den ersten Versuch eines Gesetzgebers, die Durchsuchung von IT-Systemen gesetzlich zu regeln, entwickelte das Verfassungsgericht 2008 auf Grundlage derselben Garantien unserer Verfassung das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme. Ein Eingriff in dieses Grundrecht wiegt noch schwerer, er bedarf sehr schwerwiegender Gründe und muss ebenfalls richterlich genehmigt sein.

In 2017 sollte ein neuer Anlauf gestartet werden, die Online-Durchsuchung von IT-Systemen gesetzlich zu ermöglichen. Zudem sehen sich die Ermittler der Problematik gegenüber, dass eine Überwachung der Kommunikation via Messenger-Diensten immer schwieriger wird, weil diese Dienste die Kommunikation verschlüsseln. Da man einerseits die Verschlüsselung nicht brechen, andererseits aber auch keine Hintertüren in die Software einbauen will, bleibt nur die Überwachung an der Quelle, also auf dem Endgerät, wo die Kommunikation vor der Verschlüsselung bzw. nach der Entschlüsselung offenliegt.

Der Bundestag hat zum Ende der vergangenen Legislatur mit dem §100a der Strafprozessordnung (stopp) die gesetzliche Grundlage für den Einsatz von Staatstrojanern geschaffen, der die Überwachung der Telekommunikation an der Quelle, die Quellen-TKÜ, auf mobilen Geräten ermöglicht. Mit vielen anderen zweifle ich die Verhältnismäßigkeit und auch die Verfassungsmäßigkeit dieser Regelung an, noch mehr aber die der technischen Umsetzung. Die Regelung wurde geschaffen und grundrechtlich abgesichert zur Überwachung einer laufenden Kommunikation. Technisch gesehen muss der Trojaner die Kommunikation aber vor ihrer Verschlüsselung bzw. nach ihrer Entschlüsselung auslesen und damit auf den Speicher des Geräts zugreifen. Die Regelung soll deshalb nicht nur die Überwachung der laufenden Kommunikation ermöglichen, sondern ausdrücklich auch das Auslesen früherer Kommunikation. Das hat das Bundesverfassungsgericht im Rahmen einer Quellen-TKÜ aber ausdrücklich verboten. Für einen solchen Zugriff ist die grundgesetzliche Grundlage also nicht vorgesehen und nicht gegeben. Und solange niemand den Quellcode des Trojaners überprüft hat, kann man auch nicht von einer Begrenzung der Wirksamkeit des Trojaners ausgehen.

Die gesetzliche Regelung, nach der ein staatlicher Trojaner zur Online-Durchsuchung eingesetzt werden darf, also auch zum Zugriff auf die gespeicherten Daten eines IT-Systems, unterliegt noch höheren Hürden. Auch den §100b stopp, der die Online-Durchsuchung regelt, halte ich mit vielen anderen für verfassungsrechtlich bedenklich, beispielsweise weil er Berufsgeheimnisträger nach meiner Einschätzung nur unzureichend schützt. Zudem ist der Katalog der Straftaten weiter gefasst, als es das BVerfG erlaubt - zum Schutz des Eigentums beispielsweise ist ein so gravierender Eingriff wie eine Online-Durchsuchung nach Meinung des Gerichts nicht zulässig. Der Gesetzgeber will die Maßnahme gleichwohl auch hierzu einsetzen.

Neben den verfassungsrechtlichen Bedenken gibt es aber auch technisch-politische Gründe, die gegen die Infiltration von IT-Systemen durch staatliche Stellen sprechen.

Warum schadet der Einsatz eines Staatstrojaners der allgemeinen IT-Sicherheit?

Zur Installation eines Staatstrojaners muss die ausführende Ermittlungsbehörde eine Sicherheitslücke in der Software des Geräts kennen und ausnutzen, die er ausspionieren soll. Es liegt dabei im Interesse der Sicherheitsbehörden, dass diese Sicherheitslücke dem Hersteller der Software nicht bekannt ist, weil er sie ansonsten beheben und den Eingriff unmöglich machen könnte. Die Sicherheitsbehörde wird also bestrebt sein, die Sicherheitslücke offen und geheim zu halten.

Am Beispiel der Schadsoftware wannacry haben wir nochmals leidvoll erfahren, dass vom Staat gehortete Sicherheitslücken zwar offen bleiben, aber nicht geheim. Vom amerikanischen Geheimdienst NSA über Jahre offengehalten, wurde die Sicherheitslücke von Kriminellen gestohlen und ausgenutzt. Und erst als weltweit ein Riesenschaden zu entstehen drohte, wurde der Hersteller informiert und konnte die Sicherheitslücke schließen. Keine staatliche Behörde und niemand sonst kann Sicherheitslücken oder auch Angriffswerkzeuge wie einen Trojaner so sicher aufbewahren, dass diese nicht auch von anderen, beispielsweise von kriminellen Kräften oder von fremden Geheimdiensten, gestohlen und genutzt werden können.

Dass der Staat Sicherheitslücken und Angriffsvektoren sucht oder gar aufkauft und dann nicht für deren Behebung sorgt, steht nach meiner Auffassung in krassem Widerspruch zu der gesamtstaatlichen Verantwortung für die IT-Sicherheit, für die Vertraulichkeit unserer Kommunikation und die Sicherheit unserer IT-Systeme und ihrer Infrastruktur. Jede nicht geschlossene Sicherheitslücke stellt eine Gefährdung unserer IT-Sicherheit dar. Deshalb plädiere ich für eine Verpflichtung auch staatlicher Stellen, relevante Sicherheitslücken dem Hersteller der betroffenen Software zu melden, damit sie geschlossen werden kann.

Ich bleibe dabei: Der Staatstrojaner ist ein inakzeptabler Eingriff in die Grundrechte, und er schadet unserer Sicherheit, weil er Kommunikation und IT-Systeme verletzlich macht.