AngezapftWarum Staatstrojaner mit Gesetzen nicht kontrollierbar und damit grundsätzlich abzulehnen sind

Der staatliche Einsatz von Trojaner-Software lässt sich schon per Definition weder technisch noch gesetzlich beschränken. Das ist das Ergebnis einer Diplomarbeit an der Berliner Humbold-Universität, die netzpolitik.org an dieser Stelle exklusiv veröffentlicht. Die Konsequenz kann nur lauten, dass der Staat keine Schadsoftware einsetzen darf.

Darf das BfV nicht einsetzen: Staatstrojaner.

Seit mindestens sieben Jahren überwachen deutsche Staatsorgane fremde Computersysteme mit Staatstrojanern. Etwa 35 mal pro Jahr setzen Behörden von Bund und Ländern solche Überwachungs-Software ein, mehr als hundert Mal in drei Jahren. Zahlen aller Geheimdienste sind nicht bekannt, aber schon Anfang 2009 hatte allein der Bundesnachrichtendienst über 2.500 Rechner infiltriert. Die gesellschaftliche Debatte hinkt dabei der technischen Entwicklung hinterher.

In seiner Diplomarbeit unterstreicht Rainer Rehak, wie groß dieser Graben ist: Angezapft – Technische Möglichkeiten einer heimlichen Online-Durchsuchung und der Versuch ihrer rechtlichen Bändigung. Darin wird deutlich, dass sich staatliche Trojaner allein durch ihre Anforderungen schon technisch nicht hinreichend einschränken lassen, erst recht nicht durch Gesetze. Code ist eben Gesetz.

Die Qualität der Diplomarbeit überzeugte auch seine Gutachter am Informatik-Institut der Berliner Humbold-Universität: sie bekam die Note 1,0. Zunächst arbeitet Rehak anhand öffentlicher Aussagen der verantwortlichen Stellen heraus, welche Funktionen eine heimliche Online-Durchsuchung haben muss. Aus diesen konzeptionellen Anforderungen leitet er technische Eigenschaften einer solchen Software ab.

Probleme schon im Konzept

Ein Staatstrojaner muss beispielsweise zwangsläufig System- und Schreibrechte auf einem Zielsystem haben. Nur so kann sich die Software möglichst gut verstecken und Abwehrprogramme umgehen. Auch zum effektiven und heimlichen Abgreifen der gewünschten Daten sind Systemrechte notwendig. Zudem muss sich ein Staatstrojaner updaten lassen, um sich an Änderungen des Zielsystems anzupassen oder neue Funktionalitäten nachzuladen. Doch sobald eine Software einmal solche umfangreichen Rechte hat, kann eine Beschränkung der Funktionalität nicht mehr sichergestellt oder belegt werden.

Die mit einem Trojaner abgeschnorchelten Daten haben zudem wenig Aussagekraft. Da die Software auf einem fremden System operiert, können die Überwacher nicht erkennen, ob die übermittelten Daten echt oder manipuliert sind. Der CCC hat diese Möglichkeit bereits beim DigiTask-Trojaner demonstriert, in dem falsche Screenshots zurück geschickt wurden. Das war nicht nur ein Problem der konkreten Software, sondern ist grundsätzlich bei jedem Trojaner möglich. Die so erlangten Daten haben daher keine Beweiskraft.

In Deutschland wird der Einsatz staatlicher Trojaner vor allem mit der so genannten Quellen-Telekommunikationsüberwachung (TKÜ) gerechtfertigt. Im Gegensatz zu einer Online-Durchsuchung soll dabei nur Telekommunikation abgehört werden. Nicht nur in der Praxis funktioniert diese Unterscheidung zwischen Telekommunikations- und anderen Daten nicht, wie der Bericht des bayrischen Datenschutzbeauftragten zeigt. Die Trennung der Datentypen ist technisch schlicht nicht hinreichend lösbar. Daher muss auch bei einer Quellen-TKÜ stets die maximale Eingriffshürde angewendet werden.

Auch der vom Bundesverfassungsgericht definierte Kernbereich privater Lebensgestaltung ist durch Staatstrojaner zwangsläufig betroffen. Durch den Einzug informationstechnische Systeme in alle Bereiche des menschlichen Lebens werden auch die Teile der Intim- und Privatsphäre auf solchen Systemen abgebildet, die gegen staatliche Eingriffe absolut geschützt sind. Eine Software kann diesen Kernbereich mit technischen Mitteln nicht erkennen. Eine Einordnung von Daten in den Kernbereich kann nur von Menschen in den Behörden geleistet werden, dann ist der Eingriff aber schon passiert. Somit verletzt jeder Staatstrojaner den Kernbereich privater Lebensgestaltung.

Programmierter Verfassungsbruch

All diese Mängel ergeben sich direkt aus dem Konzept eines Staatstrojaners und betreffen daher grundsätzlich jede Implementation. Hersteller, Funktionen und sogar die Verfügbarkeit von Quellcode sind irrelevant. Das Bundesverfassungsgericht hat in seinem Urteil aus dem Jahr 2008 viele dieser Probleme erkannt. Trotzdem hat es den Einsatz, wenn auch unter engen Grenzen, erlaubt. Dabei zeigt diese Arbeit, dass die grundsätzlichen Probleme nicht durch Recht und Gesetz zu bändigen sind. Fehler und Missbrauch sind hier noch gar nicht eingerechnet.

Daher ist jede Form von Staatstrojanern abzulehnen. Umso schlimmer ist es, dass der Einsatz nicht nur weiter geht, sondern dabei noch nicht einmal das bestehende, unzureichende Recht eingehalten wird. Das hat Frank Rieger in der FAS treffend kommentiert: Rechtsbruch wird Tradition.

17 Ergänzungen

  1. Das Vorgehen ist ja nicht neu. Erst wird ein Status Quo hergestellt: „Brauchen wir, ist unbedingt notwendig, alternativlos, Zweck heiligt die Mittel, Bla bla, Blubb blubb“.
    Dann stellt jemand fest, daß es vielleicht nicht ganz so im Einklang mit Recht und Gesetz ist und schwupp, was macht da der schlaue Politiker? Passt die Gesetzeslage an. Um die Rechtssicherheit wieder herzustellen.
    Problem gelöst, weiter geht es.
    Beispiele gibt es genug, da muss man nicht lange suchen. Wenn dann allerdings auch die Verfassungsgerichte weich werden, wird es langsam aber sicher heikel.

    1. Das mit der “ Gesetzeslage anpassen“ wird hier schon schwieriger, denn dazu müsste eigentlich das Grundgesetz geändert werden, wenn dies möglich…
      Nur neuerdings bedient man sich dazu ja der EU und erklärt des Verfassungsgericht und Grundgesetz einfach für nicht mehr Zuständig.

  2. Es ist ne Diplomarbeit. Können wir da „exklusiv“ ausnahmsweise mal etwas tiefer hängen? Ihr nutzt das in letzter Zeit recht exzessiv…

  3. So, die „logische“ Konsequenz wäre dann jetzt, wo eine wissenschaftliche Arbeit über das Prinzip an sich negativ urteilt, dass das nun ab sofort eingestellt werden müsse bis jemand jene wissenschaftliche Arbeit mit einer anderen, neuen entkräftet? Oder ist das zu „romantisch“ von mir, da die Exekutive in der Realität immernoch mehr Spielraum hat? Oder wird diese Praxis der Exekutive noch solange bestehen, bis in einem realen Fall jemand mit Hilfe dieser Arbeit die Exekutive anklagt und richterlichen Zuspruch und somit Gültigkeit bekäme?

    1. Im Zweifel interessieren sich Exekutive und Legislative doch ohnehin nicht für Tatsachen, wenn die ihren politischen Zielen im Weg stehen.
      [Das Problem gibt es bei Gerichten zwar auch. Es ist auf Bundesebene aber kleiner]

  4. Man muss leider auch dem Verfassungsgericht eine gewisse Mitschuld geben , dass sich die Change verstreichen liesen und diese „Staatstrojaner“ nicht Verboten haben.
    Sie hätten Vorraussehen müssen das diese nicht Kontrollierbar sind!

  5. Also der Staatstrojaner ist abzulehnen, weil:

    Es technisch nicht möglich ist Gesetze in den Code zu schreiben, man also vertrauen müsste, dass die Person (meist wohl ein Polizist) dahinter sich an die Gesetze hält bzw. die „Beschränktheit“ der Software garantiert.

    Die Verdächtigen Beweise fälschen könnten, wenn sie sich den Staatstrojaner eingefangen haben.

    Überzeugt mich jetzt beides nicht so wirklich, der Polizei vertrauen muss man bei Ermittlung eigentlich immer und Beweise fälschen ist auch nichts neues.

    P.S.: Mal ne Frage am Rande: Gibt es diesen „Kernbereich privater Lebensgestaltung“ eigentlich auch bei einer Hausdurchsuchung? Also gibt es Gegenstände o.ä., die die Polizei bei einer Hausdurchsuchung nicht mitnehmen darf, weil sie zu meiner „intimsten Privatsphäre“ gehören?

    1. 1) Menschen im Staatsdienst sind ja schon Handlungsspielräume an die Hand gegeben, aber diese orientieren sich eben an Gesetzen und sind dadurch abschätzbar begrenzt. Nur als Analogie: Verkehrspolizisten können Handfeuerwaffen mit sich führen, aber keine Sturmgewehre, trotzdem man ja darauf vertrauen könnte, dass sie diese nur im Notfall verwenden würden. Das wollen wir als Gesellschaft aber aus guten Gründen nicht, weil diese Geräte für die zu erledigende Aufgabe nicht erforderlich/verhältnismäßig sind. So in etwa kann man das verstehen.

      Zu 2.) Beweise fälschen zu können ist etwas anderes, als dass Informationen kein Beweiswert zufällt, weil Fälschungen seitens der Betroffenen, Behörden, Dritter oder sogar durch Fehlfunktionen grundsätzlich nicht erkannt werden können. Siehe auch „Faxurteil“ Amtsgericht Lübeck Az: 63 Ds 706 Js 101113/03 (579/03)

      @PS: Ja, gibt es auch, dann geht es aber um die Verwertbarkeit, mitnehmen ist erstmal ok. Siehe: http://www.servat.unibe.ch/dfr/bv080367.html

    2. Gegen eine vernüftige Verhältnismäßigkeit sage ich ja gar nichts. Natürlich muss genau überprüft/festgelegt werden, wann und wer solche Mittel wie einen Staatstrojaner einsetzen darf. Und ja, die derzeitige Umsetzung ist mehr schlecht als recht, da stimme ich voll zu.
      Der Autor der Diplomarbeit lehnt einen Einsatz aber von vornerein ab. Und hier frage ich mal, ob es nicht doch auch eine sinnvolle Umsetzung geben könnte.
      Um mal bei deinem Beispiel zu bleiben: Es gibt ja nicht nur Verkehrsdelikte, andere Abteilungen der Polizei haben durchaus schwerere Waffen.

      Bei den Beweisen hast du natürlich recht.

      1. Ich glaube, mit Deiner Frage triffst Du genau den Punkt des Autors. Er zeigt, dass eine solche Maßnahme technisch unkontrollierbar ist. Das muss aber beachtet werden, wenn ein gesellschaftlicher Diskurs über deren Einsatz stattfindet. Denn aus der Politik wird ja regelmäßig behauptet, dass die Maßnahme z.B. auf Kommunikationsdaten zurechtgeschneidert werden kann und deshalb nicht so schlimm ist, aber das ist technisch eben prinzipiell nicht möglich, auch wenn juristisch erdacht (http://tinyurl.com/abs190, OD, Abs. 190).

        Ob eine sinnvolle Umsetzung geben könnte, muss eine Gesellschaft natürlich selbst entscheiden, aber dann auch unter Beachtung der tatsächlichen Konsequenzen und der grundrechtlichen Rahmenbedingungen. Ich denke, dass eine solch intensive und geheime Maßnahme nicht vom Grundgesetz gedeckt sein kann.
        sogar das das BVerfG schrieb 2008:

        Auch wenn es nicht gelingen sollte, speziell auf im Vorfeld tätige Behörden zugeschnittene gesetzliche Maßgaben für den Eingriffsanlass zu entwickeln, die dem Gewicht und der Intensität der Grundrechtsgefährdung in vergleichbarem Maße Rechnung tragen wie es der überkommene Gefahrenbegriff etwa im Polizeirecht leistet, wäre dies kein verfassungsrechtlich hinnehmbarer Anlass, die tatsächlichen Voraussetzungen für einen Eingriff der hier vorliegenden Art abzumildern (OD, Abs. 256).

        Das muss man sich mal auf dem Hirn zergehen lassen. „Dann geht es eben nicht PUNKT.“ ;-)

  6. Hmm.
    Die Diplomarbeit wird erst am
    „Berlin, den 24. November 2012“ (Seite III) abgeliefert und ist jetzt schon bewertet? Wie das?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.