Studie des Europaparlaments: Staatstrojaner bergen erhebliche Risiken für das Grundrecht auf Privatsphäre

Der Einsatz staatlicher Schadsoftware gefährdet nicht nur die Computer-Sicherheit, sondern auch die Meinungs- sowie Informationsfreiheit. Eine Studie des Europäischen Parlaments untersucht die Risiken und entwickelt Vorschläge und Empfehlungen.

Polizei soll per Staatstrojaner ermitteln dürfen. (Symbolbild, Collage durch uns) Pferd: CC-BY-2.0 tirch CC-BY-SA 2.0 Johnny Silvercloud

Sid Rao ist Ford-Mozilla Open Web Fellow bei European Digital Rights. Dieser Artikel erschien zunächst in englischer Sprache im zweiwöchentlichen Newsletter EDRi-gram. Übersetzung und Überarbeitung von Lennart Mühlenmeier.

Die wissenschaftlichen Dienste des Europäischen Parlaments befassen sich mit dem Thema „Rechtsrahmen für Hacking durch Strafverfolgungsbehörden: Identifizierung, Evaluation und Vergleich von Praktiken“ (pdf). Die Studie stellt grundsätzliche Vorschläge für Gesetze bei der Verwendung von Staatstrojanern durch Strafverfolgungsbehörden vor.

Eine vergleichende Prüfung der rechtlichen Rahmenbedingungen für den Einsatz von Staatstrojanern in sechs EU-Mitgliedstaaten (Frankreich, Deutschland, Italien, die Niederlande, Polen und Großbritannien) und drei Nicht-EU-Ländern (Australien, Israel und die USA) war die Grundlage für diese Studie. Diese Länder wurden ausgewählt aufgrund der Ausgereiftheit der jeweiligen nationalen Rahmenbedingungen, öffentlichen Diskussionen und national verwendeten Praktiken.

Der Hauptgrund für die Studie ist die internationale und auf EU-Ebene laufende Debatte über die Frage des angeblichen „Going Dark“. Dieser Begriff bedeutet, dass die Fähigkeiten von Strafverfolgungsbehörden beim Zugreifen und Überprüfen von Beweisen angeblich wegen Verschlüsselung abnehmen. Auch wenn dies immer wieder behauptet wird, hat die Harvard-Universität dargestellt, warum diese Sorge unbegründet ist.

Verhältnismäßigkeit und Risikofaktoren

Die Studie untersucht die auf nationaler Ebene umgesetzten rechtlichen und praktischen Schutzmaßnahmen mit den Zielen: 1. Rechtmäßigkeit, Notwendigkeit und Verhältnismäßigkeit zu garantieren, 2. Beschränkungen des Grundrechts auf Privatsphäre zu untersuchen sowie 3. die Sicherheit des Internets und 4. in geringerem Maße die Regulierung des Verkaufs von Hacking-Werkzeugen zu gewährleisten. Basierend auf diesen Zielen hebt die Studie mehrere wichtige Risikofaktoren beim Einsatz von Staatstrojanern hervor:

  • Staatstrojaner sind äußerst invasiv, vor allem im Vergleich zu traditionellen, aufdringlichen Untersuchungsinstrumenten wie Abhören und Hausdurchsuchungen. Ohne entsprechende Maßnahmen bedeutet dies ein sehr hohes Risiko für das Grundrecht auf Privatsphäre sowie die Meinungs- und Informationsfreiheit.
  • Die Verwendung von Staatstrojanern hat das Potenzial, die Sicherheit des Internets erheblich zu schwächen. Dies geschieht durch eine „Vergrößerung der Angriffsfläche für böswilligen Missbrauch“, zusammen mit möglichen Schäden weit über das beabsichtigte Ziel hinaus.
  • Angesichts der globalen Natur des Internets können Strafverfolgungsbehörden (und deren Dienstleister) den physischen Standort der ins Ziel genommenen Daten nicht erkennen. In vielen dieser Fälle können die Strafverfolgungsbehörden aus der Ferne auf Daten zugreifen, die unter die Gerichtsbarkeit eines anderen Landes fallen.

    Dies bedeutet ernsthafte Risiken für die territoriale Souveränität des anderen Landes. Die meiste Zeit verstoßen Strafverfolgungsbehörden unwissentlich gegen rechtliche Vorschriften. Dies geschieht aufgrund der verwirrenden Natur der Internetinfrastruktur und mangelnder konkreter Verfahren für die Rechtshilfe bei grenzüberschreitenden Untersuchungen.

  • In der jüngsten Vergangenheit haben viele zivilgesellschaftliche Organisationen (einschließlich EDRi-Mitgliedern) die derzeitigen Dual-Use-Exportkontrollsysteme beim Handel mit Software in Frage gestellt. Unverhältnismäßige Kontrolle von Software, die Privatsphäre schützt, gefährdet Menschenrechte.

Voraussetzungen zum Hacken

Die Studie vergleicht weiterhin drei zentrale Punkte: 1. die Gesetze für rechtliche Rahmenbedingungen, 2. deren Kontext bei der Bewertung der technischen Hacking-Methoden und 3. Grundrechtsüberlegungen. Daraus werden sowohl Vorteile als auch Risiken abgeleitet.

Einige der wichtigsten Bedingungen vor dem Einsatz beinhalten:

  • Eine richterliche Anordnung für dein Einsatz staatlicher Schadsoftware,
  • eine Beschränkung des Staatstrojaners, die sich aus der Schwere des Verbrechens ergibt. Ob Hacking erlaubt wird, ergibt sich dann durch einen Verbrechenskatalog. Zum Beispiel sollte der Staat nur hacken dürfen, wenn das untersuchte Verbrechen eine bestimmte Gefängnisdauer vorschreibt und die Einsatzdauer des Trojaners begrenzt ist.

Einige der wichtigsten Bedingungen nach dem Einsatz beinhalten:

  • Betroffene, deren Geräte gehackt wurden, müssen darüber informiert werden,
  • Berichte mit Protokoll über Staatstrojaner-Aktivitäten zur späteren Überprüfung und zur Identifizierung der verwendeten Überwachungsmechanismen.

Positiv- und Negativbeispiele

Die Studie kritisiert einige Punkte in den Hacking-Gesetzen der untersuchten Staaten. In den Justizapparaten von Frankreich, Deutschland, Italien und den Niederlanden gibt es zu wenig Wissen über diese Technik. In den Niederlanden ist nicht klar definiert, welche Geräte angegriffen werden dürfen. In Deutschland fehlen effiziente Verfahren zum Erkennen und Löschen von nicht relevanten Daten.

Die Studie unterstreicht auch einige der positiven Aspekte der Regelungen wie die Bemühungen des italienischen Gesetzentwurfs von 2017. Dort schützt eine Aufteilung der Funktionalitäten des Staatstrojaners vor einer Überbeanspruchung oder einem Missbrauch der umfangreichen Fähigkeiten. Das niederländische „Computerkriminalität“-Gesetz sieht vor, dass für jeden Einsatz von Staatstrojanern die Verhältnismäßigkeit geprüft werden muss. Es legt strenge Regeln für die Einsatz-Genehmigung und notwendiges Fachwissen der Ermittlungsbeauftragten fest.

Fazit

Auf der Grundlage der dargestellten Analyse leiten die Autoren in der Studie zwölf grundsätzliche Vorschläge und Empfehlungen ab. So sollte das Europäische Parlament die Mitgliedstaaten auffordern, bei jedem neuen Gesetz zum Einsatz von Staatstrojanern die Auswirkungen auf die Privatsphäre zu untersuchen und klare rechtliche Vorgaben zu erteilen.

Zudem sollte das Parlament Bemühungen zur Bewertung und Beaufsichtigung von gesetzlich erlaubten Staatstrojanern unterstützen. Sie sollten sich dafür einsetzen, angemessene Reaktionen zu dem Umgang mit Zero-Day-Schwachstellen zu entwickeln. Zuletzt sollte das Parlament sein Engagement für eine starke Verschlüsselung bekräftigen – unter Berücksichtigung der Grundrechte der EU-Bürger und der Internetsicherheit.

Darüber hinaus unterstreichen die grundsätzlichen Vorschläge mögliche Auswirkungen auf den Schutz der Grundrechte im Rahmen von Überwachung. Die Grundrechteagentur der EU analysiert dies als Reaktion auf die Snowden-Enthüllungen. Sie empfehlen, einen ähnlichen Bericht in Bezug auf die rechtlichen Rahmenbedingungen beim Einsatz von Staatstrojanern durch Strafverfolgungsbehörden in allen EU-Mitgliedstaaten anzufertigen.

Außerdem schlagen sie eine Zusammenarbeit von der Grundrechteagentur, der Europäischen Polizeiakademie und der Einheit für justizielle Zusammenarbeit der EU vor. So soll allen Interessenvertretern, die möglicherweise bei diesem Aspekt involviert sind, Weiterbildung ermöglicht werden.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

8 Ergänzungen

  1. Im Internet gibt es keinerlei staatliche Souveränität. Nebenbei lassen sich die „guten Staatstrojaner“ nie und nimmer von den „bösen schwerkriminellen Trojanern“ unterscheiden. Die Staats machen dasselbe wie Windows10 (sofern man das nicht abschaltet, wobei nicht alles abschaltbar ist) und reihenweise banale andere Trojaner, die schon für script Kiddies als Baukästen zu haben sind. Also wäre es viel einfacher bei Microsoft, Amazon, Apple, Google und anderen „Gesetzestreuen“ die Daten zu kaufen. Ansonsten könnten sie selbst zu legitimen Zielen der weltweiten Hackeria werden. Neben dem Gelächter der Hacker, das durch das Netz schwirrt, wenn so ein Pferdchen gefangen wurde. Wenn diese Dinger einmal irgendwo gefunden werden stehen sie selbstverständlich allen Hackern dieser Welt für „andere“ Ziele zur Verfügung. Insofern ist die gesamte Cyberkrieger- und -schnüffelei nicht nur mit Risiken verbunden, sondern dämlich.

    Die können auf- und niederhüpfen, Facebook &. co. können sie zensieren, aber das Internet nicht. Es vergeht ja kein Tag, an dem die „Parteien“ (heute golem.de „Koalition erlaubt Analyse und Blockade von Botnetz-Traffic“) nicht irgendwelchen Mist absondern.

  2. Technisch versierte Computernutzer können sich mit Live-Systemen sehr wirksam gegen Trojaner schützen.

    Wie werden die Hersteller von AV-Software daran gehindert, diese Spionagesoftware (nicht zufällig doch) zu erkennen?

    Hier stellt sich mir die Frage nach der Effektivität bzw. regen wir uns nicht zu sehr über diese Spionagesoftware auf?
    Positiv sollten wird die Wertschöpfungskette (0day Einkauf bis zur Verifizierung und Freigabe mit Schulung) sehen, die spätestens nach einem Wikileak neu gestartet werden muss. Sie sorgt für Arbeitsplätze und einen Zugewinn von Know-how in Neuland.

    1. Nein, wenn der Trojaner im EFI/BIOS ist, hast du auch mit Live-System verloren. Und manchmal kommt der Rechner auch schon trojanisiert zu dir. Siehe Vault7.

      1. Stimmt, aber wie kommt der Trojaner ins EFI/BIOS?

        Ein technisch versierter Computernutzer kauft sich anonym(Bargeld) im PC-Laden ein Mainboard mit Write-Protect Jumper am BIOS-FLASH (Ja, die gibt es noch) oder er verwendet gleich ein Nischensystem (bspw. Minirechner Raspberry PI mit Boot ROM – kein manipulierbares UEFI/BIOS, das System startet von portabler SD-Karte. …)
        Dann hilft nur noch – ganz traditionell – ein Besuch vor Ort, um PC (falls auffindbar) und Zimmer zu verwanzen.

        Als wesentlichen Hemmschuh für einen Einsatz sehe ich: „Betroffene, deren Geräte gehackt wurden, müssen darüber informiert werden“.
        Es wird eine Analyse der Funktionsweise quasi herausgefordert und mit jeder Anwendung immer wahrscheinlicher.
        Denn als Betroffener würde ich meinen PC sofort zu einem befreundeten Computerforensiker oder zum CCC bringen, um den vielleicht noch vorhandenen Staatstrojaner zu finden und zu veröffentlichen (oder um ihn weiter zu verkaufen).
        Das ist „Vergrößerung der Angriffsfläche für böswilligen Missbrauch“ mit Ansage.

        1. „Stimmt, aber wie kommt der Trojaner ins EFI/BIOS? ▒
          Ein technisch versierter Computernutzer kauft sich anonym(Bargeld) im PC-Laden ein Mainboard mit ▒
          Write-Protect Jumper am BIOS-FLASH (Ja, die gibt es noch) oder er verwendet gleich ein Nischensystem ▒
          (bspw. Minirechner Raspberry PI mit Boot ROM – kein manipulierbares UEFI/BIOS, das System startet von ▒
          portabler SD-Karte. …)“

          Das mag sein, aber nicht jeder Computernuzer ist auch versiert, oder wird es!
          Es muss sich politisch etwas ändern, ansonsten ist es wie jetzt schon: die Machtelite an der einen Front, die IT-Elite an der anderen ballern aufeinander und alle die dazwischen zufinden sind gehen drauf…!
          Upfuck….

    2. Um ein live-System zu nutzen muss man nur nicht faul und dumm sein. Dazu gehört kein Können. Die Mehrheit ist mindestens dumm. Das beweisen die ab morgen wieder in Köln. Wenn ich jetzt der große Hacker wäre, würde ich deinen Router kompromittieren. Die Hardware wird dich nicht retten können. Tails läuft aber kaum auf einem Raspi. Da bist du mit Tails durch den Tor-Browser bei höheren Sicherheitsstufen mit PC geschützt. Das bist du aber auch mit anderen Kombinationen. Wobei das reichlich theoretische Fragen sind, denn normalerweise wird man weder von Kriminellen noch von Staatshackern angegriffen. Hier ging es um die generellen Risiken beim Einsatz von irgendwelchen Cyber“kriegern“ und die dürften größer sein, als sich Maas, dieMiesere, Flintenuschi und alle „Politiker“ dieser Welt nur vorstellen könnten. Ganz nach dem Motto der Psychiater: Auch, wenn Sie paranoid sind, heißt das noch lange nicht, dass Sie nicht verfolgt werden. Gerade in diesen bekloppten Zeiten immer zu bedenken. ;-)

  3. Tja, das Parlament kann viel meinen und reklamieren.
    Anders als richtige Parlamente darf es aber keine Gesetze geben, d.h. Gesetzgeber sein.
    Das ist ein Verstoß gegen die Gewaltenteilungsgrundsätze.
    Dieser Verstoß führt dazu, dass wir dummen Bürger außen vor bleiben, und auch dafür, dass man die Idee der EU und der Demokratie auf Jahrzehnte beschädigt und diskreditiert.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.