HessentrojanerLandesregierung plant Ausweitung auf Alltagskriminalität

Die hessische Polizei bekommt künftig Staatstrojaner, darauf haben sich die schwarz-grünen Regierungsfraktionen geeinigt. Damit kommt die Schadsoftware noch häufiger zum Einsatz. Die Bundesregierung hat keine Meinung zu dem Vorhaben, verfassungsrechtliche Bedenken werden ignoriert.

Protestschilder
Eine Protestkundgebung gegen den Hessentrojaner. CC-BY-NC 2.0 Sebastian Scholl

Die schwarz-grüne Landesregierung in Hessen ist weiter auf dem Weg, den Einsatz von Staatstrojanern im Bundesland zu erlauben. Letzte Woche verlautbarten die Grünen, dass man dem Landesverfassungsschutz das Hacken doch nicht erlauben will, dafür aber der Landespolizei. Damit dürfte das staatliche Eindringen in IT-Geräte noch viel öfter passieren als ursprünglich geplant, quasi bei Alltagskriminalität.

Die FDP-Fraktion im Bundestag hat unterdessen eine kleine Anfrage zu diesem Hessentrojaner gestellt. Wir haben jetzt die Antwort der Bundesregierung erhalten und veröffentlichen sie – wie gewohnt – in Volltext.

Die Essenz: Die Bundesregierung hat „keine Meinung“ zum hessischen Gesetz.

Die Liberalen fragen spezifisch zu den Knackpunkten jeder staatlichen Schadsoftware. Das sind einerseits potentielle Konflikte mit dem Grundgesetz. Immer wieder haben Juristen darauf hingewiesen, dass schon das Bundesgesetz zum Staatstrojaner wahrscheinlich verfassungswidrig ist, darunter die Bundesdatenschutzbeauftragte. Auch in Hessen lautet das Urteil fast aller Experten, das Gesetz sei verfassungswidrig und gefährlich.

Bundesregierung: „Keine Gefahr für IT-Sicherheit“

Das zweite Hauptproblem entsteht durch die staatliche Förderung von Sicherheitslücken, da sie diese ja ausnutzen wollen statt sie zu schließen. Im ersten Urteil zum Staatstrojaner hat das Bundesverfassungsgericht extra ein „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ geschaffen. Der Staat hat demnach höchstrichterlich die Aufgabe, IT-Sicherheit zu gewährleisten – die Beteiligung am Markt für Sicherheitslücken bewirkt genau das Gegenteil. Die Bundesregierung aber sieht „keine Gefahr für die IT-Sicherheit des Bundes oder kritischer Infrastruktur“.

Der Liberale Jimmy Schulz, Vorsitzender des Ausschusses Digitale Agenda des Bundestages, kommentiert gegenüber netzpolitik.org:

Vor dem Hintergrund einer polarisierenden öffentlichen Debatte ist es unerklärlich, dass sich die Bundesregierung nicht mit dem Entwurf für ein neues Verfassungsschutzgesetz durch die hessische Landesregierung beschäftigt hat.

Wenn eine Landesgesetzgebung so weitreichende Konsequenzen für die Sicherheit der Bundesrepublik hat, ist es die Pflicht der Bundesregierung und des Deutschen Bundestages, sich des Themas anzunehmen.

Hier die Vorab-Antwort der Bundesregierung aus dem PDF befreit:

Update 31. Mai: Jetzt gibt es die Antwort auch als offizielle Drucksache.


Kleine Anfrage der Abgeordneten Jimmy Schulz u. a. und der Fraktion der FDP

Hessentrojaner und Online-Durchsuchung: Zum Gesetzesentwurf der hessischen Landesregierung zur Neuausrichtung des Verfassungsschutzes

BT-Drucksache 19/2064

Vorbemerkung der Fragesteller:

Mit dem Gesetzesentwurf zur Neuausrichtung des Verfassungsschutzes in Hessen (Hessischer Landtag, Drucksache 19/5412) plant die hessische Landesregierung eine Ausweitung der Befugnisse des Landesamtes für Verfassungsschutz. Insbesondere soll das LfV Hessen danach die Befugnis und Mittel erhalten, zur Informationsgewinnung Computersysteme zu hacken. Gerade der geplante Einsatz zur sog. „Quellen-Telekommunikationsüberwachung“ (Quellen-TKÜ) und zur „Online-Durchsuchung“ informationstechnischer Systeme wurde von verschiedenen Gruppierungen (Sachverständigenauskunft des FifF sowie die Stellungnahme des CCC) sowohl aus technischer als auch verfassungsrechtlicher Sicht kritisiert.

So weist bspw. der Chaos Computer Club (CCC) in seiner Stellungnahme zum vorliegenden Gesetzesentwurf darauf hin, dass ebenjener nicht die 2008 vom Bundesverfassungsgericht in einem Urteil festgelegten Bedingungen für den Einsatz von Staatstrojanern erfüllt: „Die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, ist verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen“ (vgl. BVerfG, Urt. v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, 2. Leitsatz). Der CCC konstatiert, dass im vorliegenden Gesetzesentwurf diese Einschränkung in Bezug auf die Online-Durchsuchung nicht erfolgen würde. Außerdem erfolge noch nicht einmal eine Einschränkung auf Straftaten nach § 3 Abs. 1 des G10-Gesetzes.

Gerade aufgrund der polarisierenden öffentlichen Debatte, der Schwere eines solchen Eingriffs und den damit einhergehenden technischen Risiken, ist es nach Ansicht der Fragesteller notwendig, dass sich auch der Deutsche Bundestag und die Bundesregierung mit dieser Problematik beschäftigen.

Frage 1:

Hat die Bundesregierung Kenntnis von dem oben genannten Gesetzentwurf? Wenn ja, hat die Bundesregierung sich hierzu eine Meinung gebildet, insbesondere dazu, ob die §§ 6 ff. des Gesetzentwurfs

  1. die Vorgaben des BVerfG, insbesondere die im oben genannten Urteil des BVerfG sowie der Entscheidung zum BKA-Gesetz (Urteil v. 20.4.2016, 1 BvR 966/09 und 1 BvR 1140/09) aufgestellten Bedingungen für die Infiltration informationstechnischer Systeme – sowohl zum Zwecke der Online-Durchsuchung als auch der Quellen-Telekommunikationsüberwachung – erfüllen?
  2. einen ausreichenden Schutz des Kernbereichs privater Lebensgestaltung enthalten?
  3. das zu kompromittierende informationstechnische System ausreichend klar definieren, damit insbesondere sichergestellt ist, dass ein Zugriff auf ein System zumindest dessen Nutzung voraussetzt und nicht lediglich der Verdacht ausreicht, auf einem System könnten sich relevante Daten befinden?
  4. einen Eingriff auch auf Systeme, die nach der KritisV Teil der kritischen Infrastruktur sind (etwa Stromnetze, Internetknotenpunkte), oder auch Behördennetze, Fahrzeugelektronik sowie medizinisch genutzte Computersysteme (Herzschrittmacher, lebenserhaltende Maschinen) ausschließen und, wenn nicht, auf welche Systeme ein solcher Zugriff möglich wäre?
  5. mit der Kompromittierung informationstechnischer Systeme Dritter, sofern diese Systeme durch die von der Maßnahme betroffene Person genutzt werden, dem LfV die Möglichkeit eröffnet, ganze Serversysteme wie bspw. E-Mail-Server zu hacken?
  6. die Gefahr erhöhen, dass damit die Funktionsfähigkeit der betroffenen Systeme gefährdet und die Erfassung der Daten vieler Unbeteiligter nicht ausgeschlossen werden kann?
Antwort zu den Fragen 1a bis 1f:

Die Fragen 1a) bis 1f) werden gemeinsam beantwortet. Die Bundesregierung hat Kenntnis von dem Gesetzentwurf, der als Landtagsdrucksache – wie oben angegeben – veröffentlicht ist. Die Bundesregierung hat sich zu dem Gesetzentwurf keine Meinung gebildet. In der föderalen Ordnung des Grundgesetzes, die Bund und Ländern je eigene Gesetzgebungszuständigkeiten zuweist, besteht dazu kein Anlass.

Frage 2:

Welche Konsequenzen hat die Bundesregierung nach den Attacken mit dem sogenannten „WannaCry“-Trojaner, der eine von der NSA für mindestens 5 Jahre geheim gehaltene Sicherheitslücke ausnutzte und 230.000 Computer in über 150 Ländern infizierte, im Hinblick auf die Geheimhaltung von Sicherheitslücken zum Zwecke nachrichtendienstlicher Ermittlungen gezogen?

Frage 3:

Sieht die Bundesregierung in einer aus Sicht der Fragesteller aufgrund des Gesetzentwurfes zu befürchtenden Praxis, sogenannte „Zero-Day-Exploits“ auf dem Schwarzmarkt zu kaufen oder Sicherheitslücken geheim zu halten, um diese zur Infiltration informationsdienstlicher Systeme auszunutzen, eine Gefahr für die IT-Sicherheit des Bundes oder kritischer Infrastruktur? Hält die Bundesregierung den hessischen Landesverfassungsschutz – auch im Hinblick auf die Kooperationsverpflichtung in Angelegenheiten des Verfassungsschutzes nach §§ 1 Abs. 2 und § 6 Abs. 1 S. 1 BVerfSchG – gegenüber dem Bund für verpflichtet, diese Gefahr zu vermeiden? Wenn ja, was gedenkt die Bundesregierung im Falle eines Verstoßes gegen diese Verpflichtung zu unternehmen?

Antwort zu Frage 2 und 3:

Die Fragen 2 und 3 werden aufgrund ihres Sachzusammenhangs gemeinsam beantwortet.

Die Bundesregierung setzt sich inhaltlich mit der Thematik des Umgangs mit Sicherheitslücken und Exploits (auch Zero-Day Exploits) auseinander. Da die Meinungsbildung innerhalb der Bundesregierung nicht abgeschlossen ist, kann weder zur Frage des möglichen Ankaufs noch zum möglichen Umgang mit (erheblichen) Sicherheitslücken in Software- und Hardwareprodukten eine Aussage getroffen werden.

Nach § 2 Absatz 1 Satz 2 des genannten Gesetzentwurfs ist Aufgabe des Landesamts für Verfassungsschutz, es den zuständigen Stellen zu ermöglichen, rechtzeitig die erforderlichen Maßnahmen zur Abwehr von Gefahren für die freiheitliche demokratische Grundordnung, den Bestand und die Sicherheit des Bundes und der Länder zu treffen. Die Bundesregierung sieht in der Wahrnehmung dieser Aufgabe keine Gefahr für die IT-Sicherheit des Bundes oder kritischer Infrastruktur.

Frage 4:

Entspricht es der Auffassung der Bundesregierung, dass die Quellen-TKÜ technisch mit der Online-Durchsuchung vergleichbar ist?

Antwort zu Frage 4:

Es wird auf die Antwort der Bundesregierung zu Frage 14 der Kleinen Anfrage der Fraktion der FDP „Rechtsgrundlagen und Einsatz der Quellen-Telekommunikationsüberwachung“ auf Bundestagsdrucksache 19/1505 vom 3. April 2018 verwiesen.

Frage 5:

Entspricht es der Auffassung der Bundesregierung, dass die Quellen-TKÜ hinsichtlich ihrer rechtlichen Anforderungen, insbesondere im Hinblick auf einen Eingriff in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme aus Artikel 2 Abs. 1 i.V.m. Artikel 1 Abs. 1 GG, mit einer Online-Durchsuchung vergleichbar ist?

Antwort zu Frage 5:

Es wird auf die Antwort der Bundesregierung zu Frage 15 der Kleinen Anfrage der Fraktion der FDP „Rechtsgrundlagen und Einsatz der Quellen-Telekommunikationsüberwachung“ auf Bundestagsdrucksache 19/1505 vom 3. April 2018 verwiesen.

Frage 6:

Hat sich die Bundesregierung vor dem Hintergrund von Frage 4 und 5 eine Meinung zu den im hessischen Gesetzesentwurf geplanten unterschiedlichen Eingriffshürden für die Quellen-TKÜ und die Online-Durchsuchung gebildet? Wenn ja, welche?

Antwort zu Frage 6:

Auf die Antwort zu Frage 1 wird verwiesen.

Frage 7:

Wie bewertet die Bundesregierung eine Ausweitung der nachrichtendienstlichen Befugnisse im Hinblick auf die Überwachung informationstechnischer Systeme vordem Hintergrund, dass Nachrichtendienste nach Ansicht der Fragesteller wesentlich schwieriger demokratisch zu kontrollieren sind als bspw. Polizeibehörden?

Antwort zu Frage 7:

Auf die Antwort zu Frage 1 wird verwiesen. Die Nachrichtendienste des Bundes unterliegen einer besonders intensiven Kontrolle, insbesondere durch das Parlamentarische Kontrollgremium nach Artikel 45d des Grundgesetzes (GG).

Frage 8:

Ist die Bundesregierung – auch im Hinblick auf die Koordinierungsfunktion des BfV der Auffassung, dass auf Grundlage deutscher Bundes- und Landesgesetze auf informationstechnische Systeme wie z. B. E-Mailserver zugegriffen werden darf, die

  1. sich nicht in dem Land befinden, in dem dieses Gesetz gilt, sondern in einem anderen Bundesland?
  2. sich nicht innerhalb der Bundesrepublik Deutschland befinden, sondern in einem anderen europäischen Land?
Frage 9:

Ist eine deutsche Behörde nach Auffassung der Bundesregierung verpflichtet, den Zugriff auf informationstechnische Systeme zu beenden, wenn sich herausstellt, dass das informationstechnische System sich nicht innerhalb der Bundesrepublik Deutschland befindet?

Antwort zu Frage 8 und 9:

Die Fragen 8 und 9 werden aufgrund ihres Sachzusammenhangs gemeinsam beantwortet.

Die Entscheidung über die Durchführung, bzw. die Fortsetzung derartiger Zugriffe ist von den zuständigen Behörden nach Maßgabe des jeweiligen Einzelfalls unter Berücksichtigung der nationalen Befugnisnormen und der anwendbaren völkerrechtlichen Verträge zu entscheiden.

Der Bundesregierung erschließt sich kein Bezug der Koordinierungsfunktion des Bundesamtes für Verfassungsschutz (BfV) zur aufgeworfenen Frage.

17 Ergänzungen

  1. bedenklich und sehr sehr gefährlich, was hier sukzessive vorangetrieben wird!

  2. zur Klarstellung:

    Die Hessische Polizei hat bereits eine gesetzliche Regelung für Staatstrojaner. Diese wurde von der CDU eingeführt und zu Zeiten der CDU/FDP-Landesregierung auch eingesetzt.

    Dann kam das Staatstrojaner-Urteil des BVerfG und es sieht so aus wie überall anders auch:
    Es gibt eine gesetzliche Regelung, aber die Polizei kann sie nicht benutzen. Weil sie keinen Trojaner bauen kann, der die rechtlichen Vorgaben erfüllt.
    Das wird sich auch mit der neuen Regelung nicht ändern.

    Die bisherige Regelung ist in § 15b HSOG zu finden:
    http://www.lexsoft.de/cgi-bin/lexsoft/justizportal_nrw.cgi?xid=169564,121

  3. Was geht den Bund ein Gesetz eines Bundeslandes an. In dem Fall hat der Bund gar keine Meinung zu haben. Natürlich kann man die Bedenken gegen jeden staatlichen Trojaner teilen. Der Nutzen der Dinger ist höchst fraglich. Bisher ist aber nirgendwo so ein Pferdchen gefangen worden. Ich wüßte auch nicht, wie mir jemand, der keinen direkten Zugang zum Gerät hat, so ein Ding unterjubeln könnte. Kriminelle werden ihr Treiben noch erheblich besser schützen. Von daher würde ich die Gefährdung durch die Staatstrojaner in unseren Breiten als gegen Null Komma Prozent tendierend einschätzen.

      1. 2011 ist ja schon lange her. Hat jemand eigentlich neuen Trojaner gesehen (seit dem letzten Sommer, zum Beispiel)?

  4. Alle mal wieder entspannen. Das hacken von fremden Computern ist nur das letzte Mittel und unterliegt dem Richtervorbehalt. Alltagskriminalität fällt daher raus. Und übrigens, wer keine Straftaten begeht, wird nicht in den Genuss dieses Dienstes kommen. Also wo ist das Problem?

    1. Bald kommt einer daher und behauptet, das ein 08/15 Dieb einer kriminellen Vereinigung angehören könnte und dessen Mitgliedschaft nur noch mit seinem Smartphone nachgewiesen kann, dann wird der Trojanereinsatz für normale Taschendiebe Novelliert!
      Klar werden dann auch die echten Gefährder damit überwacht, also Meinungsabweichler innerhalb der Regierungsparteien, die z.B. internas an die Öffentlichkeit weitergeben, obwohl ihre eigene Partei das untersagt hatte.

      Also hast du Recht, dieser Trojaner wird ausschließlich gegen (Regierungs-) Gefährder und Terroristen (z.B Menschenrechtler terrorisieren unser Land schon seit Jahrzehnten mit ihren Aktionen, siehe Berlin, Kita Plätze oder in Bayern gegen das PAG)!

      1. Das ist tatsächlich eine übliche Masche der Ermittlungsbehörden. Sobald drei Täter gemeinsam vorgehen, gelten sie als Bande. Damit öffnet sich selbst bei einfachen Bagatelldelikten der komplette Giftschrank der G-10-Maßnahmen.

        1. Ich möchte Deine heiteren Rants ja nicht durch Fakten stören, aber G-10-Maßnahmen richten sich nach dem Artikel-10-Gesetz. Dieses Gesetz hat mit Ermittlungsbehörden nichts zu tun, sondern erlaubt Geheimdiensten Überwachungsmaßnahmen. Geheimdienste sind keine Ermittlungsbehörden wie etwa die Polizei oder der Zoll.

          1. Richtig. Polizeiliche Massnahmen richten sich ausschließlich nach der StPO.

  5. Was sagt denn eigentlich der Landesbeauftragte für Datenschutz (LfD) Hessen, die Behörde um Prof. Dr. Michael Ronellenfitsch, zum Thema? Wäre doch die 1. Adresse in dieser Sache. Aber wenn ich richtig überlege hat sich der LfD Hessen, in der Vergangenheit, zu Themen der staatlicher Überwachung gar nicht oder nur “wachsweich“ geäußert.

  6. Vielleicht sehen die Leute nun endlich, dass die Grünen sich im Gesamten im Grunde nicht für Bürgerrechte interessieren, löbliche Ausnahmen natürlich ausgenommen.
    Im Artikelbild wird ja auch schon eine Flagge der Piratenpartei gezeigt. Vielleicht besteht doch noch Hoffnung.

    1. Nein, die „Grünen“ sind wie die Parteianhänger der CD/CS Union.

      Gläubige!

      Versuch mal so einem Gläubigen etwas Realität zu vermitteln, diese Leute springen eher von der Klippe, als zuzugeben das Du in irgendeiner Art und Weise etwas Argumentativ vorlegen kannst.

  7. Die Behörden aller Länder haben noch nicht dargelegt, wie sie die Daten, die sie sammeln schützen! Sobald, die Polizei bspw., erhobene Daten mit Daten-Banken, bspw. mit Interpol oder gar NSA-Datenbanken, abgleicht, sind die Daten kopiert! Da hats nunmal gar keinen Wert, wenn die Behörde meinte, sie würde ja die nicht benötigten erhobenen Daten löschen.
    Hinzu kommt, daß Behörden, die entsprechende Monopol-Machtstellungen im digitalen Zeitalter für sich fordern, jahrelange Entwicklung in Kryptographie-Entwicklung nicht nur verschlafen, sondern auch aktiv behindert haben.

    Die Daten landen momentan überall – nur nicht beim Bürger, der sie produziert. Richtig schlimm wirds dann, wenn auch deutsche Behörden bei Facebook und Co. nicht mehr an die erhobenen Daten der vergangenen 20 Jahren rankommen.

    Treppenwitz der Geschichte: Die, die zu Beginn des Internets, ab Mitte der 90er Jahre circa, mit Killerspielen und Raub(!)kopien argumentierten, sind dieselben, und ihre (paar) Zöglinge, die heute die Daten verlieren (können) und von Cyber-Kriegen faseln.

  8. „Die Bundesregierung hat keine Meinung zu dem Vorhaben, verfassungsrechtliche Bedenken werden ignoriert.“

    Waaas, …..echt?
    Natürlich hat die Bundesregierung dazu eine Meinung -begeistert,
    Orgasmen. Sie geht den gemeinen Bürger nur gar nichts an.
    Die das vertretenden ’sind‘ halt DER Staat, sakrosankt und wenn ihm möglich, „unfehlbar“, unhinterfragbar. Und die staatliche Omerta. Das die Grünen dem zustimmen, ist traurig und vielsagend.

  9. Ich wette um meine nicht auto-korrigierten Rechtschreibfehler, daß diese Trojaner Backdoors in diese Behörden sind: Man sagts ihnen, aber sie glauben nicht an den Boomerang-Effekt! Beim Fußball gibts ne beliebte Taktik um die gegnerische Defensive zu zerstreuen: Mit einem Ballverlust täuscht die angreifende Mann/Frauschaft die Möglichkeit eines Konters vor. Die Defensive begibt sich in Konter-Angriffs-Marsch-Stellung, 2 geübte Spielmacher der Offensive holen sich den Ball zurück und passen zum Abstauber, bspw. Garet Bale.

    Gibts doch nicht?!

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.