In einem Hau-Ruck-Verfahren, ohne öffentlichen Diskurs oder parlamentarische Debatte, trieb die Bundesregierung im Sommer vor einem Jahr die Ausweitung des Einsatzes von Staatstrojanern und Online-Durchsuchung durch den Bundestag. Die Opposition war entrüstet, Bürgerrechtler kündigten eine Verfassungsbeschwerde vor dem Bundesverfassungsgericht an. Wie der Staat nun gleichzeitig Sicherheitslücken ausnutzt und stopft, erklärt der Strafrechtler Fredrik Roggan in diesem Gastbeitrag. Es ist einer von rund 45 Beiträgen des heute in Karlsruhe vorgestellten Grundrechte-Reports 2018 – Zur Lage der Bürger- und Menschenrechte in Deutschland.
Professor Dr. Fredrik Roggan lehrt an der Fachhochschule der Polizei des Landes Brandenburg. Er ist stellvertretender Bundesvorsitzender der Humanistischen Union und Autor zahlreicher Publikationen zu Themen des Strafprozess-, Polizei- und Geheimdienstrechts. Wir veröffentlichen seinen Beitrag aus dem Grundrechte-Report 2018 mit dem Titel „Quellen-Telekommunikationsüberwachung und Online-Durchsuchung zur Strafverfolgung“ mit freundlicher Genehmigung des Verlags. Alle Rechte vorbehalten.
Man darf es durchaus als Nebelkerze bezeichnen, was der Vorsitzende der SPD-Bundestagsfraktion Thomas Oppermann via Twitter verbreiten ließ: Man beschließe ein Gesetz, „das den Einsatz von Quellen-TKÜ erlaubt, um schwere Straftaten zu verhindern“. Vernebelnd ist an dieser Aussage schon, dass mit diesem Gesetz nicht nur die genannte Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) eingeführt wurde, sondern auch die noch wesentlich intensiver in Grundrechte eingreifende Online-Durchsuchung. Verwirrung stiftete der Tweet des Volljuristen auch, weil die Strafprozessordnung (StPO), in die diese Überwachungsinstrumente eingeführt wurden, kein Gesetz zur Gefahrenabwehr ist, sondern die Aufklärung bereits begangener Taten bezweckt. Zudem wird dem Publikum vorenthalten, dass die Quellen-TKÜ unter denselben Voraussetzungen wie die „normale“ Telefonüberwachung zulässig ist.
Mit ihrer Hilfe dürfen die Strafverfolgungsbehörden echte Schwerkriminalität ebenso aufklären wie beispielsweise Betrugs-, Urkundenfälschungs- und Hehlereidelikte und sogar die Verleitung zur missbräuchlichen Asylantragstellung. Dass diese Ermittlungsmethode vor allem bei mittelschwerer Alltagkriminalität eingesetzt wird, zeigt sich schon an der Massenhaftigkeit ihrer Anordnung, die regelmäßig weit über 30.000 pro Jahr liegt. Warum greift ein Parlamentarier zu einem 140-Zeichen-Medium und stiftet durch einen Tweet eher Unklarheit, anstatt für wahrhaftige Erläuterung einer bedeutsamen Erweiterung von Überwachungsbefugnissen zu sorgen?
Brisanz der neuen Ermittlungsinstrumente
Bei der Quellen-TKÜ wird heimlich eine Spionagesoftware („Trojaner“) auf Handys, Tablets und anderen elektronischen (Kommunikations-)Systemen installiert, um die Verschlüsselung von sog. Messenger-Diensten, also WhatsApp & Co, zu umgehen. Hierzu werden von den Strafverfolgungsbehörden Sicherheitslücken, also Schwachstellen in den informationstechnischen Systemen, ausgenutzt.
Solche Schwachstellen soll eigentlich eine andere staatliche Stelle, das Bundesamt für die Sicherheit in der Informationstechnik, im Interesse der Allgemeinheit beseitigen (§ 3 Abs. 1 S. 1 BSI-Gesetz). Letztere müsste also das beseitigen, was bei der Quellen-TKÜ ausgenutzt wird. Das heißt: Sicherheitslücken in den elektronischen Kommunikationssystemen von jedermann, die deutschen Behörden bekannt sind, werden aus Gründen der Strafverfolgung nicht geschlossen. Hierin liegt ein bewusst kalkuliertes Risiko für Mobiltelefone aller BürgerInnen, weil Sicherheitslücken nicht nur von Behörden benötigt, sondern auch bei Cyberkriminellen heiß begehrt sind.
Im Sommer 2017 dürften auch LeserInnen des Grundrechte-Reports vom WannaCry-Erpressungsvirus betroffen gewesen sein. In der privaten Wirtschaft und öffentlichen Betrieben (Krankenhäusern etc.) war die digitale Intrastruktur zumindest vorübergehend lahmgelegt. Man muss also von einem Zielkonflikt zwischen Strafverfolgung und IT-Sicherheit, der größer kaum vorstellbar ist, sprechen.
Die Probleme aber reichen noch weiter: Das Bundesverfassungsgericht verlangt, dass ein staatlicherseits eingesetztes Spionageprogramm sicherzustellen hat, dass ausschließlich die Kommunikation der Zielpersonen überwacht wird und aufgezeichnet werden kann. Kann dies softwaremäßig nicht garantiert werden, ist die Maßnahme als Online-Durchsuchung anzusehen und nur unter wesentlich verschärften Voraussetzungen zulässig. Von fast allen InformatikerInnen wird aber davon ausgegangen, dass die von den ErmittlerInnen genutzte Spionagesoftware nicht verlässlich zwischen einer Quellen-TKÜ und einer Online-Durchsuchung zu unterscheiden vermag: Die eingesetzten Trojaner können mehr, als sie bei der Quellen-TKÜ dürfen.
Die Online-Durchsuchung als völliges Durchleuchten von Verdächtigen
Bei der ebenfalls neu in die StPO eingeführten Online-Durchsuchung geht es um viel mehr als um die Entschlüsselung von Nachrichten auf Messenger-Diensten. Mit der Online-Durchsuchung verschaffen sich die ErmittlerInnen vollständige Einsicht in die elektronische Kommunikation eines Menschen und seine Aufenthaltsorte. Angesichts der Allgegenwärtigkeit von Smartphones und ihrem Dauergebrauch durch viele NutzerInnen lässt sich im Falle des Hackens einer solchen „Überwachungsstation mit Telefonfunktion“ fast alles über eine ausgespähte Person erfahren. Dabei reichen die hierdurch zu erlangenden Erkenntnisse noch viel weiter als bei einem Lauschangriff auf eine Privatwohnung. Bei Letzterem erfahren die MithörerInnen „nur“, was in der Wohnung abhörbar ist.
Man spricht bei Online-Durchsuchungen deshalb vom bisher mächtigsten Überwachungsinstrument. Deshalb erlaubt das Bundesverfassungsgericht diesen weitreichenden Grundrechtseingriff auch nur zum Schutz von überragend wichtigen Rechtsgütern. Das sind etwa Leib, Leben und die Freiheit von Personen oder auch die Funktionsfähigkeit wesentlicher Teile existenzsichernder öffentlicher Versorgungseinrichtungen (Wasserversorgungsbetriebe etc.). Wohlgemerkt: zum präventiven Schutz solcher Belange, nicht zur Verfolgung bereits begangener Taten. Deshalb ist es unter Verhältnismäßigkeitsgesichtspunkten unvertretbar, dass die StPO Online-Durchsuchungen auch im Anschluss an Delikte wie etwa Bandendiebstähle erlaubt, während umgekehrt ein präventiver, also verhindernder Einsatz eines „Durchsuchungs-Trojaners“ nicht in Betracht käme.
Unerträgliche Hektik des Gesetzgebers
Offensichtlich sollten Quellen-TKÜ und Online-Durchsuchung unbedingt noch in der letzten Legislaturperiode durch das Gesetzgebungsverfahren des Bundestages gebracht werden. Als halbwegs gründliches Prozedere lassen sich die Abläufe im Sommer 2017 nicht charakterisieren:
Die Änderungen der §§ 100a ff. StPO wurden in ein bereits laufendes Gesetzgebungsverfahren per „Formulierungshilfe der Bundesregierung für einen Änderungsantrag der Fraktionen“ der Großen Koalition vom 15. Mai 2017 hineingeschleust. Die ParlamentarierInnen übernahmen diese im Copy- und Paste-Verfahren. Nach einer eilig anberaumten Sachverständigenanhörung am 31. Mai 2017 wurde das Gesetz bereits am 22. Juni 2017 verabschiedet. Dabei hätten es die grundsätzlichen Zweifel an der Rechtstaatlichkeit von Quellen-TKÜ und Online-Durchsuchung verdient, vor der Verabschiedung des Gesetzes eingehend in der (Fach-)Öffentlichkeit diskutiert zu werden. So aber wurden mögliche Zweifel von ParlamentarierInnen nicht nur mit Hilfe des Fraktionszwanges, sondern auch mit Hilfe des Zeitdruckes erstickt.
Vorschlag für einen (zu langen) Gegen-Tweet
Die Vermittlung von komplexen Sachverhalten kann in Zeiten von Twitter in nichtsachgerechten Verkürzungen von Inhalten münden. Schlimmstenfalls finden auf dieses Weise falsche Darstellungen ihren Weg in die Öffentlichkeit. Der folgende Gegen-Tweet kann aber aus Umfangsgründen leider nicht von der Redaktion des Grundrechte-Reports abgesetzt werden: „Am 22. Juni 2017 wurden nach Gesetzgebungshektik die bislang wirkungsmächtigsten Überwachungsinstrumente – die Online-Durchsuchung und die Quellen-TKÜ – in die StPO eingeführt. Der Einsatz von sog. Trojanern – zur Quellen-TKÜ auch zur Aufklärung von mittelschwerer Alltagskriminalität möglich – kann aus technischen Gründen nicht auf die Überwachung von WhatsApp-Nachrichten & Co beschränkt werden. Bestmöglich geschützte Kommunikationsmittel der Allgemeinheit liegen daher nicht im staatlichen Überwachungsinteresse.“
„Nebelkerzen“
Was erwartet ihr?
Das ist gewissermaßen ‚Krieg‘. Was zuerst stirbt, ist die Wahrheit.
Und Nebel ist ganz normal.
Quatsch Krieg. Wir haben hier ne Demokratie.
Macht euch doch nicht alle so ins Hemd! Wir haben doch nichts zu verbergen. Oder etwa doch????
–
Am 22.6.17 wurden nach Gestzgbungshektk die bisl. wirkmächtigsten Überw.stools – die Online-Drchsuchng u. d. Quellen-TKÜ – in d. StPO eingef.. Der Einsatz von sog. Trojanern – zur Q-TKÜ auch zur Aufkl. von mittelschw. Alltagskriminalität mögl. – kann aus tech. Gründen nicht auf die Überw. von WhatsApp-Nachr. & Co beschränkt werden. Bestmglich geschtzte Komm.mittl. der Allg. liegen daher nicht im staatl. Überw.Inter..
–
420 Zeichen für Twitter, oder? erstellt mit: https://abkuerzungen.woxikon.de/
.. .. Vokale und Umlaute können ja nachgeliefert werden?^^
Auch die Hessische Polizei bekommt künftig Staatstrojaner, darauf haben sich die schwarz-grünen Regierungsfraktionen geeinigt. Gerade beim Einsatz von “Staatstrojanern“ spielt die Polizei “Geheimdienst“ und verstößt damit gegen das “Trennungsgebot“: “Die Trennung zwischen Nachrichtendiensten und Polizei, auch Trennungsgebot, ist ein Grundsatz des bundesdeutschen Rechts, nach dem Aufgaben der allgemeinen Polizei und der Aufklärung extremistischer Bestrebungen durch verschiedene, voneinander organisatorisch getrennte Behörden wahrgenommen werden sollen. Darüber hinaus stehen grundsätzlich der Polizei die Befugnisse der Nachrichtendienste nicht zu und umgekehrt.“(…) (Quelle: de.wikipedia.org)
Was die Grundrechte (und die Überwachung) der Bürgerinnen und Bürger anbelangt, so wird derzeit die Bundesrepublik als “Versuchslabor“ (Stichwort: Verschärfungen der Polizeiaufgabengesetze) missbraucht. Mag sein, dass Karlsruhe “hier und da“ noch nachkorrigiert; den Herrschenden geht es hierbei hauptsächlich um zwei Sachen: Mal schauen was sich das Volk gefallen lässt und wie weit wir (noch) gehen können – “Grundrechtsexperimente“ halt.
Die Politik ist doch nie und nimmer im Stande die wirklich kritischen Lücken schnell aufzukaufen, bei den Preisen die in der Schattenwirtwchaft verlangt werden, die werden eher mit „Second Hand“ abgespeist werden, ich freu mich schon so drauf bis Wasserwerke Kraftwerke usw angegriffen werden und wirklich eine Staatskrise heraufbeschworen wird, nur durch die raffgier der Politik alles überwachen zu wollen……
Diese elendig dummen Politiker sägen an dem Ast auf dem sie sitzen…..
Selbe Kasperl Theater hier in Österreich
Sarkasmus an: Das 1000jährige Reich lässt grüßen. Sarkasmus aus:
Die Polizei hat ja jetzt auch das Recht, Artikel 2 GG außer Kraft zu setzen, obwohl die Todesstrafe mit Artikel 102 GG abgeschafft wurde. Ein netten Beitrag kann man auch hier nachlesen.
httxx://grundrechtestiftung.de/2018/05/leben-ist-einschraenkbar/#more-60049
Da sind Überwachungsinstrumente ja nur Kinderkram.
Das vorkonstitutionelles Recht aus Adolf Zeiten und früher noch heute angewand wird(STPO, ZPO,EstG u.v.m.htxxx://unternehmensteilbrd.wordpress.com/2014/05/11/nazi-gesetze-in-der-bundesrepublik-deutschland/) und für geltendes Recht befunden wird, obwohl diese nie auf grundgesetz Konformität überprüft wurden, beschweren sich viele über die in den letzten 10 Jahren erweiterten Befugnisse. Wir haben es versäumt, früher ein zu greifen, jetzt ist der Zug abgefahren und man kann nur noch hoffen, das die EU noch einige Sachen ausbügeln kann um Deutschland einhalt zu gebieten.
Dieses Recht hat die Polizei schon sehr sehr lange: eine Statistik der polizeilichen Todeschüsse findet sich regelmäßig in der Zeitschrift Bürgerrechte&Polizei/CILIP.
Die Art und Weise, auf die das Gesetz durch den Bundestag geschleust wurde, ist anrüchig. Das Verhalten der Abgeordneten des Bundestages ebenfalls. 60 von 600 gutbezahlten Napfsülzen waren anwesend. Und die wußten sehr wohl, was da durchgeschleust wird. Denn das wurde in diesem Blog schon Wochen vorher diskutiert. Insofern ist es Heuchelei sich jetzt darüber aufzuregen.
Nebenbei trifft einen ab und an zwar Schadware, vielleicht auch Trojaner, aber Bundestrojaner sind offenbar nicht so häufig anzutreffen. Das letzte Teil dieser Art erwischte mich vor 2 Monaten. Update auf Bleachbit 2.0 war angesagt. Also von bleachbit.org geladen. Was schickt das Ding bei der Installation mit? Einen (Windows) Explorer (in dem Fall WinXP). WindowsXP VM geklont und die Übung wiederholt. Das Teil mal im ResourcenHacker angesehen. War nichts Verdächtiges. Dann zu VirusTotal hochgeschickt. Kein einziger Treffer. Dann draufgeklickt und siehe da, nach dem nächsten Neustart der geklonten VM war und blieb der Bildschirm schwarz. Da haben die „Guten“ offensichtlich Schadprogramme verteilt. Da die typischen XP-Benutzer niemals Bleachbit verwenden werden, war das aber wohl kein Problem. Schaffte es nicht einmal bis in die Medien. Im Gegensatz zum ccleaner ein paar Monate davor, der offenbar recht neugierig war. Was zunächst vertuscht werden sollte, dann aber rauskam.
In sofern kann man den Staatstrojanern wohl auch mit einer gewissen Gelassenheit entgegen sehen.
Aber was sind die technische Detaille? Hat jemand konkretes Exemplares von was fuer Werkzeuge die Polizei nutzen gegen potentiellen Verbrechern? Zum Beispiel, Bootkits/Rootkits? Koennen sie den Internet-Router einer WG hacken, wenn nur ein Einwohner ein Verdaechtiger ist? Hat die Polizei in Berlin die gleichen Werkzeuge als die Polizei in Frankfurt (oder andere Orte)?
> Schwachstellen soll … das Bundesamt für die Sicherheit in der Informationstechnik … beseitigen…. Das heißt: Sicherheitslücken in den elektronischen Kommunikationssystemen von jedermann, die deutschen Behörden bekannt sind, werden aus Gründen der Strafverfolgung nicht geschlossen.
Und wissen wir wirklich, dass das BSI der Polizei mitarbeitet, um Sicherheitsluecken nicht zu schliessen? Oder vermuten wir nur?