Polizeigesetz: Union und FDP wollen den Staatstrojaner für NRW trotz Kritik von Sachverständigen

Expertinnen und Experten haben den Abgeordneten des nordrhein-westfälischen Landtags im Detail skizziert, welche negativen Folgen der Einsatz von Schadsoftware für die allgemeine IT-Sicherheit hat. Trotzdem entscheiden sich die Regierungsparteien nach drei Wochen Bedenkzeit für den Einsatz von Staatstrojanern. Der entsprechende Polizeigesetzentwurf passierte heute den Innenausschuss.

Der Landtag in Düsseldorf von Außen – Public Domain Mbdortmund

Erstmals seit der letzten Anhörung des nordrhein-westfälischen Landtages zum neuen Polizeigesetz kam heute der Innenausschuss zusammen. Die Regierungsparteien CDU und FDP präsentierten zwar einen kleinen Änderungsantrag [PDF], beim Einsatz von Staatstrojanern bleiben sie jedoch stur. Auch in Deutschlands bevölkerungsreichstem Bundesland wird die Polizei künftig also staatliche Schadsoftware einsetzen und aus diesem Grund IT-Sicherheitslücken offen halten anstatt sie zu schließen.

Dies geschieht, obwohl unabhängige Sachverständige bei der Anhörung vor drei Wochen massive Kritik an den Staatstrojaner-Plänen der Landesregierung geäußert und konkrete Verbesserungsvorschläge gemacht haben. Es war bereits die zweite Anhörung zum Polizeigesetz in NRW, denn zuvor hatte die schwarz-gelbe Regierung den ersten Gesetzentwurf vom April selbst zurückgezogen. In der ersten Anhörung wurde deutlich, dass die geplanten Regelungen vor dem Verfassungsgericht keinen Bestand haben würden.

Sachgründe für Staatstrojaner fehlen

Die zweite Anhörung [Video] verlief nach einem bekannten Muster. In der Mitte des großen Saals im Düsseldorfer Landtag nahmen Platz: sechs Juristen und Datenschützer auf der einen und fünf Polizeigewerkschaftler auf der anderen Seite. Auch ich war als Sachverständige dabei. Während die eingeladenen Polizisten allesamt die Ausweitung ihrer Befugnisse begrüßten, warnten die meisten Juristen vor der Vernachrichtendienstlichung der Polizei und der Gefährdung der IT-Sicherheit durch den Einsatz von Staatstrojanern.

Dass fast die Hälfte der Experten selbst Polizisten waren, ließ den Eindruck entstehen, die Polizei würde hier an ihrem eigenen Gesetz mitschreiben. Sachliche Argumente für die Notwendigkeit von Staatstrojanern waren von ihnen jedoch nicht zu hören. Auf die Frage der FDP-Fraktion nach dem tatsächlichen Bedarf an Überwachung von verschlüsselter Kommunikation antwortete der Vertreter der Polizeigewerkschaft GPD, Michael Mertens:

„Wir müssen klar und deutlich auch solche Telefonate, solche laufende Kommunikation überwachen können. Daher ist das schon ein Sachgrund, dass man an die Informationen rankommt.“

In anderen Worten: Die Polizei muss an Informationen rankommen, um an die Informationen ranzukommen. Valide Zahlen zu Fällen, in denen das Instrument in der Vergangenheit benötigt worden wäre, blieben die Polizeivertreter schuldig.

Als Argument wird hier oft Terrorgefahr genannt. Eine Erhebung des Bundeskriminalamtes zeigt jedoch: Überwachung von verschlüsselter Kommunikation soll in der Mehrzahl der Fälle zur Aufklärung von Drogendelikten eingesetzt werden. Das entspricht auch den bisherigen Zahlen zum Einsatz herkömmlicher Telekommunikationsüberwachung, die ebenfalls vor allem bei Drogendelikten eingesetzt wurde. Immer wieder kritisieren Bürgerrechtler, dass die Erweiterung polizeiliche Kompetenzen auf Kosten von Grundrechten mit dem Schutz bedeutender Rechtsgüter begründet wird und in der Praxis dann bei Alltagskriminalität eingesetzt wird.

Staatstrojaner streichen oder wenigstens zertifizieren

Die unabhängigen Expertinnen und Experten forderten an diesem Tag als absolutes rechtsstaatliches Mindestmaß eine Zertifizierung der staatlichen Schafsoftware und die Möglichkeit zur richterlichen Kontrolle sowie eine zeitnahe Überprüfung durch den Gesetzgeber.

Der Jurist Clemens Arzt etwa schreibt in seiner Stellungnahme:

„Der Gesetzgeber kann aber die Polizei nicht (…) zum Einsatz von (technischen) Instrumenten ermächtigen, die er noch gar nicht kennen und bewerten konnte, zumal (…) offenkundig Software kommerzieller Hersteller verwandt werden darf.“

Der Jurist Nikolaos Gazeas kritisiert: „Bei den Regelungen zur Quellen-TKÜ (…) fehlt weiterhin die tatsächliche Möglichkeit einer ausreichenden richterlichen Kontrolle.“ Denn: „Was die Software tatsächlich kann, wird der richterlichen Kontrolle (…) weiterhin nicht zugänglich sein“. Und: „Es sei weiterhin empfohlen, eine gesetzliche Regelung dahingehend zu schaffen, dass nur solche Software für eine Quellen-TKÜ eingesetzt werden darf, deren Voraussetzungen (…) zuvor von einer geeigneten Stelle (BfDI/LfDI) überprüft worden sind (Zertifizierung der Software).“

In unserer Stellungnahme fordern wir dazu auf, die Vertraulichkeit aller Handys und Computer zu wahren und der Polizei keine Schadsoftware an die Hand zu geben. Wir schreiben: „Die zur Quellen-TKÜ notwendige Entwicklung von Schadsoftware birgt erhebliche Risiken für die IT-Sicherheit aller Bürgerinnen und Bürger, sie ist deshalb grundsätzlich abzulehnen.“

Sie wissen, was sie tun

In Anbetracht der Kritik der unabhängigen Sachverständigen ist der heute im Innenausschuss vorgelegte überarbeitete Gesetzentwurf eine Enttäuschung. Ganz konkrete Änderungsvorschläge zum technisch und rechtlich sichereren Einsatz von Staatstrojanern wurden nicht aufgenommen. Sogar auf die gemeinsame Forderung mehrerer Sachverständiger nach einer unabhängigen Evaluierung der Maßnahme nach wissenschaftlichen Standards gehen Union und FDP nicht ein. Stattdessen heißt es nun lediglich: „Die Landesregierung überprüft dieses Gesetz bis zum 31. Dezember 2022“. Zuvor war eine Überprüfung am 31. Juni 2023 vorgesehen, also sechs Monate später.

Die SPD-Fraktion enthielt sich bei der heutigen Abstimmung im Innenausschuss, genauso wie die AfD. Beide werden voraussichtlich im Parlament für das Gesetz stimmen. Aus internen Kreisen heißt es, dass die Innenpolitiker der SPD einen verpflichtenden Anwaltsbeistand für Personen in Untersuchungshaft fordern. Lediglich von den Grünen-Abgeordneten kommt umfassende Kritik.

Das novellierte Polizeigesetz könnte damit bereits am nächsten Mittwoch vom Landtag beschlossen werden. Für die IT-Sicherheit ist es eine Katastrophe, dass die Innenpolitiker mit der Begründung „öffentliche Sicherheit“ der Polizei die Befugnis erteilen, Sicherheitslücken einzukaufen und offen zu halten. Wer den eigenen Unmut darüber auf die Straße tragen will: Am Samstag, den 8. Dezember, organisiert das Bündnis „Polizeigesetz NRW stoppen“ die nächste Demo in Düsseldorf.

9 Ergänzungen

      1. Hallo Ingo,
        mir begegnet das Wort „Union“ in den deutschen Medien in der Regel als Bezeichnung für den Verbund aus CDU/CSU auf Bundesebene, nicht als Bezeichnung für einen CDU-Landesverband bzw. die Regierungspartei(en) auf Länderebene.

        Aber wenn man „Union“ als das „U“ aus „CDU“ verwendet, passt’s schon. Nevermind!

  1. Es lebe der Überwachungsstaat! Die FDP war einmal eine bürgerrechtsliberale Partei. Lang lang ist’s her. Mittlerweile ist sie zu einer Partei der Gestrigen geworden. Na ja, was will man von Steigbügelhalter der CDU groß erwarten. Eine CSU braucht es in NRW gar nicht. Die CDU entwickelt sich von selbst zu einem Zwilling der bayerischen Schwester. Merkel hat ihren Anfang angekündigt. Da wittern die rückwerts gewandten Morgenluft. Oder sollte ich ewig gestestrigen schreiben? Aber was ist dann die AfD? Ewig vorgestrig?

  2. „In anderen Worten: Die Polizei muss an Informationen rankommen, um an die Informationen ranzukommen.“

    Verbrecherjagt mittels „Beifund“!
    Man wartet nicht mehr auf eine Anzeige durch Dritte, sondern wird „Pro-Aktiv“, z.B. wenn sich einer 10 kg Koks bestellt, wird statt zu ermitteln, das Haus des Opfers gestürmt, mit dem Verdacht, das es sich um Rauschmittel handeln würde!
    Klar finden sie 10 kg Koks, aber das geht nicht durch die Nase, sondern durch den Schornstein!
    Beifund?
    Tja, wer weiß?
    KiPo von der eigenen Tochter im Familienalbum, das man vor 20 Jahren mal zusammengestellt hatte und seit 10 Jahren im Schrank verstaubte!

    Oder die Wohnung wird verwechselt, der Unschuldige wehrt sich, klar wird dieser wegen Widerstands gegen die Staatsgewalt eingelocht … alles schon passiert, alles schon passiert!
    https://www.welt.de/regionales/nrw/article151488558/Polizei-Koeln-verwechselt-bei-Razzia-Wohnungen.html

  3. Hi, Marie. Vielen Dank für dein Engagement. Ich habe lange darüber nachgedacht, warum es diese beiden gegensätzlichen Auffassungen gibt, dass Sachgründe für Staatstrojaner fehlen, einerseits, und die offensichtliche, tiefe Überzeugung, dass Gründe vorliegen, deren Schwere alle Freiheitsrechte übertrumpft, andererseits. Zum Beispiel Fiedler in der zweiten Anhörung: „Wir müssen analysieren, dass wir in gefahrenabwehrenden Sachverhalten bisher taub und blind sind. Ich will das mal so einfach formulieren. (Nicken von Marc Lürbke [FDP])“.

    Selbst die Grünen, deren Kritik du als „umfassend“ hervorhebst, halten sich da völlig bedeckt und argumentieren nur technisch, warum das so wie geplant nicht funktionieren kann mit dem Trojaner. Wenn Verena Schäffer (hier in der ersten Lesung) sagt: „Sie versprechen den Bürgerinnen und Bürgern mehr Sicherheit, die Sie aber im Endeffekt nicht liefern können. Das ist genau meine Kritik, die ich an diesem Gesetzentwurf habe, Herr Lürbke.“, dann lässt sie dabei völlig offen, ob man nicht doch mit der irgendwie richtigen technischen Regelung Sicherheit liefern könne.

    Der einzige Kontext, in dem ich mir das irgendwie begreifbar machen kann, kommt von Adam Curtis (Interview mit The Economist vom 6.12.): „Politics gave up saying that it could change the world for the better and became a wing of management, saying instead that it could stop bad things from happening. The problem with that is that it invites all the politicians to imagine all the bad things that could possibly happen — at which point, you get into a nightmare world where people imagine terrible things, and say that you have to build a system to stop them.“

  4. Ich frage mich, wie sie es schaffen wollen, dass dieser Trojaner nicht von aktuellen Anti-Malware-Tools entdeckt wird. Die Erkennungsrate ist bei den von uns eingesetzten Programmen sehr hoch. Wenn ich sehe, wie viele Emails mit Crypto-Trojanern, getarnt als Rechnungen, Anfragen zu Rechnungen usw., täglich bei uns in der Firma geblockt werden, dann gehe ich davon aus, dass nach wenigen Tagen jedes namhafte Tool diesen Trojaner erkennen und blockieren wird.

    Und dann gibt es ja seit einiger Zeit die Möglichkeit, Remote-PC für ca. 30€ monatlich zu mieten, die in irgendeinem Land stehen. Ich könnte also alle meine „bösen“ Aktivitäten auf solche PC auslagern, die ich auch noch monatlich wechseln könnte. Mein eigener PC wäre somit völlig „clean“ und würde nur durch eine getunnelte, verschlüsselte Verbindung Kontakt zu diesem PC aufnehmen.

    Vor Jahren kam mal ein Spiel heraus, das genau diese Idee schon umsetzte. Der angehende Hacker mietet einen PC in einem Hochsicherheitsgebäude mit Kameras und Bewegungssensoren sowie allerlei Abwehrtools und nimmt von dort aus seine Tätigkeit auf. Sollte der Remote-PC kompromittiert werden, dann wird er sofort zerstört und jeder Hinweis auf den Bediener wird vernichtet. Der Remote-PC ist dabei noch um ein Zigfaches leistungsfähiger als der eigene PC.
    Das könnte ein ganz neues Geschäftsfeld werden.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.