Polizei darf Staatstrojaner nutzen, aber oft nicht installieren

Die Polizei darf Staatstrojaner einsetzen, doch das Aufspielen der Schadsoftware ist oft rechtswidrig. Beamte dürfen dafür keine Wohnung betreten und keine Nachrichten mit falschem Absender verschicken. Auch das Offenhalten und Ausnutzen von IT-Sicherheitslücken ist unzulässig.

Mann mit Sturmhaube, im Hintergrund eine Platine mit Computerchips
Polizei beim Installieren des Staatstrojaners? CC-BY 2.0 Incase, Montage: netzpollitik.org

Benjamin Derin ist Rechtsanwalt in Berlin und Wissenschaftlicher Mitarbeiter an der Ruhr-Universität Bochum. Dr. Sebastian J. Golla ist Wissenschaftlicher Mitarbeiter an der Johannes Gutenberg-Universität Mainz. Dieser Beitrag erschien zunächst unter dem Titel Der Staat als Manipulant und Saboteur der IT-Sicherheit? in der „Neuen Juristischen Wochenschrift“ NJW 2019, Heft 16, S. 1111 ff. inklusive Fußnoten. Veröffentlichung der leicht überarbeiteten Version mit freundlicher Genehmigung von Autoren und Verlag. Alle Rechte vorbehalten.

Um „Online-Durchsuchungen“ und Quellen-Telekommunikationsüberwachungen durchzuführen, müssen die ins Visier genommenen IT-Systeme zunächst mit den entsprechenden Programmen infiziert werden. Weitgehend ungeklärt ist bislang, auf welchem Weg dies technisch erfolgt und inwieweit es rechtlich zulässig ist.

Der Beitrag untersucht Letzteres für die Bereiche der Strafverfolgung und der Gefahrenabwehr. Dabei betrachtet er speziell das Betreten von Wohnungen, die Manipulation von Nutzern und das Ausnutzen von IT-Sicherheitslücken.

Die behandelten Vorgehensweisen erweisen sich als rechtlich äußerst bedenklich und als de lege lata weitgehend unzulässig. Sie sind auch perspektivisch nur sehr eingeschränkt legitimierbar.

1. Infektion von IT-Systemen zur „Online-Durchsuchung“ und Quellen-TKÜ

Die „Online-Durchsuchung“ und die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) gehören seit über zehn Jahren zu den meist diskutierten staatlichen Überwachungsmaßnahmen. Im Jahr 2008 leitete das Bundesverfassungsgericht in seiner Entscheidung zur „Online-Durchsuchung“ nach dem Verfassungsschutzgesetz NRW aus dem allgemeinen Persönlichkeitsrecht das Recht auf die Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme her.

Mittlerweile finden sich Regelungen zu „Online-Durchsuchung“ und Quellen-TKÜ in diversen Polizeigesetzen und seit August 2017 auch in der Strafprozessordnung. Beide Maßnahmen erfordern in ähnlicher Weise verdeckte Eingriffe in IT-Systeme.

Bei der „Online-Durchsuchung“ geht es darum, das System selbst zu überwachen und Daten aus diesem zu erheben. Da dies sich über einen längeren Zeitraum erstrecken kann und es nicht wie bei der klassischen Durchsuchung um eine punktuelle Maßnahme geht, ist der Begriff „Durchsuchung“ insofern irreführend.

Bei der Quellen-TKÜ geht es darum, die Überwachung der Telekommunikation, die von einem System ausgeht, zu ermöglichen. Dies gilt besonders, wenn die Telekommunikation verschlüsselt erfolgt – beispielsweise über Messenger oder Voice Over IP-Dienste.

Obwohl „Online-Durchsuchung“ und Quellen-TKÜ bereits lange diskutiert werden, sind hinsichtlich ihrer Umsetzung viele Fragen offen. Technisch ist dies nicht trivial. Die verschiedenen Befugnisse im präventiven wie repressiven Bereich enthalten keine ausdrücklichen Vorgaben, wie die Eingriffe technisch zu realisieren sind.

Die Durchführung einer „Online-Durchsuchung“ oder einer Quellen-TKÜ erfordert eine vorherige Veränderung des Zielsystems. Auf dem System muss ein Programm vorhanden sein, das einmalige Zugriffe oder eine dauerhafte Überwachung ermöglicht.

Programme, die den Zugang zu dem Zielsystem eröffnen, werden umgangssprachlich „Staatstrojaner“ genannt. Programme, die die dauerhafte Überwachung eines Systems ermöglichen, werden als „Remote Forensic Software“ bezeichnet.

Dieser Beitrag befasst sich mit der Frage, wie ein solches Programm seinen Weg auf das Zielsystem finden kann und wie dieser Vorgang rechtlich zu bewerten ist.

Es sind viele Wege denkbar, IT-Systeme zur Durchführung von „Online-Durchsuchung“ und Quellen-TKÜ zu infizieren. Systeme ließen sich bereits bei ihrer Anfertigung mit entsprechenden Funktionen oder Sicherheitslücken ausstatten. Der „Staatstrojaner“ würde dem Nutzer sozusagen mitgeliefert.

Dies dürfte allerdings ein Zusammenwirken der (internationalen) IT-Branche mit deutschen Strafverfolgungs- und Sicherheitsbehörden erfordern, dessen Zustandekommen zumindest zweifelhaft ist. Verpflichtungen von Herstellern, in IT-Systemen Hintertüren für Sicherheitsbehörden vorzusehen, standen auch in Deutschland bereits zur Diskussion.

Dies bezog sich aber nicht auf Quellen-TKÜ und „Online-Durchsuchung“. Auch die Begründung der strafprozessualen Befugnisse hierzu legt nahe, dass diese nicht über solche Hintertüren erfolgen sollen.

Realistischer ist es, ein IT-System nachträglich mit einem entsprechenden Programm zu infizieren. Hier lassen sich grundsätzlich zwei Infektionswege unterscheiden: Der physische Zugriff und der Fernzugriff auf das System.

Ein physischer Zugriff kann etwa dadurch erfolgen, dass Ermittler heimlich eine Wohnung betreten und dort eine Spionagesoftware auf einem PC installieren. Eine Möglichkeit des physischen Zugriffs ist, dass sich ein verdeckter Ermittler (etwa als angeblicher Handwerker) Zugang zu Räumlichkeiten verschafft, in denen sich ein IT-System befindet.

Außerhalb von Wohnungen könnten Behörden zudem im Rahmen von Maßnahmen wie Zoll- oder Verkehrskontrollen vorübergehend die Sachherrschaft über mobile Endgeräte erlangen. Schließlich ist vorstellbar, dass ein Dritter als vorsatzlos handelndes Werkzeug die physische Infiltration vornimmt – so etwa, wenn der Mitarbeiter eines Unternehmens einen Rechner mit einem USB-Stick infiziert, den er als „Werbegeschenk“ erhalten hat.

Daneben sind verschiedene Varianten denkbar, „Staatstrojaner“ und „Remote Forensic Software“ im Fernzugriff aufzuspielen. Möglich ist zunächst das Ausnutzen von Sicherheitslücken eines IT-Systems. Des Weiteren ist denkbar, dass Strafverfolgungs- und Sicherheitsbehörden Softwarehersteller oder Telekommunikationsanbieter dazu zwingen, ihnen Zugriffsmöglichkeiten auf IT-Systeme zu eröffnen – etwa durch die verdeckte Infektion im Rahmen eines planmäßigen Softwareupdates.

Schließlich bietet die Manipulation des Nutzers eines Systems verschiedene Optionen zur Herbeiführung einer Infektion. Die Installation eines Programmes kann etwa in „Phishing“-Manier erfolgen, indem einem Nutzer unter falschem Absender E-Mails mit infizierten Anhängen zugeschickt werden, die der Nutzer nur noch öffnen muss.

Bei einem solchen Vorgehen könnten Strafverfolgungs- und Sicherheitsbehörden sich entweder als Privatpersonen (zB Familienangehörige) oder aber als andere staatliche Stellen (wie zB die Finanzverwaltung) ausgeben, um den Betroffenen zum Öffnen der E-Mail samt Anhang zu bewegen.

Dieser Beitrag untersucht anhand dreier Infektionswege, ob diese nach den Befugnissen zur „Online-Durchsuchung“ und Quellen-TKÜ zulässig sind: Das Betreten einer Wohnung, die Manipulation des Nutzers und das Ausnutzen von IT-Sicherheitslücken.

2. Zugriff durch Betreten von Wohnungen

Literatur und Praxis haben die Zulässigkeit von Begleitmaßnahmen zu „Online-Durchsuchung“ und Quellen-TKÜ bislang im Wesentlichen anhand physischer Zugriffe auf IT-Systeme thematisiert. Im Zentrum des Interesses steht dabei die Frage, inwiefern Ermittler heimlich Wohnungen betreten dürfen, um die erforderliche Software aufzuspielen.

Das Betreten einer Wohnung zur Infektion eines IT-Systems ist dogmatisch betrachtet eine klassische Begleitmaßnahme. Sie ist eindeutig nicht in den Befugnissen zur „Online-Durchsuchung“ und Quellen-TKÜ vorgesehen, soll aber zu ihrer Vorbereitung dienen.

Entsprechende Begleitmaßnahmen sind zulässig, wenn sie für die Durchführung der Hauptmaßnahme erforderlich sind, mit dieser typischerweise verbunden sowie verhältnismäßig sind. Dieser Maßstab gilt für den repressiven ebenso wie für den präventiven Bereich. Die Zulässigkeit lässt sich entweder als Annexbefugnis zu der Hauptmaßnahme oder nach den Generalklauseln begründen.

Die Voraussetzungen der Verhältnismäßigkeit und der Typizität hängen dabei zusammen. Weniger typische Maßnahmen dürfen weniger intensiv sein, sollen sie den Anforderungen im Rahmen der Verhältnismäßigkeit noch genügen.

Auch werden im Rahmen der Verhältnismäßigkeit grundsätzlich nur geringfügige oder jedenfalls hinter der Hauptmaßnahme zurückbleibende Beeinträchtigungen als zulässig erachtet. So gilt beispielsweise für die Durchsuchung einer Wohnung das (gewaltsame) Öffnen von Türen und Schränken als zulässig, auch wenn dies nicht ausdrücklich in den entsprechenden Befugnissen vorgesehen ist.

Legt man diese Maßstäbe an „Online-Durchsuchung“ und Quellen-TKÜ an, ist zunächst festzustellen, dass das Betreten von Wohnungen hierfür gerade nicht typisch ist. Wie bereits erörtert sind zahlreiche Wege vorstellbar, um das Zielsystem zu infizieren. Das Betreten einer Wohnung ist nur eine von vielen Möglichkeiten, um den Zugriff auf ein IT-System zu eröffnen.

Im Rahmen der Verhältnismäßigkeit ist zu berücksichtigen, dass die Wohnungsbetretung einen Eingriff in Artikel 13 Grundgesetz begründet, die Unverletzlichkeit der Wohnung. Dieser hat neben der Infektion des Systems selbst ein erhebliches eigenes Gewicht. Dies folgt schon aus der Bedeutung des Schutzes der räumlichen Privatsphäre.

Da weder ein typischer noch ein geringfügiger Eingriff vorliegt, ist das Betreten von Wohnungen nicht als ungeregelte Begleitmaßnahme zu „Online-Durchsuchung“ und Quellen-TKÜ zulässig und kann auch nicht auf die polizei- und strafverfahrensrechtlichen Generalklauseln gestützt werden.

Im Übrigen darf auch eine Wohnungsdurchsuchung nicht zum Anlass genommen werden, Spähsoftware auf einem IT-System vor Ort zu installieren. Für offene Maßnahmen wie die Durchsuchung ist charakteristisch, dass der Betroffene von ihrem Grund und ihrer Durchführung Kenntnis erlangt. Eine gezielte Verknüpfung mit heimlichen Grundrechtseingriffen liefe dieser Maßgabe zuwider.

3. Zugriff durch Manipulation des Nutzers

Eine weitere Möglichkeit zur Infektion eines IT-Systems eröffnet die Manipulation seines Nutzers, etwa durch das oben näher geschilderte Versenden gefälschter E-Mails. Auch hierin ist eine Begleitmaßnahme zu sehen, die nicht in den Befugnissen zu „Online-Durchsuchung“ und Quellen-TKÜ geregelt ist.

Dass Irreführungen bei Online-Ermittlungen praktisch nicht nur möglich, sondern ein naheliegendes Stilmittel sind, zeigte zuletzt die Überführung des Forenbetreibers „Lucky“ mithilfe eines als Ablenkungsmanöver lancierten Cyberangriffs.

3.1. Besondere Wertungen der Strafprozessordnung

Neben den geschilderten Voraussetzungen für Begleitmaßnahmen ist dabei zu beachten, dass im Strafverfahren besondere Maßstäbe für Täuschungen gelten. Zwar gibt es kein grundsätzliches Verbot der Irreführung von Beschuldigten, allerdings ist dessen Täuschung auch nicht grundsätzlich erlaubt.

Grenzen setzen der Ermittlungsarbeit das Täuschungsverbot des § 136 a Strafprozeßordnung, die Selbstbelastungsfreiheit des Beschuldigten und das Recht auf ein faires Verfahren.

3.1.1. Verbot der Täuschung

Das Verbot der Täuschung in § 136 a StPO gilt nach herrschender Meinung grundsätzlich nur für Vernehmungen, nicht für Beweiserhebungen im Ermittlungsverfahren allgemein. Die in diesem Rahmen entwickelte Abgrenzung der verbotenen Täuschung von der erlaubten „kriminalistischen List“ ermöglicht jedoch Rückschlüsse darauf, welche Kriterien bestimmen, wann eine Irreführung des Beschuldigten in einem rechtsstaatlichen Verfahren noch zulässig ist.

Auch die Gesetzesbegründung zur Umsetzung der strafprozessualen „Online-Durchsuchung“ und Quellen-TKÜ greift diese Abgrenzung auf. Dort heißt es, der „Zugriff auf ein informationstechnisches System des Betroffenen zum Zweck der Aufbringung der Überwachungssoftware“ dürfe „mittels kriminalistischer List erfolgen“.

Im Rahmen von § 136 a StPO verstößt das Ausnutzen bestehender Irrtümer nicht ohne Weiteres gegen das Täuschungsverbot. Aktive und bewusste Fehlinformationen sind hingegen regelmäßig untersagt. Zulässig sein sollen Fangfragen oder die Konfrontation mit hypothetischen Fallkonstellationen, nicht aber das Vorspiegeln oder Entstellen von Tatsachen.

Diese Wertungen sprechen gegen die Zulässigkeit der Infiltration eines IT-Systems mithilfe zielgerichteter und aktiver Manipulation des Beschuldigten.

3.1.2. Grundsatz der Selbstbelastungsfreiheit

Auch der Grundsatz der Selbstbelastungsfreiheit setzt den Möglichkeiten zur Täuschung im Strafverfahren Grenzen. Der Beschuldigte darf demnach nicht zur Mitwirkung an seiner eigenen Verurteilung verpflichtet werden.

Der Grundsatz ist unter bestimmten Umständen auch verletzt, wenn der Beschuldigte durch Täuschung dazu gebracht wird, sich selbst zu belasten, etwa durch Verschleierung des Ermittlungscharakters oder bei verdeckten Ermittlungen in Haftanstalten. Dies gilt grundsätzlich auch außerhalb förmlicher Vernehmungen.

Nun sind heimliche Ermittlungsmaßnahmen gerade darauf angelegt, dass sich der Beschuldigte unbeobachtet fühlt und aus diesem Gefühl heraus selbst Beweise für seine Schuld liefert. Dabei handelt es sich jedoch regelmäßig um die bloße Ausnutzung eines bestehenden Irrtums des Überwachten darüber, ob er überwacht wird.

Die Grenze ist dort zu ziehen, wo die Ermittlungsbehörden gezielt eine Situation herbeiführen, in der sich der Betroffene im Glauben an eine suggerierte Vertraulichkeit selbst belastet, und diese dann überwachen.

Den Beschuldigten durch aktive Manipulation dazu zu bringen, sein eigenes IT-System mit einer die Überwachung ermöglichenden Software zu infizieren, um dann seine Unkenntnis hiervon zur Erlangung von Beweismitteln zu nutzen, die er dort gerade deshalb selbst generiert, weil er auf die grundgesetzlich garantierte Integrität vertraut, erscheint im Hinblick auf die Selbstbelastungsfreiheit bedenklich. Dies gilt umso mehr, je stärker die Ermittler auf die Illusion von Vertraulichkeit hinwirken.

3.1.3. Grundsatz des fairen Verfahrens

Schließlich beschränkt auch der Grundsatz des fairen Verfahrens die Zulässigkeit der Täuschung im Strafverfahren. Er verbietet nicht nur die Herbeiführung einer Selbstbelastung durch Zwang, sondern auch durch Instrumentalisierung des Beschuldigten als Werkzeug gegen sich selbst.

Durch Täuschungen, die den Beschuldigten zu einer Mitwirkung an der Beschaffung belastenden Materials veranlassen sollen, verringert sich dessen Fähigkeit zur freien Entscheidung über eine Selbstbelastung und zur effektiven Wahrnehmung einer Rolle als Subjekt und nicht als Objekt des Prozesses.

Damit ist die aktive Manipulation im Vorfeld von „Online-Durchsuchung“ und Quellen-TKÜ auch nach dem Grundsatz des fairen Verfahrens zumindest bedenklich.

3.2. Allgemeine Wertungen

Auf den präventiven Bereich lassen sich diese Wertungen nicht uneingeschränkt übertragen. Es ist allerdings anerkannt, dass auch im polizeirechtlichen Verfahren ein Gebot der Fairness gilt, das die Möglichkeiten zur Täuschung beschränkt. Speziell für Befragungen, Vorladungen und Vernehmungen verweisen zudem einzelne Vorschriften der Polizeigesetze auf § 136 a StPO.

Im Einzelnen lassen sich weitere Wertungen für die Zulässigkeit von Täuschungen direkt aus den Grundrechten entwickeln. Kommunizieren staatliche Stellen unwahre Inhalte mit manipulativer Absicht, liegt eine aktive Desinformation vor, die zumindest in die allgemeine Handlungsfreiheit des Betroffenen eingreift.

Die behördliche Identitätstäuschung in der Kommunikation mit Grundrechtsträgern kann dazu einen Eingriff in das Recht auf informationelle Selbstbestimmung begründen, wenn dabei ein schutzwürdiges Vertrauen des Betroffenen in die Identität und die Motivation seines Kommunikationspartners ausgenutzt wird, um personenbezogene Daten zu erheben.

Die damit vorliegenden Grundrechtseingriffe sind von einer erhöhten Eingriffsintensität, wenn sie der Infiltration eines IT-Systems dienen sollen. Sie bereiten damit einen tiefgreifenden Grundrechtseingriff vor. Auch hier gilt zudem: Je stärker durch aktive Manipulation ein Vertrauen des Betroffenen aufgebaut wird, desto gravierender ist der Eingriff.

3.3. Gemeinsame Wertung

Im Ergebnis sind die Eingriffe in die Rechte von IT-Nutzern durch ihre zielgerichtete Manipulation sowohl nach den besonderen Wertungen im repressiven Bereich als auch nach den allgemeinen Wertungen mehr als nur geringfügig. Sie lassen sich damit weder als Annexbefugnisse zu „Online-Durchsuchung“ und Quellen-TKÜ noch nach den polizeirechtlichen Generalklauseln rechtfertigen.

Allenfalls ließe sich noch vertreten, dass niederschwellige Irreführungen aus Annexkompetenzen oder nach den Generalklauseln der Strafprozessordnung und der Polizeigesetze zulässig sind.

Letztlich lässt sich aus den grundrechtlichen Wertungen auch ein gemeinsamer Maßstab für die Zulässigkeit von Manipulationen als Begleitmaßnahmen im Strafprozessrecht und Gefahrenabwehrrecht ableiten. Um die grundrechtlichen Grenzen des Zulässigen auch für den präventiven Bereich zu konkretisieren, können die Begriffe der Strafprozessordnung zumindest hilfsweise herangezogen werden.

Ein gemeinsamer Maßstab ist sinnvoll, weil die Polizei bei der Durchführung einer „Online-Durchsuchung“ oder Quellen-TKÜ oftmals faktisch die Wahl hat, ob sie diese auf eine präventive oder repressive Rechtsgrundlage stützt. Auch bei einem vorliegenden Anfangsverdacht wird sich eine präventive Zielrichtung begründen lassen, wenn zukünftige weitere Straftaten im Raum stehen.

Dem steht nach aktueller Rechtsprechung des Bundesgerichtshof auch kein Vorrang der Strafprozessordnung gegenüber dem Gefahrenabwehrrecht oder umgekehrt entgegen.

4. Das Ausnutzen von IT-Sicherheitslücken

Die Infiltration von Systemen ist eng mit der Ausnutzung von IT-Sicherheitslücken verbunden.

Die Befugnisse für „Online-Durchsuchung“ und Quellen-TKÜ gestatten den Eingriff in Informationssysteme mit technischen Mitteln. Dies erfasst nach dem Sinn und Zweck der Normen sowie dem Willen des Gesetzgebers die Infiltration der Systeme mit der zur Durchführung der Maßnahmen erforderlichen Software.

Die Befugnisse treffen aber keine Aussage dazu, ob Ermittler in Systemen vorhandene Sicherheitslücken ausnutzen dürfen, um diese zu infiltrieren. Wenn eine Sicherheitslücke bereits besteht, verleitet dies zu der Argumentation, dass nur die Infiltration des Systems zu rechtfertigen und von den Befugnissen zu „Online-Durchsuchung“ und Quellen-Telekommunikationsüberwachung gedeckt sei.

So wird auch weithin angenommen, dass die Ausnutzung von Schwachstellen in IT-Systemen zur Durchführung der Maßnahmen zulässig sei. Auch die Bundesregierung hat diese Möglichkeit in einer Antwort auf eine Kleine Anfrage zumindest nicht ausgeschlossen.

Dies vernachlässigt aber, dass das IT-Grundrecht nicht nur individuellen Schutz in Gestalt eines Abwehrrechts entfaltet, sondern auch eine objektiv-rechtliche Dimension hat. Dies folgt bereits aus der Formulierung „Gewährleistung“. Hieraus lässt sich eine staatliche Schutzpflicht für die IT-Sicherheit ableiten.

Es fragt sich, ob es mit dieser Schutzpflicht vereinbar ist, wenn Ermittlungsbehörden Lücken in der IT-Sicherheit offenhalten, um Überwachungsmaßnahmen durchzuführen.

Problematisch ist vor diesem Hintergrund vor allem der Fall, dass die Behörden Sicherheitslücken aufspüren und ausnutzen, die den Herstellern und Anwendern von IT-Systemen nicht bekannt sind. Weniger problematisch ist hingegen der Fall, dass eine bereits bekannte Sicherheitslücke, die etwa aus Nachlässigkeit nicht geschlossen wurde, ausgenutzt wird.

Den hier relevanten Zielkonflikt zwischen dem Interesse an dem Offenhalten von IT-Sicherheitslücken und dem Interesse an der allgemeinen IT-Sicherheit hat das BVerfG bereits in seinem Urteil zu „Online-Durchsuchungen“ im Jahre 2008 angesprochen.

Die Bundesregierung und verschiedene Behörden haben sich im Sinne der Schutzpflicht immer wieder dazu bekannt, die IT-Sicherheit zu fördern und zu schützen. Das Bundesinnenministerium veröffentlichte 2016 seine Cyber-Sicherheitsstrategie für Deutschland, in der es heißt:

Die Gewährleistung von Freiheit und Sicherheit zählt zu den Kernaufgaben des Staates. Dies gilt auch im Cyber-Raum. Aufgabe des Staates ist es daher, die Bürgerinnen und Bürger und Unternehmen in Deutschland gegen Bedrohungen aus dem Cyber-Raum zu schützen.

Mit dem Bundesamt für Sicherheit in der Informationstechnik besteht seit 1991 eine Behörde, deren gesetzliche Aufgabe in der Förderung der Sicherheit in der Informationstechnik liegt. Daneben bestehen unzählige weitere Einrichtungen und Institutionen übergreifende Bemühungen, um von staatlicher Seite zur IT-Sicherheit beizutragen.

Mit dem Paris Call for Trust and Security in Cyberspace hat sich die Bundesrepublik zuletzt einer internationalen Übereinkunft angeschlossen, die die Bekanntmachung und Schließung von IT-Sicherheitslücken unterstützt, um Frieden und Sicherheit im Cyberspace zu gewährleisten.

Es würde diese Bemühungen um die IT-Sicherheit ad absurdum führen, wenn staatliche Stellen Sicherheitslücken weitreichend aufrechterhalten würden, um Maßnahmen wie die „Online-Durchsuchung“ oder Quellen-TKÜ zu ermöglichen. Dies würde eine allgemeine Gefährdung der IT-Sicherheit bedeuten.

Es gibt bei informationstechnischen Schwachstellen keine bekannte Möglichkeit zu kontrollieren, dass Dritte diese nicht ausnutzen. Ähnlich wie ein serienmäßig defektes Türschloss, das zum Anbringen von Abhörgeräten in einer Wohnung ausgenutzt wird, ermöglichen auch IT-Sicherheitslücken gewöhnlichen Kriminellen Zugriff auf Systeme.

Welche Schäden dadurch entstehen können, dass eine Lücke in der IT-Sicherheit bewusst offen gelassen wird, zeigte sich im Mai 2017: Das Schadprogramm „WannaCry“ verursachte weltweit in kürzester Zeit immense Schäden und traf auch kritische Infrastrukturen.

Später stellte sich heraus, dass der amerikanische Nachrichtendienst NSA jahrelang von der zugrunde liegenden Schwachstelle gewusst hatte, aber weder den Hersteller noch die Öffentlichkeit informierte und stattdessen eine darauf basierende Infiltrationssoftware entwickeln ließ.

Noch gravierender sind die Probleme beim staatlichen Ankauf von Informationen über Sicherheitslücken auf dem freien Markt. Kauft ein Staat IT-Sicherheitslücken ein, begibt er sich in die Gesellschaft von Kriminellen sowie menschenrechtsverletzenden Staaten, die für entsprechendes Wissen hohe Preise bezahlen.

Hierdurch entsteht ein Markt, der die Bemühungen untergräbt, Schwachstellen für das Gemeinwohl zu identifizieren und zu beheben. Das Argument, dass böswillige Akteure stets in der Lage seien, passende Schwachstellen zu finden, überzeugt dabei nicht. Aktuelle Forschung zur IT-Sicherheit zeigt, dass es durchaus möglich ist, Schwachstellen systematisch aufzuspüren und zu beseitigen.

Hinzu kommt, dass dem Staat eine Pflicht zur Optimierung der IT-Sicherheit zukommt, selbst wenn er nicht in der Lage ist, stets sämtliche Lücken zu schließen. Des Weiteren schafft der Staat ein zusätzliches Risiko, wenn er IT-Sicherheitslücken „hortet“, da auch die Informationsressourcen, in denen diese vermerkt sind, angreifbar sind und als lohnendes Ziel für Kriminelle erscheinen.

Mit der aus dem Recht auf die Gewährleistung und Integrität informationstechnischer Systeme folgenden Schutzpflicht sind die Beeinträchtigungen der IT-Sicherheit grundsätzlich nicht vereinbar, die entstehen, wenn der Staat Sicherheitslücken weitläufig offenhält und es unterlässt, diese zu melden und zu ihrer Schließung beizutragen.

Zwar sind durchaus Fälle denkbar, in denen Interessen an der IT-Sicherheit gegenüber anderen durch die Verfassung geschützten Rechten nach einer Abwägung zurücktreten müssten. Hierfür sind jedoch zumindest gesetzliche Rahmenbedingungen erforderlich.

Derzeit gibt es keinerlei bekannte überprüfbare Kriterien für den Umgang staatlicher Stellen mit bekannt gewordenen Sicherheitslücken, die regeln, unter welchen Umständen eine entdeckte Schwachstelle geheim gehalten werden darf und wann sie aufgedeckt werden muss.

Entsprechende Kriterien hätten sich grundsätzlich an dem Gewicht der Sicherheitslücke und der von ihr ausgehenden Gefahr einerseits und der Bedeutung der Lücke für die mit ihrer Ausnutzung staatlicherseits verfolgten Zwecke andererseits zu orientieren.

Eine pauschale Annahme, dass Interessen an der IT-Sicherheit in entsprechenden Konstellationen stets gegenüber anderen Sicherheitsinteressen zurücktreten müssten, ist nicht haltbar.

Dies ist schon deshalb der Fall, weil die IT-Sicherheit oftmals selbst mit dem Schutz anderer gewichtiger Rechtsgüter verknüpft ist. Die Gewährleistung der IT-Sicherheit für Kritische Infrastrukturen (wie z.B. Atomkraftwerke) ist beispielsweise notwendig für den Schutz von Leben und körperlicher Unversehrtheit.

Auch im Übrigen ist die IT-Sicherheit oft Bedingung für die Ausübung anderer Grundrechte wie etwa der Wissenschafts-, Meinungs- oder Berufsfreiheit. Die IT-Sicherheit wird daher zu Recht als „Querschnittsbedingung für die Grundrechtsausübung“ bezeichnet.

Nach der jetzigen Lage ist es damit mit der aus dem IT-Grundrecht folgenden Schutzpflicht grundsätzlich unvereinbar, IT-Sicherheitslücken zur Durchführung der „Online-Durchsuchung“ und Quellen-TKÜ bewusst offenzuhalten. Dieser Aspekt wurde auch in Verfassungsbeschwerden gegen die entsprechenden Befugnisse angegriffen.

5. Fazit: Grenzen und Möglichkeiten der Regelung von Begleitmaßnahmen

Die Infektion von IT-Systemen mit den notwendigen Software-Werkzeugen für die späteren Ermittlungsmaßnahmen ist eine erhebliche praktische Hürde bei „Online-Durchsuchung“ und Quellen-Telekommunikationsüberwachung.

Die geschilderten Infektionswege durch Betreten der Wohnung, Manipulation von Nutzern und dem Offenlassen von IT-Sicherheitslücken erweisen sich als rechtswidrig oder begegnen zumindest erheblichen Bedenken.

Auch de lege ferenda (nach zu machendem Recht) sind die Möglichkeiten, diese Begleitmaßnahmen zu legitimieren, eingeschränkt.

Das Recht zum Betreten von Wohnungen zur Durchführung der Maßnahmen ist bereits auf politischer Ebene in der Diskussion. Im Bayerischen Polizeiaufgabengesetz war ein solches Wohnungsbetretungsrecht als notwendige Begleitmaßnahme sogar bis 2009 ausdrücklich geregelt.

Eine Befugnis hierzu würde sich vermutlich an bestehende Regelungen zur Betretung von Wohnungen anlehnen, müsste dabei aber die Wirkungen additiver Grundrechtseingriffe berücksichtigen und den hohen verfassungsrechtlichen Anforderungen insbesondere im Hinblick auf verfahrensrechtliche und organisatorische Sicherungsvorkehrungen genügen.

Noch schwieriger zu legitimieren erscheint die Vorbereitung des informationstechnischen Zugriffs durch aktive Manipulation und Irreführung des Betroffenen. Hierfür besteht kein taugliches Regelungsvorbild.

Die Schaffung von Rechtsgrundlagen zur Manipulation und Desinformation wäre geeignet, das Vertrauen in die informationellen Tätigkeiten des Staates generell zu erschüttern. Damit wäre eine Grundbedingung der staatlichen Ordnung in Gefahr.

Wäre hinter jeder E-Mail der Finanzverwaltung ein „Staatstrojaner“ zu befürchten, würde dies zudem speziell den Weg zu einer modernen behördlichen Arbeit nach dem Konzept eines E-Government erschweren.

Ein Trojanisches Pferd im Sinne der griechischen Mythologie, das der Adressat nach einer aktiven Täuschung über seinen Bestimmungszweck durch die Pforte seines Systems lässt, wird der Staat gegenüber seinen Bürgern damit grundsätzlich nie verwenden dürfen.

Ebenfalls schwer zu legitimieren ist das Offenlassen von IT-Sicherheitslücken. Hierfür bestehen ebenso wenig Regelungsvorbilder. Regelungen, die dies gestatten, wären wie ausgeführt nur innerhalb enger Grenzen mit dem IT-Grundrecht in seiner objektiv-rechtlichen Dimension vereinbar.

Es wären verbindliche Kriterien für Erwerb und Verwahrung sowie Geheimhaltung und Offenlegung von IT-Schwachstellen zu regeln. Praxistaugliche Kriterien hierfür könnten in einem Austausch der potenziell Betroffenen, IT-Herstellern und Nutzern sowie den Sicherheitsbehörden erarbeitet werden.

Konkrete Regelungen zum Umgang mit Sicherheitslücken könnten sich etwa explizit an die 2017 eingerichtete Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) richten, die Sicherheitsbehörden im IT-Bereich unterstützt und berät. ZITiS agiert derzeit auf Grundlage eines Erlasses des Bundesministeriums des Innern, könnte aber perspektivisch auf eine gesetzliche Grundlage gestellt werden.

Die Perspektive konkreter Regelungen zum staatlichen Umgang mit IT-Sicherheitslücken ist auch im Zusammenhang mit weiteren Entwicklungen im IT-Sicherheitsrecht zu betrachten. So wird derzeit auf Bundesebene auf der nächsten Stufe der IT-Gesetzgebung eine allgemeine Meldepflicht für IT-Sicherheitslücken diskutiert.

Derzeit bestehende Meldepflichten in diesem Bereich beziehen sich grundsätzlich nur auf bereits erfolgte Störungen der IT-Sicherheit. Diese Meldepflicht könnte den Schutz der allgemeinen IT-Sicherheit in Verbindung mit Regelungen zum staatlichen Umgang mit diesen im Vergleich zur aktuellen Lage deutlich stärken.

Die Stärkung der gesetzlichen Grundlagen der IT-Sicherheit dürfte nach den im Dezember 2018 und Januar 2019 bekannt gewordenen unbefugten Veröffentlichungen persönlicher Daten zahlreicher Prominenter und Politikerinnen eine erhöhte Priorität erhalten. Zu hoffen ist, dass sich der Gesetzgeber hier für wirksame Maßnahmen und Regelungen einsetzt, die auch den Umgang mit Sicherheitslücken betreffen.

Der im April 2019 bekannt gewordene Referentenentwurf eines „IT-Sicherheitsgesetzes 2.0“ erscheint in dieser Hinsicht noch nicht sonderlich vielversprechend.

Er enthält mit dem Entwurf für einen § 163g StPO auch eine äußerst problematische rechtliche Grundlage für staatliche Täuschungen: Ermittler sollen demnach bei dem Verdacht bestimmter Straftaten die „virtuelle Identität“ (also etwa einen Social Media-Account) des Beschuldigten übernehmen und darüber mit Dritten in Kontakt treten dürfen. Die Behauptung der Entwurfsbegründung, dass die „Nutzung entsprechender übernommener Accounts […] gegenüber den Kommunikationspartnern keinen Eingriffscharakter“ habe, ist dabei nicht haltbar.

Im Ergebnis sind die aktive Manipulation von Bürgern und die Sabotage der allgemeinen IT-Sicherheit rote Linien, die bei der Umsetzung von „Online-Durchsuchung“ und Quellen-TKÜ nicht überschritten werden dürfen.

Bis überzeugende Regelungsansätze für den Umgang mit IT-Sicherheitslücken entwickelt und umgesetzt werden, ist besonders das Offenhalten und Ausnutzen bestehender IT-Sicherheitslücken zur Durchführung der Maßnahmen unzulässig.

4 Ergänzungen
  1. Der Artikel erwähnt leider nicht die Angriffsmethode über SS7 und bietet folglich auch keine juristische Einschätzung darüber.

    Eine Liste deutscher Behörden mit Zugang zum Signalling System #7 wäre schon aufschlussreich.

    1. @Signalling System #7:
      Der Artikel behandelt auch nur die juristischen Fragen, die in dem Zusammenhang auftreten (sehr interessant übrigens, danke!) und geht auf technische Details der einzelnen Angriffsmethoden nicht ein. Kann er auch nicht, weil das Sache von IT-Fachleuten ist und nicht von Juristen.

      Außerdem ist auch ein Angriff über SS7 einfach eine Remote-Infektion unter Ausnützung von Sicherheitslücken, und die kommt im Artikel sehr wohl vor.

  2. Interessant ist die juristische Frage inweit Daten, die bei einer Online-Durchsuchung gefunden werden, überhaupt dem Besitzer des Rechners sicher zugerechnet werden können.
    Auf diesem Rechner sind dann jede Menge Daten für die der Besitzer nicht verantwortlich ist. Außerdem wird gerade durch die Durchsuchung bewiesen, dass es für Dritte möglich war, dort Daten abzulegen.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.