EmotetDarf das BKA Schadsoftware auf infizierten Rechnern manipulieren?

Das Bundeskriminalamt war daran beteiligt, die Infrastruktur der Schadsoftware-Familie Emotet zu zerschlagen. Dabei haben die Ermittler offenbar auf 40.000 infizierten Systemen Daten verändert. Das ist ein schwerwiegender Eingriff, zur Rechtsgrundlage schweigen die Beteiligten.

Ukrainischer Polizist sitzt vor Rechner
Polizist bei der Beschlagnahme von Emotet-Infrastruktur – Alle Rechte vorbehalten Screenshot: Youtube/Nationale Polizei der Ukraine

Wer unbefugt auf Daten auf einem Computer zugreift oder sie sogar verändert, macht sich strafbar. Im Jahr 2008 formulierte das Bundesverfassungsgericht das „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“, kurz Computer-Grundrecht. Immer wieder wurden Befugnisse wie die Online-Durchsuchung von Gerichten zurechtgestutzt, denn für staatliche Stellen gelten hohe Hürden, wenn sie in fremde IT-Systeme eingreifen wollen.

Meist geht es bei den Ermittlungsbefugnissen um die Systeme von Verdächtigen und Tätern. Ende Januar hat das BKA aber offenbar aber eine Vielzahl von Systemen verändert, die selbst von der Schadsoftware Emotet befallen waren – und damit Opfer statt Täter waren. Auf welcher Rechtsgrundlage das BKA gehandelt hat, bleibt dabei fraglich.

Emotet ist viel weniger eine einzelne Schadsoftware, sondern vielmehr eine Malware-Familie. Mit Emotet kompromittierten Kriminelle E-Mail-Accounts, legten Stadtverwaltungen und Gerichte lahm, infizierten den Bundestagsfahrdienst. Jahrelang warnten Behörden vor den Programmen, die unzählige Rechner befielen. Allein in Deutschland soll Emotet 14,5 Millionen Euro Schaden verursacht haben.

Schadsoftware auf Opfersystemen verschoben

Die Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) bei der Generalstaatsanwaltschaft Frankfurt am Main und das Bundeskriminalamt verkünden in ihrer Pressemitteilung, man habe in einer „international konzertierten Aktion“ die Emotet-Infrastruktur „übernommen und zerschlagen“. In jahrelangen Ermittlungen habe man Kontrollserver aufspüren und die Infrastruktur aufdecken können. Dabei fällt ein Absatz auf:

Durch die Übernahme der Kontrolle über die Emotet-Infrastruktur war es möglich, die Schadsoftware auf betroffenen deutschen Opfersystemen für die Täter unbrauchbar zu machen. Um den Tätern jegliche Möglichkeit zu nehmen, die Kontrolle zurück zu erlangen, wurde die Schadsoftware auf den Opfersystemen in Quarantäne verschoben und die Kommunikationsparameter der Schadsoftware so angepasst, dass die Opfersysteme ausschließlich zu einer zur Beweissicherung eingerichteten Infrastruktur kommunizieren können.

Rechtsgrundlage bleibt geheim

Auf Anfrage von netzpolitik.org konkretisiert ein Sprecher der ZIT, dass das BKA „im Rahmen von international abgestimmten strafprozessualen Maßnahmen“ die „Anpassung der auf den Opfersystemen vorhandenen Schadsoftware“ durchgeführt hat und die Maßnahmen weiter andauern. Bis Ende Januar „konnten diese Maßnahmen bei rund 40.000 Systemen umgesetzt werden“.

Die ZIT habe dafür die richterlichen Beschlüsse erwirkt. Weitere Hinweise darauf, dass deutsche Behörden auf den Systemen Code ausgeführt und verändert haben könnten, sind deutsche Begriffe wie „Hilfe“ und „Beenden“, die Sicherheitsforscher in aktuellen Versionen der Emotet-Malware gefunden haben. Demnach soll sich auch die Schadsoftware im April von selbst deinstallieren.

Auf welcher Rechtsgrundlage das BKA die Maßnahmen durchgeführt hat, will der ZIT-Sprecher nicht offenbaren: „Die konkreten Bestimmungen der Strafprozessordnung und damit deren genauer Wortlaut, auf deren Grundlage die richterlichen Beschlüsse ergangen sind, kann ich Ihnen zum derzeitigen Zeitpunkt nicht nennen, um die weiterhin andauernden, international abgestimmten Ermittlungen nicht zu gefährden.“

Dürfen die das?

Es wurde also offenbar in viele Systeme eingegriffen, um dort Schadsoftware zu deaktivieren. Experten haben Zweifel an der Rechtmäßigkeit dieser Maßnahme. Sven Herpig leitet den Bereich Internationale Cybersicherheitspolitik bei der Stiftung Neue Verantwortung und sieht Probleme: „Aus den sehr spärlichen technischen Informationen, die das BKA bereitgestellt hat, sieht es so aus, als hätte die Behörde möglicherweise ihre Befugnisse überschritten“, so Herpig gegenüber netzpolitik.org.

„Das, was sie gemacht hat, klingt nach einem technischen Eingriff, für den das Bundesinnenministerium zwar seit Jahren im Rahmen der Aktiven-Cyberabwehr-Debatte eine Rechtsgrundlage schaffen will, es aber bisher nicht geschafft hat. Unter anderem weil es hierzu eine Grundgesetzänderung bräuchte“.

Die Juristen Dennis-Kenji Kipker und Michael Walkusz weisen darauf hin, dass es Gefahrenprävention und keine Strafverfolgung sei, wenn Schadsoftware ausgeschaltet wird. Außerdem gehe es nicht nur darum, Daten zu erheben, sondern sie auf den Systemen der Opfer zu verändern. Die Hürden dafür sind hoch.

Die Polizei könne zwar in bestimmten Fällen Maßnahmen gegen Personen ergreifen, die nicht selbst direkt Täter sind, sie muss dabei aber die Verhältnismäßigkeit beachten. „Denn auch wenn die Schadsoftware großen Schaden anzurichten droht, darf nicht außer Acht gelassen werden, dass der Eingriff in das Computer-Grundrecht nicht nur schwerwiegend ist, sondern auch hohen verfassungsrechtlichen Maßstäben genügen muss“, schreiben Kipker und Walkusz. Ob ein generell weiträumiger Eingriff, „bei dem eine große Zahl nicht verantwortlicher Personen betroffen ist“, für die Schadensbegrenzung verhältnismäßig ist, halten sie für zweifelhaft.

Eine politisch opportune Erfolgsmeldung

Rechtsgrundlagen schaffen will das Bundesinnenministerium mit dem IT-Sicherheitsgesetz 2.0. Und passenderweise erschien die Erfolgsmeldung zu Emotet genau einen Tag vor dessen erster Lesung im Bundestag.

„Emotet zeigt, wie wichtig die IT-Sicherheit für uns alle ist“, sagt Seehofer am Rednerpult. Ein glänzendes Beispiel für die Kompetenz deutscher und internationaler Behörden, so wirkt es.

Das zweite IT-Sicherheitsgesetz soll unter anderem die gesetzlichen Grundlagen dafür schaffen, dass staatliche Stellen den Eingriff in infizierte Systeme anordnen können, um diese zu bereinigen. Doch sogar hier sollen die Behörden nicht selbst auf die infizierten Systeme zugreifen. Stattdessen soll laut dem Gesetzentwurf das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Telekommunikationsanbietern anordnen, infizierte IT-Systemen „Befehle zur Bereinigung von einem konkret benannten Schadprogramm“ zu verteilen.

Bei Emotet gab es offenbar keine Beteiligung der Provider. Und so wirft Seehofers Meldung des „großen Erfolgs“ eine ebenso große Frage auf: Wenn der Schlag gegen Emotet erfolgreich war, wozu braucht es da neue gesetzliche Befugnisse? Oder passiert schon heute, was eigentlich noch nicht erlaubt ist? Beantworten könnte das wohl BKA-Chef Holger Münch, der im Februar dem Innenausschuss des Bundestags über die Zerschlagung Emotets berichten soll.

Bei dieser Frage dürfen sich die Behörden nicht hinter laufenden Ermittlungen verstecken. Der Zweck kann nicht die Mittel heiligen, sondern sie müssen die rechtlichen Grundlagen ihres Handelns benennen können. Im Fall Emotet steht diese Antwort noch aus.

5 Ergänzungen

  1. Zumindest müssten in solch einem Fall die Benutzer des Betriebssystems direkt informiert werden das eine Veränderung vorgenommen wurde, welche das war und wer dafür verantwortlich ist. Eine solche Maßnahme ohne wissen der Anwender durchzuführen halte ich dann doch schon für ethisch sehr sehr fragwürdig !

    Zumindest im Nachhinein sollten die Inhaber der betroffenen Systeme doch darüber informiert werden müssen. Schon allein damit Sie die Sicherheitslücken die da wohl bestanden haben schließen können !

  2. Wir sind das ja leider schon gewohnt: Grundrechte werden ignoriert, Befugnisse überschritten. Verantworlich ist am Ende niemand, und es dauert ein paar Jahre, bis vielleicht noch irgendwo eine Richterin das Hämmerlein schwingt und sagt „Dududu, das dürft ihr aber nicht!“ – das war es dann auch schon mit Konsequenzen.

  3. Wenn man ein wenig „Einblick“ hat und die Entwicklungen der vergangenen Jahre beobachtete, ist zu erkennen, dass die Polizeibehörden, von UK, über NL, über FR, über CH, bis nach GR und IT stets freudig dabei waren und u.a. Malware von Hacking-Team, Gamma Group (FinFisher) und Co. „umfangreich verteilt“ haben – die Aktion könnte also mehrfach verschachtelt-getarnt auch eine Beweismittel-Beseitigung darstellen!

  4. „Schadsoftware manipulieren“

    Das manipuliert allerdings auch das System. Prinzipiell einerseits, andererseits zumindest dann konkret, wenn die Schadsoftware auch Systemdateien verändert hat, oder anderweitig auf das System einwirkt. Extremfall wäre eine Art impliziter Killswitch, auf einem System das „gut mit Malware leben“ konnte, der das System bei gewissen Veränderungen unbrauchbar macht.

    Das ist nicht in der Realität beherrschbar, was mit dem System dann passiert.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.