Emotet-Takedown Der Zweck heiligt nicht die Mittel

Vieles spricht dafür, dass das Bundeskriminalamt beim Takedown der Emotet-Infrastruktur seine Befugnisse überschritten hat. Auch wenn die Ausschaltung der Schadsoftware ein großer Erfolg war: Die Maßnahmen müssen rechtlich überprüft werden.

Beschlagnahmte Beweismittel auf dem Boden
Die ukrainische Polizei präsentiert, was sie beim Emotet-Takedown gefunden hat. – Alle Rechte vorbehalten Screenshot: Youtube/Nationale Polizei der Ukraine

Sven Herpig leitet bei der Stiftung Neue Verantwortung den Bereich Internationale Cyber-Sicherheitspolitik. Dennis-Kenji Kipker ist Jurist und wissenschaftlicher Geschäftsführer am Institut für Informations-, Gesundheits- und Medizinrecht (IGMR) an der Universität Bremen. Darüber hinaus ist er im Vorstand der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin tätig.

Cyberkriminalität im engeren Sinne ist die aktuell vermutlich größte Gefährdung für den Cyberraum. Das Bundeskriminalamt (BKA) definiert sie als „Straftaten die sich gegen das Internet, weitere Datennetze, informationstechnische Systeme oder deren Daten richten“. Daher sind Erfolge gegen Plattformen und Gruppen von Kriminalität, wie der aktuelle Takedown der Schadsoftware-Infrastruktur Emotet, besonders wichtig.

Jedoch müssen wir auch bei solchen Erfolgsmeldungen hinterfragen, ob die handelnden Behörden im Rahmen ihrer Befugnisse gehandelt haben. Im Falle vom Emotet-Takedown hat es den Anschein, als habe das Bundeskriminalamt seine Befugnisse hier nicht nur gedehnt, sondern überschritten.

Medizin wider Willen

Die Informationen über das genaue Vorgehen und die Rolle des Bundeskriminalamtes beim Vorgehen gegen Emotet sind noch nicht vollständig öffentlich. Das Bundeskriminalamt hat aber mit hoher Wahrscheinlichkeit ohne Wissen oder Zustimmung der jeweiligen Besitzer:innen in die Integrität der Computersysteme der Emotet-Opfer, und damit in ihr Computergrundrecht, eingegriffen.

Dafür nutzten die Ermittler:innen offenbar ein angepasstes Emotet-Modul, das im Rahmen des Takedowns auf die Computersysteme der Emotet-Opfer aufgespielt wurde. Das Modul soll die Emotet-Schadsoftware auf den Systemen neutralisieren. Hierbei wurden sie von der deutschen Firma G Data unterstützt. Als Analogie kann man sich hier vorstellen, dass die Behörde den infizierten Opfern eine Pille Dritter verabreicht hat, damit sie wieder gesund werden. Die Opfer erfuhren davon aber nichts, hatten dem nicht zugestimmt und wissen nichts über mögliche Nebenwirkungen.

Der Schlachter am Skalpell

Der Eingriff in das Computergrundrecht durch Behörden ist eine hoch-invasive Maßnahme, weshalb das Bundesverfassungsgericht für ihre Durchführung hohe Voraussetzungen festgelegt hat – ein zentraler Punkt hierbei ist die Gefahrenabwehr. Seit mehreren Jahren diskutieren die Bundesregierung und Expert:innen über die Grundlage und Maßnahmen der Gefahrenabwehr im Cyberraum – oder „aktive Cyberabwehr“, auch bekannt als „Hackback“.

Die Gefahrenabwehr kann den Eingriff in das Computergrundrecht durch das Bundeskriminalamt aus zwei Gründen nicht rechtfertigen. Zum einen waren die notwendigen Rahmenbedingungen im vorliegenden Fall nicht erfüllt. Es müssen beispielsweise „tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen“. Zum anderen sind für die Gefahrenabwehr im Cyberraum bei Kriminalität die Länder zuständig und nicht der Bund. Die aktuellen Diskussionen beim IT-Sicherheitsgesetz 2.0 zwischen Bund und Ländern deuten daraufhin, dass die Zuständigkeiten an mehreren Ecken und Enden des Cyberraums noch nicht geklärt sind.

Selbst wenn man annehmen würde, dass es sich bei den durch das BKA getroffenen Maßnahmen nicht um Gefahrenabwehr, sondern um Strafverfolgung handelt, und auf den Rechnern der Betroffenen daher Maßnahmen zur Beweissicherung durchgeführt werden können, wäre das eine höchst abenteuerliche Konstruktion: Dies zum einen, da sich der vorliegende Fall der Strafermittlung nicht zweifelsfrei zuordnen lässt, und zum anderen deshalb, weil die Beweissicherungsmaßnahmen auf den IT-Systemen völlig Unbeteiligter stattgefunden haben.

Auch müsste eine solche technische Maßnahme klar zur Online-Durchsuchung abgegrenzt werden, die verfassungsrechtlich höchsten Anforderungen genügen muss. Keinesfalls darf der Eingriff in informationstechnische Systeme einer Vielzahl Unbeteiligter auf eine juristische Argumentation gestützt werden, die sich in der rechtlichen Grauzone bewegt.

Selbst wenn das Bundeskriminalamt eine andere Rechtsgrundlage für sein Handeln anführt, müsste es immer noch glaubwürdig rechtfertigen, warum es nicht die am wenigsten invasive Maßnahme zur Zielerreichung durchgeführt hat. Mit dem aktuellen Telekommunikationsgesetz können Behörden Informationen an die Telekommunikationsdienstleister liefern, damit diese a) die Opfer unter ihren Kunden informieren und Bereinigungsmöglichkeiten bereitstellen und b) eben diese Kunden solange vom Internet trennen, bis diese ihre Systeme entsprechend bereinigt haben („Walled Garden“).

Während es selten zum gewünschten Ergebnis führt, Kund:innen nur zu warnen – vergleiche zum Beispiel die wiederholten Warnungen von CERT-Bund –, so wären Maßnahmen nach dem „Walled-Garden“-Prinzip zielführend und weniger invasiv gewesen. Davon abgesehen, dass sie von bestehendem Recht gedeckt gewesen wären.

Die drei Paragraphen(-reiter) der Computergrundrechts-Apokalypse

Der vorliegende Fall illustriert plastisch, wie es die Bundesregierung auf den Eingriff in das Computergrundrecht durch Behörden abgesehen hat. Das Kompromittieren von IT-Systemen zur Abwehr von Cyberoperationen [sic!] bringt die Bundesregierung seit Jahren immer wieder auf die Agenda. Darunter fallen auch Maßnahmen, die noch nicht durch geltendes Recht abgedeckt sind und denen ähneln, die das Bundeskriminalamt angewandt hat. Bislang war die Debatte dabei verhältnismäßig fruchtlos, so wurden weder klare Behördenzuständigkeiten noch Rechtsgrundlagen geschaffen.

Zusätzlich sind im aktuellen Entwurf des Gesetzes zur Anpassung des Verfassungsschutzrechts rechtliche Erweiterungen berücksichtigt, die nicht nur allen deutschen Nachrichtendiensten den Einsatz des Staatstrojaners erlauben, sondern die Internetdiensteanbieter auch noch zur Mitwirkung verpflichten.

Komplettiert wird das Triumvirat der Computergrundrechts-Eingriffe durch die im aktuellen Kabinettsentwurf zum IT-Sicherheitsgesetz 2.0 geforderten Befugnisse, die es Behörden ermöglichen, Internetdiensteanbieter anzuweisen, Software(-Updates) ohne Wissen oder Zustimmung der Kunden auf ihre Systeme aufzuspielen. Warum bestehende, weniger invasive Maßnahmen aus dem Telekommunikationsgesetz nicht ausreichen, erklärt die Bundesregierung bisher nicht.

Fast schon könnte man annehmen, dass polizeiliche Generalklauseln zur Rechtfertigung eingriffsintensiver behördlicher Maßnahmen in das Computergrundrecht herangezogen werden, um eine Art von „Gewohnheitsrecht“ zu begründen. Den erhöhten verfassungsrechtlichen Anforderungen genügt das jedoch keineswegs. Ein solches Vorgehen ist höchst gefährlich: Es höhlt nicht nur schleichend eine zentrale grundrechtliche Gewährleistung des Informationszeitalters aus, sondern es droht auch, eine zunehmende Gleichgültigkeit seitens der Behörden und Gewohnheit seitens der Bürger:innen für Eingriffe in IT-Systeme zu fördern.

Verfassungsrechtliche Überprüfung notwendig

Bundeskriminalamt und Bundesregierung werden über jeden Zweifel erhaben sein und vortragen, dass man im Rahmen geltenden Rechts gehandelt habe. Auf Basis der aktuellen Informationen ist dies aber zumindest zu bezweifeln.

Abhilfe könnten Klagen betroffener Bürger:innen und Firmen schaffen, denn in ihre Systeme hat das Bundeskriminalamt ohne Warnung und Zustimmung eingegriffen, wenngleich weniger invasive Mittel mit weniger Nebenwirkungen möglich gewesen wären. Dann müssten die Gerichte entscheiden – die grundsätzliche Problematik wäre damit aber nicht geklärt.

Dass das Bundeskriminalamt seine Befugnisse gedehnt oder überschritten hat, wiegt viel schwerer. Davon sollten auch nicht die positiven Auswirkungen des Emotet-Takedowns ablenken. Hier geht es nicht um die Frage nach faktisch erzielten Ergebnissen, sondern um die juristische Beurteilung, ob ein bestimmtes Ergebnis überhaupt hätte erzielt werden dürfen.

Man könnte versucht sein zu denken, dass die Bundesregierung versucht, mit solchen Operationen Fakten zu schaffen, um die zukünftigen Policies in diesem Bereich – im Rahmen der Anpassung des Verfassungsschutzrechts, des IT-Sicherheitsgesetzes 2.0 und zukünftig im Rahmen der Gesetzgebung zu aktiver Cyberabwehr – zu untermauern. Die normative Kraft des Faktischen, ohne Rücksicht auf verfassungsrechtliche Verluste und Beschädigungen der Integrität von IT-Systemen vorrangig Privater. Und ohne Rücksicht auf die Tatsache, dass das Bundesverfassungsgericht seinerzeit schon feststellte, dass allein mit der Infiltration eines Computersystems die Möglichkeit besteht, eine „Totalausspähung“ zu betreiben. Denn „wird ein komplexes informationstechnisches System […] technisch infiltriert, so ist mit der Infiltration die entscheidende Hürde genommen, um das System insgesamt auszuspähen“.

Aus diesem Grund sollte nicht auf die Klage von Betroffenen gewartet werden, um herauszufinden, ob die Maßnahmen des Bundeskriminalamtes rechtlich einwandfrei waren oder nicht. Sie müssen verfassungsrechtlich überprüft werden, noch bevor die Anpassung des Verfassungsschutzrechts oder das IT-Sicherheitsgesetz 2.0 verabschiedet werden. Soviel Rechtsstaat muss schon sein.

Redaktioneller Hinweis, 25. Februar: Der besseren Verständlichkeit halber wurde die Formulierung zum angepassten Emotet-Modul bearbeitet.

4 Ergänzungen

    1. Im ersten Moment wirkt das sicher sinnvoll, aber kein Außenstehender konnte im vorhinein prüfen, was die G-Data Software wirklich macht und ob diese wirklich das geeignete Mittel ist. Was wäre gewesen, wenn die Software z.B. Systeme beschädigt hätte, oder Daten an Hersteller schickt. Man kann das Vergleichen, als wenn dir das Bauamt einen Handwerkertrupp vorbeischickt, wenn du eine kaputte Scheibe hast, der dein Haus ohne Einwilligung betritt. Der kann jetzt sorgfältig arbeiten, oder Pfuschen, er kann in der Wohnung herumschnüffeln oder nicht, ohne dass du irgendeine Art von Kontrolle darüber hättest. Das stellt durchaus ein Problem dar.

      1. Da wäre eine providerseitige Sperrung nach Benachrichtigung gedacht sinnvoller. Dann das Wasserwerk oder die Klinik…

  1. Die Sichtweise des Artikels leidet an einer Schwachstelle: der feingliedrigen Zerlegung der Eingriffsintensität am Maßstab juristischer Theorie. Dabei gerät aus dem Blick, dass aus Nutzersicht die Einsperrung des eigenen Rechners in einem Walled Garden zu (1) einer Zugangsunterbrechung führt und (2) der Nutzer selbst aktiv werden muss, um seinen Rechner zu bereinigen. Das geht von dem Grundbild eines hinreichend versierten, informierten und technisch affinen Computerbenutzers aus. Der Verfasser kann aus zwei Jahrzehnten Berufserfahrung berichten, dass diese Idealvorstellung auf einen großen Teil der Computerbenutzer nicht zutrifft. Meine Eltern haben zwei Computer, wenn das Internet nicht geht klingelt mein Telefon. Ihnen ist es egal, warum es nicht geht, weil sie die Materie weder verstehen noch sich damit auseinandersetzen möchten, und es intellektuell vielleicht auch gar nicht können.
    Wenn wir als Gesellschaft Digitalisierung ernsthaft wollen, dann müssen wir endlich lernen zu akzeptieren, dass nicht nur Experten selbstbestimmt einen Computer benutzen und über jede Aktivität informiert sein wollen. Vielmehr benutzen auch Menschen einen Computer, die ganz selbstbestimmt entscheiden, dass sie nicht daran interessiert sind, dessen Funktionsweise zu verstehen, solange im Ergebnis das rauskommt, was sie wollen. Im Zweifel: ein funktionierender Webseitenaufruf. Das Walled Garden Prinzip ist super, aber auch damit sind solche Nutzer überfordert. Dabei sind auch solche Menschen auf einen Computer angewiesen, weil ohne elektronischen Zugang verschiedenste Angebote zunehmend schwerer oder gar nicht zu erreichen sind.
    Dem Walled Garden mag unter verfassungsrechtlichen Maßstäben eine geringere Eingriffsintensität in die Grundrechte beigemessen werden. In der realen Welt sind die Auswirkungen auf den Nutzer durch die Stille Pille von ungleich geringerer, erfahrener Eingriffsintensität.
    Bei aller angebrachter Skepsis gegen eine „stille“ Maßnahme des Staates, die überkommene Dogmatik der verfassungsrechtlichen Erforderlichkeitsprüfung braucht ein Update, um im digitalen Zeitalter nicht genau diejenigen abzuhängen, deren Schutz sie bezweckt: die unbedarften Computernutzer, für die das Ergebnis in einer Gesamtbetrachtung zählt.
    Ja, meine Eltern hätten eine Aufforderung zur Installation einer Bereinigungssoftware genauso weggeklickt, wie einen Emotet Link. Den unterbrochenen Internetzugang jedoch hätten sie nicht durch das Lesen einer noch so freundlich gestalteten Landingpage des TK-Anbieters und befolgen der angebotenen Lösungsmöglichkeit gelöst, sondern durch den Griff zum Telefonhörer – meine Nummer ist gespeichert.
    Nein, die staatliche Hilfe sollte nicht an höhere Anforderungen geknüpft sein, als die Verletzungsgefahr. Gefahrenabwehr muss sich an rechtsstaatlichen Maßstäben messen. Diese jedoch, sollten sich an den Realitäten messen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.