Staatstrojaner im GesetzentwurfMehr Befugnisse zur heimlichen „Online-Durchsuchung“

Verdecktes staatliches Hacking in Form der „Online-Durchsuchung“ soll künftig in noch mehr Fällen erlaubt sein. Die Bundesregierung begründet die Erweiterung der hochumstrittenen Durchsuchung von Computern oder Smartphones mit Hilfe von Spionagesoftware damit, dass es einfach praktisch sei. Ein Kommentar.

symboldbild staatstrojaner
In der Realität dürfte der Staatstrojaner etwas weniger auffällig aussehen.

Die Bundesregierung möchte die Befugnisse zum Einsatz von Staatstrojanern nochmals erweitern. Diesmal geht es um die Form des staatlichen Hackens, die behördenseitig als „Online-Durchsuchung“ bezeichnet wird. Gemeint ist damit, ein elektro­nisches System heimlich nach verdächtigen Daten zu durchsuchen, was mit einer Spionagesoftware durchgeführt wird. Der Regierungsentwurf (pdf) für das Gesetz zur Fortentwicklung der Strafprozessordnung (StPO) ist seit einigen Tagen verfügbar.

Die „Online-Durchsuchung“ ist in § 100b StPO Abs. 1 geregelt, der nun erweitert werden soll. Die für das Jahr 2019 verfügbaren Zahlen zu den Verfahren, in denen ein Einsatz des Staatstrojaners nach dieser Norm angeordnet wurde, sind überschaubar: In 32 Fällen wurde eine „Online-Durchsuchung“ angeordnet oder eine bestehende Anordnung verlängert, wie beim Bundesjustizamt (pdf) für das Jahr 2019 nachzulesen ist. Tatsächlich durchgeführt wurde das seit 2017 erlaubte verdeckte staatliche Hacking in Form der „Online-Durchsuchung“ im letzten Jahr bundesweit in zwölf Fällen, soweit es die Strafverfolgung angeht.

Der Bundestag und der Bundesrat müssen noch hinzugezogen werden, ehe der Entwurf Gesetz werden kann. Neue Delikte könnten dann den Straftatenkatalog erweitern, bei dem der „große Staatstrojaner“ zum Einsatz kommen darf. Vorgesehen für diese Erweiterung sind folgende Delikte, die gewerbs- und bandenmäßig oder für den Geheimdienst einer fremden Macht durchgeführt werden: Menschenhandel, Computerbetrug, Zwangsprostitution und Zwangsarbeit sowie Verstöße gegen das Außenwirtschaftsgesetz. Auch das Neue-psychoaktive-Stoffe-Gesetz (NpSG) soll in die Liste aufgenommen werden, da der § 4 Absatz 3 Nummer 1 Buchstabe b NpSG den „Grundtatbestand bei der Abgabe an Minderjährige zum Verbrechen qualifiziert“. Damit werde „ein Gleichlauf zu den Ermittlungsmöglichkeiten bei Straftaten nach dem BtMG hergestellt“, da in der aktuellen Fassung Straftatbestände aus dem Betäubungsmittelgesetz bereits enthalten sind.

Die geplante Ausweitung der ohnehin nicht eben kurzen Liste des Straftatenkatalogs schiebt das staatliche Hacken weiter in Richtung Normalität beim heimlichen Infiltrieren von Computern oder Smartphones, die einer Gewöhnung an diese problematische Maßnahme Vorschub leistet.

Kosten der „Online-Durchsuchung“

Für die Erweiterung der Befugnisse zum Hacken wird ein „moderat erhöhter Erfüllungsaufwand für Bund und Länder“ angenommen. Für die „fachliche Durchführung der Online-Durchsuchung“ plant die Regierung einen Aufwand von knapp einer Viertelmillion Euro (230.458 Euro) für die Zollverwaltung als Behörde des Bundes. Für diesen „jährlichen Erfüllungsaufwand“ wird im Bereich Ermittlungsverfahren in der Zollverwaltung mit fünf Staatstrojanereinsätzen jährlich kalkuliert, so die „vorläufige Schätzung“. Die Zollverwaltung wird für diese Einsätze mit der obigen geschätzten Summe das Fachpersonal bezahlen.

Was eine „Online-Durchsuchung“ pro Einsatz kostet, wird allerdings als unbekannt angegeben: „Zahlen zu den Kosten der Online-Durchsuchung wurden nicht erhoben.“ Ein „erheblicher technischer Aufwand“ sei aber erforderlich, weswegen „die Kosten einer Online-Durchsuchung mindestens mit denen einer Wohnraumüberwachung vergleichbar sind“. Diese werden mit etwas über zwanzigtausend Euro pro Maßnahme angegeben. Nach Schätzungen der Bundesregierung wird die Erweiterung des Straftatenkatalogs wohl zwei weitere Staatstrojanereinsätze zur Durchsuchung der Speicher der infizierten Systeme pro Jahr zur Folge haben.

Warum die nochmalige Ausweitung?

Viele Worte macht der Entwurf nicht, wenn es an die Gründe zur Erweiterung des Straftatenkatalogs geht. Er würde eben „an die Bedürfnisse der Praxis angepasst“. Eine Begründung für den Einsatz der „Online-Durchsuchung“ kann sich aber nicht darauf stützen, dass ein Staatstrojaner vielleicht praktisch oder hilfreich bei Ermittlungen sein könnte, sondern er muss sich als zwingend notwendig erweisen. Dazu jedoch schweigt sich der Entwurf aus.

Man muss immer wieder daran erinnern: Das Bundesverfassungsgericht hat ein explizites Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme geschaffen, in das schon bei der Ausdehnung der Staatstrojanerbefugnisse 2017 in eklatanter Weise eingegriffen wurde. Die Sicherung der Vertraulichkeit und Integrität unserer IT-Systeme ist heute angesichts einer strukturellen Krise in der IT-Sicherheit noch mehr als vor einigen Jahren ein drängendes gesellschaftspolitisches Anliegen. Die nochmalige Ausweitung der Eingriffsermächtigungen für Zwecke der Strafverfolgung leistet hier einen Bärendienst.

Die „Online-Durchsuchung“ wird in dem Entwurf behandelt, als sei sie eine Ermittlungsmethode wie jede andere: Kein Wort mehr über die schwierigen Fallstricke beim staatlichen Hacken. Doch die alten Probleme beim Staatstrojanereinsatz bleiben: Wie begegnet man dem Risiko einer Beweismittelveränderung, wie sind die Erfahrungen nach den erfolgten Einsätzen? Ganz ausschließen kann man dieses Risiko nie, aber wie kann es wenigstens so gering wie möglich gehalten werden? Der Schlüssel dazu ist eine reproduzierbare Protokollierung jeder Veränderung auf dem ausspionierten informationstechnischen System über den gesamten Verlauf der Maßnahme. Im Rahmen der Strafverfolgung ist die forensisch zu sichernde Beweiserhebung einziger Zweck der ganzen Hackübung, daher bleibt diese Frage zentral.

Aber viele weitere Fragen stellen sich zusätzlich, etwa: Wie kann verhindert werden, dass eine Zielperson feststellt, dass auf ihrem Computer, Smartphone oder gar Fahrzeug eine Spionagesoftware installiert ist? Und wie können nach Ende der Spionage alle eingebrachten Komponenten des Trojaners wieder rückstandslos vom System entfernt werden? Dazu ist praktisch bisher zu wenig bekannt. Auch die Beschaffung der für den Staatstrojanereinsatz nötigen Sicherheitslücken ist nach wie vor nebulös, obwohl damit viele technische und nicht-technische Folgeprobleme verbunden sind.

Und auch die Frage der Vorbeugung gegen Missbrauch bleibt auf der Tagesordnung. Der Missbrauch solch mächtiger Ermittlungsinstrumente ist ja keine theoretische Problematik. Schon Anfang des Jahres 2012 kam raus, dass beim Bundeskriminalamt ein solcher Missbrauch im Rahmen eines Trojanereinsatzes stattgefunden hatte: Die Beamten fertigten Telefonsex-Mitschnitte und speicherten sie rechtswidrig. Der damalige Bundesbeauftragte für den Datenschutz, Peter Schaar, hatte dies in einem geheimen Bericht vermerkt, der dann seinen Weg an die Öffentlichkeit fand. Das BKA hatte mit dem Trojaner den höchstpersönlichen Mitteilungen nicht nur zugehört und sie aufgezeichnet, sondern die Sex-Gespräche auch noch transkribiert. Das Erstellen der Sex-Aufzeichnungen war ein doppelter Eingriff in den sogenannten Kernbereich privater Lebensgestaltung, also die besonders geschützte Intimsphäre von Menschen.

Dass die Öffentlichkeit von solchen Rechtsbrüchen überhaupt erfährt, ist beim heimlichen staatlichen Hacken eigentlich nicht vorgesehen. Und eine Überprüfung, ob die erweiterten Eingriffsermächtigungen im Gesetz tatsächlich sinnvoll sind, hat die Bundesregierung gar nicht erst geplant: „Eine Evaluierung soll nicht erfolgen.“

Eine Ergänzung

  1. „Dass die Öffentlichkeit von solchen Rechtsbrüchen überhaupt erfährt, ist beim heimlichen staatlichen Hacken eigentlich nicht vorgesehen. “

    Q.e.d., NUKE.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.