SpionagesoftwareStaatstrojaner-Varianten sind eine Fiktion

Die Gesellschaft für Freiheitsrechte fordert in einer Stellungnahme an das Bundesverfassungsgericht, die gesetzlichen Regeln für Staatstrojaner nachzubessern. Die sogenannte „kleine Online-Durchsuchung“ sei nicht weniger eingriffsintensiv als die klassische „Online-Durchsuchung“. Die Spionagesoftware solle zudem besser kontrolliert werden.

Wenn man eine KI bittet, einen Staatstrojaner darzustellen (Diffusion Bee)
Das kommt raus, wenn man eine KI auffordert, einen Staatstrojaner darzustellen (Diffusion Bee)

Beim Bundesverfassungsgericht steht erneut das Thema Staatstrojaner auf der Agenda. Bis Mitte Juli hatte das Höchstgericht eine ganze Reihe Sachverständige um Stellungnahmen gebeten. Die Gesellschaft für Freiheitsrechte (GFF) hat ihre Stellungnahme veröffentlicht (pdf).

Es geht um eine Gesetzesänderung, die schon einige Jahre zurückliegt: Die schwarz-schwarz-rote Mehrheit im Bundestag beschloss 2017, dass Ermittler in Strafverfahren in vielen Fällen Staatstrojaner anwenden dürfen, um beispielsweise verschlüsselte Gespräche und Chats über Messenger wie WhatsApp, Matrix, Signal, Telegram oder Threema direkt auf den Geräten einsehen und ausleiten zu können. Diese Änderungen in der Strafprozessordnung (StPO) waren von der Großen Koalition in einem umstrittenen intransparenten Schnellverfahren verabschiedet worden, was wegen der beispiellosen Eingriffstiefe beim Einsatz von Staatstrojanern stark kritisiert wurde. Faktisch wird die Spionagesoftware vor allem zur Drogenfahndung eingesetzt.

Die GFF bemängelt in ihrer Stellungnahme, dass es an einer unabhängigen Überprüfung der Spionagesoftware fehle, und kritisiert insbesondere die Regelungen bei der sogenannten „kleinen Online-Durchsuchung“. Diese würden dem Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit von informationstechnischen Geräten nicht gerecht, moniert die Nichtregierungsorganisation.

Kaum ein Unterschied bei den Trojaner-Formen

Es gibt den Staatstrojaner in der StPO in drei Varianten. Da ist zunächst die sogenannte „Quellen-Telekommunikationsüberwachung“ (Quellen-TKÜ) für das Ausspähen von Kommunikation. In einem früheren Urteil hat das Bundesverfassungsgericht dieses Instrument ausdrücklich auf Daten aus einem laufenden Kommunikationsvorgang beschränkt. Deswegen kam zusätzlich die sogenannte „kleine Online-Durchsuchung“ hinzu sowie die „Online-Durchsuchung“ ohne jede Einschränkung, was die Art des Zugriffs angeht.

Bei der sogenannten „kleinen Online-Durchsuchung“ (auch: „Quellen-TKÜ+“) darf nicht nur laufende, sondern auch ruhende Kommunikation ausgeleitet werden. Praktisch heißt das, dass der Staatstrojaner in dieser Darreichung beispielsweise auf dem Gerät gespeicherte Dateien wie Inhalte früherer Kommunikation abgreifen darf, also etwa alte Chat-Nachrichten. Es bestehe laut GFF dabei „das Risiko einer weitgehenden Ausspähung der Persönlichkeit“.

In der Verfassungsbeschwerde wird gerügt, dass diese Spionagesoftware-Variante der klassischen „Online-Durchsuchung“ mit vollem Zugriff auf das Computersystem in ihrem Eingriffsgewicht, ihrer Dauer und ihrer Reichweite praktisch in nichts nachstünde. Der Unterschied sei kaum auszumachen.

Stellungnahmen

Nicht nur lesen, lachen, löschen, wir berichten über Stellungnahmen sogar. Unterstütze unsere Arbeit!

Das wird auch in der GFF-Stellungnahme so bewertet: Der „Zugriff auf sämtliche Dateitypen“ sei möglich, die kleine Online-Durchsuchung sei „faktisch nicht begrenzt“. Sie berge zudem ein erhöhtes immanentes Missbrauchs- und Fehlerpotential. Also müssten die deutlich strengeren Regeln der klassischen „Online-Durchsuchung“ auch für diese Form des Staatstrojaners zur Anwendung kommen.

Ob es aus Sicht der GFF überhaupt sinnvoll sei, die drei Trojaner-Varianten „Quellen-TKÜ“, „kleine Online-Durchsuchung“ und „Online-Durchsuchung“ mit jeweils unterschiedlichen rechtlichen Bedingungen beizubehalten, verneint David Werdermann von der GFF: „Auf der technischen Ebene war die Unterscheidung schon immer eine Fiktion. Das Bundesverfassungsgericht erkennt selbst an, dass mit der Infiltration die entscheidende Hürde genommen ist, um das System insgesamt auszuspähen“, so der Jurist gegenüber netzpolitik.org.

Die höheren rechtlichen Anforderungen an die klassische „Online-Durchsuchung“ würden damit begründet, dass der Vollzugriff auf das System das Risiko einer weitestgehenden Ausforschung der Persönlichkeit bildet, erklärt Werdermann. In „Zeiten von Cloud-Computing“ nähere sich aber eine „Quellen-TKÜ“ der „Online-Durchsuchung“ an. Daher spreche viel dafür, die Unterscheidung aufzugeben. Werdermann sieht es als eine Alternative, „auch für die Quellen-TKÜ höhere Hürden aufzustellen“.

Das hatte die Ampel-Regierung im Koalitionsvertrag ohnehin versprochen. Sie hat sich zudem ein Schwachstellenmanagement vorgenommen und versprochen, der Staat werde „keine Sicherheitslücken ankaufen oder offenhalten“.

Die Software ist ███████ ███████ ███████

Wer soll die Spionagesoftware kontrollieren?

Die GFF bemängelt in ihrer Stellungnahme außerdem, dass es an einer unabhängigen Überprüfung der Spionagesoftware fehle, und regt deshalb an, Prüfungsmechanismen zu etablieren. Diese sollten sicherstellen, „dass die rechtlichen Anforderungen an die eingesetzten technischen Mittel eingehalten werden“. Denn die Spionagesoftware hat verschiedene Anforderungen zu erfüllen, zum Beispiel darf das angegriffene System nicht mehr als erforderlich verändert werden.

Auf die Frage, in welcher Weise eine solche Prüfung praktisch umgesetzt werden könnte, sagt Werdermann von der GFF: „Die Anforderungen müssten in einem ersten Schritt technisch spezifiziert werden. Anschließend müsste eine unabhängige Stelle – zum Beispiel der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit – unter Zugriff auf den Quelltext überprüfen, ob ein rechtskonformer Einsatz überhaupt möglich ist. Die Gerichte wären weiterhin dafür verantwortlich, den konkreten Einsatz der Software zu kontrollieren.“

Eine Überprüfung des Quelltextes jedoch dürfe „nicht auf die Gerichte abgewälzt“ werden, schreibt die GFF in ihrer Stellungnahme. Dafür seien sie „schon nicht ausgestattet“ und würden sich „bestenfalls auf die Angaben der Ermittlungsbehörden verlassen“.

Was aber, wenn die Trojaner-Anbieter einer Quellcode-Einsicht – wie in der Vergangenheit geschehen – nicht zustimmen oder nur eine Art Draufsicht genehmigen? Danach gefragt, ob in diesem Falle die staatliche Stelle nicht Kunde des Anbieters werden dürfe, sagt Werdermann: „Entweder die Anbieter unterwerfen sich rechtsstaatlichen Kontrollen oder sie sind raus. Der Staat darf nicht die Grundrechte unterlaufen, indem er private Unternehmen in Anspruch nimmt.“

Wie ist dann der Staatstrojanergebrauch des Bundeskriminalamts zu bewerten? Denn das BKA setzt die Pegasus-Software des Anbieters NSO Group seit März 2021 ein. Kontrollbehörden zur Überprüfung sind daran nicht beteiligt. Auf die Frage, ob dieser Einsatz aus Sicht der GFF damit verfassungswidrig ist, antwortet Werdermann deutlich: „Ja. Pegasus kann viel mehr als unter dem Grundgesetz erlaubt ist. Das BKA behauptet zwar, eine angepasste Version zu verwenden. Ob diese Version den rechtlichen Anforderungen genügt, ist aber völlig unklar.“


Offenlegung: Für den Chaos Computer Club habe ich als sachkundige Dritte nach § 27a Bundesverfassungsgerichtsgesetz zu der oben erwähnten Verfassungsbeschwerde Stellung genommen. Die CCC-Stellungnahme ging dem Gericht Mitte Juli zu.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

2 Ergänzungen

  1. „Ob diese [Pegasus-BKA-]Version den rechtlichen Anforderungen genügt, ist aber völlig unklar.“
    => Könnte man prüfen, was BKA und Geheimdienste mit Staatstrojanern auslesen, wenn man Logfiles jedes Einsatzes verpflichtend vorschreibt? Gäbe es technisch diese Alternative zur Quellcode-Prüfung überhaupt?

  2. P.S. Im empfohlenen Artikel von 2021 [ https://netzpolitik.org/2021/catch-me-if-you-can-quellen-telekommunikationsueberwachung-zwischen-recht-und-technik/ ],
    finde ich zum Thema „Logfile“-Kontrolle:

    „Damit von dem Protokolliermechanismus eine möglichst geringe Manipulationsgefahr ausgeht, sollte er unmittelbar in der Software verankert sein.[137] Außerdem ist es denkbar, dass die Software die Protokollierung automatisiert auf einen anderen, sicheren Server ausleitet, auf den die ausführende Stelle selbst keinen Zugriff hat.[138] Selbst dann ist die Protokollierung technisch aber nicht vollständig überprüfbar und bietet daher allein keine hinreichende Gewähr dafür, unbefugte Veränderungen aufzudecken.[139] Dennoch ist sie – im Verbund mit anderen Maßnahmen – eine taugliche zusätzliche verfahrensrechtliche Absicherung.

    (137) Das Protokollierungssystem ProSys ist Bestandteil der Software RCIS, BT-Drs. 19/1434, 8. Dies empfiehlt auch Herpig, A Framework for Government Hacking in Criminal Investigations, 20.
    (138) Zumindest sind bereits heute unterschiedliche Einheiten des BKA damit betraut, die Maßnahme durchzuführen und zu protokollieren, vgl. BT-Drs. 18/12785, 52. Zu einem Verfahren, um die Unveränderbarkeit des Protokolls herzustellen, Neumann/Kurz et al., Stellungnahme im Ausschuss für Recht und Verbraucherschutz zu BT-Drs. 18/11272, 16.
    (139) Der Mechanismus ist manipulierbar: Ein technisches Verfahren, das die Aktivitäten authentifiziert protokolliert, setzt die exklusive Kontrolle über das System voraus. Rehak, Angezapft – Technische Möglichkeiten einer heimlichen Online-Durchsuchung und der Versuch ihrer rechtlichen Bändigung, 38.

    Ein Schutzbaustein kann darin bestehen, das Vier-Augen-Prinzip gesetzlich zu verankern. Eine zweite Person innerhalb der Behörde kontrolliert dann die Ausführung des Überwachungsprogramms fortlaufend.“

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.