Das Bundesverfassungsgericht muss sich derzeit wieder mit dem staatlichen Hacken auseinandersetzen. Nach einer Verfassungsbeschwerde, die das Höchstgericht aktuell beschäftigt, wurde in einem schriftlichen Verfahren bis Mitte Juli eine ganze Reihe von sachverständigen Stellungnahmen eingeholt. Das dürfte auch Minister Marco Buschmann (FDP) bekannt sein. Sein Justizministerium hat nun einen Gesetzentwurf in Planung, der dem heimlichen schwerwiegenden Eingriff mittels Staatstrojaner neue Grenzen setzen will, meldet tagesschau.de.
Das Bundesverfassungsgericht hatte schon im Jahr 2008 ein neues Grundrecht aus der Taufe gehoben, das den Staat und seine Behörden verpflichtet, die Integrität und Vertraulichkeit von informationstechnischen Systemen zu gewährleisten. In einem Urteil im Jahr 2016 stutzte das Gericht auch den Einsatz behördlicher Spionagesoftware beim Bundeskriminalamt und hat ihn für teilweise grundgesetzwidrig erklärt.
Doch noch jede neue Bundesregierung und dazu auch verschiedene Landesregierungen haben es fertiggebracht, das genaue Gegenteil in Gesetze zu gießen: Anstatt dieser Gewährleistungspflicht gerecht zu werden, wurden Gesetze beschlossen, die den Einsatz von Staatstrojanern erlauben oder erweitern und damit zugleich Gift für die Integrität und Vertraulichkeit von Computern sind. Es sind auch Gesetze, die staatliche Stellen zum Kauf bei Staatstrojaner-Anbietern geradezu ermuntern.
In Karlsruhe geht es aktuell um den Staatstrojaner als Maßnahme in strafrechtlichen Ermittlungsverfahren. Die Große Koalition hatte mit einer Änderung der Strafprozessordnung eine Gesetzesreform im Schnellverfahren durch den Bundestag gebracht, die den Einsatz von Staatstrojanern enorm erweiterte.
Staatshacker
Wir berichten seit mehr als fünfzehn Jahren über Staatstrojaner. Unterstütze uns!
Dass diese bestehenden gesetzlichen Befugnisse in Kraft bleiben, ist wenig wahrscheinlich – zu mannigfaltig sind die rechtlichen und technischen Kritikpunkte. Es steht zudem ein klarer Auftrag für die Ampel-Regierung im Koalitionsvertrag, den unzureichenden Zustand in Sachen Staatstrojaner anzugehen.
Was der Justizminister plant
Der Gesetzentwurf von Buschmann ist noch nicht öffentlich, aber aus dem Bericht von tagesschau.de geht hervor, dass der Minister die Regelungen zur „Quellen-TKÜ“ stutzen will. Die „Quellen-TKÜ“ ist eine Spionagesoftware, die heimlich auf beispielsweise einem Smartphone aufgespielt wird und dann ausschließlich laufende Kommunikation abhören darf. Für diese Form des Staatstrojaners sollen künftig besonders schwere Straftaten Voraussetzung sein und die deutlich strengeren rechtlichen Schranken der sogenannten „Online-Durchsuchung“ gelten. Eine „Online-Durchsuchung“ erlaubt den vollständigen Zugriff auf informationstechnische Systeme. Also auch auf vergangene Nachrichten, gespeicherte Fotos und vieles mehr.
Es gibt neben diesen beiden Staatstrojaner-Varianten aber noch eine Art Zwischenform: die „Quellen-TKÜ+“. Mit dieser Spionagesoftware dürfen neben laufender Kommunikation auch gespeicherte Daten ausgelesen werden, etwa abgespeicherte Chats oder Nachrichtenentwürfe. Buschmann will diese „Quellen-TKÜ+“ nun offenbar streichen.
Der Minister will zudem die Prüfhürden etwas höher legen: Über die „Quellen-TKÜ“ soll künftig die Kammer eines Landgerichts befinden, nicht mehr wie bisher ein Einzelrichter. Zudem soll die jeweils mögliche Verlängerung des Staatstrojanereinsatzes verkürzt werden: Maximal einen Monat statt wie bisher drei Monate soll die Spionagesoftware auf dem Gerät bleiben dürfen.
Was jetzt geboten wäre
Die breiten Befugnisse für Staatstrojaner zu stutzen, die häufig auftretende und nicht staatsbedrohende Straftaten betreffen, ist ein richtiger Schritt. Die Arten der Spionagesoftware, die als „Quellen-TKÜ“ oder „Quellen-TKÜ+“ gelabelt sind, bleiben faktisch nur Trojaner im anderen Gewand. Technisch bleibt der Unterschied nicht sauber zu trennen. So zu tun, als sei das heimliche Aufspielen von Schadsoftware eine normale Arbeitsmethode unter Ermittlern, war eine Fehlentwicklung, die korrigiert gehört.
Dass seit der Änderung der Strafprozessordnung durch die Vorgänger der Ampel-Regierung ein enorm langer Katalog von Straftaten den Einsatz von Spionagesoftware gegen informationstechnische Systeme erlaubt, war eine gefährliche Normalisierung dieser Schadsoftware. Dass Buschmann den gesetzgeberischen Fehlschlag auf die politische Tagesordnung setzt, um dem Einhalt zu gebieten, ist notwendig.
Aber kann der Ansatz von Buschmann reichen, ein paar Zöpfe abzuschneiden, das staatliche Hacken an sich allerdings weiterhin zuzulassen? Daran kann man berechtigte Zweifel haben, weil die weitere Beteiligung behördlicher Stellen am Hacking-Markt hohe Risiken birgt.
Das Wehklagen über den Zustand bei der IT-Sicherheit ist in Unternehmen und Behörden gleichermaßen groß. Händeringend suchen alle nach Personal, das die eigenen Systeme in einen halbwegs akzeptablen Zustand versetzt, um den anschwellenden Angriffswellen zu begegnen. So unsinnig es erscheinen mag: Der anstrengende und mittlerweile enorm teure IT-Zustand wird dabei oft als eine Art Naturgesetz akzeptiert, so als würde man es sich nicht mehr anders vorstellen können. Doch wer die Verursacher und Akteure dieser IT-Krise sind, dieser Frage muss man sich stellen.
Brandbeschleuniger der IT-Sicherheitskrise
Eine fatale Rolle als Brandbeschleuniger dieser IT-Sicherheitskrise spielt eine Branche, die nun schon jahrelang einen schwunghaften Handel mit IT-Sicherheitslücken und Exploits betreibt, die Hacking-Dienstleistungen anbietet und Auftragshacker produziert, die alles hacken, was gut bezahlt wird. Der Pegasus-Untersuchungsausschuss des EU-Parlaments hat Staatstrojaner-Skandale ein Jahr lang aufgearbeitet und Informationen über die Branche zusammengetragen. Da muss sich die Ampel-Regierung endlich fragen, ob sie diese Branche weiter bedienen will.
Buschmann sollte mindestens gesetzlich festschreiben, dass es erstens staatlicherseits keine Nutzung – auch nicht über Bande – von Zero-Day-Exploits mehr geben darf. Das kurz- und langfristige Gefahrenpotenzial davon ist derart hoch, dass sich kein Einsatz eines Staatstrojaners rechtfertigen ließe, der solche Exploits nutzt.
Es braucht zweitens die Verpflichtung staatlicher Stellen, alle IT-Sicherheitslücken zu melden und sich damit „immer um die schnellstmögliche Schließung“ zu bemühen, wie es der Koalitionsvertrag auch verlangt. Das muss schlicht ein Standard werden und eine Selbstverständlichkeit ohne Ausnahmen. Zugleich könnten Teile der Hacker-Behörde ZITiS dichtmachen, soweit sie gegen diesen Grundsatz verstoßen. Bei der Gelegenheit könnte auch das unbelegte Geraune über „Going dark“ als das entlarvt werden, was es ist: eine längst widerlegte Behauptung.
Deutschland sollte jegliche Staatstrojaner-Anbieter endlich als gefährlich für die eigene innere und äußere Sicherheit betrachten und auch so behandeln. Dazu gehört natürlich auch, solche Unternehmen im eigenen Land nicht mehr zu dulden und die Branche zu sanktionieren. Vor allem aber darf die Ampel-Regierung die Verantwortung nicht weiter von sich weisen, so als hätte man nichts mit der Schadsoftware-Branche zu tun.
Offenlegung: Für den Chaos Computer Club wurde ich als sachkundige Dritte nach § 27a Bundesverfassungsgerichtsgesetz vom Gericht gebeten, zu der oben erwähnten Verfassungsbeschwerde Stellung zu nehmen. Die CCC-Stellungnahme ging dem Gericht Mitte Juli zu.
Dazu ergänzend ein sehr guter weiterführender Artikel:
https://netzpolitik.org/2021/catch-me-if-you-can-quellen-telekommunikationsueberwachung-zwischen-recht-und-technik/