Tag Archives: Staatstrojaner

Grundrechtsbeschränkung im Schnelldurchgang: Quellen-Telekommunikationsüberwachung und Online-Durchsuchung

Die Fraktionen der CDU/CSU und SPD im Deutschen Bundestag haben am Freitag, dem 16. Juni 2017 im Rechtsausschuss einen Antrag zur Änderung der Strafprozessordnung
eingebracht, der den Strafverfolgungsbehörden die Befugnis zur „Online-Durchsuchung“ und zur „Quellen-Telekommunikationsüberwachung“ einräumen soll. Er beruht auf einer „Formulierungshilfe“ der Bundesregierung vom 15. Mai 2017.
Dieser Antrag soll nach Presseberichten schon in dieser Sitzungswoche (21.-22. Juni 2017) vom Bundestag beschlossen werden.

Parallel dazu hat die Konferenz der Innenminister der Länder am 14. Juni 2017 gefordert, den Polizeibehörden die Überwachung von verschlüsselten Kommunikationsdiensten wie WhatsApp zu ermöglichen. Der Wortlaut des Beschlusses der Innenministerkonferenz wurde bislang nicht veröffentlicht.

Online-Durchsuchung

 

 

Technische Voraussetzung für eine Online-Durchsuchung ist das Aufspielen einer entsprechenden Software in das zu überwachende System. Dies kann entweder über einen Datenträger (Diskette, CD-ROM, USB-Stick etc.) oder online, d. h. über eine bestehende Internet-Verbindung, z. B. als Anhang an eine E-Mail, geschehen. Der Betroffene merkt nichts hiervon. Er kann sich auch durch sog. Firewalls oder Virenschutzsoftware nicht hiergegen schützen. Mit einer Online-Durchsuchung hat eine Sicherheitsbehörde Zugriff auf sämtliche in dem infiltrierten System vorhandene – auch höchst persönliche – Daten. Angesichts des gewandelten gesellschaftlichen Kommunikations- und Nutzungsverhaltens besteht damit regelmäßig nicht nur Zugriff auf gespeicherte E-Mail, sondern auch auf Gesundheits-, Bank-, Finanz-, Steuer- und privateste Daten. Hierzu zählen beispielsweise auch Tagebücher, die zunehmend nicht mehr in Papierform, sondern elektronisch geführt werden. Aus der Zusammenschau dieser Daten entstehen weit reichende Persönlichkeitsprofile der Betroffenen. (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, 22. TB, S. 45)

Quellen-Telekommunikationsüberwachung

 

 

Bei dieser Maßnahme installieren die Ermittlungsbehörden heimlich eine Software auf dem Computer der Zielperson. Kommuniziert diese mit Hilfe des betroffenen Computers, werden die entsprechenden Daten an die Ermittlungsbehörden ausgeleitet. Dies betrifft beispielsweise verschlüsselt übertragene Gespräche, für die die Zielperson die IP-Telefoniesoftware „Skype“ benutzt. Die Maßnahme muss sich auf die laufende Telekommunikation beschränken. Die von der Polizeibehörde eingesetzte Software darf also nicht sonstige Inhalte des Computers, z. B. gespeicherte Texte, Bilder oder andere Dateien an die Polizeibehörde übertragen. Dadurch unterscheidet sich die Quellen-Telekommunikationsüberwachung von der sog. Onlinedurchsuchung. (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, 24. TB, S. 95)

Die neuen Befugnisse haben erhebliche Auswirkungen auf die Grundrechte und die Sicherheit informationstechnischer Systeme: Der für beide Maßnahmen erforderliche Online-Zugriff setzt voraus, dass auf den Systemen entsprechende Software installiert wurde. Die zum Einsatz kommenden Verfahren ähneln insoweit denjenigen Methoden, die von Kriminellen zur Manipulation von Computern eingesetzt werden. Deshalb spricht man auch von „Staatstrojanern“. Mit dem online-Zugriff greifen Sicherheitsbehörden in die Integrität und in die Vertraulichkeit der entsprechenden IT-Systeme ein. Sie haben damit grundsätzlich Zugriff auf alle Funktionen und Daten des infiltrierten Systems. Aus diesem Grund versteht das Bundesverfassungsgericht die Gewährleistung der Vertraulichkeit und Integrität als Grundrecht, in das nur für den Schutz überragend wichtiger Rechtsgüter (Schutz von Leben, körperlicher Unversehrtheit und Freiheit) eingegriffen werden darf (Urteil v. 27.2.2008).

Zudem nutzen die Sicherheitsbehörden Kenntnisse beziehungsweise Schwachstellen der Systeme, die gegebenenfalls auch von Dritten eingesetzt werden können. Entsprechende Schwachstellen („Zero-Day-Exploits“) werden auf einem grauen Markt gehandelt. Statt diese Sicherheitslücken zu beseitigen, nutzen sie Geheimdienste und Polizeibehörden für Überwachungsmaßnahmen. Dementsprechend ist es nicht verwunderlich, dass dieselben Schwachstellen auch für kriminelle Zwecke weiterhin verwendet werden. Das spektakulärste Beispiel hierfür die selben Schwachstellen auch für kriminelle Zwecke weiterhin verwendet werden. Das spektakulärste Beispiel für hierfür ist die Infiltration zehntausender Computersysteme mit dem Erpressungstrojaner Wannacry, der eine Schwachstelle verwendete, die amerikanischen Geheimdiensten seit langem bekannt war.

Angesichts dieser sehr schwer wiegenden Auswirkungen halte ich es für unverantwortlich, die entsprechenden Überwachungsbefugnisse in einem parlamentarischen Schnelldurchgang ohne Möglichkeit zur gründlichen Prüfung und Debatte zu beschließen.

Mit freundlichen Grüßen

Peter Schaar

Bundesverfassungsgericht zum BKA-Gesetz: Grundrechte gelten auch angesichts terroristischer Gefahren

In Zeiten wie diesen, in denen grausame islamistisch oder rassistisch motivierte Anschläge die Berichterstattung dominieren, dringen diejenigen kaum durch, die sich für Grund- und Bürgerrechte einsetzen. Zu überwältigend sind die grausamen Bilder von Tatorten und Opfern, die uns immer wieder beunruhigen. Trotzdem darf nicht vergessen werden, dass sich der religiös oder nationalistisch begründete Terror vor allem gegen offene, rechtstaatlich organisierte Gesellschaften richtet.

Staatliche Überreaktionen

Allzu leicht werden bei der Reaktion auf Gefahren die verfassungsrechtlichen Dämme unterminiert, die uns vor Willkür schützen und damit unsere gesellschaftlichen Werte bewahren sollen. Bisweilen werden sie auch geschleift – wie nach dem 11. September 2001 in den USA – oder durchlöchert. Immer wieder haben Bundestagsmehrheiten die gesetzlichen Befugnisse der Sicherheitsbehörden ausgeweitet und dabei verfassungsrechtliche Grenzen nicht beachtet. Deshalb ist es folgerichtig, dass das Bundesverfassungsgericht hier wiederholt korrigierend eingegriffen hat, etwa bei dem „großen Lauschangriff“ (akustische Wohnraumüberwachung), bei der Vorratsdatenspeicherung oder auch beim heimlichen Ausspähen informationstechnischer Systeme.

Das höchste deutsche Gericht – und in den letzten Jahren auch der Europäische Gerichtshof – haben hier Grenzen aufgezeigt, die auch angesichts terroristischer Bedrohungen gewahrt werden müssen. Werte wie die Menschenwürde und die Wahrung des Kernbereichs privater Lebensgestaltung stehen nicht zu staatlicher Disposition. In seinem jüngsten Urteil vom 20. April 2016 zu den 2009 eingeführten neuen Befugnissen des Bundeskriminalsamts bestätigt das Bundesverfassungsgericht die von ihm aufgestellten Prinzipien. Auch ich sehe mich in meiner seinerzeit als Bundesbeauftragter für den Datenschutz geäußerten Kritik bestätigt.

Feststellungen des Bundesverfassungsgerichts zum BKA-Gesetz

Das Bundesverfassungsgericht stellt in seinem Urteil – 1 BvR 966/09 – insbesondere fest:

  • Viele der von der seinerzeitigen Großen Koalition eingeführten Regelungen zur Terrorabwehr sind unverhältnismäßig, insbesondere soweit sie dem BKA, tief in die Privatsphäre eingreifende Ermittlungs- und Überwachungsbefugnisse einräumen (etwa zur Wohnraum- und Telekommunikationsüberwachung und zur heimlichen Überwachung informationstechnischer Systeme – Stichworte: „Online-Durchsuchung“, „Bundestrojaner“).
  • Den Schutz des Kernbereichs privater Lebensgesetaltung ist auch bei heimlichen Maßnahmen außerhalb einer Wohnung zu beachten; dies ist nicht hinreichend gewährleistet.
  • Besonders kritisch beurteilt das höchste deutsche Gericht die Befugnis des Bundeskriminalamts zur heimlichen Sammlung von Unverdächtigen, die selbst nicht Zielpersonen sind („Kontakt- und Begleitpersonen“), weil gegen sie nicht wegen terrorristischer oder sonstiger schwerkrimineller Aktivitäten ermittelt wird.
    Bei der Übermittlung der heimlich erhobenen Daten an andere in- und ausländische Stellen, insbesondere an Nachrichtendienste, mangelt es an den erforderlichen datenschutzrechtlichen Sicherheitsvorkehrungen.
  • Auch wenn jede einzelne Maßnahme den verfassungsrechtlichen Anforderungen genügen muss, ist eine übergreifende Betrachtung kumolierter bzw. paralleler Überwachungsmaßnahmen erforderlich. Eigene verfassungsrechtliche Grenzen ergeben sich hinsichtlich des Zusammenwirkens der verschiedenen Überwachungsmaßnahmen. Insofern betont das Bundesverfassungsgericht erneut die Bedeutung einer Art „Überwachungsgesamtrechnung“, die der Verwaltungsrechtler Roßnagel schon vor Jahren angemahnt hatte.
  • Die Regelungen zur unabhängigen Kontrolle der Datenverarbeitung des BKA im Vorfeld der Überwachungsmaßnahmen mit hoher Eingriffsintensität – etwa durch Gerichte und durch den/die Bundesbeauftrate für den Datenschutz – ist unzureichend. Auch die Feststellung, ob eine Information dem „Kernbereich“ der Privatsphäre zuzurechnen ist, muss unabhängig erfolgen und darf nicht Mitarbeitern des BKA überlassen bleiben.

Das Bundesverfassungsgericht hat damit in Erinnerung gerufen, dass Verfassungsgrundsätze nicht angesichts politischer Stimmungsschwankungen – so verständlich sie sein mögen – unterminiert werden dürfen. Gerade in Zeiten gesellschaftlicher Krisen und terroristischer Risiken müssen wir Werte und Freiheitsrechte verteidigen. Nur so kann es gelingen, den Gegnern von Freiheit und Menschenwürde nachhaltig und wirksam entgegenzutreten. Es ist zu hoffen, dass diese Botschaft bei den Verantwortlichen in der Politik und in den Behörden auch verstanden wird.

Mit freundlichen Grüßen

Peter Schaar

Vom Staatstrojaner zum staatseigenen Bundestrojaner – die Evolution einer Überwachungssoftware

„C3PO-r2d2-POE“ – noch vor den Snowden-Veröffentlichungen stand diese Losung im Jahre 2011 sinnbildlich für unkontrollierte staatliche Überwachung mit tief verbundenen Eingriffen in die Privatsphäre des Bürgers. „C3PO-r2d2-POE“ war das zentrale Steuerkennwort des damals von verschiedenen Sicherheitsbehörden eingesetzten „Staatstrojaners“, entwickelt von der Firma „DigiTask“. Der Chaos Computer Club (CCC) analysierte damals den Quellcode der schon eingesetzten Überwachungssoftware und stellte fest, dass nicht nur das zentrale, aus Star Wars entlehnte Steuerpasswort hartkodiert und somit theoretisch für jeden frei auslesbar gewesen ist, womit die Kontrolle über den infiltrierten PC hätte erlangt werden können. Daneben wies die Software weitere erhebliche Mängel in Bezug auf die Datensicherheit auf. Der damalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, analysierte den Staatstrojaner technisch wie rechtlich in einem umfangreichen Bericht. Deutlich wurde dabei vor allem eines: Den das Programm einsetzenden Behörden war ihr eigenes Eingriffsinstrument völlig unbekannt. So bestand infolge des Outsourcings der Entwicklungsarbeiten weder eine Quellcodekenntnis, noch stand den einsetzenden Mitarbeitern eine hinreichende Programmdokumentation zur Verfügung. Die Entwicklerfirma mauerte – und das nicht unbedingt zu Unrecht: Schließlich unterlag der Quellcode ihrem Urheberrecht und im Rahmen des behördlichen Auftrags war zuvor nicht vereinbart worden, dass die Lieferung des fertigen Programms auch diejenige des Quellcodes umfassen sollte. Der genaue Funktionsumfang der eingesetzten Software war folglich nicht bestimmbar. Bekannt war aber zumindest, dass der damalige Staatstrojaner einen Modulcharakter besaß, der es ermöglichte, den Funktionsumfang der eingesetzten Software, die eigentlich lediglich die Quellen-Telekommunikationsüberwachung ermöglichen sollte, nahezu beliebig zu einer vollständigen Online-Durchsuchung hin zu erweitern, die einen Komplettzugriff auf das infiltrierte Computersystem erlaubt. Völlig unreguliert, verständlicherweise.

Doch damit soll nun endlich Schluss sein. Am 22.02.2016 bestätigte ein Sprecher des Bundesministeriums des Innern, dass der Einsatz eines neuen Trojaners für das Bundeskriminalamt freigegeben wurde. Auch mit diesem Programm soll es vorrangig möglich sein, die Quellen-Telekommunikationsüberwachung durchzuführen. Hierbei werden Gespräche, die über den PC beispielsweise mittels Skype geführt werden, noch vor ihrer Verschlüsselung abgehört. Entscheidender Unterschied zum alten Trojaner ist jedoch, dass es sich bei diesem Mal tatsächlich um eine staatseigene Entwicklung handelt, also so gesehen um einen wirklichen „Staatstrojaner“. Diese Erkenntnis kommt aber nicht unerwartet, denn schon seit den Veröffentlichungen des CCC im Jahre 2011 war bekannt, dass die Sicherheitsbehörden in Zukunft ein eigenes Überwachungsprogramm entwickeln würden. So wurden immer auch wieder entsprechende Programmierer in Stellenanzeigen gesucht.

Unabhängig davon, wie man zur Effektivität des Staatstrojaners steht, taugliche Beweismittel für die Ermittlungsarbeit zu erbringen, ist zumindest eines klar: Ein Trojaner, von dem der vollständige Quellcode bekannt ist, stellt einen großen Schritt in Richtung Rechtsstaatlichkeit dar. Dies vor allem auch deshalb, weil das Programm schwerwiegende Eingriffe in die enge Persönlichkeitssphäre ermöglicht. Ein jedweder anderer Zustand wäre unzumutbar, denn ist den einsetzenden Behörden mangels Kenntnis des Funktionsumfangs die grundrechtliche Eingriffstiefe nicht bekannt, so kann der Einsatz auch von Anfang an nicht verfassungsrechtlich legitimierbar sein. Sicherzustellen ist nun in jedem Falle, dass das Programm auch nur über diejenigen Funktionalitäten verfügt, die im Sinne des Schutzes der öffentlichen Sicherheit zwingend zu rechtfertigen sind. Zumindest den offiziellen Verlautbarungen nach soll es entsprechende Tests und eine externe Softwareüberprüfung gegeben haben, auch seien die Datenschutzbeauftragten von Bund und Ländern einbezogen worden. Offen ist aber, inwieweit die Einwände Dritter tatsächlich Einfluss auf die Ausgestaltung des neuen Staatstrojaners nehmen konnten.

Was somit bleibt, ist die Erkenntnis, dass das Repertoire staatlicher Ermittlungsmaßnahmen nun wieder um eine neue Technik bereichert wurde. Die Sicherheitsbehörden sind gehalten, den Einsatz der Maßnahme auf absolut notwendige Fälle zu beschränken und nur diejenigen Daten auszuwerten, für deren Kenntnis tatsächlich ein Erfordernis besteht. Ob das technisch möglich ist, bleibt aber äußerst fraglich. Vielleicht verhält es sich hier wie bei der klassischen Telekommunikationsüberwachung, wo erst nach Erlangung kernbereichsrelevanter Inhalte der Aufzeichnungsvorgang gestoppt werden kann? Fraglich bleibt auch, mit welchen Mitteln die Behörden das Spähprogramm auf den Computer eines Dritten aufbringen wollen: Wenn erst der physische Zugriff auf den PC dies ermöglicht, wäre damit ein weiterer Grundrechtseingriff verbunden. Und wenn die Software aus der Ferne aufgebracht wird, stellt sich wie schon beim alten Trojaner die Frage, wie mit der ausgenutzten Sicherheitslücke in Zukunft umzugehen sein wird, die auch für andere Angreifer von Interesse sein könnte. Und nicht zuletzt wurde diese Woche ebenso bekannt, dass das BMI quasi in Reserve die Lizenz für ein weiteres, von der hochumstrittenen Firma Elaman/Gamma entwickeltes Spähprogramm erworben hat. Wozu dies nötig sein soll, wenn in jahrelanger Arbeit zuvor schon ein eigenes Programm entwickelt und nach umfassenden Tests zur Nutzung freigegeben wurde, erschließt sich nicht wirklich.

Der neue Staatstrojaner lässt somit noch einige und nicht wenige Fragen offen. Ob dabei tatsächlich alle Beantwortung finden können, wird sich zeigen. Vermutlich aber nicht. Im Ergebnis bleibt dem Bürger ganz wie damals auch nur das Vertrauen darauf, dass die Sicherheitsbehörden nicht nur ein technisch sicheres Programm entwickelt haben, sondern dieses auch verantwortungsbewusst einsetzen. Hoffentlich wird dieses Vertrauen nicht – wie damals auch schon – enttäuscht.