Breitseite gegen Staatstrojaner in Hessen

Sachverständige bezeichnen das Vorhaben als "verfassungswidrig und gefährlich"

von Anna Biselli

Am heutigen Donnerstag [der Text ist vom 08.02.2018] wird ein brisantes Vorhaben der hessischen schwarz-grünen Regierung im Wiesbadener Landtag im Innenausschuss besprochen: Das Verfassungsschutzgesetz soll novelliert und dabei der Einsatz von Staatstrojanern für den Geheimdienst erlaubt werden. In der mündlichen Anhörung, für die drei bis fünf Stunden vorgesehen sind, werden über zwanzig geladene Sachverständige das geplante Gesetz zur Neuausrichtung des Verfassungsschutzes in Hessen (pdf) sowie zugehörige Änderungen im Sicherheits- und Ordnungsgesetzes (HSOG) bewerten. Dabei wird es nicht nur um das staatliche Hacken gehen: Die Gesetze enthalten neben den zwei Varianten des Trojaners ("Online-Durchsuchung" und "Quellen-TKÜ") auch eine Reihe weiterer polizeilicher oder geheimdienstlicher Überwachungsmaßnahmen, etwa die Ortung von Mobilfunkendgeräten, die Erweiterung der offenen Videoüberwachung, die anlasslosen Überprüfungen von Personen, die Fußfessel oder die Möglichkeit der Erfassung und Speicherung von Daten Minderjähriger, sogar unter vierzehn Jahren.

Der geplante Staatstrojaner in beiden vorgesehenen Ausführungen ist allgemein gesprochen ein Schadprogramm, das auf einem informationstechnischen System heimlich Funktionen ausführt. Er wird hinter dem Rücken des Benutzers installiert. Die Kontrolle darüber hat derjenige, der die Befehle an das Programm sendet. Zweck ist entweder, aktuelle oder gespeicherte Kommunikation auszuleiten oder das gesamte System auszuforschen. Auf Bundesebene ist der Trojanereinsatz jedoch den Strafverfolgungsbehörden vorbehalten, der Bundesverfassungsschutz hat diese Befugnisse bisher nicht.

Während in Hessen noch gestritten wird, macht der Staatstrojaner auf Bundesebene wegen der Freigabe der vom Bundeskriminalamt (BKA) zugekauften Spionagesoftware Finspy durch das verantwortliche Bundesinnenministerium gerade Schlagzeilen. Die vom BKA eigens konzeptionierte und für über fünf Millionen Euro entwickelte Spähsoftware "RCIS" ist bereits seit zwei Jahren genehmigt, kann aber offenbar bislang nur für Skype-Gespräche auf einigen Windows-Computern hilfreich sein. Finspy hingegen wurde offenbar gerade erst freigegeben. Wie häufig das BKA die eigene oder die zugekaufte Schadsoftware auf Computer von Verdächtigen losließ, ist öffentlich nicht genau beziffert.

• Mehr als 300 Seiten Stellungnahmen

Die meisten der Stellungnahmen an den hessischen Landtag, über die Donnerstag in Wiesbaden gesprochen wird, sind bereits online verfügbar und summieren sich auf über dreihundert Seiten. Auch der Chaos Computer Club hat seine Stellungnahme (pdf) veröffentlicht. Wir haben die Gutachten für Euch gelesen und die Kritikpunkte beim Trojanereinsatz zusammengefasst, der in den §§ 6 bis 9 des Gesetzesentwurfes zum Verfassungsschutzgesetz geregelt ist. In den Stellungnahmen werden aber auch über die Trojaner-Regelungen hinaus weitere Maßnahmen als rechtsstaatlich bedenklich kritisiert.

Die hessische Koalition unter Ministerpräsident Volker Bouffier (CDU) und seinem Stellvertreter Tarek Al-Wazir (Grüne) geht bereits auf die Zielgerade, im Oktober stehen die nächsten Wahlen an. Das beabsichtigte staatliche Hacken ist nur bei einem der beiden Koalitionspartner politisch umstritten: den Grünen. Sie hatten ihren Wählern im Wahlkampf noch versprochen: Im Rahmen der Gefahrenabwehr solle keine Online-Durchsuchung eingesetzt werden. Anders als beim schwarzen Partner hat das Trojaner-Gesetz daher bei den Grünen eine Kontroverse ausgelöst: Die Parteispitze setzt sich dafür ein, den Verfassungsschutz zum Hacken zu ermächtigen. Die Grüne Jugend und einige der grünen Netzpolitiker haben erhebliche Vorbehalte gegen solches digitales Ungeziefer.

Dazu formte sich ein Bündnis aus NGOs, die unter hessentrojaner.de eine Informationsseite eingerichtet hatten und Proteste organisieren. Zu dem Bündnis gehören alle hessischen CCC-Vertretungen und weitere Bürgerrechtsgruppen.

• Verletzung der Integrität und Vertraulichkeit von IT-Systemen

Einer der Problembereiche sind die "Online-Durchsuchungen", also die Trojaner, die keine besonderen technischen Beschränkungen haben. Seit dem Urteil aus dem Jahr 2007 zum nordrhein-westfälischen Verfassungsschutzgesetz vor fast genau zehn Jahren gibt es ein besonderes Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme. Die Karlsruher Richter hatten nicht nur dieses Grundrecht ins Leben gerufen, sondern auch gleich die Trojaner-Teile des Gesetzes als mit dem Grundgesetz unvereinbar und als nichtig verworfen. In dem Urteil sind zugleich klare rechtliche Voraussetzungen für solche Trojaner definiert.

Der Grund dafür liegt auf der Hand: Die Online-Durchsuchung ist ein sehr schwerwiegender Eingriff, weil potentiell der gesamte Datenbestand des Verdächtigen oder sogar von Dritten einsehbar ist. Die Persönlichkeit der Betroffenen wird für den Überwacher in vielen Teilen sichtbar, sein Verhalten und seine Kommunikationsgewohnheiten sind ebenfalls zugänglich. Das alles ist auch nicht nur eine Momentaufnahme der Person, sondern wegen des Zugriffs auf die Speicher des informationstechnischen Systems eher mit einer langfristigen Überwachung vergleichbar.

Zudem kann bei der "Online-Durchsuchung" auch leicht auf Höchstpersönliches zugegriffen werden. Die Juristen nennen das den Kernbereich privater Lebensgestaltung, also beispielsweise Gespräche mit Familienangehörigen oder Partnern, Sexvideos oder Tagebuchartiges. Dieser Kernbereich ist immer zu wahren, nicht nur beim Überwachen selbst, sondern auch, wenn die Intimsphäre betreffende Informationen fälschlicherweise ausgeleitet wurden und vielleicht erst später bei der Durchsicht auffallen.

• Unklare Regelungen

Der Sachverständige Jan Dirk Roggenkamp von der Berliner Hochschule für Wirtschaft und Recht bemängelt, den hessischen gesetzlichen Vorgaben zur "Online-Durchsuchung" mangele es an der "erforderlichen Klarheit". Zudem fehle eine spezielle Regelung, wenn die Spionagesoftware bei Dritten aufgespielt wird:

Nach hier vertretener Auffassung ist […] die Schaffung einer eigenständigen Adressatenregelung erforderlich, soll ein Zugriff auf informationstechnische Systeme Nichtverantwortlicher gestattet werden.

Denn wenn die Person, die der Geheimdienst überwachen möchte, auch informationstechnische Systeme Dritter verwendet, kann nach dem Gesetzesentwurf die "Online-Durchsuchung" auch auf diesen Computern durchgeführt werden. Man will offenbar hacken, wo es irgend geht, ohne dafür eigene Regeln aufzustellen.

Dass neben den eigenen Geräten des Abzuhörenden auch alle weiteren Systeme trojanisiert werden könnten, auf denen Zugangskennungen zu Accounts des Betroffenen oder Informationen über den Standort seiner informationstechnischen Geräte vermutet werden, findet auch die Initiative "dieDatenschützer Rhein Main" inakzeptabel. Denn was diese Regelung im Gesetzesentwurf bedeutet, beschreibt die NGO so:

Dies können im Zweifelsfall auch die Server großer (Kommunikations-)Provider oder ähnliche Systeme sein. Bzgl. der Reichweite der Regelung gibt es im Gesetz keine Einschränkungen. […] Es reicht, dass auf den Geräten die oben genannten Informationen vermutet werden. Von einer Verhältnismäßigkeit der Maßnahme kann hier keine Rede sein.

Entsprechend bewerten "dieDatenschützer Rhein Main" diesen Passus als "offensichtlich verfassungswidrig" und empfehlen "dringend, ihn ersatzlos zu streichen".

• Software, die mehr kann als sie darf

Viel Kritik gibt es an der "Quellen-TKÜ". Dieser Trojaner darf nur Kommunikation ausleiten. Hier hat das Bundesverfassungsgericht ganz klar die Vorgabe gemacht, dass die Software "hinreichend abgesichert auch gegenüber Dritten […] inhaltlich eine ausschließlich auf die laufenden Kommunikationsinhalte begrenzte Kenntnisnahme ermöglicht". Dazu hält Jan Dirk Roggenkamp von der Berliner Hochschule für Wirtschaft und Recht fest:

[E]s bedarf einer streng monofunktionalen Software, deren Existenz bislang nicht belegt (und technisch auch schwer vorstellbar) ist. Mit Hilfe dieser Software dürfte nicht übermittelt werden, ob beispielsweise das überwachte Smartphone an- oder ausgeschaltet ist. Ebenfalls dürften keine Standortdaten übermittelt werden, sofern sie nicht Umstände konkreter Kommunikation sind. Eine Screenshotfunktion wäre unzulässig, da diese auch Nachrichten abbilden könnte, die der Nutzer nur formuliert, dann aber nicht absendet. Die Möglichkeit eines Zugriffs auf Daten zurückliegender, also nicht mehr laufender Kommunikation […] müsste ausgeschlossen sein.
Es wird weder aus dem Gesetzestext noch aus der Begründung deutlich, wie diese Vorgaben eingehalten werden bzw. wer oder wie die Einhaltung überprüft werden sollen.

Das ist eine freundliche Formulierung dafür, dass die hessische Regelung gemessen an den Vorgaben des Bundesverfassungsgerichts rechtswidrig ist. Auch der Jurist Gerrit Hornung kommt in seiner Stellungnahme zu dem Ergebnis, dass der Gesetzesentwurf in Teilen als verfassungswidrig anzusehen ist. Der CCC weist zusätzlich darauf hin, dass eine "Quellen-TKÜ" schon wegen der Tatsache, dass das informationstechnische System dafür gehackt werden muss, nicht als bloße Telefonüberwachung missverstanden werden darf.

• Es gibt auch Fürsprecher

Jedoch sehen nicht alle Sachverständigen die "Quellen-TKÜ" kritisch. Der Bund Deutscher Kriminalbeamter (BDK) Landesverband Hessen stellt einfach nur die Notwendigkeit staatlichen Hackens heraus:

Aus Sicht des BDK ist eine weitere Abkoppelung der Sicherheitsbehörden vom Informationsfluss möglicher Zielpersonen bei schlichter Nutzung von Instant-Messenger-Diensten wie "WhattsApp" (sic) nicht mehr hinnehmbar und bedarf daher klarer gesetzlicher Regelungen, um diesem Zustand ein Ende zu bereiten.

Die Argumentation zielt in die bekannte Richtung, eine Überwachung der Kommunikation solle unter allen Umständen möglich sein, auch wenn dafür das informationstechnische Gerät gehackt werden muss.

Der BDK ist überhaupt der einzige der Sachverständigen, der den Gesetzesentwurf ohne jede Einschränkung befürwortet. Alle anderen Sachverständigen üben teils erhebliche Kritik, schlagen konkrete Änderungen vor oder lehnen den Trojanereinsatz gänzlich ab.

• Staatstrojaner gefährden die Sicherheit aller

In seiner Stellungnahme weist der Chaos Computer Club auf die strukturellen Gefahren und den generellen Interessenkonflikt beim staatlichen Hacken hin:

Der Staat gerät hier folglich in einen Zielkonflikt: Auf der einen Seite will er ein möglichst hohes IT-Sicherheitsniveau für Bürger und Wirtschaft garantieren; auf der anderen Seite hat er ein Interesse an offenen Sicherheitslücken in möglichst vielen und verbreiteten Systemen, um diese bei Bedarf zum Zwecke der "Online-Durchsuchung" oder "Quellen-TKÜ" ausnutzen zu können.

Auf diesen unauflösbaren Interessenkonflikt weist auch das FifF (Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung), das den Trojanereinsatz ebenfalls ablehnt. Wenn der Staat solche Schwachstellen in Software nutzt und die Lücken absichtlich nicht schließt, da er sie für Trojaner ausnutzen will, arbeitet er insgesamt gegen die IT-Sicherheit, so der CCC:

Durch das absichtliche Offenhalten der Lücken untergräbt der Staat jene Vertrauenswürdigkeit, die er eigentlich zu schützen hat. Dass der Staat sie zu schützen hat, geht aus der vor zehn Jahren ergangenen Entscheidung des Bundesverfassungsgerichts klar hervor. Die Richter hatten darin ein anderes Verfassungsschutzgesetz (aus Nordrhein-Westfalen) wegen der Trojaner-Regelungen für verfassungswidrig erklärt und dabei das Grundrecht der Bürger auf Gewährleistung der Integrität und Vertraulichkeit von informationstechnischen Systemen etabliert.

In dieselbe Kerbe schlägt die Initiative "dieDatenschützer Rhein Main", die mit dem Staatstrojaner ebenfalls eine Gefahr für alle einhergehen sieht:

"In den allermeisten Fällen werden […] Schwachstellen in den Betriebssystemen oder verwendeter Anwendungssoftware der betroffenen Geräte ausgenutzt werden müssen. Diese Lücken müssen von den Behörden selbst gefunden oder auf dem Schwarzmarkt gekauft werden. Da zur Erlangung aktueller Lücken, für die noch kein Patch des Herstellers vorliegt, große zeitliche und/oder finanzielle Aufwände betrieben werden müssen, entsteht für die Behörden ein großer Anreiz, diese Lücken nicht an die Hersteller der Geräte und Software zu melden. Dies wiederum führt zu einer großen Gefährdung der Allgemeinheit, da die Lücken so in allen betroffenen Geräten offen bleiben."

Wie der CCC und das FifF weisen die "die Datenschützer Rhein Main" auf Beispiele von Schadsoftware aus der jüngeren Vergangenheit hin, etwa die Ransomware "Wannacry". Die hatte schließlich ihren Ursprung auch aus dem digitalen Waffenschrank von Geheimdiensten.

• Signalwirkung für Bundespolitik

Falls das hessische Parlament sich trotz all dieser Bedenken dafür entscheiden sollte, dem Landesverfassungsschutz den Staatstrojanereinsatz zu erlauben, hat dies auch eine Signalwirkung auf die Bundespolitik. Welt berichtete kürzlich, Bundesverfassungsschutzpräsident Hans-Georg Maaßen habe der zukünftigen Bundesregierung bereits einige Wünsche mit auf den Weg gegeben:

Der Einsatz des sogenannten Staatstrojaners soll etwa dazugehören, um verschlüsselte Kommunikation von Terroristen, Extremisten oder Spionen überwachen zu können. Und auch die Möglichkeiten zur Onlinedurchsuchung. @

zurück