Der Staatstrojaner: Eine Gefahr für Gesellschaft, Individuum und Demokratie

Der Bundestag hat am Donnerstag die weitreichendes Gesetz zur Überwachung von Computern und Smartphones abgesegnet. Die Strafverfolgungsbehörden und Innenminister hatten es gefordert, weil sie zwar die SMS von Tatverdächtigen mitlesen oder Telefonate mithören können, nicht aber die verschlüsselten Nachrichten beispielsweise von Whatsapp.
Den Politikern, die das Gesetz beschlossen haben, war entweder nicht bewusst, dass das ein Äpfel-mit-Birnen-Vergleich ist, oder sie haben absichtlich eine Ermittlungsmethode genehmigt, die deutlich mächtiger ist als das bisherige SMS- und Gespräch-Abfangen. Denn Textnachrichten und Handytelefonate werden „über die Luft“ abgefangen, d.h. von Mobilfunkbetreiber zu Mobilfunkbetreiber. Eine Whatsapp- oder auch Threema-Nachricht kann nur auf dem Gerät abgefangen werden, d.h., bevor sie verschlüsselt wird.
Die Bundesregierung will dazu eine Software auf das Smartphone laden, die inoffiziell „Staatstrojaner“ oder „Bundestrojaner“ genannt wird. Natürlich arbeitet diese Software genauso im Geheimen wie ihre Entwickler. Dementsprechend ist nicht klar, was genau sie auf den Smartphones tut. Ziel der nun erlaubten „Quellen-Telekommunikationsüberwachung“ ist es, Chats zwischen dem Verdächtigen und möglichen Komplizen mitzulesen. Das halte ich für legitim. Auch, dass die Ermittler so Konversationen lesen können, die in die Vergangenheit zurück reichen – was durch die SMS-Überwachung nicht möglich ist – stört mich nicht. Doch durch den Staatstrojaner haben die Behörden Vollzugriff auf das Smartphone des Verdächtigen – und der ist bei der nun ebenfalls genehmigten „Online-Durchsuchung“ auch erwünscht. Die Regierung will zwar sicherstellen, „dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden“, wie es das Bundesverfassungsgericht vorschreibt. Doch das ist technisch kaum möglich, wie Hartmut Pohl von der Gesellschaft für Informatik beschreibt. Auch Frank Rieger vom Chaos Computer Club glaubt nicht an eine saubere Trennung zwischen Erlaubtem und Möglichem, wie er im Deutschlandfunk sagt:

Die Unterscheidung zwischen einem Trojaner, der nur Kommunikation ausleiten soll und einem, der zum Beispiel zur Raumüberwachung geeignet ist, ist nicht zu treffen.

Rein technisch ermöglicht der Trojaner also den Zugriff auf den gesamten Handy-Inhalt und dessen Hardware: auf gespeicherte Bilder, Termine, Bankdaten, Einkaufszettel, private Notizen, Spiele-Highscores, aber auch auf die Kamera, das Mikrofon und den GPS-Sensor. Wer sich ins Handy hackt, bekommt Einblick in ein ganzes Leben. In eines? Nein! Auch in das der Personen, mit denen der Verdächtige verbunden ist. Seine Kinder, deren Bilder er auf seinem Handy gespeichert hat, sind vermutlich unschuldig, seine Freundin, die ihm Liebesbotschaften schickt, vermutlich auch. Doch diese Daten, die den Schmelzpunkt privater Lebensgestaltung darstellen, sind nun in der Hand Fremder. Die Privatsphäre eines so ausgehorchten Verdächtigen und seiner Lieben stirbt mit der Installation des Staatstrojaners. Weitere grundsätzliche Bedenken zu Überwachungstrojanern sind im nächsten Artikel veröffentlicht.

Eine so weitreichende Maßnahme wie die am Donnerstag beschlossene gefährdet das Grundecht auf Vertraulichkeit und Integrität informationstechnischer Systeme – aus oben genanntem Grund, aber auch deshalb, weil nicht transparent ist, nach welchen Kriterien im Einzelfall Daten ausgewertet werden. Ein Richter muss den Vollzugriff aufs Handy erlauben, aber ein Ermittler entscheidet letztlich, was privat ist und was nicht. Vertrauen wir auf seinen moralischen Kompass?

  • Was ist mit der Unschuldsvermutung?
  • Wie wird das Recht auf Privatsphäre / Recht am eigenen Bild der mit-ausgespähten Handykontakte geschützt?
  • Was ist, wenn sich der Verdacht nicht erhärtet?
  • Erfährt der Smartphonenutzer, dass er rehabilitiert ist?
  • Gibt es Schadensersatz für verletzte Privatsphäre?
  • Wer garantiert, dass die Hackersoftware wieder deinstalliert wird?

Das Gesetz fördert das Misstrauen in die Strafverfolgung, und das auch aus einem weiteren Grund: Denn der Trojaner darf nicht nur im Terrorzusammenhang eingesetzt werden – eine Grenze, die das BVerfG gezogen hat – sondern auch bei Drogendelikten, Sportwettbetrügereien, Steuerhinterziehung und Einbruchsfällen. Für alle Delikte, bei denen bislang auch das Telefon abgehört und SMS abgefangen werden durften, wird nun die mächtige Waffe Staatstrojaner zum Standardinstrument. Grünen-MdB Ströbele:

Künftig können etwa Verdächtige, die 50 Gramm Haschisch in der Tasche haben, weitgehend überwacht werden.

Die Bündnisgrünen erwägen Eine Klage gegen das Gesetz in Karlsruhe. Deren Netzexperte Konstantin von Notz hatte gegenüber netzpolitik.org schon im Mai bezweifelt, dass die nun abgesegnete Methode verfassungsgemäß sei:

Der Einsatz von Staatstrojanern ist ein intensiver Grundrechtseingriff, der – das hat das Bundesverfassungsgericht deutlich gemacht – nur bei besonderer Gefahr für Leib, Leben und Gesundheit.

Das Gesetz steht also auf wackeligen Füßen.
Zudem fördert es das Misstrauen in die Demokratie.
In Windeseile hat die Regierungskoalition den Beschluss der Innenministerkonferenz umgesetzt. Statt ein ordentliches Gesetzgebungsverfahren zu eröffnen, wurde es auf dem Rücken eines ganz anderen Gesetzes mitbeschlossen, in dem es um „Fahrverbot als Nebenstrafe“ geht (die FAZ spricht vom „Einschmuggeln“.) Der Bundesrat wurde umgangen.
Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar kritisiert, dass „die entsprechenden Überwachungsbefugnisse in einem parlamentarischen Schnelldurchgang ohne Möglichkeit zur gründlichen Prüfung und Debatte“ beschlossen worden seien. Auch der Deutsche Anwaltverein hält den Verfahrenstrick für verfassungsrechtlich bedenklich.
Doch auch Nichtjuristen könnten vermuten, die Diskussion über die weitreichenden Maßnahmen solle durch dieses Vorgehen klein gehalten, angesichts der nun beginnenden Sommerferien vielleicht ganz unterdrückt werden. Doch wo die Privatsphäre auf dem Spiel steht, muss Zeit für eine breite gesellschaftliche Diskussion sein. Wer erinnert sich an die leidenschaftliche Debatte um den Großen Lauschangriff? Im Gegensatz zum ratzfatz in Kraft gesetzten Staatstrojaner-Gesetz geht es dabei um Pippifax.

Aus zwei weiteren Gründen ist das Gesetz gefährlich: Das Gesetz fördert das Misstrauen in Technik. Und es fördert Hacking im Allgemeinen. Denn der Staatstrojaner nutzt Sicherheitslücken in Smartphone-Betriebssystemen aus, um sich auf den Geräten der Verdächtigen zu installieren. Statt die Programmierer bei Apple, Microsoft und den Android-Entwickler auf Schwachstellen in der Software hinzuweisen, werden sie künftig als Einfallstor des Staatstrojaners missbraucht. Alle anderen betroffenen Handies bleiben unsicher. Dabei war die Empörung über die von der US-Regierung verschwiegene Windows-Sicherheitslücke groß, über die der Trojaner „Wanna Cry“ für einen beachtlichen Schaden sorgen konnte. Es ist fraglich, ob der Preis des neuen Ermittlungswerkzeugs angesichts der Gefahr für die IT-Sicherheit nicht zu hoch ist. Denn durch bekannte, aber nicht gemeldete – und damit nicht gestopfte – Sicherheitslücken haben aber auch andere, beispielsweise zivile, Hacker, Zugriff auf die Smartphones. Und die werden sich, wenn sie es denn auf die privaten Daten abgesehen haben, nicht an die Vorgaben des BVerfG gebunden fühlen. Smartphones werden also staatlich gewollt unsicher sein. Die Folgen sind nicht nur Überwachung, sondern möglicherweise auch Betrug, Abzocke, Erpressung.
Die Welt wird nicht sicherer.
Big Brother schießt sich ins Knie.

Doch die Hoffnung stirbt zuletzt. Ich hoffe,

  • dass die Oppositionsparteien, am besten gemeinsam mit Bürgerinitiativen wie Digitalcourage oder Netzpolitik, Klage beim Bundesverfassungsgericht einreichen;
  • dass die obersten Richter die Hauruck-Politiker auf die engen Grenzen hinweist, in denen unser Grundgesetz Überwachung erlaubt;
  • dass der Bundestrojaner infolgedessen so schnell wie möglich gestoppt wird;
  • dass die Wähler bei der Bundestagswahl am 24. September mit über den Staatstrojaner, das novellierte BND-Gesetz und die Vorratsdatenspeicherung abstimmen;
  • dass sich die von vielen Seiten geäußerte Kritik am Staatstrojaner zur längst überfälligen gesamtgesellschaftlichen Debatte über den Wert von persönlichen daten entwickelt;
  • dass Apple, Microsoft und die Android-Entwickler noch sauberer programmieren und Sicherheitslücken noch schneller schließen;
  • dass jeder Smartphone-Nutzer regelmäßig Betriebssystem-Updates installiert;
  • dass die freie Entwicklergemeinde, die angepasste Firmwares für das Android-System programmiert, dem Staatstrojaner den Zugang versperrt;
  • dass die Maßnahmen, auch wenn ich sie ablehne, wenigstens zur Abschreckung möglicher Krimineller führen.

In einem provokanten Lied hat Reinhard Mey auf den Punkt gebracht, was die Zivilgesellschaft vor Abreise in den Sommerurlaub auf jeden Fall mit den Koffer packen sollte: Wachsamkeit.

Sei wachsam,
Präg’ dir die Worte ein!
Sei wachsam,
Fall nicht auf sie rein!
Paß auf, daß du deine Freiheit nutzt,
Die Freiheit nutzt sich ab, wenn du sie nicht nutzt!
Sei wachsam,
Merk’ dir die Gesichter gut!
Sei wachsam,
Bewahr dir deinen Mut.
Sei wachsam
Und sei auf der Hut!

UNESCO: Verschlüsselung fördert Meinungsfreiheit

(c) UNESCO

(c) UNESCO

Über die Aufrüstung des BND habe ich mich bereits ausgiebig beschwert: Die Novelle des BND-Gesetzes erlaubt eine viel weitgehendere Überwachung des Internetverkehrs als bisher, und dank einem großzügigen Schluck aus der Haushaltspulle will der Dienst nun auch an die Verschlüsselungsalgorhitmen in Messengern. Dadurch – und durch die völlig intransparente Kontrolle des Geheimdienstes – sehe ich unsere Meinungsfreiheit ernsthaft in Gefahr.

Die UNESCO auch. Eine jüngst veröffentlichte Studie bezeichnet Verschlüsselung als wichtig für die Umsetzung der Menschenrechte. Die Autoren der Studie sind Prof. Dr. Wolfgang Schulz, UNESCO-Kommissionsvorsitzender und Inhaber des UNESCO-Lehrstuhls für Kommunikations- und Informationsfreiheit, und Dr. Joris van Hoboken von der Universität Amsterdam. Netzpolitik.org gibt einen guten Überblick über die Ergebnisse und nennt als zentralen Punkt:

Wenn eine Mehrheit verschlüsselt, wäre das ein großer Fortschritt für die Meinungsfreiheit und den Schutz der Privatsphäre.

Im Bezug auf Verschlüsselung wird hier nicht von Terror gesprochen, sondern von Meinungsfreiheit und Menschenrechten. In Deutschland höre ich diesen positiven Aspekt selten. Vielleicht liest im im Bundestag jemand die UNESCO-Empfehlung, nach der die Politik weniger angstbasiert und mehr faktenbasiert agieren solle – und Verschlüsselung fördern solle (das Auswärtige Amt hat die Publikation zumindest gefördert.). Die Regierungsparteien, die Datenschutz immer häufiger als Wirtschaftshemmnis bezeichnen, sollten diese Passage lesen:

Eng verknüpft mit dem Schutz von Menschenrechten ist eine Gesetzgebung mit Respekt gegenüber Privatsphäre und Datenschutz.

Ich gebe die Hoffnung nicht auf, dass sich – mit solchen starken Verbündeten im Rücken – der Wind in er Politik wieder dreht: Privatsphäre ist ein Menschenrecht.

Staatlich finanzierter Einbruch

Der BND will im Namen der Sicherheit Unsicherheit stiften – so kommentiert Markus Beckedahl auf Netzpolitik.org den Geldsegen, die die Bundestagsabgeordneten dem Geheimdienst verschafft haben. 150 Mio. Euro sollen geleakten Papieren zufolge dafür eingesetzt werden, um im Projekt ANISKI Verschlüsselungsroutinen in Messengern zu knacken. Zitat:

Die Nutzung von Kommunikationsdiensten (z. B. Messenger-Diensten) ist weltweit stark verbreitet und findet, wie nicht nur Erkenntnisse über den „Islamischen Staat“ belegen, auch im Bereich des Terrorismus und der Organisierten Kriminalität hohen Anklang. Insbesondere im Rahmen der illegalen Migration ist deren Nutzung für u. a. Schleuser und Hintermänner zur Koordination der Aktivitäten von großer Bedeutung.

Wurden früher Verschlüsselungstechniken hauptsächlich von nachrichtendienstlich relevanten Nutzern (z. B. hoheitliche Verkehre, Terroristen) eingesetzt, so ist sie inzwischen standardmäßig in die meisten Kommunikationsdienste (z. B. WhatsApp) integriert. Die Identifizierung nachrichtendienstlich relevanter Nutzer und die inhaltliche Erschließung der zugehörigen Kommunikation sind dadurch stark beeinträchtigt. Erschwerend kommt hinzu, dass die Kommunikationsdienste in großen Teilen auf proprietäre Übertragungs- und Verschlüsselungsprotokolle zurückgreifen.

Dies hat zur Folge, dass der BND von aktuell weit über 70 verfügbaren Kommunikationsdiensten mit entsprechender Verbreitung nur weniger als zehn (zumeist ältere) erfassen und inhaltlich erschließen kann.

An anderer Stelle heißt es:

Die Finanzmittel des Projektes ANISKI dienen der Entwicklung von Analyse- und Bearbeitungs-Software in den Bereichen der Metadatenanalyse und der Krypto-Zielentwicklung. Zusätzlich soll eine Analysefähigkeit (Hard- und Software) für eingesetzte Protokolle und Geräte aufgebaut werden, welche die Möglichkeit eröffnet, in diesen das Auftreten nachrichtendienstlich relevanter Daten zu detektieren bzw. Schwachstellen in der Implementierung aufzudecken und somit letztendlich eine Inhaltserschließung zu erlauben

Laut einer Auswertung der Papiere durch Netzpolitik.org will der Dienst auch „offensive IT-Operationen durchführen“ – also Rechner knacken, um an die Schlüssel für die Kommunikation herum zu kommen.

Als Grund für die Anstrengungen nennt der BND Terroristen, Kriminelle und Schleuser zu schnappen. Und richtig: In engen Grenzen – vor allem: nach einem richterlichem Beschluss – muss es Behörden möglich sein, Verdächtige mit den zur Verfügung stehenden Mitteln zu überwachen. Ich schrieb dazu schon einmal etwas. Doch ohne deren Wissen die privaten Gespräche von Millionen von Nutzern mitzulesen und auszuwerten beschneidet deren kommunikative Freiheit, die ein Eckpfeiler unserer Demokratie ist. Ich möchte nicht in einem Land leben, in dem private Nachrichten an meine Familie oder Freunde, Geheimnisse, Intimitäten, politische Bekenntnisse und Zugangsdaten zu Onlinekonten von einer Behörde mitgelesen und ausgewertet werden, die ich mit meinen Steuern mitfinanziere.
Was der BND vorhat, ist, wenn man so will: versuchter Einbruch.

Ich habe mich wg. des BND-Gesetzes wg. einer Stellungnahme an meine beiden Bundestagsabgeordneten gewendet. Sobald beide geantwortet haben, veröffentliche ich die Antworten hier.