Bundestrojaner: Bundesdatenschützer warnt vor staatlicher Überwachung
Erst letzte Woche berichteten wir über die Pläne der EU, Ende-zu-Ende-Verschlüsselung zu umgehen, und stellten entsprechende Mittel vor, die bereits Anwendung finden oder geplant sind. Der Staatstrojaner – eines dieser Mittel – soll nun vom Verfassungsschutz, dem BND und dem MAD angewandt werden dürfen, wie das Kabinett der Bundesregierung am Mittwoch entschied. Bundesdatenschützer Kelber sieht diese Entwicklung sehr kritisch und warnt davor, dass der Bundestrojaner zu staatlicher Überwachung führen könnte. Auch Sicherheitsanbieter F-Secure möchte sich nicht an dieser Telekommunikationsüberwachung (TKÜ) beteiligen.
Datenverkehr wird doch nicht umgeleitet
Der Staatstrojaner wird nicht selten über physische Zugriffe auf Zielgeräten installiert. Die Geheimdienste hätten die staatseigene Schadsoftware gerne direkt beim Provider eingespeist, etwa über Downloads. Auf das Zielgerät käme der Bundestrojaner dann per Website, App oder Update. Die Bundesregierung wollte Telekommunikationsanbieter dazu verpflichten, Datenströme an Geheimdienste umzuleiten. Dies ging aus dem Gesetzesentwurf zur Harmonisierung des Verfassungsschutzrechts hervor, der von netzpolitik.org im Juni 2020 veröffentlicht wurde.
Was hier geplant war, geht über gängige Telekommunikationsüberwachung (TKÜ) hinaus: Nicht nur Kopien der Daten sollten ausgeleitet werden, sondern es sollten „die umgeleiteten Daten nach Durchführung der Maßnahme zur Weiterleitung an den Adressaten bestimmt bleiben“. Heißt: Provider sollten verpflichtet werden, den Datenverkehr durch einen Hacking-Proxy von Geheimdiensten zu leiten. Die technischen Herausforderungen dafür wären gering, der Bundestrojaner beherrscht diese Technik problemlos.
Die Provider zeigten sich wenig begeistert: Die Bundesregierung mache sie zu Hilfssheriffs. In unserem Beitrag „Staatstrojaner und Crypto Wars“ haben wir die verschiedenen Reaktionen auf den Gesetzesentwurf zusammengefasst. Im selben Beitrag lesen Sie auch, wie die Befugnisse auf weitere Behörden ausgeweitet werden sollen.
Das Instrument der Telekommunikationsüberwachung
Die Polizei besitzt hierzulande flächendeckend Befugnisse, sich mittels Spionagesoftware heimlich in Smartphones oder Rechner zu hacken. Diese Befugnisse sollen, wie im oben verlinkten Artikel „Staatstrojaner und Crypto Wars“ erklärt, auf verschiedene Geheimdienste ausgeweitet werden. Wie das im Detail aussehen soll, darüber streiten das CSU-geführte Bundesinnenministerium sowie das SPD-geführte Bundesjustizministerium seit fast einem Jahr. So langsam sollen durch Kompromisse Einigungen gefunden sein.
Der Streit betrifft die Telekommunikationsüberwachung an der Quelle, also die sogenannte „Quellen-TKÜ“. Agent*innen des Verfassungsschutzes, des Bundesnachrichtendiensts (BND) und des Militärischen Abschirmdiensts (MAD) soll es gestattet sein, direkt in Smartphones oder Rechner einzudringen. Mittels eingeschleuster Schadsoftware, nämlich dem Bundestrojaner, gelingt es, die dort laufende Kommunikation abzufangen – seien es Telefonate oder Messenger-Chats. Dieses Abfangen geschieht, noch bevor die Anbieter die Nachrichten verschlüsseln.
Bundestrojaner: Online-Untersuchungen sind nicht erlaubt
Tatsächlich existiert eine Einschränkung: Die volle Kontrolle des Geräts darf nicht übernommen werden. Auch das Stöbern im Gesamtspeicher darf nicht stattfinden, denn dies gilt als „Online-Durchsuchung“ und stellt einen extremeren Eingriff dar.
Kritiker*innen betonen an dieser Stelle, dass bezweifelt werden darf, dass die staatlichen Hacker*innen nicht doch auf den Speicher zugreifen. Die Bundesregierung möchte jedoch daran festhalten und unterscheidet klar zwischen „Online-Durchsuchung“ und „Quellen-TKÜ“.
Quellen-TKÜ plus: Rückwirkende Spionagemaßnahmen
In Berlin hat man sich auf eine noch umfassendere Überwachung geeinigt: Die sogenannte Quellen-TKÜ plus soll es Agent*innen erlauben, neben der laufenden Kommunikation auch rückwirkend alle alten Kommunikationen ausforschen zu dürfen, die seit dem Moment der Bewilligung der staatlichen Spionage stattgefunden haben. Somit greifen Ermittler*innen auch auf gespeicherte E-Mails oder Chatverläufe zu.
Bundestrojaner – zahnloser Tiger?
Während sich Politik und Geheimdienste über Details noch uneinig sind, arbeiten bereits einige Stellen mit dem Staatstrojaner. Nicht immer funktioniert reibungslos, was seit drei Jahren gestattet ist: Gegenüber der SZ erklärte Ralph Knispel in seiner Funktion als Berliner Oberstaatsanwalt, dass der Einsatz des Bundestrojaners nicht möglich sei. „Dazu haben wir in Berlin nicht die technischen Möglichkeiten“, so Knispel.
Kriminellen Clans sei man „in jedweder Hinsicht unterlegen“. Sie würden über „abhörsichere Telefone [verfügen], auf denen man auf Knopfdruck alles löschen kann“. Knispel frustriert es, dass selbst eine gelungene TKÜ oft ergebnislos bleibe, „weil sich die Leute lieber persönlich treffen und wenig telefonieren“.
Richtig intensiv wird der Bundestrojaner nicht genutzt, wie tagesschau.de unter Berufung auf WDR-Informationen erklärt. Häufig wird – neben dem Stoppen von Kindesmissbrauch und –pornografie – auch die Terrorismusbekämpfung als Hauptgrund für die Notwendigkeit der staatlichen Überwachung genannt. Ausgerechnet in diesem Bereich – der Terrorismusbekämpfung – wird die umstrittene Software jedoch sehr selten eingesetzt. WDR-Recherchen zufolge wurden im Jahr 2019 bis Oktober rund 550 neue Terrorismusverfahren eingeleitet. In keinem dieser Fälle existieren Anträge auf die Quellen-TKÜ.
Warum diese Zurückhaltung?
Tagesschau.de schreibt: „Aus Sicherheitskreisen heißt es, die technischen Herausforderungen beim Einsatz des „Bundestrojaners“ seien weiterhin derart groß, dass ein routinemäßiger Einsatz der Software nicht möglich sei.“ Es sei immens aufwändig, zum Zielgerät passende Software zu entwickeln, damit bestimmte Kommunikationskanäle überwacht werden könnten.
Bundestrojaner: BfDI warnt vor staatlicher Überwachung
Professor Ulrich Kelber kritisiert als Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) die Pläne der Bundesregierung massiv und warnt vor staatlicher Überwachung. Für Kelber wäre es an der Zeit, die Gesetze der Nachrichtendienste zu reformieren. „Statt diese dringenden Reformen anzugehen, sollen nun neue Überwachungsmöglichkeiten geschaffen werden. Ich fordere erneut ein Sicherheitsgesetz-Moratorium und eine unabhängige wissenschaftliche Analyse der bestehenden Gesetze.“
Kelber kritisiert Mängel in der aktuellen Fassung des Gesetzesentwurfs: Das Gesetz lege „den Umfang der Informationserhebung nicht klar fest“. So könne aus der Quellen-TKÜ plus eben doch die nicht gewollte Online-Durchsuchung werden. Kelber stört sich weiter daran, dass die Voraussetzungen zum Durchführen etwa den Befugnissen zur Quellen-TKÜ der Polizei entsprechen. Nach Auffassung von Kelber verstößt dies „gegen das verfassungsrechtliche Trennungsgebot zwischen Polizeibehörden und Nachrichtendiensten“. Kelber findet sehr klare Worte: „Es besteht die Gefahr, dass das Ausmaß der staatlichen Überwachung in der praktischen Anwendung das für eine Demokratie erträgliche Maß übersteigt.“ In Kürze soll eine detaillierte Stellungnahme zum Gesetzesentwurf auf der Website des BfDI veröffentlicht werden.
Auch F-Secure wehrt sich gegen Bundestrojaner
Dass Kelber nicht allein mit seiner Kritik steht, versteht sich von selbst: Zahlreiche Privatsphäre- und Datenschützer*innen stimmen mit ein. Und mit ihnen auch ein Anbieter von Sicherheitsprodukten, der Finne F-Secure. Gegenüber der Deutschen Presse-Agentur (dpa) erklärte der Konzern, man wolle mit der hauseigenen Anti-Schadprogramm-Software nach dem Bundestrojaner suchen und ihn – wie jeden anderen Trojaner – deaktivieren. F-Secure-Manager Rüdiger Trost erklärt: „Staatstrojaner bekommen von uns keinen Freifahrtschein. Daher schalten wir sie aus, wenn wir sie entdecken. Wir sind da nicht zur Kooperation mit dem Staat verpflichtet und werden das daher auch nicht tun.“
Trost gibt zu bedenken, dass nicht nur die Messenger- oder andere Kommunikationen vom Bundestrojaner betroffen seien: „Das Smartphone ist inzwischen mit Diensten wie Apple Pay oder Google Pay auch eine Geldbörse und ermöglicht das Nachverfolgen von Bezahlungen“. Einige Anwender*innen würden ihr Smartphone auch für Funktionen wie CarKey (dem digitalen Autoschlüssel) nutzen – auch darauf habe der Bundestrojaner im Zweifel Zugriff.
Noch muss die Gesetzesänderung zur Quellen-TKÜ den Bundestag passieren. Dann bleibt abzuwarten, wie sich die Lage entwickelt: Können Kelber mit seiner detaillierten Stellungnahme oder Anbieter wie F-Secure mit einer Verweigerungshaltung etwas bewirken, wäre dies ein großer Sieg für die Privatsphäre. Trost von F-Secure geht jedoch eher vom Gegenteiligen aus: Er hegt die Befürchtung, dass der Staat auf einzelne Anbieter zugehen und das Einbauen von Hintertüren verlangen würde. Dabei, so denkt Trost, läge der Fokus auf mobilen Plattformen.
Was denken Sie: Hat das Gesetz in aktueller Form die Chance, den Bundestag erfolgreich zu passieren, oder wird es noch Änderungen geben? Welche Entscheidung würden Sie sich vom Bundestag wünschen und warum? Kommen Sie mit uns ins Gespräch – wir freuen uns auf Ihre Meinung in den Kommentaren!
Schreibe einen Kommentar