Staatstrojaner

Wir stellen vor: Der Staatstrojaner

Als Staatstrojaner wird die Schadsoftware bezeichnet, die gezielt von der Polizei oder Gemeindiensten eingesetzt wird, um an die Daten auf deine Computer- oder Handydaten zu kommen. Diese Überwachungssoftware kann ohne dein Wissen bei dir installiert werden und auf alle Inhalte deines Computers oder Handys zugreifen, auch wenn diese auf deiner Festplatte verschlüsselt sind.
Der Staatstrojaner gelangt unbemerkt auf dein Handy oder deinen Computer, indem Schwachstellen der Sicherheitsarchitektur deines elektronischen Geräts ausgenutzt werden. Die Polizei ist sich beispielsweise im Klaren, dass beispielsweise deine SMS-App nicht richtig geschützt ist. Anstatt diese Sicherheitslücke dem Betreiber zum Beheben mitzuteilen, wird sie gezielt von der Polizei genutzt, um Schadsoftware darüber auf dein Handy zu spielen.

Bei Staatstrojanern können wir technisch wie juristisch zwischen zwei Arten von Überwachungssoftware unterscheiden: Die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) und die Online-Durchsuchung. In beiden Fällen wird dein elektronisches Gerät von der Polizei komplett gehackt. Die Online-Durchsuchung kannst du dir als Äquivalent einer Hausdurchsuchung vorstellen, wo die Polizei sich alle Inhalte genau angucken kann, nur das du in diesem Fall nichts von einer Durchsuchung weißt. Bei der Quellen-TKÜ hingegen werden nur die Kommunikationsdaten überwacht. Letzteres erlaubt es der Polizei also nur, Kommunikation mitzuschneiden, was sich jedoch technisch schwer umsetzen lässt. Auch für die Quellen-TKÜ braucht es eine Software, die potentiell auf alles zugreifen kann. Dass die Polizei wirklich nur die Kommunikation erfasst wird so zur Vertrauenssache und kann nicht überprüft werden.

Geschichte: Das Leben und Sterben und Leben des Staatstrojaners

Die Online-Durchsuchung ist 2006 im Rahmen eines Programmes zur Stärkung der Inneren Sicherheit von der damaligen Bundesriegerung (CDU-FDP) eingeführt worden. Dies stellte sich rechtlich als sehr schwierig heraus, da nach Artikel 10 des Grundgesetzes ist die Kommunikation ein besonders schützenswertes Gut, was nur durch die Berufung auf die Sicherheit des Landes aufgehoben werden kann. Inwieweit die neue polizeiliche Maßnahme nach deutschen Recht erlaubt ist, blieb lange uneindeutig und zog ein sehr langes Hin und Her zwischen der gesetzgebenden Regierung und den Gerichten nach sich.

• 2006: Bundesgerichtshof entscheidet, das aktuelle Gesetzeslage nicht ausreicht, um den Einsatz von Online-Durchsuchung zu rechtfertigen. Die Online-Durchsuchung ist nicht das gleiche, wie eine Hausdurchsung und dafür geltendes Recht kann nicht nicht einfach auch auf die Online-Durchsuchung angewandt werden. Diese passiert nämlich verdeckt und heimlich.
• 2007: legt die bayrische Landesregierung einen ersten Gesetzentwurf vor, um eine rechtliche Grundlage zu schaffen
• 2008: Das Bundesverfassungsgericht bestätigt das Urteil vom Bundesgerichtshof. Der Einsatz ist damit nur bei schweren Straftaten nach richterlicher Zustimmung erlaubt, demnach den Schutz von Menschenleben oder für die Gesellschaft wichtigen Gemeingütern, sowie der Bedrohung des Staates gerechtfertigt. Trotz dieses Urteils wurde die Online-Durchsuchung auch in Ermittlungen bei anderer Straftaten angewandt.
• 2008: Der bayrische Landtag verabschiedet als erstes Bundesland ein Gesetz für Online-Durchsuchung und schafft damit für diese polizeiliche Maßnahme eine Grundlage.
• 2008: Bundesrat verabschiedet ein BKA Gesetz, welches der Bundespolizei erlaubt, zur Abwehr von Terrorismus Online-Durchsuchungen einzusetzen.
• 2011: Der Chaos Computer Club stellt fest, dass der Staat bewusst Sicherheitslücken offen lässt, die von der Polizei, aber auch von anderen Hacker*innen ausgenutzt werden können. Obwohl nur eine Quellen-TKÜ erlaubt war, wurde sich auch für andere Inhalte Zugriff verschafft, wie beispielsweise auf das Mikrofon oder die Kamera.
• 2017: Studie des EU-Parlaments kommt zu dem Schluss, dass Online-Durchsuchung wie Quellen-TKÜ ein höheres Risiko für de Privatsphäre darstellen und die Internetsicherheit insgesamt gefährden. Empfehlung: sofortige Einschränkungen.
• 2017: Reporter ohne Grenzen sehen die freie Presse durch Online-Überwachung bedroht
• 2017: Gesetz für rechtliche Grundlage von Quellen-TKÜ verabschiedet und weitet die Online-Durchsuchung aus. Die Quellen-TKÜ kann nun präventiv und bei weniger schweren Vergehen eingesetzt werden. Laut Netzpolitik ist das Gesetz (siehe §100a und §100b) nicht in einem eigenständigen Verfahren beschlossen , sondern an ein anderes Verfahren drangehängt worden. Ein Trick, damit es nicht groß thematisiert wird und schnell und leise ohne öffentliche Diskussion verabschiedet werden kann.
• 2017/ 2018: Die Gesellschaft für Freiheitsrechte, digitalcourage und weitere Bürgerrechtsorganisationen reichen Verfassungsbeschwerde gegen das 2017 verabschiedete Gesetz ein
• ab 2017: sieben Bundesländer schaffen eine rechtliche Grundlage für den Einsatz von Staatstrojanern: Bayern, Baden-Württemberg, Hamburg, Hessen, Niedersachsen, Nordrhein-Westphalen und Rheinland-Pfalz (weitere sind noch in der Planung)
• 2020: Der Zollfahnungsdienst darf Quellen-TKÜ einsetzen. Für die deutschen Geheimdienste liegt gerade eine Gesetzesentwurf vor. Der Einsatz von Quellen-TKÜ in Geheimdiensten gilt als besonders umstritten, da weder die Polizei noch ein /e Richter*in überprüfen kann, wann wie und in welchem Ausmaß die Quellen-TKÜ verwendet wird. In Nordrhein-Westphalen wurde es bereits für verfassungswidrig erklärt und auch in Hamburg wurde Verfassungsbeschwerde eingereicht. Zusammenfassend können wir festhalten, dass eine polizeiliche Maßnahme, welche anfänglich nur bei schweren Straftaten angedacht war, mittlerweile immer großflächiger Verwendung findet, trotz Protesten seitens Menschenrechtsorganisationen und der Bevölkerung. Eine detaillierte Auflistung der einzelnen Geschehnisse findet ihr hier: https://digitalcourage.de/staat-und-geheimdienste/staatstrojaner-chronologie

Stand heute

Laut Netzpolitik soll die Bundespolizei sowie die Geheimdienste ebenfalls einen Staatstrojaner kriegen. Die Anwendungsgebiete für beide Formen wurden seit 2017 massiv ausgeweitet und Zahlen der Berliner Polizei zeigen auf, dass Anfragen für den Einsatz von Telekommunikationsüberwachung von Richter:innen kaum abgelehnt werden.

Gemessen an den Zahlen von 2019 finden beide Formen der Online-Überwachung eher eine geringere Verwendung. Die klassische Telekommunikationsüberwachung, also das Mitschneiden von Telefonaten, wurde über 18.000 Mal durchgeführt, während die Online-Durchsuchung lediglich 12 Mal zum Einsatz kam und die Quellen-TKÜ nur 31 Mal tatsächlich eingesetzt wurde. Alle Formen der Überwachung werden jedoch eher auf Alltagskriminalität und nicht in Bezug auf schwere Straftaten angewandt.

Die Probleme mit dem Staatstrojaner

Missbrauchspotential

In der Vergangenheit wurden schon mehrere Fälle öffentlich, wo die Online-Überwachungsformen für private Zwecke missbraucht wurden

• ein Beamter der Bundespolizei spionierte seine Tochter aus. Ihr Freund wurde darauf aufmerksam und drehte den Spieß um. Damit erhielt er Zugriff auf den Datenverkehr der Bundespolizei, was ein großes Sicherheitsrisiko aufdeckte
• Mitarbeiter des BND missbraucht Online-Überwachung, um den E-Mailverkehr eines Mannes mitzuschneiden, der ein Verhältnis zu seiner Frau hat

Sicherheitslücken werden bewusst offen gelassen

Sicherheitsbehörden nutzen Lücken in der Sicherheitsarchitektur, um darüber ihre Spähsoftware einschleusen zu können. Diese Sicherheitslücken werden nicht gemeldet und so auch für andere Hacker/innen offen gelassen. Damit setzt der Staat den Bürger/innen bewusst Gefahren aus.

Unverhältnismäßiger Eingriff in die Privatsphäre

Mit den beiden Formen der Online-Überwachung wird es möglich, die privatesten Unterhaltungen mitzuschneiden und so mitzulesen. So machte unter anderem Schlagzeile, dass das Bundeskriminalamt auch bei Telefonsex zugehört hatte. Die Online-Überwachung greift tief in unsere Privatsphäre ein, sie macht Telefonsex, Sexting und intimste Kommunikation und Geheimnisse einsehbar. Diese sollten eigentlich für staatliche Stellen komplett tabu sein. In der heutigen Zeit, wo wir unser Handy fest in unseren Alltag integriert haben, könnte man bei einer Durchsuchung unserer Fotos, Chatverläufe, gespeicherten Links und heruntergeladenen Apps weit aus mehr über uns in Erfahrung bringen, als wenn man unser Zimmer durchsuchen würde. Und das führt direkt zum nächsten Punkt:

Fehlende Kontrolle und unklare Einsatz

Für den Durchsuchten ist nicht nachvollziehbar, ob und wann er/ sie durchsucht wird -anders als bei zum Beispiel bei einer Hausdurchsuchung. Auch ist die Quellen-TKÜ nur juristisch, also in ihrer Anwendung von der Online-Durchsuchung unterscheidbar und nicht technisch. Das bedeutet, dass beide Formen auf alle Inhalte zugreifen können. Damit müssen wir als Bevölkerung einen riesigen Vertrauensvorschub leisten. Es gibt nämlich keine Kontrolle von außen aber auch keine intern, was eigentlich wirklich mitgeschnitten wird. Auch könnte die Abstufung in zwei Formen leicht mit einem neuen Gesetz aufgehoben werden.

Nicht für ursprüngliches Ziel eingesetzt

Obwohl das Bundesministerium des Innern den Einsatz von Staatstrojanern vor allem mit der Terrorismusbekämpfung und die Aufdeckung von Kinderpornografie begründet, kommt dieser kaum oder gar nicht dafür zum Einsatz. 2019 wurde in keinem von 550 Terrorismusverfahren auf eine der Formen der Online Überwachung zurückgegriffen. Beide Formen finden generell eher wenig Verwendung und werden zunehmend eher bei leichteren Vergehen, demnach Alltagskriminalität, eingesetzt. Das sollte doch eigentlich die Frage aufwerfen, ob die Techniken wirklich zielführend sind für das, wofür sie ursprünglich gedacht worden sind.

To sum up:

Staatstrojaner -die Online-Durchsuchung, wie die Quellen-TKÜ- stellen einen sehr starken Eingriff in die Privatsphäre und ein erhebliches, hohe Kosten verursachendes Sicherheitsrisiko dar. Eigentlich für die Strafverfolgung schwerster Straftaten vorgesehen, lässt sich in den letzten Jahren beobachten, wie immer mehr Sicherheitsbehörden mit ausweitenden Anwendungsbereichen Staatstrojaner einsetzen können. Diese Entwicklung ist sehr kritisch zu beurteilen, da es dazu führen kann, dass die privatesten Kommunikationsinhalte ausgespäht werden.