Online-Durchsuchung

Überwachung der Computertätigkeit

Die Online-Durchsuchung stellt einen heimlichen Eingriff staatlicher Stellen in fremde informationstechnische Systeme dar und wird im Rahmen der polizeilichen Gefahrenabwehr, zur Strafverfolgung oder auch zur Datenerhebung mit nachrichtendienstlichen Mitteln eingesetzt.

Sie unterscheidet sich von herkömmlicher Telekommunikationsüberwachung dadurch, dass nicht nur der Datentransfer an sich auf dem Übertragungsweg der Nachrichten angezapft wird, sondern Daten direkt am Endgerät (Computer, Mobiltelefon etc.) mittels Spionagesoftware durchsucht werden. Technisch handelt es sich hierbei somit um Hacking. Die verwendete Software heißt Remote Forensic Software (RFS, Fernforensische Software), umgangssprachlich Staatstrojaner und ähnlich genannt.[1][2][3]

Online-Durchsuchung umfasst sowohl den einmaligen Zugriff (Online-Durchsicht) als auch die sich über einen längeren Zeitraum erstreckende Online-Überwachung.[4] Beschränkt sich der Zugriff auf das Abgreifen laufender Kommunikation auf dem Gerät einer Zielperson, spricht man von Quellen-Telekommunikationsüberwachung, also der Überwachung an der Quelle der übermittelten Nachrichten. Sie hat dabei meist das Ziel, die Verschlüsselung der Daten zu umgehen.

Technische Grundlagen

Bearbeiten

Um Daten, die in einem geschlossenen elektronischen System gespeichert sind, aus der Ferne durchsuchen zu können, muss technisch direkt auf diese Geräte zugegriffen werden können. Dies funktioniert, indem heimlich ein entsprechendes Computerprogramm (ein sogenanntes Trojanisches Pferd) installiert wird, das eine dauerhafte Überwachung ermöglicht. In der Sicherheitsbranche werden solche Arten von Schadsoftware auch als Govware (von englisch government ‚Regierung‘) oder Remote Forensic Software (Fernforensische Software, RFS) bezeichnet.[5][6][7]

Die staatlicherseits eingesetzte Software unterliegt der Geheimhaltung, daher sind die Technologien nicht allgemein bekannt. Faktisch handelt es sich aber um Programmpakete, in denen neben Rootkits und Trojanern (im eigentlichen Sinne) für die Basisinstallation[8] diverse Malware-Technologien eingesetzt werden können. Nach Angaben von Beamten des Bundeskriminalamtes (2007) kommt dabei in Deutschland ein spezifischer Keylogger zum Einsatz.[7] Anwendungsplattformen wie FinFisher umfassen neben den Intrusionsroutinen auch Speicherabbild-Programme.

Die Installation dieser Software erfolgt entweder auf ähnlichem Wege wie andere Computerviren, also z. B. über Phishing- oder Man-in-the-Middle-Angriffe[9][10], oder durch einen physischen Eingriff, etwa über verdeckte Ermittler, die heimlich eine Wohnung betreten und dort die Spionagesoftware auf dem PC installieren.[7] Oft werden auch die Netzinfrastrukturbetreiber verpflichtet, dabei behilflich zu sein und entsprechende Schnittstellen bereitzuhalten. Es wird auch spekuliert, dass Kooperationen mit Hardware- und Betriebssystem-Herstellern bestehen, die ab Werk vorinstallierte „Hintertüren“ (sogenannte Backdoors) in die Systeme einbauen, um den Behörden bei Bedarf direkten Zugang zu jedem Gerät zu verschaffen.[11]

Mit Ausnahme des direkten physischen Zugriffs, haben jedoch alle obengenannten Methoden gemeinsam, dass sie (wie jede Schadsoftware) auf technische Sicherheitslücken angewiesen sind, die sie gezielt ausnutzen, um ihren Zweck zu erreichen. Weil die Hersteller von Computersystemen solche Lücken jedoch sofort schließen würden, wenn sie publik würden, werden sie von staatlicher Seite geheim gehalten. Hieraus ergibt sich auch ein direkter Zielkonflikt zwischen der Sicherheit, Vertraulichkeit und Integrität informationstechnischer Systeme einerseits und den Interessen der Sicherheits- und Nachrichtendienste. Denn jede nicht geschlossene Sicherheitslücke stellt potenziell eine Gefahr für alle Nutzer dar, auch wenn sie gar nicht von Überwachungsmaßnahmen betroffen sind.

Hinzu kommt, dass die entsprechenden Schwachstellen überhaupt erst gefunden werden müssen. Da staatliche Stellen hierzu häufig technisch nicht in der Lage sind, bedienen sie sich hierbei auch auf dem digitalen Schwarzmarkt, wo entsprechende Exploits gekauft werden können.

Anwendung

Bearbeiten

Der Bedarf an staatlicher Überwachungssoftware hat, parallel zur wachsenden Verwendung elektronischer Kommunikationsmittel auch durch Kriminelle, stetig zugenommen. Eine besondere Problematik stellt hierbei eine etwaige Verschlüsselung dar: Konnten die Behörden früher die Kommunikation (z. B. Anrufe, SMS oder Briefe) eines Verdächtigen relativ einfach auf dem Weg von Sender zu Empfänger abfangen und mithören/mitlesen, ist dies durch die wachsende Verbreitung von Ende-zu-Ende-verschlüsselter Kommunikation (z. B. PGP-Mail oder Messenger wie WhatsApp, Signal und Threema) nicht mehr möglich.[12][13][14][8] Um verschlüsselte Kommunikation mitlesen zu können, muss man entweder an den Schlüssel selbst gelangen (was meist nicht möglich ist) oder die Daten aber noch vor der Verschlüsselung bzw. nach der Entschlüsselung, also direkt auf dem Gerät des Senders oder Empfängers, einsehen.

Situation in einzelnen Ländern

Bearbeiten

Deutschland

Bearbeiten

Die gesetzliche Grundlage der Online-Durchsuchung in Deutschland ist seit Inkrafttreten des Art. 3 des Gesetzes zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens am 24. August 2017[15] der neue § 100b Strafprozessordnung (StPO).

Vor Schaffung der speziellen gesetzlichen Regelung des § 100b StPO bildeten §§ 20k und 20l des Bundeskriminalamtgesetzes (BKAG) die Rechtsgrundlage in Fällen der Gefahrenabwehr des internationalen Terrorismus (i. S. d. § 4a BKAG). Der verfahrensrechtlich für sonstige schwere Kriminalität relevante § 100a StPO a.F. ließ die Installation von Spionagesoftware jedoch nicht ausdrücklich zu, weswegen u. a. der Deutsche Richterbund eine Entscheidung des Gesetzgebers über die Voraussetzungen und Rahmenbedingungen der Quellen-Telekommunikationsüberwachung forderte.[16][17]

In dem Programm zur Stärkung der Inneren Sicherheit der deutschen Bundesregierung wird die Online-Durchsuchung als Maßnahme umschrieben, „entfernte PCs auf verfahrensrelevante Inhalte hin zu durchsuchen, ohne tatsächlich am Standort des Gerätes anwesend zu sein“. Ob sie als eine Durchsuchung im Rechtssinne anzusehen und inwieweit sie einer Wohnungs- oder Hausdurchsuchung gleichzusetzen ist (womit sie den verfassungsrechtlichen Anforderungen an Eingriffsgesetze in das Wohnungsgrundrecht, z. B. nach der deutschen Strafprozessordnung genügen müsste), ist unter Juristen umstritten.[18] Der BGH sieht mit Urteil vom 31. Januar 2007[19] jedenfalls keine Ermächtigungsgrundlage in den §§ 102, 105 StPO. Gerade die Heimlichkeit der Durchsuchung entspricht nicht der Systematik der offenen Durchsuchung in den §§ 102, 105 StPO. Vielmehr in Betracht käme § 100a StPO. Doch auch dies lehnt der BGH ab. Es finde bei der Online-Durchsuchung gerade keine Überwachung von Telekommunikation, d. i. die Überwachung des Kommunikationsflusses des Verdächtigen mit einem Dritten statt. Die Bundesregierung vertritt die Auffassung, dass für spezielle Datentypen die Online-Durchsuchung bereits von geltendem Recht gedeckt sei. Eine Ermächtigungsgrundlage verfüge z. B. bereits der Zollfahndungsdienst als die die Maßnahme veranlassende Behörde. Dafür wird ein Programm für eine Quellen-Telekommunikationsüberwachung (auch Quellen-TKÜ, die Überwachung der Telekommunikation am Rechner vor ihrer Verschlüsselung) installiert und eingesetzt, wenn bei der klassischen Telekommunikationsüberwachung die Inhalte verschlüsselt werden.[20][21] Für das Betreten der Wohnung, um die Software zu installieren, gibt es bisher keine Rechtsgrundlage, weswegen diese Möglichkeit aktuell nicht zum Einsatz kommen kann.[22]

Beim 2. Senat des Bundesverfassungsgerichts sind seit dem Jahr 2018 eine Reihe von Verfassungsbeschwerden von unter anderem Rechtsanwälten, Künstlern und Journalisten, darunter einige Mitglieder des Deutschen Bundestages, anhängig zu der Frage, ob die zum 24. August 2017 bewirkten Änderungen der Strafprozessordnung, insbesondere die Möglichkeit der Anordnung der sog. Quellen-Telekommunikationsüberwachung und der Online-Durchsuchung mittels des sog. „Staatstrojaners“ verfassungsgemäß sind.[23]

Österreich

Bearbeiten

Gleichzeitig mit der Diskussion in Deutschland wurde auch in Österreich über die Möglichkeiten der Online-Durchsuchung und -Überwachung nachgedacht. Ein Argument der Befürworter ist die Bekämpfung von Terrorismus, Kinderpornografie und organisierter Kriminalität – was von Datenschützern bezweifelt wird, da auch die Ausforschung Kleinkrimineller unter dem Deckmantel der Terrorismusbekämpfung möglich wäre. Am 17. Oktober 2007 wurde in einer Ministerratssitzung eine Einigung erzielt und in einem gemeinsamen Vertragspapier festgehalten. Demnach soll die „Online-Fahndung“, wie sämtliche Ermittlungsmethoden an Privatcomputern bezeichnet werden, nur bei Verbrechen, die mit über zehn Jahren Strafe bedroht sind, eingesetzt werden und dies auch nur, wenn ein richterlicher Beschluss vorliegt. Funde auf Computern ohne richterlichen Beschluss sollen laut Justizministerin keine Verwendung finden dürfen.[24]

Wie 2011 bekannt wurde, erwarb das österreichische Innenministerium einen Trojaner von DigiTask.[25] Dieser wurde vom Bundesamt für Verfassungsschutz und Terrorismusbekämpfung und der Sondereinheit für Observation eingesetzt, ohne dass eine rechtliche Grundlage vorhanden war.[26]

Am 31. März 2016 brachte das Bundesministerium für Justiz einen neuen Gesetzesvorschlag als Ministerialentwurf ins Parlament ein, der einen Rechtsrahmen für die "Überwachung von Nachrichten, die im Wege eines Computersystems übermittelt werden" schaffen soll. Dieser Vorschlag lässt explizit auch die Überwachung per Fremdsoftware auf dem Rechner des oder der Betroffenen oder einen seiner Kontakte zu.[27] Schon in der darauffolgenden Woche gab es dazu massive Kritik von zahlreichen Organisationen, unter anderem den Grünen, dem AK Vorrat und dem Forum Datenschutz.[28]

Nachdem im Begutachtungsverfahren 56[29] überwiegend kritische Stellungnahmen eingelangt sind, erklärte Justizminister Wolfgang Brandstetter gegenüber Puls 4, dass die Pläne in der vorgeschlagenen Ausführung nicht sinnvoll wären. Gegenüber der futurezone.at ergänzte das Ministerium am 8. Juni 2016, dass an einem neuen Entwurf gearbeitet wird.[30]

Mit dem Sicherheitspaket 2018 wurden einige Online-Durchsuchung-Maßnahmen eingeführt respektive ausgeweitet, darunter auch der Bundestrojaner legitimiert.[31]

Im Dezember 2019 hat der österreichische Verfassungsgerichtshof weite Teile des neuen Überwachungspakets, welches auch den Bundestrojaner beinhaltet hat, gekippt und als verfassungswidrig erklärt.[32]

Die Online-Durchsuchung ist in der Schweiz zurzeit nicht ausdrücklich gesetzlich geregelt.

Einsatz gestützt auf Art. 280 StPO

Bearbeiten

Nachdem bekannt wurde, dass DigiTask auch Kunden in der Schweiz beliefert hatte,[25][33] bestätigte das Eidgenössische Justizdepartement im Oktober 2011, dass die Strafverfolgungsbehörden des Bundes und des Kantons Zürich in einzelnen Fällen zur Klärung schwerer Verbrechen Trojaner eingesetzt hätten.[34][35]

Digitask-Trojaner gelangten bei der Überwachung Andrea Stauffachers zum Einsatz, der Sprengstoff- und Brandanschläge vorgeworfen werden, sowie bei anderen Terrorismus- und Drogenfällen.[36] Den Behörden zufolge erfolgte der Einsatz gestützt auf Artikel 280 der Strafprozessordnung (StPO) oder auf vor 2011 geltende analoge Vorschriften. Nach Art. 280 StPO kann die Staatsanwaltschaft „technische Überwachungsgeräte einsetzen, um das nicht öffentlich gesprochene Wort abzuhören oder aufzuzeichnen; Vorgänge an nicht öffentlichen oder nicht allgemein zugänglichen Orten zu beobachten oder aufzuzeichnen; oder den Standort von Personen oder Sachen festzustellen.“[37] Laut Angaben des Anwaltes Marcel Bosonnet wendeten sich die schweizerische Bundesanwaltschaft und -kriminalpolizei 2008 mit einem Rechtshilfegesuch an bundesdeutsche Behörden, um die Online-Überwachung im Fall Andrea Stauffacher vom Ausland aus durchführen zu lassen. Laut Rechtsauffassung der schweizerischen Bundesanwaltschaft war so eine Bewilligung der Überwachungsmaßnahme durch das schweizerische Bundesstrafgericht unnötig.[38]

Beabsichtigte Regelung in Art. 270bis StPO

Bearbeiten

Ob Art. 280 StPO als Rechtsgrundlage für die Online-Durchsuchung genügt, ist in der Rechtslehre umstritten.[34][39] Die Vernehmlassungsvorlage des Bundesrates vom 1. Juni 2010 zur Revision des Bundesgesetzes vom 6. Oktober 2000 betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF)[40] sollte die Online-Durchsuchung daher ausdrücklich regeln. Die Regelung fand schließlich jedoch keinen Eingang ins Gesetz.

Frankreich

Bearbeiten

Am 8. Februar 2011 wurde in Frankreich das Gesetz zur Stärkung der inneren Sicherheit (Loi d’orientation et de programmation pour la performance de la sécurité intérieure) verabschiedet.[41] Mit diesem Gesetz wurden die französischen Sicherheitsbehörden mit der Befugnis für heimliche Online-Durchsuchungen ausgerüstet.[42]

Vereinigtes Königreich

Bearbeiten

In Großbritannien werden Online-Malware-Installationen auf Grundlage des Computer Misuse Act[43] von 1990 und des Regulation of Investigatory Powers Act[44] aus dem Jahr 2000 durchgeführt. Diese gesetzlichen Regelungen ermöglichen der Polizei auch, bei Verdacht auf schwere Straftaten, verdeckt heimliche Wohnungsdurchsuchungen ohne richterliche Kontrolle durchzuführen und dabei Computer zu untersuchen und Keylogger zu installieren. Unter Berufung auf den Ende November 2008 vorgeschlagenen strategischen Ansatz zu einer umfassenden und gemeinsamen Bekämpfung der Cyberkriminalität des Justice and Home Affairs Council (JHA) der EU-Kommission[45] plant das britische Innenministerium zurzeit (Januar 2009) in Zusammenarbeit mit weiteren EU-Staaten, Ferndurchsuchungen (Remote Searches) europaweit durchzuführen und auch anderen Staaten diese im Vereinigten Königreich ohne richterlichen Beschluss zu ermöglichen.[46][47]

Vereinigte Staaten

Bearbeiten

Spätestens seit 2001 wird in den USA von der amerikanischen Bundespolizei FBI eine Spionage-Software mit dem Namen Magic Lantern genutzt, um Daten im Internet auszuspähen. Die Benutzung eines Programms mit dem Namen CIPAV wurde erstmals 2007 bestätigt.

Gesicherte Informationen über die Situation in China sind nicht vorhanden. Gleichwohl existieren Hinweise darauf, dass Trojaner auf der Regierung unliebsame Gruppen wie z. B. die Falun Gong angesetzt wurden. Die technischen Beschreibungen zählen jedoch zu den detailliertesten, die existieren.[48][49][50]

Rechtliche und technische Problematiken, Kritik

Bearbeiten

Die Online-Durchsuchung wirft ein Fülle von rechtlichen Fragen auf und wird unter verschiedenen Gesichtspunkten kritisiert.

Einer der häufigsten Kritikpunkte ist, dass Staatstrojaner oft mit Terrorismus oder Gewaltverbrechen begründet werden, für deren Verhinderung bzw. Verfolgung aber nicht geeignet sind, und in der Realität überwiegend zu anderen Zwecken eingesetzt werden: in Deutschland bspw. vor allem gegen Drogen,[51][52] in autoritären Staaten gegen die (demokratische) Opposition.

Debatte zu Grundrechten und Überwachungsstaat

Bearbeiten

Datenschutzrechtlich ist die Online-Durchsuchung ein massiver Eingriff in die Privatsphäre. Inwieweit dieser im Rahmen der Staatsgewalt zulässig ist, ist die Grunddebatte.

Ein zentraler Kritikansatz ist auch die Heimlichkeit als Widerspruch zum Wesen einer rechtsstaatlichen Untersuchungshandlung. Da der Betroffene in der Regel die Überwachung nicht bemerkt, diese technisch schwer nachweisbar ist und je nach Rechtslage häufig selbst im Nachhinein nicht mitgeteilt werden muss (siehe etwa Artikel 10-Gesetz), besteht für ihn keine Möglichkeit der rechtlichen Überprüfung des Eingriffs. Der Aspekt von Transparenz und Kontrolle staatlichen Handelns ist jedoch untrennbar mit dem Kern der Rechtsstaatsidee verbunden.

Eine weitere Frage ist, dass staatliche Überwachungsmaßnahmen immer auf konkrete Personen eingeschränkt sind. Die Überwachung der Kommunikation eines Verdächtigen würde aber die Überwachung eines Personenkreises unbestimmter Anzahl und möglicherweise auch Unverdächtige umfassen. Daher muss die Kontrolle nicht nur die Bewilligung der Überwachung umfassen, sondern auch die Verwendung des ermittelten Datenmaterials, und insbesondere auch dessen Abspeicherung als zu sicherndes Beweismaterial.

Darüber hinaus findet eine allgemeine weitere Entgrenzung der öffentlichen Macht von Territorien, nationalen Grenzen, Privaträume und physischer Präsenz statt. Der Soziologe und Philosoph Zygmunt Bauman charakterisiert diesen Zustand der Macht als „post-panoptisch“.[53] Die für den Bürger unsichtbaren Möglichkeiten der Überwachung mit Hilfe elektronischer Signale bedeuten auch, dass die Überwachung ohne direkte Anwesenheit von Kontrollpersonal oder der Existenz von definierten bzw. transparenten Wachzeiten möglich wird. Weiter ist es beispielsweise auch viel schwerer zu kontrollieren, inwieweit die Daten im Rahmen internationaler Ermittlungszusammenarbeit an ausländische Instanzen weitergereicht werden, und dann nicht mehr den ursprünglichen Anordnungen und der ursprünglichen Kontrolle unterliegen. So könnten trotz gesetzeskonformem Löschen der Überwachungsdaten bei einer Behörde nach Abschluss des Ermittlungsverfahrens noch weitere Kopien anderorts erhalten bleiben – ein Aspekt, der dem Recht auf Vergessenwerden aller Daten gemeinsam ist. Daher erfordert es eine umfangreichere Gestaltung der gesetzlichen, auch internationalen Rahmenbedingungen.[54]

Auch wird die Gefahr gesehen, dass der Bürger das Vertrauen in elektronische Kommunikation im Allgemeinen verliert und sich ob der ständig drohenden Überwachung anders verhält.

Abgrenzung von Datenübertragung und Nachrichtenübermittlung

Bearbeiten

Die Durchsuchung rein privater Daten stellt einen tieferen Eingriff in die Privatsphäre dar als die Überwachung zwischenmenschlicher Kommunikation. Modernes Cloud Computing umfasst auch das externe Speichern auf Filehosting-Servern im Internet. Technisch gesehen ist auch dieser Datenaustausch eine Kommunikation zweier Endgeräte, daher muss der Gesetzgeber schärfere Definitionen von „Kommunikation“ entwickeln. So stellt sich etwa die Frage, inwieweit automatische Synchronisationsvorgänge mit der Cloud als „autonome Kommunikation zwischen zwei Geräten ohne menschliches Zutun“[55] (M2M-Kommunikation) noch unter eine angeordnete Überwachung fallen soll. Rechtliche Formulierungen wie, dass eine Nachricht in eigentlichen Sinne nur „von einer natürlichen Person übermittelte Daten“[55] umfassen soll, würden auch die Uploads auf einen Cloud-Speicher umfassen.[8]

Technische Aspekte von Govware und Malware

Bearbeiten

Der Bedarf an einer leistungsfähigen Überwachungssoftware, die über die bereits im Einsatz befindlichen Abhörschnittstellen, die zur Durchführung von Telekommunikations-Überwachungsmaßnahmen bei jedem Internet-Provider installiert sein müssen, hinausgeht, entstand insbesondere durch die weite Verbreitung von verschlüsselter Telekommunikation (z. B. Skype und WhatsApp). Um diese Medien zu Überwachen, braucht es tiefere Eingriffe in das Betriebssystem eines Gerätes.

Neben den juristischen und politischen Einwänden wird von Experten die technische Umsetzbarkeit bezweifelt: Antivirenprogramme würden alle Schadprogramme gleich behandeln. Tjark Auerbach, Geschäftsführer von Avira sagte: „Ein Trojaner ist und bleibt eine Spionage-Software“. Sobald die Struktur den Software-Herstellern bekannt wird, würde sie in ein Verzeichnis bekannter Viren aufgenommen und von den Programmen blockiert werden. Virenschutzprogramme bieten jedoch nur bedingte Sicherheiten durch Erkennung von typischen Verhaltensweisen und bereits bekannten Programmmustern über generische und heuristische Verfahren, da staatliche Trojaner sich atypisch verbreiten und den Herstellern erst bekannt sein müssen, um sie in ihren Virenschutzprogramme durch aktuelle Virensignaturen zuverlässig erkennen zu lassen.[56] Erschwerend kommt nur hinzu, dass Trojaner oder Ausspähprogramme auf die Zusammenarbeit des Betriebssystems angewiesen sind (und speziell auf dieses zugeschnitten sein müssen). Andreas Lamm, Geschäftsführer von Kaspersky Lab, sagte zu der Möglichkeit einer Zusammenarbeit mit staatlichen Behörden, „es würde sich dabei um einen massiven Eingriff in die gesamte IT-Sicherheitsindustrie handeln, der aus unserer Sicht nicht vorstell- und durchführbar wäre“.[57]

Unabhängig von der verwendeten Technik wurde angezweifelt, ob insbesondere gezielte[58] Online-Durchsuchungen bei Einsatz üblicher Kommunikationstechnik wie Router, Firewall und Anti-Virus-Scanner überhaupt erfolgversprechend sein können.[59][60] Experten waren jedoch der Meinung, dass die Provider-seitigen Abhörschnittstellen ohne größere Probleme zur Einschleusung von Trojanern während eines beliebigen ungesicherten Software-Downloads umprogrammiert werden könnten – ein klassischer Man-in-the-Middle-Angriff, gegen den auch die beste Firewall machtlos ist.[61] Um eine derartige Attacke auszuschließen, müsste man sich bei Programmdownloads auf signierte Dateien beschränken. Viele freie Betriebssysteme tun dies mit dem GNU Privacy Guard ohnehin. Allerdings signieren nur sehr wenige Anbieter von Windows-Software ihre Downloads. Außerdem benötigt man eine garantiert echte Version des jeweiligen öffentlichen Schlüssels. Antivirenprogrammhersteller wie Avira und Kaspersky Lab schlossen eine Kooperation mit Behörden bereits aus.[62]

Folgen für die allgemeine IT-Sicherheit

Bearbeiten

Allgemein gerät der Staat durch Anwendung von Govware in einen Zielkonflikt, da er einerseits die allgemeine IT-Sicherheit fördern will, andererseits diese durch die Maßnahmen zur Online-Durchsuchung gefährden könnte. Denn auch jeder Staatstrojaner ist letztlich auf Sicherheitslücken in technischen Systemen angewiesen, die grundsätzlich ebenso von Kriminellen genutzt werden können.[63] Eigentlich ist es Intention von jedem, der an der Sicherheit der Bürger und Organisationen interessiert ist, dass solche Sicherheitslücken möglichst schnell bekannt und dann geschlossen werden. Für den Betrieb dieser Software muss sich der Staat aber auf die Geheimhaltung gewisser Exploits verlassen, und sich daher aktiv an der Bevorratung entdeckter Exploits zu eigenen Zwecken beteiligen, was aber als Exploit-Handel als eine der heutigen Kernszenen der Kriminalität gilt. Damit tritt der Staat in direkte Konkurrenz mit dem Verbrechen um die informationstechnische Ressource der Exploits (und finanziert diese möglicherweise gar). Da die Schwachstellen dementsprechend nicht geschlossen werden, können auch Kriminelle diese früher oder später finden und selbst ausnutzen. So etwa geschehen beim WannaCry-Virus, der auf einer Backdoor basierte, die die amerikanische NSA jahrelang für einen ihrer Staatstrojaner benutzte.

Eine Alternative wäre, direkt mit den Betriebssystem- und Anwendungssoftware-Herstellern in der Implementierung einer (sicheren) Schnittstelle zur Govware zusammenzuarbeiten. Auch das erfordert jedoch einen umfassenden, und insbesondere internationalen rechtlichen Rahmen, und wirft eine Fülle von weiteren Fragen auf; etwa zur behördlichen Einsichtnahme oder Eingriff in proprietäre Software, die Abgabe der Kompetenz an die Privatwirtschaft, der Umgang mit Open-Source-Communities etc. Zudem bleibt das Problem, dass jede (auch absichtlich eingebaute) Sicherheitslücke die Systeme für alle Nutzer – auch jene, die nicht überwacht werden – unsicherer machen.

Zweckmäßigkeit

Bearbeiten

Es wird für unwahrscheinlich gehalten, dass die Zielsetzung der Bekämpfung von Terrorismus oder organisierter Kriminalität mit Online-Durchsuchungen wirklich erreicht werden kann, da gerade diese Personengruppen sich mutmaßlich professionell gegen staatliche Zugriffe schützen können und werden. Andererseits wohnt dieser „Rüstungswettlauf“ allen Maßnahmen der Staatsgewalt inne.

Es bleibt auch zu bedenken, dass von Seiten der überwachenden Behörde nicht überprüfbar ist, ob die Govware von einem technisch begabten Kriminellen erkannt und manipuliert wurde. In diesem Fall könnte diese gefakte Daten an die Behörde übermitteln. Im Gegensatz zur herkömmlichen Telefonüberwachung wäre dieser Eingriff nicht einmal im Nachhinein nachweisbar. Der Einsatz zur Beweisgewinnung ist daher fragwürdig. Auch die Verhältnismäßigkeit wird in Frage gestellt, da diese Software nur bei technisch unbegabteren Terroristen unentdeckt bliebe, und bei diesen reichten herkömmliche Ermittlungsmethoden. Diese Notwendigkeit hofft der Gesetzgeber durch die explizite Bewilligung jeder Überwachung zu berücksichtigen.

Missbrauchspotenzial

Bearbeiten

Weiterhin ist auch ein Missbrauch der verschiedenen Überwachungsbefugnisse nicht ausgeschlossen. So wurde beispielsweise im August 2007 bekannt, dass ein Mitarbeiter des deutschen Bundesnachrichtendienstes die technischen Möglichkeiten zu privaten Zwecken nutzte.[64] Auch ist nicht auszuschließen, dass die technischen Möglichkeiten der Überwachungssoftware dafür missbraucht werden, Beweismittel zu fälschen. So könnte vom Opfer unbemerkt (und im Nachhinein nicht nachweisbar) kompromittierendes Material (etwa Kinderpornografie oder gefälschte Anschlagspläne) auf seinen Rechner aufgespielt werden. Diese Gefahr kann von Regierungen selbst ausgehen (etwa in Unrechtsstaaten), aber auch etwa von kriminellen Geheimdienst-Mitarbeitern.

Selbst ohne konkrete Missbrauchsintention von den Mitarbeitern der Behörden stellt die Existenz einer Einrichtung, die Zugriff auf Informationssysteme der Bürger oder Organisationen hat, eine erhebliche Schwächung der nationalen IT-Sicherheit dar, da böswillige Dritte sich Zugang zu dieser Einrichtung verschaffen könnten, und diese dann selbst zur Ausspähung nutzen könnten. Insbesondere für die Wirtschaft stellt das ein ernstzunehmendes Risiko dar. Daher muss die Behörde – so wie jeder Softwarevertreiber – die Govware regelmäßig validisieren und updaten, um ihre Funktionsfähigkeit sicherzustellen. Es sind also auch nach der Installation weitere Eingriffe in die Privatsphäre notwendig.

Die Haftung für Schäden, die durch den nicht mit den Betreibern abgesprochenen Eingriff in das Informationssystem entstehen, ist ungeklärt, sodass Betroffene unter Umständen erheblichen wirtschaftlichen Schaden erleiden können, der nicht kompensiert wird. Hersteller von Software schließen üblicherweise die Haftung für Schäden, die durch den Eingriff Dritter in ihre Software verursacht wird, aus, sodass die durchsuchenden Behörden selbst bei Kenntnis aller verwendeter Software auf dem Zielsystem, was nur durch eine vorherige Beschlagnahme und vollständige Untersuchung des Systems gewährleistet werden könnte, immer noch vor dem Problem stünden, die Durchsuchungslösung mit allen beteiligten Softwareherstellern absprechen zu müssen, um derartige Schäden auszuschließen.

Siehe auch

Bearbeiten

Materialien

Bearbeiten

Literatur

Bearbeiten
Bearbeiten

Einzelnachweise

Bearbeiten
  1. Sophos: Wir werden auch staatliche Trojaner stoppen. In: internet.com. 6. Februar 2007, archiviert vom Original am 30. April 2007; abgerufen am 14. Februar 2016.
  2. Meldung. heise.de, 8. Oktober 2006
  3. Sophos: Wir werden auch staatliche Trojaner stoppen. de.internet.com
  4. Maik Bunzel: Der strafprozessuale Zugriff auf IT-Systeme. Eine Untersuchung aus technischer und verfassungsrechtlicher Perspektive. Logos Verlag Berlin GmbH, Berlin 2015, ISBN 978-3-8325-3909-2, S. 45 (459 S.).
  5. Konrad Lischka: Online-Durchsuchungen: Bundes-Trojaner sind spähbereit. In: Spiegel Online. 28. August 2007, abgerufen am 14. Februar 2016.
  6. Dirk Fox: Realisierung, Grenzen und Risiken der „Online-Durchsuchung“ (PDF; 317 kB). In: DuD 11/2007, S. 827–834
  7. a b c „Bundestrojaner“ heißt jetzt angeblich „Remote Forensic Software“. heise online, 3. August 2007.
  8. a b c Erich Möchel: „Bundestrojaner 2.0“ mit neuen technischen Widersprüchen. In fm4.ORF.at, 26. Februar 2018.
  9. Benjamin Derin, Sebastian Golla: Polizei darf Staatstrojaner nutzen, aber oft nicht installieren Netzpolitik.org, 18. Mai 2019
  10. Empörung über Trojaner-Pläne. In: netzeitung.de. 29. August 2007, archiviert vom Original am 13. Oktober 2011; abgerufen am 14. Februar 2016.
  11. Robert C. Newman: Computer Security – Protecting digital Resources; Februar 2009, ISBN 978-0-7637-5994-0, Auszug Seite 49: „Backdoor software tools allow an intruder to access a computer using an alternate entry method. Wheras legitimeate users log in through front doors using a userid and password, attackers use backdoors to bypass these normal access controls.“, books.google.de (komplette online-Einsicht in den zitierten Auszug); Windows Vista Security; O’Reilly Verlag, 2007, ISBN 978-3-89721-466-8, Auszug Seite 105: „Ein Backdoor ist eine Hintertür zu einer Anwendung, ein versteckter Zugang zu einem Computer oder eine Abkürzung durch einen Autorisierungsmechanismus“; books.google.de (komplette online-Einsicht in den zitierten Auszug).
  12. Fragenkatalog des Bundesministeriums der Justiz. (PDF; 283 kB) Bundesministerium des Innern, 22. August 2007, S. 2, abgerufen am 14. Februar 2016.
  13. Christian Rath: Am Computer des Täters ansetzen. Interview mit BKA-Chef Ziercke. In: taz.de. 26. März 2007, abgerufen am 14. Februar 2016.
  14. Detlef Borchers: Bürgerrechtler diskutieren mit BKA-Chef über Online-Durchsuchung. In: heise.de. 22. September 2007, abgerufen am 14. Februar 2016.
  15. Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens, BGBl. I S. 3202 (pdf), BT-Drs. 18/11277 (pdf)
  16. Das Bundeskriminalamt und das gehackte, Drucksache 18/5779 Hacking Team. (PDF; 173 kB) Deutscher Bundestag, 17. August 2015, abgerufen am 23. Juni 2017.
  17. Stellungnahme zum Referentenentwurf eines Gesetzes zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens. Deutscher Richterbund e. V., Juni 2017, archiviert vom Original am 17. August 2017; abgerufen am 23. Juni 2017.
  18. Online-Durchsuchung: Ist die Festplatte eine Wohnung? Heise Online, 25. Juli 2007
  19. BGHSt 51, 211.
  20. Drucksache 16/6885 Antwort der Bundesregierung auf die Kleine Anfrage vom 30. Oktober 2007 (PDF; 81 kB).
  21. Drucksache 16/7279 Antwort der Bundesregierung auf die Nachfrage zur Bundestagsdrucksache 16/6885 (PDF; 74 kB)
  22. dipbt.bundestag.de (PDF; 211 kB).
  23. Bundesverfassungsgericht: Übersicht für das Jahr 2019 Zweiter Senat, Nr. 26
  24. Skeptiker nicht überzeugt. SPÖ und ÖVP sind zufrieden. In: ORF.at. 17. Oktober 2007, archiviert vom Original am 19. Oktober 2007; abgerufen am 17. Oktober 2007.
  25. a b Peter Mühlbauer: Österreichische Piratenpartei fordert Stopp des heimischen Staatstrojaners: DigiTask lieferte seine umstrittene Überwachungssoftware auch in die Alpenrepublik. In: Heise online. 12. Oktober 2011, abgerufen am 13. Oktober 2011.
  26. Emil Bobi: Trojanische Sitten. In: profil.at. Abgerufen am 20. Juli 2021.
  27. BMJ: 192/ME (XXV. GP) - Bundesgesetz, mit dem die Strafprozessordnung 1975 und das Staatsanwaltschaftsgesetz geändert werden:. In: Österreichisches Parlament. Abgerufen am 31. März 2016.
  28. Mag. Barbara Wimmer: Staatstrojaner ist ein Einfallstor für Kriminelle. In: Futurezone.at. Abgerufen am 8. April 2016.
  29. 192/ME (XXV. GP) - Strafprozessordnung 1975, Staatsanwaltschaftsgesetz, Änderung. In: www.parlament.gv.at. Abgerufen am 21. Juli 2016.
  30. Justizministerium zum Staatstrojaner: "Nehmen Kritik ernst". Abgerufen am 21. Juli 2016.
  31. Nationalrat beschließt Sicherheitspaket mit Bundestrojaner. Parlamentskorrespondenz Nr. 443 vom 20. April 2018 (auf parlament.gv.at).
  32. Bundestrojaner: Verfassungsgerichtshof kippt türkis-blaues Überwachungspaket. Abgerufen am 10. Juni 2021 (österreichisches Deutsch).
  33. Peter Mühlbauer: Schweizerische Piratenpartei fordert Aufklärung über möglicherweise illegalen Staatstrojanereinsatz: Die Firma DigiTask lieferte nach eigenen Angaben auch in die Eidgenossenschaft. In: Heise online. 13. Oktober 2011, abgerufen am 13. Oktober 2011.
  34. a b Schweizer Behörden schnüffeln mit Spionage-Software, Der Bund, 12. Oktober 2011
  35. Nico Ruffo: Schweizer Behörde bestätigt Verwendung von Trojanern. In: Schweizer Fernsehen. 13. Oktober 2011, abgerufen am 13. Oktober 2011.
  36. «Staatstrojaner» im Fall Stauffacher eingesetzt, Neue Zürcher Zeitung vom 15. Oktober 2011
  37. Art. 280 der Schweizerischen Strafprozessordnung vom 5. Oktober 2007 (Strafprozessordnung, StPO, SR 312.0)
  38. Peter Mühlbauer: Staatstrojaner» im Fall Stauffacher eingesetzt: Bundesanwaltschaft spioniert im Computer der Zürcher Aktivistin. In: Neue Zürcher Zeitung. 13. Oktober 2011, abgerufen am 13. Oktober 2011.
  39. Martin Steiger: Bundestrojaner ohne Rechtsgrundlage in der Schweiz.
  40. Laufende Vernehmlassungen und Anhörungen. Internetauftritt der Bundesbehörden, abgerufen am 24. Juni 2010.
  41. PROJET DE LOI d’orientation et de programmation pour la performance de la sécurité intérieure. 8. Februar 2011, abgerufen am 28. Februar 2011 (französisch).
  42. Stefan Krempl, Volker Briegleb: Frankreich erhält Websperren ohne Richtervorbehalt. In: heise online. 9. Februar 2011, abgerufen am 28. Februar 2011.
  43. Computer Misuse Act 1990 (c. 18). Office of Public Sector Information; abgerufen am 5. Januar 2009.
  44. Regulation of Investigatory Powers Act 2000. Office of Public Sector Information; abgerufen am 5. Januar 2009.
  45. Council Conclusions on a Concerted Work Strategy and Practical Measures Against Cybercrime. (PDF; 157 kB) Principaux résultats du Conseil justice affaires intérieures, 2987th Justice and Home Affairs Council meeting. 27.-28. November 2008.
  46. Police set to step up hacking of home PCs, Times, 4. Januar 2009.
  47. Government plans to extend powers to spy on personal computers, Telegraph, 4. Januar 2009.
  48. Maarten Van Horenbeeck: Targeted Attacks: Fallbeispiel Falun Gong. „Matrix“, Ö1, Bericht auf Futurezone, Februar 2008
  49. Maarten Van Horenbeeck: Crouching Powerpoint, Hidden Trojan, An analysis of targeted attacks from 2005 to 2007, zugehörige Präsentation (PDF; 2,5 MB) CCC, 2007.
  50. Titan Rain – how Chinese hackers targeted Whitehall. In: The Guardian, 2007
  51. Polizei hackt alle elf Tage mit Staatstrojanern. In: netzpolitik.org. 22. August 2023, abgerufen am 8. November 2023.
  52. Polizei will Staatstrojaner vor allem gegen Drogen einsetzen. In: netzpolitik.org. 17. September 2018, abgerufen am 8. November 2023.
  53. Zygmunt Bauman: Flüchtige Moderne. Edition Suhrkamp, Frankfurt am Main 2003 – Die Überwachung der Gesellschaft in der Moderne unterlag nach Bauman lokalen, physischen, räumlichen und zeitlichen Bedingungen. Diese Form der Macht charakterisiert das Panopticon.
  54. Vergl. z. B. BVT-Affäre in Österreich: Deutscher Verfassungsschutz fürchtet Weitergabe von Geheimdienstdaten. Alexander Fanta in: netzpolitik.org, 21. März 2018.
  55. a b Zitat aus Bundesregierung Österreich: Erläuterungen zu 17 d.B. Zur Regierungsvorlage 17 d.B./XXVI. GP zum Strafprozessrechtsänderungsgesetz 2017, 22. Februar 2018, S. 2, vierter resp. letzter Absatz (pdf, auf parlament.gv.at).
  56. Virenprogramme erkennen den Staatstrojaner. Spiegel Online, 10. Oktober 2011
  57. tagesschau: „Der Bundestrojaner ist nicht vorstellbar“ (Memento vom 14. Februar 2016 im Internet Archive)
  58. Hacken für den Staat. In: Die Zeit, Nr. 21/2007
  59. Digitaler Lauschangriff – Bundestrojaner im Computer. (Memento vom 15. Dezember 2006 im Internet Archive) sueddeutsche.de
  60. Bundestrojaner: Geht was – was geht: Technische Optionen für die Online-Durchsuchung. heise.de
  61. Der Staat als Einbrecher – Heimliche Online-Durchsuchungen sind möglich. Telepolis
  62. Angriff auf die Ahnungslosen. Spiegel Online
  63. Vergl. Bundestrojaner kaum angreifbar. Petra Tempfer in: Wiener Zeitung online, 19. März 2018, Abschnitt Überwachung der Überwachung.
  64. Beamter unter Verdacht. In: Berliner Zeitung, 31. August 2007.