Internet-Überwachung: Angst vor dem Kontrollverlust

Andreas Frischholz 75 Kommentare
Internet-Überwachung: Angst vor dem Kontrollverlust
Bild: Transformer18 | CC BY 2.0

Es ist Angst vor dem Kontrollverlust, die den Ausbau der Internet-Überwachung vorantreibt – trotz aller Konsequenzen. Das gilt sowohl für den Umgang mit Verschlüsselungen als auch die Vorratsdatenspeicherung oder das neue BND-Gesetz. Was 2017 relevant wird.

Angst vor dem Kontrollverlust

Was hat sich mehr als drei Jahre nach den Enthüllungen von Edward Snowden getan? Mit Blick auf die Sicherheitsdebatte und den Ausbau der Überwachung nicht allzu viel, es gelten immer noch die altbekannten Muster, dominiert durch die Angst vor dem Kontrollverlust.

Bei den Sicherheitsbehörden ist es insbesondere die Furcht, dass Verdächtige vom Radar verschwinden können – „going dark“ ist das Stichwort, was eng mit der Verbreitung von Verschlüsselungen einhergeht, die seit den Snowden-Enthüllungen immer populärer werden. In den USA führte das zum Streit zwischen Apple und dem FBI, in Deutschland nimmt nun eine neue Behörde die Arbeit auf, um Verschlüsselungen zu knacken. Für Netzaktivisten und Bürgerrechtler ist es hingegen der Ausbau der heimlichen Überwachung, der Sorgen bereitet. Wenn der Staat mit Maßnahmen wie dem Staatstrojaner zum Hacker mutiert und damit im Stillen schnüffelt, lässt sich das öffentlich eben kaum kontrollieren – „going dark“, das gilt auch für den Staat.

Dass die Sicherheitspolitik im Bundestagswahlkampf im Mittelpunkt steht, zeichnet sich nach dem Anschlag von Berlin am 19. Dezember bereits ab. Schon am Tag danach kündigte CSU-Chef Horst Seehofer an, man müsse die „gesamte […] Sicherheitspolitik neu überdenken und prüfen“. Was im Kern heißt: Mehr Überwachung. Dabei wurde schon im letzten Jahr viel getan. Netzpolitik.org bewertet 2016 im Rückblick als Jahr, bei dem der Überwachungsstaat so stark ausgebaut wurde wie lange nicht mehr. Themen wie der Umgang mit Verschlüsselung, die Vorratsdatenspeicherung oder die BND-Überwachung sind allerdings nicht vom Tisch, sondern bestimmen auch dieses Jahr die politische Agenda. Denn die grundsätzlichen Probleme sind immer noch nicht gelöst.

Nächste Runde im Kampf gegen Verschlüsselung

Dass der Staat aufrüstet, war bereits mit den neuen Sicherheitskonzepten klar, die die Bundesregierung im Sommer 2016 nach den Anschlägen von Ansbach und Würzburg beschlossen hat. Insbesondere verschlüsselte Messenger-Dienste wie WhatsApp stehen im Mittelpunkt. So heißt es etwa in den Haushaltsunterlagen des Bundesnachrichtendienstes (BND), die Netzpolitik.org im September veröffentlicht hatte: „Von aktuell weit über 70 verfügbaren Kommunikationsdiensten mit entsprechender Verbreitung“ kann der Geheimdienst „nur weniger als zehn (zumeist ältere) erfassen und inhaltlich erschließen“.

Zitis: Ein Zulieferer für Polizei und Geheimdienste

Die Ansage von Innenminister Thomas de Maizière lautete daher: „Wir brauchen eine Technologieoffensive.“ Im Mittelpunkt steht die neue Behörde Zitis – die zentrale Stelle für Informationstechnik im Sicherheitsbereich. Offiziell lautet die Aufgabe für die bald bis zu 400 Mitarbeiter: Methoden, Produkte und Strategien entwickeln, um Terrorismus und Kriminalität im Internet zu bekämpfen. Kompetenzen bündeln ist der Fortschritt, den sich die Bundesregierung davon verspricht. Es werkelt nicht mehr jede Behörde einzeln vor sich hin, so das Credo. Stattdessen erhalten Polizeibehörden und Geheimdienste eine Art technischen Zulieferer, der etwa Verschlüsselungen knackt oder biometrische Erkennungsverfahren entwickelt. Solche Technologien soll Zitis entweder selbst entwickeln, auf dem freien Markt kaufen oder von Partnerstaaten übernehmen. Wie die entsprechenden Technologien dann im Alltag eingesetzt werden, ist allerdings nach wie vor die Aufgabe der jeweils zuständigen Behörde.

Soweit zumindest die Theorie. In der Praxis ist Zitis allerdings immer noch die große Unbekannte, es lässt sich nicht abschätzen, wo die Reise langfristig hingeht, kritisiert Alexander Sander von der Digitalen Gesellschaft im Gespräch mit ComputerBase. Was nämlich droht, sind Doppelstrukturen. Derzeit entwickelt etwa das Bundeskriminalamt (BKA) den Staatstrojaner. Inwieweit Zitis nun solche Aufgaben übernimmt, lässt sich aber noch nicht sagen. Daneben steht noch der BND, der ohnehin weiter alleine arbeitet.

Befeuert wird das Misstrauen noch durch das Vorgehen des Innenministeriums. Denn die neue Behörde wurde nicht mit einem entsprechenden Gesetz beschlossen. Stattdessen wurde das Budget über den Haushaltsbeschluss bewilligt, was aber die öffentliche Debatte aushebelte. Die wäre aber eigentlich nötig gewesen, Jan Korte von der Linken kritisierte bereits im Sommer: „Man hat den Eindruck, dass die Bundesregierung vor lauter Stellen, Abteilungen, Referaten und gemeinsamen Behördenplattformen nicht mehr durchblickt, wo überall Überwachungstechnik gehortet und angewendet wird.

Probleme beim Überwachen verschlüsselter Messenger-Dienste

Denn untätig sind die deutschen Behörden ohnehin nicht. Wie heikel aber etwa das Überwachen der verschlüsselten Messenger-Dienste in der Praxis ist, verdeutlichte beispielsweise der Fall Telegram, den Motherboard im letzten Jahr recherchierte. Das BKA kaperte im Frühjahr die Konten von Verdächtigen, die Mitglieder einer rechtsextremen Terrorgruppe waren. Was die Überwachung in diesem Fall möglich machte: Im Vergleich zu Messenger-Diensten wie WhatsApp oder Signal sind Gruppen-Gespräche bei Telegram nicht verschlüsselt. So konnte das BKA eine Schwachstelle bei der Registrierung von neuen Geräten ausnutzen. Wenn Telegram-Nutzer ein Smartphone oder Tablet dem Konto hinzufügen, muss das mit einem Code bestätigt werden, der unter anderem per SMS geschickt wird. Den hatte das BKA abgefangen. Ein weiteres Problem war nun noch, dass Nutzer informiert werden, wenn das Konto auf einem weiteren Gerät läuft. Das lösten die Ermittler, indem sämtliche anderen Geräte abgemeldet wurden. Das weckte zwar Misstrauen, weil die Verdächtigen ihre eigenen Geräte nochmals anmelden musste. Am Ende hat es aber geklappt.

Das BKA legitimierte die Überwachung der Telegram-Accounts mit § 100a der Strafprozessordnung. Dort lautet der zentrale Satz: „Auch ohne Wissen der Betroffenen darf die Telekommunikation überwacht und aufgezeichnet werden.“ Nur handelt es sich dabei um ein Gesetz, das noch aus dem letzten Jahrhundert stammt. Die übliche Vorgehensweise vor dem digitalen Zeitalter war: Ermittler klopfen mit einem Gerichtsbeschluss bei den Telekommunikationsanbietern an, die müssen dann die gewünschten Informationen weiterleiten. Nur funktioniert das bei Messenger-Diensten eben nicht mehr ohne weiteres. Entweder, weil die Inhalte mit einer Ende-zu-Ende-Verschlüsselung gesichert sind, sodass nicht einmal die Anbieter darauf zugreifen können. Oder weil es keinen Ansprechpartner für deutsche Behörden gibt, wie es bei Telegram der Fall ist.

Die Frage ist nun, ob § 100a der Strafprozessordnung ausreicht, um Hacker-Angriffe auf Messenger-Dienste zu legitimieren. Vertreter der Sicherheitsbehörden sagen ja, Anwälte und Juristen sind hingegen skeptisch. Denn bei solchen Hacks wird eben nicht nur die Leitung angezapft, sondern direkt das System der Verdächtigen infiltriert - eine andere Hausnummer.

Kein Wunder also, dass die Bundesregierung nachbessern will. Kurz vor Weihnachten berichtete die Bild, dass Justizminister Heiko Maas und Innenminister de Maizière ein neues Gesetz planen, um die Rechtsgrundlage für die Messenger-Überwachung abzusichern.

Auf der nächsten Seite: Staatstrojaner: Behörden-Hacker und das Recht