Internet-Überwachung: Angst vor dem Kontrollverlust

Staatstrojaner: Behörden-Hacker und das Recht

Im Kern sind es bei dem Telegram-Hack dieselben Probleme, mit denen Polizeibehörden auch beim Staatstrojaner kämpfen. Ohnehin ist der Trojaner für deutsche Behörden das Mittel der Wahl, um die verschlüsselte Kommunikation abzuhören, da auf diese Weise keine Hintertüren benötigt werden. Dennoch steht der Einsatz der Späh-Software juristisch auf wackeligen Beinen, spätestens seit dem Urteil des Bundesverfassungsgerichts über das BKA-Gesetz ist klar, dass die Bundesregierung nachbessern muss.

Das gilt etwa für den Kernbereich der privaten Lebensführung, der durch das Grundgesetz geschützt ist, selbst wenn Behörden einen Verdächtigen überwachen dürfen. Nur kann eine Software eben nicht zwischen privaten und relevanten Inhalten trennen. Daher lautet eine Auflage vom Bundesverfassungsgericht, dass insbesondere bei der Online-Durchsuchung erst eine unabhängige Stelle die erbeuteten Daten auswerten muss. Wenn die Prüfer alle sensiblen Informationen aussortiert haben, darf das BKA ran.

Weniger relevant ist das für die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ), die im Vergleich zur umfassenden Online-Durchsuchung ausschließlich auf die Kommunikation der Verdächtigen abzielt. Bei der Quellen-TKÜ geht es also um Skype-Gespräche oder WhatsApp-Nachrichten und E-Mails, die die Ermittler abfangen, bevor die jeweiligen Programme den Inhalt verschlüsseln.

Ungelöst ist aber nach wie vor ein zentrales Dilemma. Regelmäßig erklärt etwa der Chaos Computer Club, dass es sich bei einem Trojaner grundsätzlich um eine Überwachungssoftware handelt, die technisch schlicht nicht in der Lage ist, sich ausschließlich auf die Kommunikation zu beschränken. In diesem Punkt fiel das Urteil des Bundesverfassungsgerichts allerdings enttäuschend für die Netzaktivisten aus. Denn die Richter erklärten: Solange das Gesetz besagt, dass bei einer Quellen-TKÜ technisch sichergestellt werden muss, dass nur laufende Kommunikation abgehört wird, ist das nicht zu beanstanden. „Ob und wie das dann tatsächlich technisch umsetzbar ist, sei nicht eine Frage, mit der sich das Bundesverfassungsgericht zu befassen habe“, sagte Volker Tripp von der Digitalen Gesellschaft bereits im April auf Anfrage von ComputerBase.

Nur findet die technische Kontrolle eben im stillen Kämmerlein beim BKA statt. Es existieren zwar konkrete Leitlinien, wonach etwa mit Quellcode-Analysen von Dritten gewährleistet werden soll, dass die Trojaner den rechtlichen Vorgaben entsprechen. Doch nach dem Desaster des ersten Staatstrojaners, bei dem der Chaos Computer Club in einer Analyse zig Schwachstellen aufzeigte, ist das Vertrauen erodiert. Klagen sind allerdings schwierig, weil es nicht mehr um die rechtliche Grundlage geht. Sondern nur noch um die Frage, ob einzelne Trojaner-Versionen die gesetzlichen Vorgaben erfüllen. Dementsprechend schwierig werden nun die Klagen.

Ungelöstes Dilemma bei den Verschlüsselungen

Neben dem öffentlich kaum zu kontrollierenden Einsatz des Staatstrojaners ist es zudem das klassische Sicherheitsdilemma, das auch für die Spähsoftware gilt. Im Vergleich zu den Hintertüren werden zwar die Verschlüsselungsverfahren nicht direkt geschwächt, dafür nutzen die Behörden aber Schwachstellen in den Systemen aus. Es sind Sicherheitslücken, die auch Kriminelle oder Dritte missbrauchen können. Und welche Folgen weit verbreitete Sicherheitslücken haben können, verdeutlichte erst Anfang Dezember der Angriff auf die Router von Kunden der Deutschen Telekom.

Grundsätzlich wirkt das Vorgehen der Bundesregierung daher wie die Quadratur des Kreises. Auf der einen Seite sollen Sicherheitsbehörden weiterhin die Möglichkeit haben, selbst verschlüsselte Kommunikation zu überwachen. Auf der anderen möchte die Bundesregierung die Verschlüsselung für Bürger und Unternehmen fördern. Deutschland müsse Verschlüsselungsstandort Nr. 1 auf der Welt werden, war das prägende Motto am Anfang dieser Legislaturperiode. Bestätigt wurde das zuletzt mit der Cyber-Sicherheitsstrategie 2016. Dort heißt es: „Eine sichere, vertrauliche, nicht manipulierbare elektronische Kommunikation ist grundlegend für die Wahrnehmung der Kommunikationsrechte, des Rechts auf Privatsphäre und der Persönlichkeitsrechte der Bürgerinnen und Bürger.“

Nur passt das eben nicht mit dem Ausnutzen von Sicherheitslücken zusammen.

Apple vs FBI: Dürfen die das?

Nun verläuft die Debatte in Deutschland noch vergleichsweise gesittet. Eskaliert ist der Streit hingegen Anfang 2016 in den USA, als das FBI per Gerichtsbeschluss forderte, dass Apple die Sicherheitsfunktionen bei dem iPhone von einem der San-Bernardino-Attentäter aushebeln soll. Nötig wäre dafür aber eine spezielle Software, die Apple eigens für das FBI entwickeln müsste – was der Konzern aber rigoros ablehnte. Am Ende fiel der Showdown dann ins Wasser, das FBI kaufte eine Technologie von einem dritten Anbieter, um an die verschlüsselten Daten zu gelangen.

Nochmals aufgeflackert ist das Thema im Oktober. Für einen amerikanischen Geheimdienst soll Yahoo schon im Jahr 2015 eine Software entwickelt haben, um sämtliche eingehenden E-Mails der Nutzer automatisiert nach bestimmten Begriffen zu durchsuchen.

Ungelöst ist nun immer noch die Kernfrage: Können Unternehmen per Gesetz verpflichtet werden, eine spezielle Software für Behörden zu entwickeln, um Schutzmechanismen – wie eben Verschlüsselungen – zu umgehen? Sowohl Sicherheitsexperten als auch die Unternehmen lehnen so etwas strikt ab, weil auf diese Weise stets eine Schwachstelle eingebaut wird, die auch Kriminelle oder fremde Geheimdienste ausnutzen können. Ganz vom Tisch ist der Vorschlag in den USA aber noch nicht.

In Deutschland ist so etwas beim aktuellen Stand der Debatte noch kein Thema. Aktuell existiert ohnehin keine gesetzliche Grundlage, die einen Gerichtsbeschluss legitimieren würde, wie ihn das FBI gegen Apple erhalten hat.