Zero-Day-Exploits: Staatstrojaner-Klage scheitert vor Bundes­verfassungsgericht

Andreas Frischholz
62 Kommentare
Zero-Day-Exploits: Staatstrojaner-Klage scheitert vor Bundes­verfassungsgericht
Bild: Ivan David Gomez Arce | CC BY 2.0

Eine Verfassungsbeschwerde gegen das Staatstrojaner-Gesetz in Baden-Württemberg hat das Bundesverfassungsgericht als unzulässig zurückgewiesen. Die Kläger bezeichnen das Urteil dennoch als Erfolg, weil die Karlsruher Richter den Umgang mit Sicherheitslücken reglementieren.

Denn bei diesem Fall geht es nicht allgemein um den Staatstrojaner-Einsatz, sondern vielmehr um die Frage, in welchem Umfang Behörden Sicherheitslücken ausnutzen dürfen. Der Vorwurf der Beschwerdeführer: Der Staat dürfe die entsprechenden Zero-Day-Exploits nicht massenhaft horten, weil das gegen das Grundrecht auf Vertraulichkeit und Integrität von IT-Systemen verstoße.

Forderung nach Schwachstellen-Management

Die Beschwerde, die laut einem Spiegel-Bericht unter anderem von der Gesellschaft für Freiheitsrechte, dem Chaos Computer Club Stuttgart (CCCS), Journalisten und einem Provider eingereicht wurde, richtet sich konkret gegen das Polizeigesetz in Baden-Württemberg. Das Ausnutzen von Sicherheitslücken ist im baden-württembergischen Polizeigesetz demnach nicht begrenzt. Somit fehle ein Rechtsrahmen , der „geeignet ist, fatale Fehlanreize für seine Behörden zu vermeiden, die die IT-Sicherheit im Geltungsbereich des Grundgesetzes und darüber hinaus insgesamt unterminieren“.

Die Beschwerde wurde nun vom Bundesverfassungsgericht als unzulässig bezeichnet. Dennoch werten Kläger wie Ulf Buermeyer von der Gesellschaft für Freiheitsrechte das Urteil als Erfolg.

Denn in der Urteilsbegründung heißt es, Behörden können Sicherheitslücken nicht ohne Weiteres ausnutzen, sondern müssen zwischen dem Staatstrojaner-Einsatz und dem Schutz der Bevölkerung abwägen. Der Staat habe demnach die Pflicht, zum „Schutz der Nutzerinnen und Nutzer informationstechnischer Systeme vor Angriffen Dritter auf diese Systeme“ beizutragen.

Es besteht auch kein grundrechtlicher Anspruch auf die Verpflichtung der Behörde, jede unerkannte IT-Sicherheitslücke sofort und unbedingt dem Hersteller zu melden. Die grundrechtliche Schutzpflicht verlangt jedoch eine Regelung darüber, wie die Behörde den Zielkonflikt zwischen dem Schutz informationstechnischer Systeme vor Angriffen Dritter mittels unbekannter IT-Sicherheitslücken einerseits und der Offenhaltung solcher Lücken zur Ermöglichung einer der Gefahrenabwehr dienenden Quellen-TKÜ andererseits grundrechtskonform aufzulösen hat.

Bundesverfassungsgericht

Für den Gesetzgeber besteht daher die Pflicht, den staatlichen Umgang mit Sicherheitslücken rechtlich zu regeln. Das könnte ein Urteil mit Signalwirkung sein, weil noch weitere Verfassungsbeschwerden gegen den Staatstrojaner-Einsatz laufen.

Für den Staatstrojaner-Einsatz in Baden-Württemberg ändert sich vorerst nichts. Diese Beschwerde wurde zurückgewiesen, weil die Beschwerdeführer nicht ausreichend begründen konnten, dass der Staat die Schutzpflicht verletzt. Das Gesetz bleibt also wie gehabt bestehen.

Weitere Klagen laufen

Die Staatstrojaner-Regelung bleibt somit umstritten. So laufen noch weitere Verfassungsbeschwerden gegen das Gesetz, das die Bundesregierung im Jahr 2017 beschlossen hatte. Hinzu kommen Klagen gegen die Polizeigesetze der Länder.

Trotz der laufenden Verfahren wurde der Staatstrojaner-Einsatz in dieser Legislaturperiode nochmals ausgeweitet. Nun können sämtliche deutsche Geheimdienste die entsprechenden Überwachungsinstrumente nutzen. Gegen das Gesetz wurden aber ebenfalls schon Klagen angekündigt.

Das EM-2024-Tippspiel ⚽ auf ComputerBase – heute schon getippt?