Verfassungsklage gegen Staatstrojaner
7. Dezember 2020Auf der Wunschliste von Geheimdiensten steht er schon lange: der Staatstrojaner. Was putzig klingt, ist in Wirklichkeit ein Computer-Virus. Aus Sicht des Bundesnachrichtendienstes (BND), des Bundesamtes für Verfassungsschutz (BfV) und des Militärischen Abschirmdienstes (MAD) ein gutes Virus. Denn mit seiner Hilfe können die Sicherheitsbehörden heimlich live mitlesen, wenn Schwerstkriminelle und Terrorristen in Messenger-Diensten wie Whatsapp, Signal oder Telegram Nachrichten eintippen.
Bislang dürfen sich Verdächtige relativ sicher und unbeobachtet fühlen, weil ihre Nachrichten verschlüsselt werden, bevor sie gesendet werden. Entschlüsselt werden sie erst wieder, wenn sie beim Empfänger eintreffen. Diese sogenannte Ende-zu-Ende-Verschlüsselung bereitet den deutschen Geheimdiensten schon seit vielen Jahren schlaflose Nächte. Deshalb sind sie froh, wohl schon bald die Wunderwaffe namens Staatstrojaner in den Händen halten zu können. Damit wären sie endlich in der Lage, rechtzeitig Informationen abzugreifen.
In Hamburg ist der Staatstrojaner schon erlaubt
Die von der Bundesregierung bereits im Oktober beschlossene Gesetzesnovelle muss allerdings noch vom Parlament beschlossen werden. Davor warnen jedoch die oppositionellen Grünen und Linken, Datenschützer und Bürgerrechtsorganisationen. Wobei sie im begründeten Einzelfall keinesfalls gegen Überwachung mit modernster Technik sind. "Wir streiten nicht ab, dass der Staat in bestimmten Situationen die Möglichkeit haben muss, auch vertrauliche und verschlüsselte Kommunikation mitzulesen", betont Bijan Moini von der Gesellschaft für Freiheitsrechte (GFF).
Der Jurist hält die Pläne der Regierung aus Konservativen (CDU/CSU) und Sozialdemokraten (SPD) allerdings für viel zu vage. Deshalb sind sie nach seiner Überzeugung auch eine Gefahr für die Allgemeinheit. Denn als Vorbild dient dem Bund offenbar das, was der Verfassungsschutz im Stadtstaat Hamburg bereits seit April 2020 machen darf: Staatstrojaner unbemerkt in Smartphones einschleusen, ohne sich diese Manipulation von einem Gericht genehmigen zu lassen.
Auch der Datenschutzbeauftragte schlägt Alarm
Mit dieser hohen Hürde wurde bislang deutschlandweit garantiert, dass Eingriffe in die Privatsphäre nur in seltenen Ausnahmefällen und vor allem gut begründet möglich waren. Weil die Hamburger Regelung aus Sicht der Kritiker ein rechtsstaatlicher Dammbruch ist, reichte die GFF vor kurzem Klage beim Bundesverfassungsgericht in Karlsruhe ein. Es ist nicht die erste. Hauptkritikpunkt: Es sei überhaupt nicht definiert, "wann ein Trojaner eingesetzt werden darf", bemängelt Bijan Moini.
Heftige Kritik kommt auch vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Ulrich Kelber. Gerichte hätten einen deutlichen Reformbedarf in den Gesetzen der Nachrichtendienste aufgezeigt, sagt der SPD-Politiker. Dabei dürfte er vor allem an das BND-Gesetz denken, das vom Bundesverfassungsgericht im Mai 2020 für verfassungswidrig erklärt wurde. Statt dringende Reformen anzugehen, "sollen nun neue Überwachungsmöglichkeiten geschaffen werden".
Neuer BND-Gesetzentwurf noch im Dezember
Kelber fordert ein "Sicherheitsgesetz-Moratorium" und eine unabhängige wissenschaftliche Analyse der bestehenden Gesetze. Anscheinend vergeblich, denn schon Mitte Dezember will die Bundesregierung eine Novelle für das BND-Gesetz präsentieren. Der vom Parlament gewählte ranghöchste deutsche Datenschützer beurteilt die ganze Entwicklung skeptisch: "Es besteht die Gefahr, dass das Ausmaß der staatlichen Überwachung in der praktischen Anwendung das für eine Demokratie erträgliche Maß übersteigt."
So schätzen es auch Journalisten ein, die sich der Verfassungsklage gegen den Staatstrojaner angeschlossen haben. Einer von ihnen ist Sebastian Friedrich, der freiberuflich aus Hamburg unter anderem für den Norddeutschen Rundfunk (NDR) arbeitet. Wenn er über die militante Rechte schreibe, sei er auch auf Informationen etwa aus der Antifa-Bewegung angewiesen. "Durch den Geheimdiensttrojaner ist der für meinen Beruf so wichtige Informantenschutz aber gefährdet."
Journalisten sehen Gefahr für die Pressefreiheit
Wie schnell man unter Verdacht geraten kann, hat Friedrich beim G-20-Gipfel 2017 in Hamburg am eigenen Leibe erfahren. Die dafür bereits erteilte Akkreditierung wurde ihm wieder entzogen. Dagegen wehrte sich der NDR-Journalist gerichtlich. Dabei sei herausgekommen, dass er aufgrund von "sehr vagen Informationen" des Berliner Verfassungsschutzes vom Bundespresseamt für einen "potenziellen Gefährder" gehalten worden sei.
Die Gesellschaft für Freiheitsrechte will mit der von ihr koordinierten Verfassungsklage aber auch generell den Blick auf das Gefahrenpotenzial von Trojanern schärfen. Um ihn heimlich zu platzieren, werden Sicherheitslücken in Betriebssystemen von Computern ausgenutzt. Solche Lücken bestünden aber nicht nur bei verdächtigen Personen, sagt GFF-Jurist Moini, sondern in Millionen anderen IT-Systemen auf der ganzen Welt. Wenn der Staat eine Sicherheitslücke finde und das Wissen für sich behalte und nicht dem Software-Hersteller melde, "dann gefährdet er damit die IT-Sicherheit von uns allen".
Das Computer-Virus "WannaCry" als warnendes Beispiel
Das ist kein theoretisches Szenario, sondern tatsächlich schon passiert. Moini erinnert an das 2017 bekannt gewordene Virus "WannaCry". Damit wurden weltweit Computer von großen Unternehmen infiziert - privaten und staatlichen. Betroffen waren unter anderem die Autohersteller Renault in Frankreich, Nissan in Japan, die Deutsche Bahn und das britische Gesundheitssystem. Für die Freigabe der lahmgelegten Computer verlangten die unbekannten Täter Geld in der Crypto-Währung Bitcoin.
Ob tatsächlich Geld geflossen ist, blieb unklar. Offizielle Bestätigungen gab es jedenfalls keine. Wie groß die Bedrohung in Deutschland war, darüber lässt sich nur spekulieren. Ernst genommen wurde sie auf jeden Fall, sonst hätte das Bundeskriminalamt wohl nicht ermittelt.
Der Präsident des Bundesamts für Sicherheit in der Informationstechnik, Arne Schönbohm, zeigte sich damals äußerst besorgt: Die Angriffe zeigten, "wie verwundbar unsere digitalisierte Gesellschaft ist". Sie seien ein erneuter Weckruf für Unternehmen, "IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen". Ein gut gemeinter Rat, der allerdings nur hilft, wenn erkannte Schwachstellen von Computer-Programmen kein Geheimnis bleiben. Aber genau das passierte beim "WannaCry"-Virus, das eine Sicherheitslücke in Microsoft-Betriebssystemen ausnutzte.
Der US-Geheimdienst NSA kannte die gefährliche Sicherheitslücke
Entdeckt worden war es vom US-Geheimdienst NSA (National Security Agency), der sein Wissen aber gut fünf Jahre für sich behielt. Bis es von Hackern geklaut wurde. Die USA und andere westliche Staaten beschuldigten damals China, Nordkorea und Russland, hinter dem Diebstahl und den anschließenden Attacken zu stecken. Rechtlich und moralisch mögen Welten zwischen den Verantwortlichen für "WannaCry" einerseits und dem Staatstrojaner anderseits liegen - rein technisch betrachtet stammen sie aus dem gleichen Baukasten und funktionieren nach dem gleichen Prinzip.