Kommentar: #Trojanerfüralle und niemanden interessiert´s

Wir sind digital. Jeder besitzt ein Smartphone, einen Rechner, vielleicht auch das ein oder andere IoT-Gerät. Auf diesen Geräten sind teilweise intimste Geheimnisse gespeichert. Gespräche, die nur mich und mein Gegenüber etwas angehen. Nun – das könnte sich jetzt ändern. Oder besser: Hat sich jetzt schon geändert.

Am 20. Juni haben sich die Koalitionsfraktionen von CDU/CSU und SPD auf einen Änderungsantrag einem Gesetzentwurf geeinigt, mit dem das Strafverfahren „effektiver und praxistauglicher“ werden werden soll. Wie Heise.de unter Berufung auf Netzpolitik.org berichtet, wurden mit dem Antrag umfangreiche Rechtsgrundlagen für die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) sowie  die heimliche Online-Durchsuchung in der Strafprozessordnung (StPO) geschaffen.

Was heißt das?

Was sperrig klingt, bedeutet leider nichts anderes, als das Staatstrojaner zu einem gängigen Instrument bei der Verfolgung von Kriminalität wird. Klingt nicht schlimm, oder? Nun ja – die Polizei darf nun Internet-Telefonate (Skype, etc.) sowie die Kommunikation über Messenger überwachen, sobald einer der Tatbestände aus dem weiten Straftatenkatalog aus Paragraf 100a der Strafprozeßordnung (StPO) gegeben ist. Dieser beinhaltet unter anderen Straftaten wie Mord und Totschlag, aber eben auch Computerbetrug, Sportwettenbetrug, Steuerhinterziehung und, und, und. Natürlich muss der Verdächtige nicht über die Schritte informiert werden. Auch das macht Sinn. Schließlich würde wohl niemand sein Telefon oder Laptop hergeben, damit die Polizei einfach mal eine Überwachungssoftware aufspielen kann. Durch den Trojaner soll es den Behörden ermöglicht werden, Inhaltsdaten direkt an der Quelle und damit vor der Verschlüsslung bzw. nachdem sie entschlüsselt wurden, abzugreifen.

Neben der Quellen-TKÜ können Ermittler künftig auch IT-Systeme durchsuchen. Heißt, während bei der Quellen TKÜ „nur“ die laufende Kommunikation überwacht wird, wird hier der ganze Rechner mit sämtlichen Daten ausgespäht. Grundlage dafür ist der Paragraf 100c StPO, der effektiv die Grundlage für die akustische Komplettüberwachung, auch bekannt unter dem „großen Lauschangriff“ regelt.

Sowohl die Quellen-TKÜ als auch die heimliche Online-Durchsuchung brauchen die Genehmigung eines Richters.

Klingt alles nicht schlimm, oder?

Jetzt wird sich jeder denken: Ich bin davon nicht betroffen. Schaut man sich allerdings mal die Zahlen an, wie oft beispielsweise die TKÜ im Jahre 2015 angeordnet wurden, kann es einem schon etwas anders werden. Wie das Bundesamt für Justiz im Sommer 2016 veröffentlicht hat, lag die Zahl der Erst- und Verlängerungsanordnungen bei 22.590. Zudem: Im Rahmen der Erhebung von Verkehrsdaten gemäß § 100g StPO wurden 2015 bundesweit in 16.117 Verfahren Überwachungsmaßnahmen angeordnet. Die Anzahl der Erst- und Verlängerungsanordnungen lag im Jahr 2015 mit 27.164 um 19,7 Prozent höher als im letzten Jahr (22.701).

Die Zahlen zeigen deutlich, dass die Ermittler sehr wohl gebrauch der TKÜ machen. Dass die Zahl abnimmt, ist möglich. Kann aber auch weiterhin zunehmen.

Und ja, sicherlich denken jetzt immer noch genug Menschen, dass sie nie von der Überwachung betroffen sind. Doch die Art und Weise, wie die neue Quellen-Telekommunikationsüberwachung und die heimliche Online-Durchsuchungen zur Strafverfolgung ausgeweitet wurden, sollte jedem zu denken geben. Denn es gab im Vorfeld keine öffentliche Diskussion. Der Bundesrat wurde durch einen verfahrenstechnischen Trick einfach übergangen. Und was einmal funktioniert hat, kann im schlimmsten Fall wieder funktionieren. Und wer weiß, welchen Verdacht die Behörden dann gegen einen erheben. Vielleicht reicht dann schon ein falsches Wort oder der Verdacht auf weniger schlimme Straftaten?

Immer noch nicht schlimm genug?

Die neuen Verfahren machen aber auch noch eine weitere Ebene auf. Denn wie schon gesagt: Niemand wird den Behörden seinen Rechner oder sein Smartphone freiwillig geben, um sich einen Trojaner aufspielen zu lassen. Welche Möglichkeiten bleiben also? Die Antwort: Sicherheitslücken. Und da wird die Erinnerung an „WannaCry“ wieder richtig wach. Auf Grund einer Sicherheitslücke wurden in hunderten Ländern Rechner mit der Erpresser-Software „WannaCry“ infiziert. Dabei wurde eine Sicherheitslücke angegriffen, die sich die NSA für seine Überwachung aufgehoben hatte. Der Verdacht, dass deutsche Behörden ähnlich vorgehen, ist da leider nicht weit weg. Nur setzen sie damit eigentlich die ganze Welt einem extrem großen IT-Risiko aus.

Und auch die Frage, welche Trojaner eingesetzt werden, ist nicht irrelevant. Realistisch gesehen sind die deutschen Behörden nur bedingt in der Lage, eigene Überwachungssoftware zu entwickeln. Laut Heise.de haben die IT-Experten vom BKA innerhalb von drei Jahren einen Bundestrojaner entwickelt, der beispielsweise Messenger-Dienste nicht abhören kann. Berichten zufolge ist damit nur eine Quellen-TKÜ von Voice over IP (VoIP) über Skype auf Desktop-Rechnern mit Windows möglich. Alle Apple und Linux-Nutzer sind damit sicher. Zumindest sind sie es so lange, bis der Staat sich nicht einfach bei externen Herstellern die passende Software kauft. Und dann geht es erst so richtig los. Denn oft ist der Quellcode der Software nicht einsehbar. Keiner weiß also, was der Trojaner vielleicht noch macht. Gibt es eine Garantie, dass er beispielsweise nur die laufende Kommunikation überwacht? Wer versichert, dass die Daten wirklich nur an das BKA weitergegeben werden und nicht sonst wohin in die Welt wandern? Schon 2009 gab es einen Fall, in dem ein Bundestrojaner bei weitem mehr konnte, als er eigentlich sollte. Wie n-tv.de 2011 schrieb, stellte der Chaos Computer Club damals fest, dass die untersuchten Trojaner „nicht nur höchst intime Daten ausleiten“ könnten, sondern auch „eine Fernsteuerungsfunktion zum Nachladen und Ausführen beliebiger weiterer Schadsoftware“ bieten würden.

Und wer versichert, dass Trojaner „nur“ auf dem Laptop oder dem Smartphone installiert werden? Die Online-Durchsuchung erlaubt durchaus auch den Zugriff auf ganze Netzwerke. Und was wäre da nicht schöner als ein Zugriff auf das smarte Zuhause? Amazon Echo beispielsweise ist perfekt für einen großen Lauchangriff geeignet. Oder vielleicht auch der smarte Fernseher? Alles, was ein Mikro hat, kann abgehört werden. Und die Tatsache, dass es noch nicht flächendeckend abgehört wird, liegt nicht daran, dass es nicht gewollt ist. Der Staat ist dazu einfach noch nicht in der Lage.

Warum schreibe ich diesen Kommentar?

Sicherlich – die Quellen-TKÜ oder die Online-Überwachung hat wenig bis gar nichts mit dem Online-Handel zu tun. Aber sie ist wichtig. Es geht hier um Überwachung einer Gesellschaft. Und auch wenn die Maßnahmen jetzt noch durch einen richterlichen Beschluss abgesegnet werden müssen, heißt es nicht, dass es das in Zukunft noch muss. Und ein weiterer Punkt der mich zum Nachdenken bringt, ist die Tatsache, dass sich Ermittler mit den Einsatz von Trojanern genauso vorgehen wie Cyberkriminelle. Soll der Staat die Bürger nicht eigentlich davor schützen?

Was mir Hoffnung gibt, ist die Tatsache, dass jetzt schon klar ist, dass die ganze Geschichte noch vor dem Bundesverfassungsgericht landen wird. Schon kurz nach dem Beschluss des Bundestags hat beispielsweise die Gesellschaft für Freiheitsrechte als erste Organisation angekündigt,  eine Verfassungsbeschwerde gegen das Vorhaben zu prüfen.