© F.A.Z.
Bundestrojaner, Landestrojaner? Jedenfalls gibt es Staatstrojaner, die Computer (und mehr) umfangreich ausspähen können. Ist das ein Skandal? Nein, das darf der Staat. Nicht anderes hat das Bundesverfassungsgericht in seinem Urteil zur Online-Durchsuchung im Jahr 2008 entschieden: Wenn Anhaltspunkte einer konkreten Gefahr etwa für Leib, Leben oder Freiheit der Person bestehen, ist auch die „heimliche Infiltration eines informationstechnischen Systems“ zulässig.
Die Nutzung des Systems kann überwacht, seine Speichermedien dürfen „ausgelesen“ werden. Solch eine Durchsuchung ist nach Karlsruher Ansicht auch möglich, wenn sich noch gar nicht feststellen lässt, ob eine Gefahr in naher Zukunft eintritt. Die Maßnahme muss aber grundsätzlich ein Richter anordnen. Und der Kernbereich privater Lebensgestaltung ist grundsätzlich zu schützen.
Aber die Maßnahme als solche ist erlaubt. Damit nahm das Bundesverfassungsgericht die Sorgen der Sicherheitsbehörden ernst. Das Bundeskriminalamt hob etwa hervor, es gehe darum, im Wettlauf mit Kriminellen einen „digitalen Quantensprung aufzuholen“. Die klassischen Eingriffsmethoden reichten im Netz nicht mehr aus. Dem hat sich das Bundesverfassungsgericht angeschlossen - aber eben nur in engen Grenzen.
Selbstschutz ist kaum möglich
Allerdings ist auch den Verfassungsrichtern bewusst, dass der Schutz des persönlichen Kernbereichs bei der Datenerhebung schwierig ist. Der Einzelne könne solche Zugriffe „zum Teil gar nicht wahrnehmen, jedenfalls aber nur begrenzt abwehren“. Schon vor drei Jahren haben also die Karlsruher erkannt: Jeder kann hier zugreifen; Selbstschutz ist kaum möglich. Die überkommenen Grundrechte stoßen an eine Grenze, vor allem das Fernmeldegeheimnis. Denn das schützt nur die laufende Telekommunikation. Karlsruhe sah hier eine Schutzlücke - und erfand deshalb ein neues Grundrecht: War schon früher das Grundrecht auf informationelle Selbstbestimmung aus dem Persönlichkeitsrecht abgeleitet worden, so nun das Recht auf „Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“.
Der Grund für dieses Grundrecht tritt nicht erst heute zutage: Ist man erst einmal in ein System eingedrungen, um die Telekommunikation zu überwachen, so besteht die Möglichkeit, das ganze System auszuspähen: Erfasst werden kann der Inhalt abgelegter Dateien, ja das Verhalten in der eigenen Wohnung. „Dann ist die entscheidende technische Hürde für eine Ausspähung, Überwachung oder Manipulation des Systems genommen“, heißt es in der Entscheidung.
Verhältnismäßiger Einsatz
Das heißt allerdings nicht, dass der Staat auf solche Eingriffe verzichten muss. Doch muss dafür gesorgt werden, dass - durch Gesetz - die Erhebung intimer Daten möglichst ausgeschlossen ist. Bestehen Anhaltspunkte dafür, dass eine Online-Durchsuchung den Kernbereich privater Lebensgestaltung berührt, „so hat sie grundsätzlich zu unterbleiben“. Anders ist es, wenn der Verdacht besteht, dass der Betroffene den Kernbereichsschutz ausnutzt, um eine Überwachung zu verhindern. Falls eine Durchsicht der erhobenen Daten ergibt, dass solche des privaten Kernbereichs darunter sind, müssen sie unverzüglich gelöscht werden. „Eine Weitergabe oder Verwertung ist auszuschließen.“
© F.A.Z.
Die Behörden dürfen also nur zum gesetzlichen festgelegten Zweck und in dessen Rahmen einschreiten, insbesondere muss ein Trojaner-Einsatz verhältnismäßig sein. Bund und Länder haben sich bemüht, hierzu gesetzliche Grundlagen zu schaffen. Wenn also etwa gerichtlich eine Quellen-Telekommunikationsüberwachung erlaubt wird, welche laufende Gespräche - etwa über das Internet - aufzeichnet, dann muss sich die Maßnahme darauf beschränken - und darf nicht zu einer unbegrenzten Online-Durchsuchung ausufern.
Schwerste Kriminalität und Terrorismus
Schon vor den Karlsruher Richterstühlen war entschieden vor (Bundes-)Trojanern gewarnt worden, die einen umfassenden Spähangriff auf den Verdächtigen ermöglichen. Und schon 2008 hoben der damalige Bundesinnenminister Schäuble und der Präsident des Bundeskriminalamtes, Ziercke, hervor, dass Computer nur in eng umgrenzten Ausnahmefällen infiltriert würden. Es gehe keineswegs um die „kleinen User“, sondern um schwerste Kriminalität und um Terrorismus. Im seinerzeit neu gefassten BKA-Gesetz wie auch in Landesgesetzen folgten die Gesetzgeber Karlsruher Vorgaben.
Doch war etwa in Bayern im Rahmen eines Ermittlungsverfahrens wegen des gewerbsmäßigen Handelns mit Betäubungsmitteln 2009 gerichtlich die Überwachung des Internetverkehrs eines Beschuldigten angeordnet worden. Allerdings konnte das dem Computer des Beschuldigten während einer Zoll-Kontrolle auf dem Münchner Flughafen eingepflanzte Programm mehr. Es kopierte im Grunde alles, was auf dem Bildschirm zu sehen war. Das hielt ein Landgericht später für rechtswidrig. Ein solcher „Screenshot-Trojaner“ aus diesem bayerischen Fall ist nun untersucht worden.
Einsatz erlaubt, Missbrauch beschränken
Unklar ist, wie oft genau Trojaner eingesetzt wurden und werden. Die Bundesregierung wies jetzt darauf hin, dass jedenfalls Bundessicherheitsbehörden den gehackten Trojaner nicht verwendet hätten. Die Überwachungssoftware war nach Einschätzung des Bundesinnenministeriums frei erhältlich. Das Programm sei rund drei Jahre alt und vermutlich auf dem internationalen Markt verfügbar. Daher müsse gefragt werden, ob die Software überhaupt von staatlicher Seite eingesetzt worden sei.
Im März 2009 hatte der Bundesnachrichtendienst immerhin 2500 Online-Durchsuchungen zugegeben - gegen Institutionen und einzelne Personen. Zuvor war freilich stets behauptet worden, es handele sich bei der Online-Durchsuchung um eine technisch derart aufwendige Maßnahme, dass sie schon deshalb nur sehr selten vorgenommen werden können. Der deutsche Auslandsgeheimdienst greift zwar in der Regel im Ausland und auf Ausländer zu. Aber deutsche Geheimdienste handeln auch dann nicht ohne rechtliche Beschränkungen. Wenn es um den Kernbereich des Persönlichkeitsschutzes geht, herrscht kein Sonderrecht.
Im rechtlichen Rahmen aber darf der Staat Trojaner einsetzen. Natürlich muss er Missbrauch nach seinen Möglichkeiten beschränken. Hier stellt sich die Frage nach der Sicherheit seiner Systeme, nach dem Standort der Server, nach der Reichweite des deutschen Rechts. Auch andere polizeiliche Maßnahmen können missbraucht werden. Wenn etwa Abhörprotokolle über private Angelegenheiten an die Öffentlichkeit gelangen, ist das ebenfalls ein Skandal. Es macht aber das Abhören von Wohnungen nicht generell rechtswidrig.
Der Begriff „Trojaner“ ist eine Kurzversion von „Trojanisches Pferd“. Er ist also nicht der Bezeichnung für einen Bürger Trojas entlehnt, sondern der List, die den Untergang der Stadt herbeiführte. Die Hellenen bauten ein großes Pferd aus Holz, in dessen Bauch sie sich verbargen. Ahnungslos trugen die Bürger Trojas das Ding hinter ihre Mauern, die Hellenen kletterten heraus und ließen ihr Heer hinein.
Nach dem gleichen Prinzip funktioniert ein digitaler Trojaner: als harmlose oder als nützliche Datei getarnt gelangt die Datei hinter die Sicherungssysteme des angegriffenen Rechners. Darin stecken Angreifer, die sich verschiedener Funktionen des Systems bemächtigen. Anders als bei Odysseus ist die Idee allerdings nicht Zerstörung. Die im Bauch verborgenen Krieger sind eher Spione, die das befallene System durchleuchten und auch als Türöffner funktionieren können: sie können also nicht bloß Informationen heraustragen, die drinbleiben sollen, sondern auch unerwünschte Dateien hereinlassen.
Das Löschen des Trojaners ist oft genauso wenig hilfreich wie das Verbrennen des Pferdes, nachdem die Krieger herausgeklettert sind. Ein Trojaner setzt seine Schädlinge aus, so dass sie unabhängig agieren können. Es gibt Spione, die die über die Tastatur eingegebenen Befehle aufzeichnen und heraustragen, oder solche, die das auf den Bildschirm übertragene Signal aufzeichnen, so dass beobachtet werden kann, was der Nutzer tut. Es gibt Spione, die sich gleich in das Kontrollzentrum des angegriffenen Rechners setzen, so dass sie die Herrschaft über das System übernehmen können.
Trojaner werden über das Netz verbreitet, über Downloads, Emails und besuchte Internetadressen. Sie sind weitaus häufiger als Computerviren und machen über die Hälfte der verbreiteten Schadsoftware aus. Sie können zur Weiterleitung sensibler Daten dienen, den angegriffenen Computer als Strohmann für weitere Aktivitäten agieren lassen, zum Beispiel Cyber-Angriffe, zumeist aber sollen sie den Nutzer auf unerwünschte Websites weiterleiten und Werbung auf seinem Rechner laufen lassen. Der erste bekannte „Trojaner“ verbreitete sich 1975; 1982 benutzten die Amerikaner angeblich schon eine solche Software, um eine russische Gaspipeline ferngesteuert zur Explosion zu bringen. (avk.)
Anwort an Peter Schmidt-Fanderl
Frank Garbe (Frank_Garbe)
- 12.10.2011, 10:38 Uhr
Selbstschutz nicht möglich?
klaus melzer (dotschn)
- 11.10.2011, 15:28 Uhr
nachdem mein kurz zu vor verfasster text auf mir unerklärliche
Weise, verschwunden ist
Klaus K. E. Wagner (KlaKoWa)
- 11.10.2011, 15:09 Uhr
Machtmittel können mißbraucht werden ... werden dadurch aber
nicht ILLEGAL
Peter Schmidt-Fanderl (pxjs56)
- 11.10.2011, 14:49 Uhr
Makulatur Verfassung, bis wann die Daumenschrauben?
Jürgen Vogel (pascht)
- 11.10.2011, 12:43 Uhr
