https://www.faz.net/-gqz-8yppz

Aus dem Maschinenraum : Die Tür eintreten und sie offenstehen lassen

  • -Aktualisiert am

Für Sicherheitslücken im IT-Bereich gibt es einen florierenden Markt. Bild: Picture-Alliance

Der Staat will Sicherheitslücken für den Einsatz von Staatstrojanern und Online-Durchsuchungen nutzen, statt sie zu schließen. Rechtmäßigkeit und Verhältnismäßigkeit dieses Plans sind höchst umstritten.

          4 Min.

          Es ist bis heute unbekannt, wer sich den Begriff „Online-Durchsuchung“ einst ausgedacht hat. Als man vor einigen Jahren anfing, darüber zu diskutieren, ob es akzeptabel ist, wenn staatlicherseits das heimliche Durchsuchen eines Computers erlaubt sein soll, prägte dieser Begriff die Vorstellung davon, wie das vollführt werden würde: Vergleichbar einer Hausdurchsuchung sitzt ein Beamter an seinem Schreibtisch und schaut die Daten der Festplatte eines Beschuldigten durch. Findet er Verdächtiges, sichert er die potentiellen Beweismittel.

          Das klingt noch alles geordnet und sauber. Dann sprach sich aber herum, wie ein solcher Staatstrojaner wirklich funktioniert: dass eine „Online-Durchsuchung“ nicht wie in einer Wohnung nach ein paar Stunden vorbei ist, sondern die Software für Wochen oder sogar Monate heimlich auf Computern und Smartphones lungert; dass eine Hintertür dauerhaft im angegriffenen System verankert wird; dass dafür irgendwoher Sicherheitslücken und Spionagesoftware beschafft werden müssen und dass die Verkäufer davon mehr nach Verdächtigen als nach Beamten aussehen.

          Unsere Daten als Geiseln

          Heute leben wir in einer anderen Welt als zu Beginn der Staatstrojaner-Diskussionen: Unsere Kommunikation und sozialen Interaktionen sind weitgehend in portable informationstechnische Systeme ausgelagert. Jeden Tag steht in der Zeitung, mit welchen perfiden Methoden alle möglichen staatlichen und nicht-staatlichen Akteure versuchen, Spionagesoftware auf digitalen Geräten zu hinterlassen. Manche halten unsere Daten als Geiseln, andere klauen unsere Daten und unser Geld, wieder andere trachten nach Geschäftsgeheimnissen, manche wollen sich festsetzen, um unsere Geräte künftig mitzubenutzen. Und dann gibt es noch unzählige Geheimdienste, die Spionage mit solcher Software aus beruflichen Gründen betreiben: die bekanntesten aus Russland, China oder den Vereinigten Staaten.

          Und weil wir das jeden Tag in den Nachrichten lesen müssen und jeder IT-Professionelle aus dem Stand eine halbe Stunde jammern kann, was alles im Argen liegt bei der IT-Sicherheit, ist die Diskussion um die heimliche staatliche „Online-Durchsuchung“ und ähnliche gesetzliche Einfallstore nicht mehr dieselbe wie noch vor ein paar Jahren. Denn über die Anreize, die solche gefährlichen Zustände erst möglich gemacht haben, ist heute weit mehr bekannt. Für Sicherheitslücken gibt es einen florierenden Markt, der dem von physischen Waffen ähnelt: Man redet zwar nicht gern darüber, und auch nicht jeder kann alles Existierende kaufen und verkaufen, aber für viel Geld ist fast alles zu haben – und die Käufer sind oft mit Steuergeldern unterwegs.

          Es geht nicht mehr nur um schwere Verbrechen

          Doch zu diesen Digitalwaffen will die große Koalition nun kurz vor Ende der Legislatur trotzdem greifen – koste es, was es wolle. Noch in diesem Monat soll neben der „Online-Durchsuchung“, die in wenigen Einzelfällen erlaubt wird, noch ein zweiter, leicht kastrierter Staatstrojaner per Gesetz zu einer allgemeinen Ermittlungsmethode aufsteigen und für Dutzende Straftaten zugelassen werden. Um Terrorverdächtige und schwerste Verbrechen geht es bei dieser Änderung der Strafprozessordnung längst nicht mehr, sondern um tägliche Routineermittlungen.

          Deswegen ist die Notwendigkeit, Rechtmäßigkeit und Verhältnismäßigkeit höchst umstritten. Schließlich ist auch das eigens für den Staatstrojaner entwickelte Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität von informationstechnischen Systemen zu beachten. In der Anhörung im Justizausschuss war davon allerdings nicht viel zu merken: Grundrechte haben offenbar weder bei CDU noch SPD Konjunktur.

          Auf dem Markt der Digitalwaffen wird man tief in die Tasche greifen müssen, wenn man dem Vizepräsidenten des Bundeskriminalamts Glauben schenkt. Denn in der Anhörung im Justizausschuss versicherte er, man beschaffe „keine Software von der Stange“, sondern werde nur „Unikate“ für jede einzelne Ermittlungsmaßnahme verwenden. Offenbar ist noch nicht ganz vergessen, warum der letzte Staatstrojaner-Versuch abrupt beendet werden musste.

          Stümperhaft ausgespäht

          Denn es war im Jahr 2011, als ein solcher kastrierter Staatstrojaner in dieser Zeitung seziert wurde. Neben rechtswidrigen Funktionen, die er vorsätzlich programmiert hatte, entsetzte vor allem die technische Schlampigkeit der Umsetzung: Die Befehle an den Staatstrojaner waren unverschlüsselt gesendet worden, sodass jeder Hergelaufene ihn mitnutzen konnte. Um im Bild zu bleiben: Man trat die Tür zur Wohnung ein und ließ sie wochenlang offenstehen. Und die digitalen Beweismittel, die man bei Verdächtigen raustrug, waren auch noch für Dritte einsehbar.

          Die politische Verantwortung für diese technischen Peinlichkeiten beim digitalen Lauschangriff musste nie jemand übernehmen. Stattdessen versprach man Besserung beim staatlichen Trojanisieren. Doch statt Klasse wird nun auf Masse gesetzt: Der Katalog der Straftaten, bei denen ein Staatstrojaner erlaubt sein soll, wird so stark erweitert, dass sich selbst die Bundesdatenschutzbeauftragte nicht mehr in der Lage sah, eine ordentliche juristische Bewertung vorzunehmen. Allerdings hatte man seitens des Justizministeriums auch vergessen, sie rechtzeitig zu involvieren. Vielleicht ist den Ministerialen einfach entfallen, dass wir noch eine Bundesdatenschutzbeauftragte haben – sie taucht ja sonst kaum auf.

          Irreführende Begriffe

          Der Staatstrojaner, der nun zur normalen Ermittlungssache werden soll, wird in Beamtensprache „Quellen-TKÜ“ genannt. Das steht für Telekommunikationsüberwachung an der Quelle, also im Rechner, Smartphone oder auch in jedem anderen informationstechnischen System, mit dem man heute oder künftig kommunizieren kann. So prägt der Begriff wie bei der „Online-Durchsuchung“ das Denken: Der invasive Staatstrojaner wird gesetzlich gleichgesetzt mit der Leitungsüberwachung bei den Telefonnetzen.

          Die unvermeidlichen schwerwiegenden Begleiteingriffe, nämlich das Hacken des Computersystems, um den Staatstrojaner darauf zu plazieren, sind aber technisch überhaupt nicht vergleichbar mit dem Telefonabhören. Und wie nebenbei wird als erheblicher Kollateralschaden in Kauf genommen, dass Sicherheitslücken von Staats wegen künftig ausgenutzt statt geschlossen werden.

          Weitere Themen

          Der bildungsferne Campus

          Digitalisierung : Der bildungsferne Campus

          Bund und Länder rufen an Schulen und Unis die Ära der digitalen Bildung aus. Die Lehrkonzepte bilden aber vor allem die Interessen der IT-Wirtschaft ab. Ein Gastbeitrag.

          „Born in Evin“ Video-Seite öffnen

          Filmkritik : „Born in Evin“

          Maryam Zaree kam im Teheraner Foltergefängnis Evin zur Welt. Über die Zeit dort sprachen ihre Eltern nie. Die Schauspielerin fragt danach, nicht nur um ihrer selbst willen. Ursula Scheer über den bewegenden Film „Born in Evin“.

          Topmeldungen

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.