Der Deutsche Bundestag verabschiedete am Abend des 22.06.2017 das „Gesetz zur effektiveren und praxistauglichere Ausgestaltung des Strafverfahrens“ – das Staatstrojaner-Gesetz. Strafverfolgungsbehörden dürfen künftig in zahlreichen Fällen verschlüsselte Internet-Telefonate ebenso überwachen wie Chats über Messenger wie WhatsApp, Signal, Telegram oder Threema. Zudem erhalten die Ermittlungsbehörden die Befugnis, beim Verdacht auf besonders schwere Straftaten heimlich komplette IT-Systeme wie Computer oder Smartphones auszuspähen. Während konservative Politiker und Kommentatoren die neuen Befugnissen der Ermittlungsbehörden  als Waffengleichheit mit Straftätern bewerten, sehen Kritiker in diesen Befugnissen einen unerträglichen Eingriff in die Privatsphäre. So oder so: Bei nüchterner Betrachtung ist nicht auszuschließen, dass sich das Gesetz im Ergebnis nur als Papiertiger entpuppt.

Staatstrojaner-Gesetz: worum geht es?

Mit dem „Staatstrojaner-Gesetz“ schafft der Gesetzgeber weitreichende Rechtsgrundlagen für die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) und für die Online-Durchsuchung von IT-Systemen.

Bei der Quellen-TKÜ sollen die Ermittler die Kommunikation der verdächtigen Person am Endgerät abgreifen dürfen, noch bevor sie beim Absender zum Versand verschlüsselt wird oder nachdem sie bei Empfänger nach dem Empfang entschlüsselt wurde. Es geht also um die Überwachung laufender Telekommunikationsvorgänge.

Grundlage hierfür ist der umfangreiche Straftatenkatalog des § 100a StPO. Dieser regelt auch das Abhören klassischer Telefonate oder den Zugriff auf E-Mails.

Bei der Online-Durchsuchung geht es um die Befugnis, komplette IT-Systeme zu infiltrieren und Festplatten zu durchsuchen: Hierfür werden § 100b StPO und § 100c StPO neu gefasst. Gegenwärtig regelt § 100c StPO den großen Lauschangriff.

Staatstrojaner: technische Umsetzung

Um, wie vom „Staatstrojaner-Gesetz“ vorgesehen, verschlüsselte Internet-Kommunikation abgreifen zu können und Festplatten-Inhalte ausspähen zu können, müssen die Ermittlungsbehörden die Kontrolle über die betroffene Hardware übernehmen – indem sie dort den Staatstrojaner installieren. Das unverschlüsselte Audio-Signal der Soundkarte, das unverschlüsselte Tastatursignal muss erfasst und an die Ermittlungsbehörden übertragen werden, bevor es von der App verschlüsselt wird. Der Staatstrojaner klinkt sich also im Ergebnis zwischen Soundkarte bzw. Tatstatur und App ein und greift dort das noch unverschlüsselte Signal ab.

Die Ermittlungsbehörden können den Staatstrojaner auf dem Gerät installieren, indem sie sich sich die Ermittlungsbehörden körperlichen Zugriff auf das Gerät verschaffen, indem sie sich also vorübergehend in den Besitz des Gerätes bringen. Die Ermittlungsbehörden können den Staatstrojaner aber auch auf dem Gerät installieren, indem über eine Nachricht, die der Empfänger erhält, die Trojaner-Software im Hintergrund installiert wird.

In beiden Fällen ist es erforderlich, dass die Ermittlungsbehörden Sicherheitslücken bei dem Gerät ausnutzen: Der Staatstrojaner soll unbemerkt im Hintergrund laufen – und er soll von einer Anti-Viren-Software nicht entdeckt werden.

Bei diesem Umstand, dass die Ermittlungsbehörden für den Einsatz des Staatstrojaner auf Sicherheitslücken angewiesen sind und diese Sicherheitslücken ausnutzen müssen, setzt die Kritik an: Wollen die Ermittlungsbehörden den Staatstrojaner effektiv einsetzen, so muss es in ihrem Interesse liegen, dass möglichst viele Sicherheitslücken möglichst spät entdeckt werden. Das Ziel der staatlichen (Ermittlungs-)Behörden im Hinblick auf den Staatstrojaner ist also nicht mehr größtmögliche IT-Sicherheit, sondern das Ziel sind größtmögliche Sicherheitslücken.

Maximale IT-Sicherheit und effizienter Einsatz des Staatstrojaners schließen einander systematisch aus. Das mit dem Staatstrojaner – angeblich – verfolgte staatliche Ziel, durch effektive strafrechtliche Ermittlungsarbeit Sicherheit für die Bürgerinnen und Bürger zu schaffen, wird pervertiert: Voraussetzung für einen effizienten Einsatz dieser staatlichen Schnüffelsoftware ist es, den Bürgerinnen und Bürgern die Kenntnis über bestehende Sicherheitslücken bei IT-Systemen so lange wie möglich vorzuenthalten. Der Staat als Schutzpatron der Hacker.

Staatstrojaner-Gesetz: Perversion des Rechtsgedankens oder nur Papiertiger?

Möglicherweise führt sich der Staat mit seinem Staatstrojaner-Gesetz am Ende nur selbst vor: Die IT-Landschaft und das weite Feld der IT-Sicherheit sind keine staatliche Hoheitssphäre mehr.

Die Zeiten, als beim Telefon der Wechsel von der Wählscheibe zur Tastatur und später dann einmal die Wahlwiederholungstaste am Ende auch immer ein staatlicher Hoheitsakt war, sind vorbei. Ob eine IT-Sicherheitslücke entdeckt wird oder nicht, offen bleibt oder geschlossen wird, bestimmen nicht mehr staatliche Behörden, sondern bestimmt schlicht und einfach der Markt.

Der einmal installierte Staatstrojaner verliert seine Wirksamkeit, sobald die seinen Einsatz ermöglichende Sicherheitslücke entdeckt und geschlossen ist. Die Geschichte der Staatstrojaner wird damit die Geschichte einer unentwegten Suche nach neuen, unentdeckten, Sicherheitslücken sein, ein ständiges Bestreben der Ermittlungsbehörden, der Beschäftigung der anderen mit IT-Technik und IT-Sicherheit zuvorzukommen. Den einen Staatstrojaner mit Ewigkeitswert wird es also nicht geben. Vielmehr muss der Staatstrojaner immer wieder neu entwickelt werden.

Wie es in Deutschland mit dem Verhältnis von Technik und Geschwindigkeit bestellt ist, sobald staatliche Stellen mit ins Spiel kommen, zeigt recht eindrucksvoll der Flughafen Berlin, zeigt das Bestreben, die elektronische Kommunikation mit den Gerichten zu etablieren, zeigen ebenso beeindruckend andere Beispiele: was heute entwickelt wird, ist in zehn Jahren vielleicht noch immer nicht fertiggestellt. Möglicherweise ist am Ende auch die Geschichte der Staatstrojaner nur eine Abfolge ständig neuer Beta-Versionen, über die die technische Entwicklung und der Markt hinweggerollt sein werden.

© RA Stefan Loebisch | Kontakt