Die große Koalition will in den kommenden Monaten noch die rechtlichen Grundlagen für einen umfangreichen Einsatz von Überwachungsprogrammen auf Endgeräten von Verdächtigen schaffen. Die bereits geplante Strafrechtsreform soll stark ergänzt werden, um mit Hilfe von gehackten Smartphones oder Computern eine verschlüsselte Kommunikation überwachen (Quellen-TKÜ) oder Dateien auslesen (Online-Durchsuchung) zu können. Der Einsatz dieser "Staatstrojaner" soll der Polizei nicht nur zur Gefahrenabwehr, sondern bei Ermittlungen zu 38 beziehungsweise 27 Straftaten erlaubt sein.

Das Portal netzpolitik.org veröffentlichte am Mittwoch eine entsprechende Formulierungshilfe des Bundesjustizministeriums, die auch Golem.de vorliegt. Das Papier ist die Basis für einen Änderungsantrag von Union und SPD im laufenden Gesetzgebungsverfahren des Bundestags. Nach Angaben der Grünen-Fraktion ist für Ende Mai eine Anhörung im Justizausschuss des Bundestags geplant. Das Parlament diskutierte bereits am 9. März über das Gesetz, allerdings war der Einsatz von Staatstrojanern damals noch kein Thema.

Dadurch, dass auf einen eigenen Gesetzesentwurf verzichtet wird, verkürzt sich das parlamentarische Verfahren und die öffentliche Debatte. Unter anderem entfällt dadurch die erste Lesung des Entwurfs im Bundestag.

Regierung will Vorgaben aus Karlsruhe umgehen

Bundesinnenminister Thomas de Maizière (CDU) hatte erst in der vergangenen Woche auf der Internetkonferenz re:publica den Einsatz der umstrittenen Ermittlungsinstrumente verteidigt. Der Staat kann dem Minister zufolge nicht akzeptieren, "wenn es eine Ende-zu-Ende-Verschlüsselung in einem Messengerdienst gibt, dass deswegen, weil es eine Ende-zu-Ende-Verschlüsselung gibt, automatisch rechtsstaatliche Befugnisse des Staates zur Strafverfolgung in diesem Dienst technisch ausgeschlossen sind. Wir müssen im Einzelfall versuchen, unter den rechtsstaatlichen Bedingungen wie bisher, darauf zugreifen zu können." Daher halte er Quellen-TKÜ und Online-Durchsuchung "unter rechtsstaatlichen Voraussetzungen für zwingend geboten".

Allerdings hat das Bundesverfassungsgericht hohe Hürden für den Eingriff in sogenannte informationstechnische Systeme gesetzt. Die Bundesregierung behilft sich im Falle der Quellen-TKÜ daher mit einem Trick: Sie erklärt in der Gesetzesbegründung, dass es sich beim direkten Abgreifen von verschlüsselten Nachrichten auf einem Smartphone oder einem Computer nicht um einen solchen Eingriff handelt. "Soweit das Bundesverfassungsgericht höhere Anforderungen an die Rechtfertigung von Eingriffen in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme gestellt hat, betrafen diese nicht den Fall, dass die Überwachung und Aufzeichnung auf neu ankommende oder abgesendete Messenger-Nachrichten auf dem Endgerät begrenzt und technisch ausgeschlossen wird, dass die Gefahr des Auslesens des gesamten Systems oder auch nur der gesamten gespeicherten Kommunikation nicht besteht", heißt es in der Begründung.

Quellcode soll geprüft werden

Wie das möglich sein soll, ist völlig unklar. Schließlich braucht man sowohl bei der Quellen-TKÜ als auch bei der Online-Durchsuchung zunächst kompletten Zugriff auf ein Endgerät, um die Überwachungs- oder Auslesesoftware installieren zu können. Damit ist es theoretisch immer möglich, Funktionen zu implementieren, die über die gesetzlichen Vorgaben hinausgehen. Das will die Regierung mit folgender Vorschrift verhindern: "Durch die Dokumentation des Quellcodes, des Prozesses der Programmerzeugung aus diesem Quellcode und des Programms selbst kann im Nachhinein der Funktionsumfang der jeweils eingesetzten Überwachungssoftware abschließend nachvollzogen werden."

Grundlage dafür soll die Standardisierte Leistungsbeschreibung sein, die das Bundeskriminalamt (BKA) für den Einsatz seiner Überwachungssoftware erfüllen soll.

Besonders problematisch ist dieses Vorgehen vor dem Hintergrund, dass Polizeibehörden und Nachrichtendienste Sicherheitslücken horten müssen, um sich den Zugriff auf Endgeräte verschaffen zu können. Denn das Gesetz erlaubt es nicht, beispielsweise durch das heimliche Eindringen in die Wohnung eines Verdächtigen per direkten Zugriff auf die Hardware ein Programm zu implementieren. De Maizière sagte dazu auf der Republica lapidar, mit dem Ankauf und dem Aufspüren von Zero-Day-Exploits "kein Problem" zu haben. Dazu hat die Regierung eigens eine neue Behörde, Zitis, gegründet. Der aktuelle Fall der Ransomware Wannacry zeigt jedoch, wie problematisch das Horten von Sicherheitslücken sein kann.

Keine staatlichen Hintertüren

Staatliche Hintertüren in verschlüsselten Messenger-Diensten lehnt die Regierung in der Formulierungshilfe jedoch weiter ab. Das sei "derzeit nicht denkbar". Weiter heißt es: "Nach den Grundsätzen der von der Bundesregierung verfolgten Kryptopolitik wird im Gegenteil aus Gründen des Schutzes vertraulicher Daten vor den Zugriffen Dritter sogar eine Stärkung der Verschlüsselungstechnologien und deren häufige Anwendung befürwortet." Wie das möglich sein wird, wenn Nutzer letztlich nicht auf die Integrität ihrer Systeme vertrauen können, bleibt ein nicht aufzulösender Widerspruch.

Sollte eine geeignete Software für die Quellen-TKÜ nicht zur Verfügung stehen, sollen die Strafverfolgungsbehörden daher konsequenterweise direkt zur Online-Durchsuchung greifen. Das könnte beispielsweise der Fall sein, wenn die Überwachungssoftware nicht in der Lage ist, zwischen einer aktuellen und früheren Kommunikation zu unterscheiden. Bei der Quellen-TKÜ dürfen nur solche Nachrichten abgehört werden, die nach einem bestimmten Zeitpunkt gesendet oder empfangen wurden.

CCC kritisiert "absolute Verantwortlungslosigkeit"

Dem Gesetzesentwurf zufolge ist die Quellen-TKÜ künftig bei "schweren Straftaten" erlaubt, bei denen auch Ermittlungsbehörden die Telekommunikation überwachen dürfen (Paragraf 100a Strafprozessordnung). Dazu zählen neben Mord und Totschlag auch Betrug und Computerbetrug. Die Online-Durchsuchung soll nur bei "besonders schweren Straftaten" erlaubt sein, in denen eine akustische Wohnraumüberwachung möglich ist (Paragraf 100c Strafprozessordnung).

Kritik an den Plänen kam unter anderem vom Chaos Computer Club. Dessen Sprecher Linus Neumann warf auf netzpolitik.org der Koalition vor, die "absolute Verantwortungslosigkeit"des US-Geheimdienstes NSA im Umgang mit Sicherheitslücken wie im Fall von Wannacry nicht abzulehnen, sondern statt dessen den gleichen Weg zu gehen, "statt endlich für die innere Sicherheit, und damit auch die unserer IT-Systeme, einzustehen".

Vertreter der Opposition kritisierten die Pläne der Koalition scharf. "Staatliches Hacking in dem Rahmen, den das Bundesverfassungsgericht zugelassen hat, ist technisch einfach nicht möglich", sagte der stellvertretende Vorsitzende der Linke-Fraktion, Jan Korte. Der Verzicht auf Quellen-TKÜ und Online-Durchsuchung sei "daher rechtsstaatlich die einzige saubere Lösung".

Nach Ansicht des Grünen-Netzpolitikers Konstantin von Notz dürfen "die Strafverfolgungsbehörden nicht dazu ermutigt werden, Sicherheitslücken in informationstechnischen Systemen bewusst aufrecht zu erhalten". Notz forderte die Koalition auf, die Anforderungen an die Staatstrojaner genauer zu definieren. Das dürfe nicht Strafverfolgungsbehörden oder Gerichten überlassen werden. Zudem dürften Staatstrojaner nur bei besonderer Gefahr für Leib, Leben und Gesundheit eingesetzt werden. "Ein darüber hinaus gehender Einsatz zur Strafverfolgung ist verfassungsrechtlich bedenklich", sagte Notz auf Anfrage von golem.de.