Bielefeld. Relativ unbemerkt hat der Bundestag am 22. Juni eines der weitreichendsten Überwachungsgesetze in der Geschichte der Bundesrepublik verabschiedet. Es geht um die Überwachung von Online-Kommunikation. Betroffen ist auch die verschlüsselte Kommunikation über Messenger-Dienste wie WhatsApp. Weil die große Koalition die Neuregelung in einem anderen Gesetz "versteckte", in dem es etwa um Fahrverbote geht, hat die breite Öffentlichkeit davon zunächst wenig mitbekommen. Details zu den Plänen in Fragen und Antworten:
Welche neuen Möglichkeiten enthält das Gesetz?
Die Ermittlungsbehörden dürfen nun heimlich einen Staatstrojaner, eine Schadsoftware, auf private Computer, Laptops, Handys und Tablets spielen. Die Software gibt Daten an die Betreiber weiter. So können die Ermittler die Kommunikation direkt an der Quelle überwachen - und die laufende Kommunikation mitlesen. Die wohl spektakulärste Neuregelung: Mit diesen Methoden können die Ermittler künftig auch auf Messengerdienste wie WhatsApp zugreifen.
Außerdem erlaubt das geplante Gesetz die Online-Durchsuchung (Zugriff auf ganze Computersysteme): Eine auf dem Gerät installierte Schadsoftware kann dann nicht nur die laufende Kommunikation erfassen, sondern sämtliche gespeicherten Inhalte. Zudem könnten alle Dateien manipuliert, Webcams und Mikrofone am heimischen Computer könnten ferngesteuert werden – ohne Kenntnis der Betroffenen, ohne Protokoll und ohne Zeugen.
Wie wollen Ermittlungsbehörden die Kommunikation über Messenger-Dienste mitlesen, wo diese doch mit Komplett-Verschlüsselung werben?
Die Übermittlung zwischen Geräten der beteiligten Nutzer ist zwar so verschlüsselt, dass auch die Anbieter keinen Zugriff auf die Inhalte haben - aber die Nachrichten müssen ja auch von den Nutzern geschrieben und gelesen werden. Dafür sind sie in entschlüsselter Form auf dem Bildschirm zu sehen - und genau dort wollen die Ermittler die Informationen abgreifen. Das nennt man Quellen-Telekommunikationsüberwachung („Quellen-TKÜ"). "Die Überwachung und Aufzeichnung der Telekommunikation darf auch in der Weise erfolgen, dass mit technischen Mitteln in von dem Betroffenen genutzte informationstechnische Systeme eingegriffen wird, wenn dies notwendig ist, um die Überwachung und Aufzeichnung insbesondere in unverschlüsselter Form zu ermöglichen", heißt es dazu im Gesetzestext.
In welchen Fällen können Ermittler zu den neuen Überwachungsmethoden greifen?
Nach einem Grundsatzurteil des Bundesverfassungsgerichts waren solche Eingriffe bisher auf Terrorismus-Ermittlungen beschränkt. Das neue Gesetz sieht eine deutlich längere Liste an Straftaten vor, bei denen der Staat auf private Geräte zugreifen darf. Eine Auswahl der mehr als 50 Delikte aus dem Strafgesetzbuch und dem Nebenstrafrecht:
- Terrorismus
- Mord und Totschlag
- Verbreitung, Erwerb und Besitz kinderpornografischer Schriften
- Steuerhinterziehung
- Computerbetrug
- Bandendiebstahl
- gewerbsmäßige Hehlerei
- Bestechlichkeit
- Verleitung zur missbräuchlichen Asylantragsstellung
Ähnlich wie bei klassischen Abhörmaßnahmen soll die Online-Überwachung nur auf richterlichen Beschluss möglich sein. Im Zweifel dürfen aber nicht nur die Geräte eines Beschuldigten durchsucht werden, sondern auch die Geräte anderer Personen, wenn es nach Meinung der Ermittler nicht anders geht. Etwa, wenn "auf Grund bestimmter Tatsachen anzunehmen ist, dass der Beschuldigte informationstechnische Systeme der anderen Person(en) benutzt", heißt es im Gesetzestext.
Wie einfach ist es überhaupt, solche Trojaner zu platzieren?
Wie man in PCs eindringt, führen Online-Kriminelle tagtäglich vor. Moderne Smartphones sind zwar mit einer deutlich stärkeren Architektur versehen. Aber Geräte mit dem meistgenutzten Mobil-System Android gelten unter Fachleuten als etwas leichter zu hacken, weil noch viele ältere Versionen der Software im Umlauf sind und die Telefone von vielen verschiedenen Herstellern gebaut werden, während Apple bei seinem iPhone Hardware und Software selbst unter Kontrolle hat. Lücken tauchten aber in der Vergangenheit in beiden Betriebssystemen auf. Es gibt einen Markt für solche Schwachstellen, den auch Behörden nutzen.
Welche Risiken birgt das?
Ein Weg für die Behörden, auf die Geräte zu kommen, wäre, Sicherheitslücken in der Software zu kennen und ausnutzen zu können. IT-Sicherheitsexperten werden nicht müde, zu warnen, dass solche Schwachstellen, die man bewusst bestehen lässt, gefährlich sind - weil sie auch von Kriminellen entdeckt und missbraucht werden können. Gerade vor kurzem wurde eine ursprünglich von dem US-Abhördienst NSA entdeckte Sicherheitslücke im Windows-Betriebssystem für einen weltweiten Angriff mit dem Erpressungstrojaner „WannaCry" ausgenutzt. Sie war nach einem Datenleck bei dem Geheimdienst öffentlich geworden.
Inwieweit müssen die Telekommunikationsfirmen mitwirken?
Ausdrücklich ist in dem Gesetz geregelt, dass sich die Anbieter von Telekommunikationsdiensten nicht gegen eine angeordnete Überwachung sperren dürfen: Dem Gericht, der Staatsanwaltschaft und dem ermittelnden Polizisten müssten die Maßnahmen ermöglicht werden, heißt es in der Vorlage.
Kritik gibt es von allen Seiten
Befürworter sagen, das neue Gesetz liefert die Grundlage dafür, nun auf Augenhöhe mit Terroristen und Schwerverbrechern zu sein - und diese entsprechend bekämpfen zu können. Kritiker warnen hingegen vor einem Übergriff des Staates auf die Privatsphäre der Bürger, bei dem die technischen Folgen kaum abzusehen sind. Auch private Fotos und Videos, besuchte Internetseiten, persönliche Notizen können ausgewertet werden. Aber anders als bei einer Wohnungsdurchsuchung bekommen Betroffene davon erst einmal nichts mit.
Hartmut Pohl, Sprecher des Arbeitskreises „Datenschutz und IT-Sicherheit" der Gesellschaft für Informatik, spricht von einem "unzulässigen Eingriff in die Privatsphäre". Die heimliche Online-Durchsuchung und die Quellen-Telekommunikationsüberwachung seien schwere Grundrechtseingriffe, die in den vergangenen zehn Jahren vom Bundesverfassungsgericht nur unter strengen Auflagen erlaubt wurden. "Sie stellen einen unverantwortlichen Eingriff dar, der es Sicherheitsbehörden ermöglicht, Unternehmen und Bürger ohne ihr Wissen auszuspionieren."
Ein weiterer Kritikpunkt ist, dass die Pläne als Änderungsvorschlag zu einem langen Gesetz nachgereicht wurden. "Es ist völlig unverständlich, dass diese umfangreichen Maßnahmen ohne öffentliche Diskussion im Eilverfahren auf ein bereits laufendes Gesetzgebungsverfahren ‚draufgesattelt’ werden sollen", so Hartmut Pohl. Der Linken-Abgeordnete Jörn Wunderlich sprach in der Debatte von einem der „invasivsten Überwachungsgesetze der vergangenen Jahre", das noch weiter gehe als der „große Lauschangriff aus den 90ern".
"Verfassungsrechtlich bedenklich"
Auch der Deutsche Anwaltverein kritisiert das gewählte Verfahren scharf. "Der begründete Eindruck, ein gravierender Grundrechtseingriff werde bewusst in einem Änderungsantrag versteckt, um ohne Diskussion und mit großer Eile durchgesetzt zu werden, ist nicht von der Hand zu weisen." Dieses Verfahren sei verfassungsrechtlich bedenklich.
Kritiker bemängeln auch, dass die Einsatzgrenzen der Überwachungsmethoden unklar gelassen werden. "Diese geplante gesetzliche Erlaubnis bedeutet, dass solche Eingriffe in informationstechnische Systeme zu einem alltäglichen Ermittlungsinstrument umdefiniert werden", heißt es in einer Stellungnahme des Chaos Computer Clubs (CCC). "Dies stellt eine erhebliche und strukturelle Gefahr für die IT-Sicherheit und damit letztlich für uns alle dar." Ein Richter sei zudem nicht in der Lage festzustellen, ob eine Überwachungsmaßnahme wirklich ausgelaufen sei, warnte der Grünen-Abgeordnete Hans-Christian Ströbele in der Aussprache im Bundestag.
Information