Aktuelle Themen
Wer online ein Verbrechen plant, kann sich seit knapp einem Jahr nicht mehr sicher sein. Seitdem erlaubt das Staatstrojaner-Gesetz, dass deutsche Behörden heimlich in die Smartphones und Computer von Verdächtigen eindringen, um dort deren Kommunikation zu überwachen.
Die Software, die sie dazu gebrauchen, hat aber seit Jahren erbitterte Gegner. In den Augen von Bürgerrechtlern und Datenschützern ist der Staatstrojaner eine Gefahr für unser tägliches Online-Leben.
Gerade erst hat eine Koalition aus Bürgerrechts-Organisationen und Teilen der FDP
angekündigt, vor dem Bundesverfassungsgericht gegen den Staatstrojaner zu
klagen. Darunter FDP-Parteichef Christian Lindner und Sabine Leutheusser-Schnarrenberger.
Er ist Leiter der gleichfalls klagenden Gesellschaft für Freiheitsrechte (GFF) und Richter am Landgericht Berlin. Er kämpft seit Jahren gegen die hackenden Behörden und sieht in der neuen Klage eine der letzten Chancen, Schlimmeres für die deutsche Gesellschaft zu verhindern.
watson: Du willst also nicht, dass Polizisten
in unsere Smartphones eindringen.
Ulf
Buermeyer: Das
kann man so pauschal nicht sagen. Bei extremen Gefahrensituationen, wie etwa unmittelbar bevorstehende Terroranschlägen, kann staatliches Hacking als
letztes Mittel geboten sein. Das darf das Bundeskriminalamt schon seit
2009, macht es aber höchst selten bis gar nicht. Das Gesetz, das die GFF vor dem Bundesverfassungsgericht (BVerfG) angreift, erlaubt aber den Einsatz von Trojanern in mehr als 30.000 Fällen im Jahr.
Wie stellst du dir den Kampf gegen moderne
vernetzte Kriminalität stattdessen vor?
Indem man die Behörden besser ausstattet, sowohl mit Beamten als auch mit IT.
Es braucht keine neuen Überwachungsgesetze, sondern mehr Polizisten, die klassische
Ermittlungsarbeit leisten. Das habe ich in meinem Alltag bei Gericht immer
wieder erlebt: Das Problem liegt nicht darin, dass die Polizei etwas nicht
darf.
Aber der Staatstrojaner soll ja diese neue Technologie sein, die
Ermittlungserfolge schafft.
Warum
können sie nicht einfach die Geräte beschlagnahmen und auswerten, so wie
früher? Die Argumentation, ohne Trojaner stände man da als Ermittler im
Dunkeln, trifft einfach nicht zu.
Das klingt angesichts vernetzter und
multinationaler Schleuser- und Drogen-Banden alles andere als effektiv.
Wieso nicht? Man
muss eben taktisch überlegen, wie lange schaut man zu und wann greift man zu.
Das ist überhaupt keine Neuigkeit. Man muss sich vom Ansatz her die Frage
stellen: Wollen wir Trojaner auch zur Strafverfolgung einsetzen? Das kann
Ermittlern nur einen kleinen taktischen Vorteil verschaffen, bringt aber hohe rechtsstaatliche
Kosten mit sich.
Weil auch einfache Bürger auf einmal
Ermittler-Software auf ihren Handys haben könnten?
Zum einen. Noch gibt es nur wenige Beispiele, die Behörden bekommen das
Ganze technisch noch nicht auf die Reihe. Aber das kann sich schnell ändern. Trojaner
werden dann zum Massengeschäft, und Polizisten hacken auf einmal serienmäßig die
Smartphones von Bürgern. Ich glaube dem Bundeskriminalamt (BKA) dabei durchaus,
dass es sich an das Recht halten will. Aber das macht die Sache kaum besser.
Warum nicht?
Weil das Gesetz dem
staatlichen Hacking viel zu wenig klare Grenzen setzt. Um Trojaner einzuspielen,
nutzen Behörden nämlich Sicherheitslücken aus, also Fehler in der Software von
Smartphones und Computern, die die Hersteller selbst nicht kennen. Beispielsweise
Lücken in Android oder dem iPhone-Betriebssystem iOS.
Solche Lücken kaufen Ermittler weltweit bei
speziellen Unternehmen ein, oder auf zwielichtigen Schwarzmärkten. Es gibt auch
eine Behörde der Bundespolizei, die sie selbst erforschen soll.
Wenn Polizisten
diese Lücken jetzt massenhaft einsetzen sollen, dann horten sie diese natürlich auch. Sie teilen die Fehler den Herstellern der unsicheren Geräte nicht mehr mit, damit die Sicherheitslücken
geschlossen werden können. Lieber legt man sie in eine Schublade und bewahrt
sie für den nächsten Einsatz auf.
Du spielst auf die von dir erwähnten
rechtsstaatlichen Kosten an?
Jede dieser
geheimen Sicherheitslücken ist ein Einfalltor für Hacker und für Kriminelle. Es
ist einfach nur zynisch zu behaupten, Deutschland habe eine Strategie gegen
Cybercrime, während der Staat gleichzeitig versucht, Sicherheitslücken offen zu halten. Und das alle nur, um vielleicht irgendwann einmal einen
Drogendealer damit jagen zu können.
Aber in eurer Klage fordert ihr doch gar
nicht, dass den Behörden die Staatstrojaner samt Lücken verboten werden.
Den Einsatz in
Extremfällen müssen wir hinnehmen. Das BVerfG
hat bereits zweimal entschieden, dass Trojaner für die Prävention zukünftiger
besonders schwerer Gefahren nötig und deshalb rechtens sind.
Kampf also im Grunde schon verloren?
Es geht ja nicht nur
um das 'Ob', sondern auch um das 'Wie' des Verfahrens.
Ich habe noch 2015 bei einer Verhandlung zum neuen BKA-Gesetz gesagt: ‚Hohes
Gericht, ihr könnt nicht einfach sagen: Trojaner Marsch‘. Aber das wollten die
Richterinnen und Richter nicht hören. Die Grundkatastrophe, dass Ermittler die Trojaner überhaupt
einsetzen dürfen, und dass niemand diesen Einsatz effektiv kontrolliert, die ist leider bereits passiert.
Ein Deutschland mit hackenden Behörden?
Das ist auch
meine persönliche Niederlage. Ich habe zehn Jahre auf dem Feld geschrieben und
mich nicht durchsetzen können. Es ist unverantwortlich, den Sicherheitsbehörden
eine Carte Blanche zu geben, zu hacken wann und wie sie wollen.
Eure neue Forderung?
Wir wollen eine
Katastrophe für die IT-Sicherheit als solches verhindern. Unabhängige Stellen müssen
kontrollieren können, wie die Polizei unsere Geräte online durchsuchen und wie
sie unserer Kommunikation überwachen will. Außerdem muss es einen transparenten
Prozess geben, wie Sicherheitslücken angeschafft und gebraucht werden.
Stattdessen müssen die Behörden sie den Software-Entwicklern mitteilen. Sonst werden uns Epidemien von Schadsoftware wie vor kurzem der Erpressungs-Trojaner WannaCry immer wieder plagen.
Der Wurm hat eine Sicherheitslücke
ausgenutzt, die ein amerikanischer Geheimdienst gehortet hat. Danach befiel er
binnen Tagen Computersysteme auf der ganzen Welt, verschlüsselte und zerstörte
so ihre Daten. Die Schäden stiegen in die Milliarden-Höhe.
Es ging nicht
nur um wirtschaftliche Schäden, auch ganze Krankenhäuser mussten den Dienst
einstellen. Dann stehen Menschenleben auf dem Spiel. Und da kann man eben nicht
sagen: ‚Uns ist sowas egal, weil wir den nächsten Drogendealer jagen wollen.‘
Aber ist das wirklich so? Einen guten Polizisten wird doch beides
kümmern.
Für einen Beamten ist alles gut,
was seinen Ermittlungen hilft. Er will seine Verbrecher jagen, und dafür möchte
er möglichst viele Mittel. Wenn aber irgendjemand Drittes ein Krankenhaus
hackt, dann ist das schlicht nicht sein Problem. Cyberkriminelle sind nicht
seine Akte, sind nicht sein Fall. Deswegen sind Ermittler typischerweise blind
gegenüber Kollateralschäden der Überwachungsmethoden, die sie gerne einsetzen
wollen.
Aber sind Einzelfälle wie WannaCry nicht auch für alle anderen
abstrakter als der Drogendealer vor der Haustüre?
WannaCry ist kein Einzelfall, nur
ein sehr extremer Fall. Die Bedrohung durch Trojaner ist Alltag. Ich bekomme im
Grunde jeden Tag irgendwelche Phishing-Mails, die versuchen, meinen Rechner zu befallen. Jeden Tag werden tausende Computer in diesem Land infiziert.
Kriminelle können uns bestehlen, unsere Daten verkaufen – weil Behörden
Sicherheitslücken als Trojaner-Bausteine horten, statt sie schließen zu lassen.
Düstere Aussichten, also?
Der Bundestag hat bisher seine Verantwortung nicht wahrgenommen,
die Bevölkerung vor unkontrolliertem Trojaner-Einsatz zu schützen. Stattdessen
übernimmt man noch immer einseitig die Perspektive der Ermittler, anstatt an
die Bürger zu denken. Es muss beim Thema Staatstrojaner aber klar sein: Es geht
nicht nur um einige zehntausende von Leuten, die damit verfolgt werden. Es geht
um uns alle. Es geht um unsere Computer und Handys, die der deutsche Staat
bewusst unsicher hält. Deren Überwachung gerade die Polizeibehörden fast aller
Bundesländer in ihre neuen Polizeigesetze schreiben. Das finde ich den
eigentlichen Skandal dabei.
(mbi)
