Staatstrojaner für Geheimdienste: "Sehenden Auges in die Verfassungswidrigkeit"
<html> <header class=„article-header“><h1 class=„articleheading“>Staatstrojaner für Geheimdienste: „Sehenden Auges in die Verfassungswidrigkeit“​</h1><div class=„publish-info“> Stefan Krempl</div></header><figure class=„aufmacherbild“><img src=„https://heise.cloudimg.io/width/700/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/imgs/18/3/1/0/6/9/9/9/urn-newsml-dpa-com-20090101-130523-99-03381_large_4_3-2d9fa27d631f0274.jpeg“ srcset=„https://heise.cloudimg.io/width/700/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/imgs/18/3/1/0/6/9/9/9/urn-newsml-dpa-com-20090101-130523-99-03381_large_4_3-2d9fa27d631f0274.jpeg 700w, https://heise.cloudimg.io/width/1050/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/imgs/18/3/1/0/6/9/9/9/urn-newsml-dpa-com-20090101-130523-99-03381_large_4_3-2d9fa27d631f0274.jpeg 1050w, https://heise.cloudimg.io/width/1280/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/imgs/18/3/1/0/6/9/9/9/urn-newsml-dpa-com-20090101-130523-99-03381_large_4_3-2d9fa27d631f0274.jpeg 1280w“ alt=„Grundgesetz“ class=„img-responsive“ referrerpolicy=„no-referrer“ /><figcaption class=„akwa-caption“>(Bild: dpa, Uli Deck)</figcaption></figure><p><strong>Experten warnen den Bundestag nachdrücklich davor, den Geheimdiensten die Befugnis zur „Quellen-TKÜ plus“ zu geben. Das Vorhaben sei völlig unverhältnismäßig.​</strong></p><p>Bei einer Anhörung im Bundestag am Montag äußerten Sachverständige erhebliche verfassungsrechtliche Bedenken gegen den Plan der Bundesregierung, den deutschen Geheimdiensten künftig den Einsatz von Staatstrojanern zur Überwachung von Messengern zu ermöglichen. Der Gesetzgeber laufe damit „sehenden Auges in die Verfassungswidrigkeit“, warnte etwa der Göttinger Staatstrechtler Benjamin Rusteberg.</p><p>Bei der <a href=„https://www.heise.de/news/WhatsApp-Ueberwachung-Regierung-plant-Quellen-TKUe-plus-durch-Agenten-4874161.html“><strong>vorgesehenen erweiterten Quellen-Telekommunikationsüberwachung (Quellen-TKÜ plus) [1]</strong></a> sollen Mitarbeiter des Bundesamts für Verfassungsschutz (BfV), des Bundesnachrichtendienstes (BND), des Militärischen Abschirmdienstes (MAD) und der Verfassungsschutzämter der Länder auch auf gespeicherte Chats und andere Nachrichten zugreifen können. Das werde den Anforderungen des <a href=„https://www.heise.de/meldung/Neues-Computer-Grundrecht-schuetzt-auch-Laptops-und-Daten-im-Arbeitsspeicher-184298.html“><strong>Grundrechts auf Vertraulichkeit und Integrität von IT-Systemen [2]</strong></a> nicht gerecht, kritisierte Rusteberg.</p><h3 class=„subheading“ id=„navquot_erhebliche0“>„Erhebliches Missbrauchspotenzial“</h3><p>In den <a href=„https://www.heise.de/news/Staatstrojaner-WhatsApp-Co-sollen-Netzverkehr-an-Geheimdienste-umleiten-4840383.html“><strong>geplanten weitreichenden Mitwirkungs- und Duldungspflichten für Diensteanbieter [3]</strong></a> sieht Rusteberg ein „ganz erhebliches Missbrauchspotenzial“. Damit werde nicht nur eine Kopie der Kommunikation ausgeleitet, sondern gezielt Manipulation der Daten durch die Geheimdienste ermöglicht: „Jedem könnte alles auf die Rechner gespielt werden.“ Angedacht sei etwa, über ein Windows-Update ohne die Mithilfe von Microsoft einen Trojaner zu installieren. Der Anbieter könnte dann keine Garantie mehr übernehmen.</p><p>In Eilfällen wäre eine Rundum-Überwachung machbar, gab der Mitherausgeber des Verfassungsblogs zu bedenken. Die G10-Kommission, die eigentlich Eingriffe ins Fernmeldegeheimnis durch die Geheimdienste vorab kontrollieren soll, könnte hier zunächst nicht eingreifen. Jede nachträgliche gerichtliche Kontrolle sei im Geheimdienstwesen zudem „praktisch extrem schwach“. Die Spione könnten ferner argumentieren, dass es ihnen die Klausel auch erlaubte, auf die Kommunikation zwischen Nutzern und Sprachassistenten wie Alexa und Siri zuzugreifen. Auf Mithören im Raum dürfte dabei aber nicht geschaltet werden.</p><h3 class=„subheading“ id=„navquot_äußerst1“>„Äußerst schwerer Eingriff“</h3><p>Auch Kurt Graulich, Ex-Richter am Bundesverwaltungsgericht, wertete die mit einer „Festplattendurchsicht“ kombinierte Quellen-TKÜ als „äußerst schweren Eingriff“. Er vermisse dabei schon, dass die erforderlichen Tatbestandsvoraussetzungen beschrieben würden. „Sehr verwundert“ zeigte sich der <a href=„https://www.heise.de/meldung/BND-NSA-Affaere-Sonderermittler-deckt-erhebliche-Maengel-und-Rechtsbruch-auf-2866243.html“><strong>frühere Aufklärer im BND-NSA-Skandal [4]</strong></a> ferner, dass das Instrument für alle Nachrichtendienste gedacht sei und nicht differenziert werde nach deren unterschiedlichen Aufgaben: Dies „genügt den Verhältnismäßigkeitsanforderungen auf alle Fälle nicht“. Sein Obersatz laute daher: „Dieses Gesetz sollte nicht kommen.“ Beharre die Große Koalition auf einer „so spektakulären Regelung“, müsste sie zumindest zeitlich befristet und das Kontrollregime verbessert werden.</p><p>Dass der breite Einsatz von Staatstrojanern einfach als „Fremdkörper“ ins G10-Gesetz eingeführt werden solle, das den Geheimdiensten Eingriffe ins Fernmeldegeheimnis gestattet, kritisierte Ralf Poscher, Direktor des Max-Planck-Instituts zur Erforschung von Kriminalität, Sicherheit und Recht. Es komme ihm an diesem Punkt so vor, „als sei der Gesetzgeber selbst in die Irre geführt worden“. Nötig wäre eine „eigenständige materiell-rechtliche Befugnisnorm“. In der derzeitigen Fassung wäre aber auch damit nicht erkennbar, ob die Agenten nicht etwa auch Kommunikationsketten und -fäden ausforschen dürften, die teils über Jahre zurückreichten. Zudem fehlten die erforderlichen besonders hohen Eingriffsschwellen.</p><h3 class=„subheading“ id=„nav_zero_day_exploit2“>Zero-Day-Exploits „verbieten“</h3><p>Poscher mahnte auch eine „belastbare Kosten-Nutzen-Analyse“ an, da ein Verheimlichen von Sicherheitslücken für das Aufspielen von Überwachungssoftware Millionen von Systeme gefährde. Dies habe etwa die <a href=„https://www.heise.de/meldung/WannaCry-Was-wir-bisher-ueber-die-Ransomware-Attacke-wissen-3713502.html“><strong>WannaCry-Lücke [5]</strong></a> gezeigt, über die die NSA nicht einmal andere US-Behörden informiert habe. Hier drohten beträchtliche Schäden, wenn Schwachstellen offen gehalten und nicht aufgedeckt würden. Zugleich werde ein Markt befeuert, „auf dem diese Lücken gehandelt werden“.</p><p>Das Ausnutzen bislang nicht bekannter Schwachstellen „geht gar nicht“, schlug der Mainzer Staatsrechtler Matthias Bäcker in die gleiche Kerbe. Solche Zero-Day-Exploits verursachten Gefahren, die nicht zu rechtfertigen seien, Sie müssten „zwingend verboten werden“. Der Zugriff auf gespeicherte Inhalte komme zugleich einer beschränkten heimlichen Online-Durchsuchung gleich, für die laut dem Computer-Grundrecht höhere Anforderungen nötig wären.</p><h3 class=„subheading“ id=„nav_anbieter3“>Anbieter „in Teufels Küche“</h3><p>Mit der Mitwirkungspflicht sieht Bäcker ferner die Anbieter „in Teufels Küche“ kommen. Sollten diese Systeme manipulieren dürfen, habe er erhebliche Bedenken. „Unproblematischer“ wäre es, die Hersteller von Betriebssystemen offen dazu zu verpflichten, über ihre Updates Trojaner mitzuinstallieren. Microsoft und Apple würden das wohl „nicht gerne machen“, zumal damit auch ihre Grundrechte tangiert wären. „Unter Sicherheitsgesichtspunkten“ wäre dies aber „der vorzugswürdige Weg“. Generell bezeichnete der Rechtswissenschaftler <a href=„https://www.heise.de/news/Kabinett-will-Geheimdiensten-Zugriff-auf-Messenger-Nachrichten-geben-4934988.html“><strong>das Vorhaben [6]</strong></a> als Anlass, das komplette G10-Gesetz mit einer Verfassungsbeschwerde anzugreifen und zu knacken. Dies wäre aus bürgerrechtlicher Perspektive ein erfreuliches Ergebnis.</p><p>Laut Jan-Hendrik Dietrich von der Hochschule des Bundes für öffentliche Verwaltung ist die Quellen-TKÜ plus dagegen auch mit Blick auf das Grundgesetz zu rechtfertigen. Nötig wären dafür zwar eigentlich tatsächliche Anhaltspunkte für eine konkrete Gefahr für ein überragendes Rechtsgebiet. Das Bundesverfassungsgericht habe in seinem Urteil zur Online-Durchsuchung aber die Messenger-Kommunikation noch nicht im Blick gehabt. Betrachte man deren Abhören als Pendant zur klassischen Telekommunikationsüberwachung, seien daran niedrigere Anforderungen zu stellen.</p><h3 class=„subheading“ id=„nav_verfassungsschut4“>Verfassungsschutz: „Anschläge verhindern“</h3><p>BfV-Präsident Thomas Haldenwang betonte, dass der Inlandsgeheimdienst „mit den Möglichkeiten, die wir haben, in der heutigen Welt ankommen“ wolle. Im Gegensatz zum Bundeskriminalamt, <a href=„https://www.heise.de/news/BKA-nutzt-WhatsApp-Webfunktion-zum-Mitlesen-bei-Verdaechtigen-4848434.html“><strong>das nach eigenen Angaben auch über die Webversion von WhatsApp auf ein Mobilgerät ohne Staatstrojaner zugreifen und mitlesen kann [7]</strong></a>, beherrsche der Verfassungsschutz diesen Ansatz nicht. Daher sei eine legale Option zum Einsatz des Bundestrojaners nötig, <a href=„https://www.heise.de/meldung/Neuer-Verfassungsschutzchef-fordert-Zugriff-auf-verschluesselte-Kommunikation-4223818.html“><strong>die der Jurist schon seit Jahren fordert [8]</strong></a>.</p><p>Es gehe nicht um Massenüberwachung, Zero Days spielten keine Rolle, betonte Haldenwang. Ausgenutzt würden „bereits vorhandene Lücken“, die das BfV nicht kaufe. Ohne die Mitwirkung der Provider wäre dieses Instrument aber nur schwer umsetzbar. Man müsse „bestimmte Personen“ einsetzen können, um benötigte Geräte in Betriebsräumen aufzustellen und andere technische Mittel einzubringen. Ohne eine entsprechende Lizenz stünden die Agenten da wie eine Feuerwehr ohne Löschfahrzeug, da 90 Prozent der Bundesbürger verschlüsselte Dienste wie WhatsApp, Telegram & Threema nutzten. Ließe sich über das Vorhaben auch nur ein Anschlag verhindern, „war es der Sache schon wert“.</p><h3 class=„subheading“ id=„nav_branche5“>Branche „sehr besorgt“</h3><p>Parallel zeigte sich ein Bündnis aus Firmen wie Facebook, Google, Mail.de und Posteo sowie Organisationen wie dem Bundesverband IT-Mittelstand (BITMi), dem Bundesverband IT-Sicherheit (TeleTrusT), dem eco-Verband der Internetwirtschaft und dem Telekommunikationsverband VATM in einem <a href=„https://www.teletrust.de/uploads/media/210514-Gemeinsamer_Brief_BVerfSchG_-_Artikel_10-G.pdf“ rel=„external noopener“ target=„_blank“><strong>Brief an die Abgeordneten und die Regierung [9]</strong></a> „sehr besorgt über die massive Ausweitung“ der Quellen-TKÜ. Das Vorhaben könnte die Anbieter dazu zwingen, „die Sicherheit und Integrität ihrer eigenen Dienste einzuschränken, um Nachrichtendiensten bei der Spionage zu unterstützen“. Es dürften keine Maßnahmen ergriffen werden, „die eine Schwächung oder das Brechen von Verschlüsselung zur Folge hätten“. () </p><hr /><p><strong>URL dieses Artikels:</strong><br /><small><code>https://www.heise.de/-6047874</code></small></p><p><strong>Links in diesem Artikel:</strong><br /><small><code><strong>[1]</strong> https://www.heise.de/news/WhatsApp-Ueberwachung-Regierung-plant-Quellen-TKUe-plus-durch-Agenten-4874161.html</code></small><br /><small><code><strong>[2]</strong> https://www.heise.de/meldung/Neues-Computer-Grundrecht-schuetzt-auch-Laptops-und-Daten-im-Arbeitsspeicher-184298.html</code></small><br /><small><code><strong>[3]</strong> https://www.heise.de/news/Staatstrojaner-WhatsApp-Co-sollen-Netzverkehr-an-Geheimdienste-umleiten-4840383.html</code></small><br /><small><code><strong>[4]</strong> https://www.heise.de/meldung/BND-NSA-Affaere-Sonderermittler-deckt-erhebliche-Maengel-und-Rechtsbruch-auf-2866243.html</code></small><br /><small><code><strong>[5]</strong> https://www.heise.de/meldung/WannaCry-Was-wir-bisher-ueber-die-Ransomware-Attacke-wissen-3713502.html</code></small><br /><small><code><strong>[6]</strong> https://www.heise.de/news/Kabinett-will-Geheimdiensten-Zugriff-auf-Messenger-Nachrichten-geben-4934988.html</code></small><br /><small><code><strong>[7]</strong> https://www.heise.de/news/BKA-nutzt-WhatsApp-Webfunktion-zum-Mitlesen-bei-Verdaechtigen-4848434.html</code></small><br /><small><code><strong>[8]</strong> https://www.heise.de/meldung/Neuer-Verfassungsschutzchef-fordert-Zugriff-auf-verschluesselte-Kommunikation-4223818.html</code></small><br /><small><code><strong>[9]</strong> https://www.teletrust.de/uploads/media/210514-Gemeinsamer_Brief_BVerfSchG_-_Artikel_10-G.pdf</code></small><br /><small><code><strong>[10]</strong> mailto:vbr@heise.de</code></small><br /></p><p class=„printversioncopyright“><em>Copyright © 2021 Heise Medien</em></p> </html>
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International