Diese Website verwendet Cookies.
Zum Hauptinhalt springen
Diagramm "FinFisher malware complex"

Martina Renner

Die Mechanismen für den Einsatz von Überwachungstechnologie

Den Polizeibehörden steht seit jeher das Instrument der Telefonüberwachung zur Verfügung, um die Kommunikation Verdächtiger zu überwachen und so neue Ermittlungsansätze oder sogar Beweise zu generieren. Mit den Jahren wurde eine entsprechende Befugnis auch in die polizeiliche Gefahrenabwehr eingeführt, zunächst 2002 im CDU-regierten Thüringen, inzwischen steht den meisten Landespolizeibehörden dieses Mittel zur Verfügung. 2004 erhielt der Zoll die Befugnis zur präventiven Telekommunikationsüberwachung, 2008 dann das Bundeskriminalamt im Rahmen seiner Befugnisse zur Terrorismusabwehr. Die Geheimdienste setzen Telekommunikationsüberwachung schon immer ein – lange ohne ausdrückliche Rechtsgrundlage.  Doch mit der Entwicklung des Internets zu einer umfassenden Kommunikationsplattform wurde die Reichweite dieses Instruments beschränkt: ab den Nuller-Jahren konnte mittels entsprechender Software auch über den Heim-PC telefoniert werden. Es wurde nun nicht mehr telefoniert, sondern geskypt – weitgehend von kostenbewussten jungen Menschen, aber eben auch durch mutmaßliche Straftäter. Diese Kommunikation kann anders als jene über das Telefon aber nicht mehr durch Ausleitung an den Leitungen abgehört werden – sie wird schon im Gerät verschlüsselt und dann an den Empfänger gesendet, der sie wieder entschlüsselt. Darauf haben die Behörden reagiert. Und zwar zunächst, zurückhaltend formuliert, in einer rechtlichen Grauzone: denn nach der Strafprozessordnung und dem Telekommunikationsgesetz bezieht sich die Befugnis zum Abhören der Telekommunikation zunächst nur auf das Telefon und die Anbieter von Telekommunikation, die den Behörden einen Zugang zu ihren Leitungen gewähren müssen. Soll aber die Telekommunikation abgefangen werden, bevor sie verschlüsselt ist, muss sie schon vorher ausgeleitet werden – von einem Programm, das die einen „fern- forensische Software“ nennen und die anderen „Staatstrojaner“.

Die Strafverfolgungsbehörden taten aber zunächst einmal so, als ob das Aufbringen dieser Software auf den Geräten ihrer Zielpersonen einfach eine Art notwendiger und vom gerichtlichen Beschluss zum Abhören gedeckter Vorbereitungsakt wäre. Vorreiter dieses Modells war das Bundesland Bayern. Es setzte in einem Ermittlungsverfahren im Jahr 2010 einen Trojaner ein, der eigentlich nur Gespräche ausleiten sollte. Leider konnte dieses Programm der hessischen Firma DigiTask weit mehr, so landeten etwa 60.000 Screenshots der Bedienoberfläche auf den Rechnern der Ermittler, mit denen sich minutiös die Aktivitäten der Zielperson am Rechner nachvollziehen ließen. Öffentlich wurde der Skandal, weil die Software dem Chaos Computer Club in die Hände fiel. Dieser merkte auch an, dass die Daten aus dem überwachten Rechner unverschlüsselt an die Behörden übermittelt wurden – sie konnten also auch von Dritten ausgeleitet und gelesen werden. Für die Union war dabei klar, dass es sich um keinen Skandal handelt: „Man darf den Behörden nicht solche massiven Vorwürfe machen.“, retournierte der Innenpolitiker Wolfgang Bosbach (CDU) die Kritik von Bürgerrechtlern und Juristen. Hans-Peter Uhl (CSU), damals innenpolitischer Sprecher CDU/CSU-Bundestagsfraktion sah in der Kritik gar eine  „Skandalisierung legitimer Maßnahmen“.

Tatsächlich hatte allerdings das zuständige Landgericht Landshut die von Uhl als legitim behaupteten Maßnahmen für rechtswidrig befunden. Das Bundesverfassungsgericht sah das selbstverständlich auch anders und zwar als verfassungswidrig. Es wertete den Akt des Eindringens in ein informationstechnisches Gerät und des Aufspielens von Programmen ohne Wissen und Einfluss des Nutzers bzw. der Nutzerin als einen eigenständigen Eingriff in Grundrechte. Es entwickelte hierzu sogar sehr diskussionswürdige Gedanken zum neuen Verhältnis des Menschen zu seiner sozialen Umwelt im informationstechnischen Zeitalter: wenn der Großteil der Kommunikation und die Niederschrift privater Gedanken mit informationstechnischen Systemen verbunden sei, dann müssten sich der Schutz von Privatsphäre und Persönlichkeitsentfaltung auch auf diese Systeme erstrecken. Ein neues „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“, auch „Cyber-Grundrecht“ oder  „Computergrundrecht“ wurde in Weiterentwicklung der „informationellen Selbstbestimmung“ geboren.

Bei allen gesetzlichen Bestimmungen, die einen Eingriff in dieses „Computergrundrecht“ regeln wollen, muss dann auch der 2004 vom Bundesverfassungsgericht entwickelte „Schutz des absoluten Kernbereichs der privaten Lebensgestaltung“ beachtet werden: Erkenntnisse aus diesem Bereich dürfen nicht überwacht und aufgezeichnet werden. Gegenstand dieses Urteils des Bundesverfassungsgerichts war ein Gesetz aus Nord- rhein-Westfalen, mit dem das dortige Landesamt für Verfassungsschutz sogar eine noch weitergehende Befugnis erhalten hatte, nämlich zum unmittelbaren Zugriff auf die Daten in einem Computer – die so genannte „Online-Durchsuchung“.  Schon zuvor, 2007, hatte der BGH festgestellt, dass jedenfalls eine Online-Durchsuchung in Strafverfahren nicht auf die bis dahin geltenden Rechtsgrundlagen gestützt werden könne. Danach setzte sich die Ansicht durch, dass auch für Quellen- Telekommunikationsüberwachung (Quellen-TKÜ) eine eigene Rechtsgrundlage geschaffen werden müsse. Es dauerte dann allerdings noch bis 2017, als der Bundestag mit dem „Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens“ in § 100a (Quellen-TKÜ) und § 100b (Online-Durchsuchung) Strafprozessordnung auch tatsächlich eine Rechtsgrundlage im Strafverfahren schuf. Schneller ging es in der Gefahrenabwehr: mit dem § 49 BKA-Gesetz (§ 20k BKAG alter Fassung) wurde bereits 2009 eine Rechtsgrundlage für den Einsatz der Online-Durchsuchung bei der Abwehr von Gefahren des internationalen  Terrorismus geschaffen, ebenso für die Quellen-TKÜ (BKAG § 51 BKAG bzw. § 20 l Abs. 2 BKAG a.F.). Beide Regelungen mussten nach einem neuerlichen Urteil des Bundesverfassungsgerichts 2016 insbesondere hinsichtlich des Kernbereichsschutzes und der Weiterverwendung der erhobenen Daten überarbeitet werden4. Ähnliche Regelungen zur Quellen-TKÜ finden sich in den Polizeigesetzen der Länder, allen voran Bayern, aber auch Baden-Württemberg, Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz und Thüringen.

Über den praktischen Vollzug der Befugnisse von Polizei und Geheimdiensten bei der heimlichen Ausspähung von Kommunikation und Daten auf digitalen Endgeräten wissen auch die Abgeordneten des Bundestages und der Länderparlamente recht wenig, und über das Wenige dürfen sie nicht sprechen. Die Bundesregierung stuft entsprechende Informationen als Verschlusssachen ein, weil ihr Bekanntwerden die Arbeit der Behörden gefährde. Nach dem Motto: wenn die Terroristen und andere Verbrecher wissen, ob und in welchem Umfang die „Staats-Trojaner“ eingesetzt werden, könnten sie ihr Verhalten darauf einstellen und so den staatlichen Maßnahmen entgehen. Dabei ist schon nicht klar, was denn da verborgen werden soll: die Tatsache der Überwachung an sich? Deren Grundlage steht im Gesetz, darüber besteht keine Unklarheit. Oder über die Zahl der konkreten Anwendungsfälle? Da laufende  Gefahrenabwehr- und Strafverfolgungsfälle ohnehin in keiner Form berichtet werden – was niemand ernsthaft kritisiert – und es immer nur um eine retrograde Aufbereitung geht, erschließt sich auch die Notwendigkeit der Geheimhaltung  überhaupt nicht. Mit Blick auf die Zahlen – die selbstverständlich auch hier nicht verraten werden dürfen – stellt sich aber eine ganz andere Frage: sind die deutschen Behörden überhaupt in der Lage, „Staatstrojaner“ zu entwickeln und einzusetzen?

Nach der Posse um den „Bayern-Trojaner“ und die zahlreichen Urteile des Bundesverfassungsgerichts zum Eingriff in das Computer-Grundrecht wurde 2012 eine „Standardisierende Leistungsbeschreibung“ für Überwachungssoftware veröffentlicht. Daran ist erkennbar, dass es Behörden schwer fällt, dieses Instrument einzusetzen. Denn die Spähsoftware muss nicht nur den rechtlichen Anforderungen – nur im Rahmen der Befugnis Daten ausleiten, gegen Zugriffe von außen sicher sein – genügen, sondern dazu noch für eine Vielzahl von Betriebssystemen und Anwendungen angepasst werden. Wegen der hohen rechtlichen Hürden für den Einsatz einer Quellen-TKÜ-Software im Einzelfall lohnt sich anders als in politischen Systemen ohne umfassende Datenschutzrechte nicht die massenhafte Entwicklung von Späh-Software für alle Gelegenheiten, wie sie etwa die NSA betreibt. Dies setzt auch umfassende Kenntnisse von Schwachstellen gängiger Systeme und Plattformen voraus, die dort gehortet werden. Es ist daher wohl nicht von ungefähr, dass die NSA auch in den größten Geheimdienstskandal der letzten Jahre verwickelt war. Der BND hatte ab 2005 auf der Basis veralteter Rechtsgrundlagen und abseitiger Rechtfertigungstheorien möglichst umfassend Telekommunikationsverkehre erfasst und überwacht. Die notwendige Expertise holte man sich von ausländischen Geheimdiensten nach (damals noch) Pullach bzw. Bad Aibling. Um den hinderlichen Schutz des Grundgesetzes zu umgehen, dachte man sich zusammen mit den „Kontrolleuren“ in Kanzleramt und Bundesinnenministerium die „Weltraumtheorie“ aus. Diese stammt noch aus den Zeiten internationaler Satellitenkommunikation, als die Kommunikation an den Satelliten mitgeschnitten worden sein soll. Und da im Weltraum unsere Verfassung nicht gilt, sah sich der Geheimdienst von der Notwendigkeit einer Rechtsgrundlage befreit. Und obwohl rechtlich nur die Überwachung eines Fünftels einer Kommunikationsleitung zugelassen war, wurden tatsächlich 100% der Kommunikation  aus den angezapften Glasfaserleitungen abgeschnorchelt.

Edward Snowden hat schließlich die Massenüberwachung der US-Dienste und ihrer befreundeten Partner öffentlich gemacht. Und noch während ein Untersuchungsausschuss im Bundestag dies aufzuklären versuchte, schufen Regierungsparteien und Sicherheitsbehörden Fakten mit einer neuen gesetzlichen Regelung. Damit wird dem BND nun sogar noch ein deutlicher Zuwachs an Überwachungskompetenzen zugebilligt. Und erneut müssen die Überwachten, wie Journalist*innen, Rechtsanwält*innen und Bürgerrechtsgruppen, sich dagegen zur Wehr setzen. Hier sind  immer wieder ähnliche Muster zu erkennen: Behörden preschen ohne oder auf Basis ungeeigneter Rechtsgrundlagen mit neuen Überwachungsmethoden vor, werden dann von kritischer Öffentlichkeit, engagierten zivilgesellschaftlichen Akteuren, Verfassungsgerichten zurückgepfiffen – damit am Ende die regierenden Koalitionen die benötigten gesetzlichen Grundlagen schaffen. Immer haarscharf an der Kante zur Verfassungswidrigkeit entlang.  Von Regierungsseite wird immer wieder betont, dass zur Wahrung der „digitalen Souveränität“ eine deutsche IT-Branche aufgebaut und gefördert werden soll. In der klassischen Industriepolitik, bei Kraftwerken oder Waffen, konnte der Staat dafür selbst sorgen, indem er eine entsprechende Nachfrage generierte. Bei Spähsoftware ist aber die staatliche Nachfrage aufgrund der engen Rahmenbedingungen eher gering. Unternehmen wie FinFisher und die wenigen anderen deutschen oder wenigstens europäischen Anbieter dieser Branche werden daher ausgesucht freundlich behandelt. Bislang ist trotz stetig neuer Hinweise auf einen illegalen Export der Fin-Fisher-Software FinSpy an die Türkei nicht bekannt geworden, dass zuständige Behörden – Bundeskriminalamt, Zoll, Bundesamt für Wirtschaft und Ausfuhrkontrolle – aktiv geworden sind, um dem Verdacht auf einen Bruch ausfuhrrechtlicher Bestimmungen nachzugehen. Was nicht verwundert: der Export in Märkte, die aufgrund einer vollständig oder weitgehend fehlenden Bindung der Repressionsbehörden an Recht und Gesetz eine große Nachfrage bieten können, ist die einzige Möglichkeit für solche Unternehmen, Umsatz zu generieren und Erfahrungswissen aufzubauen – um im Gegenzug auch deutschen Behörden zu günstigen Konditionen die dort entwickelten Anwendungen anbieten zu können.

Ein besonders krasses Beispiel ist der 2012 unvollendet gebliebene Aufbau der vollständigen Internet- und Telekommunikationsüberwachung in Syrien. Neben der französischen Firma Qosmos (deep packet inspection, Echtzeitüberwachung von Datenflüssen in Netzwerken) und der italienischen Area Spa (Netzwerktechnik) war daran auch Utimatico beteiligt. Das Aachener Unternehmen bewirbt auf seiner Internetpräsenz „Lawfull Interception & Data Retention Systems“ als Schwerpunkt seiner Tätigkeit. Zum Zeitpunkt der zitierten Untersuchung durch Privacy International seien in Syrien keine seiner Produkte mehr im Einsatz gewesen, wie das Unternehmen zum Zeitpunkt der Veröffentlichung erklärte. NSA, FinFisher, Aufbau von Systemen zur totalen Kommunikationsüberwachung in Diktaturen: all das macht deutlich, dass der Kampf gegen staatliche Überwachung und ihre privaten Profiteure durch eine breite und global denkende Bürgerrechtsbewegung getragen werden muss. In der Bundesrepublik soll keine Spähsoftware entwickelt werden – weder für den Einsatz im Inland noch für den Export.

Mehr zum Projekt „Malware-Dienstleistungen für staatliche Stellen – Digitale Rüstungsgüter aus dem Isar Valley“ gibt es hier, den Reader zum Projekt finden Sie hier

 


Martina Renner ist stellvertretende Parteivorsitzende und Mitglied des Bundestages, im Innenausschuss und stellvertretend im Ausschuss für Recht und Verbraucherschutz. Sie ist im Kuratorium der Bundeszentrale für Politische Bildung im Beirat des Bündnis für Demokratie und Toleranz vertreten sowie Sprecherin für antifaschistische Politik der Linksfraktion im Bundestag und Obfrau im parlamentarischen Untersuchungsausschuss zum Anschlag auf dem Breitscheidplatz.

Konsequente Ächtung von Rassismus! #Hanau

der rechte rand

Aktuelle Parlamentarische Initiativen


Martina Renner

Tötungsdelikte im Phänomenbereich Politisch Motivierte Kriminalität -rechts- in den Jahren 2019 und 2020

Kleine Anfrage (19/24663) der Abgeordneten Martina Renner Weiterlesen


Martina Renner

Entwicklung der Zahl per Haftbefehl gesuchter Neonazis (Herbst 2020)

Kleine Anfrage (19/24664) der Linksfraktion Weiterlesen