Beinahe umbemerkt von der Öffentlichkeit hat der Deutsche Bundestag vergangene Woche ein neues Instrument der Überwachung beschlossen. Ab sofort können die Unsicherheitsbehörden in die digitalen Endgeräte der Bürger Abhörwerkzeuge einschleusen. Das bedeutet, dass der Staat mithören, -lesen, -schneiden kann, was die Nutzer an Kommunikation über Computer oder Smartphone abwickeln – also alles, was wir untereinander austauschen. Der Innenminister sitzt quasi im Herzen unserer Mobiltelefone. Das Mittel, mit dem er abhört, wird in der Debatte gern Staatstrojaner genannt.
Irgendwo muss freilich etwas schiefgelaufen sein in der modernen Interpretation der Symbolik griechischer Mythologie. Das Pferd des Epeios, es war das Mittel zur Eroberung Trojas – also waren die Trojaner die Opfer der List und nicht etwa die Übeltäter. Doch um List, darum geht es beim sogenannten Staatstrojaner. Die Aufgabe ist klar: Ohr und Auge der Strafverfolgungsbehörden zu sein, zu hören, zu sehen, zu lesen, was sonst kein Mensch zu sehen oder hören bekäme – außer denen, die von Angesicht zu Angesicht miteinander direkt kommunizieren.
Schadprogramm
Unauffällig kommt der Trojaner daher, als kleines Programm – eigentlich ein Schadprogramm. Er muss irgendwie auf, genauer in das Gerät kommen. Entweder aus der Ferne, über das Internet, oder bei einer anderen Gelegenheit. Zum Beispiel dann, wenn es am Flughafen heißt, man müsse den Laptop auf Sprengstoffspuren prüfen. Dann nimmt ein Bundespolizist den Computer, schaltet ihn an – und steckt kurz einen USB-Stick ein, auf dem er sitzt. Aber das funktioniert nicht immer. Manchmal muss er auch über andere Wege eingeschleust werden, zum Beispiel über das Internet. Vielleicht wie seine bösen Verwandten, indem er als E-Mail-Anhang kommt und jemand den Anhang öffnet, vielleicht auch als Werbeanzeige. Versteckt er sich vielleicht demnächst auch in anderer Software? Damit das klappt, muss der Staatstrojaner unbekannt sein für Virenscanner. Er braucht Sicherheitslücken, die nicht so leicht auffindbar sind. Oder Nutzer, die sich um Updates nicht kümmern. Dann ist er drin, am Ende seiner Reise.
Die Reiseziele sind digitale Endgeräte – Computer, Smartphones. Aber vielleicht auch die Playstation, der smarte Fernseher oder Alexa, das kleine Gerät von Amazon, das immer zuhört und nur darauf wartet, dass jemand mit ihm spricht. Tief muss er hinein ins System. Denn er muss mitlesen können, was passiert, mitschneiden können, was gesprochen wird. Und dabei immer schön unsichtbar bleiben.
Die ersten Verwandten waren primitiv. Bildschirmfotos machen, speichern, verschicken – immer dann, wenn derjenige, der das Ziel ist, einen Skypechat öffnet. Skype, eines dieser Programme, bei dem die Anbieter Verschlüsselung eingeschaltet haben. Vom Computer des einen zum Computer des anderen sieht man nurDatensalat. Den zu entschlüsseln geht zwar, aber es kostet unglaublich viel Zeit, Strom und Geld – auch wirklich große Nachrichtendienste müssen da lange dran knabbern.
Lange hat man darüber gestritten, ob man nicht einfach unknackbare Verschlüsselung verbieten sollte. Dann wäre für den Staatstrojaner einfach nichts mehr zu tun gewesen. Aber Verschlüsselung, die man knacken kann, die ist nicht sicher. Und eigentlich will man ja Sicherheit – für die Wirtschaft, für die Politik, für die Behörden. Dass dann auch Kriminelle das nutzen können, ist ein Nebeneffekt. Und praktisch durchsetzbar wäre das auch nicht, man kann ja kaum jeden bestrafen, der Whatsapp, Signal, Threema oder Skype – also jene Programme, die End-zu-End-Verschlüsselung anbieten – einsetzt. Was also tun?
Politiker, Nachrichtendienste und Polizisten wollen deshalb vor die Verschlüsselung kommen. Die beginnt erst, sobald etwas gesagt oder geschrieben wurde. Aber zugleich sagen sie, dass zum Schutz vor Spionage und Wirtschaftsspionage Verschlüsselung ein absolutes Muss ist.
Jetzt sitzt der kleine Staatstrojaner auf einem Endgerät eines Verdächtigen. Und es gibt viele Anlässe dafür. Bei manchen findet es wohl jeder richtig. Wenn es um Menschenschmuggel geht, wenn es um Waffen- und Drogenhandel in großem Stil geht oder Verbrechen gegen die Menschlichkeit. Aber schon beim Landesverrat wird es schwieriger. Wer ist denn eigentlich ein Landesverräter? Und: Wie schnell wird man des Landesverrats verdächtigt? Journalisten werden selten, aber doch immer wieder Ziel dieser Beschuldigung. Ist noch gar nicht lange her, dass das passiert ist.
Damit das nicht mal eben schnell vorkommt, soll ein Ermittlungsrichter den Einsatz genehmigen müssen. Immerhin. Aber ob die Richter immer verstehen, was sie da genehmigen? Ob sie stets die Zeit haben, zu prüfen, ob das, was ihnen gesagt wird, auch wirklich stimmt? Ob Polizisten nicht aus Bequemlichkeit auch gerne schnell den Antrag schreiben? Wenn die Installation klappt, ist das viel praktischer als eine altertümliche Telekommunikationsüberwachung, bei der Telefonate und Internetverkehr vom Anschluss mitgeschnitten werden.
Man sieht ja direkt, was passiert. Ob der Verdächtige auf Tinder einen Partner für die Nacht sucht – das muss natürlich dann anschließend gelöscht werden; oder ob er eine Bekenner-Videobotschaft an Amaq, die Propaganda-Abteilung des sogenannten Islamischen Staates, übermittelt. Ob er Treffpunkte für die Übergabe von zwangsprostituierten Moldawierinnen vereinbart oder sich zum Fußballspielen verabredet. Ob er Liebesbotschaften schreibt, sich bei der Kundenhotline beschwert, welche Überweisungs-TANs er gerade per SMS bekommt. Das gesamte Leben liegt per Computer und Smartphone vor den Beamten.
Aber vielleicht wissen die Polizisten ja auch, dass ihnen das Instrument wieder weggenommen werden könnte, wenn sie es zu oft bei zu lapidaren Fällen einsetzen. Immerhin ist es das brutalste Mittel im Instrumentenkoffer. Aber ob das im Einzelfall mitgedacht wird?
Die Richter beim Bundesverfassungsgericht in Karlsruhe haben 2008 etwas Neues erfunden: Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme. Sprich: Der Staat darf nicht einfach so auf digitale Endgeräte. Natürlich ist das, wie alle Grundrechte, einschränkbar. Mit vielen Hürden, mit vielen Mechanismen, die Missbrauch verhindern sollen. Alles berücksichtigt, sagen die Abgeordneten, die dem breiten Einsatz des Bundestrojaners jetzt grünes Licht erteilten.
Dem Staatstrojaner selbst ist das egal. Er ist ein Werkzeug. Er wird konfiguriert, programmiert. Mit dem Ziel, Kommunikation auszuspähen. Aber einmal drin, kann er technisch viel mehr. Ob ein Staatstrojaner nur Kommunikation mitschneidet, oder ob er die große Schwester davon ist, die Onlinedurchsuchung, bei der er alles angucken darf, was auf dem Computer und auf damit verbundenen und erreichbaren Speichern ist, ist nur eine Frage der Konfiguration. Ganz ausschließen, dass er dazu fähig ist, kann man technisch nicht. Wer ihn bedient, könnte sogar – aber das macht doch sicher kein Strafverfolger – Dateien ändern. Manche löschen, neue draufkopieren. Weshalb alles, was er tut, mitprotokolliert werden muss. Wie soll eigentlich verhindert werden, dass mit dem Wissen aus dem Staatstrojanereinsatz die Spitzelbeamten auf anderem Wege etwas ändern? Also beispielsweise in einem Onlinespeicher etwas ablegen, dessen Passwort man nun kennt? Nein, das wird schon kein Strafverfolger tun.
Hungrig auf Sicherheitslücken
Er sitzt tief im System, auf unbekannten oder ungeschlossenen Sicherheitslücken. Schön blöd wären die Strafverfolger, würden sie jetzt hingehen, und die Anbieter oder Antivirensoftwarehersteller warnen, dass es diese gibt. Sie würden dem eigenen Staatstrojaner die Tür zumachen. Klar, wenn die deutsche Polizei eine Sicherheitslücke ausnutzt, kann man auch davon ausgehen, dass Nachrichtendienste aus der ganzen Welt, dass Kriminelle diese Lücke auch nutzen können. Aber hier geht es um das Gute.
Das Schlimmste, was passieren kann, ganz wie in Troja einst: dass der Sinn des Staatstrojaners entdeckt wird. Dass Sicherheitsexperten ihn analysieren und herausfinden, wie er funktioniert. Und das Werkzeug verbrannt wird. Dass Antivirensoftwarehersteller die digitalen Fingerabdrücke nehmen und künftige Einsätze verhindern. Dann braucht es neue Sicherheitslücken, dann muss das Programm umgeschrieben werden. Epeios’ modernes Pferd, mit dem wir Trojaner angreifbar bleiben sollen, muss ständig neu gebaut werden – es ist hungrig. Nach Sicherheitslücken.
Was ist Ihre Meinung?
Kommentare einblendenDiskutieren Sie mit.