Ein hölzernes Pferd steht auf einem Laptop mit Deutschland-Adler auf dem Monitor
Bild © picture-alliance/dpa

Mit den sogenannten Staatstrojanern können Sicherheitsbehörden die Kommunikation aller Bürger ausspionieren. Doch Datenschützer befürchten Sicherheitsrisiken und kritisieren, dass dadurch das Maß der Überwachung nicht mehr zu kontrollieren ist.

Audiobeitrag

Podcast

zum Artikel Daten contra Freiheit - Gibt es noch einen Raum, der nicht überwacht wird?

Ende des Audiobeitrags

Allein im vergangenen Jahr wurden fünf Überwachungsgesetze beschlossen. Darunter die ausgeweitete Videoüberwachung, der Austausch von Fluggastdaten, die Verwendung von biometrischen Fotos für fast alle Ermittlungsverfahren und das Speichern der Kundendaten von Telekommunikation-Anbietern – und zwar sechs Monate lang. Und seit vergangenem Sommer ist auch der Einsatz sogenannter Staatstrojaner gesetzlich geregelt. Damit ist es – rein theoretisch – möglich, auch schon bei kleineren Vergehen die Computer, Tablets und Smartphones aller Bürger auszuspähen.

Sind solche Überwachungssysteme wirklich nötig, um unsere Sicherheit zu gewährleisten? Ja, sagt ein Hacker, der seit knapp zwanzig Jahren in dieser Branche unterwegs ist – und zwar international. Der Informant möchte bei diesem sensiblen Thema lieber anonym bleiben. Er selbst bezeichnet sich aber als Sicherheits-Forscher, unterstützt Strafverfolgungsbehörden und erforscht in diesem Zusammenhang Sicherheitslücken in gängigen Betriebssystemen von Windows, Linux und ab und an auch Smartphones. Er selbst hatte bereits mehrfach Berührungen Staatstrojanern.

"Staatliche Software unterliegt bestimmten Regularien"

"Die Aufgaben sind sehr vielschichtig, es geht ja darum, Schwerkriminellen das Handwerk zu legen, Kinderpornografie-Händler zu identifizieren und vieles mehr, was man in der Öffentlichkeit selten erfährt", sagt er. "Es muss gewährleistet sein, dass Strafverfolgungsdienste und Geheimdienste ein technisches Mittel an die Hand bekommen, um Terroristen jagen zu können, zu identifizieren und auch unschädlich zu machen, bevor sie einen Anschlag verüben. Alles das gehört zusammen.“

Dabei diene die Software nicht dazu, die breite Masse an Menschen zu überwachen und die Software werde auch nicht zum Standardwerkzeug, sagt der Hacker. Die Kosten, die dabei entstehen, sind enorm. Die vom BKA selbst entwickelte Überwachungs-Software RCIS beispielsweise war mehrere Millionen Euro teuer. "Es ist durchaus als aufwendig zu benennen, denn staatliche Software unterliegt bestimmten Regularien, nach denen die Software programmiert und dann zum Einsatz kommen darf. Das fängt bei der Entwicklung an und endet im taktischen Einsatz.“

Bekannte Sicherheitslücken werden nicht geschlossen

Ein großer Knackpunkt beim Staatstrojaner ist es, dass bekannte Sicherheitslücken nicht geschlossen werden, um die Systeme eben für Spähsoftware offen zu halten. Denn das kollidiert mit dem staatlichen Auftrag, Bürger genau vor solchen Sicherheitslücken zu schützen, kritisiert Peter Schaar. Er war bis 2013 Datenschutzbeauftragter der Bundesregierung und ist jetzt der Vorsitzende der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin.

Peter Schaar, ehemaliger Datenschutzbeauftragter der Bundesregierung
Peter Schaar, ehemaliger Datenschutzbeauftragter der Bundesregierung Bild © picture-alliance/dpa

"In dem Moment, wo der Staat solche Sicherheitslücken sammelt, und das tut er, damit dann staatliche Stellen mithören können, in dem Moment bleiben diese Sicherheitslücken offen und das staatliche Interesse daran, diese Lücken zu schließen, ist vergleichbar gering." Eine Möglichkeit wäre beispielsweise, diese Sicherheitslücken nur für einen bestimmten Zeitraum offen zu halten, schlägt Schaar vor. "Und dann, nach diesem kurzen Zeitfenster, die Sicherheitslücke geschlossen wird. Dass man so allerdings vorgehen will, habe ich bislang noch nicht vernommen."

"Datenschutz wird immer wichtiger"

Deshalb sollten wir uns vom Datenschutz keineswegs verabschieden, sagt Schaar. Im Gegenteil, der technologische Datenschutz werde immer wichtiger. "Gegen solche Überwachungen helfen letztlich auch nur technische Vorkehrungen, wie Verschlüsselung. Das hat die negative Seite für die staatlichen Stellen, dass dort, wo sie auch überwachen dürften, es immer schwerer haben."

Für die normale Telekommunikationsüberwachung wenden sich die Sicherheitsbehörden an den Anbieter, beispielsweise den meines Handys oder meines Festnetzanschlusses. Bei der Quellen-Telekommunikationsüberwachung oder bei Onlinedurchsuchungen ist das anders. Hier kommen die sogenannten „Trojaner“ zum Einsatz – mein Rechner oder mein Smartphone werden also gehackt. Bei der Quellen-Telekommunikationsüberwachung beschränkt sich der Trojaner auf die laufende Kommunikation.

Wo fängt Kommunikation an?

Fällt also dann auch schon eine E-Mail unter Kommunikation, die ich vielleicht nur schreibe, aber nicht abschicke? Genau diese Abgrenzung sei technisch sehr schwierig, kritisiert Constanze Kurz vom Chaos Computer Club. "Aus meiner Sicht ist es ein Trick", sagt sie. "Es gibt keinen technischen Beleg dafür, dass ein Trojaner überhaupt beschränkt werden kann, auf diese Form der nur laufenden Überwachung. Schlicht, weil natürlich ein Spionageprogramm nicht entscheiden kann, ob jetzt eine E-Mail abgeschickt wird oder ob man nur mal einen Entwurf tippt.  Wie soll ein Trojaner das unterscheiden?“

Noch einen Schritt weiter geht die Online-Durchsuchung – die allerdings nur unter bestimmten, strengen Voraussetzungen möglich ist. Dabei erhält der Trojaner im Prinzip Zugriff auf das gesamte System. "Die Folgeschäden und die Risiken, aber auch das Missbrauchsrisiko beim staatlichen Hacken ist enorm groß", sagt Kurz. "Und ich glaube, wir sollten diese Maßnahme nicht vergleichen mit andern Überwachungsmaßnahmen. Schon gar nicht für Geheimdienste. Denn anders als bei der Polizei, hat man bei Geheimdiensten so gut wie keine Möglichkeit, überhaupt zu prüfen, was die eigentlich damit machen.“

Hessen-Trojaner

Constanze Kurz spricht damit die geplanten Änderungen des hessischen Verfassungsschutzgesetztes an. CDU und Grüne wollen das neue Gesetz noch vor dem Sommer verabschieden. Mit der Änderung dürfte dann nicht nur – wie es jetzt schon möglich ist – die hessische Polizei auf die Daten einer elektronischen Überwachung von Verdächtigen zurückgreifen, sondern auch der Verfassungsschutz. Besonders in der Zwickmühle sind dabei die Grünen, ihre Basis ist gegen den Einsatz von Trojanern.

Bei der Anhörung im Hessischen Landtag in dieser Woche war die Meinung von Verfassungsrechtlern und Datenschützern zur Spähsoftware vernichtend. Die häufigsten Vorwürfe: Die Software sei verfassungswidrig, weil eine Begrenzung der Ausspähung technisch unmöglich sei.

Weitere Informationen

Mehr zum Thema

Ende der weiteren Informationen

Sendung: hr-iNFO, 9.2.2018, 21.35 Uhr

Jetzt im Programm