Der Staatstrojaner: Deutschlands Wunderwaffe im digitalen Wettrüsten

Staatstrojaner ArtikelbildAm 22.6.2017 verabschiedete das Parlament mit den Stimmen der Großen Koalition das “Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens”. Mit dieser Änderung erhalten polizeiliche Ermittler die Befugnis, auf die Endgeräte von Verdächtigen bestimmter schwerer Straftaten Malware aufzuspielen, welche deren Kommunikation vor jeder Verschlüsselung abgreift und den Behörden übermittelt.

Dieser sogenannte “Staatstrojaner” wurde von den beiden Privatunternehmen DigiTask (Version von 2011) und Gamma International (aktuelle Version, FinFisher, ein deutsch-britischer Exportschlager) entwickelt. Er ist die Antwort der Regierung auf den Trend zur Verschlüsselung, der nach den Enthüllungen Edward Snowdens über die weitreichenden Aufklärungs- und Spionageaktionen der US-Behörde NSA aufgekommen war.

Vorausgegangen waren Klagen von Polizei und Innenministerium, dass ihre Überwachungsmaßnahmen ins Leere laufen: die seit Jahren verankerte Befugnis zum Abhören von Telefonaten und dem Abfangen von SMS würde von Kriminellen und Staatsfeinden unterlaufen. Der Staatstrojaner (dessen erste Version im Jahr 2011 gestoppt wurde, da der Chaos Computer Club gezeigt hatte, dass er unsicher war und in seinen Spionagefähigkeiten über das Erlaubte hinaus ging), so das Verständnis der Regierung, stellt also nur den Status Quo wieder her, der durch die technische Innovation im Bereich Kryptographie aus dem Lot geraten war. (Es soll an dieser Stelle angemerkt sein, dass die Polizei in ihrer jährlichen Statistik der Online-Überwachung auch 2015 einen deutlichen Anstieg der Fälle anzeigte. Die Behinderung durch die Kryptographie hat dem Erfolg des Instruments offenbar keinen Abbruch getan.)

Die Geschichte wiederholt sich nicht, sie gibt sarkastische Kommentare ab

In einem Fall historischer Ironie geriet ein naher Verwandter des Staatstrojaners zeitgleich in die Schlagzeilen: die Ransomware Petya legte ab dem 27. Juni zahllose Computersysteme in Europa lahm, darunter sicherheitsrelevante wie Nahverkehrsleitstellen, Nuklearüberwachungsanlagen, Krankenhäuser und Frachthäfen. Petya nutzt eine Schwachstelle namens EternalBlue aus, welche die US-Behörde TAO, Teil der NSA, entdeckt und geheim gehalten hatte. Sie wurde im April 2017 von Hackern bekannt gemacht.

Petya beweist eindrucksvoll die Sicherheitsbedenken, welche der Staatstrojaner bei Fachleuten hervorruft. Durch die Kultivierung von Schwachstellen und Einfallstoren in Computersystemen öffnet er Kriminellen oder staatlichen Cybertruppen Tür und Tor. Es ist, kurz gesagt, nahezu unmöglich ein System vor Angriffen zu schützen, ohne dass staatliche Stellen aktiv die Sicherheitsvorkehrungen ihrer Bürger untergraben. Sie arbeiten damit auch gegen ihre eigenen Bestrebungen der nationalen Cyber-Sicherheit. Ein digitales Wettrüsten, bei dem die Geheimdienste Schwachstellen horten wie seinerzeit Atomwaffen, steht zu befürchten. Der digitale Schlagabtausch zwischen Nationen ist seit November 2016 keine Fiktion mehr, als der noch amtierende US-Präsident Obama Cyber-Schläge gegen Russland als Reaktion auf deren Eingreifen in den US-Wahlkampf anordnete. Von dieser Sorge getrieben, forderte etwa Microsoft jüngst einen digitalen Nichtangriffspakt: Schwachstellen müssten rasch und vollständig bekannt gemacht werden. Nur so können sie rechtzeitig behoben werden.

Geheimbotschaften auf Nacktfotos

Ein weiteres Problem sehen Datenschützer: der Staatstrojaner greift auf das Smartphone zu, also auf ein Gerät, das längst im Lebensmittelpunkt vieler Menschen angekommen ist. Sie speichern dort Familiäres, medizinische und finanzielle Informationen, berufliche Daten und romantische (ähem). Anders als ein Telefonat oder eine SMS sind diese persönlichen Informationen noch stärker durch das Grundgesetz geschützt. Wie schon beim Staatstrojaner 1.0, so fürchten Datenschützer, könnte die Software auch hier ihren Bestimmungszweck überschreiten. Eine Invasion des Privatbereiches durch den Staat wäre die Folge – und auch hier ist die Wirklichkeit der Fiktion einen Schritt voraus. Ermittler hatten bereits 2009 Telefonsex mitgeschnitten und gespeichert.

Wer es in Kauf nimmt, dass Verdächtigen schwerer Delikte so auf den Zahn gefühlt wird, sollte sich vor Augen führen, dass auch ihre Kommunikationspartner Ziel der Ermittlungen sind – also Unschuldige, die das Pech hatten mit den falschen Menschen einen Whatsapp-Chat zu führen.

Wie Dieter Wiefelspütz, innenpolitischer Sprecher des SPD-Bundestagsfraktion, versicherte, soll diese Gefahr ausgeschlossen werden, indem die Ermittler ihre Software so programmieren, dass sie “den Kernbereich privater Lebensgestaltung” ausschließt. So hatte es das Bundesverfassungsgericht 2008 gefordert. Neben der Frage, wie gut eine automatisierte Erkennung von Privatem funktionieren kann, ist der Gedanke an und für sich falsch. Wenn ein Krimineller weiß, dass bestimmte Teile seiner Daten wie Nacktfotos oder Familienchats von der Ausspähung ausgenommen sind, wird er seine geheim zu haltenden Daten sicherlich dort verstecken. Dem menschlichen kriminellen Erfindungsgeist sind keine Grenzen gesetzt: Botschaften auf Nacktbildern sind ebenso machbar wie digitale Wasserzeichen auf Kinderfotos. Ebenso lässt sich der Staatstrojaner einfach unterlaufen, indem die Verschlüsselung eine Ebene vor das Smartphone gesetzt wird, etwa in Form eines peripheren Geräts.

Zwischen Brazil und Minority Report

Doch eine oft unterschätzte Gefahr birgt der Staatstrojaner noch: die digitale Transformation der Überwachung. Es hat sich in zahlreichen Fällen gezeigt, dass die Digitalisierung durch das schiere Ausmaß ihrer Leistungskraft vertrauten Dingen eine neue Qualität gibt.

Ein einfaches Beispiel ist die Rückwärtssuche im Telefonbuch. Sie war in analogen Zeiten der schweren gelben Wälzer ohne weiteres möglich, aber zu umständlich, als dass es die Aufmerksamkeit des Gesetzgebers erfordert hätte. Mit den ersten Telefonbuch-CDs, die eine komplette Datenbank der Anschlussinhaber auf den heimischen PC  brachten, wurden die datenschutztechnischen Probleme klar. Der Gesetzgeber schritt ein und unterband Programme, welche die Rückwärtssuche erlaubten. Erst 2004 erkannte man, dass dieses Verbot nicht durchzusetzen war, und eine Novelle des Gesetzes erlaubte die Rückwärtssuche unter bestimmten Voraussetzungen.

Branche um Branche erlebt derzeit ihr digitales Blaues Wunder. Alte Geschäftsmodelle werden innerhalb weniger Jahre obsolet und neue entstehen. So wird es auch der digitalen Ermittlungsarbeit gehen. Stand heute ist der Staatstrojaner als reaktives Mittel konzipiert, das (in rund 20.00 Fällen jährlich immerhin) laufende Ermittlungen erleichtert. Doch dabei wird es nicht bleiben.

Die Internetwirtschaft macht vor, was man mit den Daten von Anwendern erreichen kann. Sie erlauben statistisch valide Vorhersagen über Vorlieben und Verhalten. Erste Chat-Tools sollen Selbstmordgedanken anhand der Sprache erkennen, die Facebook-Likes, Cookies von besuchten Amazon-Seiten oder Google-Suchbegriffe erlauben schon heute eine plattformübergreifende Werbung. (Ein Bekannter dieses Autors schwört Stein und Bein, dass sein Smartphone seine Gespräche mit der Gattin belauscht. Nicht unmöglich, aber vermutlich nicht nötig. Es handelt sich um einen sehr aktiven Facebook-User ohne großes Hintergrundwissen zu Tracking-Cookies und maßgeschneiderter Werbung).

Es ist nur eine Frage der Zeit, bis die Polizei ähnliche Methoden einsetzt, um Verbrechen vorzubeugen, ähnlich des allseits bekannten Profilings, also der gezielten Kontrolle von Personen aufgrund ihrer Hautfarbe, Herkunft oder ihres Modestils. Sollten die Ermittler die technischen Mittel an die Hand bekommen, im großen Stil verdächtige Personengruppen online zu observieren, so werden sie dieses Mittel auch hier einsetzen wollen. Dies könnte bedeuten, den Staatstrojaner präventiv auf alle Träger bestimmter Merkmale anzusetzen – und auch hier wären Marketingdaten hilfreich bei der zielgenauen Eingrenzung. Junge, deutschstämmige Männer mit Kampfhund, die in rechtsgerichteten Facebookgruppen aktiv sind etwa, oder Menschen muslimischen Glaubens. Es gilt hier Maslows Hammer: Wenn man erst einmal einen Hammer hat, sieht alles aus wie ein Nagel.

Von diesem Punkt bis zur präventiven Vereitelung von Straftaten durch Schutzhaft ist es kein weiter Weg mehr – ein Konzept, dass im Film Minority Report nach Philip K. Dick erforscht wird. Die Fehleranfälligkeit eines solchen Systems wiederum ist ein zentrales Element des gleichfalls dystopischen Meisterwerks “Brazil”.

Es braucht keine futuristischen Genies, um sich die Gefahren auszumalen, die aus dem Big-Data-Ansatz der Strafverfolgung entstehen, dem der Staatstrojaner zugrunde liegt. Man fragt sich jedoch schon, ob im Bundestag keine Cineasten sitzen, welche die beiden oben genannten Filme gesehen haben. Es wäre ihre Aufgabe, den Rechtsstaat vor sich selbst zu schützen und das “Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens” abzulehnen. Doch drei, zwei Monate vor der Bundestagswahl ist so viel Selbstbeherrschung wohl zu viel verlangt.

Titelbild: cocoparisienne via pixabay, RichardLey via pixabay// CC0 Public Domain, Eigene Bearbeitung

CC-Lizenz-630x1101

Kommentar verfassen