Online-Durchsuchung

Als Online-Durchsuchung wird der verdeckte staatliche Zugriff auf fremde informationstechnische Systeme über Kommunikationsnetze bezeichnet. Der Begriff umfasst dabei sowohl den einmaligen Zugriff (Online-Durchsicht) wie auch die sich über einen längeren Zeitraum erstreckende Online-Überwachung.[1] Als bisher in Deutschland gesetzlich nicht ausdrücklich geregelte Methode staatlicher Informationsgewinnung soll die Online-Durchsuchung im Rahmen der Strafverfolgung, zur Gefahrenabwehr oder zur nachrichtendienstlichen Informationsbeschaffung eingesetzt werden.

Ziel der kriminalpolizeilichen Online-Durchsuchung soll sein, in Einzelfällen und nach einem richterlichen Beschluss die privaten Computer von mutmaßlichen Schwerstkriminellen zu durchsuchen, um Hinweise auf mögliche kriminelle Netze zu erlangen.[2][3]

Technische Möglichkeiten

Die technischen Einzelheiten waren zunächst nicht genau bekannt. Regelmäßig wurde auf den möglichen Einsatz von staatlicher Schadsoftware, eine Art Trojanisches Pferd verwiesen. Umgangssprachlich werden für diese Software deshalb auch die Begriffe „Polizeitrojaner“[4], „staatlicher Trojaner“[5], „Staatstrojaner“ und der in Deutschland am weitesten verbreitete Begriff „Bundestrojaner“ verwendet. In der Sicherheitsbranche werden solche Arten von (Schad)Software auch als Govware (von englisch government ‚Regierung‘ bzw. to govern ‚lenken‘, ‚steuern‘, ‚beeinflussen‘) bezeichnet.

Offiziell wird die Software als Remote Forensic Software (Fernforensische Software) (RFS) bezeichnet.[6] Nach Angaben von Beamten des Bundeskriminalamtes soll es sich dabei um einen spezifischen Keylogger handeln. Dieser soll entweder voll elektronisch oder aber von Observanten persönlich in der Wohnung direkt am Rechner des Tatverdächtigen[7] installiert werden. In dieser Form wird die Online-Durchsuchung zwingend mit einem Betreten der Wohnung des Verdächtigen gekoppelt, damit die gesamte Maßnahme der Informationsgewinnung Erfolg hat. Vergleiche hierzu auch die Begründungen der fünf Sachverständigen.

Unabhängig von der verwendeten Technik wurde angezweifelt, ob insbesondere gezielte[8] Online-Durchsuchungen bei Einsatz üblicher Kommunikationstechnik wie Router, Firewall und Anti-Virus-Scanner überhaupt erfolgversprechend sein können.[9][10] Experten waren jedoch der Meinung, dass die bereits im Einsatz befindlichen Abhörschnittstellen, die zur Durchführung von Telekommunikations-Überwachungsverordnungs-Maßnahmen bei jedem Internet-Provider in Deutschland installiert sein müssen, ohne größere Probleme zur Einschleusung von Trojanern während eines beliebigen ungesicherten Software-Downloads umprogrammiert werden könnten – ein klassischer Man-in-the-middle-Angriff, gegen den auch die beste Firewall machtlos ist.[11] Um eine derartige Attacke auszuschließen, müsste man sich bei Programmdownloads auf signierte Dateien beschränken. Viele freie Betriebssysteme tun dies mit dem GNU Privacy Guard ohnehin. Allerdings signieren nur sehr wenige Anbieter von Windows-Software ihre Downloads. Außerdem benötigt man eine garantiert echte Version des jeweiligen öffentlichen Schlüssels. Antivirenprogrammhersteller wie Avira und Kaspersky Labs schlossen eine Kooperation mit dem BKA zwar bereits aus[12], da der „Bundestrojaner“ ihnen aber bekannt sein müsste, um ihn mit ihren Programmen zuverlässig erkennen zu können, bieten Virenschutzprogramme auch keine Sicherheit. Erschwerend kommt nur hinzu, dass Trojaner oder Ausspähprogramme auf die Zusammenarbeit des Betriebssystems angewiesen sind (und speziell auf dieses zugeschnitten sein müssen).

Situation in einzelnen Ländern

Deutschland

In dem Programm zur Stärkung der Inneren Sicherheit der deutschen Bundesregierung wird die Online-Durchsuchung umschrieben als Maßnahme, „entfernte PCs auf verfahrensrelevante Inhalte hin zu durchsuchen, ohne tatsächlich am Standort des Gerätes anwesend zu sein“. Ob sie als eine Durchsuchung im Rechtssinne anzusehen und inwieweit sie einer Wohnungs- oder Hausdurchsuchung gleichzusetzen ist (womit sie den verfassungsrechtlichen Anforderungen an Eingriffsgesetze in das Wohnungsgrundrecht, z. B. nach der deutschen Strafprozessordnung genügen müsste), ist unter Juristen umstritten,[13] obwohl die Bundesregierung die Auffassung vertritt, dass für spezielle Datentypen die Online-Durchsuchung bereits von geltendem Recht gedeckt sei. Eine Ermächtigungsgrundlage verfüge z. B. bereits der Zollfahndungsdienst als die die Maßnahme veranlassende Behörde. Dafür wird ein Programm für eine Quellen-Telekommunikationsüberwachung (auch Quellen-TKÜ, die Überwachung der Telekommunikation am Rechner vor ihrer Entschlüsselung) installiert und eingesetzt, wenn bei der klassischen Telekommunikationsüberwachung die Inhalte verschlüsselt werden.[14][15]

Eine Umfrage des Politbarometer vom 14. September 2007 ergab, dass 65 Prozent der Befragten die Online-Durchsuchung für richtig halten.[16] Am 21. November 2008 wurde diese Umfrage wiederholt und kam zu dem Ergebnis, dass nun nur noch 57 Prozent der Befragten die Online-Durchsuchung befürworten.[17] Im Oktober 2011 kommentierte Bundesjustizministerin Leutheusser-Schnarrenberger, dass die berechtigten Argumente aus der Klage gegen die Online-Durchsuchung vor dem Bundesverfassungsgericht sich nunmehr bestätigen würden.[18]

Am 27. Februar 2008 entschied das Bundesverfassungsgericht, dass die Regelungen zur Online-Durchsuchung in Nordrhein-Westfalen verfassungswidrig und Online-Durchsuchungen prinzipiell nur unter strengen Auflagen zulässig sind.[19]

Am 8. Oktober 2011 gab der Chaos Computer Club bekannt, dass ihm die staatliche Spionagesoftware, die unter dem Begriff „Bundestrojaner“ bekannt ist, zugespielt worden sei. Er veröffentlichte die extrahierten Binärdateien gemeinsam mit einem Bericht zum Funktionsumfang sowie einer Bewertung der technischen Analyse. In dieser Spionagesoftware wurden Funktionen festgestellt, die gegen das Urteil des Bundesverfassungsgerichts verstoßen. Am 10. Oktober 2011 gab der bayerische Innenminister Joachim Herrmann bekannt dass diese in Zusammenhang mit einem Ermittlungsverfahren im Jahre 2009 stehe.[20] Unklar ist, ob diese Funktionen durch die Behörden auch genutzt wurden.[21][22][23][24]

Bundesebene

Rechtsgrundlage

Im März 2005 wurde der damalige Bundesinnenminister Otto Schily (SPD) vom Präsidenten des Bundesamtes für Verfassungsschutz, Heinz Fromm, gebeten, eine Möglichkeit zu schaffen, heimlich Computer von Verdächtigen auszuspionieren.[25] Nach Angaben des Parlamentarischen Staatssekretärs im Bundesinnenministerium, Peter Altmaier (CDU), wurden somit bereits seit 2005 Online-Untersuchungen per geheimer Dienstanweisung ermöglicht.[26] Erst im Juli 2005 wurde das Parlamentarische Kontrollgremium informiert.

Inzwischen ist die präventive Online-Durchsuchung in § 20k des BKA-Gesetzes verankert.

Verfassungsrechtliche Bewertung

Nach Ansicht des Bundesverfassungsgerichts ist die Online-Durchsuchung zu präventiven Zwecken, d. h. zu denen der Gefahrenabwehr, verfassungsrechtlich folgendermaßen zu beurteilen.[27]

Vor der Entscheidung des Bundesverfassungsgerichts wurde vertreten, dass zur gesetzlichen Umsetzung der Online-Durchsuchung zunächst sowohl Art. 10 GG[28], als auch Art. 13 GG[29] geändert werden müssten.[30] Das Bundesverfassungsgericht hat in seiner Entscheidung vom 27. Februar 2008[27] einer Änderungsbedürftigkeit der Art. 10 und 13 GG jedoch eine Absage erteilt. Nach seiner Auffassung schützt Art. 10 GG nur den laufenden Kommunikationsvorgang.[31] Auch Art. 13 GG schützt nicht in allen Facetten vor einer Online-Durchsuchung. Solange nicht körperlich in die Wohnung eingedrungen wird, z. B. um ein Spionageprogramm zu platzieren, oder an das informationstechnische System angeschlossene Geräte wie Kameras oder Mikrophone benutzt werden, um Vorgänge in der Wohnung abzuhören, ist der Eingriff nicht an Art. 13 Abs. 1 GG zu messen.[32] Die Online-Durchsuchung kann also durchaus mit den Art. 10 und 13 GG vereinbar sein, schon allein deshalb, weil sie nicht zwangsläufig in den Gewährleistungsgehalt der erwähnten Grundrechte eingreift.

Allerdings ist nach Ansicht des Bundesverfassungsgerichts das von ihm so formulierte Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme durch die Online-Durchsuchung betroffen.[33] Dieses durch das Urteil quasi neu geschaffene Grundrecht leitet das Gericht aus der Auffangfunktion[34] des allgemeinen Persönlichkeitsrecht her, welches seinerseits in Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG begründet liegt.

„Es bewahrt den persönlichen und privaten Lebensbereich der Grundrechtsträger vor staatlichem Zugriff im Bereich der Informationstechnik auch insoweit, als auf das informationstechnische System insgesamt zugegriffen wird und nicht nur auf einzelne Kommunikationsvorgänge oder gespeicherte Daten.“[34]

Aus verfassungsrechtlicher Sicht bedeutet dies jedoch nicht, dass jede Online-Durchsuchung mit dem Grundgesetz unvereinbar ist. Allerdings erzeugt die besondere Nähe des neuen „Computer-Grundrechts“[35] zur Menschenwürde einen besonderen Rechtfertigungsdruck für den Gesetzgeber. Deshalb ist die Online-Durchsuchung im präventiven Bereich, das heißt der Gefahrenabwehr, nur dann zulässig, wenn sie hinreichend klar gesetzlich geregelt ist[36], zur Abwehr einer konkreten Gefahr für ein überragend wichtiges Rechtsgut vorgenommen wird[37] und durch einen Richter angeordnet wurde.[38]

Das Urteil hat Grundsatzcharakter und wird Einfluss auf die geplante Gesetzgebung des Bundes haben.

Strafverfolgung

Das geltende Bundesrecht erlaubt nach Auffassung des 3. Strafsenates des Bundesgerichtshofs (BGH) eine Online-Durchsuchung für Zwecke der Strafverfolgung (repressive Online-Durchsuchung) nicht.

Innerhalb des Bundesgerichtshofes war die Zulässigkeit der Online-Durchsuchung umstritten. Zunächst ordnete mit Beschluss vom 21. Februar 2006 ein Ermittlungsrichter „die Durchsuchung des von dem Beschuldigten […] benutzten Personalcomputers/Laptops, insbesondere der auf der Festplatte und im Arbeitsspeicher abgelegten Dateien“ an. Als Rechtsgrundlage legte er die Vorschriften der Strafprozessordnung zu Haus- und Wohnungsdurchsuchungen zugrunde.[39]

Am 25. November 2006 lehnte jedoch ein anderer Ermittlungsrichter den Antrag des Generalbundesanwalts auf Durchführung einer weiteren Online-Durchsuchung ab.[40] Er begründete seine Entscheidung u. a. damit, dass eine solche Maßnahme ohne Wissen des Betroffenen stattfindet, während das Gesetz für eine herkömmliche Durchsuchung die Anwesenheit von Zeugen (vgl. § 105 Abs. 2 StPO) und des Inhabers (vgl. § 106 Abs. 1 StPO) des Durchsuchungsobjektes bzw. seines Vertreters vorsieht. Die gegen diesen Beschluss gerichtete Beschwerde des Generalbundesanwalts verwarf der 3. Strafsenat mit Beschluss vom 31. Januar 2007.[41] Auch nach seiner Auffassung besteht für die Anordnung einer strafprozessualen Online-Durchsuchung keine Rechtsgrundlage. Einer solchen bedarf aber dieser „schwerwiegende Eingriff in das Recht auf informationelle Selbstbestimmung“.[42] Nach seiner Ansicht dürfen auch einzelne Elemente von Eingriffsermächtigungen nicht kombiniert werden, um eine Grundlage für eine neue technisch mögliche Ermittlungsmaßnahme zu schaffen. Dies widerspräche dem Grundsatz des Gesetzesvorbehaltes für Eingriffe in Grundrechte (Art. 20 Abs. 3 GG) sowie dem Grundsatz der Normenklarheit und Tatbestandsbestimmtheit von strafprozessualen Eingriffsnormen.

Die Bayerische Staatsregierung erklärte am 16. Mai 2007, einen Gesetzentwurf zu Online-Durchsuchungen zu Strafverfolgungszwecken auf den parlamentarischen Weg zu bringen. Der bayerische Gesetzentwurf wurde am 4. Juli 2008 im Bundesrat eingebracht, ist dort jedoch gescheitert.[43]

Nachrichtendienste

Umstritten ist, ob die Online-Durchsuchung als geheimdienstliche Maßnahme zulässig ist. So soll nach Ansicht des Bundesinnenministeriums die heimlichen Durchsuchungen von PCs für den Verfassungsschutz, den Militärischen Abschirmdienst (MAD) und den Bundesnachrichtendienst (BND) erlaubt sein.[44]

Die Entscheidung des Bundesgerichtshofes vom Januar 2007 kann zur Beantwortung der Frage der Zulässigkeit im Bereich der Nachrichtendienste nicht unmittelbar herangezogen werden. Sie bezieht sich allein auf die Rechtsgrundlagen für das Gebiet der Strafverfolgung, während für den Bereich der Gefahrenabwehr durch die Geheimdienste spezielle Eingriffsvorschriften bestehen.

Nachdem Anfang März 2009 bekannt wurde, dass die Online-Durchsuchung und Keylogger von dem Bundesnachrichtendienst im Rahmen einer allgemeinen Generalvollmacht bislang in mindestens 2500 Fällen eingesetzt wurden, wird von Experten der Regierungskoalition und der Opposition eine eindeutigere Rechtsgrundlage gefordert um illegale Aktionen auszuschließen.[45]

Länderebene

Nordrhein-Westfalen nahm mit seinem FDP-geführten Innenministerium eine Vorreiterrolle ein. Dort war dem Verfassungsschutz seit dem 30. Dezember 2006 „heimliches Beobachten und sonstiges Aufklären des Internets, wie insbesondere die verdeckte Teilnahme an seinen Kommunikationseinrichtungen bzw. die Suche nach ihnen, sowie der heimliche Zugriff auf informationstechnische Systeme auch mit Einsatz technischer Mittel“ zur Informationsbeschaffung erlaubt.[46] Gegen diese Vorschrift wurde Verfassungsbeschwerde erhoben, der das Bundesverfassungsgericht am 27. Februar 2008 stattgegeben hat. Die Vorschrift wurde für verfassungswidrig und somit für nichtig erklärt.

Seit dem 1. August 2008 darf die Polizei nach Art. 34d PAG und das Landesamt für Verfassungsschutz in Bayern verdeckt Online-Durchsuchungen durchführen.[47]

Die Piratenpartei Deutschland veröffentlichte im Januar 2008 ein Schreiben vorgeblich des bayerischen Justizministeriums, in dem die Kosten und Leistungen einer durch die Digitask GmbH angebotenen Ausspähsoftware kommuniziert wurden und auf die Unklarheit der Kostenübernahme hingewiesen wurde.[48] Für die Echtheit des Schreibens spricht, dass die Polizei im September 2008 die Räume des Pressesprechers der Partei durchsuchte, um die Identität des Informanten zu ermitteln.[49]

Rheinland-Pfalz plant laut einer Pressemitteilung die Einführung der präventiven Online-Durchsuchung. Damit wäre es das zweite Bundesland (nach Bayern), das diese Maßnahme ermöglichen würde.[50]

Technische Umsetzung

„Bundestrojaner” Backdoor:W32/R2D2.A: Hexdump mit Identifikation der VoIP-Services

In Deutschland sind die Begriffe „Bundestrojaner“, „Staatstrojaner“ und „Polizei-Trojaner“ bekannt. Im Allgemeinen bezeichnen diese Begriffe ein Computerprogramm zum heimlichen Ausspähen von Daten zum Zwecke der Strafverfolgung. Die sogenannte Online-Durchsuchung mittels Trojaner könnte somit durch staatliche Ermittlungsbehörden (z. B. das Bundeskriminalamt oder die jeweiligen Landeskriminalämter) durchgeführt werden. Die Vorhaben in diesem Bereich sollen zur Erhöhung der Sicherheit (insbesondere gegenüber Terrorismus) dienen.

Bundestrojaner
Backdoor:W32/R2D2.A: Hexdump mit Identifikation der Webbrowser

Der Name Bundestrojaner bezeichnet eine Software, die durch Bundesbehörden für Heimcomputer, PDAs, Smartphones und BlackBerrys[51] eingesetzt werden soll. Das Bundeskriminalamt hat zwar die Aufgabe „Methoden […] der Kriminalitätsbekämpfung zu erforschen und zu entwickeln“, aber von der Arbeit am Bundestrojaner oder Vergleichbarem war dabei zunächst nicht die Rede, sondern lediglich von einem Projekt, das die „technischen Voraussetzungen zur Umsetzung einer solchen Maßnahme entwickelt“. Gegenstand der Aussage ist dabei die Online-Durchsuchung, nicht der Bundestrojaner. Nach Einschätzung der Bundesregierung beträgt der einmalige Investitionsaufwand etwa 200.000 Euro, es seien zwei zusätzliche Programmierer erforderlich.[52] Am 28. August 2007 wurden Einzelheiten dieser Software sowie mögliche Verbreitungswege bekannt, nachdem in einem Schreiben des Innenministeriums im April zunächst von einem Entwicklungsstopp die Rede war.[53] In einer Passage wurde „das Versenden von E-Mails unter dem Namen einer anderen Behörde“ als eine Maßnahme nicht ausgeschlossen.[54] Am 8. Oktober 2011 veröffentlichte der Chaos Computer Club das Überwachungsprogramm Backdoor:W32/R2D2.A.[55] Das Überwachungsprogramm ist auf 32-Bit-Betriebssystemversionen von Microsoft Windows lauffähig, und wird als eine Variante des Bundestrojaners angesehen.[55][22] Das Programm überwacht u.a. VoIP-Gespräche via Skype oder Sipgate, und fertigt Bildschirmkopien aktiver Webbrowser-Fenster an. Durch Verbindungsaufbau zu Command-and-Control-Servern mit den IP-Nummern 83.236.140.90 (QSC in Hessen, Deutschland[56]) und 207.158.22.134 (Web Intellects in Ohio, USA) kann das Überwachungsprogramm auch weitere Programme zur Erweiterung der Funktionalität nachladen.[55][21][23] Die vom Chaos Computer Club veröffentlichte Software wurde von der hessischen Firma DigiTask u.a. im Auftrag der Bayerischen Staatsregierung entwickelt.[57][58] Nach Auskunft des Bayerischen Staatsministeriums der Justiz und für Verbraucherschutz berechnet DigiTask einmalig Euro 2500 für die Installation und Deinstallation der Software, sowie monatlich Euro 3500 für „Skype-Capture” und Euro 2500 für „SSL-Dekodierung” je „Maßnahme”. Zusätzlich empfiehlt DigTask zum Zwecke der Verschleierung der IP-Adresse der Überwachungsbehörde die Anmietung zweier Proxy-Server, von denen sich einer in „Übersee” befinden sollte.[59]

Einige Hersteller von Software gegen Malware kündigten an, innerhalb ihrer Software gegenüber behördlichen Programmen keine Ausnahme machen zu wollen, sofern das Programm als schädlich erachtet werde.[60]

„Polizei-Trojaner“

Als Polizei-Trojaner wird ein Vorhaben des Bundeslandes Nordrhein-Westfalen bezeichnet. Der Polizei-Trojaner soll genutzt werden, um über das Internet eine Online-Durchsuchung von Computern durchzuführen. In Nordrhein-Westfalen besteht nach der Novellierung des Landesverfassungsschutzgesetzes für den Verfassungsschutz eine Rechtsgrundlage für verdeckte Online-Durchsuchungen; dabei gelten die gleichen Vorgaben wie für nachrichtendienstliche Überwachungen der Telekommunikation und des Postverkehrs.

Österreich

Zeitgleich zur Diskussion in Deutschland wurde auch in Österreich über die Möglichkeiten der Online-Durchsuchung und -Überwachung nachgedacht. Ein Argument der Befürworter ist die Bekämpfung von Terrorismus, Kinderpornografie und organisierter Kriminalität – was von Datenschützern bezweifelt wird, da auch die Ausforschung Kleinkrimineller unter dem Deckmantel der Terrorismusbekämpfung möglich wäre. Am 17. Oktober 2007 wurde in einer Ministerratssitzung eine Einigung erzielt und in einem gemeinsamen Vertragspapier festgehalten. Demnach soll die „Online-Fahndung“, wie sämtliche Ermittlungsmethoden an Privatcomputern bezeichnet werden, nur bei Verbrechen, die mit über zehn Jahren Strafe bedroht sind, eingesetzt werden und dies auch nur wenn ein richterlicher Beschluss vorliegt. Funde auf Computern ohne richterlichen Beschluss sollen laut Justizministerin keine Verwendung finden dürfen.[61]

Nun soll eine Arbeitsgruppe bis Ende Februar die Rahmenbedingungen ausarbeiten, sodass ein Gesetz bereits vor dem Sommer 2008 beschlossen werden könnte. Über die technische Umsetzung ist man sich noch nicht im Klaren.[61] Manche Experten äußern schwere Bedenken gegen die Durchsuchung privater Computer durch die Polizei.

Schweiz

Eine Online-Durchsuchung ist in der Schweiz zurzeit (Juni 2010) nicht gesetzlich geregelt.

Die Vernehmlassungsvorlage des Bundesrates vom 1. Juni 2010 zur Revision des Bundesgesetzes vom 6. Oktober 2000 betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF)[62] soll die Online-Durchsuchung ermöglichen. Der Bundesrat schlägt vor, die Strafprozessordnung mit dem folgenden neuen Artikel 270bis zu ergänzen:

Art. 270bis Abfangen und Entschlüsselung von Daten (neu)
1 Sind bei einer Überwachung des Fernmeldeverkehrs die bisherigen Massnahmen erfolglos geblieben oder wären andere Überwachungsmassnahmen aussichtslos oder würden die Überwachung unverhältnismässig erschweren, so kann die Staatsanwaltschaft auch ohne Wissen der überwachten Person das Einführen von Informatikprogrammen in ein Datensystem anordnen, um die Daten abzufangen und zu lesen. Die Staatsanwaltschaft gibt in der Anordnung der Überwachung an, auf welche Art von Daten sie zugreifen will.
2 Die Anordnung bedarf der Genehmigung durch das Zwangsmassnahmengericht.

Der Bundesrat erläutert hierzu, von besonderer Bedeutung sei diese Methode im Bereich der Überwachung der Internettelefonie oder bei Instant Messaging, das ab einem portablen Computer oder Mobiltelefon mit verschiedenen Prepaid-SIM-DATAS-Karten erfolge. In diesen Fällen könne die Kommunikation, auch wenn sie nicht verschlüsselt ist, nur abgefangen werden, wenn ein Programm in den portablen Computer oder in das Mobiltelefon eingeführt werde. Falls das eingeführte Informatikprogramm seine Wirkung nicht entfalten kann, weil das überwachte Datenverarbeitungssystem mit einem Antivirenprogramm ausgestattet ist, welches das eingeführte Informatikprogramm neutralisiert, könne mit der in Artikel 270bis erwähnten Überwachungsmethode ein zusätzliches Programm in das überwachte Datenverarbeitungssystem eingeführt werden, mit dem das Antivirenprogramm umgangen wird.[63]

Vereinigtes Königreich

In Großbritannien werden Online-Malware-Installationen auf Grundlage des Computer Misuse Act[64] von 1990 und des Regulation of Investigatory Powers Act[65] aus dem Jahr 2000 durchgeführt. Diese gesetzlichen Regelungen ermöglichen der Polizei auch, bei Verdacht auf schwere Straftaten, verdeckt heimliche Wohnungsdurchsuchungen ohne richterliche Kontrolle durchführen und dabei Computer zu untersuchen und Keylogger zu installieren. Unter Berufung auf den Ende November 2008 vorgeschlagenen strategischen Ansatz zu einer umfassenden und gemeinsamen Bekämpfung der Cyberkriminalität des Justice and Home Affairs Council (JHA) der EU-Kommission[66] plant das britische Innenministerium zur Zeit (Januar 2009) in Zusammenarbeit mit weiteren EU-Staaten, Ferndurchsuchungen (Remote Searches) europaweit durchzuführen und auch anderen Staaten diese im Vereinigten Königreich ohne richterlichen Beschluss zu ermöglichen.[67][68]

Vereinigte Staaten

Spätestens seit 2001 wird in den USA von der amerikanischen Bundespolizei FBI eine Spionage-Software mit dem Namen Magic Lantern genutzt, um Daten im Internet auszuspähen. Die Benutzung eines Programms mit dem Namen CIPAV wurde erstmals 2007 bestätigt.

China

Gesicherte Informationen über die Situation in China sind nicht vorhanden. Gleichwohl existieren Hinweise darauf, dass Trojaner auf der Regierung unliebsame Gruppen wie z.B. die Falun Gong angesetzt wurden. Die technischen Beschreibungen zählen jedoch zu den detailliertesten, die existieren.[69][70][71]

Frankreich

Am 8. Februar 2011 wurde in Frankreich das Gesetz zur Stärkung der inneren Sicherheit (Loi d’orientation et de programmation pour la performance de la sécurité intérieure) verabschiedet.[72] Mit diesem Gesetz wurden die französischen Sicherheitsbehörden mit der Befugnis für heimliche Online-Durchsuchungen ausgerüstet.[73]

Kritik

Die Online-Durchsuchung wird unter verschiedenen Gesichtspunkten kritisiert.

In der Blogger-Szene entstand aus dem Gefühl des Überwachungsstaates heraus auch die Bezeichnung Stasi 2.0 in Anlehnung an das Ministerium für Staatssicherheit der DDR (kurz Stasi) als Begriff für die verschärften Sicherheitsgesetze Schäubles. In einigen Gegenden Deutschlands fand daraufhin die sogenannte Schäublone, ein Portraitbild Wolfgang Schäubles mit dem Untertitel Stasi 2.0[74] Verbreitung.

Eingriff in Grundrechte

Zentraler Kritikansatz ist die Heimlichkeit als Widerspruch zum Wesen einer rechtsstaatlichen Untersuchungshandlung. Der Aspekt von Transparenz und Nachhaltigkeit staatlichen Handelns ist untrennbar mit dem Kern der Rechtsstaatsidee verbunden. Laut Kritikern ist daher zweifelhaft, ob eine heimlich gestaltete Untersuchung den Anforderungen von Art. 20 und insbesondere Art. 13 GG und den Justizgrundrechten in materieller Hinsicht entspricht.

Plastische Darstellung des „Bundestrojaners“, vom Chaos Computer Club

Der Chaos Computer Club kritisierte in einem Schreiben, „wenn das BKA-Gesetz in der vorliegenden Fassung verabschiedet wird, entsteht de facto eine Geheimpolizei, wie sie in Deutschland zuletzt in der DDR existierte“. Begründet wurde dies unter anderem damit, dass der vorliegende Gesetzesentwurf des Bundesinnenministeriums in weiten Teilen den rechtsstaatlichen Vorgaben des Bundesverfassungsgerichts widerspreche.[75]

Datenschützer kritisieren die Online-Durchsuchung ferner als massiven Eingriff in die Privatsphäre, weswegen am 22. Dezember 2006 eine Petition an den Petitionsausschuss des Deutschen Bundestages eingereicht wurde.[76] Weiterhin ist es sehr unwahrscheinlich, dass die Zielstellung der Bekämpfung von Terrorismus oder organisierter Kriminalität mit Online-Durchsuchungen erreicht werden kann, da gerade diese Personengruppen sich gegen die Zugriffe schützen werden.

Technik

Neben den juristischen und politischen Einwänden wird von Experten die technische Umsetzbarkeit bezweifelt: Antivirenprogramme würden alle Schadprogramme gleich behandeln. Tjark Auerbach, Geschäftsführer von Avira sagte: „Ein Trojaner ist und bleibt eine Spionage-Software“. Sobald die Struktur den Software-Herstellern bekannt wird, würde sie in ein Verzeichnis bekannter Viren aufgenommen und von den Programmen blockiert werden. Andreas Lamm, Geschäftsführer von Kaspersky Labs, sagte zu der Möglichkeit einer Zusammenarbeit mit staatlichen Behörden, „es würde sich dabei um einen massiven Eingriff in die gesamte IT-Sicherheitsindustrie handeln, der aus unserer Sicht nicht vorstell- und durchführbar wäre“.[77]

Zusätzlich bleibt auch zu bedenken, dass von Seiten der überwachenden Behörde nicht überprüfbar ist, ob der Bundestrojaner von einem technisch begabten Kriminellen erkannt und manipuliert wurde. In diesem Fall könnte dieser gefälschte Daten an die Behörde übermitteln, um Dritte zu belasten. Im Gegensatz zur herkömmlichen Telefonüberwachung wäre dieser Eingriff nicht einmal im Nachhinein nachweisbar. Der Einsatz zur Beweisgewinnung ist daher fragwürdig.

Missbrauchspotenzial

Weiterhin ist auch ein Missbrauch der verschiedenen Überwachungsbefugnisse nicht ausgeschlossen. So wurde beispielsweise kürzlich bekannt, dass ein Mitarbeiter des BND die technischen Möglichkeiten zu privaten Zwecken nutzte.[78]

Selbst ohne konkrete Missbrauchsintention von den Mitarbeitern der Behörden stellt die Existenz einer Einrichtung, die Zugriff auf Informationssysteme der Bürger hat, eine erhebliche Schwächung der nationalen IT-Sicherheit dar, da böswillige Dritte sich Zugang zu dieser Einrichtung verschaffen könnten und dadurch leichteren Zugang zu den restlichen Informationssystemen hätten. Insbesondere für die Wirtschaft stellt das ein ernstzunehmendes Risiko dar. Vor diesem Hintergrund hat der ehemalige Präsident des BND und des Bundesamtes für Verfassungsschutz, Hansjörg Geiger, die Einführung eines unabhängigen „Bürgeranwalts“ gefordert, der die Rechte der Betroffenen wahrnimmt, weil er eine richterliche Kontrolle nicht für ausreichend hält.[79]

Haftung

Die Haftung für Schäden, die durch den nicht mit den Betreibern abgesprochenen Eingriff in das Informationssystem entstehen, ist ungeklärt, so dass Betroffene potentiell erheblichen wirtschaftlichen Schaden erleiden können, der nicht kompensiert wird. Hersteller von Software schließen üblicherweise die Haftung für Schäden, die durch den Eingriff Dritter in ihre Software verursacht wird, aus, so dass die durchsuchenden Behörden selbst bei Kenntnis aller verwendeter Software auf dem Zielsystem, was nur durch eine vorherige Beschlagnahme und vollständige Untersuchung des Systems gewährleistet werden könnte, immer noch vor dem Problem ständen, die Durchsuchungslösung mit allen beteiligten Softwareherstellern absprechen zu müssen, um derartige Schäden auszuschließen.

Soziologie

Der Soziologe und Philosoph Zygmunt Bauman charakterisiert den gegenwärtigen Zustand der Macht als „post-panoptisch“.[80] Die unsichtbaren Möglichkeiten der Überwachung einer Gesellschaft mit Hilfe elektronischer Signale bedeuten, dass jedes Mitglied der Gesellschaft potenziell überwacht werden kann und zwar ohne die direkte Anwesenheit von Kontrollpersonal oder der Existenz von definierten bzw. transparenten Wachzeiten. Diese Entwicklung steht im Gegensatz zu den Möglichkeiten der Überwachung in der Moderne.[81] Die Online-Durchsuchung ist eine weitere Entgrenzung der öffentlichen Macht von Territorien, nationalen Grenzen, Privaträume und physischer Präsenz.

Der französische Denker Michel Foucault bezeichnete die öffentlichen Apparaturen der Überwachung und Bestrafung als eine produktive gesellschaftliche Kraft. Sie erzeugt z.B. Widerstand und Kritik.

Weitere Kritikpunkte

Die Verhältnismäßigkeit wird bezweifelt, da der Bundestrojaner nur bei technisch unbegabteren Terroristen funktionieren würde und bei diesen reichten herkömmliche Ermittlungsmethoden. Auch gerät der Staat in einen Zielkonflikt, da einerseits das Bundesamt für Sicherheit in der Informationstechnik die IT-Sicherheit fördert, andererseits diese durch die Maßnahmen zur Online-Durchsuchung verhindern würde.

Laut einer Presseerklärung von August 2007 des Bayerischen Beauftragten für den Datenschutz[82] ist auch die Gefahr gegeben, dass der Bürger das Vertrauen in behördliche elektronische Kommunikation (E-Government) verliert. Benannt werden hier die „mit Milliardenaufwand vorangetriebenen eGovernment-Projekte in Bund und Ländern bis hin zur elektronischen Steuerklärung (ELSTER) und zur elektronischen Gesundheitskarte“.

Siehe auch

Materialien

Literatur

Einzelnachweise

  1. Antworten des Bundesministerium des Innern auf den Fragenkatalog des Bundesministeriums der Justiz vom Berlin, den 22. August 2007 (netzpolitik.org), S. 2
  2. „Am Computer des Täters ansetzen“ – Interview mit BKA-Chef Ziercke auf taz.de (26. März 2007)
  3. „Bürgerrechtler diskutieren mit BKA-Chef über Online-Durchsuchung“ – heise.de (22. September 2007)
  4. Meldung bei heise.de vom 8. Oktober 2006
  5. Sophos: Wir werden auch staatliche Trojaner stoppen bei de.internet.com
  6. Spiegel-Online: Netzticker – Bundes-Trojaner sind spähbereit
  7. heise-online: „Bundestrojaner“ heißt jetzt angeblich „Remote Forensic Software“
  8. Die Zeit: Hacken für den Staat
  9. Digitaler Lauschangriff – Bundestrojaner im Computer bei www.sueddeutsche.de
  10. Heise: Bundestrojaner: Geht was – was geht: Technische Optionen für die Online-Durchsuchung bei www.heise.de
  11. Telepolis: Der Staat als Einbrecher – Heimliche Online-Durchsuchungen sind möglich Online-Magazin des Heise Verlag
  12. Spiegel-Online: Angriff auf die Ahnungslosen
  13. Heise Online, 25. Juli 2007, Online-Durchsuchung: Ist die Festplatte eine Wohnung?
  14. Drucksache 16/6885 Antwort der Bundesregierung auf die Kleine Anfrage vom 30. Oktober 2007.
  15. Drucksache 16/7279 Antwort der Bundesregierung auf die Nachfrage zur Bundestagsdrucksache 16/6885
  16. Politbaromter: 65 % der Befragten halten die Online-Durchsuchung für richtig (Stand 14. September 2007)
  17. Politbarometer: 57 % der Befragten halten die Online-Durchsuchung für richtig (Stand 21. November 2008)
  18. Justizministerin besorgt über Panne bei staatlicher Überwachungssoftware. In: Deutschlandfunk. 9. Oktober 2011, abgerufen am 9. Oktober 2011.
  19. Bundesverfassungsgericht: Urteil vom 27. Februar 2008 zu 1 BvR 370/07 und 1 BvR 595/07 Pressemitteilung hierzu; Tagesschau: Vorlage:Tagesschau, 27. Februar 2008
  20. sueddeutsche.de: Herrmann bestätigt: Trojaner kam aus Bayern
  21. a b https://www.ccc.de/de/updates/2011/staatstrojaner
  22. a b Chaos Computer Club: Der deutsche Staatstrojaner wurde geknackt. In: faz.net. 8. Oktober 2011, abgerufen am 8. Oktober 2011.
  23. a b Kai Biermann: ONLINEDURCHSUCHUNG: CCC enttarnt Bundestrojaner. In: Zeit Online. 8. Oktober 2011, abgerufen am 8. Oktober 2011.
  24. http://www.heise.de/newsticker/meldung/CCC-knackt-Staatstrojaner-1357670.html
  25. Rundfunk Berlin-Brandenburg: Wanze im Wohnzimmer – Online-Spitzelei durch den Verfassungsschutz, 10. Mai 2007
  26. Stern: Geheimdienste spitzeln schon seit Jahren.
  27. a b Entscheidung des Bundesverfassungsgerichtes vom 27. Februar 2008
  28. Grundgesetz Art. 10 Brief-, Post- und Fernmeldegeheimnis
  29. Grundgesetz Art. 13 Unverletzlichkeit der Wohnung
  30. Humboldt Forum Recht (HFR) – Prof. Dr. Hans Kudlich: Zur Zulässigkeit strafprozessualer Online-Durchsuchungen
  31. Ziffer 184 der Entscheidung
  32. Ziffer 194, 195 der Entscheidung
  33. Ziffer 201ff. der Entscheidung
  34. a b Ziffer 201 der Entscheidung
  35. Heribert Prantl am 27. Februar 2008 auf sueddeutsche.de
  36. Ziffer 207 ff. der Entscheidung
  37. Ziffer 247 der Entscheidung
  38. Ziffer 257 der Entscheidung
  39. vgl. Beschluss vom 21. Februar 2006 – Az. 3 BGs 31/06 = StV 2007, S. 60 ff. m. Anm. Beulke/Meininghaus
  40. vgl. Beschluss vom 25. November 2006 – Az. 1 BGs 184/2006 = BeckRS 2007 00295
  41. Beschluss des 3. Strafsenats des BGH vom 31. Januar 2007 – StB 18/06
  42. Pressemitteilung des BGH vom 5. Februar 2007
  43. Heise Online vom 4. Juli 2008
  44. vgl. Antwort des parlamentarischen Staatssekretärs im Bundesinnenministerium auf eine Anfrage der Fraktion der Grünen im Bundestag, Innenministerium: Verfassungsschutz, MAD und BND können Online-Durchsuchungen durchführen Heise-Newsticker vom 24. März 2007
  45. Der Spiegel 11/2009.
  46. § 5 Abs. 2 Nr. 11 des Gesetzes über den Verfassungsschutz in Nordrhein-Westfalen.
  47. heise.de: Bayerischer Landtag setzt den „Bayerntrojaner“ frei 3. Juli 2008
  48. Piratenpartei über den „Bayerntrojaner“
  49. Piratenpartei im Fokus
  50. Pressemitteilung des rheinland-pfälzischen Ministeriums des Innern und für Sport vom 20. April 2010
  51. Spiegel-Online: Bundes-Trojaner sind spähbereit
  52. Antwort der Bundesregierung auf die Anfrage der Linksfraktion über die Rechtmäßigkeit und Anwendung von Online-Durchsuchungen (PDF)
  53. Spiegel-Online: Experten nehmen Bundes-Trojaner auseinander
  54. Netzeitung: Online-Durchsuchung – Empörung über Trojaner-Pläne
  55. a b c Possible Governmental Backdoor found ("case R2D2"). In: F-Secure. 8. Oktober 2011, abgerufen am 8. Oktober 2011.
  56. IP lokalisieren (83.236.140.90). In: IP-address.com. 9. Oktober 2011, abgerufen am 9. Oktober 2011.
  57. Matthias Thieme: Spionagesoftware: Die Privaten hinter dem Bundestrojaner. In: Frankfurter Rundschau. 10. Oktober 2011, abgerufen am 10. Oktober 2011.
  58. Staatstrojaner: Eine Spionagesoftware, unter anderem aus Bayern. In: Heise online. 10. Oktober 2011, abgerufen am 10. Oktober 2011.
  59. Kosten der Telekommunikationsüberwachung beim Einsatz von Voice-over-IP und der Software Skype. In: Bayerisches Staatsministerium der Justiz und für Verbraucherschutz. 25. Januar 2008, abgerufen am 10. Oktober 2011.
  60. Kurzinformation des Nachrichtendienst Spiegel-Online zur Bekanntmachung des Antivirenherstellers Sophos
  61. a b ORF online: Skeptiker nicht überzeugt. 17. Oktober 2007 (Seite abgerufen am 17. Oktober 2007)
  62. Internetauftritt der Bundesbehörden, Laufende Vernehmlassungen und Anhörungen, abgerufen am 24. Juni 2010.
  63. Bericht zur Vorlage S. 42 (gemeinfreier Text).
  64. Office of Public Sector Information: Computer Misuse Act 1990 (c. 18).Abgerufen am 5. Januar 2009.
  65. Office of Public Sector Information: Regulation of Investigatory Powers Act 2000.Abgerufen am 5. Januar 2009.
  66. Principaux résultats du Conseil justice affaires intérieures, 2987th JUSTICE and HOME AFFAIRS Council meeting: Council Conclusions on a Concerted Work Strategy and Practical Measures Against Cybercrime. (PDF-Datei; 157 KB). 27.-28. November 2008.
  67. Times: Police set to step up hacking of home PCs. 4. Januar 2009.
  68. Telegraph: Government plans to extend powers to spy on personal computers. 4. Januar 2009.
  69. Targeted Attacks: Fallbeispiel Falun Gong, Maarten Van Horenbeeck, „Matrix“, Ö1, Bericht auf Futurezone, Februar 2008
  70. Crouching Powerpoint, Hidden Trojan, An analysis of targeted attacks from 2005 to 2007, zugehörige Präsentation, Maarten Van Horenbeeck, CCC, 2007.
  71. Titan Rain – how Chinese hackers targeted Whitehall, The Guardian, 2007
  72. PROJET DE LOI d’orientation et de programmation pour la performance de la sécurité intérieure. 8. Februar 2011, abgerufen am 28. Februar 2011 (französisch).
  73. Frankreich erhält Websperren ohne Richtervorbehalt. 9. Februar 2011, abgerufen am 28. Februar 2011.
  74. Abbildung in der Süddeutschen Zeitung
  75. CCC veröffentlicht umkämpften Gesetz-Entwurf zu Online-Durchsuchungen
  76. Petition gegen Elektronische Durchsuchung von Datenbeständen
  77. Vorlage:Tagesschau
  78. Berliner Zeitung, 5. September 2007, Online verfügbar unter http://www.berlinonline.de/berliner-zeitung/archiv/.bin/dump.fcgi/2007/0831/politik/0062/index.html
  79. SWR Interview, Online verfügbar unter http://www.swr.de/contra/-/id=7612/did=2818164/pv=mplayer/vv=big/nid=7612/1of1tsb/index.html
  80. vgl. Bauman, Zygmunt: Flüchtige Moderne, Edition Suhrkamp, Frankfurt am Main 2003.
  81. Die Überwachung der Gesellschaft in der Moderne unterlag nach Bauman lokalen, physischen, räumlich und zeitlich Bedingungen. Diese Form der Macht charakterisiert das Panopticon
  82. Presseerklärung von 08/2007 des Bayerischen Beauftragten für den Datenschutz
Quelle: https://de.wikipedia.org/w/index.php?title=Online-Durchsuchung&oldid=94611117