Hauptmenü öffnen

Online-Durchsuchung

Überwachung der Computertätigkeit

Die Online-Durchsuchung stellt den verdeckten kriminalpolizeilichen oder nachrichtendienstlichen Zugriff auf fremde informationstechnische Systeme über Kommunikationsnetze dar und soll im Rahmen der Strafverfolgung, zur Gefahrenabwehr oder auch zur Informationsbeschaffung eingesetzt werden.

Sie unterscheidet sich von herkömmlicher Telekommunikationsüberwachung darin, dass nicht nur der Datentransfer an sich auf dem Übertragungsweg der Nachrichten angezapft wird, sondern Daten direkt am Endgerät (Computer, Mobiltelefon etc.) mittels Spionagesoftware durchsucht werden. Technisch handelt es sich hierbei somit um Hacking. Die verwendete Software heißt Remote Forensic Software (RFS, Fernforensische Software), umgangssprachlich Staatstrojaner und ähnlich genannt.

Online-Durchsuchung umfasst sowohl den einmaligen Zugriff (Online-Durchsicht) als auch die sich über einen längeren Zeitraum erstreckende Online-Überwachung.[1] Beschränkt sich der Zugriffs auf das Gerät auf das Abgreifen laufender Kommunikation der Zielpersonen, spricht man von Quellen-Telekommunikationsüberwachung, also der Telekommunikationsüberwachung an der Quelle der übermittelten Nachrichten. Sie hat dabei meist das Ziel, die Verschlüsselung der Daten zu umgehen.

Kriminaltechnische GrundlagenBearbeiten

Datenübertragung und Telekommunikation lassen sich auf vielfältige Weise am Übertragungsweg abgreifen. Die staatliche Zugriffsmöglichkeiten, um Beweismittel zu gewinnen oder tieferen Einblick in kriminelle Machenschaften zu gewinnen, sind über Regelungen für Netzinfrastrukturbetreiber geregelt, welche Daten und Schnittstellen bereithalten müssen. Um Daten zu durchsuchen, die nur in einem geschlossenen elektronischen System bleiben, muss direkt auf diese Geräte zugegriffen werden. Eine besondere Problematik stellt etwaige Verschlüsselung dar.[2][3][4][5] Die Kryptographie wurde zu Sicherheitszwecken entwickelt, um sie zu umgehen, muss man die Daten entweder vor der Verschlüsselung respektive nach der Entschlüsselung einsehen können oder an den Schlüssel selbst gelangen. Auch das ist nur direkt am Gerät möglich, bei Kommunikation am Quell- oder Zielgerät. Daher muss so ein Werkzeug entweder durch elektronischen Zugriff oder aber von Observanten persönlich in der Wohnung direkt am Rechner des Tatverdächtigen installiert werden.[6]

Regelmäßig wurde auf den möglichen Einsatz von staatlicher Schadsoftware, eine Art Trojanisches Pferd, verwiesen. Umgangssprachlich werden für diese Software deshalb auch die Begriffe „Polizeitrojaner“,[7] „staatlicher Trojaner“,[8] „Staatstrojaner“ und der in Deutschland und Österreich am weitesten verbreitete Begriff „Bundestrojaner“ verwendet. Offiziell wird die Software als Remote Forensic Software (RFS, Fernforensische Software) bezeichnet.[9][6] In der Sicherheitsbranche werden solche Arten von intrusiver Software auch als Govware (von englisch government ‚Regierung‘ bzw. to govern ‚lenken‘, ‚steuern‘, ‚beeinflussen‘) bezeichnet.

Die staatlicherseits eingesetzte Software unterliegt einer Geheimhaltung; daher sind die Technologien nicht allgemein bekannt. Defacto handelt es sich um Programmpakete, in denen neben Rootkits und Trojanern (im eigentlichen Sinne) für die Basisinstallation[5] dann diverse Malware-Technologien eingesetzt werden können. Nach Angaben von Beamten des deutschen Bundeskriminalamtes (2007) kommt dabei ein spezifischer Keylogger zum Einsatz.[6] Anwendungsplattformen wie FinFisher umfassen neben den Intrusionsroutinen auch Speicherabbild-Programme.

Situation in einzelnen LändernBearbeiten

DeutschlandBearbeiten

Die gesetzliche Grundlage der Online-Durchsuchung in Deutschland ist seit Inkrafttreten des Art. 3 des Gesetzes zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens am 24. August 2017[10] der neue § 100b Strafprozessordnung (StPO).

Vor Schaffung der speziellen gesetzlichen Regelung des § 100b StPO bildeten §§ 20k und 20l des Bundeskriminalamtgesetzes (BKAG) die Rechtsgrundlage in Fällen der Gefahrenabwehr des internationalen Terrorismus (i. S. d. § 4a BKAG). Der verfahrensrechtlich für sonstige schwere Kriminalität relevante § 100a StPO a.F. ließ die Installation von Spionagesoftware jedoch nicht ausdrücklich zu, weswegen u. a. der Deutsche Richterbund eine Entscheidung des Gesetzgebers über die Voraussetzungen und Rahmenbedingungen der Quellen-Telekommunikationsüberwachung forderte.[11][12]

In dem Programm zur Stärkung der Inneren Sicherheit der deutschen Bundesregierung wird die Online-Durchsuchung als Maßnahme umschrieben, „entfernte PCs auf verfahrensrelevante Inhalte hin zu durchsuchen, ohne tatsächlich am Standort des Gerätes anwesend zu sein“. Ob sie als eine Durchsuchung im Rechtssinne anzusehen und inwieweit sie einer Wohnungs- oder Hausdurchsuchung gleichzusetzen ist (womit sie den verfassungsrechtlichen Anforderungen an Eingriffsgesetze in das Wohnungsgrundrecht, z. B. nach der deutschen Strafprozessordnung genügen müsste), ist unter Juristen umstritten.[13] Der BGH sieht mit Urteil vom 31. Januar 2007[14] jedenfalls keine Ermächtigungsgrundlage in den §§ 102, 105 StPO. Gerade die Heimlichkeit der Durchsuchung entspricht nicht der Systematik der offenen Durchsuchung in den §§ 102, 105 StPO. Vielmehr in Betracht käme § 100a StPO. Doch auch dies lehnt der BGH ab. Es finde bei der Online-Durchsuchung gerade keine Überwachung von Telekommunikation, d. i. die Überwachung des Kommunikationsflusses des Verdächtigen mit einem Dritten statt. Die Bundesregierung vertritt die Auffassung, dass für spezielle Datentypen die Online-Durchsuchung bereits von geltendem Recht gedeckt sei. Eine Ermächtigungsgrundlage verfüge z. B. bereits der Zollfahndungsdienst als die die Maßnahme veranlassende Behörde. Dafür wird ein Programm für eine Quellen-Telekommunikationsüberwachung (auch Quellen-TKÜ, die Überwachung der Telekommunikation am Rechner vor ihrer Verschlüsselung) installiert und eingesetzt, wenn bei der klassischen Telekommunikationsüberwachung die Inhalte verschlüsselt werden.[15][16] Für das Betreten der Wohnung, um die Software zu installieren, gibt es bisher keine Rechtsgrundlage, weswegen diese Möglichkeit aktuell nicht zum Einsatz kommen kann.[17]

Zur Zeit sind mehrere Verfassungsbeschwerden gegen die Ausweitung des Einsatzgebietes von Staatstrojanern anhängig.

ÖsterreichBearbeiten

Gleichzeitig mit der Diskussion in Deutschland wurde auch in Österreich über die Möglichkeiten der Online-Durchsuchung und -Überwachung nachgedacht. Ein Argument der Befürworter ist die Bekämpfung von Terrorismus, Kinderpornografie und organisierter Kriminalität – was von Datenschützern bezweifelt wird, da auch die Ausforschung Kleinkrimineller unter dem Deckmantel der Terrorismusbekämpfung möglich wäre. Am 17. Oktober 2007 wurde in einer Ministerratssitzung eine Einigung erzielt und in einem gemeinsamen Vertragspapier festgehalten. Demnach soll die „Online-Fahndung“, wie sämtliche Ermittlungsmethoden an Privatcomputern bezeichnet werden, nur bei Verbrechen, die mit über zehn Jahren Strafe bedroht sind, eingesetzt werden und dies auch nur, wenn ein richterlicher Beschluss vorliegt. Funde auf Computern ohne richterlichen Beschluss sollen laut Justizministerin keine Verwendung finden dürfen.[18]

Wie 2011 bekannt wurde, erwarb das österreichische Innenministerium einen Trojaner von DigiTask.[19] Dieser wurde vom Bundesamt für Verfassungsschutz und Terrorismusbekämpfung und der Sondereinheit für Observation eingesetzt, ohne dass eine rechtliche Grundlage vorhanden war.[20]

Am 31. März 2016 brachte das Bundesministerium für Justiz einen neuen Gesetzesvorschlag als Ministerialentwurf ins Parlament ein, der einen Rechtsrahmen für die "Überwachung von Nachrichten, die im Wege eines Computersystems übermittelt werden" schaffen soll. Dieser Vorschlag lässt explizit auch die Überwachung per Fremdsoftware auf dem Rechner des oder der Betroffenen oder einen seiner Kontakte zu.[21] Schon in der darauffolgenden Woche gab es dazu massive Kritik von zahlreichen Organisationen, unter anderem den Grünen, dem AK Vorrat und dem Forum Datenschutz.[22]

Nachdem im Begutachtungsverfahren 56[23] überwiegend kritische Stellungnahmen eingelangt sind, erklärte Justizminister Wolfgang Brandstetter gegenüber Puls 4, dass die Pläne in der vorgeschlagenen Ausführung nicht sinnvoll wären. Gegenüber der futurezone.at ergänzte das Ministerium am 8. Juni 2016, dass an einem neuen Entwurf gearbeitet wird.[24]

Mit dem Sicherheitspaket 2018 wurden einige Online-Durchsuchung-Maßnahmen eingeführt respektive ausgeweitet, darunter auch der Bundestrojaner legitimiert.[25]

SchweizBearbeiten

Die Online-Durchsuchung ist in der Schweiz zurzeit nicht ausdrücklich gesetzlich geregelt.

Einsatz gestützt auf Art. 280 StPOBearbeiten

Nachdem bekannt wurde, dass DigiTask auch Kunden in der Schweiz beliefert hatte,[19][26] bestätigte das Eidgenössische Justizdepartement im Oktober 2011, dass die Strafverfolgungsbehörden des Bundes und des Kantons Zürich in einzelnen Fällen zur Klärung schwerer Verbrechen Trojaner eingesetzt hätten.[27][28]

Digitask-Trojaner gelangten bei der Überwachung Andrea Stauffachers zum Einsatz, der Sprengstoff- und Brandanschläge vorgeworfen werden, sowie bei anderen Terrorismus- und Drogenfällen.[29] Den Behörden zufolge erfolgte der Einsatz gestützt auf Artikel 280 der Strafprozessordnung (StPO) oder auf vor 2011 geltende analoge Vorschriften. Nach Art. 280 StPO kann die Staatsanwaltschaft „technische Überwachungsgeräte einsetzen, um das nicht öffentlich gesprochene Wort abzuhören oder aufzuzeichnen; Vorgänge an nicht öffentlichen oder nicht allgemein zugänglichen Orten zu beobachten oder aufzuzeichnen; oder den Standort von Personen oder Sachen festzustellen.“[30] Laut Angaben des Anwaltes Marcel Bosonnet wendeten sich die schweizerische Bundesanwaltschaft und -kriminalpolizei 2008 mit einem Rechtshilfegesuch an bundesdeutsche Behörden, um die Online-Überwachung im Fall Andrea Stauffacher vom Ausland aus durchführen zu lassen. Laut Rechtsauffassung der schweizerischen Bundesanwaltschaft war so eine Bewilligung der Überwachungsmaßnahme durch das schweizerische Bundesstrafgericht unnötig.[31]

Beabsichtigte Regelung in Art. 270bis StPOBearbeiten

Ob Art. 280 StPO als Rechtsgrundlage für die Online-Durchsuchung genügt, ist in der Rechtslehre umstritten.[32][27] Die Vernehmlassungsvorlage des Bundesrates vom 1. Juni 2010 zur Revision des Bundesgesetzes vom 6. Oktober 2000 betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF)[33] soll die Online-Durchsuchung daher ausdrücklich regeln. Der Bundesrat schlägt vor, die StPO mit dem folgenden neuen Artikel 270bis zu ergänzen:

Art. 270bis Abfangen und Entschlüsselung von Daten (neu)
1 Sind bei einer Überwachung des Fernmeldeverkehrs die bisherigen Maßnahmen erfolglos geblieben oder wären andere Überwachungsmassnahmen aussichtslos oder würden die Überwachung unverhältnismässig erschweren, so kann die Staatsanwaltschaft auch ohne Wissen der überwachten Person das Einführen von Informatikprogrammen in ein Datensystem anordnen, um die Daten abzufangen und zu lesen. Die Staatsanwaltschaft gibt in der Anordnung der Überwachung an, auf welche Art von Daten sie zugreifen will.
2 Die Anordnung bedarf der Genehmigung durch das Zwangsmassnahmengericht.

Der Bundesrat erläutert hierzu, von besonderer Bedeutung sei diese Methode im Bereich der Überwachung der Internet-Telefonie oder bei Instant Messaging, das ab einem portablen Computer oder Mobiltelefon mit verschiedenen Prepaid-SIM-DATAS-Karten erfolge. In diesen Fällen könne die Kommunikation, auch wenn sie nicht verschlüsselt ist, nur abgefangen werden, wenn ein Programm in den portablen Computer oder in das Mobiltelefon eingeführt werde. Falls das eingeführte Informatikprogramm seine Wirkung nicht entfalten kann, weil das überwachte Datenverarbeitungssystem mit einem Antivirenprogramm ausgestattet ist, welches das eingeführte Informatikprogramm neutralisiert, könne mit der in Artikel 270bis erwähnten Überwachungsmethode ein zusätzliches Programm in das überwachte Datenverarbeitungssystem eingeführt werden, mit dem das Antivirenprogramm umgangen wird.[34]

FrankreichBearbeiten

Am 8. Februar 2011 wurde in Frankreich das Gesetz zur Stärkung der inneren Sicherheit (Loi d’orientation et de programmation pour la performance de la sécurité intérieure) verabschiedet.[35] Mit diesem Gesetz wurden die französischen Sicherheitsbehörden mit der Befugnis für heimliche Online-Durchsuchungen ausgerüstet.[36]

Vereinigtes KönigreichBearbeiten

In Großbritannien werden Online-Malware-Installationen auf Grundlage des Computer Misuse Act[37] von 1990 und des Regulation of Investigatory Powers Act[38] aus dem Jahr 2000 durchgeführt. Diese gesetzlichen Regelungen ermöglichen der Polizei auch, bei Verdacht auf schwere Straftaten, verdeckt heimliche Wohnungsdurchsuchungen ohne richterliche Kontrolle durchzuführen und dabei Computer zu untersuchen und Keylogger zu installieren. Unter Berufung auf den Ende November 2008 vorgeschlagenen strategischen Ansatz zu einer umfassenden und gemeinsamen Bekämpfung der Cyberkriminalität des Justice and Home Affairs Council (JHA) der EU-Kommission[39] plant das britische Innenministerium zur Zeit (Januar 2009) in Zusammenarbeit mit weiteren EU-Staaten, Ferndurchsuchungen (Remote Searches) europaweit durchzuführen und auch anderen Staaten diese im Vereinigten Königreich ohne richterlichen Beschluss zu ermöglichen.[40][41]

Vereinigte StaatenBearbeiten

Spätestens seit 2001 wird in den USA von der amerikanischen Bundespolizei FBI eine Spionage-Software mit dem Namen Magic Lantern genutzt, um Daten im Internet auszuspähen. Die Benutzung eines Programms mit dem Namen CIPAV wurde erstmals 2007 bestätigt.

ChinaBearbeiten

Gesicherte Informationen über die Situation in China sind nicht vorhanden. Gleichwohl existieren Hinweise darauf, dass Trojaner auf der Regierung unliebsame Gruppen wie z. B. die Falun Gong angesetzt wurden. Die technischen Beschreibungen zählen jedoch zu den detailliertesten, die existieren.[42][43][44]

Rechtliche und technische Problematiken, Kritik Bearbeiten

Die Online-Durchsuchung wirft ein Fülle von rechtlichen Fragen auf und wurde und wird unter verschiedenen Gesichtspunkten kritisiert.

Debatte zu Grundrechten und ÜberwachungsstaatBearbeiten

Datenschutzrechtlich ist die Online-Durchsuchung ein massiver Eingriff in die Privatsphäre. Inwieweit dieser im Rahmen der Staatsgewalt zulässig ist, ist die Grunddebatte.

Ein zentraler Kritikansatz ist auch die Heimlichkeit als Widerspruch zum Wesen einer rechtsstaatlichen Untersuchungshandlung. Da der Betroffene in der Regel die Überwachung nicht bemerkt, diese selbst technisch schwer nachweisbar ist und je nach Rechtslage häufig selbst im Nachhinein nicht mitgeteilt werden muss (siehe etwa G10-Gesetz), besteht für ihn keine Möglichkeit der rechtlichen Überprüfung des Eingriffs. Der Aspekt von Transparenz und Kontrollinstanzen staatlichen Handelns ist jedoch untrennbar mit dem Kern der Rechtsstaatsidee verbunden.

Eine weitere Frage ist, dass staatliche Überwachungsmaßnahmen immer auf konkrete Personen eingeschränkt sind. Die Überwachung der Kommunikation eines Verdächtigen würde aber die Überwachung eines Personenkreises unbestimmter Anzahl und möglicherweise auch Unverdächtige umfassen. Daher muss die Kontrolle nicht nur die Bewilligung der Überwachung umfassen, sondern auch die Verwendung des ermittelten Datenmaterials, und insbesondere auch dessen Abspeicherung als zu sicherndes Beweismaterial.

Darüber hinaus findet eine allgemeine weitere Entgrenzung der öffentlichen Macht von Territorien, nationalen Grenzen, Privaträume und physischer Präsenz statt. Der Soziologe und Philosoph Zygmunt Bauman charakterisiert diesen Zustand der Macht als „post-panoptisch“.[45] Die für den Bürger unsichtbaren Möglichkeiten der Überwachung mit Hilfe elektronischer Signale bedeuten auch, dass die Überwachung ohne direkte Anwesenheit von Kontrollpersonal oder der Existenz von definierten bzw. transparenten Wachzeiten möglich wird. Weiters ist es beispielsweise auch viel schwerer zu kontrollieren, inwieweit die Daten im Rahmen internationaler Ermittlungszusammenarbeit an ausländische Instanzen weitergereicht werden, und dann nicht mehr den ursprünglichen Anordnungen und der ursprünglichen Kontrolle unterliegen. So könnten trotz gesetzeskonformem Löschen der Überwachungsdaten bei einer Behörde nach Abschluss des Ermittlungsverfahrens noch weitere Kopien anderorts erhalten bleiben – ein Aspekt, der dem Recht auf Vergessenwerden aller Daten gemeinsam ist. Daher erfordert es eine umfangreichere Gestaltung der gesetzlichen, auch internationalen Rahmenbedingungen.[46]

Auch wird die Gefahr gesehen, dass der Bürger das Vertrauen in behördliche elektronische Kommunikation (E-Government) im Allgemeinen verliert.

Abgrenzung von Datenübertragung und NachrichtenübermittlungBearbeiten

Die Durchsuchung rein privater Daten stellt einen tieferen Eingriff in die Privatsphäre dar als die Überwachung zwischenmenschlicher Kommunikation. Modernes Cloud Computing umfasst auch das externe Speichern auf Filehosting-Servern im Internet. Technisch gesehen ist auch dieser Datenaustausch eine Kommunikation zweier Endgeräte, daher muss der Gesetzgeber schärfere Definitionen von „Kommunikation“ entwickeln. So stellt sich etwa die Frage, inwieweit automatische Synchronisationsvorgänge mit der Cloud als „autonome Kommunikation zwischen zwei Geräten ohne menschliches Zutun“[47] (M2M-Kommunikation) noch unter eine angeordnete Überwachung fallen soll. Rechtliche Formulierungen wie, dass eine Nachricht in eigentlichen Sinne nur „von einer natürlichen Person übermittelte Daten“[47] umfassen soll, würden auch die Uploads auf einen Cloud-Speicher umfassen.[5]

Technische Aspekte von Govware und MalwareBearbeiten

Der Bedarf an einer leistungsfähigen Überwachungssoftware, die über die bereits im Einsatz befindlichen Abhörschnittstellen, die zur Durchführung von Telekommunikations-Überwachungsmaßnahmen bei jedem Internet-Provider installiert sein müssen, hinausgeht, entstand insbesondere durch die weite Verbreitung von verschlüsselter Telekommunikation (z. B. Skype und WhatsApp). Um diese Medien zu Überwachen, braucht es eine tiefere Eingriffe in das Betriebssystem eines Gerätes.

Neben den juristischen und politischen Einwänden wird von Experten die technische Umsetzbarkeit bezweifelt: Antivirenprogramme würden alle Schadprogramme gleich behandeln. Tjark Auerbach, Geschäftsführer von Avira sagte: „Ein Trojaner ist und bleibt eine Spionage-Software“. Sobald die Struktur den Software-Herstellern bekannt wird, würde sie in ein Verzeichnis bekannter Viren aufgenommen und von den Programmen blockiert werden. Andreas Lamm, Geschäftsführer von Kaspersky Lab, sagte zu der Möglichkeit einer Zusammenarbeit mit staatlichen Behörden, „es würde sich dabei um einen massiven Eingriff in die gesamte IT-Sicherheitsindustrie handeln, der aus unserer Sicht nicht vorstell- und durchführbar wäre“.[48] Virenschutzprogramme bieten jedoch nur bedingte Sicherheiten durch Erkennung von typischen Verhaltensweisen und bereits bekannten Programmmustern über generische und heuristische Verfahren, da staatliche Trojaner sich atypisch verbreiten und den Herstellern erst bekannt sein müssen, um sie in ihren Virenschutzprogramme durch aktuelle Virensignaturen zuverlässig erkennen zu lassen.[49] Erschwerend kommt nur hinzu, dass Trojaner oder Ausspähprogramme auf die Zusammenarbeit des Betriebssystems angewiesen sind (und speziell auf dieses zugeschnitten sein müssen).

Unabhängig von der verwendeten Technik wurde angezweifelt, ob insbesondere gezielte[50] Online-Durchsuchungen bei Einsatz üblicher Kommunikationstechnik wie Router, Firewall und Anti-Virus-Scanner überhaupt erfolgversprechend sein können.[51][52] Experten waren jedoch der Meinung, dass die Provider-seitigen Abhörschnittstellen ohne größere Probleme zur Einschleusung von Trojanern während eines beliebigen ungesicherten Software-Downloads umprogrammiert werden könnten – ein klassischer Man-in-the-Middle-Angriff, gegen den auch die beste Firewall machtlos ist.[53] Um eine derartige Attacke auszuschließen, müsste man sich bei Programmdownloads auf signierte Dateien beschränken. Viele freie Betriebssysteme tun dies mit dem GNU Privacy Guard ohnehin. Allerdings signieren nur sehr wenige Anbieter von Windows-Software ihre Downloads. Außerdem benötigt man eine garantiert echte Version des jeweiligen öffentlichen Schlüssels. Antivirenprogrammhersteller wie Avira und Kaspersky Lab schlossen eine Kooperation mit Behörden bereits aus.[54]

Allgemeine IT-Sicherheit, Zweckmässigkeit und MissbrauchspotenzialBearbeiten

Allgemein gerät der Staat durch Anwendung von Govware in einen Zielkonflikt, da er einerseits die allgemeine IT-Sicherheit fördern will, andererseits diese durch die Maßnahmen zur Online-Durchsuchung gefährden könnte.

Es wird für unwahrscheinlich gehalten, dass die Zielsetzung der Bekämpfung von Terrorismus oder organisierter Kriminalität mit Online-Durchsuchungen erreicht werden kann, da gerade diese Personengruppen sich mutmaßlich gegen die Zugriffe schützen werden. Dieser „Rüstungswettlauf“ wohnt aber allen Maßnahmen der Staatsgewalt inne. Es bleibt auch zu bedenken, dass von Seiten der überwachenden Behörde nicht überprüfbar ist, ob die Govware von einem technisch begabten Kriminellen erkannt und manipuliert wurde. In diesem Fall könnte diese gefakte Daten an die Behörde übermitteln. Im Gegensatz zur herkömmlichen Telefonüberwachung wäre dieser Eingriff nicht einmal im Nachhinein nachweisbar. Der Einsatz zur Beweisgewinnung ist daher fragwürdig. Auch die Verhältnismäßigkeit wird in Frage gestellt, da diese Software nur bei technisch unbegabteren Terroristen unentdeckt bliebe, und bei diesen reichten herkömmliche Ermittlungsmethoden. Diese Notwendigkeit hofft der Gesetzgeber durch die explizite Bewilligung jeder Überwachung zu berücksichtigen.

Weiterhin ist auch ein Missbrauch der verschiedenen Überwachungsbefugnisse nicht ausgeschlossen. So wurde beispielsweise im August 2007 bekannt, dass ein Mitarbeiter des deutschen Bundesnachrichtendienstes die technischen Möglichkeiten zu privaten Zwecken nutzte.[55] Auch ist nicht auszuschließen, dass die technischen Möglichkeiten der Überwachungssoftware dafür missbraucht werden, Beweismittel zu fälschen. So könnte vom Opfer unbemerkt (und im Nachhinein nicht nachweisbar) kompromittierendes Material (etwa Kinderpornografie oder gefälschte Anschlagspläne) auf seinen Rechner aufgespielt werden. Diese Gefahr kann von Regierungen selbst ausgehen (etwa in Unrechtsstaaten), aber auch etwa von kriminellen Geheimdienst-Mitarbeitern.

Selbst ohne konkrete Missbrauchsintention von den Mitarbeitern der Behörden stellt die Existenz einer Einrichtung, die Zugriff auf Informationssysteme der Bürger oder Organisationen hat, eine erhebliche Schwächung der nationalen IT-Sicherheit dar, da böswillige Dritte sich Zugang zu dieser Einrichtung verschaffen könnten, und diese dann selbst zur Ausspähung nutzen könnten. Insbesondere für die Wirtschaft stellt das ein ernstzunehmendes Risiko dar. Daher muss die Behörde – so wie jeder Softwarevertreiber – die Govware regelmäßig validisieren und updaten, um ihre Funktionsfähigkeit sicherzustellen. Es sind also auch nach der Installation weitere Eingriffe in die Privatsphäre notwendig.

Ein weiteres Problemfeld stellt jedoch dar, dass die vom Benutzer unbemerkbare Installation von Malware-Technologien immer auf einer Sicherheitslücke beruht.[56] Eigentlich ist es Intention von jedem, der an der Sicherheit der Bürger und Organisationen interessiert ist, dass solche Sicherheitslücken möglichst schnell bekannt und dann geschlossen werden. Für den Betrieb dieser Software muss sich der Staat aber auf die Geheimhaltung gewisser Exploits verlassen, und sich daher aktiv an der Bevorratung entdeckter Exploits zu eigenen Zwecken beteiligen, was aber als Exploit-Handel als eine der heutigen Kernszenen der Kriminalität gilt. Damit tritt der Staat in direkte Konkurrenz mit dem Verbrechen um die informationstechnische Ressource der Exploits (und finanziert diese möglicherweise gar). Da die Schwachstellen dementsprechend nicht geschlossen werden, können auch Kriminelle diese früher oder später finden und selbst ausnutzen. So etwa geschehen beim WannaCry-Virus, der auf einer Backdoor basierte, die die amerikanische NSA jahrelang für einen ihrer Staatstrojaner benutzte.

Die Alternative ist, direkt mit den Betriebssystem- und Anwendungssoftwareherstellern in der Implementierung zumindest einer Schnittstelle zur Govware zusammenzuarbeiten. Auch das erfordert einen umfassenden, und insbesondere internationalen rechtlichen Rahmen, und wirft eine Fülle von weiteren Fragen auf (behördliche Einsichtnahme oder Eingriff in proprietäre Software oder Abgabe der Kompetenz an die Privatwirtschaft, Umgang mit Open-Source-Communities). Zudem bleibt das Problem, dass jede (auch absichtlich eingebaute) Sicherheitslücke die Systeme für alle Nutzer - auch jene, die nicht überwacht werden - unsicherer machen.

HaftungBearbeiten

Die Haftung für Schäden, die durch den nicht mit den Betreibern abgesprochenen Eingriff in das Informationssystem entstehen, ist ungeklärt, sodass Betroffene unter Umständen erheblichen wirtschaftlichen Schaden erleiden können, der nicht kompensiert wird. Hersteller von Software schließen üblicherweise die Haftung für Schäden, die durch den Eingriff Dritter in ihre Software verursacht wird, aus, sodass die durchsuchenden Behörden selbst bei Kenntnis aller verwendeter Software auf dem Zielsystem, was nur durch eine vorherige Beschlagnahme und vollständige Untersuchung des Systems gewährleistet werden könnte, immer noch vor dem Problem stünden, die Durchsuchungslösung mit allen beteiligten Softwareherstellern absprechen zu müssen, um derartige Schäden auszuschließen.

Siehe auchBearbeiten

MaterialienBearbeiten

LiteraturBearbeiten

WeblinksBearbeiten

EinzelnachweiseBearbeiten

  1. Maik Bunzel: Der strafprozessuale Zugriff auf IT-Systeme. Eine Untersuchung aus technischer und verfassungsrechtlicher Perspektive. Logos Verlag Berlin GmbH, Berlin 2015, ISBN 978-3-8325-3909-2, S. 45 (459 S.).
  2. Fragenkatalog des Bundesministeriums der Justiz. (PDF; 283 kB) Bundesministerium des Innern, 22. August 2007, S. 2, abgerufen am 14. Februar 2016.
  3. Christian Rath: Am Computer des Täters ansetzen. Interview mit BKA-Chef Ziercke. In: taz.de. 26. März 2007, abgerufen am 14. Februar 2016.
  4. Detlef Borchers: Bürgerrechtler diskutieren mit BKA-Chef über Online-Durchsuchung. In: heise.de. 22. September 2007, abgerufen am 14. Februar 2016.
  5. a b c Erich Möchel: „Bundestrojaner 2.0“ mit neuen technischen Widersprüchen. In fm4.ORF.at, 26. Februar 2018.
  6. a b c „Bundestrojaner“ heißt jetzt angeblich „Remote Forensic Software“. heise-online, 3. August 2007.
  7. Meldung. heise.de, 8. Oktober 2006
  8. Sophos: Wir werden auch staatliche Trojaner stoppen. de.internet.com
  9. Bundes-Trojaner sind spähbereit. Spiegel Online, Netzticker.
  10. Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens, BGBl. I S. 3202 (pdf), BT-Drs. 18/11277 (pdf)
  11. Das Bundeskriminalamt und das gehackte, Drucksache 18/5779 Hacking Team. (PDF; 173 kB) Deutscher Bundestag, 17. August 2015, abgerufen am 23. Juni 2017.
  12. Stellungnahme zum Referentenentwurf eines Gesetzes zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens. (Nicht mehr online verfügbar.) Deutscher Richterbund e. V., Juni 2017, archiviert vom Original am 17. August 2017; abgerufen am 23. Juni 2017.   Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.drb.de
  13. Online-Durchsuchung: Ist die Festplatte eine Wohnung? Heise Online, 25. Juli 2007
  14. BGHSt 51, 211.
  15. Drucksache 16/6885 Antwort der Bundesregierung auf die Kleine Anfrage vom 30. Oktober 2007 (PDF; 81 kB).
  16. Drucksache 16/7279 Antwort der Bundesregierung auf die Nachfrage zur Bundestagsdrucksache 16/6885 (PDF; 74 kB)
  17. dipbt.bundestag.de (PDF).
  18. Skeptiker nicht überzeugt. SPÖ und ÖVP sind zufrieden. (Nicht mehr online verfügbar.) In: ORF.at. 17. Oktober 2007, archiviert vom Original am 19. Oktober 2007; abgerufen am 17. Oktober 2007.   Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/orf.at
  19. a b Peter Mühlbauer: Österreichische Piratenpartei fordert Stopp des heimischen Staatstrojaners: DigiTask lieferte seine umstrittene Überwachungssoftware auch in die Alpenrepublik. In: Heise online. 12. Oktober 2011, abgerufen am 13. Oktober 2011.
  20. Emil Bobi: Trojanische Sitten. In: profil.at. Abgerufen am 23. Oktober 2011.
  21. BMJ: 192/ME (XXV. GP) - Bundesgesetz, mit dem die Strafprozessordnung 1975 und das Staatsanwaltschaftsgesetz geändert werden:. In: Österreichisches Parlament. Abgerufen am 31. März 2016.
  22. Mag. Barbara Wimmer: Staatstrojaner ist ein Einfallstor für Kriminelle. In: Futurezone.at. Abgerufen am 8. April 2016.
  23. 192/ME (XXV. GP) - Strafprozessordnung 1975, Staatsanwaltschaftsgesetz, Änderung. In: www.parlament.gv.at. Abgerufen am 21. Juli 2016.
  24. Justizministerium zum Staatstrojaner: "Nehmen Kritik ernst". Abgerufen am 21. Juli 2016.
  25. Nationalrat beschließt Sicherheitspaket mit Bundestrojaner. Parlamentskorrespondenz Nr. 443 vom 20. April 2018 (auf parlament.gv.at).
  26. Peter Mühlbauer: Schweizerische Piratenpartei fordert Aufklärung über möglicherweise illegalen Staatstrojanereinsatz: Die Firma DigiTask lieferte nach eigenen Angaben auch in die Eidgenossenschaft. In: Heise online. 13. Oktober 2011, abgerufen am 13. Oktober 2011.
  27. a b Schweizer Behörden schnüffeln mit Spionage-Software, Der Bund, 12. Oktober 2011
  28. Nico Ruffo: Schweizer Behörde bestätigt Verwendung von Trojanern. In: Schweizer Fernsehen. 13. Oktober 2011, abgerufen am 13. Oktober 2011.
  29. «Staatstrojaner» im Fall Stauffacher eingesetzt, Neue Zürcher Zeitung vom 15. Oktober 2011
  30. Art. 280 der Schweizerischen Strafprozessordnung vom 5. Oktober 2007 (Strafprozessordnung, StPO, SR 312.0)
  31. Peter Mühlbauer: Staatstrojaner» im Fall Stauffacher eingesetzt: Bundesanwaltschaft spioniert im Computer der Zürcher Aktivistin. In: Neue Zürcher Zeitung. 13. Oktober 2011, abgerufen am 13. Oktober 2011.
  32. Martin Steiger: Bundestrojaner ohne Rechtsgrundlage in der Schweiz.
  33. Laufende Vernehmlassungen und Anhörungen. Internetauftritt der Bundesbehörden, abgerufen am 24. Juni 2010.
  34. Bericht zur Vorlage (PDF; 366 kB) S. 42 (gemeinfreier Text).
  35. PROJET DE LOI d’orientation et de programmation pour la performance de la sécurité intérieure. 8. Februar 2011, abgerufen am 28. Februar 2011 (französisch).
  36. Stefan Krempl, Volker Briegleb: Frankreich erhält Websperren ohne Richtervorbehalt. In: heise online. 9. Februar 2011, abgerufen am 28. Februar 2011.
  37. Computer Misuse Act 1990 (c. 18). Office of Public Sector Information; abgerufen am 5. Januar 2009.
  38. Regulation of Investigatory Powers Act 2000. Office of Public Sector Information; abgerufen 5. Januar 2009.
  39. Council Conclusions on a Concerted Work Strategy and Practical Measures Against Cybercrime. (PDF; 157 kB) Principaux résultats du Conseil justice affaires intérieures, 2987th Justice and Home Affairs Council meeting. 27.-28. November 2008.
  40. Police set to step up hacking of home PCs, Times, 4. Januar 2009.
  41. Government plans to extend powers to spy on personal computers, Telegraph, 4. Januar 2009.
  42. Maarten Van Horenbeeck: Targeted Attacks: Fallbeispiel Falun Gong. „Matrix“, Ö1, Bericht auf Futurezone, Februar 2008
  43. Maarten Van Horenbeeck: Crouching Powerpoint, Hidden Trojan, An analysis of targeted attacks from 2005 to 2007, zugehörige Präsentation (PDF; 2,5 MB) CCC, 2007.
  44. Titan Rain – how Chinese hackers targeted Whitehall. In: The Guardian, 2007
  45. Zygmunt Bauman: Flüchtige Moderne. Edition Suhrkamp, Frankfurt am Main 2003 – Die Überwachung der Gesellschaft in der Moderne unterlag nach Bauman lokalen, physischen, räumlichen und zeitlichen Bedingungen. Diese Form der Macht charakterisiert das Panopticon.
  46. Vergl. z. B. BVT-Affäre in Österreich: Deutscher Verfassungsschutz fürchtet Weitergabe von Geheimdienstdaten. Alexander Fanta in: netzpolitik.org, 21. März 2018.
  47. a b Zitat aus Bundesregierung Österreich: Erläuterungen zu 17 d.B. Zur Regierungsvorlage 17 d.B./XXVI. GP zum Strafprozessrechtsänderungsgesetz 2017, 22. Februar 2018, S. 2, vierter resp. letzter Absatz (pdf, auf parlament.gv.at).
  48. tagesschau: „Der Bundestrojaner ist nicht vorstellbar“ (Memento vom 14. Februar 2016 im Internet Archive)
  49. Virenprogramme erkennen den Staatstrojaner. Spiegel Online, 10. Oktober 2011
  50. Hacken für den Staat. In: Die Zeit, Nr. 21/2007
  51. Digitaler Lauschangriff – Bundestrojaner im Computer. (Memento vom 15. Dezember 2006 im Internet Archive) sueddeutsche.de
  52. Bundestrojaner: Geht was – was geht: Technische Optionen für die Online-Durchsuchung. heise.de
  53. Der Staat als Einbrecher – Heimliche Online-Durchsuchungen sind möglich. Telepolis
  54. Angriff auf die Ahnungslosen. Spiegel Online
  55. Beamter unter Verdacht. In: Berliner Zeitung, 31. August 2007.
  56. Vergl. Bundestrojaner kaum angreifbar. Petra Tempfer in: Wiener Zeitung online, 19. März 2018, Abschnitt Überwachung der Überwachung.
  Bitte den Hinweis zu Rechtsthemen beachten!