Der hessischer Gesetzgeber plant den Hessentrojaner, damit staatlichen Überwachungsprogramme PC' s auslesen können Bild: Haufe Online Redaktion

Das geplante neue Verfassungsschutzgesetz für Hessen sorgt wegen befürchteter Aushöhlung von Grundrechten und Bedenken gegen ausufernde Befugnisse der Geheimdienste für Gegenwind bei Datenschützern und Experten. Ein besonders umstrittener Aspekt und zugleich Stichwort für Widerstand ist der "Hessentrojaner": ein Schadprogramm, das Sicherheitsdiensten ermöglichen soll, unbemerkt auf Rechner zuzugreifen.

In der Expertenanhörung zur geplanten Novelle des hessischen Verfassungsschutzgesetzes sprachen sich die meisten Fachleute mehr oder weniger deutlich gegen die hier vorgesehene Einführung von heimlich auf IT-Geräten verdächtiger Personen aufgespielten staatlichen Überwachungsprogrammen aus, mit denen Daten ausgelesen und die Kommunikation überwacht werden können.

Experten äußern in Landtags-Anhörung deutliche Kritik am geplanten Hessentrojaner

Über zwanzig geladene Sachverständige äußerten sich in der Anhörung im Innenausschuss des Wiesbadener Landtags zu dem von der schwarz-grünen Landesregierung geplanten Gesetz zur Neuausrichtung des Verfassungsschutzes in Hessen sowie den damit verbundenen Änderungen im Sicherheits- und Ordnungsgesetz (HSOG). 

Neue Rechtsgrundlage für polizeiliche/geheimdienstliche Überwachungsmaßnahmen

Mit der Reform sollen zahlreiche polizeiliche und geheimdienstliche Überwachungsmaßnahmen auf eine neue gesetzliche Grundlage gestellt werden, darunter etwa

  • Ortungsmöglichkeiten für Mobilgeräte,
  • Maßnahmen zur Videoüberwachung
  • oder die Möglichkeiten zur Erfassung und Speicherung von Daten Minderjähriger.

Besonders im Fokus standen bei der Anhörung allerdings die Nutzungsmöglichkeiten für sogenannte Staatstrojaner.

Staatstrojaner als staatliche Spyware

Als Trojaner werden üblicherweise solche Schadprogramme bezeichnet, die unbemerkt vom Anwender auf Rechner installiert werden, und hier heimliche Funktionen ausführen.

Bekannt geworden und gefüchrchtet sind sie bisher vor allem im Rahmen von Cypercrime (s. z. B. Verschlüsselungstrojaner Bad Rabbit  oder WannaCry).

Die geplante Eigenentwicklung einer Software zur Überwachung verschlüsselter Internet-Telefonate und E-Mail-Kommunikation stellt das Bundeskriminalamt vor erhebliche Probleme.

Was sollen Hessentrojaner leisten?

Im Falle der von staatlichen Stellen verwendeten Trojaner sollen

  • zum einen auf dem Rechner (PC, Smartphone etc.) gespeicherten Daten ausgelesen und an die Behörden übermittelt werden,
  • zum anderen sollen die Optionen zur abhörsicheren Verschlüsselung bei der Kommunikation umgangen werden.
  • Letzteres geschieht dadurch, dass die Daten hier bereits bei der Eingabe mitgelesen bzw. abgehört werden, also bevor Verschlüsslungssoftware diese Informationen codieren kann.
  • Beim Empfang verschlüsselter Nachrichten können diese z.B. mitgelesen werden, wenn der Empfänger sich diese in entschlüsselter Form anzeigen lässt. 

Die erste Variante des Trojaner-Einsatzes dient damit der Online-Durchsuchung, die zweite Variante der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ).

Online-Durchsuchung und Grundrecht auf Integrität und Vertraulichkeit von IT-Systemen

Im Hinblick auf die Funktion der Online-Durchsuchung hat das Bundesverfassungsgericht bereits 2007 in seinem Urteil zum nordrhein-westfälischen Verfassungsschutzgesetz jedoch ein besonderes Grundrecht auf Integrität und Vertraulichkeit informationstechnischer Systeme definiert, in dem auch klare rechtliche Voraussetzungen für den Einsatz derartiger Staatstrojaner definiert werden (BVerfG, Urteil v. 27.02.2008,1 BvR 370/07, 1 BvR 595/07).

  • Die heimliche Infiltration eines informationstechnischen Systems ist grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen. Das Gesetz, das zu einem solchen Eingriff ermächtigt, muss Vorkehrungen enthalten, um den Kernbereich privater Lebensgestaltung zu schützen.
  • Sie ist grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen.
  • Das Gesetz, das zu einem solchen Eingriff ermächtigt, muss Vorkehrungen enthalten, um den Kernbereich privater Lebensgestaltung zu schützen.

Verfassungsrechtliche Vorbehalte für Online-Durchsuchung

So sollen bei den Online-Durchsuchungen besonders persönliche Daten, die den Kernbereich der privaten Lebensgestaltung betreffen, ausgespart bleiben und es muss sichergestellt werden, dass solche Daten, sofern sie bereits bei einer Online-Durchsuchung fälschlicherweise ausgeleitet wurden, nicht weiter ausgewertet werden.

Mängel des Gesetzentwurfes

Am hessischen Gesetzentwurf bemängelt der Sachverständige Jan Dirk Roggenkamp jedoch, dass es an den hier enthaltenen Vorgaben zur Online-Durchsuchung an der erforderlichen Klarheit fehle. Insbesondere kritisiert er, dass es nicht nur möglich sein soll, die IT-Geräte der Verdächtigen mittels der Trojaner zu durchsuchen, sondern auch die Geräte Dritter, die die Verdächtigen verwenden.

Problematische Quellen-Telekommunikationsüberwachung

Auch an der geplanten Nutzung von Trojanern zur Quelle-TKÜ äußerte Roggenkamp deutliche Kritik.

  • So habe auch hier das Bundesverfassungsgericht strikte Vorgaben gemacht, etwa im Hinblick auf den Umfang der überwachten Daten. So dürfe etwa bei der Kommunikationsüberwachung ausschließlich die laufende Kommunikation abgehört werden, nicht aber gespeicherte Kommunikationsdaten ausgelesen werden,
  • ebenso dürften z.B. keine Screenshots angefertigt oder die Standortdaten erfasst werden.
  • Dass ein Trojaner all die Einschränkungen berücksichtigen könne, hält er für nicht erwiesen, und auch im Gesetzestext werde nicht auf diese Problematik eingegangen. 

Generelle Kritik der Chaos Computer Club

In einer Stellungnahme sprach der Chaos Computer Club auf die generellen Gefahren und Interessenskonflikte durch staatliches Hacken hin. Dabei verweist man etwa auf den Zielkonflikt,

  • dass der Staat einerseits ein möglichst hohes IT-Sicherheitsniveau für Wirtschaft und Bürger garantieren solle,
  • andererseits die Staatstrojaner nur dann in Umlauf bringen könne, wenn er dazu Sicherheitslücken in weit verbreiteten IT-Systemen verwenden könne
  • und daher daran interessiert sein müsse, solche Lücken nicht bekannt werden zu lassen.

Als Beispiel für die damit verbundenen Risiken führte eine Sprecherin des Chaos Computer Clubs den Fall der Erpressungs-Software WannaCry an, die sich eine Schwachstelle zunutze machte, die der amerikanische Geheimdienst NSA lange Zeit genutzt hatte, um eigene Spionage-Software zu installieren.

Befürwortenden Experten-Mindermeinung

Zu den wenigen Befürwortern des vorliegenden Gesetzentwurfs bei der Expertenanhörung gehörte der hessische Landesverband des Bundes Deutscher Kriminalbeamter (BDK), der auf die Notwendigkeit zur Überwachung verschlüsselter Kommunikation möglicher Zielpersonen hinwies, ohne dabei auf die durch mit dem staatlichen Hacken einhergehenden Probleme einzugehen. Mit dieser Sichtweise stand der Verband der Kriminalbeamten jedoch weitgehend allein.

Alle anderen angehörten Sachverständigen waren deutlich skeptischer und verlangten entweder Nachbesserungen oder lehnten den Einsatz des Hessentrojaners komplett ab.

Weitere News zum Thema:

Bald US-Urteil über Zugriff auf europäische Daten

Wenn IT-Firmen als Spione missbraucht werden

Bundestrojaner und Online-Durchsuchungen

Hintergrund:

BVerfG, Urteil v. 27.02.2008, 1 BvR 370/07, 1 BvR 595/07, amtlicher Leitsatz:

1. Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.

2. Die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, ist verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Überragend wichtig sind Leib, Leben und Freiheit der Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt. Die Maßnahme kann schon dann gerechtfertigt sein, wenn sich noch nicht mit hinreichender Wahrscheinlichkeit feststellen lässt, dass die Gefahr in näherer Zukunft eintritt, sofern bestimmte Tatsachen auf eine im Einzelfall durch bestimmte Personen drohende Gefahr für das überragend wichtige Rechtsgut hinweisen.

3. Die heimliche Infiltration eines informationstechnischen Systems ist grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen. Das Gesetz, das zu einem solchen Eingriff ermächtigt, muss Vorkehrungen enthalten, um den Kernbereich privater Lebensgestaltung zu schützen.

4. Soweit eine Ermächtigung sich auf eine staatliche Maßnahme beschränkt, durch welche die Inhalte und Umstände der laufenden Telekommunikation im Rechnernetz erhoben oder darauf bezogene Daten ausgewertet werden, ist der Eingriff an Art. 10 Abs. 1 GG zu messen.

5. Verschafft der Staat sich Kenntnis von Inhalten der Internetkommunikation auf dem dafür technisch vorgesehenen Weg, so liegt darin nur dann ein Eingriff in Art. 10 Abs. 1 GG, wenn die staatliche Stelle nicht durch Kommunikationsbeteiligte zur Kenntnisnahme autorisiert ist.

6. Nimmt der Staat im Internet öffentlich zugängliche Kommunikationsinhalte wahr oder beteiligt er sich an öffentlich zugänglichen Kommunikationsvorgängen, greift er grundsätzlich nicht in Grundrechte ein.

Aus: Deutsches Anwalt Office Premium).

Schlagworte zum Thema:  Persönlichkeitsrecht, Überwachung, Datenschutz, Telekommunikation, Datensicherheit

Aktuell
Meistgelesen