Neuregelung zu Hessentrojaner zwecks um heimlicher PC-Besuche | Compliance

Haufe Online Redaktion

Neuregelung zu Hessentrojaner zwecks um heimlicher PC-Besuche — Bild: Haufe Online Redaktion Der hessischer Gesetzgeber plant den Hessentrojaner, damit staatlichen Überwachungsprogramme PC' s auslesen können

Das geplante neue Verfassungsschutzgesetz für Hessen sorgt wegen befürchteter Aushöhlung von Grundrechten und Bedenken gegen ausufernde Befugnisse der Geheimdienste für Gegenwind bei Datenschützern und Experten. Ein besonders umstrittener Aspekt und zugleich Stichwort für Widerstand ist der "Hessentrojaner": ein Schadprogramm, das Sicherheitsdiensten ermöglichen soll, unbemerkt auf Rechner zuzugreifen.

In der Expertenanhörung zur geplanten Novelle des hessischen Verfassungsschutzgesetzes sprachen sich die meisten Fachleute mehr oder weniger deutlich gegen die hier vorgesehene Einführung von heimlich auf IT-Geräten verdächtiger Personen aufgespielten staatlichen Überwachungsprogrammen aus, mit denen Daten ausgelesen und die Kommunikation überwacht werden können.

Experten äußern in Landtags-Anhörung deutliche Kritik am geplanten Hessentrojaner

Über zwanzig geladene Sachverständige äußerten sich in der Anhörung im Innenausschuss des Wiesbadener Landtags zu dem von der schwarz-grünen Landesregierung geplanten Gesetz zur Neuausrichtung des Verfassungsschutzes in Hessen sowie den damit verbundenen Änderungen im Sicherheits- und Ordnungsgesetz (HSOG).

Neue Rechtsgrundlage für polizeiliche/geheimdienstliche Überwachungsmaßnahmen

Mit der Reform sollen zahlreiche polizeiliche und geheimdienstliche Überwachungsmaßnahmen auf eine neue gesetzliche Grundlage gestellt werden, darunter etwa

Ortungsmöglichkeiten für Mobilgeräte,
Maßnahmen zur Videoüberwachung
oder die Möglichkeiten zur Erfassung und Speicherung von Daten Minderjähriger.

Besonders im Fokus standen bei der Anhörung allerdings die Nutzungsmöglichkeiten für sogenannte Staatstrojaner.

Staatstrojaner als staatliche Spyware

Als Trojaner werden üblicherweise solche Schadprogramme bezeichnet, die unbemerkt vom Anwender auf Rechner installiert werden, und hier heimliche Funktionen ausführen.

Bekannt geworden und gefüchrchtet sind sie bisher vor allem im Rahmen von Cypercrime (s. z. B. Verschlüsselungstrojaner Bad Rabbit oder WannaCry).

Die geplante Eigenentwicklung einer Software zur Überwachung verschlüsselter Internet-Telefonate und E-Mail-Kommunikation stellt das Bundeskriminalamt vor erhebliche Probleme.

Was sollen Hessentrojaner leisten?

Im Falle der von staatlichen Stellen verwendeten Trojaner sollen

zum einen auf dem Rechner (PC, Smartphone etc.) gespeicherten Daten ausgelesen und an die Behörden übermittelt werden,
zum anderen sollen die Optionen zur abhörsicheren Verschlüsselung bei der Kommunikation umgangen werden.
Letzteres geschieht dadurch, dass die Daten hier bereits bei der Eingabe mitgelesen bzw. abgehört werden, also bevor Verschlüsslungssoftware diese Informationen codieren kann.
Beim Empfang verschlüsselter Nachrichten können diese z.B. mitgelesen werden, wenn der Empfänger sich diese in entschlüsselter Form anzeigen lässt.

Die erste Variante des Trojaner-Einsatzes dient damit der Online-Durchsuchung, die zweite Variante der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ).

Online-Durchsuchung und Grundrecht auf Integrität und Vertraulichkeit von IT-Systemen

Im Hinblick auf die Funktion der Online-Durchsuchung hat das Bundesverfassungsgericht bereits 2007 in seinem Urteil zum nordrhein-westfälischen Verfassungsschutzgesetz jedoch ein besonderes Grundrecht auf Integrität und Vertraulichkeit informationstechnischer Systeme definiert, in dem auch klare rechtliche Voraussetzungen für den Einsatz derartiger Staatstrojaner definiert werden (BVerfG, Urteil v. 27.02.2008,1 BvR 370/07, 1 BvR 595/07).

Die heimliche Infiltration eines informationstechnischen Systems ist grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen. Das Gesetz, das zu einem solchen Eingriff ermächtigt, muss Vorkehrungen enthalten, um den Kernbereich privater Lebensgestaltung zu schützen.
Sie ist grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen.
Das Gesetz, das zu einem solchen Eingriff ermächtigt, muss Vorkehrungen enthalten, um den Kernbereich privater Lebensgestaltung zu schützen.

Verfassungsrechtliche Vorbehalte für Online-Durchsuchung

So sollen bei den Online-Durchsuchungen besonders persönliche Daten, die den Kernbereich der privaten Lebensgestaltung betreffen, ausgespart bleiben und es muss sichergestellt werden, dass solche Daten, sofern sie bereits bei einer Online-Durchsuchung fälschlicherweise ausgeleitet wurden, nicht weiter ausgewertet werden.

Mängel des Gesetzentwurfes

Am hessischen Gesetzentwurf bemängelt der Sachverständige Jan Dirk Roggenkamp jedoch, dass es an den hier enthaltenen Vorgaben zur Online-Durchsuchung an der erforderlichen Klarheit fehle. Insbesondere kritisiert er, dass es nicht nur möglich sein soll, die IT-Geräte der Verdächtigen mittels der Trojaner zu durchsuchen, sondern auch die Geräte Dritter, die die Verdächtigen verwenden.

Problematische Quellen-Telekommunikationsüberwachung

Auch an der geplanten Nutzung von Trojanern zur Quelle-TKÜ äußerte Roggenkamp deutliche Kritik.

So habe auch hier das Bundesverfassungsgericht strikte Vorgaben gemacht, etwa im Hinblick auf den Umfang der überwachten Daten. So dürfe etwa bei der Kommunikationsüberwachung ausschließlich die laufende Kommunikation abgehört werden, nicht aber gespeicherte Kommunikationsdaten ausgelesen werden,
ebenso dürften z.B. keine Screenshots angefertigt oder die Standortdaten erfasst werden.
Dass ein Trojaner all die Einschränkungen berücksichtigen könne, hält er für nicht erwiesen, und auch im Gesetzestext werde nicht auf diese Problematik eingegangen.

Generelle Kritik der Chaos Computer Club

In einer Stellungnahme sprach der Chaos Computer Club auf die generellen Gefahren und Interessenskonflikte durch staatliches Hacken hin. Dabei verweist man etwa auf den Zielkonflikt,

dass der Staat einerseits ein möglichst hohes IT-Sicherheitsniveau für Wirtschaft und Bürger garantieren solle,
andererseits die Staatstrojaner nur dann in Umlauf bringen könne, wenn er dazu Sicherheitslücken in weit verbreiteten IT-Systemen verwenden könne
und daher daran interessiert sein müsse, solche Lücken nicht bekannt werden zu lassen.

Als Beispiel für die damit verbundenen Risiken führte eine Sprecherin des Chaos Computer Clubs den Fall der Erpressungs-Software WannaCry an, die sich eine Schwachstelle zunutze machte, die der amerikanische Geheimdienst NSA lange Zeit genutzt hatte, um eigene Spionage-Software zu installieren.

Befürwortenden Experten-Mindermeinung

Zu den wenigen Befürwortern des vorliegenden Gesetzentwurfs bei der Expertenanhörung gehörte der hessische Landesverband des Bundes Deutscher Kriminalbeamter (BDK), der auf die Notwendigkeit zur Überwachung verschlüsselter Kommunikation möglicher Zielpersonen hinwies, ohne dabei auf die durch mit dem staatlichen Hacken einhergehenden Probleme einzugehen. Mit dieser Sichtweise stand der Verband der Kriminalbeamten jedoch weitgehend allein.

Alle anderen angehörten Sachverständigen waren deutlich skeptischer und verlangten entweder Nachbesserungen oder lehnten den Einsatz des Hessentrojaners komplett ab.

Weitere News zum Thema:

Bald US-Urteil über Zugriff auf europäische Daten

Wenn IT-Firmen als Spione missbraucht werden

Hintergrund:

BVerfG, Urteil v. 27.02.2008, 1 BvR 370/07, 1 BvR 595/07, amtlicher Leitsatz:

1. Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.

2. Die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, ist verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Überragend wichtig sind Leib, Leben und Freiheit der Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt. Die Maßnahme kann schon dann gerechtfertigt sein, wenn sich noch nicht mit hinreichender Wahrscheinlichkeit feststellen lässt, dass die Gefahr in näherer Zukunft eintritt, sofern bestimmte Tatsachen auf eine im Einzelfall durch bestimmte Personen drohende Gefahr für das überragend wichtige Rechtsgut hinweisen.

3. Die heimliche Infiltration eines informationstechnischen Systems ist grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen. Das Gesetz, das zu einem solchen Eingriff ermächtigt, muss Vorkehrungen enthalten, um den Kernbereich privater Lebensgestaltung zu schützen.

4. Soweit eine Ermächtigung sich auf eine staatliche Maßnahme beschränkt, durch welche die Inhalte und Umstände der laufenden Telekommunikation im Rechnernetz erhoben oder darauf bezogene Daten ausgewertet werden, ist der Eingriff an Art. 10 Abs. 1 GG zu messen.

5. Verschafft der Staat sich Kenntnis von Inhalten der Internetkommunikation auf dem dafür technisch vorgesehenen Weg, so liegt darin nur dann ein Eingriff in Art. 10 Abs. 1 GG, wenn die staatliche Stelle nicht durch Kommunikationsbeteiligte zur Kenntnisnahme autorisiert ist.

6. Nimmt der Staat im Internet öffentlich zugängliche Kommunikationsinhalte wahr oder beteiligt er sich an öffentlich zugänglichen Kommunikationsvorgängen, greift er grundsätzlich nicht in Grundrechte ein.

Aus: Deutsches Anwalt Office Premium

Meistgelesene beiträge

Neueste beiträge

32. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

23.04.2024
EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024
Europäische Kommission veröffentlicht PeP-Liste zur Geldwäscheprävention

27.02.2024
„Pay or Okay“: NOYB geht gegen das neue Bezahlmodell von Meta vor

01.02.2024
Datengesetz der EU ist in Kraft

31.01.2024
Mehrwertsteuersätze, Pauschalbeträge und Co: Compliance-Regeln für Finanzabteilungen im Überblick

25.01.2024
Cyber-Versicherung muss im Einzelfall trotz Sicherheitsmängel zahlen

24.01.2024

Kritik am Hessentrojaner für heimlicher Staatsbesuche auf dem Bürger-PC