Heute verhandelte das Bundesverfassungsgericht über die Verfassungsbeschwerden zur Novellierung des BKA-Gesetzes aus dem Jahre 2008. Ein zentraler Aspekt der Anhörung war die verfassungsrechtliche Bewertung von Staatstrojanern. Der Chaos Computer Club (CCC) wurde um eine Stellungnahme in technischen Fragen gebeten und in der mündlichen Verhandlung befragt. Wir veröffentlichen unsere in der Anhörung vorgetragenen Argumente. [1]
Durch die Novellierung des BKA-Gesetzes wurde das Bundeskriminalamt mit weitreichenden Befugnissen zur Manipulation und Infiltration von informationstechnischen Systemen ausgestattet. Dieser „verdeckte Eingriff in informationstechnische Systeme“ erlaubt neben der sog. „Online-Durchsuchung“ auch die Durchführung der Kommunikationsüberwachung an der Quelle (sog. Quellen-TKÜ). [2] Diese Maßnahmen sollen auch dann durchgeführt werden dürfen, wenn nur der Verdacht einer zukünftigen Straftat besteht. Grundsätzlich ist diese Form der Überwachung nicht auf bestimmte Formen von Systemen festgelegt. So erlaubt das Gesetz neben dem Durchwühlen von Rechnern auch das Abgreifen von Daten von Smartphones, Tablets, Smartwatches und beliebigen anderen IT-Systemen.
Seit der Analyse des DigiTask-Trojaners durch den Chaos Computer Club [3] ist hinreichend belegt, wie hoch die Risiken bei der Infektion von Rechnern durch staatliche Trojaner sind. Der analysierte Staatstrojaner erlaubte neben der vorgesehenen Steuerung durch Ermittlungsbehörden auch gleich das Fernsteuern durch potentielle Angreifer sowie das Nachladen beliebiger Funktionen. Weiterhin eignete sich die Software auch zur optischen und akustischen Überwachung von Wohnräumen, unabhängig von tatsächlich durchgeführter Kommunikation.
Das grundlegende Problem bei der verdeckten Infiltration von IT-Systemen gilt für beide Arten der Schadprogramme, sowohl für eine Quellen-TKÜ als auch für eine sog. „Online-Durchsuchung“: Für die erfolgreiche Einschleusung von staatlicher Spionagesoftware müssen Sicherheitsfunktionen des anzugreifenden Systems dauerhaft überwunden werden.
Der Chaos Computer Club wendet sich nicht nur aus technischen Gründen gegen die Pläne, mittels staatlicher Spionagesoftware informationstechnische Systeme zu infiltrieren, sondern vor allem, weil dabei immer die Gefahr besteht, daß in den geschützten Kernbereich privater Lebensgestaltung, also in die höchstpersönlichen Daten eines Menschen, eingegriffen wird.
Links:
[1] Stellungnahme an das Bundesverfassungsgericht zum BKA-Gesetz und zum Einsatz von Staatstrojanern, http://www.ccc.de/system/uploads/189/original/BKAG_Stellungnahme.pdf
[2] § 20l BKAG, Überwachung der Telekommunikation, https://dejure.org/gesetze/BKAG/20l.html
[3] Chaos Computer Club analysiert Staatstrojaner, https://www.ccc.de/de/updates/2011/staatstrojaner