Bundespolizei will dürfen

Anhörung zum Gesetzentwurf: Bundespolizei soll Staatstrojaner nutzen dürfen

Der neue Anlauf zur Reform des Bundespolizeigesetzes traf im Innenausschuss des Bundestags auf Kritik. Die Bundespolizei soll künftig Staatstrojaner nutzen dürfen, ohne dass für diese Hacking-Werkzeuge ein IT-Schwachstellenmanagement existiert.

Im Innenausschuss des Bundestags wurde vorgestern in einer Sachverständigen-Anhörung die Reform des Bundespolizeigesetzes (BPolG) diskutiert. Die Bundesregierung hatte dazu im Dezember einen umfangreichen Gesetzentwurf vorgelegt, der die Befugnisse der Bundespolizei ausbauen soll.

Künftig soll nun auch die Bundespolizei hacken dürfen. Dafür könnten Polizeibeamte Computer oder Smartphones mit Schadsoftware infiltrieren, um laufende Kommunikation und einige weitere Daten auszuleiten.

Neu sind im Gesetzentwurf auch die verdachtsunabhängigen Kontrollen in sogenannten „Waffenverbotszonen“, die von der Ampel-Vorgängerregierung für die Bundespolizei bereits beschlossen worden waren, aber im Bundesrat scheiterten. Diese Kontrollen stehen in der Kritik, weil die Diskriminierung von bestimmten Personengruppen befürchtet wird. Die früher geplanten Kontrollquittungen, die von Polizeibeamten nach solchen Kontrollen ausgehändigt werden sollten, fehlen im Gesetzentwurf.

Weggefallen im Vergleich zum Entwurf der Ampel ist auch die Kennzeichnungspflicht für Polizisten. Uli Grötsch, SPD-Politiker und der Polizeibeauftragte des Bundes beim Deutschen Bundestag, nannte den Streit darum eine „rein ideologische Debatte“. Es gäbe keine schlechten Erfahrungen damit auf Polizeiseite. Er bedauerte die fehlende Kennzeichnungspflicht, die polizeiliches Handeln nachvollziehbarer und transparenter gemacht hätte.

Kritische Anmerkungen von einigen geladenen Sachverständigen betrafen auch die neuen Regelungen zu V-Personen. Das sind polizeiliche Informationszuträger, die aber keine Polizeibeamten sind. Zwar sei der Kernbereichsschutz der Überwachten – also der Schutz ihrer Intimsphäre – im Gesetzentwurf enthalten, damit die V-Personen nicht etwa enge Beziehungen zu Ausgehorchten aufnehmen. Was aber darin fehle, seien zeitliche Vorgaben und ein Katalog, der vorgibt, welche Personen ungeeignet sind. Der war im Vorgängerentwurf der Ampel-Regierung noch enthalten. Er sollte dafür sorgen, dass keine Menschen als V-Personen in Frage kommen, die beispielsweise geschäftsunfähig oder minderjährig sind oder ihr Einkommen wesentlich über Polizeizahlungen beziehen.

Staatstrojaner gegen WhatsApp

Das Bundespolizeigesetz ist ein umfängliches Regelwerk mit zahlreichen Neuerungen. Der Deutsche Anwaltverein (DAV) hatte schon in seiner ersten Stellungnahme zum Referentenentwurf die „äußerst kurze Stellungnahmefrist“ bemängelt, die der umfassenden Reform nicht gerecht werden könne. Der DAV konzentrierte sich daher auf besonders Kritikwürdiges. Dazu gehört die neue Regelung zu einer Version des Staatstrojaners, die im Amtsdeutsch „Quellen-Telekommunikationsüberwachung“ heißt. Diese Form des Staatstrojaners wird durch den Gesetzentwurf erstmals für die Bundespolizei zur Abwehr von Gefahren eingeführt.

Die „Quellen-TKÜ“ lehnt zwar ihren Namen an die Überwachung laufender Telekommunikation an, ist aber praktisch ein Hacking-Werkzeug. Die dafür notwendige Schadsoftware wird unter Ausnutzung von Sicherheitslücken heimlich auf einem Endgerät aufgebracht und zeichnet die gewünschten Inhalte unbemerkt vom Nutzer auf.

Im Gesetzentwurf heißt es, dass die Überwachung und Aufzeichnung von Telekommunikation „ohne Wissen der betroffenen Person auch in der Weise erfolgen [darf], dass mit technischen Mitteln in von der betroffenen Person genutzte informationstechnische Systeme eingegriffen wird“, um an verschlüsselte Gespräche oder Messenger-Nachrichten zu kommen. Die Gesetzesbegründung erwähnt beispielsweise konkret den Messenger WhatsApp, der sich allerdings auch ohne Staatstrojaner als abhörbar erwies.

„Nicht zu Ende gedacht“

Neben der laufenden Telekommunikation sollen mit dem Staatstrojaner auch weitere Kommunikationsinhalte überwacht werden dürfen, „deren Übertragung zum Zeitpunkt der Überwachung bereits abgeschlossen ist“. Praktisch wären das beim Beispiel WhatsApp etwa gespeicherte Chat-Verläufe, die ebenfalls heimlich von der Schadsoftware aufgezeichnet werden dürften. Der Zeitpunkt der Anordnung des Staatstrojaners soll maßgeblich dafür sein, wie weit in die Vergangenheit die Schadsoftware gespeicherte Kommunikationsinhalte überwachen darf.

Die Sachverständige Lea Voigt, Juristin und Vorsitzende des Ausschusses Recht der Inneren Sicherheit im DAV, sieht die Hacking-Befugnisse in ihrer Stellungnahme kritisch. Sie seien auch „nicht zu Ende gedacht“, sagte sie im Ausschuss. Denn laut der Begründung des Gesetzes sind sie für sofortige Interventionen vorgesehen, um Gefahren schnell abzuwehren. Staatstrojaner seien jedoch gar nicht sofort einsetzbar, sondern bräuchten eine gewisse Vorlaufzeit, um die Schadsoftware an Hard- und Software anzupassen, die sie heimlich ausspionieren soll. Die Begründung überzeuge also nicht.

Heiko Teggatz, stellvertretender Bundesvorsitzender der Deutschen Polizeigewerkschaft, wurde in der Anhörung nach einem Beispiel für den Staatstrojanereinsatz gefragt. Er betonte, dass nur die Gefahrenabwehr im Vordergrund stünde, etwa bei Schleusungen. Es „komme nicht selten vor“, dass Polizisten beispielsweise „Handynummern bei geschleusten Personen“ fänden. Keiner wisse, ob es sich dabei um Nummern von Kontaktpersonen, Schleusern oder Angehörigen handele. Dann könne es um die abzuwendende Gefahr gehen, dass an unbekanntem Ort „irgendwo in Europa“ ein LKW führe, in dem Menschen zu ersticken drohten. Ein Staatstrojaner müsse dann „schnell zur Gefahrenabwehr“ genutzt werden.

Es herrscht offenkundig nicht nur bei Teggatz die Vorstellung, dass eine Spionagesoftware ein geeignetes Werkzeug sei, um in kürzester Zeit eine laufende Kommunikation abhören zu können. Denn auch in der Gesetzesbegründung ist der Staatstrojaner als „gefahrenabwehrende Sofortintervention“ charakterisiert.

Die Sachverständige Voigt weist in ihrer Stellungnahme diese Vorstellung ins Reich der Phantasie und zitiert den Generalbundesanwalt. Der hatte aus praktischen Erfahrungen berichtet, dass die Umsetzung der „Quellen-Telekommunikationsüberwachung“ einige Zeit brauche: „In der Regel“ würden „zwischen Anordnung und Umsetzung jedenfalls einige Tage vergehen“.

Staatstrojaner sind Sicherheitsrisiken

Eine „Quellen-TKÜ“ birgt unvermeidlich verschiedene Risiken. Denn ein Staatstrojaner lässt sich nur heimlich einschleusen, wenn IT-Sicherheitslücken bei den gehackten Geräten offenstehen. Und dass sie offengelassen und eben nicht geschlossen werden, ist eine aktive Entscheidung und ein Sicherheitsrisiko für alle Computernutzer.

Zudem hat sich in den letzten Jahren ein wachsender Markt an kommerziellen Staatstrojaner-Anbietern etabliert, der eine zunehmende Bedrohung für die IT-Sicherheit, aber auch für die Achtung der Grund- und Menschenrechte ist. Wird eine Polizeibehörde Kunde eines solchen Anbieters, finanziert sie diesen gefährlichen Markt.

Der Sachverständige Kai Dittmann von der Gesellschaft für Freiheitsrechte (GFF) kritisierte, dass die „Quellen-TKÜ“ der Bundespolizei erlaubt werden soll, obgleich noch immer Vorschriften zum Schwachstellenmanagement fehlen. Denn in Deutschland gibt es bisher keine Regelungen, die IT-Sicherheitslücken hinsichtlich ihrer Risiken bewerten und vorschreiben, wie diese Schwachstellen jeweils zu behandeln sind. Dittmann verwies auf Millionenschäden für die Wirtschaft in Deutschland, die durch offene IT-Sicherheitslücken und Schadsoftware entstünden. Er forderte, ein staatliches Schwachstellenmanagement gesetzlich vorzuschreiben. Die „Quellen-TKÜ“ dürfe erst danach eingeführt werden.

Der Sachverständige erntete damit bei der grünen Innenexpertin und Polizeibeamtin Irene Mihalic Zustimmung. Sie nannt eine Staatstrojanerbefugnis für die Bundespolizei ohne ein vorgeschriebenes Schwachstellenmanagement „unverantwortlich“.

Auch Amnesty International hatte die Staatstrojaner-Befugnis kritisiert und die Besorgnis geäußert, dass die „Quellen-TKÜ“ auch gegen Personen zum Einsatz kommen könnte, die friedliche Proteste planen: Denn der Staatstrojaner „soll bezüglich Straftaten erlaubt werden, die etwa die Störung von öffentlichen Betrieben oder bestimmte Eingriffe in den Straßenverkehr erfassen, und zum Schutz von Einrichtungen des Bahn- und Luftverkehrs – Orten, an denen oft Proteste etwa für mehr Klimaschutz oder gegen Abschiebungen stattfinden“, wie Amnesty International schrieb. In einem Klima zunehmender Repression von friedlichem Protest forderte die Menschenrechtsorganisation „entsprechende Klarstellungen, die einen solchen Missbrauch ausschließen“.

Der Sachverständige Marc Wagner von der Hochschule des Bundes für öffentliche Verwaltung verwies hingegen darauf, dass die „Quellen-TKÜ“ beim Bundeskriminalamt und in einigen Landespolizeigesetzen doch „längst Standard“ wäre. Das sei „nicht anderes als ein Update“. Doch selbst Wagner sieht wie die Sachverständigen Voigt und Dittmann die Eingriffsschwellen für den Staatstrojanereinsatz als zu niedrig.

Dittmann von der GFF bescheinigte dem Gesetzentwurf bei der Staatstrojanerbefugnis zudem „handwerkliche Fehler“. Insgesamt seien die Regelungen bei dieser sehr eingriffsintensiven Maßnahme nicht überzeugend.

Auch gute Nachrichten

Es gibt aus bürgerrechtlicher Sicht auch gute Nachrichten: Sowohl der Ausbau der Gesichtserkennung als auch Regelungen, die eine automatisierte Big-Data-Analyse nach Art von Palantir ermöglichen, sind nicht unter den neuen Befugnissen. Auch findet sich keine „KI“ im ganzen Gesetzentwurf.

Vielleicht ist das auch aus Kostengründen eine gute Nachricht, denn technisierte Überwachung ist ein teures Unterfangen. Der Polizeibeauftragte Grötsch wies in der Anhörung darauf hin, dass Bundespolizisten auch mit lange verschleppten Baumaßnahmen und schlechten Bedingungen an ihren Arbeitsplätzen zu kämpfen hätten, die er „teilweise desolat“ nannte. Die hohen Geldsummen für ohnehin fragwürdige Staatstrojaner-Anbieter könnten vielleicht woanders in der Bundespolizei sinnvoller investiert werden.

Constanze Kurz ist promovierte Informatikerin, Autorin und Herausgeberin von Büchern, zuletzt Cyberwar. Ihre Kolumne „Aus dem Maschinenraum“ erschien von 2010 bis 2019 im Feuilleton der FAZ. Sie lebt in Berlin und ist ehrenamtlich Sprecherin des Chaos Computer Clubs. Sie war Sachverständige der Enquête-Kommission „Internet und digitale Gesellschaft“ des Bundestags. Sie erhielt den Toleranz-Preis für Zivilcourage und die Theodor-Heuss-Medaille. Kontakt: E-Mail (OpenPGP). Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.

Erfolg

Erfolg vor dem Bundesverfassungsgericht: Staatstrojaner-Einsatz wird eingeschränkt

Digitalcourage hat erneut Rechtsgeschichte geschrieben: Das Bundesverfassungsgericht (BVerfG) hat heute entschieden, den Einsatz von Staatstrojanern deutlich zu begrenzen. Damit war eine von Digitalcourage initiierte und von zahlreichen Menschen unterstützte Verfassungsbeschwerde erfolgreich – mit weitreichenden Folgen für staatliche Überwachungsbefugnisse.

Das höchste deutsche Gericht hat heute gleich zwei Verfassungsbeschwerden von Digitalcourage entschieden. Die umstrittenen Überwachungsbefugnisse im Polizeigesetz Nordrhein-Westfalen erklärte das Gericht für grundrechtskonform. Die Klage gegen den Staatstrojaner dagegen hatte Erfolg.

padeluun, Mitbeschwerdeführer, sieht in der Entscheidung einen wichtigen Schritt: „Ich freue mich, dass der Einsatz von Staatstrojanern jetzt eingeschränkt wurde. Das Gesetz wurde in Teilen für nichtig erklärt, der Straftatenkatalog stark begrenzt. Unsere Grundrechte wurden geschärft – und damit gestärkt.“

Eingriff in die Grundrechte in Teilen gestoppt

Der Beschluss zieht eine klare Grenze: Staatstrojaner dürfen künftig nur noch bei besonders schweren Straftaten eingesetzt werden. Für Delikte mit einer Höchstfreiheitsstrafe von bis zu drei Jahren erklärte das Gericht den Einsatz für verfassungswidrig, auch rückwirkend. Darüber hinaus ist die Online-Durchsuchung von Smartphones und Computern teilweise nicht mit dem Grundgesetz vereinbar. Sie darf aber bis zu einer Neuregelung weiter angewendet werden.

Begründet wird die Entscheidung mit der Schwere des Eingriffs sowohl in das Post- und Fernmeldegeheimnis als auch in das IT-System-Grundrecht. Das Bundesverfassungsgericht erkennt an, dass es sich beim Einsatz solcher Späh-Software um einen massiven Grundrechtseingriff handelt. „Ausgehend von dem sehr hohen Eingriffsgewicht“, so das Gericht, müsse die Maßnahme auf besonders schwerwiegende Fälle beschränkt bleiben.

Auch Prof. Dr. Frank Braun, einer der beiden Prozessbevollmächtigten der Beschwerde gegen den Staatstrojaner, sieht in dem Beschluss eine Klarstellung mit Signalwirkung: „Konsequent wurden entsprechende Vorschriften für verfassungswidrig erklärt und neue klare Maßgaben zur Beurteilung der Schwere von Straftaten verbindlich festgelegt.“ Damit wird gewährleistet, „dass IT-Systeme nur noch beim Verdacht wirklich schwerwiegender Delikte von staatlichen Ermittlern gekapert werden. Und auch wird verhindert, dass uns der Gesetzgeber künftig weiterhin ‚Alltagskriminalität‘ als ‚schwere Straftaten‘ verkauft und eingriffsermächtigende Straftatenkataloge durch die gesetzgeberische Hintertür stetig ausweitet, wie dies seit Jahren zu beobachten ist.“

Eine zukunftsweisende Entscheidung

Der zweite Prozessbevollmächtigte, Prof. Dr. Jan Dirk Roggenkamp, bezeichnet den Beschluss als wichtigen Teilerfolg: „Das heimliche Auslesen von Smartphone und Co. ist ein heftiger Eingriff in Grundrechte. Die vom BVerfG vorgenommenen Einschränkungen sind richtig und wichtig.“

Rena Tangens, politische Geschäftsführerin von Digitalcourage und ebenfalls Beschwerdeführerin, freut sich über den Erfolg, merkt aber an: „Ein zentraler Kritikpunkt bleibt: Das Gericht hat sich nicht mit der grundsätzlichen Problematik von Staatstrojanern befasst. Denn um Staatstrojaner einzusetzen, müssen Sicherheitslücken ausgenutzt werden – und diese Schwachstellen gefährden die IT-Sicherheit von uns allen. Statt diese zu melden und zu schließen, hält der Staat sie offen, um sie selbst zu nutzen.“ Der Nutzen von Staatstrojanern ist sehr begrenzt, das Risiko jedoch enorm. Durch solche Schwachstellen sind Angriffe auf unsere Endgeräte oder kritische Infrastrukturen möglich. Ein Staat, der Sicherheit für seine Bürgerinnen und Bürger will, muss solche Sicherheitslücken den Herstellern melden, damit sie geschlossen werden.

Trotzdem gibt der Beschluss des Bundesverfassungsgerichts Anlass zur Freude, denn die Entscheidung wird unmittelbare Auswirkungen auch auf laufende Gesetzgebungsverfahren haben. Der aktuelle Entwurf für ein neues Bundespolizeigesetz sieht etwa vor, dass Personen präventiv mit Staatstrojanern überwacht werden dürfen, um Gefahren abzuwehren – auch wenn „noch kein Tatverdacht begründet ist“. Die heutigen Vorgaben des Gerichts stehen dem klar entgegen. Digitalcourage wird das weiter wachsam beobachten. „Wenn die Politik aus der heutigen Entscheidung nicht lernt und weiter Gesetze beschließt, die nicht verfassungskonform sind, wird Digitalcourage wieder vor Gericht ziehen. Wer unsere Freiheit angreift, muss mit Widerstand rechnen“, erklärt Rena Tangens.

Digitalcourage engagiert sich seit 1987 für Grundrechte, Datenschutz und eine lebenswerte Welt im digitalen Zeitalter. Wir sind technikaffin; doch wir wehren uns dagegen, dass unsere Demokratie „verdatet und verkauft“ wird. Wir klären auf und mischen uns in Politik ein. Seit 2000 verleiht Digitalcourage jährlich die BigBrotherAwards. Digitalcourage ist gemeinnützig, finanziert sich durch Fördermitgliedschaften und private Spenden und lebt durch die Arbeit vieler Freiwilliger.