Die große Koalition will in den kommenden Monaten noch die rechtlichen Grundlagen für einen umfangreichen Einsatz von Überwachungsprogrammen auf Endgeräten von Verdächtigen schaffen. Die bereits geplante Strafrechtsreform soll stark ergänzt werden, um mit Hilfe von gehackten Smartphones oder Computern eine verschlüsselte Kommunikation überwachen (Quellen-TKÜ) oder Dateien auslesen (Online-Durchsuchung) zu können. Der Einsatz dieser "Staatstrojaner" soll der Polizei nicht nur zur Gefahrenabwehr, sondern bei Ermittlungen zu 38 beziehungsweise 27 Straftaten erlaubt sein.

Das Portal netzpolitik.org veröffentlichte am Mittwoch eine entsprechende Formulierungshilfe des Bundesjustizministeriums, die auch Golem.de vorliegt. Das Papier ist die Basis für einen Änderungsantrag von Union und SPD im laufenden Gesetzgebungsverfahren des Bundestags. Nach Angaben der Grünen-Fraktion ist für Ende Mai eine Anhörung im Justizausschuss des Bundestags geplant. Das Parlament diskutierte bereits am 9. März über das Gesetz, allerdings war der Einsatz von Staatstrojanern damals noch kein Thema.

Dadurch, dass auf einen eigenen Gesetzesentwurf verzichtet wird, verkürzt sich das parlamentarische Verfahren und die öffentliche Debatte. Unter anderem entfällt dadurch die erste Lesung des Entwurfs im Bundestag.

Regierung will Vorgaben aus Karlsruhe umgehen

Bundesinnenminister Thomas de Maizière (CDU) hatte erst in der vergangenen Woche auf der Internetkonferenz re:publica den Einsatz der umstrittenen Ermittlungsinstrumente verteidigt. Der Staat kann dem Minister zufolge nicht akzeptieren, "wenn es eine Ende-zu-Ende-Verschlüsselung in einem Messengerdienst gibt, dass deswegen, weil es eine Ende-zu-Ende-Verschlüsselung gibt, automatisch rechtsstaatliche Befugnisse des Staates zur Strafverfolgung in diesem Dienst technisch ausgeschlossen sind. Wir müssen im Einzelfall versuchen, unter den rechtsstaatlichen Bedingungen wie bisher, darauf zugreifen zu können." Daher halte er Quellen-TKÜ und Online-Durchsuchung "unter rechtsstaatlichen Voraussetzungen für zwingend geboten".

Allerdings hat das Bundesverfassungsgericht hohe Hürden für den Eingriff in sogenannte informationstechnische Systeme gesetzt. Die Bundesregierung behilft sich im Falle der Quellen-TKÜ daher mit einem Trick: Sie erklärt in der Gesetzesbegründung, dass es sich beim direkten Abgreifen von verschlüsselten Nachrichten auf einem Smartphone oder einem Computer nicht um einen solchen Eingriff handelt. "Soweit das Bundesverfassungsgericht höhere Anforderungen an die Rechtfertigung von Eingriffen in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme gestellt hat, betrafen diese nicht den Fall, dass die Überwachung und Aufzeichnung auf neu ankommende oder abgesendete Messenger-Nachrichten auf dem Endgerät begrenzt und technisch ausgeschlossen wird, dass die Gefahr des Auslesens des gesamten Systems oder auch nur der gesamten gespeicherten Kommunikation nicht besteht", heißt es in der Begründung.

Quellcode soll geprüft werden

Wie das möglich sein soll, ist völlig unklar. Schließlich braucht man sowohl bei der Quellen-TKÜ als auch bei der Online-Durchsuchung zunächst kompletten Zugriff auf ein Endgerät, um die Überwachungs- oder Auslesesoftware installieren zu können. Damit ist es theoretisch immer möglich, Funktionen zu implementieren, die über die gesetzlichen Vorgaben hinausgehen. Das will die Regierung mit folgender Vorschrift verhindern: "Durch die Dokumentation des Quellcodes, des Prozesses der Programmerzeugung aus diesem Quellcode und des Programms selbst kann im Nachhinein der Funktionsumfang der jeweils eingesetzten Überwachungssoftware abschließend nachvollzogen werden."

Grundlage dafür soll die Standardisierte Leistungsbeschreibung sein, die das Bundeskriminalamt (BKA) für den Einsatz seiner Überwachungssoftware erfüllen soll.

Besonders problematisch ist dieses Vorgehen vor dem Hintergrund, dass Polizeibehörden und Nachrichtendienste Sicherheitslücken horten müssen, um sich den Zugriff auf Endgeräte verschaffen zu können. Denn das Gesetz erlaubt es nicht, beispielsweise durch das heimliche Eindringen in die Wohnung eines Verdächtigen per direkten Zugriff auf die Hardware ein Programm zu implementieren. De Maizière sagte dazu auf der Republica lapidar, mit dem Ankauf und dem Aufspüren von Zero-Day-Exploits "kein Problem" zu haben. Dazu hat die Regierung eigens eine neue Behörde, Zitis, gegründet. Der aktuelle Fall der Ransomware Wannacry zeigt jedoch, wie problematisch das Horten von Sicherheitslücken sein kann.