Zehn Jahre Bundestrojaner
Geschrieben am 11.08.2017 von HNF
2007 verbreitete sich in Deutschland ein neues politisches Schlagwort: der Staats- oder Bundestrojaner. Es bezeichnet ein Programm, das bei einer polizeilichen Untersuchung auf einen Computer oder ein Smartphone gelangt; von dort aus schickt es im System gespeicherte Daten an die Strafverfolger. Das vorerst letzte Gesetz über die Trojaner verabschiedete der Bundestag am 22. Juni 2017.
Wohl jeder kennt das Trojanische Pferd. Zehn Jahre lang belagerten die alten Griechen die Stadt Troja, schafften aber keinen Durchbruch. Dann bauten sie ein riesiges Holzpferd, in dem vierzig Krieger saßen. Sie stellten es vor den Mauern ab und täuschten die Heimreise vor. Die Bürger freuten sich und schafften das Pferd in ihre Stadt. Nachts kletterten die Soldaten heraus und öffneten die Stadttore. Der Rest ist Geschichte.
In den 1970er-Jahren verwendeten amerikanische Informatiker den Ausdruck „trojan horse“. Er bezeichnet ein Programm, in dem eine unbekannte Funktion steckt. Ihre Aktivierung – dazu reicht der Klick auf einen Internet-Link – hat meist negative Folgen. Bei uns bürgerte sich die Übersetzung Trojaner ein. Sie trifft den Sinn nicht genau, doch lässt es sich nicht mehr ändern. Bekannt sind Erpressungstrojaner: Sie legen den Computer lahm, verschlüsseln Dateien und fordern zur Freigabe eine Geldüberweisung.
Vor zehn Jahren erschien in den Medien eine andere Art versteckter Software. Am 11. Januar 2007 beschrieb der Heise-Ticker den „Bundestrojaner“, am 12. Februar folgte der SPIEGEL. Das Wort meinte ein Programm, mit dem Vater Staat Informationen in fremden Computern ausspäht. Laut SPIEGEL wurden solche Programme bereits beim Bundeskriminalamt BKA in Wiesbaden entwickelt. Das Magazin schilderte außerdem, wie leicht man übers Internet die Festplatten von schlecht gesicherten Windows-Computern studieren kann.
Zu diesem Zeitpunkt gab es eine Internetseite bundestrojaner.net. Bereits im Oktober 2006 legte das Bundesinnenministerium ein Programm zur Stärkung der Inneren Sicherheit vor. Es führte die Vernetzung des islamistischen Terrorismus an und forderte: „Damit einhergehend muss das kriminalistische Instrumentarium zur Sachaufklärung fortentwickelt werden. Ein wichtiger Baustein hierfür ist die technische Fähigkeit, entfernte PC auf verfahrensrelevante Inhalte hin durchsuchen zu können, ohne tatsächlich am Standort des Gerätes anwesend zu sein.“
Das Programm wurde vom Bundestag gebilligt. Am 31. Januar 2007 untersagte allerdings der Bundesgerichtshof die verdeckte Online-Untersuchung. Damit war der Bundestrojaner vorerst gestoppt. Die Richter vermissten eine gesetzliche Grundlage und verwiesen darauf, dass Ermittlungsbeamte bei der Durchsuchung körperlich anwesend und die Ermittlungen offen legen müssen. Die Trojaner-Klausel im Verfassungsschutzgesetz von Nordrhein-Westfalen wurde am 27. Februar 2008 vom Bundesverfassungsgericht verboten.
2007 wurden Details darüber bekannt, wie das BKA die Spähprogramme auf Computern installieren wollte. Offenbar dachte man daran, im Mission-Impossible-Stil bei einem Verdächtigen einzubrechen – zweimal in Folge. Beim ersten Mal wird die Festplatte kopiert, später der Trojaner aufgeladen. Anders ging Mitte 2009 das bayerische Landeskriminalamt vor. Es entführte im Flughafen München kurzzeitig den Computer eines Verdächtigen, als dieser von einer Indienreise zurückkehrte, und setzte flink die Schnüffelsoftware ein.
Zu jenem Zeitpunkt galt bereits das neue BKA-Gesetz. Paragraph 20k regelte den Gebrauch von Bundestrojanern: „Das Bundeskriminalamt darf ohne Wissen des Betroffenen mit technischen Mitteln in vom Betroffenen genutzte informationstechnische Systeme eingreifen und aus ihnen Daten erheben […]“ Voraussetzung ist die Gefährdung von Leib, Leben oder Freiheit eines Menschen oder von existentiell wichtigen Gütern des Staates oder der Allgemeinheit.
Es dauerte bis zum 20. April 2016, bis das Bundesverfassungsgericht auch über dieses Gesetz ein Urteil fällte. Es unterzog die Paragraphen einer strengen Kritik und verlangte eine Neufassung bis zum 30. Juni 2018. Bis dahin dürfen etwa Online-Durchsuchungen nur nach genauer Prüfung und mit Einschränkungen genutzt werden. Nach dem Urteil setzten sich die Regierungsjuristen wieder zusammen. Am 30. Dezember 2016 brachten sie ein neues Gesetz auf den Weg, das am Ende auch eine Genehmigung des Bundestrojaners enthielt.
Das Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens wurde am 22. Juni 2017 vom Bundestag verabschiedet. Der Bundesrat verzichtete auf Einsprüche. Artikel 3 des Gesetzes – auf den möchten wir uns beschränken – änderte die Strafprozessordnung. Paragraph 100a derselben regelt das Überwachen und Aufzeichnen der Telekommunikation. In der Neufassung erlaubt er Eingriffe in Computer und Smartphones, wenn sich nur so eine Verschlüsselung der übermittelten Daten überwinden lässt.
Damit reflektiert das Gesetz die wachsende Bedeutung von Instant-Messaging-Diensten wie WhatsApp. Der neue StPO-Paragraph 100b gestattet die aus dem BKA-Gesetz bekannte Online-Durchsuchung im Falle von besonders schweren Straftaten. Diese entsprechen dabei den Verbrechen, bei denen man schon heute die Telekommunikation eines Verdächtigen mitschneiden darf. Das Gesetz ist noch nicht in Kraft getreten, doch spricht einiges dafür, dass die Karlsruher Verfassungsrichter anschließend wieder Arbeit bekommen.
Auf jeden Fall wird der Bundestrojaner Politiker wie Computernutzer länger beschäftigen als die Belagerung von Troja die Griechen; sie war nämlich nach zehn Jahren zu Ende. Unser Eingangsbild zeigt die geschmackvolle Holzausführung, die der Chaos Computer Club zur CeBIT 2007 erstellte (Foto Martin aka Maha CC BY-SA 2.0). Gedacht war sie als Geschenk für den Verfassungsschutz von Nordrhein-Westfalen. Doch der kannte seinen Homer und ergriff rechtzeitig die Flucht.