Von Jannis Brühl und Max Muth

Wolfgang Schäuble war plötzlich überall. 2007 tauchte sein Kopf im Straßenbild auf, an Wände gesprüht, auf T-Shirts gedruckt. Dazu der polemische Slogan: "Stasi 2.0". Ein Mediengestalter hatte die "Schäublone" - die Schäuble-Schablone - entworfen, und damit eine virale Kampagne, die aus dem Netz ins analoge Deutschland schwappte. Sie richtete sich gegen die Pläne des damaligen Bundesinnenministers für die sogenannte Online-Durchsuchung. Ermittler sollten Computer, später auch Handys, mit Software infizieren können, um Daten aus den Geräten auszulesen.

Schäubles Ideen sind heute in deutschen Gesetzen verankert. Allein das Bundeskriminalamt hat drei Formen von Trojaner-Software zur Verfügung, um Smartphones und Computer auszulesen. Neue Polizeigesetze ermöglichen auch Ländern wie Bayern oder Baden-Württemberg den Einsatz solcher Technik. Denn nicht nur in Staaten wie China interessieren sich Politiker dafür, heimlich Software auf die Handys von Menschen zu schleusen, um sie auszuhorchen.

Der deutsche Staatstrojaner wird auf zweierlei Weise eingesetzt: Bei der Online-Durchsuchung inspiziert die Software das Handy wie eine Wohnung - ohne, dass der Betroffene etwas davon merkt. Eine andere Variante schneidet die Kommunikation praktisch live mit, ohne Fotos und Dokumente aus dem Speicher des Gerätes abzugreifen - so stellen es zumindest die Verantwortlichen dar. Diese sogenannte Quellen-Telekommunikationsüberwachung hat für die Überwacher den Vorteil, dass sie etwa Whatsapp-Nachrichten abgreift, bevor die Chat-App sie verschlüsselt und unlesbar zum Gesprächspartner schickt.

Das Innenministerium verwahrt sich gegen die Benutzung des Begriffs "Trojaner" - der bezeichne "in der Regel Schadprogramme, die widerrechtlich auf informationstechnischen Systemen ausgeführt werden". Und das BKA setze ihn ja nur legal ein, das Bundesverfassungsgericht hat den Einsatz reglementiert. Auch gegen die Neufassung der Strafprozessordnung von 2017 liegen dem höchsten Gericht wieder Verfassungsbeschwerden vor.

Die Änderungen erlauben die Methode für einen langen Katalog von Straftaten, darunter nicht nur Hochverrat, Vergewaltigung, Mord, Drogenhandel, Kriegsverbrechen. Die Beschwerde der Gesellschaft für Freiheitsrechte wendet sich dagegen, dass auch Verstöße gegen das Asyl- und Aufenthaltsgesetz sowie Hehlerei und Geldfälschung aufgenommen wurden. Die Straftaten seien nicht gravierend genug, die Überwachung privatester Daten zu rechtfertigen.

Der Staat liest Handys von Flüchtlingen aus

Wenig Schutz davor, ihr digitales Leben durchleuchten zu lassen, haben Asylbewerber. Sie sind verpflichtet, bei der Feststellung ihrer Identität mitzuhelfen. Weigern sie sich, darf der Staat ihre Handys auslesen. Der Bundesregierung zufolge werden sie aber nicht gezwungen, sondern "auf ihre Mitwirkungspflicht hingewiesen". Kommen sie der nicht nach, wird allerdings ihr Asylverfahren eingestellt.

Der Betroffene entsperrt sein Handy per Pin oder Fingerabdruck. Dann wird das Gerät an dein spezielles Terminal angeschlossen, dass das Innenministerium bei einem Unternehmen für IT-Forensik eingekauft hat. Nun fließen die Daten ab. Um Herkunft und Reiseroute eines Asylbewerbers zu überprüfen, nutzen die Beamten unter anderem die Sprache, in der Nachrichten verfasst sind, die Ländercodes der gespeicherten Kontakte, und Geodaten, die Auskunft darüber geben, wo die Person - genauer: das Handy - sich wann aufgehalten hat.

Das Bundesamt für Migration und Flüchtlinge hat Millionen Euro für die Technik ausgegeben. Was das bringt, ist umstritten. 2018 wurden der Regierung zufolge 11 389 Datenträger - vor allem Handys - von Flüchtlingen ausgelesen. Tatsächlich ausgewertet wurden 3308 Datensätze. In etwa 66 dieser Fälle konnte die Identität, die der Asylbewerber angegeben hatte, widerlegt werden. In einem Drittel der Fälle wurde sie bestätigt. Die restlichen zwei Drittel der Analysen brachten nichts Verwertbares.

Italien: Wer schleuste "Exodus" in den App Store?

Dass selbst die offiziellen App-Stores unterwandert werden können, zeigt ein aktuelles Beispiel aus Italien. Anfang des Jahres stießen Mitarbeiter der Bürgerrechts-Organisation "Security Without Borders" (SWB) auf verdächtige Programme, die in Googles Play Store angeboten wurden. Eine hieß "Angebot für dich" und war als Software getarnt, die Nutzer angeblich auf Rabatt-Aktionen aufmerksam macht. Die andere verbesserte angeblich die Leistung des Mobiltelefons. In diesem Fall handelte einer Recherche von SWB und der Webseite Motherboard zufolge um einen Staatstrojaner der kalabrischen Entwicklerfirma "eSurv", die mit den italienischen Behörden zusammenarbeitet. Die App konnte jegliches Nutzerverhalten aufzeichnen und an einen Server der Überwachungsfirma schicken. Über den Play Store hätte sie jedoch nicht nur mutmaßliche Kriminelle erwischt, sondern potentiell Hunderttausende unverdächtige Bürger. Zudem hatte die Software deutlich mehr Funktionen als gesetzlich zugelassen und sie verwendete unverschlüsselte Verbindungen. Daten wurden auf einem Amazon-Server gelagert, zu dem jeder mit einfachen Login-Daten Zugang hatte.

Italienische Behörden untersuchen, wie die staatliche Überwachungssoftware im Internet landete - und ob die gesammelten Daten möglicherweise von Kriminellen genutzt wurden, um Verdächtige zu erpressen. Google muss sich die Frage gefallen lassen, wie es ein Staatstrojaner durch die Eingangskontrollen zum Play Store schaffte.

Pegasus: Der Rolls Royce unter den Spionage-Apps

Viele Gründer israelischer IT-Sicherheits-Firmen dienten früher in der legendären Cyber-Einheit 8200 der israelischen Armee - und machten später aus ihrem Können ein Geschäftsmodell. Entsprechend verschwiegen sind sie bei ihren Geschäften. Umso unangenehmer, dass die Spionage-Software der Firma "Pegasus" mit dem Mord am saudischen Exil-Journalisten Jamal Khashoggi in Verbindung gebracht wurde. Sogar eigene Mitarbeiter gingen auf Distanz zum Unternehmen.

Pegasus ist der Rolls Royce unter den Spionage-Apps: Einige Experten sagen, die Firma habe das Monopol, Apples iPhones aus der Ferne zu knacken und die Kontrolle über sie zu übernehmen. Unter anderem die Geheimdienste mehrerer Golfstaaten sollen sie gegen Regierungsgegner einsetzen. Die verkaufte Software ist so mächtig, dass die israelische Regierung für ihren Export eine spezielle Genehmigung erteilt.