Der Bundesrat thematisiert am Freitag Staatstrojaner. Die gesetzliche Erlaubnis zum staatlichen Hacken stößt dort auf Kritik. Nicht nur die enormen Grundrechtseingriffe werden bemängelt, sondern auch die Tricks beim Eilverfahren im Gesetzgebungsprozess. Wegen der Gefahren für die IT-Sicherheit fordert der Ausschuss für Verbraucherschutz die Einrichtung eines Vermittlungsausschusses.

Am Freitag steht der Staatstrojaner wieder auf der Tagesordnung, diesmal im Bundesrat. Das Staatstrojaner-Gesetz, das der Bundestag beschlossen hat, erntet dort deutliche Kritik. Das geht aus einer Drucksache der Länderkammer (BR-Drucksache 527/1/17, pdf) hervor. Der Ausschuss für Agrarpolitik und Verbraucherschutz bemängelt die tiefgehenden Grundrechtseingriffe und befürchtet negative Auswirkungen für die IT-Sicherheit, wenn das staatliche Hacken wie im Gesetz vorgesehen umgesetzt wird. Er regt eine Entschließung des Bundesrats zur Einberufung eines Vermittlungsausschusses an. Der federführende Rechtsausschuss hat hingegen keine Einwände.

Der Staatstrojaner ist eine Spionagesoftware, die heimlich Inhalte von einem infiltrierten Computer oder Mobiltelefon an Ermittlungsbehörden ausleiten kann. Dazu gehören beispielsweise Tonaufzeichnungen, Screenshots von laufenden Programmen oder Nachrichten aus Chats oder SMS. In der aktuellen Diskussion wird als Beispiel meist Whatsapp angeführt, in dem Gesetz ist aber keine Beschränkung auf bestimmte Anwendungen enthalten. Staatlicherseits soll durch das Gesetz auch das heimliche Durchsuchen eines gesamten Computers oder Telefons erlaubt sein: die sogenannte „Online-Durchsuchung“.

Der Bundestag hatte am 22. Juni eine Änderung der Strafprozessordnung (StPO) verabschiedet. Sie soll die neue Rechtsgrundlage für beide Arten von Staatstrojanern bilden: die heimliche Online-Durchsuchung und die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ), die sich auf laufende Kommunikation beschränken soll. Das Hacken via Quellen-TKÜ wird darin besonders stark ausgeweitet und umfasst künftig den gesamten Straftatenkatalog des § 100a Abs. 2 StPO. Das stellt eine ganz erhebliche Zunahme der Erlaubnis zum staatlichen Hacken (pdf) dar.

Diese weitgehende Erlaubnis für staatliche Trojaner war mit einem Trick im Eilverfahren in das Gesetzgebungsverfahren geschmuggelt worden. Denn der erweiterte Einsatz von Staatstrojanern wurde in einen Gesetzentwurf eingeschleust, in dem es um die praxistauglichere Gestaltung des Strafverfahrens ging. Deswegen blieb ausgesprochen wenig Zeit für Analysen und Stellungnahmen. Kaum ein verantwortlicher Politiker mochte sich für dieses Vorgehen rechtfertigen. Auch nach der Verabschiedung im Bundestag blieben Politiker wie Justizminister Heiko Maas und weitere Abgeordnete zum Staatstrojaner sehr wortkarg, wie „extra3“ herausfand (mp4). Die Kritik am Gesetz war dafür umso lauter, insbesondere wegen der Intensität des Grundrechtseingriffs.

Bundesländer nicht beteiligt

Der Bundesrat war am Gesetzgebungsverfahren nicht beteiligt, daher mahnt der Verbraucher-Ausschuss nun Änderungen im Sinne der Verbraucher an:

Dem Bundesrat war es nicht möglich, sich im Rahmen der Stellungnahme zu dem Gesetzentwurf der Bundesregierung […] zu positionieren. Das Gesetz bedarf jedoch zum Schutz der Rechte der Verbraucherinnen und Verbraucher einer entsprechenden Ände­rung.

Dass die Bundesländer nicht beteiligt wurden, nachdem der Staatstrojaner heimlich in den Gesetzentwurf geschleust worden war, erntet auch grundsätzliche Kritik. Denn damit ist etwas völlig Neues im Gesetz geregelt worden:

Der Bundesrat stellt fest, dass das Gesetz im Rahmen der Beratung im Deutschen Bundestag um die weiteren Regelungsbereiche der Online-Durchsuchung und Quellen-Telekommunikationsüberwachung ergänzt worden ist, die weit über den ursprünglichen Wesensgehalt des Gesetzes hinausgehen. Eine umfassende Beteiligung der Länder zu diesen Regelungsbereichen hat nicht stattgefunden.

In der vorgeschlagenen Entschließung wird explizit bedauert, dass sich der Bundesrat nicht mit einer Stellungnahme zum Gesetzentwurf positionieren konnte:

Bei einer Regelung dieser Tragweite, Eingriffstiefe und Auswirkung auf die Praxis sowie den Kernbereich privater Lebensgestaltung wäre dies jedoch angemessen gewesen.

Staatstrojaner-Gesetz wird IT-Sicherheit schwächen

Es geht aber nicht nur um Verfahrenstricks, um die Grundrechte und das Eindringen in die höchstpersönliche Sphäre der Betroffenen mit zu geringen rechtlichen Schutzvorkehrungen. Der Verbraucher-Ausschuss sieht in dem Gesetz auch einen gefährlichen Anreiz für die Ermittlungsbehörden, explizit gegen Maßnahmen zur Sicherung von IT-Systemen zu arbeiten, um informationstechnische Systeme von Zielpersonen zu infiltrieren. Damit würden sie die IT-Sicherheit schwächen – und zwar „weltweit“. Vor diesem Interessenkonflikt warnt der Ausschuss in deutlichen Worten:

Die kalkulierte IT-Unsicherheit erscheint insbesondere vor dem Hintergrund der jüngsten Cyber-Angriffe mithilfe des globalen Er­pressungstrojaners „WannaCry“ und damit einhergehenden Aufforderungen staatlicher Sicherheitsbehörden an Verbraucherinnen und Verbraucher sowie Unternehmen, die IT-Systeme besser zu sichern, zumindest widersprüchlich.

In der vorgeschlagenen Entschließung heißt es zu den Risiken, die das Gesetz mit sich bringt:

Der Bundesrat sieht mit Sorge, dass die im Gesetz vorgesehene weite Befugnis zur Online-Durchsuchung und Quellen-Telekommunikationsüberwachung zu einer massiven Schwächung der IT-Sicherheitsinfrastruktur und damit auch zu einer Gefährdung der Nutzerinnen und Nutzer informationstechnischer Systeme beitragen kann.

Denn wer qua Gesetz mit Spionagesoftware in Betriebssysteme von Computern und Mobiltelefonen einbricht, greift nicht nur in die Grundrechte der Betroffenen ein, sondern gefährdet die Nutzer aktiv und macht sie angreifbar für Dritte:

Der vorgeschlagene Einsatz von Spähsoftware kann dazu führen, dass die für die Installation dieser Software notwendigen Schwachstellen auf den informationstechnischen Geräten von Verbraucherinnen und Verbrauchern auch von Kriminellen entdeckt und missbraucht werden können. Die Ausnutzung von bisher unbekannten Sicherheitslücken eines informationstechnischen Systems zum Einsatz von Überwachungsprogrammen kann erhebliche Sicherheitsinteressen der Verbraucherinnen und Verbraucher beeinträchtigen.

Damit spricht sich der Verbraucher-Ausschuss für eine stärkere Betonung der Sicherheitsinteressen aller Computernutzer aus. Argumentativ ist das bemerkenswert nah an einigen Sachverständigenaussagen, die im Rechtsausschuss des Bundestages vorgebracht wurden, und an der Stellungnahme des Chaos Computer Clubs (pdf), der die IT-Sicherheitsgefährdung durch die Staatstrojanerausweitung hervorhob.

Federführender Rechtsausschuss

Wer nun denkt: Zum Glück kann der Bundesrat dem gefährlichen Gesetz am Freitag noch Einhalt gebieten! Leider weicht die politische Realität mal wieder von vielleicht vorhandenen Wunschvorstellungen ab. Denn der federführende Rechtsausschuss sieht anders als der Verbraucher-Ausschuss keinerlei Beanstandungen und möchte keinen Vermittlungsausschuss anrufen. Der Bundesrat wird den Staatstrojaner wegen der derzeitigen Mehrheiten wohl durchwinken.

Offenlegung: Ich bin Mitautorin der Stellungnahme des CCC.

[Update, 7. Juli:] Wie erwartet ist der Bundesrat der Empfehlung des Rechtsausschusses und nicht der Kritik des Verbraucher-Ausschusses gefolgt und hat das Gesetz heute gebilligt.