Die EU-Polizeiagentur Europol könnte bald Polizeibehörden in allen EU-Staaten Staatstrojaner zur Verfügung stellen, mit deren Hilfe diese fremde Geräte ausspionieren können. Das sorgt für Bedenken: Europol dürfe keine „europäische Hackerbehörde werden“, warnt Linken-Abgeordneter Andrej Hunko.

Die EU-Polizeibehörde Europol sucht nach Angaben der Bundesregierung derzeit nach Staatstrojaner-Expertise. Durch sie könnten bald Polizeikräfte in der ganzen Europäischen Union die umstrittene Technik nutzen. Zutage gefördert hat das eine Anfrage der Linken an die Bundesregierung. Das Bundesinnenministerium schrieb in seiner schriftlichen Antwort an den Bundestag, dass Europol derzeit eine „Marktsichtung“ für den Ankauf eines Staatstrojaners durchführt.

Mit Staatstrojanern können Behörden die verschlüsselten Kommunikationsdaten von Verdächtigen in Strafverfahren vor und nach dem Verschlüsseln auslesen. Allerdings ist solche Software problematisch, da sie Sicherheitslücken ausnutzt, die von den Behörden absichtlich offengelassen werden. Damit arbeitet der Staat direkt gegen die IT-Sicherheit der Allgemeinheit. In Deutschland verwendet das Bundeskriminalamt seit einem Jahr den Staatstrojaner.

Auf Anfrage von netzpolitik.org betont Europol, dass es auf Wunsch seiner Mitgliedsstaaten eine „Einschätzung der Herausforderungen der End-zu-End-Verschlüsselung und potentieller Lösungen“ durchführe. Die EU-Polizeiagentur streitet jedoch ab, konkrete Pläne für die Anschaffung eines Trojaners zu haben. „Es gibt keine Entscheidung über zukünftige Optionen und es wurde keine Ausschreibung oder Interessenkundgebung erbeten“, schrieb eine Sprecherin per E-Mail.

Zero-Day-Schwachstellen im Visier

Europol sucht derzeit auf seiner Webseite nach Expertise bei der Entschlüsselung. Die Behörde braucht demnach Hilfe beim „Auffinden juristischer Beweismittel in Computern und digitalen Speichermedien“. Zudem sucht Europol nach Malware-Expertise. Die Ausschreibung läuft bis Mitte Februar.

Europol erwähnt Trojaner indes als Möglichkeit zur Umgehung von Verschlüsselung in einem gemeinsam mit der EU-Justizagentur Eurojust erstellten Bericht. Darin ist von Fernzugriffen auf Geräte die Rede, die in den meisten EU-Staaten legal seien. Ein Unterkapitel des Berichts widmet sich dem Ausnutzen von Sicherheitslücken, erwähnt werden dabei explizit Zero-Day-Schwachstellen.

Darf eine EU-Behörde eigentlich hacken? Die Bundesregierung hält den Ausbau von Entschlüsselungsfähigkeiten bei Europol für rechtlich gedeckt. Das gilt auch dann, wenn die IT-Sicherheit auf dem Spiel steht. „Dies kann auch die Frage umfassen, ob aus technischen Gründen die Notwendigkeit besteht, Schwachstellen sowie Fehler bei Algorithmen und Implementierungen bei der Entschlüsselung verschlüsselter Kommunikationsinhalte einzusetzen“, schrieb das Bundesinnenministerium in einer Antwort auf eine kleine Anfrage des Linken-Abgeordneten Andrej Hunko.

Europol arbeitet bisher an forensischer Entschlüsselungstechnik. Zuletzt erhielt die Polizeiagentur ein Budget von fünf Millionen Euro für eine „Entschlüsselungsplattform“. Dabei ging es bislang um die Auswertung von bereits sichergestellten Datenträgern, nicht um das Ausspionieren von noch verwendeten Geräten. Das Bundeskriminalamt nahm dieses Angebot von Europol bisher dreimal in Anspruch, wie aus der Antwort der Bundesregierung hervorgeht. „Die Maßnahmen umfassten Ermittlungsverfahren im Bereich Islamistischer Terrorismus und Computerkriminalität.“

Linke: „Keine EU-Hackerbehörde“

Der Abgeordnete Hunko kritisierte in einer Pressemitteilung das Staatstrojaner-Projekt von Europol. „Die Verschlüsselung privater Telekommunikation ist eine technische Errungenschaft und kein Manko. Diese Freiheit muss in der Europäischen Union geschützt werden. Die Polizeiagentur Europol darf deshalb keine europäische Hackerbehörde werden“, sagte der Linke.

Hunko warnte, durch den Staatstrojaner werde die Sicherheit digitaler Geräte geschwächt. „Regierungen stützen damit den Schwarzmarkt für den Handel mit Sicherheitslücken. Es ist höchst fahrlässig, wenn diese sogenannten Zero-Day-Exploits nicht bekannt gemacht werden.“

Update vom 25. Januar 2019: Die Stellungnahme von Europol langte nach Erscheinen des Artikels ein und wurde nachträglich hinzugefügt.