Statt uns zu schützen, bringt der Staat uns in Gefahr

Der neue Staatstrojaner ist einsatzbereit. Anders als es zunächst in einigen Berichten hieß, wurde er aber bisher noch nicht benutzt. Die Behörden begeben sich damit auf ein gefährliches Glatteis.

Es gibt aktuell – soweit bekannt – zwei Staatstrojaner in Deutschland. Den einen hat das BKA selbst entwickelt, er kann aber nur Skype auf Windows belauschen. Da das aus Sicht der Behörden nicht reicht, um Kriminelle effektiv abhören zu können, wurde ein zweites Programm für die so genannte „Quellen-Telekommunikationsüberwachung“, kurz: „Quellen-TKÜ“ bei der Müncher Firma FinFisher eingekauft. Letzterer wurde jetzt freigegeben, aber anscheinend noch nicht eingesetzt. In Hessen wird ein ähnliches Werkzeug vorbereitet.

Natürlich ist es gut und richtig, dass die Behörden gegen Kriminelle effektiv ermitteln können. Aber beim Staatstrojaner stellt sich die Frage, ob der Nutzen groß genug ist, um die erheblichen Nebenwirkungen in Kauf zu nehmen. Die Nebenwirkungen sind sowohl juristischer als auch praktischer Natur. Aus juristischer Sicht greift die Lauschfunktion im Handy tiefer in die Privatsphäre ein als Überwachungswerkzeuge, die bei einem Netzanbieter in die Verbindung eingeschaltet werden. Daher bereiten mehrere Bürgerrechtsorganisationen Klagen vor dem Verfassungsgericht vor. Es ist zudem zweifelhaft, ob die erhobenen Beweise rechtssicher sind: Da der Trojaner auf Sicherheitslücken aufbaut, ist die Basis seiner Funktion per Definitionem fehlerhaft. Auf dieser fehlerhaften Basis sollen aber beweisbar korrekte Informationen erhoben werden, die in Strafprozessen der gerichtlichen Überprüfung standhalten. Das ist zumindest heikel. Noch schlimmer als die juristischen sind die praktischen Nebenwirkungen: Staatstrojaner bewirken nämlich, dass Sicherheitslücken offen bleiben.

Damit der Trojaner funktioniert, darf die Lücke, auf der er beruht, nicht geschlossen werden. Die Informationssicherheit aller Bürger und Unternehmen wird dadurch gefährdet. Solche Lücken, die dem Hersteller der geknackten Software nicht bekannt sind, nennt man „Zero Day Exploit“, weil der Hersteller bisher keine Zeit hatte (Zero Day), sie zu schließen. Für Zero Day Exploits gibt es einen kriminellen Schwarzmarkt. Statt diesen zu bekämpfen, wird er vom Staat gefördert, wenn Zero Days für Staatstrojaner eingekauft werden.

Und schließlich sind staatliche Hackerwerkzeuge schon mehrfach öffentlich bekannt geworden, mit dem Ergebnis, dass sie von Kriminellen weltweit gegen uns alle eingesetzt werden. So gibt es Schadsoftware, die auf Entwicklungen der NSA beruht. Software von FinFisher, dem Hersteller des aktuellen Staatstrojaners, kann man auf WikiLeaks herunterladen.

Das zuerst wahrscheinlich von den USA und Israel gegen den Iran eingesetzte Stuxnet wurde weiterentwickelt zu den Schadprogrammen Duqu, Flame und Triton. Mitte Januar 2018 hat Kaspersky ein hochentwickeltes Spionageprogramm gefunden, das große Ähnlichkeiten zu Staatstrojanern aufweist. Trotz all dieser Kritikpunkte werden Staatstrojaner weiterhin entwickelt. Bis auf weiteres werden wir wohl damit leben müssen.