Internet & Recht - aktuell |
Blaulicht-Trojaner - Big Brother durch die Hintertür?
Zum Einsatz des viel diskutierten und wenig konkretisierten Polizei-Trojaners
In letzter Zeit liest man viel über den Ruf der Exekutive nach Waffengleichheit im Kampf gegen das Böse im Internet. Es soll der Polizei erlaubt werden, das zu tun, was auch Tausende andere im Netz tun, nämlich fremde Computer auszuspionieren. Das soll mit Mitteln passieren, die unter dem Namen "Trojaner" bekannt sind, also kleine Programme, die unbemerkt auf einem Computer installiert werden und es dem Angreifer ermöglichen, den Inhalt der Festplatte auszulesen, den E-Mail-Verkehr zu überwachen oder das Surfverhalten auszuspionieren, ohne dass es der Inhaber merkt.
Trojaner werden im Internet, wie auch andere Malware (z.B. Viren), meist durch E-Mails verbreitet, aber auch durch Weitergabe infizierter Dateien über Tauschbörsen, über präparierte Websites oder über mobile Speichermedien. Die Verbreitung erfolgt in der Regel massenweise und ungezielt, das heißt der Angreifer versucht, möglichst viele Computer unter seine Kontrolle zu bringen, sei es um Daten auszuspähen oder die Computer dann für gemeinsame Aktionen (z.B. Attacken auf Server) einzusetzen.
Hier stellt sich gleich die erste Frage, in welche Richtung das Interesse der Polizei geht. Die Medienberichte erwecken teilweise den Eindruck als gehe es darum, möglichst die Computer aller Bürger des Landes quasi mit einer "Polizei-Schnittstelle" zu versehen, damit die Polizei gleich einschreiten kann, wenn irgendwo etwas Illegales mit einem Computer gemacht wird. So etwas ist allerdings in einem Rechtsstaat unvorstellbar. Das galt zwar bis vor kurzem auch für die Vorratsdatenspeicherung, ein flächendeckender Polizei-Trojaner ginge aber weit darüber hinaus und wäre in einer Demokratie nicht durchsetzbar.
Wie stellt sich aber dann die Exekutive den Einsatz vor? Für den rechtlichen Rahmen gibt es grundsätzlich zwei Möglichkeiten: In einem strafrechtlichen Vorverfahren (nach der StPO-Novelle ab 1.1.2008: Ermittlungsverfahren) so, wie etwa Hausdurchsuchung und Beschlagnahme, oder im Rahmen der Sicherheitspolizei zur erweiterten Gefahrenforschung. Inhaltlich ist eine Ausforschung von Inhalten und eine Überwachung der Computernutzung möglich. Der Vorteil für die Polizei liegt dabei darin, dass unbemerkt vom Täter Beweise gesammelt werden können, der Täter also nicht frühzeitig gewarnt wird. Insoferne besteht auch eine gewisse Ähnlichkeit zum Polizeispitzel.
In der Strafprozessordnung findet sich derzeit keine Regelung für den Einsatz eines derartigen Computer-Zugriffes. Der Einsatz ist daher eindeutig unzulässig. Es kann auch nicht damit argumentiert werden, dass es sich dabei um etwas Ähnliches wie eine Telefonüberwachung, Hausdurchsuchung oder Beschlagnahme handelt. Da jedenfalls Grundrechtseingriffe (Kommunikationsgeheimnis, Privatsphäre, Eigentum), vorliegen, ist eine Analogie zu bestehenden Instrumentarien unzulässig; ein Eingriff erfordert vielmehr eine explizite gesetzliche Regelung. Aus diesem Grund hat der deutsche Bundesgerichtshof auch bereits eine derartige Maßnahme für unzulässig erklärt (Entscheidung bei JurPC).
Das bedeutet aber nicht, dass der Polizeitrojaner nicht zugelassen werden könnte. Für den Einsatz ist nur eine detaillierte gesetzliche Regelung erforderlich. Eine solche Regelung wäre angesichts sonstiger Instrumentarien der Strafverfolgung durchaus denkbar, allerdings müssen dabei die Besonderheiten beim Zugriff auf Computerdaten mittels Manipulation des Computers genau bedacht werden. Eine Ausforschung eines Computers mittels Polizei-Trojaner hat eine gewisse Ähnlichkeit mit einer Haus- und Personsdurchsuchung (§ 139 StPO) und Beschlagnahme (§ 143 StPO). Der Hauptunterschied liegt darin, dass sie geheim erfolgt. Andererseits wird durch das Überwachen des Computers auch das Kommunikationsverhalten mitverfolgt, was Ähnlichkeiten mit der Fernmeldeüberwachung (Abhören von Telefonaten - § 149a StPO) hat. Das erfordert nicht nur enge Voraussetzungen für die Zulässigkeit (nur bei schweren Delikten), sondern auch einen speziellen Schutz vor Missbrauch (Zeugen, Hinterlegung von Code und Logdateien, Sicherungskopien, u.ä.). Dass so etwas nur mit Genehmigung des Untersuchungsrichters (in Zukunft Ermittlungsrichters) erfolgen darf, muss als selbstverständlich vorausgesetzt werden. Bei der Auswertung der ermittelten Daten könnte eine gewisse Parallele zur Durchsuchung von beschlagnahmten Papieren nach § 144 StPO gezogen werden, wobei hier eine Ergänzung um Regelungen für das Durchsuchen digitaler Daten ohnedies auch dringend erforderlich wäre, sind doch solche Daten viel heikler in der Beurteilung als Papierdokumente.
Inwieweit ein Polizei-Trojaner angesichts der Verbreitung von Antivirenprogrammen und Firewalls überhaupt eine Chance hat, ist primär eine technische Frage. Kein Mittel wirkt hundertprozentig und es gibt auch immer wieder Fälle, dass Telefon- oder Videoüberwachungen aufgedeckt werden. Das Fangen von Verbrechern wird immer ein Katz- und Mausspiel bleiben. Auch wenn es nicht immer gelingt, muss man es trotzdem versuchen. Der Polizei-Trojaner ist ein Versuch, dessen Bedeutung derzeit wahrscheinlich sehr überschätzt wird. Das heißt aber nicht, dass man auf dieses Instrumentarium verzichten sollte. Mir ist auf jeden Fall lieber, es werden klare gesetzliche Regeln aufgestellt, als man experimentiert in einer rechtlichen Grauzone.
17.7.2007
Anhang: Stellungnahme zu den Leser-Beiträgen in der ORF-Futurezone
Am 18.7.2007 erschien in der ORF-Futurezone ein Interview zu diesem Thema, das eine große Zahl von Leserreaktionen hervorrief. Da diese Beiträge einerseits Missverständnisse aufzeigen und andererseits wertvolle Anregungen liefern, nehme ich dazu noch einmal zusammenfassend Stellung.
Klarstellung des eigenen Standpunktes
Ich bin kein Verfechter des Polizei-Trojaners. Aus meiner pragmatischen Sicht der Dinge gehe ich aber davon aus, dass etwas in dieser Richtung kommen wird. Ich bin auch der Meinung, dass eine gewisse Notwendigkeit besteht, neue Sachverhalte im Zusammenhang mit der Internettechnologie zu regeln. Wenn es nämlich nicht zu angepassten Regelungen kommt, werden Rechtsnormen aus der analogen Welt auf das Internet umgebrochen und das führt immer wieder zu katastrophalen Ergebnissen. Meine Intention geht daher in Richtung einer Lösung, die Polizeiarbeit bei größtmöglicher Wahrung der Grundrechte aller Beteiligten auch im Internet ermöglicht.
"Schuster bleib bei Deinem Leisten"
Dieser Vorwurf zeigt ein grundsätzliches Problem auf, das letztlich auch Motivation meiner Website ist. Tatsache ist, dass ich kein Techniker bin. Bei fast allen Internetsachverhalten geht es aber um Probleme, die sowohl juristisches als auch technisches Wissen voraussetzen. Menschen, die in beiden Welten zu Hause sind, gibt es kaum. Es bleiben also zwei Möglichkeiten: Juristen mit gewissem technischen Verständnis und Techniker mit gewissem juristischen Verständnis. Beide laufen ständig Gefahr, sich im jeweils anderen Fachgebiet in die Nesseln zu setzen. Mir ist diese Gefahr bewusst, ich stehe zu meinen Wissensdefiziten und ich lerne jedes Mal dazu. Im gegenständlichen Fall war aber der Vorwurf nicht einmal gerechtfertigt, weil ich nie behauptet habe, dass sich beim Schließen von Dateien immer die Dateidaten ändern. Ich habe sinngemäß nur gesagt, dass die Gefahr besteht. Es ging nämlich nicht um die Möglichkeit der Manipulation durch die Täter, sondern um die Gefahr der Manipulation beim Zugriff und damit die nachträgliche Beweisverfälschung. Es soll ja schon einmal eine Beschlagnahme von Servern gegeben haben, bei der einfach die Stecker aus der Dose gerissen wurden ....
Zur Effizienz des Polizei-Trojaners
Auch im Forum gingen die Meinungen auseinander, ob der Trojaner in ein System, das technisch up to date ist, überhaupt eingeschleust werden kann. Liest man die Erfolgsstories diverser Hacker, ist kein System sicher. Liest man die Aufforderungen mancher Fuzo-Poster, dürften dort wahre Sicherheits-Genies sitzen. Die Frage ist aber, was kann man von einem Polizei-Trojaner, der ja kein Produkt von der Stange sein kann, sondern auf das konkrete System abgestimmt werden muss, erwarten. Ich rechne nicht damit, dass die österreichische Polizei plötzlich mit Traumgehältern IT-Spezialisten anlocken kann, die ohnedies an allen Ecken und Enden in der Wirtschaft fehlen. Eine weitere Frage ist, ob für das Einschleusen des Trojaners die Provider in die Pflicht genommen werden, wie dies schon bei der Vorratsdatenspeicherung und bei der Schnittstelle nach der Überwachungsverordnung (ÜVO) der Fall ist. Das würde natürlich die Möglichkeiten der Manipulation enorm erweitern oder in manchen Fällen erst ermöglichen. Trotzdem ist es relativ einfach, derartige Überwachungsmöglichkeiten zu umgehen; solche Umgehungstaktiken werden natürlich insbesondere jene Verbrechergruppen anwenden, die damit rechnen, dass ihnen die Polizei auf der Ferse ist.
Hier muss aber auch mit einem anderen Missverständnis aufgeräumt werden. Ich habe es weiter oben schon gesagt: Kein Mittel wirkt hundertprozentig. Auch andere Ermittlungsmethoden, wie Spurenauswertung, Hausdurchsuchung, Beschlagnahme, Telefonüberwachung, Rufdatenrückerfassung, Rasterfahndung, Lauschangriff oder Zeugen- und Beschuldigteneinvernahmen bringen häufig nicht den gewünschten Erfolg. Andererseits resultieren viele Erfolge der Kriminalistik darauf, dass auch perfekte Verbrecher irgendwann Fehler machen. Es ist auch ein Irrglaube, dass wir es im Bereich der Schwerkriminellen ausschließlich mit Technikgenies zu tun haben. Auch gut geschulte Terroristen machen Fehler. Die Aufklärungsrate ist sogar bei den schweren Delikten deutlich höher als bei den Bagatelldelikten. Natürlich gibt es auch das perfekte Verbrechen, aber das sind die Ausnahmen, die die Regel bestätigen. Im Gesamtgefüge der polizeilichen Ermittlungsmethoden wird die statistische Bedeutung des Polizei-Trojaners wahrscheinlich verschwindend gering sein, aber wenn es gelingt, damit auch nur wenige Verbrechen aufzuklären, hat er einen Sinn. Noch besser ist es natürlich, wenn es gelingt, ein geplantes Verbrechen aufzuklären und damit zu verhindern.
Zur Vergleichbarkeit mit herkömmlichen Überwachungsarten
Wenn man nach möglichen Vergleichen aus der realen Welt sucht, muss man sich vor Augen führen, was durch eine Online-Durchsuchung eines Computers ausspioniert werden kann. Das ist zunächst alles, was der Besitzer schreibt. Das ist etwa vergleichbar mit dem Inhalt seines Schreibtisches. Dann gehört dazu alles, was der Besitzer an Medien, sei es Text, Bilder, Musik oder Film, konsumiert und in letzter Zeit konsumiert hat. Das geht bereits über eine reine Durchsuchung der Wohnung hinaus, weil es die laufenden Tätigkeiten des Besitzers in der Wohnung betrifft, wie Zeitunglesen, Musikhören oder Fernsehen. Es ist aber noch weniger als würde in der Wohnung eine Videokamera installiert, weil das Tun des Besitzers selbst nicht auf Bild oder Ton festgehalten wird. Allerdings kann aus der Art der konsumierten Medien (z.B. Webseiten) schon sehr viel erschlossen werden.
Noch gravierender wird aber der Eingriff, wenn der überwachte Computer mit Mikrophon und Webcam ausgestattet ist, weil man damit eine komplette Überwachungsanlage zur Verfügung hat, was man aber im vorhinein nicht weiß. Das bedeutet aber, dass auch die Art der eingeschleusten Software ganz klar determiniert werden muss; d.h. es muss festgelegt werden, auf welche Teile des Computers diese Software überhaupt zugreifen darf (z.B. nur auf gespeicherte Dateien, den Internetcache, das Postfach, oder eben auch auf die Webcam. Diese Details werden jeweils im Einzelfall im Durchsuchungsbeschluss festgelegt werden müssen.
Zur allgemeinen Überwachungsangst
Ich habe Verständnis für die Ängste, dass wir immer mehr in Richtung Überwachungsstaat abdriften. Vorratsdatenspeicherung, Videoüberwachung, Flugdatenweitergabe, biometrische Erkennungssysteme, Kennzeichenauswertung und eine unbändige Speicherwut der öffentlichen Hand und der Wirtschaft: Das sind alles Dinge, die in einem gewissen Konfliktverhältnis zu einer freien Gesellschaft und den althergebrachten Grundrechten stehen. Der Polizei-Trojaner nimmt sich da eher bescheiden aus. Ihn würde ich genauso wenig einem typischen Polizeistaat zuordnen wie eine Hausdurchsuchung oder Telefonüberwachung. Das sind Ermittlungsmethoden, die sich gegen einzelne Verdächtige richten, wobei der Verdacht schon relativ konkretisiert und der Tatvorwurf schwer sein muss. Das Problem liegt darin, dass wir hier über eine zukünftige Regelung reden, deren Inhalt noch nicht feststeht. Sollte die Entwicklung tatsächlich in Richtung einer Überwachung von breiten Bevölkerungskreisen gehen, wird es Zeit ans Auswandern zu denken. Zunächst gilt es aber das zu verhindern.
Nachtrag vom 22.11.2007
Mittlerweile ist die Diskussion in Deutschland und Österreich weitergegangen. In Österreich hat man sich im Ministerrat auch bereits auf die grundsätzliche Umsetzung der Online-Durchsuchung geeinigt. Die gesetzliche Regelung soll im Rahmen der Strafprozessordnung beim Lauschangriff (§ 149d StPO, ab 1.1.2008 § 136 neu) erfolgen. Es wurde die Einsetzung einer Expertenkommission beschlossen, im Herbst 2008 soll die Online-Durchsuchung Gesetz sein. Alleine der Umstand, dass sich die Terminologie vom engen Begriff "Trojaner" (in Deutschland Bundes-Trojaner) auf die technikneutrale Bezeichnung "Online-Durchsuchung" verändert hat, zeigt eine gewisse Versachlichung der Diskussion. Es erscheint mir wichtig, dass zunächst sämtliche Möglichkeiten des Zugriffes auf geheime Daten und verschlüsselte Kommunikation geprüft werden und dann jene Maßnahmen umgesetzt werden, die die geringste Beeinträchtigung der Rechte der Betroffenen mit sich bringen. Eine Manipulation der Software durch Trojaner o.ä., die zu nicht vorhersehbaren Folgekomplikationen führen kann und deren Einbringung eine ganze Reihe von Problemen aufwirft, sollte nur dann in Betracht genommen werden, wenn es keine andere Möglichkeit gibt.
Artikel zum Thema
- Isabelle Biallaß, a-i3 Tagung 2007: Verdeckte Online-Durchsuchung - unverzichtbar oder überflüssig? - technische und rechtliche Perspektiven (Tagungsbericht) 2/2008, Artikel bei JurPC
- Gutachten von Prof. Ulrich Sieber für das deutsche Bundesverfassungsgericht, 10/2007, GA beim Max-Planck-Institut
- Marco Gercke, Heimliche Online-Durchsuchung: Anspruch und Wirklichkeit. Der Einsatz softwarebasierter Ermittlungsinstrumente zum heimlichen Zugriff auf Computerdaten, CR 2007, 245
- Ulf Buermeyer, Die "Online-Durchsuchung". Technischer Hintergrund des verdeckten hoheitlichen Zugriffs auf Computersysteme, HRRS 4/2007, 154
- Bundestrojaner: Geht was - was geht, Heise-Artikel vom 11.3.2007
- Der Staat als Einbrecher: Heimliche Online-Durchsuchungen sind möglich, Telepolis-Artikel vom 3.3.2007
- Die "Online-Durchsuchung". Technischer Hintergrund des verdeckten hoheitlichen Zugriffs auf Computersysteme, 4/2007, HRRS-Artikel
- Online-Durchsuchung: Zwischen Freiheitsrechten und moderner Ermittlungstechnik, Heise-Artikel vom 12.7.2007
- Skeptische Stimmen zur Online-Durchsuchung, Heise-Artikel vom 24.7.2007
- Ex-Verfassungsrichter hält Online-Durchsuchungen für möglich, Heise-Artikel vom 25.7.2007
- Online-Durchsuchung: Ist die Festplatte eine Wohnung? Heise-Artikel vom 25.7.2007
- "Wer nichts zu verbergen hat, hat auch nichts zu befürchten", Telepolis-Artikel vom 27.9.2006
18.7.2007 (Nachträge 25.7. und 23.11.2007)