Nach einer erneuten Panne bei der Angabe der Zahlen zum Einsatz von Staatstrojanern in der offiziellen Statistik zur Telekommunikationsüberwachung (TKÜ) des Bundesamts für Justiz (BfJ) macht sich Konstantin von Notz, Vize-Fraktionschef der Grünen im Bundestag, dafür stark, vorerst die Reißleine bei solcher Spyware zu ziehen. Der neue Vorsitzende des Parlamentarischen Kontrollgremiums (PKGr) für die Geheimdienste des Bundes fordert gegenüber heise online ein Moratorium für die Anwendung des umstrittenen Werkzeugs.

Erst "massive Rechtsunsicherheit" beheben

"Solange die massive Rechtsunsicherheit beim Einsatz des hochproblematischen Ermittlungsinstruments nicht behoben und der effektive Schutz des Kernbereichs privater Lebensgestaltung sichergestellt ist", sollten Ordnungshüter und Agenten Staatstrojaner nicht länger nutzen dürfen, fordert von Notz. Er verweist dabei auf den Koalitionsvertrag des Ampel-Bündnisses. Darin heißt es, dass der Einsatz von Überwachungssoftware zur sogenannten Quellen-TKÜ und für heimliche Online-Durchsuchungen unterbleiben müsse, solange die Vorgaben des Bundesverfassungsgerichts zum Schutz des Kerns des Intimlebens nicht gewahrt würden.

Diese prinzipiell bereits vereinbarte Anwendungspause müsse nun umgesetzt werden, betonte der Innenpolitiker. Bereits bei der TKÜ-Statistik für 2019 hätten viele Staatsanwaltschaften der Länder im vorigen Jahr "exorbitant falsche Zahlen zum Einsatz des Staatstrojaners geliefert", begründete von Notz sein Plädoyer. "Dass sich dieser hochnotpeinliche Vorgang nun wiederholt hat, macht deutlich, wie groß die Unwissenheit bezüglich des Einsatzes des hochumstrittenen Ermittlungsinstruments sogar bei den Praktikern und denjenigen, die sie eigentlich kontrollieren sollen, bis heute ist."

Deutlich wird für den Grünen damit auch, "dass das angeblich so unverzichtbare Ermittlungsinstrument in der Realität aus gutem Grund nur extrem selten zum Einsatz kommt". Anders als oft suggeriert, leiste es "keinen nennenswerten Beitrag zur Erhöhung der Sicherheit – gefährdet aber zugleich Grundrechte massiv". Die Ampel-Koalition habe sich daher auch generell darauf verständigt, die von der schwarz-roten Bundesregierung zuvor massiv ausgeweiteten Anwendungsmöglichkeiten im Zuge einer Überwachungsgesamtrechnung grundlegend auf den Prüfstand zu stellen.

Zugriff ohne Rückgriff auf Sicherheitslücken

Zuvor hatte von Notz eine Debatte auf Twitter mit einer Ansage in einem Interview mit dem "Spiegel" ausgelöst. Auf eine Frage zur Überwachung von Messengern wie Telegram, Signal oder WhatsApp, die größtenteils auf eine durchgängige Verschlüsselung setzen, meinte er: "Wenn es den Behörden gelingt, mit rechtsstaatlichen Mitteln Zugriff auf diese Kommunikation zu bekommen, ist dagegen nichts zu sagen." Beim Staatstrojaner, mit dem Daten etwa vor einer Ver- oder nach einer Entschlüsselung direkt auf dem Endgerät abgegriffen werden, müssten die Dienste aber Sicherheitslücken in der Software von Geräten ausnutzen.

Diese Schwachstellen könnten auch Spione aus Russland, China oder die organisierte Kriminalität verwenden, erklärte von Notz weiter. Es gebe einen Schwarzmarkt dafür. Dazu stehe im Koalitionsvertrag, dass es hier eine Abwägung geben solle: "Eine Lücke, die nur eine sehr kleine Zahl von Menschen betrifft, könnte womöglich zugunsten der Sicherheitsbehörden offenbleiben." Schwachstellen, die relevante Risiken für die Bevölkerung darstellten, müssten gemeldet und umgehend geschlossen werden.

In der Koalitionsvereinbarung heißt es wörtlich dazu: "Die Ausnutzung von Schwachstellen von IT-Systemen steht in einem hochproblematischen Spannungsverhältnis zur IT-Sicherheit und den Bürgerrechten. Der Staat wird daher keine Sicherheitslücken ankaufen oder offenhalten, sondern sich in einem Schwachstellenmanagement unter Federführung eines unabhängigeren Bundesamtes für Sicherheit in der Informationstechnik" (BSI) immer um die schnellstmögliche Schließung bemühen.

BSI meldet Lücken

Experten zufolge müssen Sicherheitsbehörden bereits jetzt im Lichte eines Urteils des Bundesverfassungsgerichts zur Quellen-TKÜ für jeden Einsatz von Staatstrojanern einschlägige Regeln schaffen und auch vorab bewerten, wie hoch das Risiko der Geheimhaltung von Sicherheitslücken für Bürger, Wirtschaft und den Staat selbst ist. Vor einigen Monaten war die Meinungsbildung innerhalb der Bundesregierung zu einem wirksamen Schwachstellenmanagement noch nicht abgeschlossen. Zumindest das BSI melde aber schon alle entdeckten Sicherheitslücken an die Hersteller.

(mho)