Staatstrojaner: Verfassungsgericht auf Holzweg oder in dubio pro IT-Sicherheit?

Verbände, Bürgerrechtler, Datenschützer, Juristen und Behörden schätzen das jüngste Urteil des Bundesverfassungsgerichts zur Quellen-TKÜ unterschiedlich ein.

Lesezeit: 8 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 40 Beiträge

(Bild: Zolnierek/Shutterstock.com)

Von
  • Stefan Krempl
Inhaltsverzeichnis

Das Bundesverfassungsgericht (BVerfG) wies jüngst eine Verfassungsbeschwerde der Gesellschaft für Freiheitsrechte (GFF) ab, die sich gegen den Paragrafen 54 zur "präventiv-polizeilichen" Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) im baden-württembergischen Polizeigesetz richtete. Trotz der juristischen Niederlage wertet die GFF das Urteil als "großen Erfolg für die IT-Sicherheit". Die Politik müsse nun Vorkehrungen treffen, damit Cyberkriminelle und ausländische Geheimdienste nicht von hierzulande von den Behörden offengelassenen Schwachstellen profitierten.

Die Bürgerrechtsorganisation baut dabei vor allem auf eine Passage der Entscheidung: Demnach muss eine öffentliche Stelle "bei jeder Entscheidung über ein Offenhalten einer unerkannten Sicherheitslücke" die Gefahr einer "weiteren Verbreitung der Kenntnis" dieser Schwachstelle ermitteln. Zudem halten es die Karlsruher Richter für nötig, "den Nutzen möglicher behördlicher Infiltrationen mittels dieser Lücke quantitativ und qualitativ" zu bestimmen, beides zueinander ins Verhältnis zu setzen und die Schwachstelle an den Hersteller zu melden, "wenn nicht das Interesse an der Offenhaltung der Lücke überwiegt".

"Angesichts der Kollateralschäden für die IT-Sicherheit darf der Staat nicht selbst Hacker spielen, sondern muss konsequent für möglichst sichere IT-Systeme eintreten", leitet der GFF-Vorsitzende Ulf Buermeyer daraus ab. Zumindest der Gesetzgeber in Baden-Württemberg müsse daher nun ein Verfahren einrichten, mit dem die Hersteller über gefährliche Schwachstellen informiert würden.

Ab sofort müssten Staat und Sicherheitsbehörden vor jedem Einsatz von Staatstrojaner für die Quellen-TKÜ oder heimliche Online-Durchsuchungen Regeln schaffen und auch bewerten, wie hoch das Risiko der Geheimhaltung von Sicherheitslücken für Bürger, Wirtschaft und den Staat selbst sei, meint auch Klaus Landefeld aus dem Vorstand des eco-Verbands der Internetwirtschaft. Damit setze das BVerfG staatlicher Spähsoftware Grenzen und betone die Schutzpflicht des Staates. Eben diese müsse "jetzt konsequent eingefordert werden".

Im Zuge des Pegasus-Skandals weist Landefeld zudem auf die Gefahren gekaufter Spähsoftware hin. Da die Behörden bislang keine eigene Software einsetzten, würden eben nicht nur selbst gefundene Lücken offengelassen, sondern auch solche, die von der von Dritten bezogenen Spyware genutzt werde. Sämtliche Staatstrojaner-Gesetze, wie etwa die jüngste Verfassungsschutz-Novelle, müssten nun angepasst werden. Sonst dürften sie von Fachgerichten beanstandet werden.

"Wenn Schwachstellen zur Entwicklung eigener Staatstrojaner gekauft werden, dann beflügeln deutsche Sicherheitsbehörden diesen Markt", gibt der Datenschutzverein Digitalcourage zu bedenken. Der Gesetzgeber müsse vor allem eine behördliche und kommerzielle Nutzung bislang der Allgemeinheit unbekannter Zero-Day-Exploits für den Staatstrojaner zugunsten der Sicherheit von Bürgern und Unternehmen verbieten und stattdessen eine Meldepflicht einführen.

Für den Fraktionsvize der Grünen, Konstantin von Notz, hat das Urteil noch einmal unterstrichen: "Auch angesichts der Bedeutung der IT-Sicherheit in der digitalen Gesellschaft und der Notwendigkeit, digitale Infrastrukturen, informationstechnische Systeme und private Kommunikation bestmöglich zu schützen, kommt dem Staat eine direkte Schutzverantwortung zu." Dieser werde die Politik – trotz ständiger Mahnungen der Oppositionsfraktion – noch immer nicht gerecht.

Statt endlich ein Schwachstellen-Management einzuführen, das vor allem die SPD immer wieder vollmundig angekündigt habe, betätigt sich der Staat laut von Notz "weiter als Hehler von Sicherheitslücken" und schließe diese eben bewusst nicht. "Das ist Gift für die IT-Sicherheit", betont der Grüne. CDU/CSU und SPD hätten es trotzdem vorgezogen, den Einsatz von Staatstrojanern auf den Geheimdienstbereich auszuweiten. Dadurch steige die Rechtsunsicherheit. Die ohnehin schwierige parlamentarische Kontrolle in einem verfassungsrechtlich hochsensiblen Feld werde noch einmal massiv erschwert.