Barrierefreie Ferndurchsuchungen
Initiativen auf EU-Ebene sollen Standards zum behördlichen Eindringen in fremde Computersysteme entwickeln. das "Governmental Hacking" wird als "Ferndurchsuchung" bagatellisiert
Das Bundeskriminalamt (BKA) hat seit 2009 die Befugnis, zur Gefahrenabwehr Onlinedurchsuchungen durchzuführen - "und macht davon Gebrauch". So schreibt es die Bundesregierung jetzt in ihrer Antwort auf eine Kleine Anfrage über "Grenzüberschreitendes behördliches Ausspähen fremder Rechnersysteme" ('Governmental Hacking')". Bis jetzt galt laut BKA-Präsident Jörg Ziercke, dass das Amt seine neue Kompetenzerweiterung noch nicht nutzen würde, obwohl gleichzeitig entsprechende "Werkzeuge" vom BKA bereits entwickelt wurden. Auch dies hat die Bundesregierung jetzt erneut bekräftigt. Das notwendige Gesetz ging auf eine Initiative des damaligen Innenministers Wolfgang Schäuble zurück.
Die Kleine Anfrage hatte explizit nach Maßnahmen auf Ebene der Europäischen Union gefragt, um das behördliche Eindringen in fremde Rechnersysteme innerhalb der EU zu vereinfachen. Unter anderem hatte sich Ex-Innenminister Schäuble erfolglos dafür eingesetzt, Online-Durchsuchungen auch im "Stockholmer Programm", dem Fünfjahresplan der EU zu Maßnahmen der inneren Sicherheit, zu verankern (Kritik am "Stockholm Programm").
2008 wurden eine Initiative bekannt, innerhalb von EU-Institutionen "Maßnahmen zur Erleichterung von Ferndurchsuchungen" zu etablieren. "Ermittlungsteams" von EU-Mitgliedsstaaten sollten demnach "Ferndurchsuchungen" dergestalt erleichtert werden, dass sie "mit Zustimmung des Gastlandes raschen Zugang zu den Informationen erhalten können". Erst in einer späteren Form des zu verabschiedenden Dokuments über "Schlussfolgerungen des Rates über eine konzertierte Arbeitsstrategie und konkrete Maßnahmen zur Bekämpfung der Cyberkriminalität" wurde der Passus "sofern diese nach nationalem Recht vorgesehen sind" hinein verhandelt - angeblich auf eine Initiative der österreichischen Delegation. In dem EU-Papier ist neben "Ferndurchsuchungen" die Rede davon, zur Fahndung nach Tätern "den Internetverkehr zu überwachen".
Die Initiativen mündeten im Vorschlag des Rates Europäischen Union, eine "Partnerschaft zwischen der Polizei und dem privaten Sektor" zu befördern. In der Pressemitteilung vom 27. November 2008 "ermutigt" der Kommissionspräsident José Manuel Barroso diese beiden "Parteien" zum "besseren Informationsaustausch über Ermittlungsmethoden und Entwicklungstrends".
Wer weiß was wann und bei welcher Gelegenheit?
Die EU-Maßnahmen differenzieren die verschiedenen technischen Möglichkeiten der sogenannte "Quellen-Telekommunikationsüberwachung" nicht. Auf diese Problematik hatte zuletzt die 81. Konferenz der Datenschutzbeauftragten des Bundes und der Länder im März aufmerksam gemacht. In einer Erklärung kritisieren die Datenschützer dubiose Methoden von Behörden der Landesinnenministerien zum Einbringen von sogenannten "Trojaner-Programmen" in private Rechner zum Abhören von Kommunikation. Auch die Bundesregierung ist der Ansicht, dass die verschiedenen Bespitzelungsmaßnahmen von "Remote Forensic Software" vorgenommen würden, die sich jedoch "maßgeblich in ihren Funktionalitäten unterscheidet". Das sehen die deutschen Datenschutzbeauftragten anders: Nach ihrer Einschätzung sei das Abhören von Internettelefonie oder E-Mails eine Ermittlungsmethode, die "in der Vorgehensweise einer Online-Durchsuchung" gleiche, da auch ein Zugriff auf gespeicherte Inhalte möglich sei. Es fehle hierfür an "normenklaren gesetzlichen Regelungen". Die Datenschutzbeauftragten führen hierzu auch das Urteil des Bundesverfassungsgerichts" zu Quellen-Telekommunikationsüberwachung an - wobei auch an den Spruch zur Volkszählung von 1983 zur informationelle Selbstbestimmung erinnert werden könnte:
Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen.
Bundesverfassungsgericht 1983
Auch auf EU-Ebene bleiben zahlreiche Details zum Einsatz von Trojanern im Dunkeln. Fraglich ist etwa, ob deutsche Behörden Material von ausländischen Polizeien für Ermittlungszwecke nutzen, das andernorts durch "Ferndurchsuchungen" erlangt wurde. In der Antwort auf eine frühere Kleine Anfrage erklärte die Bundesregierung, das keine Statistiken darüber geführt würden, ob von Europol, Interpol oder anderen Behörden außerhalb Deutschlands gelieferte Informationen womöglich auf "Ferndurchsuchungen" beruhen. Deutsche Behörden hätten indes noch nie ihre Zustimmung zu Durchsuchungen von in Deutschland befindlichen Rechnern durch Ermittlungsteams anderer Länder gegeben. Das dürfte auch zukünftig so bleiben, denn hierfür gebe es laut Bundesregierung keine Rechtsgrundlage.
"Handlungsempfehlungen zur justiziellen Dimension"
In der Strafprozessordnung regelt § 110 Absatz 3 den "Zugriff auf räumlich getrennte Speichermedien", was sich allerdings auf das Inland bezieht ( "Die Durchsicht elektronischer Speichermedien darf auf räumlich getrennte Speichermedien, auf die der Betroffene den Zugriff zu gewähren berechtigt ist, erstreckt werden."). In "grenzüberschreitender Weise" sei dies laut Bundesregierung nur im Rahmen der internationalen Rechtshilfe möglich. Hierfür wird auf das Übereinkommen des Europarates über Computerkriminalität vom 23. November 2001 verwiesen (Cybercrime-Konvention), die Deutschland erst 2009 ratifiziert hat.
Tatsächlich findet sich dort in Artikel 19 zur "Durchsuchung und Beschlagnahme gespeicherter Computerdaten" der Passus, dass jede Vertragspartei "ein Computersystem oder einen Teil davon sowie die darin gespeicherten Computerdaten und einen Computerdatenträger" in ihrem Hoheitsgebiet durchsuchen "oder in ähnlicher Weise darauf Zugriff zu nehmen" darf. Die Unterzeichner sollen sich laut Bundesregierung die "betroffenen Daten durch die Gewährung des Zugriffs rasch und unmittelbar zur Verfügung" stellen.
Gilles de Kerchove, dem Anti-Terrorismuskoordinator der EU (ATK), gehen die Maßnahmen nicht schnell genug. In seinen Handlungsempfehlungen zur justiziellen Dimension der Terrorismusbekämpfung schwadronierte er im September von der Festlegung eines "gemeinsamen justiziellen Rahmens für bestimmte Ermittlungstechniken" und bezog sich dabei auch auf "Online-Durchsuchungen". In einer späteren Mitteilung wird sein Vorschlag von der ungarischen EU-Präsidentschaft im März 2011 als "Follow-up" aufgegriffen und als Gesetzgebungsinitiative anvisiert. Dabei werden "Onlinedurchsuchungen" im gleichen Satz mit dem zunehmenden Einsatz verdeckter Ermittler und Informanten genannt.
Ein Vermerk des Rates vom 25. März 2010 fordert, den Austausch mit anderen "europäischen Einrichtungen" auszubauen. Genannt werden die Agenturen und Institutionen "EMSI, CEPOL, Eurojust, Europol, ENISA" sowie Interpol und die Vereinten Nationen. Angestrebt ist ein Austausch über "neue Technologien".
Zwar sind hier "Ferndurchsuchungen" nicht explizit erwähnt, die Rede ist aber von der "Verwendung von computergestützten Ermittlungsinstrumenten durch Polizei, Justiz und forensische Dienste in ganz Europa". Die Formulierung markiert eine Grauzone, in der sich auch die "Cross-Border Surveillance Working Group" (CSW) bewegt, zu deren Arbeitsweise die Bundesregierung mit Heimlichtuerei reagiert.
Im Dezember letzten Jahres wurde noch behauptet, die CSW sei eine "informelle Arbeitsgruppe der Mitgliedstaaten, die dem Erfahrungsaustausch über die Arbeit der Mobilen Einsatzkommandos" diene, an deren halbjährlichen Treffen das Bundeskriminalamt teilnimmt. Die Polizeiagentur Europol, die ebenfalls an der CSW beteiligt ist, erklärt ihren Zweck indes mit einer "Förderung der internationalen Zusammenarbeit und Bereitstellung eines Forums zur Diskussion und Entwicklung sicherer und effektiver Überwachungstechniken zur Strafverfolgung". Dies fiel dann auch der Bundesregierung auf, die den Passus bei Europol entdeckt hatte und im März erklärte, die Arbeitsgruppe solle "eine Plattform für Diskussionen schaffen und dazu beitragen, sichere und effektive Überwachungstechniken zu entwickeln". Diese Projekte würden "bedarfsorientiert ausgerichtet" und beinhalteten "den Austausch über technische Fragen". In der jüngsten Antwort auf die Kleine Anfrage wird ergänzt, dass das BKA hier den Fall der "Sauerland-Gruppe" vorstellte.
Diskussionen um mehr Kontrolle von Überwachungssoftware
Die Herstellung und Verwendung von Spähsoftware unterliegt nicht nur politischen, sondern auch marktförmigen Erwägungen. Insbesondere die polizeiliche und militärische Niederschlagung der militanten Proteste in Nordafrika hatte dokumentiert, dass afrikanische und arabische Länder begehrte Märkte für Rüstungs- und Softwarefirmen darstellen. Laut Bundesregierung ist Software zur digitalen Bespitzelung nicht ausfuhrgenehmigungspflichtig: "Der Verkauf von Software, die zum Ausspähen von Passwörtern oder zum Eindringen in private Rechnersysteme geeignet ist, stellt allein noch keine Straftat dar". Erst bei einem "hinreichenden Verdacht des Missbrauchs zur Inneren Repression" würden Exportgenehmigungen entzogen.
Dass die Schnüffelsoftware im Iran, Ägypten oder Tunesien durchaus zur brutalen Niederschlagung von Protesten geführt hatte, war nach dieser Lesart in der Bundesregierung noch niemand aufgefallen. Munter wird von deutschen Unternehmen weiter in Länder mit autoritären Regimes exportiert. Erst kürzlich hatte das deutsche Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) auf Nachfrage bestätigt, dass keine Pflicht bestünde, im Falle von Missbrauch eine "Ausfuhr grundsätzlich nicht genehmigungspflichtiger Güter im Nachhinein anzuzeigen".
Wenigstens hat das EU-Parlament diesen Monat mit knapper Mehrheit gefordert, eine Meldepflicht für Exporte sogenannter "Monitoring Centers" für Polizei und Geheimdienste in Länder, in denen Menschenrechte verletzt werden, einzuführen. In den "Monitoring Centers" laufen Informationen unterschiedlicher Sensoren zusammen, darunter nach Bedarf auch Ergebnisse eingesetzter Software. Die Mehrheit zur Verabschiedung von Vorab-Kontrollen des Verkaufs sonstiger digitaler Überwachungstechnik wurde im Parlament allerdings verfehlt - obwohl auch die "Cybercrime-Konvention" des Europarats die Herstellung und den Verkauf von Schadprogrammen als Straftat klassifiziert.