Wer heute schon Trojaner einsetzt, verspottet unseren Rechtsstaat

12. Juli 2015

Mar­tin Stei­ger, NZZ

Der po­li­zei­li­che Ein­satz von Spio­na­ge-Soft­ware ist im gel­ten­den Recht klar il­le­gal. Dar­an wür­de auch ein neu­es Ge­setz nichts än­dern: Tro­ja­ner ge­hö­ren nicht in die Hän­de des Staats.

Das ita­lie­ni­sche Hacking Team ver­kauft Über­wa­chungs­soft­ware in al­le Welt. Kun­den sind vor al­lem au­to­ri­tä­re Staa­ten, die da­mit un­ter Ver­let­zung der Men­schen­rech­te ge­gen Ak­ti­vis­ten, Jour­na­lis­ten und Nicht­re­gie­rungs­or­ga­ni­sa­tio­nen vor­ge­hen. Für Re­por­ter oh­ne Gren­zen zählt die Mai­län­der Fir­ma zu den «Fein­den des In­ter­nets», Men­schen­rechts­or­ga­ni­sa­tio­nen kri­ti­sie­ren seit Jah­ren sol­che di­gi­ta­len Waf­fen, und die Uno er­öff­ne­te so­gar ei­ne Un­ter­su­chung.

Nun wur­de das Hacking Team selbst ge­hackt. Zahl­rei­che Ge­schäfts­un­ter­la­gen ge­lang­ten an die Öf­fent­lich­keit und ent­larv­ten auch die Kan­tons­po­li­zei Zü­rich als Kun­din. Ge­kauft wur­de ei­ne um­fas­sen­de Tro­ja­ner-In­fra­struk­tur, al­so ein Spio­na­ge­pro­gramm, das ge­gen die gän­gi­gen Com­pu­ter und Smart­pho­nes ein­ge­setzt wer­den kann. Da­zu ge­hört auch der Kauf ge­hei­mer Si­cher­heits­lü­cken in Soft­ware wie Mi­cro­soft Word oder dem An­dro­id-Be­triebs­sys­tem.

Tro­ja­ner wer­den meist über sol­che ge­hei­men Si­cher­heits­lü­cken bei den Op­fern der Über­wa­chung ein­ge­schleust. Mög­lich­kei­ten da­für bie­ten ma­ni­pu­lier­te Word-Do­ku­men­te in E-Mails, aber auch lo­ka­le Funk­net­ze und Web­sites kön­nen miss­braucht wer­den - in der Kor­re­spon­denz mit der Zür­cher Po­li­zei wird et­wa Blick.ch er­wähnt. Ein­ge­schleus­te Tro­ja­ner kön­nen voll­stän­dig auf das ge­hack­te Sys­tem und des­sen Funk­tio­nen zu­grei­fen. Sie kön­nen sämt­li­che Chats und E-Mails mit­le­sen, Mi­kro­fo­ne und Web­cams un­be­merkt ver­wen­den so­wie jeg­li­che Nut­zung über­wa­chen. Da­für müs­sen Tro­ja­ner ein in­fi­zier­tes Sys­tem zwin­gend ma­ni­pu­lie­ren, un­ter an­de­rem für den Fern­zu­griff mit­tels In­ter­net. Da­tei­en und al­le an­de­ren Da­ten kön­nen spur­los ge­löscht, hin­zu­ge­fügt und ver­än­dert wer­den. An­ti­vi­rus-Soft­ware wird de­ak­ti­viert, da sie den Tro­ja­ner ent­de­cken könn­te. In der Fol­ge sind über­wach­te Per­so­nen und Fir­men nicht mehr vor den Ge­fah­ren im di­gi­ta­len Raum ge­schützt und ris­kie­ren, sich wei­te­re Vi­ren und an­de­re schäd­li­che Soft­ware ein­zu­fan­gen oder An­grif­fen aus dem In­ter­net aus­ge­setzt zu sein.

Der Ein­satz von Staats­tro­ja­nern ist rechts­wid­rig. Grund­la­ge und Schran­ke für je­des staat­li­che Han­deln ist das Recht, doch für Tro­ja­ner gibt es in der Schweiz kei­ne Rechts­grund­la­ge. Sol­che Rechts­grund­la­gen wer­den im Par­la­ment erst noch be­ra­ten, wo­bei das Re­fe­ren­dum ge­gen das so er­wei­ter­te Über­wa­chungs­ge­setz des Bun­des (Büpf) be­reits be­schlos­sen ist. Wer heu­te schon Tro­ja­ner ein­setzt und ge­neh­migt, ver­spot­tet un­se­ren de­mo­kra­ti­schen Rechts­staat.

Be­ste­hen­de Ge­set­ze zur her­kömm­li­chen ge­hei­men Über­wa­chung ge­nü­gen nicht als Rechts­grund­la­ge. Bei sol­chen Über­wa­chun­gen wer­den nicht die Ge­rä­te der Über­wach­ten ma­ni­pu­liert, son­dern Te­le­fon­ge­sprä­che und an­de­re Da­ten un­ver­än­dert er­ho­ben. Ein Tro­ja­ner dringt da­ge­gen tief in die di­gi­ta­le In­tim­sphä­re ein, und Grund­rech­te wie der Schutz der Pri­vat­sphä­re oder die Mei­nungs­frei­heit wer­den stark ein­ge­schränkt. Die Bun­des­ver­fas­sung ver­langt da­für ei­ne di­rek­te ge­setz­li­che Grund­la­ge. Staats­an­walt­schaf­ten und Zwangs­mass­nah­men­ge­rich­te schei­nen sich im Dun­kel der Ge­heim­hal­tung um die­ses Le­ga­li­täts­prin­zip zu fou­tie­ren.

Tro­ja­ner soll­ten in ei­nem Rechts­staat aber auch mit ei­ner an­ge­pass­ten Rechts­grund­la­ge nicht ein­ge­setzt wer­den dür­fen. Be­wei­se, die so er­ho­ben wer­den, sind nicht ge­richts­fest und stam­men fak­tisch aus dem rechts­frei­en Raum. Ma­ni­pu­la­tio­nen und Miss­brauch je­der Art sind mit Tro­ja­nern im­mer mög­lich, auch durch die Über­wach­ten selbst oder durch un­be­fug­te Drit­te. Tro­ja­ner sind nicht zu­ver­läs­sig kon­trol­lier­bar, und die Si­cher­heits­be­hör­den sind von frag­wür­di­gen An­bie­tern ab­hän­gig. Das Hacking Team er­gänz­te sei­nen Tro­ja­ner - durch­aus bran­chen­üb­lich - mit ei­ner nur dürf­tig ver­schlos­se­nen Hin­ter­tü­re für den ei­ge­nen Zu­griff und er­wähnt so­gar das mög­li­che Hoch­la­den (!) von Kin­der­por­no­gra­fie zum Über­wach­ten. Ei­ne ge­richt­li­che Be­schrän­kung auf die blos­se Über­wa­chung der Kom­mu­ni­ka­ti­on ist tech­nisch ge­se­hen nicht mög­lich. In der Pra­xis gibt es auch kei­ne Tren­nung zwi­schen dem al­lei­ni­gen Über­wa­chen der Te­le­kom­mu­ni­ka­ti­on und dem Über­wa­chen der zu schüt­zen­den di­gi­ta­len In­tim­sphä­re als Kern­ge­halt der Pri­vat­sphä­re.

Die grund­le­gen­den Män­gel beim staat­li­chen Ein­satz von Tro­ja­nern kön­nen we­der mit der Schaf­fung ei­ner Rechts­grund­la­ge noch mit tech­ni­schen Mit­teln be­ho­ben wer­den. Gleich­zei­tig ge­fähr­den Si­cher­heits­be­hör­den die Si­cher­heit al­ler, in­dem sie ge­hei­me Si­cher­heits­lü­cken für die ei­ge­ne Ver­wen­dung kau­fen, an­statt sie so bald wie mög­lich be­he­ben zu las­sen. Staats­tro­ja­ner tau­gen nicht zur rechts­staat­li­chen und ver­hält­nis­mäs­si­gen Über­wa­chung. Will die Po­li­zei Ge­sprä­che bei Sky­pe über­wa­chen, kann sie dies schon heu­te rechts­hil­fe­wei­se über des­sen Sitz in Lu­xem­burg tun. Staats­tro­ja­ner müs­sen ver­bo­ten wer­den, um die Grund­rech­te im di­gi­ta­len Raum zu schüt­zen - in der Schweiz und im Aus­land im Ein­klang mit Eu­ro­pas Men­schen­rechts­kon­ven­ti­on.

 

Webauftritt gestaltet mit YAML (CSS Framework), Contao 3.5.27 (Content Management System) und PHPList (Newsletter Engine)

Copyright © 2006-2025 by grundrechte.ch