© wk1003mike / Shutterstock
© wk1003mike / Shutterstock

Überwachung Fragen zum Einsatz von Trojanern

Von Patrick Walder – erschienen auf woz.ch am 9. Mai 2016
Die neuen Überwachungsgesetze NDG und BÜPF erlauben den Einsatz von Staatstrojanern, mit denen Behörden in Computer eindringen, auf Dateien zugreifen und die Kommunikation überwachen können. Ihr Einsatz wirft Fragen zur Verhältnismässigkeit und zur Sicherheit auf.

Ein Staatstrojaner, auch GovWare oder Spyware genannt, ist eine Software, mit der Behörden verdeckt in Computer oder Mobiltelefone eindringen und verschiedene Überwachungsfunktionen ausführen können: Trojaner ermöglichen die Überwachung der elektronischen Kommunikation, den Zugriff auf die Dateien sowie die Aktivierung von Kamera und Mikrofon zur Raumüberwachung.

Sowohl die Strafverfolgungsbehörden als auch der Nachrichtendienst des Bundes forderten eine gesetzliche Zulassung von Trojanern, damit sie auch Kommunikation wie Skype-Gespräche oder WhatsApp-Nachrichten, die standardmässig verschlüsselt sind, überwachen können.

Eingriff verhältnismässig?

Der Zugriff von Behörden auf einen Computer oder ein Mobiltelefon ist eine klare Verletzung der grundrechtlich garantierten Privatsphäre, die nur unter engen Bedingungen rechtmässig sein kann. Computer und Handys zählen heute zu unserer «digitalen Intimsphäre», da sich dort viele private Informationen anhäufen: Fotos und Videos, Adresslisten und Kalendereinträge, Korrespondenz per Mail oder SMS, Passwörter und Notizen, Kontoverbindungen und Gesundheitsdaten.

Solche Daten gehören nach dem Schweizer Datenschutzgesetz zu den «besonders schützenswerten Personendaten». Ein Eingriff in besonders geschützte Daten verlangt nach besonders hohen Hürden, damit die Verhältnismässigkeit gewahrt bleibt.

Als Voraussetzung für einen Trojaner-Einsatz hat das deutsche Bundesverfassungsgericht in einem Urteil von 2008 die Hürden sehr hoch gelegt. Laut Verfassungsgericht dürfen Trojaner nur eingesetzt werden, «wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen». Das wäre etwa der Fall, wenn die Freiheit oder das Leben einer Person bedroht sind, also bei Delikten wie Entführung, Mord oder Terroranschlag.

BÜPF: Trojaner-Einsatz bei Diebstahl?

Das vom Parlament im März 2016 verabschiedete Bundesgesetz zur Überwachung des Post- und Fernmeldeverkehrs (BÜPF) sieht dagegen eine sehr weite Auswahl von Straftaten vor, zu deren Ahndung Trojaner eingesetzt werden dürfen: z.B. Betrug, Diebstahl, Drogenhandel, Veruntreuung – Delikte, die kein «überragend wichtiges Rechtsgut» wie das Leben oder die Staatssicherheit bedrohen.

Immerhin beschränkt das BÜPF den Zugriff des Trojaners: Er soll die Kommunikation mitlesen und mithören können, aber nicht auf Dateien zugreifen oder Kamera und Mikrofon einsetzen. Fraglich ist allerdings, ob Trojaner überhaupt so programmiert werden können, dass ihr Zugriff auf die Kommunikationsüberwachung beschränkt bleibt; IT-ExpertInnen bezweifeln dies.

NDG: Einsatz auf Vermutung?

Während die Behörden für einen Trojaner-Einsatz zur Strafverfolgung immerhin einen konkreten Verdacht auf eine Straftat brauchen, so reichen dem Geheimdienst schon vage Hinweise auf eine Gefahr. Das neue Nachrichtendienstgesetz (NDG) erlaubt dem Geheimdienst den Trojaner-Einsatz bei einer nicht überprüfbaren «konkreten Bedrohung" der Sicherheit. Zudem ist der Zugriff unbeschränkt: Der Geheimdienst darf mit Trojanern die Kommunikation überwachen, auf Dateien zugreifen sowie Kamera und Mikrofon aktivieren.

Der Trojaner-Einsatz ist zwar bewilligungspflichtig und muss durch Bundesrat und Bundesverwaltungsgericht abgesegnet werden. Aber wie hoch diese Hürde ist, wenn der Geheimdienst mit Terrorgefahr argumentiert, bleibt fraglich.

Weniger Sicherheit dank Trojanern?

Ein grundsätzliches Problem ist, dass der Gebrauch von Trojanern die Sicherheit von Computern insgesamt schwächt. Denn Trojaner sind, damit sie funktionieren können, auf Sicherheitslücken von Software angewiesen. Um diese Lücken zu finden, muss sich der Hersteller von Trojanern auf einem grauen Markt bedienen. Er kauft das Wissen um eine Sicherheitslücke und lässt sie absichtlich offen, anstatt die Programmierer der Software auf die Lücke hinzuweisen, damit sie geschlossen werden kann.

Bei der Beschaffung von Trojanern begibt sich der Staat in ein ähnliches Dilemma wie bei der Bezahlung von Lösegeld bei Entführungen. Bezahlt er Geld für Sicherheitslücken, schafft er neue Lücken anstatt sie zu schliessen. Die Behörden tragen so zu mehr Unsicherheit der Internetkommunikation bei und setzen unsere Privatsphäre weiteren Gefahren aus. Dabei wäre der Staat verpflichtet, aktiv für den Schutz unserer Privatsphäre zu sorgen.

Damit die IT-Sicherheit geschützt und die Verhältnismässigkeit beim Eingriff in die Privatsphäre gewahrt bleiben, sollte der Einsatz von Trojanern, wenn überhaupt, eng begrenzt werden auf die Verfolgung von besonders schweren Delikten, die das Leben oder die Staatsicherheit gefährden.