Standpunkt zu Staatstrojanern: Die digitale Intimsphäre schützen

Nr. 18 –

Zwei neue Überwachungsgesetze sollen den Einsatz von Staatstrojanern erlauben. Das wirft Fragen zur Verhältnismässigkeit und zur Sicherheit auf.

Ein Staatstrojaner, auch Govware oder Spyware genannt, ist eine Software, mit der Behörden verdeckt in Computer oder Mobiltelefone eindringen und verschiedene Überwachungsfunktionen ausführen können: Trojaner ermöglichen die Überwachung der elektronischen Kommunikation, den Zugriff auf die Dateien sowie die ferngesteuerte Aktivierung von Kamera und Mikrofon zur Raumüberwachung.

Sowohl die Strafverfolgungsbehörden als auch der Nachrichtendienst des Bundes fordern eine gesetzliche Zulassung von Trojanern, damit sie auch Kommunikation wie Skype-Gespräche oder Whatsapp-Nachrichten, die standardmässig verschlüsselt sind, überwachen können.

Der Zugriff von Behörden auf einen Computer oder ein Mobiltelefon ist eine schwere Verletzung der grundrechtlich garantierten Privatsphäre, die nur unter eng gefassten Bedingungen rechtmässig sein kann. Computer und Handys zählen heute zu unserer «digitalen Intimsphäre», da sich dort viele private Informationen anhäufen: Fotos und Videos, Adresslisten und Kalendereinträge, Korrespondenz per E-Mail oder SMS, Passwörter und Notizen, Kontoverbindungen und Gesundheitsdaten.

Solche Daten gehören nach dem Schweizer Datenschutzgesetz zu den «besonders schützenswerten Personendaten». Ein Eingriff in besonders geschützte Daten verlangt nach besonders hohen Hürden, damit die Verhältnismässigkeit gewahrt bleibt.

Büpf: Trojaner-Einsatz bei Diebstahl?

Als Voraussetzung für einen Trojaner-Einsatz hat das deutsche Bundesverfassungsgericht in einem Urteil von 2008 die Hürden sehr hoch gelegt. Laut Verfassungsgericht dürfen Trojaner nur eingesetzt werden, «wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen». Das wäre etwa der Fall, wenn die Freiheit oder das Leben einer Person bedroht sind, also bei Delikten wie Entführung, Mord oder einem Terroranschlag.

Das vom Schweizer Parlament im März 2016 verabschiedete Bundesgesetz zur Überwachung des Post- und Fernmeldeverkehrs (Büpf) sieht dagegen eine sehr breite Auswahl von Straftaten vor, zu deren Ahndung Trojaner eingesetzt werden dürfen: zum Beispiel Betrug, Diebstahl, Drogenhandel, Veruntreuung – keineswegs schwere Verbrechen, die das Leben oder die Staatssicherheit bedrohen.

Immerhin beschränkt das Büpf den Zugriff des Trojaners: Er soll die Kommunikation mitlesen und mithören, aber nicht auf Dateien zugreifen oder Kamera und Mikrofon des ausgeforschten Computers einsetzen können. Fraglich ist allerdings, ob Trojaner überhaupt so programmiert werden können, dass ihr Zugriff auf die Kommunikationsüberwachung beschränkt bleibt; IT-ExpertInnen bezweifeln das.

Weniger Sicherheit mit Trojanern?

Während die Behörden für einen Trojaner-Einsatz zur Strafverfolgung immerhin einen konkreten Verdacht auf eine Straftat brauchen, so genügen dem Geheimdienst schon vage Hinweise auf eine Gefahr. Das neue Nachrichtendienstgesetz (NDG) erlaubt dem Geheimdienst den Einsatz von Trojanern bei einer nicht überprüfbaren «konkreten Bedrohung» der Sicherheit. Zudem ist der Zugriff unbeschränkt: Der Geheimdienst darf mit Trojanern die Kommunikation überwachen, auf Dateien zugreifen sowie Kamera und Mikrofon aktivieren.

Der Trojaner-Einsatz ist zwar bewilligungspflichtig und muss durch Bundesrat und Bundesverwaltungsgericht abgesegnet werden. Aber wie hoch diese Hürde ist, wenn der Geheimdienst mit Terrorgefahr argumentiert, bleibt fraglich.

Ein grundsätzliches Problem ist, dass der Gebrauch von Trojanern die Sicherheit von Computern insgesamt schwächt. Denn Trojaner sind, damit sie funktionieren können, auf Sicherheitslücken von Software angewiesen. Um diese Lücken zu finden, muss sich der Hersteller von Trojanern auf einem grauen Markt bedienen. Er kauft das Wissen um eine Sicherheitslücke und lässt sie absichtlich offen, anstatt die Programmierer der Software auf die Lücke hinzuweisen, damit sie geschlossen werden kann.

Bei der Beschaffung von Trojanern begibt sich der Staat in ein ähnliches Dilemma wie bei der Bezahlung von Lösegeld bei Entführungen. Bezahlt er Geld für Sicherheitslücken, schafft er neue Lücken, anstatt sie zu schliessen. Die Behörden tragen so zu mehr Unsicherheit der Internetkommunikation bei und setzen unsere Privatsphäre weiteren Gefahren aus. Dabei wäre der Staat verpflichtet, aktiv für den Schutz unserer Privatsphäre zu sorgen.

Damit die IT-Sicherheit geschützt und die Verhältnismässigkeit beim Eingriff in die Privatsphäre gewahrt bleibt, sollte der Einsatz von Trojanern, wenn überhaupt, eng begrenzt werden auf die Verfolgung besonders schwerer Delikte, die das Leben oder die Staatssicherheit gefährden.

Patrick Walder ist Kampagnenkoordinator bei Amnesty International Schweiz.