Überwachung : Der Staat skypt mit

Nr. 11 -

Der Bundesrat will Lücken in der Überwachung schliessen: Kommunikationsdaten sollen ein Jahr lang auf Vorrat gespeichert, Verschlüsselungen durch einen Staatstrojaner ausgehebelt werden.

Ein ungelöstes Problem: Wie dringen die StrafverfolgerInnen legal in private Comupter ein?

Gleich zweimal stellte der Bundesrat in den vergangenen Wochen neue und weitergehende Überwachungsmassnahmen im Bereich der Telekommunikation vor. Letzten Freitag gab Verteidigungsminister Ueli Maurer einen Entwurf des neuen Nachrichtendienstgesetzes in die Vernehmlassung, der den StaatsschützerInnen wesentlich mehr Kompetenzen als heute geben will (vgl. «Volles Programm für den Staatsschutz» im Anschluss an diesen Text).

Kaum für Aufmerksamkeit sorgte hingegen der Auftritt von Bundesrätin Simonetta Sommaruga eine Woche zuvor. Bereits Ende Februar präsentierte die Justizministerin die Botschaft zum revidierten «Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs» (Büpf).

Wer hat mit wem telefoniert?

Das neue Bundesgesetz folgt im Wesentlichen den Wünschen der Strafverfolgungsbehörden und stattet diese mit einer Reihe von neuen Möglichkeiten aus.

So soll die in anderen europäischen Ländern umstrittene Speicherung von Randdaten auf Vorrat, also zum Beispiel wer wo, wann, mit wem, wie lange telefonierte, von sechs auf zwölf Monate ausgedehnt werden. Ausserdem will der Bundesrat den Strafverfolgungsbehörden den Einsatz von «Staatstrojanern», also von Software zum heimlichen Ausforschen von Computern, erlauben: Eine neue Bestimmung in der Strafprozessordnung trägt die unscheinbare Überschrift «Einsatz von besonderen Informatikprogrammen zur Überwachung des Fernmeldeverkehrs». Die Staatsanwaltschaft soll unter bestimmten Voraussetzungen das «Einschleusen» solcher Programme auf den Computer oder das Smartphone eines Verdächtigen anordnen können, um die von diesen Geräten aus geführte Kommunikation «in unverschlüsselter Form abzufangen und auszuleiten».

Das neue Instrument – so scheint es – soll nur zurückhaltend zum Einsatz kommen: Ein Zwangsmassnahmengericht soll den Einsatz genehmigen müssen. Die Überwachung darf nicht zu präventiven Zwecken, sondern nur zur Strafverfolgung erfolgen. Der Katalog der Delikte, für den diese neue Methode zugelassen sein soll, ist weniger umfangreich als bei der herkömmlichen Telefonüberwachung. Man orientiert sich an der Liste von Straftatbeständen, die bei der verdeckten Ermittlung gilt. Aber die ist nicht sehr viel kürzer. Sie umfasst beispielsweise auch grössere Sachbeschädigungen, den Schleppereiartikel des Ausländergesetzes und natürlich die «qualifizierten» Verstösse gegen das Betäubungsmittelgesetz, mit denen die meisten Telefonüberwachungen gerechtfertigt werden. Von einer wirklichen Einschränkung kann nicht die Rede sein.

Der Bundesrat vermeidet dabei den Begriff «Trojaner». Bei den «besonderen Informatikprogrammen» handle es sich um «Government Software», kurz «Govware», schreibt er in seiner Botschaft. Und diese Govware werde im Unterschied zu Trojanern nicht zu kriminellen, sondern zu «rechtmässigen» Zwecken, nämlich zur Kriminalitätsbekämpfung eingesetzt.

Eine Lücke in der Überwachung

Eine Kommunikation, die nicht überwacht werden kann, darf es nicht geben. Das ist das Leitmotiv der neuen Regelung. Lücken bei der Überwachbarkeit ortet die Landesregierung derzeit insbesondere bei der Internettelefonie. Anders als Gespräche mit dem Handy oder dem Festnetztelefon kann die nämlich nicht beim Provider abgefangen werden. Denn die Kommunikation beispielsweise via Skype erfolgt «end-to-end-verschlüsselt», das heisst, ein Anruf wird bereits vor dem Versand auf dem Computer des Anrufenden verschlüsselt und erst nach Ankunft auf dem Gerät der Empfängerin oder des Empfängers wieder in Töne oder Bilder übersetzt.

Ähnliche Probleme haben die StrafverfolgerInnen, wenn die Zielpersonen ihre E-Mails mit Programmen wie PGP (Pretty Good Privacy) verschlüsseln. In beiden Fällen wird nur ein unverständlicher Zeichensalat verschickt, eine Überwachung der Kommunikation ist nur vor der Verschlüsselung möglich. Genau deshalb müssten die Staatstrojaner auf die Computer der Verdächtigen «eingeschleust» werden, sagt der Bundesrat.

Dafür muss aber so weit in das System des Computers eingedrungen werden, dass auch lokal gespeicherte Daten durchsucht werden könnten. «Die Onlinedurchsuchung», beteuert der Bundesrat allerdings, «soll klar verboten sein.» Gewonnene Daten, die nicht von der Anordnung des Staatsanwalts gedeckt seien und sich auf mehr als die blosse Kommunikationsüberwachung beziehen, sollen sofort vernichtet werden. Sie dürften auch nicht als Beweismittel vor Gericht verwendet werden.

Einsätze von Staatstrojanern gab es bereits bisher – wenn auch sehr selten. Im Oktober 2011 bestätigte die Bundeskriminalpolizei, dass sie in vier Fällen auf dieses Mittel zurückgegriffen hatte. In mindestens drei Kantonen – Zürich, Waadt und Freiburg – gab es weitere Fälle. Man stützte sich dabei auf eine rechtliche Krücke, nämlich die noch von Ende der siebziger Jahre stammende Bestimmung über den Einsatz «technischer Mittel» zur Überwachung von Wohnungen. Gemeint waren damit in erster Linie Wanzen und Videokameras. Das Internet und alles, was damit zusammenhängt, war noch nicht gebräuchlich. Obwohl der alte Wanzenartikel nicht recht passte, haben die Gerichte die Schnüffelaktionen der StrafverfolgerInnen abgesegnet. Mit dem neuen Artikel, so verspricht der Bundesrat, werde nun eine «zeitgemässe und klare Rechtsgrundlage» geschaffen, die Missbräuche verhindert.

Wie kommt der Trojaner ans Ziel?

Spätestens wenn man sich die praktische Seite dieser Onlineüberwachung vor Augen führt, wird deutlich, dass der Bundesrat damit ein ganzes Paket von Zwangsmassnahmen auftischt. Zunächst stellt sich nämlich die Frage, wie der zum Instrument der Kriminalitätsbekämpfung mutierte Trojaner auf die Computer der Zielperson kommen soll. Dafür gibt es grundsätzlich zwei Möglichkeiten: Entweder er wird dem oder der Betroffenen online untergejubelt, beispielsweise versteckt in einer E-Mail. Die ErmittlerInnen laufen dabei aber Gefahr, dass ein Antivirenprogramm die gefährliche Software erkennt und blockiert oder dass die beschuldigte Person die verseuchte Post erst gar nicht öffnet.

Die andere Version ist drastischer: Die Govware wird unmittelbar physisch auf das Gerät aufgeladen – zum Beispiel mithilfe eines USB-Sticks. Das setzt jedoch voraus, dass die Polizei auf irgendeine Weise Zugang zum Computer erhält, und bedeutet im schlimmsten Fall, dass sie in die Wohnung des oder der Betroffenen einbricht.

Die Grenze zur Onlinedurchsuchung

Und nicht nur das. Die Govware muss auf die Gewohnheiten der jeweiligen Zielperson zugeschnitten werden, damit sie nicht auffällt. In Deutschland erstellte der Bundesdatenschutzbeauftragte im Januar 2012 einen Bericht für den Innenausschuss des Bundestags. Darin kam er zum Schluss, dass das Bundeskriminalamt zuerst eine herkömmliche Fernmeldeüberwachung vollziehen müsse und «umfangreiche Vorermittlungen» erforderlich seien. Praktisch heisst das, dass vor dem Trojanereinsatz nicht nur das Kommunikationsverhalten, sondern das gesamte Umfeld der Betroffenen ausgeforscht werden müsste.

Mit seinem Bericht hatte der Datenschutzbeauftragte auf eine Veröffentlichung des deutschen Chaos Computer Clubs (CCC) reagiert. Der kritische Hackerverein hatte einen Trojaner der Firma Digi Task unter die Lupe genommen, der vom Bundeskriminalamt und den Polizeien diverser deutscher Bundesländer verwendet wurde – angeblich nur zur Überwachung der verschlüsselten Computerkommunikation.

Auch Schweizer Behörden wurden in der Vergangenheit von Digi Task beliefert. Der CCC zeigte in seiner Untersuchung, dass die Grenze zur unerlaubten Onlinedurchsuchung fliessend sei. Dass es in der Schweiz beim Einsatz von Govware anders als in Deutschland gelingen sollte, scharf zwischen unerlaubter Onlinedurchsuchung und der künftig zugelassenen Kommunikationsüberwachung zu unterscheiden, dürfte wohl eine Illusion bleiben.