25.10.2020
Diese soll es Verfassungsschutz und den Geheimdiensten MAD und BND erlauben, Trojaner zu Überwachung von Verdächtigen einsetzen. Hierzu sollen auch Netzbetreiber verpflichtet werden, die Verbreitung von Schadsoftware bei der Zielperson zu unterstützen.
Dies ist auf mehreren Ebenen problematisch. Bisher steht der Staatstrojaner bereits der Polizei zur Verfügung. Hier ist der Einsatz aber an eine richterliche Anordnung gebunden. Eine solche Kontrolle gibt es bei dem Einsatz durch Geheimdienste nicht. Bereits im Januar 2020 hat das Bundesverfassungsgericht eine bessere Kontrolle der Geheimdienste gefordert. Geschehen ist bisher nichts.
Bereits durch den Einsatz von Schadsoftware durch die Polizei ergibt sich das Problem, dass Sicherheitslücken ausgenutzt werden. Diese dem Staat bekannten Sicherheitslücken werden nicht gemeldet und geschlossen, um diese weiter nutzen zu können. Dadurch können die Sicherheitslücken auch unbemerkt durch Kriminelle ausgenutzt werden. Welcher Schaden dadurch entstehen kann, wird durch den Erpressungstrojaner Wannacry 2017 deutlich, der eine solche Lücke ausnutzte. Diese heißt nicht umsonst “Eternal Blue”, denn die CIA hielt diese über fünf Jahre geheim.1
Der Flurschaden durch die Gesetzesnovelle ist deutlich größer. Wenn der Netzanbieter helfen soll, den Trojaner auf Geräte von Zielpersonen zu bringen, untergräbt dies das Vertrauen in die Infrastruktur. Bisher kann ich, zumindest in Deutschland, darauf vertrauen, dass ein Update für mein Betriebssystem oder für meinen Browser auch das ist, was ich vom Hersteller bekommen sollte. Wenn der Netzbetreiber dabei helfen soll Schadsoftware zu verteilen, muss er dafür auch einen Teil der benutzen Verschlüsselung aushebeln und das kryptographische Zertifikat fälschen, dass eigentlich die sichere Kommunikation mit dem Server sicherstellen soll. Das gefälschte Zertifikat behauptet zwar von Google zu sein, gehört dann aber zu einem Server eines Geheimdienstes. Das Problem dabei ist, dass dies das System aushebelt, auf dem die vertrauenswürdige Kommunikation im Internet basiert. Sei es Online-Banking, das Update des Betriebssystems oder die Kommunikation über Email. In jedem Betriebssystem ist eine Liste von vertrauenswürdigen Zertifizierungsstellen hinterlegt. Den Zertifizierungsstellen, die unter der Kontrolle der Regierung stehen, zum Beispiel die der Telekom, kann man dann nicht mehr vertrauen, denn sie können für die zurzeit unkontrollierte Überwachung durch Geheimdienste genutzt werden.
Ein solcher Eingriff in die Vertrauenswürdigkeit des Internets steht in keinem Verhältnis zu dem gewünschten Nutzen. Bisher konnte nicht dargelegt werden, warum eine solche Überwachung notwendig ist. Das ist schließlich geheim. Solche Methoden haben keinen Platz in einem Rechtsstaat. Das Internet ist das Rückgrat unserer Wirtschaft und ein nicht weg zu denkender Teil des öffentlichen Lebens. Es ist daher essentiell, dass wir unseren Kommunikationsanbietern vertrauen können. Die Internetanbieter dürfen nicht für die unkontrollierte Überwachung durch Geheimdienste instrumentalisiert werden.