Online-Durchsuchungen: Wenn das BKA an die Festplatte will

Das Bundesverfassungsgericht in Karlsruhe verkündet am Mittwoch sein Urteil zur Online-Durchsuchung. Das Thema sorgte in den vergangenen Monaten für viel Aufregung in der Bevölkerung. Es gipfelte in der Vermutung, dass die Computer der Bürger jederzeit einfach so durchsucht werden könnnen. Auch wenn einige staatliche Stellen gerne einen Zugriff auf private Computer hätten, ist dies aber nicht problemlos durchzuführen. Nicht nur Grundrechte sprechen gegen ein pauschales Ausspähen, sondern technische Hürden hindern Ermittlungsbehörden am einfachen Eindringen auf heimische Festplatten.

Wenn der Staat auf die Festplatte von Verdächtigen zugreifen kann, werden Verbrechen verhindert. Doch wie soll das funktionieren? Die derzeitige rechtliche Situation ist eindeutig: Der private Wohnraum wird im Grundgesetz als unantastbar eingestuft. Lediglich in Gefahrensituationen kann ein Gericht dieses Recht zeitweilig aufheben und Durchsuchungen anordnen, damit die Polizei mögliche Beweise für ein Verbrechen sicherstellen kann. Dies gilt für den Wohnraum, wie für Telefonate und für die Festplatten der Computer. Demnach haben die Behörden bereits Möglichkeiten, an digitale Daten heranzukommen.

Doch das Bundeskriminalamt will mehr. Schon bevor Daten verschlüsselt und vor unliebsamen Blicken versteckt werden, sollen die Computer von Verdächtigen durchsucht werden können - ohne dass der Besitzer etwas davon mitbekommt. Das BKA wünscht sich online vollen Zugriff auf alle Daten. Das wollen Hacker auch, doch denen gegenüber ist das BKA im Vorteil, weil es bestehende Kommunikations-Infrastrukturen legal nutzen kann.

Dieser Zugriff auf die Rechner soll erfolgen, ohne dass ein Beamter den Wohnraum betreten muss. Eine Methode könnte die Installation eines so genannten Bundes-Trojaners sein, also einem Programm, das auf dem Rechner installiert werden muss, um so eine Hintertür für die Ermittler zu öffnen. In der Telekommunikations-Überwachungsverordnung (TKÜV) ist geregelt, mit welchen technischen Mitteln bestimmte staatliche Stellen Zugriff auf elektronische Daten erhalten können. So muss jeder größere Provider spezielle Geräte in seinem Netz installieren, mit denen ein Abhören von Telefonaten und des Datenverkehrs möglich wäre.

Mit Hilfe dieser Technik könnte das BKA auch versteckte Daten auf dem gewünschten System einschleusen, eben auch Programme wie den Bundes-Trojaner. Wahrscheinlicher ist aber, dass Beamte sich doch erst einmal unbemerkt Zugang zum Wohnraum der observierten Personen verschaffen und Computer für einen Zugriff manipulieren. Aber dies bedarf langer Planung und wichtige Fragen müssen beantwortet werden: Welchen Computer nutzt der Verdächte? Was für ein Betriebssystem? Auch muss der richtige Zeitpunkt abgepasst werden. All das dauert lange und ist teuer. Doch irgendwann besteht der Zugriff und die Online-Durchsuchung kann beginnen.

Hier beginnt ein weiteres Problem für die Ermittler: Wer soll all die ermittelten Daten auswerten? Es ist unwahrscheinlich, dass die gesamte Festplatte nach verdächtigen Dateien und Dokumenten durchsucht werden kann. So hilft es echten Terroristen schon, einfach alle Dokumente auf dem Computer verdächtig zu machen - schon könnte die Datenflut nicht mehr bearbeitet werden. Aber auch das Kopieren des gesamten Festplatteninhalts über das Internet scheidet aus, denn trotz großer Bandbreiten würde eine Übertragung von mehreren 100 Gigabyte Stunden dauern.

Es geht den Beamten also im ersten Schritt nicht um die Daten, sondern um Passwörter und um die Überwachung der Kommunikation. Erst im zweiten Schritt, bei einer Beschlagnahmung der Computer von verdächtigen Personen, werden die ermittelten Passwörter genutzt, um verschlüsselte Festplatten zu filzen.

Im Mai hat der Bundestag eine in diesem Kontext interessante Gesetzesänderung verabschiedet (Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität, neuer § 202 StGB). Bestraft werden soll insbesondere das Herstellen, Programmieren, Überlassen, Verbreiten oder Verschaffen von Hacker-Software. Mit Programmen dieser Art wird nicht nur in fremde Systeme eingedrungen, viele Netzadministratoren prüfen so auch die Sicherheit des eigenen Systems.

Durch das neue Gesetz können die Lücken im Schutz schwieriger aufgedeckt werden - wodurch das BKA wiederum mehr Möglichkeiten hätten, diese für sich zu Nutzen. Andy Müller-Maguhn, Sprecher des Chaos Computer Club (CCC), sagt: "Das Verbot des Besitzes von Computersicherheitswerkzeugen öffnet auch dem Einsatz des Bundestrojaners Tür und Tor. Industrie und Bürgern wird systematisch die Möglichkeit genommen, ihre Systeme adäquat auf Sicherheit zu überprüfen."

Mit dieser Entscheidung wurde also ein Interessenkonflikt mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) provoziert. Das BSI versucht seit Jahren durch Informationen und umfangreiche Aktionen für einen sicheren IT-Standort Deutschland zu werben. Doch wie soll internationalen Unternehmen diese Sicherheit glaubhaft gemacht werden, wenn deren Systemadministratoren nicht einmal die eigenen Netzwerke mit speziellen Tools auf Schlupflöcher für Eindringlinge abklopfen können? Und wer nimmt ihnen die Angst, dass die Trojaner nicht zur Industriespionage genutzt werden? Ist ein Bundes-Trojaner installiert, ist damit möglicherweise auch gleichzeitig für andere ungebetene Gäste die Hintertür geöffnet. Auch die Überwachung der Kommunikation von Verdächtigen ist problematisch, da im Schnitt acht weitere Personen davon betroffen sind.

Es ist allerdings schwer vorstellbar, dass mutmaßliche Terroristen so leichtsinnig private Computer oder Firmenrechner für ihre Kommunikation nutzen. Sie würden wohl kaum über einen deutschen Provider ins Netz gehen und offen und unverschlüsselt über geplante Anschläge plaudern. Und selbst mit einfachen Methoden ließe sich verhindern, dass ein Zugriff auf den Rechner funktioniert. Die einfachste davon ist, den Rechner vom Netz zu nehmen. Zwar ist kein System wirklich sicher, Profis können sich aber ganz gut abschirmen. Auch ist der Zugriff auf Mac- und Linux-Rechner komplizierter als auf Windowsrechner.

Das BKA hat ein weiteres Problem: Trojaner sind nicht perfekt und könnten entdeckt werden. Mit viel Kapital hat das BKA aus diesem Grund Programmierer gesucht, auch in der Hacker-Szene. Hinzu kommt: Der Einsatz eines Bundes-Trojaners ist teuer: Auf etwa 200.000 Euro schätzt Constanze Kurz, Informatikerin an der Humboldt-Universität und Sprecherin des CCC, die Kosten für einen Einsatz. Daher ist es unwahrscheinlich, dass diese Maßnahmen wegen einfacher Delikte durchgeführt werden sondern sich eher auf staatsfeindliche Verdächtige beschränken.

Dennoch werden Online-Durchsuchungen wohl kein Einzelfall bleiben. Schon jetzt werden an deutschen Gerichten täglich durchschnittlich rund 600 Anträge gestellt, Verdächtige einer schweren Straftat zu überwachen.