Online-Durchsuchung – Staatstrojaner in der Krise?

Für FinFisher, den Hersteller des ersten Staatstrojaners, herrschen derzeit schwierige Zeiten: Laut aktuellen Presseberichten sind drei Gesellschaften der Unternehmensgruppe insolvent. Damit nicht genug, ermitteln gegen FinFisher seit 2019 die Staatsanwaltschaft und der Zoll wegen Verstoßes gegen das Außen- und Wirtschaftsgesetz: Das Unternehmen soll die Trojaner-Software ohne die erforderliche Ausfuhrgenehmigung ausgeführt haben. FinFisher hatte eine Staatstrojaner-Suite entwickelt und an Polizeien und Geheimdienste auf der ganzen Welt vertrieben. Auch das Bundeskriminalamt gehörte zu den Kunden des Unternehmens. Weil die Behörde jedoch bereits vor einigen Jahren eine eigene Trojaner-Software programmiert hat und seit 2016 nutzt, dürfte der Untergang von FinFisher deutsche Ermittler nicht allzu stark in ihrer Arbeit einschränken.

1.   Gesetzgeberische Aktivitäten in Zeiten der Digitalisierung

Mit dem Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens (BGBl. I 2017, S. 3202) hat der Gesetzgeber im Jahr 2017 auf die zunehmende Digitalisierung und moderne Kommunikationsmöglichkeiten reagiert und hierfür im Wesentlichen zwei neue Ermittlungsmaßnahmen geschaffen: Die sog. Quellen-Telekommunikationsüberwachung (kurz: Quellen-TKÜ) und die Online-Durchsuchung.

a.   WhatsApp und Co. - der Anwendungsbereich der Quellen-TKÜ

Die meisten Menschen – auch Beschuldigte – nutzen Kommunikationsdienste wie WhatsApp oder sonstige Messenger-Dienste, die alle übertragenen Daten verschlüsseln. Damit war ein großer Teil digitaler Kommunikation dem Zugriff der Ermittlungsbehörden entzogen oder nur mit sehr großem Aufwand zu entschlüsseln. Dieses Verschlüsselungsproblem löst die Quellen-TKÜ nach § 100a Abs. 1 Satz 2,3 StPO: Eine Software, die die Ermittlungsbehörden heimlich auf dem Gerät des Betroffenen installieren, kann die laufende Kommunikation aufzeichnen und an die Ermittlungsbehörden übertragen. Auch Audiosignale an Headset oder Mikrofon können auf diese Weise abgegriffen werden.

b.   Staatliches Hacking – die Online-Durchsuchung

Während es bei der Quellen-TKÜ darum geht, auf die Kommunikation des Beschuldigten zuzugreifen, greifen Ermittlungsbehörden bei der Online-Durchsuchung nach § 100b StPO auf die gesamte Festplatte des Computers eines Beschuldigten – damit auf alle dort gespeicherten Inhalte und Dateien – zu. Der heimlich installierte Staatstrojaner ermöglicht die Übermittlung der auf der Festplatte gespeicherten Dateien und Inhalte ohne Wissen des Betroffenen an die Ermittlungsbehörden per Fernzugriff. Während Ermittlungsbehörden zwar auch im Rahmen einer offenen Durchsuchung und Beschlagnahme des Computers an die darauf abgelegten Daten gelangen können, erlaubt die Online-Durchsuchung sogar ein heimliches Vorgehen über einen längeren Zeitraum, sodass ein erheblicher Eingriff in das Grundrecht der Vertraulichkeit und Integrität informationstechnischer Systeme ermöglicht wird.

Die Ermittler dürfen jedoch nicht in die Wohnung eines Beschuldigten einbrechen, um einen Trojaner auf dem Endgerät des Betroffenen zu hinterlassen. Jeder Zugriff auf ein informationstechnisches System des Betroffenen, um die Überwachungssoftware zu installieren, darf grundsätzlich nur auf technischem Wege oder mittels kriminalistischer List erfolgen. Eine Befugnis, die Wohnung des Betroffenen zu diesem Zweck heimlich zu betreten, besteht nicht. Die Installation der Software „mittels kriminalistischer List“ wäre z.B. im Rahmen einer Gepäckkontrolle am Flughafen möglich, für die der Betroffene seinen Laptop den Beamten übergibt. Für eine Installation „auf technischem Wege“ könnten die Ermittler die Software in einem E-Mail-Anhang verstecken, die beim Öffnen unbemerkt auf dem Rechner installiert wird. Sie könnten die Software auch als Werbebanner auf einer Webseite tarnen, um einen Drive-by-Download herbeizuführen. Schon durch den Aufruf einer solchen Webseite wird die Software automatisch und unbemerkt heruntergeladen. Es wird immer neue Möglichkeiten geben, die jedoch eine Gemeinsamkeit haben: Sie nutzen Sicherheitslücken des Betriebssystems, der Firewall und Antivirensoftware oder des Browsers aus. Die Ermittler werden daher ein Interesse haben, Sicherheitslücken selbst zu finden oder dieses Wissen zu kaufen, jedenfalls die Informationen nicht mit den Herstellern und Nutzern zu teilen. Damit gewinnen aber auch Kriminelle Zeit, um diese Lücken zur Erpressung mit Ransomware oder für betrügerische Online-Überweisungen zu nutzen.

2.   Die neuen Maßnahmen in der praktischen Umsetzung

Das Bundesamt für Justiz hat Ende des Jahres 2020 die Statistik über die Überwachung der Telekommunikation für das Jahr 2019 veröffentlicht. Die Statistik weist die Anzahl der nach den §§ 100a, 100b und 100g StPO angeordneten Maßnahmen aus. Danach wurde die Quellen-TKÜ im Jahr 2019 578-mal angeordnet und 368-mal tatsächlich durchgeführt. Im Februar 2021 korrigierte das BfJ diese Statistik allerdings drastisch: Es gab lediglich 31 Anordnungen einer solchen Maßnahme, von denen 3 tatsächlich durchgeführt wurden. Die Online-Durchsuchung wurde in 20 Verfahren insgesamt 32-mal angeordnet/verlängert und in 12 Fällen tatsächlich durchgeführt.

Zumindest was die tatsächliche Umsetzung angeht, machen die Ermittlungsbehörden mithin nur zögerlich von den beiden neueren Ermittlungsmaßnahmen Gebrauch. Angesichts der mit den Maßnahmen – insbesondere der Online-Durchsuchung – verbundenen erheblichen Grundrechtseingriffen, ist das beruhigend. Ob das auch in Zukunft bei zunehmender Digitalisierung so bleiben wird, ist allerdings abzuwarten.

Diana Nadeborn Dr. Theresa Friedrich, LL.M. Markus Ende