Einmal alles, bitte

Seehofers Pläne für IT-„Sicherheit“ und Verfassungsschutz

„Man muss Gesetze kompliziert machen, dann fällt es nicht so auf“, sagte Innenminister Horst Seehofer beim „Zweiten Berliner Kongress für wehrhafte Demokratie“. Ein Satz, der seine aktuelle Politik kaum treffender zusammenfassen könnte: Wenn niemand ein Gesetz versteht, versteht auch niemand seine Tragweite. Bis jemand sich der Auswirkungen bewusst wird, ist es zu spät.

„Man muss Gesetze kompliziert machen, dann fällt es nicht so auf“, sagte Innenminister Horst Seehofer beim „Zweiten Berliner Kongress für wehrhafte Demokratie“. Ein Satz, der seine aktuelle Politik kaum treffender zusammenfassen könnte: Wenn niemand ein Gesetz versteht, versteht auch niemand seine Tragweite. Bis jemand sich der Auswirkungen bewusst wird, ist es zu spät.

Seehofer bezog sich dabei auf das zweite Datenaustauschverbesserungsgesetz, mit dem etwa die Datenspeicherungen über Asylsuchende ausgebaut werden sollen. Seine Äußerung passt jedoch auch zu den Entwürfen für das zweite IT-Sicherheitsgesetz und ein neues Verfassungsschutzgesetz.

Der Entwurf für das IT-Sicherheitsgesetz beginnt harmlos. Mehr Personal für das Bundesamt für Sicherheit in der Informationstechnik (BSI), mehr Informationen über Sicherheitsprobleme für die Öffentlichkeit — Prävention und Information. Doch das ist nur ein Teil des 90-seitigen Papiers vom März 2019. Das BSI soll außerdem die Möglichkeit bekommen, in IT-Systeme einzudringen, um ihre Sicherheit zu testen. Entdeckt es eine Schwachstelle, dürfte es sich zwar nicht auf den Systemen umsehen, aber den Telekommunikationsanbieter kontaktieren, um Nutzer_innen ausfindig zu machen und zu informieren. Dabei geht es nicht nur um Smartphones oder Computer, sondern um alle Geräte im Internet: vom Babyfon bis zur Überwachungskamera.

Schlecht abgesicherte Geräte sind ein Problem. Werden sie unbemerkt von Angreifer_innen übernommen, können diese mit ihnen beispielsweise Spam versenden, Server mit massenhaften Anfragen lahmlegen oder Schadsoftware verteilen. Wird sogenannte „Kritische Infrastruktur“ — wie Energie- oder Wasserversorgungsunternehmen — angegriffen, darf das BSI anordnen, dass die Internetanbieter ihre Netzwerkverbindung kappen oder umleiten müssen. Im nächsten Schritt kann das Bundesamt den Provider zur „Bereinigung“ von IT-Geräten verpflichten, per „Installation von lückenschließender Software (Patches) bzw. Löschung von Schadsoftware“. Das greift tief in die Geräte der Besitzer_innen ein, verletzt das Grundrecht auf die Vertraulichkeit und Integrität von IT-Systemen und öffnet die Tür für weitere Eingriffe.

Datenlöschung auf Anfrage

Wer Kommunikationsdienste anbietet, soll ans Bundeskriminalamt melden, wenn dieser Dienst zur „rechtswidrigen Weitergabe oder Veröffentlichung rechtswidrig erlangter Daten genutzt wird“ und die Veröffentlichung unterbinden. Im ersten Schritt dadurch, die betroffenen Nutzer_innen zu informieren und zum Löschen aufzufordern. Ist das erfolglos, müssten Anbieter_innen die Daten selbst löschen. Bei Diensten wie Facebook oder anderen öffentlich einsehbaren Plattformen mag das leicht sein. Schwieriger wird es bei verschlüsselten Messengern wie Signal oder Threema. Dass diese ebenso gemeint sind, steht erst in der Gesetzesbegründung.

Durch Ende-zu-Ende-Verschlüsselung soll eigentlich niemand außer den Kommunikationsteilnehmer_innen Nachrichten lesen können — auch nicht die Betreiber_innen selbst. Daher möchte der Innenminister diese zur Zwangsentschlüsselung zwingen. Mit IT-Sicherheit hat das nichts mehr zu tun, im Gegenteil. Durch Sollbruchstellen für Verschlüsselungsmethoden wird Unsicherheit geschaffen. Sie können sowohl von staatlichen Stellen als auch von nicht-staatlichen Angreifer_innen genutzt werden.

Gefährliche Darknet- Paragrafen

Ebenso wenig mit IT-Sicherheit hat der Plan zu tun, das Anbieten „internetbasierter Leistungen“ zur Ermöglichung von Straftaten unter Strafe zu stellen. Die ursprünglich im Bundesrat eingebrachte Initiative erhielt den Spitznamen „Darknet-Gesetz“. Offiziell geht es darum, Darknet-Marktplätze zu bekämpfen, auf denen illegalisierte Drogen, Waffen oder sexualisierte Missbrauchsdarstellungen von Kindern gehandelt werden. Die Marktplätze wären aber nicht als einzige betroffen. Viele Technologien können Straftaten ermöglichen, auch wenn sie primär einen anderen Zweck erfüllen. Anonymisierungsdienste wie Tor schützen Whistleblower_innen und Aktivist_innen vor Repression und ermöglichen es Menschen in autoritären Staaten, in denen der Internetverkehr gefiltert wird, Zugang zu Informationen zu bekommen. Auch hier gilt: Statt IT-Sicherheit zu stärken, werden viele Menschen grundlos ganz konkreten Gefahren ausgesetzt.

Weitere Inhalte des IT-Sicherheitsgesetzes haben nicht einmal mehr entfernt mit IT-Sicherheit zu tun. Am Ende des Entwurfs versteckt sich eine angedachte Befugniserweiterung für Ermittlungsbehörden. Sie sollen Accounts von Verdächtigten übernehmen dürfen, die mutmaßlich eine Straftat „mittels Telekommunikation“ begangen haben. Ermittler_innen könnten sich dann deren Identität aneignen und verdeckt mit anderen kommunizieren. Außerdem soll das Strafmaß für zahlreiche „Hacking-Straftaten“ wie das Ausspähen von Daten erhöht werden, von in der Regel maximal zwei auf fünf Jahre Haft. Das bedeutet auch: Die Straftaten landen im Katalog der schweren Straftaten — somit dürfen dann auch Staatstrojaner eingesetzt werden.

Staatstrojaner für VS und BND

Um Staatstrojaner drehen sich auch die Kompetenzerweiterungen im geplanten Verfassungsschutzgesetz. Was heute schon Polizeien zur Verfügung steht, sollen in Zukunft auch ganz offiziell Bundesverfassungsschutz und BND nutzen dürfen. Letzterer tut das bereits seit Jahren. Nun soll die bestehende Praxis eindeutig in ein Gesetz gegossen werden. Der für das Ausland zuständige BND soll sich auch heimlich in Geräte von „deutschen Staatsangehörigen, von inländischen juristischen Personen oder von sich im Bundesgebiet aufhaltenden Personen“ hacken dürfen.

Bei Strafverfolgungsbehörden werden bisher zwei Arten von Trojanern unterschieden: die Quellen-Telekommunikationsüberwachung und die Online-Durchsuchung. Bei ersterer darf ausschließlich laufende Kommunikation überwacht werden. Bei der Online-Durchsuchung dürfen auch weitere Inhalte angesehen werden, seien es Fotos, Sensordaten oder zurückliegende Nachrichten.

Für die deutschen Geheimdienste soll diese Trennung gar nicht erst gelten. Sie sollen „informationstechnische Systeme“ immer komplett hacken dürfen, seien es Autos, Computer, Smartphones oder andere Geräte. Der Verfassungsschutz dürfte dann nicht nur in die Geräte mutmaßlicher Gefährder_innen eindringen, sondern ebenfalls in solche, die Informationen dieser Personen verarbeiten. Wenn also eine Person im Fokus des Verfassungsschutz Daten bei einem Cloudanbieter speichert, könnte der Geheimdienst auch diesen hacken. Auch, „wenn andere Personen unvermeidlich betroffen werden“.

Die Grenze zwischen Polizei und Geheimdienst verschwimmt

Und noch etwas steckt im Verfassungsschutzgesetz: Polizeien, die Staatstrojaner einsetzen dürfen, können den BND im Sinne einer „ressourcenschonenden Zusammenarbeit“ um Hilfe bitten. Er würde dann selbst für sie Systeme hacken und ihnen die verlangten Daten weitergeben und eventuell „für eigene Zwecke weiterverarbeiten“. Der BND kann nämlich von Partnergeheimdiensten Informationen über Sicherheitslücken bekommen, die er nicht weitergeben darf. So lässt sich diese Beschränkung umgehen. Am Ende bedeutet das Polizeibefugnisse für die Geheimdienste und geheimdienstliche Werkzeuge für die Polizeien.

Weiterlesen