Das Bundesverfassungsgericht hat in einem Urteil ein Grundrecht auf Integrität und Vertraulichkeit informationstechnischer Systeme bestätigt. Sehen Sie dieses Recht durch den Bundestrojaner gefährdet?
Absolut! Das „Grundrecht auf digitale Intimsphäre“, wie der Chaos Computer Club es einmal bezeichnete, ist eine wichtige Errungenschaft. Denn Computer sind in Bezug auf Menschenwürde und Entfaltung der Persönlichkeit inzwischen ein elementarer Lebensraum, in dem der Staat im Normalfall nichts zu suchen hat. Durch die Entwicklung von Staatstrojanern wird der Manipulation und Infiltration der privaten Kommunikation Tür und Tor geöffnet. Auch ein staatlicher Trojaner ist auf Sicherheitslücken angewiesen und nutzt diese gezielt aus. Gleichzeitig ist das BKA im Verbund mit dem Bundesamt für Sicherheit in der Informationstechnik aber damit beauftragt, solche Sicherheitslücken im Interesse der Bürgerinnen und Bürger zu schließen. Hier entstehen klare Zielkonflikte. Es ist politisch unverantwortlich, die Sicherheitsbehörden solchen Konflikten auszusetzen.
Der jetzt freigegebene Bundestrojaner soll Kommunikationsvorgänge überwachen, nicht aber weitere Daten ausspähen. Wie lässt sich sicherstellen, dass der Bundestrojaner sich auf diese sogenannte Quellen-TKÜ beschränkt?
Das Bundesverfassungsgericht hat festgelegt, dass der Staatstrojaner wenn überhaupt nur auf „laufende Kommunikation" wie z. B. Skype-Telefonate oder Whatsapp-Chats zugreifen darf. Solange der Code der Software aber nicht offengelegt wird, kann überhaupt nicht überprüft werden, ob der Bundestrojaner nicht doch mehr kann als das. Das BKA müsste in jedem Fall vor einem Einsatz den Quellcode einer unabhängigen bürgerrechtlichen Überprüfung durch die Bundesdatenschutzbeauftragte und andere Experten unterziehen lassen. Der Chaos Computer Club hält jedenfalls eine prinzipielle Unterscheidung zwischen einem Trojaner, der nur Kommunikation ausleiten soll und einem, der generell auch zum Beispiel zur Raumüberwachung geeignet ist, für unmöglich. Außerdem hat die Bundesdatenschutzbeauftragte bereits klargestellt, dass der Einsatz aufgrund einer fehlenden Rechtsgrundlage illegal wäre.
Kritiker bezweifeln, dass sich mit dem freigegebenen Bundestrojaner effizient Verbrechen verhindern oder aufklären lassen. Wie sehen Sie das?
Dies sehe ich genauso. Denn wenn das BKA die Anforderungen des Bundesverfassungsgerichts ernst nimmt, dürfte der Trojaner erst bei großer Gefahr eingesetzt werden. Die technischen Voraussetzungen lassen aber einen kurzfristigen Einsatz gar nicht zu – und bei unmittelbar bevorstehender Gefahr für Leib und Leben kann das BKA von seinen Befugnissen zu Durchsuchungen und Beschlagnahmen Gebrauch machen. Der Trojaner ist also entweder überflüssig oder er wird außerhalb des rechtlich Zulässigen eingesetzt. Mal ganz davon abgesehen, dass die Annahme, Terroristen würden ihre Kommunikation über ungesicherte und am Netz hängende Computer abwickeln, ziemlich naiv ist. DIE LINKE hält deshalb an ihrer Forderung fest, auf solche fragwürdigen Eingriffe in die Privatsphäre der Bürger zu verzichten.
Nach Medienberichten hat das BKA die Software entwickelt, aber zusätzlich noch ein kommerzielles Produkt erworben. Wie bewerten Sie das?
Ganz offensichtlich ist es dem BKA trotz jahrelanger Versuche und immensem Mitteleinsatz immer noch nicht gelungen die eigenen Kapazitäten bei der Erstellung von Schadsoftware auf das gewünschte Niveau auszubauen. Das ist peinlich, aber kein Grund dafür seit vielen Jahren mit so umstrittenen Firmen wie Elaman/Gamma International zusammenzuarbeiten, die auch Regime wie Saudi-Arabien, Bahrain, Äthiopien und Turkmenistan mit ihrer Software unterstützen. Doch als wäre dies nicht schon skandalös genug, mischt das BKA nun neben BND und Verfassungsschutz offenbar auch noch auf dem Schwarzmarkt für sogenannte Zero-Day-Exploits, also unveröffentlichte und nicht geschlossene Sicherheitslücken in Software, mit, um diese zum Angriff auf Computersysteme zu benutzen. Dies ist aus meiner Sicht grundsätzlich technisch und rechtlich problematisch. Der Staat hat die Aufgabe, die Bürger zu schützen und muss sich darum bemühen, Sicherheitslücken umgehend zu schließen. Wer aber gezielt Verschlüsselungsstandards unterwandert und Softwareschwachstellen ausnutzt und deshalb gegenüber NutzerInnen verschweigt, macht sich zur Gefahr für die IT-Sicherheit und zum unkontrollierbaren Risiko für sämtliche Nutzer des Netzes.
