Der Einsatz der Trojaner soll künftig nicht mehr nur zur unmittelbaren Gefahrenabwehr von Leib und Leben erlaubt sein, sondern auch bei sogenannten schweren Straftaten. Neben Mord und Totschlag kann der Bundestrojaner dann auch bei Betrugs- und Computerbetrugsdelikten eingesetzt werden.
In der öffentlichen Diskussion wird dabei meist auf den verschlüsselten Messenger WhatsApp verwiesen, den man anders nicht abhören könne. Denn anders als Telefon und SMS verfügen diese Dienste nicht über eine standardisierte Überwachungsschnittstelle.
Bei der Verfolgung von Straftaten, bei denen das Abhören von Telefon und SMS erlaubt ist und auch praktiziert wird, kommen Ermittler an die Nachrichten von WhatsApp und anderen Messengern derzeit nicht heran. Denn WhatsApp setzt seit dem vergangenen Jahr eine sogenannte Ende-zu-Ende-Verschlüsselung ein. Nicht einmal Facebook – der Betreiber des Dienstes – kann lesen, was in versendeten Nachrichten steht. Dasselbe gilt auch für andere verschlüsselte Messenger, wie etwa Signal oder Wire.
Kann der Trojaner gezügelt werden?
Doch um Zugriff auf die verschlüsselten WhatsApp-Nachrichten zu bekommen, will der Bundestag die Behörden jetzt in die Lage versetzen, die Handys der Nutzer faktisch zu hacken, um die Nachrichten vor dem Senden oder nach dem Empfang unverschlüsselt auszulesen.
In der Fachsprache wird das als Quellen-Telekommunikationsüberwachung (Q-TKÜ) bezeichnet. Ist das Smartphone aber einmal so infiziert, können die Behörden im Prinzip auf alle auf dem Telefon gespeicherten Informationen zugreifen. Auch private Notizen oder Bilder der Nutzer könnten so an die Behörden übertragen werden.
Nach dem Willen der Koalition soll sich der Einsatz des Trojaners aber auf die Messenger beschränken, die eigentlich allmächtige Software soll daher „kastriert“ werden, um weniger mächtig zu sein.
Ob das gelingt, ist fraglich. Bei einer Analyse des ersten Staatstrojaners durch den Chaos Computer Club vor einigen Jahren hatten die Experten zahlreiche zum Teil dilettantische Fehler gefunden, die einen deutlich größeren Zugriff zuließen, als eigentlich angekündigt. Eine unabhängige Kontrolle der wirklichen Funktionen des Trojaners ist zudem gar nicht vorgesehen.
Der Beschluss macht das Internet unsicher
Experten warnen, dass durch diese spezielle Form der Überwachung zwar möglicherweise nützliche Informationen für die Strafverfolgung gewonnen werden können, aber die Internetsicherheit insgesamt beschädigt würde.
Denn um die Smartphones zu hacken, brauchen staatliche Stellen das Wissen um Sicherheitslücken in den Geräten. Dabei gibt es zwei Arten von Sicherheitslücken: Solche, die mit der aktuellsten Betriebssystem-Version eigentlich geschlossen wurden und solche, die noch nicht öffentlich bekannt sind.
Wenn staatliche Stellen diese noch unbekannten Sicherheitslücken finden oder ankaufen, ohne sie an den Hersteller weiterzugeben, damit dieser die Lücke mit einem Update schließen kann, würden alle Nutzer für dieses Problem verwundbar bleiben, so die Experten.
Aus diesem Grund stellt sich auch die IT-Wirtschaft gegen das Gesetz. Der Vorstand des Verbandes der Internetwirtschaft Eco, Norbert Pohlmann, sagte: „Ähnlich wie schon bei der Vorratsdatenspeicherung haben wir es auch hier wieder mit einem nicht in allen Konsequenzen zu Ende gedachten Gesetz zu tun. Wir wollen als Gesellschaft den Digitalisierungsprozess vorantreiben, um die Zukunft erfolgreich zu gestalten. Dazu muss der Staat Rahmenbedingungen schaffen, die für eine angemessene IT-Sicherheit und ein angemessenes Vertrauen in das Internet sorgen.“ Durch den massiven Einsatz von Trojanern würde aber genau das Gegenteil erreicht.
Besser als die Hintertür
Eine andere, immer wieder diskutierte, alternative Möglichkeit, um auf verschlüsselte Kommunikation zuzugreifen, wäre eine sogenannte Hintertür – also eine gezielt eingebauten Schwachstelle in einem Programm oder in den Verschlüsselungsalgorithmen selbst. Sowohl Großbritannien als auch Australien haben angekündigt, diesen Weg einzuschlagen.
Praktisch alle Experten und die EU sind hingegen geschlossen gegen diesen gefährlichen Ansatz. Denn dies würde die Gefahr für erfolgreiche Angriffe auf die Privatsphäre der Nutzer durch kriminelle Hacker noch weiter erhöhen, als die Trojaner auf den Rechnern der Nutzer. Außerdem müsste eine solche Hintertür von jedem Anbieter selbst eingeführt werden. Hintertüren will auch Innenminister Thomas de Maiziére nach eigenen Angaben nicht – er will Deutschland nach eigenen Angaben „zum Verschlüsselungstandort Nummer eins weltweit“ machen.