Polizei will per Staatstrojaner Licht ins angebliche Dunkle bringen. (Symbolbild, Collage durch uns) Pferd: CC-BY-2.0 tirch CC-BY-SA 2.0 Johnny Silvercloud

Sid Rao ist Ford-Mozilla Open Web Fellow bei European Digital Rights. Dieser Artikel erschien zunächst in englischer Sprache im zweiwöchentlichen Newsletter EDRi-gram. Übersetzung und Überarbeitung von Lennart Mühlenmeier.

Die wissenschaftlichen Dienste des Europäischen Parlaments befassen sich mit dem Thema „Rechtsrahmen für Hacking durch Strafverfolgungsbehörden: Identifizierung, Evaluation und Vergleich von Praktiken“ (pdf). Die Studie stellt grundsätzliche Vorschläge für Gesetze bei der Verwendung von Staatstrojanern durch Strafverfolgungsbehörden vor.

Eine vergleichende Prüfung der rechtlichen Rahmenbedingungen für den Einsatz von Staatstrojanern in sechs EU-Mitgliedstaaten (Frankreich, Deutschland, Italien, die Niederlande, Polen und Großbritannien) und drei Nicht-EU-Ländern (Australien, Israel und die USA) war die Grundlage für diese Studie. Diese Länder wurden ausgewählt aufgrund der Ausgereiftheit der jeweiligen nationalen Rahmenbedingungen, öffentlichen Diskussionen und national verwendeten Praktiken.

Der Hauptgrund für die Studie ist die internationale und auf EU-Ebene laufende Debatte über die Frage des angeblichen „Going Dark“. Dieser Begriff bedeutet, dass die Fähigkeiten von Strafverfolgungsbehörden beim Zugreifen und Überprüfen von Beweisen angeblich wegen Verschlüsselung abnehmen. Auch wenn dies immer wieder behauptet wird, hat die Harvard-Universität dargestellt, warum diese Sorge unbegründet ist.

Verhältnismäßigkeit und Risikofaktoren

Die Studie untersucht die auf nationaler Ebene umgesetzten rechtlichen und praktischen Schutzmaßnahmen mit den Zielen: 1. Rechtmäßigkeit, Notwendigkeit und Verhältnismäßigkeit zu garantieren, 2. Beschränkungen des Grundrechts auf Privatsphäre zu untersuchen sowie 3. die Sicherheit des Internets und 4. in geringerem Maße die Regulierung des Verkaufs von Hacking-Werkzeugen zu gewährleisten. Basierend auf diesen Zielen hebt die Studie mehrere wichtige Risikofaktoren beim Einsatz von Staatstrojanern hervor:

  • Staatstrojaner sind äußerst invasiv, vor allem im Vergleich zu traditionellen, aufdringlichen Untersuchungsinstrumenten wie Abhören und Hausdurchsuchungen. Ohne entsprechende Maßnahmen bedeutet dies ein sehr hohes Risiko für das Grundrecht auf Privatsphäre sowie die Meinungs- und Informationsfreiheit.
  • Die Verwendung von Staatstrojanern hat das Potenzial, die Sicherheit des Internets erheblich zu schwächen. Dies geschieht durch eine „Vergrößerung der Angriffsfläche für böswilligen Missbrauch“, zusammen mit möglichen Schäden weit über das beabsichtigte Ziel hinaus.
  • Angesichts der globalen Natur des Internets können Strafverfolgungsbehörden (und deren Dienstleister) den physischen Standort der ins Ziel genommenen Daten nicht erkennen. In vielen dieser Fälle können die Strafverfolgungsbehörden aus der Ferne auf Daten zugreifen, die unter die Gerichtsbarkeit eines anderen Landes fallen.

    Dies bedeutet ernsthafte Risiken für die territoriale Souveränität des anderen Landes. Die meiste Zeit verstoßen Strafverfolgungsbehörden unwissentlich gegen rechtliche Vorschriften. Dies geschieht aufgrund der verwirrenden Natur der Internetinfrastruktur und mangelnder konkreter Verfahren für die Rechtshilfe bei grenzüberschreitenden Untersuchungen.

  • In der jüngsten Vergangenheit haben viele zivilgesellschaftliche Organisationen (einschließlich EDRi-Mitgliedern) die derzeitigen Dual-Use-Exportkontrollsysteme beim Handel mit Software in Frage gestellt. Unverhältnismäßige Kontrolle von Software, die Privatsphäre schützt, gefährdet Menschenrechte.

Voraussetzungen zum Hacken

Die Studie vergleicht weiterhin drei zentrale Punkte: 1. die Gesetze für rechtliche Rahmenbedingungen, 2. deren Kontext bei der Bewertung der technischen Hacking-Methoden und 3. Grundrechtsüberlegungen. Daraus werden sowohl Vorteile als auch Risiken abgeleitet.

Einige der wichtigsten Bedingungen vor dem Einsatz beinhalten:

  • Eine richterliche Anordnung für dein Einsatz staatlicher Schadsoftware,
  • eine Beschränkung des Staatstrojaners, die sich aus der Schwere des Verbrechens ergibt. Ob Hacking erlaubt wird, ergibt sich dann durch einen Verbrechenskatalog. Zum Beispiel sollte der Staat nur hacken dürfen, wenn das untersuchte Verbrechen eine bestimmte Gefängnisdauer vorschreibt und die Einsatzdauer des Trojaners begrenzt ist.

Einige der wichtigsten Bedingungen nach dem Einsatz beinhalten:

  • Betroffene, deren Geräte gehackt wurden, müssen darüber informiert werden,
  • Berichte mit Protokoll über Staatstrojaner-Aktivitäten zur späteren Überprüfung und zur Identifizierung der verwendeten Überwachungsmechanismen.

Positiv- und Negativbeispiele

Die Studie kritisiert einige Punkte in den Hacking-Gesetzen der untersuchten Staaten. In den Justizapparaten von Frankreich, Deutschland, Italien und den Niederlanden gibt es zu wenig Wissen über diese Technik. In den Niederlanden ist nicht klar definiert, welche Geräte angegriffen werden dürfen. In Deutschland fehlen effiziente Verfahren zum Erkennen und Löschen von nicht relevanten Daten.

Die Studie unterstreicht auch einige der positiven Aspekte der Regelungen wie die Bemühungen des italienischen Gesetzentwurfs von 2017. Dort schützt eine Aufteilung der Funktionalitäten des Staatstrojaners vor einer Überbeanspruchung oder einem Missbrauch der umfangreichen Fähigkeiten. Das niederländische „Computerkriminalität“-Gesetz sieht vor, dass für jeden Einsatz von Staatstrojanern die Verhältnismäßigkeit geprüft werden muss. Es legt strenge Regeln für die Einsatz-Genehmigung und notwendiges Fachwissen der Ermittlungsbeauftragten fest.

Fazit

Auf der Grundlage der dargestellten Analyse leiten die Autoren in der Studie zwölf grundsätzliche Vorschläge und Empfehlungen ab. So sollte das Europäische Parlament die Mitgliedstaaten auffordern, bei jedem neuen Gesetz zum Einsatz von Staatstrojanern die Auswirkungen auf die Privatsphäre zu untersuchen und klare rechtliche Vorgaben zu erteilen.

Zudem sollte das Parlament Bemühungen zur Bewertung und Beaufsichtigung von gesetzlich erlaubten Staatstrojanern unterstützen. Sie sollten sich dafür einsetzen, angemessene Reaktionen zu dem Umgang mit Zero-Day-Schwachstellen zu entwickeln. Zuletzt sollte das Parlament sein Engagement für eine starke Verschlüsselung bekräftigen – unter Berücksichtigung der Grundrechte der EU-Bürger und der Internetsicherheit.

Darüber hinaus unterstreichen die grundsätzlichen Vorschläge mögliche Auswirkungen auf den Schutz der Grundrechte im Rahmen von Überwachung. Die Grundrechteagentur der EU analysiert dies als Reaktion auf die Snowden-Enthüllungen. Sie empfehlen, einen ähnlichen Bericht in Bezug auf die rechtlichen Rahmenbedingungen beim Einsatz von Staatstrojanern durch Strafverfolgungsbehörden in allen EU-Mitgliedstaaten anzufertigen.

Außerdem schlagen sie eine Zusammenarbeit von der Grundrechteagentur, der Europäischen Polizeiakademie und der Einheit für justizielle Zusammenarbeit der EU vor. So soll allen Interessenvertretern, die möglicherweise bei diesem Aspekt involviert sind, Weiterbildung ermöglicht werden.


Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

netzpolitik.org

Gastbeitrag

Studie des Europaparlaments: Staatstrojaner bergen erhebliche Risiken für das Grundrecht auf Privatsphäre


Studie des Europaparlaments: Staatstrojaner bergen erhebliche Risiken für das Grundrecht auf Privatsphäre




Print Friendly, PDF & Email