Ermittlungen im Internet Ampelkoalition steuert auf Konflikt zu
Vorratsdatenspeicherung und staatliches Hacking: Innenministerin Faeser will den Sicherheitsbehörden mehr Befugnisse und Werkzeuge geben. Auf Grüne und FDP wird dabei kaum Rücksicht genommen.
Schon in wenigen Tagen könnte es zum nächsten Streit innerhalb der Ampelkoalition kommen: Diesmal geht es nicht um Waffenlieferungen oder das Infektionsschutzgesetz, sondern um die Bekämpfung von Kriminalität im digitalen Zeitalter. Sollen Telekommunikationsanbieter verpflichtet werden, Kundendaten ohne konkreten Anlass zu speichern, damit Strafverfolgungsbehörden Tatverdächtige später bei Ermittlungen leichter identifizieren können? Es geht um die sogenannte Vorratsdatenspeicherung (VDS).
Faeser will Mindestspeicherfrist
Bundesinnenministerin Nancy Faeser (SPD) will die Mindestspeicherfrist wieder einführen. Sie liegt seit 2017 aufgrund einer Entscheidung des Bundesverfassungsgerichts auf Eis. Gerade für eine effektivere Bekämpfung von Missbrauchsdarstellungen von Kindern oder der Hasskriminalität sei eine solche Regelung aber dringend notwendig, heißt es im Bundesinnenministerium. Vielfach seien Tatverdächtige nicht mehr zu ermitteln, weil deren IP-Adressen - quasi die individuelle Hausnummer im Internet - inzwischen gelöscht seien.
Am 20. September nun will der Europäische Gerichtshof (EuGH) seine Entscheidung zur Vorratsdatenspeicherung verkünden. Anschließend will die Regierung eine neue, grundgesetzkonforme Regelung erarbeiten. Und genau dabei steuert die Koalition schnurstracks auf einen Streit zu: Denn Faesers Idee einer anlasslosen Speicherung von Daten wird von FDP und Grünen in weiten Teilen strikt abgelehnt.
Bundesjustizminister Marco Buschmann (FDP) will nur einen sogenannten Quick Freeze zulassen. Dabei werden Internetprovider erst bei einem konkreten Anfangsverdacht aufgefordert, die Daten von einzelnen Verdächtigen für einen bestimmten Zeitraum zu speichern. Dieses Verfahren soll zudem nur bei Hinweisen auf schwere Straftaten möglich sein. Es handelt sich damit klare Absage an die Pläne der Innenministerin.
In der Ampel brodelt es. Die Vorratsdatenspeicherung ist nach Informationen von WDR und NDR nur einer von mehreren Streitpunkten, wenn es um die Arbeit von Sicherheitsbehörden in der digitalen Welt geht. Es geht auch um staatliches Hacking. Faeser wünscht sich mehr Befugnisse für die Sicherheitsbehörden, Grüne und FDP hingegen verlangen mehr Kontrolle und klare gesetzliche Rahmenbedingungen. Dazu habe Faesers Haus aber bislang wenig konkrete Vorschläge vorgelegt, heißt es aus Koalitionskreisen. Manches Vorhaben sei außerdem nicht mit dem Koalitionsvertrag vereinbar.
"Hackback" oder "aktive Abwehr"?
Einmal eskalierte der Streit bereits: Die Zentrale Stelle für die Informationstechnik im Sicherheitsbereich (ZITiS) soll Werkzeuge wie "Trojaner" für die Sicherheitsbehörden entwickeln oder einkaufen. Bisher aber agiert ZITiS ohne eigenes Gesetz. Grüne und FDP setzten daher bei den Haushaltsverhandlungen einen Sperrvermerk gegen die SPD durch: Neues Geld für die "Hackerbehörde" fließt nur, wenn ein Gesetzesvorschlag vorliegt. Dieser soll tatsächlich schon bald kommen, heißt es aus Koalitionskreisen.
Umstritten ist zudem die Frage, ob der Staat bei einem Cyberangriff aktiv zurückschlagen soll. "Hackback" werden solche Gegenmaßnahmen auch genannt - die es laut Koalitionsvertrag nicht geben soll. Die Innenministerin benutzt dieses Wort öffentlich auch nicht, sie spricht lieber von "aktiver Gefahrenabwehr im Cyberraum".
Nach Informationen von WDR und NDR sind die Überlegungen dazu im Innenministerium bereits recht ausgereift. Die Ministerin will demnach nicht die aggressivste Stufe zünden: Server im Ausland, über die Hackerangriffe laufen, sollen offenbar nicht zerstört werden. Vielmehr soll es darum gehen, Attacken abzuwehren, indem man sie etwa aktiv umlenkt.
Welche Behörde die Aufgabe der digitalen Gefahrenabwehr übernehmen könnte, ist bislang ungeklärt. Es wäre wohl eine Grundgesetzänderung notwendig, denn die Gefahrenabwehr im Cyberraum ist bislang noch Ländersache.
Schon seit Jahren wirbt hinter den Kulissen die Bundespolizei dafür, dass man den Schutz der deutschen Netze übernehmen könne. Und tatsächlich haben die Beamten viel Erfahrung mit dem Aufbrechen verschlüsselter Daten, Ermittlungen gegen Hacker oder der Aufklärung von Agentenfunks. Sogar der CIA soll die Bundespolizei schon dabei geholfen haben, verschlüsselte Geräte von Al-Qaida-Terroristen zu knacken.
"Wenn wir dürften, wir könnten es"
Ausreichend Kompetenz für einen Hackback soll es aber auch beim Bundesnachrichtendienst (BND) geben. "Wenn wir dürften, wir könnten es", sagte vor ein paar Jahren bereits BND-Präsident Bruno Kahl. Und schließlich wäre da auch noch das Bundeskriminalamt (BKA), das oft bei der Gefahrenabwehr tätig wird und über viel Erfahrung bei Ermittlungen gegen Cyberkriminelle verfügt.
Die Liste der kontroversen Themen im Cyberbereich geht aber noch weiter: Es stellt sich die Frage, ob Polizei und Geheimdienste sogenannte Staatstrojaner einsetzen sollen, um heimlich Kommunikation auf Mobiltelefonen überwachen zu können. Grüne und FDP sehen das sehr kritisch - auch wenn dieses Werkzeug bislang nur sehr selten genutzt wird. Seit Sommer 2017 darf es zur Strafverfolgung eingesetzt werden.
Gerade erst hat das Bundesamt für Justiz die Statistik zur Telekommunikationsüberwachung 2020 veröffentlicht. Tatsächlich wurde der "Staatstrojaner" bundesweit nur 14 Mal im Jahr 2020 eingesetzt. Die deutsche Polizei hackt also, allerdings eher auf Sparflamme. Und mit unklarer Zukunft. Der Koalitionsvertrag ist nämlich eher eine Absage an staatliches Hacking.
Die Bundespolizei soll demnach keine "Trojaner" einsetzen dürfen; in den aktuellen Überlegungen aus dem Innenministerium zu einem neuen Bundespolizei-Gesetz allerdings ist diese Befugnis nach Informationen von WDR und NDR jedoch wieder enthalten. Das Ministerium wollte dazu keine Aussage treffen. Die Abstimmung über die Inhalte sei noch nicht abgeschlossen, so eine Sprecherin.
Verpflichtendes Schwachstellen-Management
Auch an anderer Stelle ist der Koalitionsvertrag eigentlich eindeutig: beim Ausnutzen von IT-Sicherheitsschwachstellen. Sie werden nicht nur von Kriminellen genutzt, um in fremde IT-Systeme einzudringen. Auch Ermittler versuchen immer wieder solche Sicherheitslücken zu nutzen. Der Konflikt dabei: Wenn solche Lücken in Systemen viele Menschen betreffen, dann könnte der Staat durchs Schließen vermutlich weitreichenden Schaden abwenden.
Das Bundesverfassungsgericht in Karlsruhe hat daher im vergangenen Jahr mit einer Entscheidung zum baden-württembergischen Polizeigesetz deutlich gemacht: Der Staat ist verpflichtet, ein "Schwachstellen-Management" einzuführen, einen Prozess, bei dem entschieden wird, welche Schwachstelle geschlossen werden soll und welche beim Hacking ausgenutzt werden kann.
Wie ein solches "Schwachstellen-Management" aussehen soll, das ist aktuell noch unklar. Es gibt eine Arbeitsgruppe im Innenministerium, die dazu Vorschläge machen soll. Voraussichtlich wird eine Abwägung getroffen werden: Ermittler sollen Lücken nutzen dürfen, wenn diese nur eine kleine Zahl von Menschen betreffen. Wie das allerdings sichergestellt werden kann, ist fraglich.
Denn die Behörden entwickeln eben längst nicht nur eigene Trojaner, sondern kaufen entsprechende Werkzeuge auch ein. Und die Hersteller geben erwartungsgemäß nur ungern preis, welche Sicherheitslücken ein solches kommerzielles Produkt wie etwa die mächtige Spähsoftware "Pegasus" aus Israel ausnutzt. Sie sind schließlich die heimlichen Türöffner und werden für viel Geld gehandelt.