Keine Verpflichtung gegenüber Staatstrojaner

von Trend Micro

Der Gesetzesentwurf zur Freigabe des so genannten Staatstrojaners, mit dem beim Verdacht auf „besonders schwere Straftaten“ Computer und Smartphones ausgespäht werden dürfen,gibt Anlass zu Diskussionen und wirft — wie nicht anders erwartet – Fragen auf. Es gab kürzlich bereits die Anfrage, was eine internationale Sicherheitsfirma wie Trend Micro macht, wenn der deutsche Staat mit der Forderung an das Unternehmen herantritt, den Bundestrojaner zu ignorieren. Dazu gibt es eine klare Stellungnahme von Rechtsanwalt Günter Untucht, Associate General Counsel & Director of EMEA Legal:

„Uns ist keine gesetzliche Verpflichtung in Deutschland bekannt, wonach Überwachungssoftware von Behörden durch Security-Software nicht erkannt werden dürfte oder sogar eine „back door“ enthalten müsste. Im Falle einer entsprechenden behördlichen  Anordnung würde sich Trend Micro dagegen mit den zur Verfügung stehenden rechtlichen Mitteln zur Wehr setzen.“

Trend Micro hat einen juristischen Leitfaden zum IT-Sicherheitsrecht für Unternehmensleiter verfasst, der sich auch mit diesem Thema befasst. Die Rechtslage wurde durch den Bundestag am 22. Juni 2017 nun aber in der Weise angepasst, dass auch bei der Strafverfolgung die Quellen-Telekommunikationsüberwachung nach § 100a StPO ermöglicht wird (das BKA-Gesetz sieht bereits entsprechende Regelungen vor). Bei der Quellen-TKÜ werden Nachrichten schon im Rechner des Absenders abgefangen, bevor sie verschlüsselt werden, so dass auch VoIP-Telefonate und Messenger-Dienste abgehört werden können (das nennt sich „funktionale Äquivalenz zur herkömmlichen Telekommunikationsüberwachung“).

Nach eingehender Prüfung der Gesetzesänderung  lässt sich feststellen, dass keine Pflicht zur Duldung oder gar Mitwirkung von Seiten der Anbieter von Sicherheitstechnologie wie Trend Micro besteht. Die Anordnung zur Quellen-TKÜ (Telekommunikationsüberwachung) kann nur gegen den Beschuldigten und Nachrichtenmittler ergehen, d.h. natürliche oder juristische Personen, von denen anzunehmen ist, dass sie für den Beschuldigten bestimmte oder von ihm herrührende Mitteilungen entgegennehmen oder dass der Beschuldigte ihren Anschluss benutzt. Trend Micro ist aber kein solcher Nachrichtenmittler. Wie bislang auch müssen Telekommunikationsdienste-Anbieter bei der Telekommunikationsüberwachung mitwirken, doch auch hierunter fällt Trend Micro nicht.

In der Gesetzesbegründung (Anlage, S. 53) heißt es vielmehr:

„Nachdem inzwischen ein Großteil der Kommunikation Internetprotokoll-(IP)-basiert erfolgt und zahlreiche „Voice-over-IP“ (VoIP)- und Messenger-Dienste die Kommunikationsinhalte mit einer Verschlüsselung versehen, werden den Ermittlungsbehörden bei der Überwachung und Aufzeichnung im öffentlichen Telekommunikationsnetz oft nur verschlüsselte Daten geliefert. Deren Entschlüsselung ist entweder derzeit gar nicht möglich, oder aber langwierig und kostenintensiv. Eine Verpflichtung der Anbieter öffentlich zugänglicher Telekommunikationsdienste zur Herausgabe der automatisch generierten, temporären Schlüssel bzw. die Implementierung sogenannter Hintertüren für Behörden bereits in den Programmen durch deren Anbieter (back doors) ist derzeit nicht denkbar. Nach den Grundsätzen der von der Bundesregierung verfolgten Kryptopolitik wird im Gegenteil aus Gründen des Schutzes vertraulicher Daten vor den Zugriffen Dritter sogar eine Stärkung der Verschlüsselungstechnologien und deren häufige Anwendung befürwortet. Dem gegenüber steht das Gebot effektiver Strafverfolgung, die ohne Telekommunikationsüberwachung in den vom Gesetz genannten Katalogtaten nicht mehr gewährleistet ist. Eine effektive, am Gebot der Rechtsstaatlichkeit ausgerichtete und der Notwendigkeit des Datenschutzes angemessen Rechnung tragende Strafverfolgung muss sich diesen technischen Veränderungen stellen und ihre Ermittlungsmaßnahmen dem technischen Fortschritt anpassen. Soll die Überwachung und Aufzeichnung von Kommunikationsinhalten im Rahmen der Strafverfolgung wie bisher bei schweren Straftaten möglich sein, kommt daher nur ein Ausleiten der Kommunikation „an der Quelle“ in Betracht, d. h. noch vor deren Verschlüsselung auf dem Absendersystem oder nach deren Entschlüsselung beim Empfänger. Technisch kann die Ausleitung der Kommunikation vor der Verschlüsselung über eine spezielle Software erfolgen, die auf dem Endgerät des Betroffenen verdeckt installiert wird.“

An anderer Stelle heißt es: „Jeder Zugriff auf ein informationstechnisches System des Betroffenen zum Zweck der Aufbringung der Überwachungssoftware darf grundsätzlich nur auf technischem Wege oder mittels kriminalistischer List erfolgen.“

Auch eine Maßnahme der Online-Durchsuchung darf sich grundsätzlich nur gegen den Beschuldigten richten. Andere Personen werden nur erfasst, wenn auf Grund bestimmter Tatsachen anzunehmen ist, dass der Beschuldigte ihre informationstechnischen Systeme selbst benutzt. Auch in diesen Fällen ist ein Zugriff auf das Gerät der anderen Person jedoch nur dann zulässig, wenn der Zugriff auf Geräte des Beschuldigten selbst allein nicht zur Erforschung des Sachverhalts oder zur Ermittlung des Aufenthaltsortes eines Mitbeschuldigten genügt.“

Auch hieraus ergibt sich für Trend Micro keine Verpflichtung, Überwachungssoftware von Behörden nicht zu erkennen oder gar eine „back door“ vorzusehen. Trend Micro sieht danach keine Veranlassung, an der schon von ihrem verstorbenen Chief Technology Officer Raimund Genes gegenüber „Bits of Freedom“ abgegebenen Erklärung abzuweichen, keine derartigen technischen Hintertüren in ihre Software einzubauen, die staatlichen Diensten den Zugriff auf Daten ihrer Kunden ermöglichen könnten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*