5788627

Verfassungsgericht zu Sicherheitslücken: Staat muss Handynutzer schützen

Sicherheitsbehörden nutzen IT-Sicherheitslücken, um Staatstrojaner zu installieren. Die Richter in Karlsruhe fordern jetzt neue Regeln.

Eine Person tippt auf einem Smartphone.

Spionage ja, aber nur staatlich geregelt Foto: Sebastian Gollnow/dpa

KARLSRUHE taz | Der Staat muss regeln, wann Behörden IT-Sicherheitslücken nutzen dürfen, um Staatstrojaner zu installieren – und wann sie stattdessen besser den Hersteller informieren. Das entschied jetzt das Bundesverfassungsgericht. Eine Klage der Gesellschaft für Freiheitsrechte gegen das baden-württembergische Polizeigesetz lehnte das Gericht jedoch als unzulässig ab.

Anlass für die Entscheidung: Das grün-schwarz regierte Baden-Württemberg hatte im Oktober 2020 der Landespolizei erlaubt, zur Gefahrenabwehr Staatstrojaner einzusetzen. Andere Bundesländer haben solche Regelungen schon länger. Zur Strafverfolgung ist dies bereits seit 2017 möglich.

Der Staatstrojaner ist eine Spähsoftware, die installiert wird, um Kommunikation (Telefonate, Email, Messenger) vor der Verschlüsselung an die Polizei auszuleiten. Dies nennt man Quellen-Telekommunikationsüberwachung (Quellen-TKÜ). Eine der Möglichkeiten, den Trojaner auf einem Smartphone oder Computer zu installieren, ist die Ausnutzung von IT-Schwachstellen. Behörden können diese selbst finden oder (in der Regel) von Ha­cke­r:in­nen ankaufen.

Gegen die Änderung des Stuttgarter Polizeigesetzes klagte die Gesellschaft für Freiheitsrechte (GFF) beim Bundesverfassungsgericht. Das Land habe die Grundrechte verletzt, indem es den Behörden nicht verboten hat, unbekannte IT-Sicherheitslücken zu nutzen. Die Behörden sollten stattdessen verpflichtet werden, die IT-Hersteller sofort über die Schwachstellen zu informieren, damit diese nicht von Kriminellen genutzt werden können. Es fehle jedenfalls an einem „Schwachstellen-Management“ für Sicherheitslücken.

Klage unzulässig, aber …

Der Erste Senat des Bundesverfassungsgerichts lehnte die GFF-Klage nun als „unzulässig“ ab. Die Bür­ger­recht­le­r:in­nen hätten zunächst bei den Fachgerichten klagen müssen, bevor sie nach Karlsruhe gehen.

Das Bundesverfassungsgericht nutzte den Fall jedoch, um erste Maßstäbe zu setzen. Danach entstehe eine „Schutzpflicht“ des Staates, wenn Behörden von bisher unbekannten IT-Sicherheitslücken erfahren. Die Bürger könnten sich schließlich nicht schützen, während die Sicherheitslücke auch von Ver­bre­che­r:in­nen missbraucht werden könnte, zum Beispiel um die Daten von Unternehmen und Kommunen zu verschlüsseln und nur gegen Zahlung eines Lösegelds wieder freizugeben.

Die Rich­te­r:in­nen haben diese Schutzpflicht aber relativ schwach ausgestaltet. Sie verpflichten die Behörden nicht, die IT-Hersteller über unbekannte Sicherheitslücken zu informieren. Die Behörden müssen zum Schutz der Nutzer vor Angriffen nur „beitragen“. Der Gesetzgeber habe hierbei einen „Einschätzungs-, Wertungs- und Gestaltungsspielraum“.

Jetzt müssen die Verwaltungsgerichte entscheiden, ob es ausreicht, wenn zum Beispiel im baden-württembergischen Polizeigesetz vorgegeben ist, dass die eingesetzten Mittel (also auch die ausgenutzten IT-Sicherheitslücken) „gegen unbefugte Nutzung“ zu schützen sind.

Die Karlsruher Entscheidung war mit Spannung erwartet worden, nachdem ein internationales Medienkonsortium jüngst enthüllte, wie autoritäre Regime die Trojaner-Software Pegasus missbrauchen, um Oppositionelle zu überwachen. Ein Weg, Pegasus auf einem Smartphone zu installieren, ist die Ausnutzung von IT-Sicherheitslücken.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Die Kommentarfunktion unter diesem Artikel ist geschlossen.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Leser*innenkommentare

  • Joachim Petrick

    "Die Behörden müssen zum Schutz der Nutzer vor Angriffen nur „beitragen“. Der Gesetzgeber habe hierbei einen „Einschätzungs-, Wertungs- und Gestaltungsspielraum"

    Klingt so, als wenn die amtlich bestallte Brückenwacht, Defekt, statische Instabiltät von einer Brücke feststellt, dokumentiert, aber ansonsten nach Einschätzung, Wertung vom BVG Urteil gedeckt eingeräumten Gestaltungsspielraum nutzt, nichts unternimmt, alles dem freien Lauf des Verkehrs zu Lande, zu Wasser, über Flüsse, Täler überlässt, unverrichteter Dinge weiterfährt zur nächsten Wacht?

    Dabei gehören Cyberattacken prinzipiell geächtet wie bio-chemische Waffen?

    • Wonneproppen

      @Joachim Petrick Ich denke irgendwelche technischen Sicherheitslücken mit chemischen und biologischen Waffen zu vergleichen ist mehr als unangebracht.

      • Ingo Bernable

        @Wonneproppen Solange es um reine Spionagetool wie zB Pegasus geht mag der Vergleich schief sein, wenn solche Sicherheitslücken aber genutzt werden um kritische Infrastruktur anzugreifen sind durchaus Szenarien denkbar deren Auswirkungen mit denen von Massenvernichtungswaffen vergleichbar sind.

  • wxyz

    "Die Bür­ger­recht­le­r:in­nen hätten zunächst bei den Fachgerichten klagen müssen, bevor sie nach Karlsruhe gehen."

    Im Klartext: Sie hätten es erst für unbestimmt lange Zeit hinnehmen müssen, ausgespäht und ggf. mit weiterer Schadsoftware infiltriert zu werden, ggf. auch ihres Bankguthabens beraubt zu werden u.v.a., was eben möglich ist, wenn auch Kriminelle die Algorithmen nutzen unter Ausnutzung der Lücken nutzen.

    Nun, wenn der Staat die Handynutzer sehr eingeschränkt schützen muß, dann stellt sich eine andere theoretische Frage:

    Was wäre, wenn z.B. das iPhone perfekt geschützt wäre, so ganz ohne Sicherheitslücken und mit einem perfekten Zusatzschutz gegen Schadsoftware? Gäbe es dann überhaupt ein iPhone? Oder wäre es dann vielleicht schon längst verboten worden?

    Angesichts der großen Beliebtheit der Pegasus-Spionagesoftware bei immer mehr Staaten/Regierungen sollten solche Hinterfragungen erlaubt sein, und angesichts von Rechtswahren in den höchsten Instanzen, die zwar viel Ahnung von Paragraphen haben, aber kaum Ahnung vonIT-Technik, sollten auch solche Hinterfragungen zumindest zum guten Ton der Medien gehören.

    • Wonneproppen

      @wxyz Die Fragen sind erlaubt, wer verbietet sie? Es wird momentan sogar sehr offen und heftig diskutiert. Auch von den Medien.

  • Wonneproppen

    Muss doch einen Weg geben, wie Ermittler mit hinreichendem Verdacht und Richterbeschluss (also schön rechtsstaatlich) an die Daten Verdächtiger kommen.. ohne, dass dabei Sicherheitslücken aufbleiben.

  • Lowandorder

    Mal zum Nachlesen:

    www.bundesverfassu...021/bvg21-062.html - Pressemitteilung -

    & Entscheidung =>

    www.bundesverfassu...08_1bvr277118.html

    Es scheint - daß der via einem Gutachten von Wilhelm Steinmüller, Bernd Lutterbeck u. a. aus dem Jahr 1971 zum Volkszählungsurteil & dem informationellen Selbstbestimmungsrecht “geronnene Geist“ eines Hermann Heußner & der übrigen big guns doch etwas via neuem Cum-exGeist 1. Senat Präsi Harbarth etwas schwächelt - hinter exIM - Erndt Benda - ha ha ha - zurückbleibt!*

    unterm——*

    Was diesen damals den EuGH-Präsi wg Bierverschiß CDU/CSU - gekostet hat!

    Das möchte sein Nachfolger im Amt scheint’s nicht riskieren! Gellewelle.

    & nochens -

    Um die langfristige “Bombenwirkung“ des Volkszählungsurteils deutlich zu machen:

    Mein Freund&Weggefährte & Hiwi bei Konrad Hesse: “Mein Gott - das war doch Jahre her! Aber bei Besuch des Senats im IM hatten die immer noch Schaum vorm Mund!“

    Hoffen wir also - daß bei dem angedachten Flutgraben um den Reichstag - wa!

    Die weisen Worte des Berichterstatters Hermann Heußner Beachtung finden!

    “ Überliefert ist von ihm die Anekdote, dass er Vorschläge, das Gebäude des Bundesverfassungsgerichts nach dem Deutschen Herbst mit einem Wassergraben gegen terroristische Anschläge zu schützen, mit den Worten „Aber dann auch mit Krokodilen.“ lächerlich machte.“ Quel homme

    de.wikipedia.org/w...rmann_Heu%C3%9Fner

    Ende des Vorstehenden