EncroChat-Verfahren: Eine Nummer zu dick

Der Hack der EncroChats wurde von den Ermittlern als Erfolg gefeiert. Nun mehren sich Zweifel an der Rechtmäßigkeit der Abhöraktion.

Razzia in Sachen EncroChat im Oktober 2021 in einem Gewerbegebiet in Berlin

BERLIN taz | Auf den ersten Blick las sich die Pressemitteilung von Staatsanwaltschaft und Polizei wie eine normale Erfolgsmeldung: Wegen des Verdachts des bewaffneten Betäubungsmittelhandels in nicht geringer Menge hatte die Polizei in Berlin am 26. Januar elf Orte durchsucht.

Neben knapp 100.000 Euro Bargeld seien mehrere Kilogramm Drogen, hauptsächlich Marihuana, beschlagnahmt worden, hieß es. Die Drogen, zu einem Großteil in einer „Bunkerwohnung“ entdeckt, seien vermutlich für den Straßenhandel am Kottbusser Tor bestimmt gewesen. Die Ermittlungen richteten sich gegen mindestens sechs Männer im Alter von 24 bis 39 Jahren und würden auf Grundlage der Auswertung sogenannter EncroChat-Daten geführt.

EncroChat – nur wenigen Menschen ist das ein Begriff. Tatsächlich handelt es sich um ein verschlüsseltes, besonders gegen Abhörmaßnahmen gesichertes sogenanntes Krypto-Handy. Nach Auffassung von Ermittlern wurden EncroChat-Geräte weltweit fast ausschließlich von Kriminellen genutzt, um mittels des Messengerdienstes mit Waffen und Drogen zu handeln.

Der von der Firma EncroChat in Roubaix in Frankreich betriebene Server wurde im Frühjahr 2020 von Sicherheitsexperten gehackt. Es handelte sich um einen riesigen Coup europäischer Sicherheitsbehörden, und immer mehr spricht dafür, dass auch Nachrichtendienste beteiligt waren.

Trojanersoftware installiert

Sowohl auf dem Server als auch auf den Handys, die mit dem Server verbunden waren, wurde von den Ermittlern eine Trojanersoftware installiert. Die auf den betroffenen Geräten gespeicherten und ausgetauschten Daten wurden abgefangen, kopiert und analysiert. Betroffen von dem Cyberangriff waren rund 32.500 Nutzer von EncroChat in 121 Ländern.

Die Abfangmaßnahme dauerte knapp drei Monate, bis der Betreiber von EncroChat argwöhnisch wurde und den Server im Juni 2020 stilllegte. Seither kommt es in ganz Europa zu Festnahmen. Allein in Deutschland sind mithilfe der EncroChat-Daten über 1.000 Haftbefehle erlassen worden, 40 wurden in Berlin vollstreckt.

Über Frankreich und Europol wanderten die im Überwachungszeitraum abgefangenen Daten nach Deutschland zum Bundeskrimiminalamt. Das BKA leitete diese nach Erstsichtung an die einzelnen Bundesländer weiter. Die Zuordnung erfolgte nach dem Standort der Funkmasten, in die sich die „User“ (Polizeijargon) bei der Kommunikation eingewählt hatten. Verwendet hatten die User beim Austausch von Chats und Fotos mehrheitlich Pseudonyme.

Details unter der Decke gehalten

Ob und wenn ja ab wann das BKA in den EncroChat-Hack eingebunden war, ist nicht öffentlich bekannt. Auch andere zentrale Details werden unter der Decke gehalten. Auch in Berlin ist das eine dicke Nummer, das zeigte sich am Mittwoch im Rechtsausschuss des Abgeordnetenhauses.

Als sie in der Sitzung über den Stand der EncroChat-Verfahren in der Hauptstadt berichtete, versuchte Generalstaatsanwältin Margarete Koppers jeglichen Verdacht zu zerstreuen, die EnroChat-Verfahren seien „geheimnisumwittert“. Im Nachsatz bestätigte Koppers dann allerdings, was längst offenkundig ist: „Die genauen technischen Details der Abhörsoftware unterliegen in Frankreich der militärischen Geheimhaltung“. Auch den deutschen Behörden seien die Details nicht bekannt, erklärte die Generalstaatsanwältin.

Der gleichfalls zur Sitzung geladene Chef des Landeskriminalamtes, Christian Steiof, berichtete, in Berlin seien im EncroChatverfahren 1,6 Millionen Chatdaten verortet – von ingesamt 12 Millionen Daten, die das BKA aus Frankreich erhalten habe. Die Chats würden in Berlin komplett ausgewertet. Man gehe derzeit von 736 Usern aus, die vorwiegend in Berlin aktiv gewesen seien. Eine Vielzahl der Chats müsse übersetzt werden, weil die Kommunikation in anderen Sprachen erfolgt sei.

Dass die Chats zunächst entschlüsselt und dann konkreten Personen zugeordnet werden müssen, erklärt, warum es erst so viel später zu Durchsuchungen und Festnahmen kommt. Und: „Es sind noch nicht alle“, kündigte Steiof an. 257 User seien inzwischen mit Klarnamen identifiziert.

Koppers zufolge ist in 17 Fällen Anklage erhoben worden, ein Urteil gegen acht Angeklagte sei bereits ergangen. Dreimal Bewährung, ansonsten Haftstrafen, 6,2 Jahre das höchste. 47 Vermögensarrestierungen im Wert von 24 Millionen seien zudem bisher erfolgt. 718.000 Euro seien beschlagnahmt. In 70 Fällen werde an einer Vermögensabschöpfung gearbeitet. „Es wird täglich mehr.“

Das Prozedere der Beweisführung läuft so: Wenn sich aus den Chatverläufen ergibt, dass der Tatverdächtige in einem bestimmten Zeitraum mit großen Mengen Drogen gehandelt hat, reicht das für eine Anklage aus. „Es ist nicht unbedingt erforderlich, diese Mengen auch tatsächlich dinglich beschlagnahmt zu haben,“ sagte Olaf Schremm, Leiter des Rauschgiftdezernats, zur taz.

Das Tatgeschehen wird aus den abgefangenen Chats sowie aus geposteten Fotos von zum Kauf angebotenen Drogen und Waffen rekonstruiert. Was da an Mengen abgebildet sei, habe ihn überrascht, sagte Alexander Malinowski, Leiter der EncroChat- Abteilung im LKA zur taz. Die User hätten sich vollkommen sicher gefühlt. Auch über Preise und Übergabeorte sei in den Chats völlig frei verhandelt worden, wie auf einem öffentlichen Basar.

Wenn die Chats das einzige Beweismittel sind, kommt es umso mehr darauf an, dass die Daten aus dem EncroChat-Hack integer sind. Um die fehlende Transparenz wird vor deutschen Gerichten derzeit bundesweit gestritten. Verteidiger haben schon in mehreren Prozessen die Verwertbarkeit der Daten angezweifelt. Anders als in anderen europäischen Ländern gilt in Deutschland ein verfassungsrechtliches Trennungsgebot von Nachrichtendiensten und Polizei.

Zum Militärstaatsgeheimnis erklärt

„Vieles spricht dafür, dass die Daten mit nachrichtendienstlichen Mitteln gewonnen wurden. Nach deutschem Strafrecht wären sie damit ein unzulässiges Beweismittel“, sagt Andy Müller-Maguhn, unabhängiger IT-Berater und Datenjournalist aus dem Umfeld des Chaos Computer Clubs, zur taz. „Der Weg, wie die EncroChat-Daten von den Mobiltelefonen bzw. der Kommunikationsstrecke gewonnen und dann über Europol zum BKA gelangt sind, ist völlig undokumentiert und wurde in Frankreich zum Militärstaatsgeheimnis erklärt“.

Damit, so Müller-Maguhn, sei weder eine Überprüfbarkeit des Datenursprungs noch der Datenintegrität möglich. Bestätigt sieht sich Müller-Maguhn auch durch ein in einem EncroChat-Prozess vor dem Landgericht Leipzig erstatteten forensisch-informationstechnologischen Gutachten.

In dem Gutachten, Stand 2. Februar 2022, das der taz in Auszügen vorliegt, kommen die Verfasser Arwid Zang und Paul Werther zu folgendem Schluss: „Die Authentizität und Integrität der Daten können nicht sicher bestätigt werden, ohne die genaue Funktionsweise des in Frankreich eingesetzten Trojaners zu kennen bzw. ohne Einblick in die von den französischen Behörden versiegelten Rohdaten zu erhalten.“

Weiter heißt es in dem Gutachten: Auch über den exakten Einfluss der Programme, welche vom BKA zur Konvertierung verwendet wurden, könne in dem Gutachten nicht befunden werden, da „diese nicht durch das BKA zur Verfügung gestellt wurden.“

Die Rechtslage sei kompliziert, räumte Generalstaatsanwältin Koppers am Mittwoch im Rechtsausschuss ein. Aber die Ermittlungsbehörden seien zuversichtlich. Bundesweit hätten fast alle Oberlandesgerichte inzwischen die Verwertbarkeit der Daten als Beweismittel bejaht. Was allerdings noch fehle, sei ein höchstrichterliches Urteil.

Schwerwiegende Rechtsverstöße

Einzig eine Strafkammer beim Landgericht hatte im Mai 2020 die Eröffnung eines EncroChat-Verfahrens abgelehnt. Begründet worden war das unter anderem damit, dass die Erhebung der Daten durch die französischen Ermittlungsbehörden sowohl gegen die europäischen Rechtshilfevorschriften als auch gegen deutsche Vorschriften zur Überwachung der Telekommunikation verstoße. Die Überwachung sei ohne das Vorliegen eines dafür erforderlichen Tatverdachts erfolgt. Die Rechtsverstöße seien so schwerwiegend, dass sie zu einem Beweisverbot führten.

Allerdings ist diese Entscheidung inzwischen hinfällig. Die Staatsanwaltschaft hatte gegen den Beschluss vor dem Kammergericht Beschwerde eingelegt. Das höchste Berliner Gericht gab dem Antrag mit der Begründung statt, die EncroChat-Daten seien als sogenannte „Zufallsfunde“ anzusehen. Die Verwertung sei gemäß Strafprozessordnung zulässig. Aufgrund des in Europa geltenden Grundsatzes der gegenseitigen Anerkennung gelte ein eingeschränkter Prüfungsmaßstab. Fazit des Kammergerichts: Die nach französischem Recht gewonnenen Erkenntnisse dürfen verwertet werden.

Zweifel auch in Frankreich

Allerdings mehren sich auch in Frankreich Zweifel an den Maßnahmen, wie das Magazin ComputerWeely.com jetzt berichtete: Der französische „Cour de Cassation“ habe in einer Sitzung am 1. Februar beschlossen, wegen verfassungsrechtlicher Zweifel die Zulässigkeit des Hackings dem „Conseil constitutionel“ vorzulegen, einer Art Verfassungsrat.

Würde dieser die Verfassungswidrigkeit feststellen, dürften deutsche Gerichte die gewonnenen Beweismittel kaum verwerten können.

Ungeachtet dessen geht Berlins neue Justizsenatorin Lena Kreck (Linke) davon aus, dass es zu weiteren Verhaftungen im Zusammenhang mit EncroChat kommen wird. Im Rechtsausschuss kündigte Kreck an, dafür in der U-Haft-Anstalt Moabit freie Plätze schaffen wollen. Auch Staatsanwaltschaft und Gerichte sollen personell verstärkt werden.