piwik no script img

taz zahl ich

Verfassungsgericht zu SicherheitslückenStaat muss Handynutzer schützen

Sicherheitsbehörden nutzen IT-Sicherheitslücken, um Staatstrojaner zu installieren. Die Richter in Karlsruhe fordern jetzt neue Regeln.

Eine Person tippt auf einem Smartphone.
Spionage ja, aber nur staatlich geregelt Foto: Sebastian Gollnow/dpa
Christian Rath
Von Christian Rath

Karlsruhe taz | Der Staat muss regeln, wann Behörden IT-Sicherheitslücken nutzen dürfen, um Staatstrojaner zu installieren – und wann sie stattdessen besser den Hersteller informieren. Das entschied jetzt das Bundesverfassungsgericht. Eine Klage der Gesellschaft für Freiheitsrechte gegen das baden-württembergische Polizeigesetz lehnte das Gericht jedoch als unzulässig ab.

Anlass für die Entscheidung: Das grün-schwarz regierte Baden-Württemberg hatte im Oktober 2020 der Landespolizei erlaubt, zur Gefahrenabwehr Staatstrojaner einzusetzen. Andere Bundesländer haben solche Regelungen schon länger. Zur Strafverfolgung ist dies bereits seit 2017 möglich.

Der Staatstrojaner ist eine Spähsoftware, die installiert wird, um Kommunikation (Telefonate, Email, Messenger) vor der Verschlüsselung an die Polizei auszuleiten. Dies nennt man Quellen-Telekommunikationsüberwachung (Quellen-TKÜ). Eine der Möglichkeiten, den Trojaner auf einem Smartphone oder Computer zu installieren, ist die Ausnutzung von IT-Schwachstellen. Behörden können diese selbst finden oder (in der Regel) von Ha­cke­r:in­nen ankaufen.

Gegen die Änderung des Stuttgarter Polizeigesetzes klagte die Gesellschaft für Freiheitsrechte (GFF) beim Bundesverfassungsgericht. Das Land habe die Grundrechte verletzt, indem es den Behörden nicht verboten hat, unbekannte IT-Sicherheitslücken zu nutzen. Die Behörden sollten stattdessen verpflichtet werden, die IT-Hersteller sofort über die Schwachstellen zu informieren, damit diese nicht von Kriminellen genutzt werden können. Es fehle jedenfalls an einem „Schwachstellen-Management“ für Sicherheitslücken.

Klage unzulässig, aber …

Der Erste Senat des Bundesverfassungsgerichts lehnte die GFF-Klage nun als „unzulässig“ ab. Die Bür­ger­recht­le­r:in­nen hätten zunächst bei den Fachgerichten klagen müssen, bevor sie nach Karlsruhe gehen.

Das Bundesverfassungsgericht nutzte den Fall jedoch, um erste Maßstäbe zu setzen. Danach entstehe eine „Schutzpflicht“ des Staates, wenn Behörden von bisher unbekannten IT-Sicherheitslücken erfahren. Die Bürger könnten sich schließlich nicht schützen, während die Sicherheitslücke auch von Ver­bre­che­r:in­nen missbraucht werden könnte, zum Beispiel um die Daten von Unternehmen und Kommunen zu verschlüsseln und nur gegen Zahlung eines Lösegelds wieder freizugeben.

Die Rich­te­r:in­nen haben diese Schutzpflicht aber relativ schwach ausgestaltet. Sie verpflichten die Behörden nicht, die IT-Hersteller über unbekannte Sicherheitslücken zu informieren. Die Behörden müssen zum Schutz der Nutzer vor Angriffen nur „beitragen“. Der Gesetzgeber habe hierbei einen „Einschätzungs-, Wertungs- und Gestaltungsspielraum“.

Jetzt müssen die Verwaltungsgerichte entscheiden, ob es ausreicht, wenn zum Beispiel im baden-württembergischen Polizeigesetz vorgegeben ist, dass die eingesetzten Mittel (also auch die ausgenutzten IT-Sicherheitslücken) „gegen unbefugte Nutzung“ zu schützen sind.

Die Karlsruher Entscheidung war mit Spannung erwartet worden, nachdem ein internationales Medienkonsortium jüngst enthüllte, wie autoritäre Regime die Trojaner-Software Pegasus missbrauchen, um Oppositionelle zu überwachen. Ein Weg, Pegasus auf einem Smartphone zu installieren, ist die Ausnutzung von IT-Sicherheitslücken.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Themen #Bundesverfassungsgericht #Staatstrojaner #Überwachung #Datenschutz
Feedback Kommentieren Fehlerhinweis
Mehr zum Thema
Mehrere Kinder auf eine Parkbank mit Smartphones.

Aufmerksamkeitsökonomie

Wo ist die Konzentration hin?

Menschen bleiben teilweise nur Sekunden bei einer Aufgabe. Ein Sachbuch erklärt, wie wir am Bildschirm die Aufmerksamkeit verlernt haben.
Von Enno Schöningh
Ein Mann steht im Rechenzentrum der Telekom Tochter T-Systems in Biere.

Innere Sicherheit von Rot-Grün-Gelb

Big Ampel is watching you

Eine mögliche Ampelregierung will mit einer progressiven Sicherheitspolitik aufwarten. Doch beim Thema Überwachung herrscht Streit.
Von Konrad Litschko
Wir kriegen Dich....like herz lach icon

Urteil zu Hass-Posts bei Facebook

Erst anhören, dann sperren

Der Bundesgerichtshof verlangt von Facebook mehr Schutz von Nutzer:innen, die Hass-Posts absetzen. Ein Mann aus Regensburg war vor Gericht gegangen.
Von Christian Rath

10 Ausgaben für 10 Euro

Die Wochenzeitung mit taz-Blick

Unsere wochentaz bietet jeden Samstag Journalismus, der es nicht allen recht macht und Stimmen, die man woanders nicht hört. Jetzt zehn Wochen lang kennenlernen.
Jetzt bestellen

7 Kommentare

 / 
  • JP

    "Die Behörden müssen zum Schutz der Nutzer vor Angriffen nur „beitragen“. Der Gesetzgeber habe hierbei einen „Einschätzungs-, Wertungs- und Gestaltungsspielraum"

    Klingt so, als wenn die amtlich bestallte Brückenwacht, Defekt, statische Instabiltät von einer Brücke feststellt, dokumentiert, aber ansonsten nach Einschätzung, Wertung vom BVG Urteil gedeckt eingeräumten Gestaltungsspielraum nutzt, nichts unternimmt, alles dem freien Lauf des Verkehrs zu Lande, zu Wasser, über Flüsse, Täler überlässt, unverrichteter Dinge weiterfährt zur nächsten Wacht?

    Dabei gehören Cyberattacken prinzipiell geächtet wie bio-chemische Waffen?

    • W
      @Joachim Petrick:

      Ich denke irgendwelche technischen Sicherheitslücken mit chemischen und biologischen Waffen zu vergleichen ist mehr als unangebracht.

      • IB
        @Wonneproppen:

        Solange es um reine Spionagetool wie zB Pegasus geht mag der Vergleich schief sein, wenn solche Sicherheitslücken aber genutzt werden um kritische Infrastruktur anzugreifen sind durchaus Szenarien denkbar deren Auswirkungen mit denen von Massenvernichtungswaffen vergleichbar sind.

  • W

    "Die Bür­ger­recht­le­r:in­nen hätten zunächst bei den Fachgerichten klagen müssen, bevor sie nach Karlsruhe gehen."

    Im Klartext: Sie hätten es erst für unbestimmt lange Zeit hinnehmen müssen, ausgespäht und ggf. mit weiterer Schadsoftware infiltriert zu werden, ggf. auch ihres Bankguthabens beraubt zu werden u.v.a., was eben möglich ist, wenn auch Kriminelle die Algorithmen nutzen unter Ausnutzung der Lücken nutzen.

    Nun, wenn der Staat die Handynutzer sehr eingeschränkt schützen muß, dann stellt sich eine andere theoretische Frage:

    Was wäre, wenn z.B. das iPhone perfekt geschützt wäre, so ganz ohne Sicherheitslücken und mit einem perfekten Zusatzschutz gegen Schadsoftware? Gäbe es dann überhaupt ein iPhone? Oder wäre es dann vielleicht schon längst verboten worden?

    Angesichts der großen Beliebtheit der Pegasus-Spionagesoftware bei immer mehr Staaten/Regierungen sollten solche Hinterfragungen erlaubt sein, und angesichts von Rechtswahren in den höchsten Instanzen, die zwar viel Ahnung von Paragraphen haben, aber kaum Ahnung vonIT-Technik, sollten auch solche Hinterfragungen zumindest zum guten Ton der Medien gehören.

    • W
      @wxyz:

      Die Fragen sind erlaubt, wer verbietet sie? Es wird momentan sogar sehr offen und heftig diskutiert. Auch von den Medien.

  • W

    Muss doch einen Weg geben, wie Ermittler mit hinreichendem Verdacht und Richterbeschluss (also schön rechtsstaatlich) an die Daten Verdächtiger kommen.. ohne, dass dabei Sicherheitslücken aufbleiben.

  •

    Mal zum Nachlesen:

    www.bundesverfassu...021/bvg21-062.html - Pressemitteilung -



    & Entscheidung =>



    www.bundesverfassu...08_1bvr277118.html

    Es scheint - daß der via einem Gutachten von Wilhelm Steinmüller, Bernd Lutterbeck u. a. aus dem Jahr 1971 zum Volkszählungsurteil & dem informationellen Selbstbestimmungsrecht “geronnene Geist“ eines Hermann Heußner & der übrigen big guns doch etwas via neuem Cum-exGeist 1. Senat Präsi Harbarth etwas schwächelt - hinter exIM - Erndt Benda - ha ha ha - zurückbleibt!*

    unterm——*



    Was diesen damals den EuGH-Präsi wg Bierverschiß CDU/CSU - gekostet hat!



    Das möchte sein Nachfolger im Amt scheint’s nicht riskieren! Gellewelle.



    & nochens -



    Um die langfristige “Bombenwirkung“ des Volkszählungsurteils deutlich zu machen:



    Mein Freund&Weggefährte & Hiwi bei Konrad Hesse: “Mein Gott - das war doch Jahre her! Aber bei Besuch des Senats im IM hatten die immer noch Schaum vorm Mund!“

    Hoffen wir also - daß bei dem angedachten Flutgraben um den Reichstag - wa!



    Die weisen Worte des Berichterstatters Hermann Heußner Beachtung finden!



    “ Überliefert ist von ihm die Anekdote, dass er Vorschläge, das Gebäude des Bundesverfassungsgerichts nach dem Deutschen Herbst mit einem Wassergraben gegen terroristische Anschläge zu schützen, mit den Worten „Aber dann auch mit Krokodilen.“ lächerlich machte.“ Quel homme



    de.wikipedia.org/w...rmann_Heu%C3%9Fner

    Ende des Vorstehenden

meistkommentiert

1

Nahost-Konflikt

Alternative Narrative

2

Nach der Gewalt in Amsterdam

Eine Stadt in Aufruhr

3

Putins Atomdrohungen

Angst auf allen Seiten

4

+++ Nachrichten im Nahost-Krieg +++

IStGH erlässt Haftbefehl gegen Netanjahu und Hamas-Anführer

5

Die Wahrheit

Der erste Schnee

6

Krise der Linke

Drei Silberlocken für ein Halleluja