Verfassungsgericht zu Sicherheitslücken: Staat muss Handynutzer schützen

Sicherheitsbehörden nutzen IT-Sicherheitslücken, um Staatstrojaner zu installieren. Die Richter in Karlsruhe fordern jetzt neue Regeln.

Eine Person tippt auf einem Smartphone.

Spionage ja, aber nur staatlich geregelt Foto: Sebastian Gollnow/dpa

KARLSRUHE taz | Der Staat muss regeln, wann Behörden IT-Sicherheitslücken nutzen dürfen, um Staatstrojaner zu installieren – und wann sie stattdessen besser den Hersteller informieren. Das entschied jetzt das Bundesverfassungsgericht. Eine Klage der Gesellschaft für Freiheitsrechte gegen das baden-württembergische Polizeigesetz lehnte das Gericht jedoch als unzulässig ab.

Anlass für die Entscheidung: Das grün-schwarz regierte Baden-Württemberg hatte im Oktober 2020 der Landespolizei erlaubt, zur Gefahrenabwehr Staatstrojaner einzusetzen. Andere Bundesländer haben solche Regelungen schon länger. Zur Strafverfolgung ist dies bereits seit 2017 möglich.

Der Staatstrojaner ist eine Spähsoftware, die installiert wird, um Kommunikation (Telefonate, Email, Messenger) vor der Verschlüsselung an die Polizei auszuleiten. Dies nennt man Quellen-Telekommunikationsüberwachung (Quellen-TKÜ). Eine der Möglichkeiten, den Trojaner auf einem Smartphone oder Computer zu installieren, ist die Ausnutzung von IT-Schwachstellen. Behörden können diese selbst finden oder (in der Regel) von Ha­cke­r:in­nen ankaufen.

Gegen die Änderung des Stuttgarter Polizeigesetzes klagte die Gesellschaft für Freiheitsrechte (GFF) beim Bundesverfassungsgericht. Das Land habe die Grundrechte verletzt, indem es den Behörden nicht verboten hat, unbekannte IT-Sicherheitslücken zu nutzen. Die Behörden sollten stattdessen verpflichtet werden, die IT-Hersteller sofort über die Schwachstellen zu informieren, damit diese nicht von Kriminellen genutzt werden können. Es fehle jedenfalls an einem „Schwachstellen-Management“ für Sicherheitslücken.

Klage unzulässig, aber …

Der Erste Senat des Bundesverfassungsgerichts lehnte die GFF-Klage nun als „unzulässig“ ab. Die Bür­ger­recht­le­r:in­nen hätten zunächst bei den Fachgerichten klagen müssen, bevor sie nach Karlsruhe gehen.

Das Bundesverfassungsgericht nutzte den Fall jedoch, um erste Maßstäbe zu setzen. Danach entstehe eine „Schutzpflicht“ des Staates, wenn Behörden von bisher unbekannten IT-Sicherheitslücken erfahren. Die Bürger könnten sich schließlich nicht schützen, während die Sicherheitslücke auch von Ver­bre­che­r:in­nen missbraucht werden könnte, zum Beispiel um die Daten von Unternehmen und Kommunen zu verschlüsseln und nur gegen Zahlung eines Lösegelds wieder freizugeben.

Die Rich­te­r:in­nen haben diese Schutzpflicht aber relativ schwach ausgestaltet. Sie verpflichten die Behörden nicht, die IT-Hersteller über unbekannte Sicherheitslücken zu informieren. Die Behörden müssen zum Schutz der Nutzer vor Angriffen nur „beitragen“. Der Gesetzgeber habe hierbei einen „Einschätzungs-, Wertungs- und Gestaltungsspielraum“.

Jetzt müssen die Verwaltungsgerichte entscheiden, ob es ausreicht, wenn zum Beispiel im baden-württembergischen Polizeigesetz vorgegeben ist, dass die eingesetzten Mittel (also auch die ausgenutzten IT-Sicherheitslücken) „gegen unbefugte Nutzung“ zu schützen sind.

Die Karlsruher Entscheidung war mit Spannung erwartet worden, nachdem ein internationales Medienkonsortium jüngst enthüllte, wie autoritäre Regime die Trojaner-Software Pegasus missbrauchen, um Oppositionelle zu überwachen. Ein Weg, Pegasus auf einem Smartphone zu installieren, ist die Ausnutzung von IT-Sicherheitslücken.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de