Verfassungsgericht zu Sicherheitslücken: Staat muss Handynutzer schützen
Sicherheitsbehörden nutzen IT-Sicherheitslücken, um Staatstrojaner zu installieren. Die Richter in Karlsruhe fordern jetzt neue Regeln.
Anlass für die Entscheidung: Das grün-schwarz regierte Baden-Württemberg hatte im Oktober 2020 der Landespolizei erlaubt, zur Gefahrenabwehr Staatstrojaner einzusetzen. Andere Bundesländer haben solche Regelungen schon länger. Zur Strafverfolgung ist dies bereits seit 2017 möglich.
Der Staatstrojaner ist eine Spähsoftware, die installiert wird, um Kommunikation (Telefonate, Email, Messenger) vor der Verschlüsselung an die Polizei auszuleiten. Dies nennt man Quellen-Telekommunikationsüberwachung (Quellen-TKÜ). Eine der Möglichkeiten, den Trojaner auf einem Smartphone oder Computer zu installieren, ist die Ausnutzung von IT-Schwachstellen. Behörden können diese selbst finden oder (in der Regel) von Hacker:innen ankaufen.
Gegen die Änderung des Stuttgarter Polizeigesetzes klagte die Gesellschaft für Freiheitsrechte (GFF) beim Bundesverfassungsgericht. Das Land habe die Grundrechte verletzt, indem es den Behörden nicht verboten hat, unbekannte IT-Sicherheitslücken zu nutzen. Die Behörden sollten stattdessen verpflichtet werden, die IT-Hersteller sofort über die Schwachstellen zu informieren, damit diese nicht von Kriminellen genutzt werden können. Es fehle jedenfalls an einem „Schwachstellen-Management“ für Sicherheitslücken.
Klage unzulässig, aber …
Der Erste Senat des Bundesverfassungsgerichts lehnte die GFF-Klage nun als „unzulässig“ ab. Die Bürgerrechtler:innen hätten zunächst bei den Fachgerichten klagen müssen, bevor sie nach Karlsruhe gehen.
Das Bundesverfassungsgericht nutzte den Fall jedoch, um erste Maßstäbe zu setzen. Danach entstehe eine „Schutzpflicht“ des Staates, wenn Behörden von bisher unbekannten IT-Sicherheitslücken erfahren. Die Bürger könnten sich schließlich nicht schützen, während die Sicherheitslücke auch von Verbrecher:innen missbraucht werden könnte, zum Beispiel um die Daten von Unternehmen und Kommunen zu verschlüsseln und nur gegen Zahlung eines Lösegelds wieder freizugeben.
Die Richter:innen haben diese Schutzpflicht aber relativ schwach ausgestaltet. Sie verpflichten die Behörden nicht, die IT-Hersteller über unbekannte Sicherheitslücken zu informieren. Die Behörden müssen zum Schutz der Nutzer vor Angriffen nur „beitragen“. Der Gesetzgeber habe hierbei einen „Einschätzungs-, Wertungs- und Gestaltungsspielraum“.
Jetzt müssen die Verwaltungsgerichte entscheiden, ob es ausreicht, wenn zum Beispiel im baden-württembergischen Polizeigesetz vorgegeben ist, dass die eingesetzten Mittel (also auch die ausgenutzten IT-Sicherheitslücken) „gegen unbefugte Nutzung“ zu schützen sind.
Die Karlsruher Entscheidung war mit Spannung erwartet worden, nachdem ein internationales Medienkonsortium jüngst enthüllte, wie autoritäre Regime die Trojaner-Software Pegasus missbrauchen, um Oppositionelle zu überwachen. Ein Weg, Pegasus auf einem Smartphone zu installieren, ist die Ausnutzung von IT-Sicherheitslücken.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Ex-Wirtschaftsweiser Peter Bofinger
„Das deutsche Geschäftsmodell funktioniert nicht mehr“
Prozess zu Polizeigewalt in Dortmund
Freisprüche für die Polizei im Fall Mouhamed Dramé
Fake News liegen im Trend
Lügen mutiert zur Machtstrategie Nummer eins
Fall Mouhamed Dramé
Psychische Krisen lassen sich nicht mit der Waffe lösen
Proteste in Georgien
Wir brauchen keine Ratschläge aus dem Westen
Leben ohne Smartphone und Computer
Recht auf analoge Teilhabe