Verfassungsgericht zu Sicherheitslücken: Staat muss Handynutzer schützen
Sicherheitsbehörden nutzen IT-Sicherheitslücken, um Staatstrojaner zu installieren. Die Richter in Karlsruhe fordern jetzt neue Regeln.
Der Staat muss regeln, wann Behörden IT-Sicherheitslücken nutzen dürfen, um Staatstrojaner zu installieren – und wann sie stattdessen besser den Hersteller informieren. Das entschied jetzt das Bundesverfassungsgericht. Eine Klage der Gesellschaft für Freiheitsrechte gegen das baden-württembergische Polizeigesetz lehnte das Gericht jedoch als unzulässig ab.
Anlass für die Entscheidung: Das grün-schwarz regierte Baden-Württemberg hatte im Oktober 2020 der Landespolizei erlaubt, zur Gefahrenabwehr Staatstrojaner einzusetzen. Andere Bundesländer haben solche Regelungen schon länger. Zur Strafverfolgung ist dies bereits seit 2017 möglich.
Der Staatstrojaner ist eine Spähsoftware, die installiert wird, um Kommunikation (Telefonate, Email, Messenger) vor der Verschlüsselung an die Polizei auszuleiten. Dies nennt man Quellen-Telekommunikationsüberwachung (Quellen-TKÜ). Eine der Möglichkeiten, den Trojaner auf einem Smartphone oder Computer zu installieren, ist die Ausnutzung von IT-Schwachstellen. Behörden können diese selbst finden oder (in der Regel) von Hacker:innen ankaufen.
Gegen die Änderung des Stuttgarter Polizeigesetzes klagte die Gesellschaft für Freiheitsrechte (GFF) beim Bundesverfassungsgericht. Das Land habe die Grundrechte verletzt, indem es den Behörden nicht verboten hat, unbekannte IT-Sicherheitslücken zu nutzen. Die Behörden sollten stattdessen verpflichtet werden, die IT-Hersteller sofort über die Schwachstellen zu informieren, damit diese nicht von Kriminellen genutzt werden können. Es fehle jedenfalls an einem „Schwachstellen-Management“ für Sicherheitslücken.
Klage unzulässig, aber …
Der Erste Senat des Bundesverfassungsgerichts lehnte die GFF-Klage nun als „unzulässig“ ab. Die Bürgerrechtler:innen hätten zunächst bei den Fachgerichten klagen müssen, bevor sie nach Karlsruhe gehen.
Das Bundesverfassungsgericht nutzte den Fall jedoch, um erste Maßstäbe zu setzen. Danach entstehe eine „Schutzpflicht“ des Staates, wenn Behörden von bisher unbekannten IT-Sicherheitslücken erfahren. Die Bürger könnten sich schließlich nicht schützen, während die Sicherheitslücke auch von Verbrecher:innen missbraucht werden könnte, zum Beispiel um die Daten von Unternehmen und Kommunen zu verschlüsseln und nur gegen Zahlung eines Lösegelds wieder freizugeben.
Die Richter:innen haben diese Schutzpflicht aber relativ schwach ausgestaltet. Sie verpflichten die Behörden nicht, die IT-Hersteller über unbekannte Sicherheitslücken zu informieren. Die Behörden müssen zum Schutz der Nutzer vor Angriffen nur „beitragen“. Der Gesetzgeber habe hierbei einen „Einschätzungs-, Wertungs- und Gestaltungsspielraum“.
Jetzt müssen die Verwaltungsgerichte entscheiden, ob es ausreicht, wenn zum Beispiel im baden-württembergischen Polizeigesetz vorgegeben ist, dass die eingesetzten Mittel (also auch die ausgenutzten IT-Sicherheitslücken) „gegen unbefugte Nutzung“ zu schützen sind.
Die Karlsruher Entscheidung war mit Spannung erwartet worden, nachdem ein internationales Medienkonsortium jüngst enthüllte, wie autoritäre Regime die Trojaner-Software Pegasus missbrauchen, um Oppositionelle zu überwachen. Ein Weg, Pegasus auf einem Smartphone zu installieren, ist die Ausnutzung von IT-Sicherheitslücken.
50.000 Menschen beteiligen sich bei taz zahl ich – weil unabhängiger, kritischer Journalismus in diesen Zeiten gebraucht wird. Weil es die taz braucht. Dafür möchten wir uns herzlich bedanken! Ihre Solidarität sorgt dafür, dass taz.de für alle frei zugänglich bleibt. Denn wir verstehen Journalismus nicht nur als Ware, sondern als öffentliches Gut. Zahlen muss niemand, aber guter Journalismus hat seinen Preis. Und immer mehr Leser*innen machen mit und entscheiden sich für eine freiwillige Unterstützung der taz! Dieser Schub trägt uns gemeinsam in die Zukunft. Denn wir suchen wir auch weiterhin Ihre Unterstützung. Setzen auch Sie jetzt ein Zeichen für kritischen Journalismus und unterstützen Sie die taz – schon ab 5 Euro. Jetzt unterstützen
meistkommentiert