Interview
Digital

Richter Ulf Burmeyer klagt gegen den Staatstrojaner

Interview

"Der Staat hält unsere Computer und Smartphones bewusst unsicher", sagt dieser Richter

11.08.2018, 08:1711.08.2018, 11:48
Mehr «Interview»

Wer online ein Verbrechen plant, kann sich seit knapp einem Jahr nicht mehr sicher sein. Seitdem erlaubt das Staatstrojaner-Gesetz, dass deutsche Behörden heimlich in die Smartphones und Computer von Verdächtigen eindringen, um dort deren Kommunikation zu überwachen.

Die Software, die sie dazu gebrauchen, hat aber seit Jahren erbitterte Gegner. In den Augen von Bürgerrechtlern und Datenschützern ist der Staatstrojaner eine Gefahr für unser tägliches Online-Leben.

Gerade erst hat eine Koalition aus Bürgerrechts-Organisationen und Teilen der FDP angekündigt, vor dem Bundesverfassungsgericht gegen den Staatstrojaner zu klagen. Darunter FDP-Parteichef Christian Lindner und Sabine Leutheusser-Schnarrenberger.

Wir haben uns mit Ulf Burmeyer getroffen.

Bild

Er ist Leiter der gleichfalls klagenden Gesellschaft für Freiheitsrechte (GFF) und Richter am Landgericht Berlin. Er kämpft seit Jahren gegen die hackenden Behörden und sieht in der neuen Klage eine der letzten Chancen, Schlimmeres für die deutsche Gesellschaft zu verhindern.

watson: Du willst also nicht, dass Polizisten in unsere Smartphones eindringen.
Ulf Buermeyer: Das kann man so pauschal nicht sagen. Bei extremen Gefahrensituationen, wie etwa unmittelbar bevorstehende Terroranschlägen, kann staatliches Hacking als letztes Mittel geboten sein. Das darf das Bundeskriminalamt schon seit 2009, macht es aber höchst selten bis gar nicht. Das Gesetz, das die GFF vor dem Bundesverfassungsgericht (BVerfG) angreift, erlaubt aber den Einsatz von Trojanern in mehr als 30.000 Fällen im Jahr.

Wie stellst du dir den Kampf gegen moderne vernetzte Kriminalität stattdessen vor?
Indem man die Behörden besser ausstattet, sowohl mit Beamten als auch mit IT. Es braucht keine neuen Überwachungsgesetze, sondern mehr Polizisten, die klassische Ermittlungsarbeit leisten. Das habe ich in meinem Alltag bei Gericht immer wieder erlebt: Das Problem liegt nicht darin, dass die Polizei etwas nicht darf.

Das Problem liegt darin, dass die Polizei etwas darf, aber es nicht schafft, weil sie zu wenig Personal und völlig veraltete Technik hat.

Aber der Staatstrojaner soll ja diese neue Technologie sein, die Ermittlungserfolge schafft.
Warum können sie nicht einfach die Geräte beschlagnahmen und auswerten, so wie früher? Die Argumentation, ohne Trojaner stände man da als Ermittler im Dunkeln, trifft einfach nicht zu.

Das klingt angesichts vernetzter und multinationaler Schleuser- und Drogen-Banden alles andere als effektiv.
Wieso nicht? Man muss eben taktisch überlegen, wie lange schaut man zu und wann greift man zu. Das ist überhaupt keine Neuigkeit. Man muss sich vom Ansatz her die Frage stellen: Wollen wir Trojaner auch zur Strafverfolgung einsetzen? Das kann Ermittlern nur einen kleinen taktischen Vorteil verschaffen, bringt aber hohe rechtsstaatliche Kosten mit sich.

Weil auch einfache Bürger auf einmal Ermittler-Software auf ihren Handys haben könnten?
Zum einen. Noch gibt es nur wenige Beispiele, die Behörden bekommen das Ganze technisch noch nicht auf die Reihe. Aber das kann sich schnell ändern. Trojaner werden dann zum Massengeschäft, und Polizisten hacken auf einmal serienmäßig die Smartphones von Bürgern. Ich glaube dem Bundeskriminalamt (BKA) dabei durchaus, dass es sich an das Recht halten will. Aber das macht die Sache kaum besser.

Fühlst du dich von hackender Polizei bedroht?

Warum nicht?
Weil das Gesetz dem staatlichen Hacking viel zu wenig klare Grenzen setzt. Um Trojaner einzuspielen, nutzen Behörden nämlich Sicherheitslücken aus, also Fehler in der Software von Smartphones und Computern, die die Hersteller selbst nicht kennen. Beispielsweise Lücken in Android oder dem iPhone-Betriebssystem iOS.

Solche Lücken kaufen Ermittler weltweit bei speziellen Unternehmen ein, oder auf zwielichtigen Schwarzmärkten. Es gibt auch eine Behörde der Bundespolizei, die sie selbst erforschen soll.
Wenn Polizisten diese Lücken jetzt massenhaft einsetzen sollen, dann horten sie diese natürlich auch. Sie teilen die Fehler den Herstellern der unsicheren Geräte nicht mehr mit, damit die Sicherheitslücken geschlossen werden können. Lieber legt man sie in eine Schublade und bewahrt sie für den nächsten Einsatz auf.

Ergo kann sie niemand schließen, und die digitale Welt wird unsicherer. So schaden die Trojaner nicht nur bei ihrem Einsatz: Schon die bloße Möglichkeit dazu schafft fatale Anreize.

Du spielst auf die von dir erwähnten rechtsstaatlichen Kosten an?
Jede dieser geheimen Sicherheitslücken ist ein Einfalltor für Hacker und für Kriminelle. Es ist einfach nur zynisch zu behaupten, Deutschland habe eine Strategie gegen Cybercrime, während der Staat gleichzeitig versucht, Sicherheitslücken offen zu halten. Und das alle nur, um vielleicht irgendwann einmal einen Drogendealer damit jagen zu können.

Aber in eurer Klage fordert ihr doch gar nicht, dass den Behörden die Staatstrojaner samt Lücken verboten werden. 
Den Einsatz in Extremfällen müssen wir hinnehmen. Das BVerfG hat bereits zweimal entschieden, dass Trojaner für die Prävention zukünftiger besonders schwerer Gefahren nötig und deshalb rechtens sind.

Kampf also im Grunde schon verloren?
Es geht ja nicht nur um das 'Ob', sondern auch um das 'Wie' des Verfahrens. Ich habe noch 2015 bei einer Verhandlung zum neuen BKA-Gesetz gesagt: ‚Hohes Gericht, ihr könnt nicht einfach sagen: Trojaner Marsch‘. Aber das wollten die Richterinnen und Richter nicht hören. Die Grundkatastrophe, dass Ermittler die Trojaner überhaupt einsetzen dürfen, und dass niemand diesen Einsatz effektiv kontrolliert, die ist leider bereits passiert.

Ein Deutschland mit hackenden Behörden?
Das ist auch meine persönliche Niederlage. Ich habe zehn Jahre auf dem Feld geschrieben und mich nicht durchsetzen können. Es ist unverantwortlich, den Sicherheitsbehörden eine Carte Blanche zu geben, zu hacken wann und wie sie wollen.

Hier kommt das ultimative Foodbilder-DIY:

Video: watson/Lia Haubner, Marius Notter

Eure neue Forderung?
Wir wollen eine Katastrophe für die IT-Sicherheit als solches verhindern. Unabhängige Stellen müssen kontrollieren können, wie die Polizei unsere Geräte online durchsuchen und wie sie unserer Kommunikation überwachen will. Außerdem muss es einen transparenten Prozess geben, wie Sicherheitslücken angeschafft und gebraucht werden.

Unsere wichtigste Forderung: Unbekannte Sicherheitslücken – sogenannte Zerodays – dürfen gar nicht für Trojaner verwendet werden.

Stattdessen müssen die Behörden sie den Software-Entwicklern mitteilen. Sonst werden uns Epidemien von Schadsoftware wie vor kurzem der Erpressungs-Trojaner WannaCry immer wieder plagen.

Der Wurm hat eine Sicherheitslücke ausgenutzt, die ein amerikanischer Geheimdienst gehortet hat. Danach befiel er binnen Tagen Computersysteme auf der ganzen Welt, verschlüsselte und zerstörte so ihre Daten. Die Schäden stiegen in die Milliarden-Höhe.
Es ging nicht nur um wirtschaftliche Schäden, auch ganze Krankenhäuser mussten den Dienst einstellen. Dann stehen Menschenleben auf dem Spiel. Und da kann man eben nicht sagen: ‚Uns ist sowas egal, weil wir den nächsten Drogendealer jagen wollen.‘

Aber ist das wirklich so? Einen guten Polizisten wird doch beides kümmern.
Für einen Beamten ist alles gut, was seinen Ermittlungen hilft. Er will seine Verbrecher jagen, und dafür möchte er möglichst viele Mittel. Wenn aber irgendjemand Drittes ein Krankenhaus hackt, dann ist das schlicht nicht sein Problem. Cyberkriminelle sind nicht seine Akte, sind nicht sein Fall. Deswegen sind Ermittler typischerweise blind gegenüber Kollateralschäden der Überwachungsmethoden, die sie gerne einsetzen wollen.

#bibporn: Die schönsten Bibliotheken der Welt...

1 / 12
#bibporn: Die schönsten Bibliotheken der Welt
Die alte Bibliothek am Trinity College, Dublin
quelle: david iliff/wikimedia commones / david iliff/wikimedia commons
Auf Facebook teilenAuf X teilen

Aber sind Einzelfälle wie WannaCry nicht auch für alle anderen abstrakter als der Drogendealer vor der Haustüre?
WannaCry ist kein Einzelfall, nur ein sehr extremer Fall. Die Bedrohung durch Trojaner ist Alltag. Ich bekomme im Grunde jeden Tag irgendwelche Phishing-Mails, die versuchen, meinen Rechner zu befallen. Jeden Tag werden tausende Computer in diesem Land infiziert. Kriminelle können uns bestehlen, unsere Daten verkaufen – weil Behörden Sicherheitslücken als Trojaner-Bausteine horten, statt sie schließen zu lassen.

Düstere Aussichten, also?
Der Bundestag hat bisher seine Verantwortung nicht wahrgenommen, die Bevölkerung vor unkontrolliertem Trojaner-Einsatz zu schützen. Stattdessen übernimmt man noch immer einseitig die Perspektive der Ermittler, anstatt an die Bürger zu denken. Es muss beim Thema Staatstrojaner aber klar sein: Es geht nicht nur um einige zehntausende von Leuten, die damit verfolgt werden. Es geht um uns alle. Es geht um unsere Computer und Handys, die der deutsche Staat bewusst unsicher hält. Deren Überwachung gerade die Polizeibehörden fast aller Bundesländer in ihre neuen Polizeigesetze schreiben. Das finde ich den eigentlichen Skandal dabei.

(mbi)