Hessentrojaner und Online-Durchsuchung: Zum Gesetzentwurf der hessischen Landesregierung zur Neuausrichtung des Verfassungsschutzes
der Abgeordneten Jimmy Schulz, Manuel Höferlin, Mario Brandenburg, Frank Sitta, Grigorios Aggelidis, Renata Alt, Christine Aschenberg-Dugnus, Jens Beeck, Nicola Beer, Dr. Jens Brandenburg (Rhein-Neckar), Christian Dürr, Hartmut Ebbing, Dr. Marcus Faber, Daniel Föst, Katrin Helling-Plahr, Markus Herbrand, Katja Hessel, Reinhard Houben, Ulla Ihnen, Olaf in der Beek, Gyde Jensen, Katharina Kloke, Pascal Kober, Konstantin Kuhle, Ulrich Lechte, Michael Georg Link, Oliver Luksic, Dr. Jürgen Martens, Christoph Meyer, Alexander Müller, Roman Müller-Böhm, Dr. Martin Neumann, Judith Skudelny, Bettina Stark-Watzinger, Benjamin Strasser, Linda Teuteberg, Michael Theurer, Dr. Andrew Ullmann, Nicole Westig und der Fraktion der FDP
Vorbemerkung
Mit dem Gesetzentwurf zur Neuausrichtung des Verfassungsschutzes in Hessen (Hessischer Landtag, Drucksache 19/5412) plant die hessische Landesregierung eine Ausweitung der Befugnisse des Landesamtes für Verfassungsschutz (LfV). Insbesondere soll das LfV Hessen danach die Befugnis und Mittel erhalten, zur Informationsgewinnung Computersysteme zu hacken. Gerade der geplante Einsatz zur sog. Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) und zur „Online-Durchsuchung“ informationstechnischer Systeme wurde von verschiedenen Gruppierungen (Sachverständigenauskunft des Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e. V. – FifF www.fiff.de/presse/ pressemitteilungen/FIfF_Stellungnahme_HVSG_Hessentrojaner.pdf sowie die Stellungnahme des Chaos Computer Club e. V. CCC https://ccc.de/system/ uploads/252/original/CCC-staatstrojaner-hessen.pdf) sowohl aus technischer als auch verfassungsrechtlicher Sicht kritisiert.
So weist bspw. der CCC in seiner Stellungnahme zum vorliegenden Gesetzentwurf darauf hin, dass ebenjener nicht die 2008 vom Bundesverfassungsgericht in einem Urteil festgelegten Bedingungen für den Einsatz von Staatstrojanern erfüllt: „Die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, ist verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen“ (vgl. BVerfG, Urt. vom 27. Februar 2008 – 1 BvR 370/07, 1 BvR 595/07, 2. Leitsatz). Der CCC konstatiert, dass im vorliegenden Gesetzentwurf diese Einschränkung in Bezug auf die Online-Durchsuchung nicht erfolgen würde. Außerdem erfolge noch nicht einmal eine Einschränkung auf Straftaten nach § 3 Absatz 1 des Gesetzes zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (G10-Gesetz).
Gerade aufgrund der polarisierenden öffentlichen Debatte, der Schwere eines solchen Eingriffs und den damit einhergehenden technischen Risiken, ist es nach Ansicht der Fragesteller notwendig, dass sich auch der Deutsche Bundestag und die Bundesregierung mit dieser Problematik beschäftigen.
Wir fragen die Bundesregierung:
Fragen9
Hat die Bundesregierung Kenntnis von dem oben genannten Gesetzentwurf? Wenn ja, hat die Bundesregierung sich hierzu eine Meinung gebildet, insbesondere dazu, ob die §§ 6 ff. des Gesetzentwurfs
a) die Vorgaben des BVerfG, insbesondere die im oben genannten Urteil des BVerfG sowie der Entscheidung zum BKA-Gesetz (Urteil vom 20. April 2016, 1 BvR 966/09 und 1 BvR 1140/09) aufgestellten Bedingungen für die Infiltration informationstechnischer Systeme – sowohl zum Zwecke der Online-Durchsuchung als auch der Quellen-Telekommunikationsüberwachung – erfüllen;
b) einen ausreichenden Schutz des Kernbereichs privater Lebensgestaltung enthalten;
c) das zu kompromittierende informationstechnische System ausreichend klar definieren, damit insbesondere sichergestellt ist, dass ein Zugriff auf ein System zumindest dessen Nutzung voraussetzt und nicht lediglich der Verdacht ausreicht, auf einem System könnten sich relevante Daten befinden;
d) einen Eingriff auch auf Systeme, die nach der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) Teil der kritischen Infrastruktur sind (etwa Stromnetze, Internetknotenpunkte), oder auch Behördennetze, Fahrzeugelektronik sowie medizinisch genutzte Computersysteme (Herzschrittmacher, lebenserhaltende Maschinen) ausschließen und, wenn nicht, auf welche Systeme ein solcher Zugriff möglich wäre;
e) mit der Kompromittierung informationstechnischer Systeme Dritter, sofern diese Systeme durch die von der Maßnahme betroffene Person genutzt werden, dem LfV die Möglichkeit eröffnet, ganze Serversysteme wie bspw. E-Mailserver zu hacken;
f) die Gefahr erhöhen, dass damit die Funktionsfähigkeit der betroffenen Systeme gefährdet und die Erfassung der Daten vieler Unbeteiligter nicht ausgeschlossen werden kann?
Welche Konsequenzen hat die Bundesregierung nach den Attacken mit dem sogenannten WannaCry-Trojaner, der eine von der NSA für mindestens fünf Jahre geheim gehaltene Sicherheitslücke ausnutzte und 230 000 Computer in über 150 Ländern infizierte, im Hinblick auf die Geheimhaltung von Sicherheitslücken zum Zwecke nachrichtendienstlicher Ermittlungen gezogen?
Sieht die Bundesregierung in einer aus Sicht der Fragesteller aufgrund des Gesetzentwurfes zu befürchtenden Praxis, sogenannte Zero-Day-Exploits auf dem Schwarzmarkt zu kaufen oder Sicherheitslücken geheim zu halten, um diese zur Infiltration informationsdienstlicher Systeme auszunutzen, eine Gefahr für die IT-Sicherheit des Bundes oder kritischer Infrastruktur? Hält die Bundesregierung den hessischen Landesverfassungsschutz – auch im Hinblick auf die Kooperationsverpflichtung in Angelegenheiten des Verfassungsschutzes nach §§ 1 Absatz 2 und § 6 Absatz 1 Satz 1 der Bundesverfassungsschutzgesetzes – gegenüber dem Bund für verpflichtet, diese Gefahr zu vermeiden? Wenn ja, was gedenkt die Bundesregierung im Falle eines Verstoßes gegen diese Verpflichtung zu unternehmen?
Entspricht es der Auffassung der Bundesregierung, dass die Quellen-TKÜ technisch mit der Online-Durchsuchung vergleichbar ist?
Entspricht es der Auffassung der Bundesregierung, dass die Quellen-TKÜ hinsichtlich ihrer rechtlichen Anforderungen, insbesondere im Hinblick auf einen Eingriff in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme aus Artikel 2 Absatz 1 i. V. m. Artikel 1 Absatz 1 des Grundgesetzes, mit einer Online-Durchsuchung vergleichbar ist?
Hat sich die Bundesregierung vor dem Hintergrund von Frage 4 und 5 eine Meinung zu den im hessischen Gesetzentwurf geplanten unterschiedlichen Eingriffshürden für die Quellen-TKÜ und die Online-Durchsuchung gebildet? Wenn ja, welche?
Wie bewertet die Bundesregierung eine Ausweitung der nachrichtendienstlichen Befugnisse im Hinblick auf die Überwachung informationstechnischer Systeme vor dem Hintergrund, dass Nachrichtendienste nach Ansicht der Fragesteller wesentlich schwieriger demokratisch zu kontrollieren sind als bspw. Polizeibehörden?
Ist die Bundesregierung – auch im Hinblick auf die Koordinierungsfunktion des Bundesamts für den Verfassungsschutz – der Auffassung, dass auf Grundlage deutscher Bundes- und Landesgesetze auf informationstechnische Systeme wie z. B. E-Mailserver zugegriffen werden darf, die
a) sich nicht in dem Land befinden, in dem dieses Gesetz gilt, sondern in einem anderen Bundesland;
b) sich nicht innerhalb der Bundesrepublik Deutschland befinden, sondern in einem anderen europäischen Land?
Ist eine deutsche Behörde nach Auffassung der Bundesregierung verpflichtet, den Zugriff auf informationstechnische Systeme zu beenden, wenn sich herausstellt, dass das informationstechnische System sich nicht innerhalb der Bundesrepublik Deutschland befindet?