von Martina Kant und Heiner Busch
Das Internet hat Polizeien und Geheimdiensten eine Serie neuer Methoden beschert – von der Auswertung allgemein zugänglicher Quellen bis hin zur gezielten Einschleusung von Schadsoftware auf den Computer einer Zielperson.
„Die Täter nutzen die neuesten technischen Möglichkeiten.“ So erklärt das Bundeskriminalamt (BKA) auf seiner Homepage. „Damit die Entwicklung nicht nur auf der falschen Seite Fortschritte macht, wurden im Bundeskriminalamt schon frühzeitig Einheiten aufgebaut, die im Internet ‚Streife surfen‘, die verdächtige Auftritte und Angebote sichern und national wie international die Strafverfolgung einleiten.“[1] In der BKA-Abteilung „Schwere und Organisierte Kriminalität“ ist heute das Referat SO 43 zuständig für „Auswertungen/Ermittlungen IuK-Kriminalität“. Daran angegliedert ist auch die 1999 nach einem entsprechenden Auftrag der Innenministerkonferenz eingerichtete „Zentralstelle für die anlassunabhängige Recherche in Datennetzen“ (ZaRD).
Mehrere Landeskriminalämter (LKA) haben für ihr Bundesland jeweils ähnliche Zentralstellen aufgebaut: Bayern (2002), Baden-Württemberg (2005), Niedersachsen (2006) Rheinland-Pfalz und Hessen (2007), Nordrhein-Westfalen (2008) sowie zuletzt Sachsen (2011). Diese polizeilichen Stellen sowie die seit 2004 bestehende Zentrale Internet Recherche-Einheit (ZIRE) des Zollkriminalamts sind in der beim BKA angesiedelten „Koordinierungsgruppe anlassunabhängige Recherche im Internet (KaRIn)“ vertreten, die allerdings selbst keine derartigen Ermittlungen vornimmt.[2]
Als „anlassunabhängig“ definiert das BKA die „ständige, systematische, deliktsübergreifende … Suche nach strafbaren Inhalten im Internet und Online-Diensten, einschließlich der Weiterverfolgung von dabei festgestellten, strafrechtlich relevanten Sachverhalten mit Beweissicherung bis zur Feststellung der Verantwortlichen und/oder der örtlichen Zuständigkeiten von Polizei und Justiz.“ Diese Suche sei anders als die „anlassabhängige“ Recherche „nicht extern initiiert“, reagiere also nicht auf vorausgehende Anzeigen und werde auch nicht „auf Ersuchen anderer Dienststellen oder als ermittlungsbegleitende Maßnahme“ betrieben.
Durchsucht wird nicht nur das „world wide web“, sondern auch das Usenet mit seinen Newsgroups sowie Chats, Foren, Boards sowie die verschiedensten File-Sharing-Dienste. Anlassunabhängige Recherchen in Sozialen Netzwerken werden zwar nicht vom BKA, wohl aber vom nordrhein-westfälischen LKA betrieben. Für die „Internet-Streifen“ nutze man sowohl die „üblichen Suchmaschinen“, als auch „von uns selbst entwickelte, hocheffiziente, automatisierte Recherchetools“.[3]
Anlassunabhängig bedeutet aber keineswegs ungezielt: Anfangs galt die Suche vor allem der Kinderpornografie. Mittlerweile ist die Bandbreite erheblich gewachsen. Sie reicht von Betrug, illegalem Handel mit Waffen, Medikamenten (Potenzmittel, Anabolika), Drogen und Waffen über „verbotene Medien“ bis hin zu politischen Inhalten. Beim LKA NRW ist die Rede von „islamistisch und politisch motivierten Straftaten“, in Niedersachsen schlicht von „Links-/Rechtsextremismus“. Thematische Recherchen habe man beispielsweise zum „G8-Gipfel“, aber auch zu den „Chaostagen“ gemacht.[4] Beim Zoll liegt der Schwerpunkt bei allen Arten von verbotenen oder unversteuerten Waren. Die Suche nach gefälschten Markenartikeln finde vor allem auf den Plattformen der Auktionshäuser statt. Die MitarbeiterInnen der „Zentralstelle für die Internetrecherche“ des ZKA surften dazu auch auf kostenpflichtigen Seiten.[5]
Offene Quellen?
Die anlassunabhängigen „Internetstreifen“ kommen harmlos daher.
„Es handelt sich bei diesen Recherchen nicht um verdeckte Ermittlungen“, betont das BKA. „Das Internet wird lediglich in seinen öffentlich zugänglichen Bereichen durchstreift, wobei die gemachten Feststellungen vom BKA unverzüglich an die zuständigen Dienststellen im In- und Ausland zur weiteren Bearbeitung weitergeleitet werden.“
In seinem Urteil zu den so genannten Online-Durchsuchungen hat das Bundesverfassungsgericht (BVerfG) diese Position bestätigt:
„Eine Kenntnisnahme öffentlich zugänglicher Informationen ist dem Staat grundsätzlich nicht verwehrt. Dies gilt auch dann, wenn auf diese Weise im Einzelfall personenbezogene Informationen gewonnen werden.“ Es stelle keinen Eingriff in Grundrechte dar, „wenn eine staatliche Stelle im Internet verfügbare Kommunikationsinhalte erhebt, die sich an jedermann oder zumindest an einen nicht abgegrenzten Personenkreis richten. So liegt es etwa, wenn die Behörde eine allgemein zugängliche Webseite im World Wide Web aufruft, eine jedem Interessierte offen stehende Mailingliste abonniert oder einen offenen Chat beobachtet.“[6]
Das Gericht ignoriert, dass Polizei und Geheimdienste nicht einfach nur im Netz surfen, sondern immer auch systematisch Informationen zusammentragen und auswerten. Erst wenn Daten aus offenen Quellen „gezielt zusammengetragen, gespeichert oder gegebenenfalls unter Hinzuziehung weiterer Daten ausgewertet“, also mit anderen Datenbeständen der Polizei oder der Geheimdienste abgeglichen werden, sieht das BVerfG einen Eingriff in das Recht auf informationelle Selbstbestimmung. Die geforderten „Ermächtigungsgrundlagen“ sind für die Bundesregierung und polizeinahe Juristen allerdings längst gegeben: in den allgemeinen Ermittlungsbefugnissen der Strafprozessordnung (§§ 161, 163 StPO) und in denen zur Datenerhebung in den Polizei- bzw. über Informationssammlung und -auswertung in den Verfassungsschutzgesetzen.[7]
Auch die Trennlinie zwischen „öffentlich zugänglichen“ Informationen und solchen für einen „abgegrenzten Personenkreis“ ist, wie Axel Henrichs und Jörg Wilhelm in der „Kriminalistik“ andeuten, nicht scharf. Soziale Netzwerke – „wahre Fundgruben“ für polizeiliche Ermittlungen – sind zwar durch den Zwang zur Anmeldung eingegrenzt, dennoch haben sie zum Teil mehrere Millionen von Mitgliedern:
„Vor diesem Hintergrund stellt sich die Frage, ob die Öffnung (von persönlichen Daten, d. Verf.) für die gesamte Community eine Öffentlichkeit herstellt, bzw. wann – bei welcher Nutzerzahl – diese Öffentlichkeitssphäre z.B. bei einer geschlossenen Gruppe nicht mehr gegeben ist.“[8]
Lug und Trug: virtuelle verdeckte Ermittlungen
Henrichs und Wilhelm ist klar, dass die Polizei bei Recherchen in Sozialen Netzwerken die Allgemeinen Geschäftsbedingungen verletzt, die eine Teilnahme an diesen Diensten nur Privatpersonen und nur für private Zwecke erlauben. PolizeibeamtInnen bedienten sich entweder ihrer „echten privaten“ Identität oder eines Pseudonyms. „Die Betreiber verifizieren die Angaben der Identität der Nutzer nicht.“ Damit ist letztlich der Übergang zu den verschiedensten heimlichen Ermittlungsmethoden im Netz vollzogen. „Erfolgreiche“ Ermittlungen seien dort „überwiegend nur dann möglich, wenn die Polizei nicht offene Erhebungen durchführt.“[9] Auch hier ist das BVerfG äußerst großzügig:
„Ein Eingriff in das Recht auf informationelle Selbstbestimmung liegt nicht schon dann vor, wenn eine staatliche Stelle sich unter einer Legende in eine Kommunikationsbeziehung zu einem Grundrechtsträger begibt.“
Einen Grundrechtseingriff sieht das BVerfG nicht einmal dann, wenn eine Polizeibeamtin oder ein Verfassungsschutzmitarbeiter unter falscher Identität eine längerfristige Kommunikationsbeziehung im Chat aufbaut.
„Auch im Rahmen einer solchen Kommunikationsbeziehung ist jedem Teilnehmer bewusst, dass er die Identität seiner Partner nicht kennt oder deren Angaben über sich jedenfalls nicht überprüfen kann. Sein Vertrauen darauf, dass er nicht mit einer staatlichen Stelle kommuniziert, ist in der Folge nicht schutzwürdig.“[10]
Auch in geschlossenen Benutzerkreisen dürfen „staatliche Stellen“ mitmischen, wenn ihnen eine berechtigte Person – z.B. ein Informant – die Zugangsdaten „freiwillig“ überlassen hat oder die Polizei sie durch andere zulässige Ermittlungen erlangt hat.[11] Die Identität unbekannter Personen, denen sie dabei über den Weg läuft, kann die Polizei beim Anbieter des Dienstes oder beim Zugangsprovider der Betroffenen ermitteln. Das Telemediengesetz (§§ 14, 15) erlaubt dies auch den Geheimdiensten.
Klar ist, dass es bei einem „legendierten Chatten“ nicht mehr nur um eine bloß passive Beobachtung von außen geht, sondern um die aktive Teilnahme der Polizei (resp. der Geheimdienste) an der Kommunikation im Internet. Die Polizei verschweigt nicht nur einfach, dass sie die Polizei ist, sie präsentiert sich als Interessent einer verbotenen Ware, als Erwachsener, der sexuellen Kontakt mit Minderjährigen sucht, oder als Mitglied einer politischen Szene. Was die strafrechtlichen Ermittlungen anbetrifft, wird dabei wie im „wirklichen Leben“ zwischen Verdeckten Ermittlern (VE) im engeren Sinne, die langfristig unter ihrer „Legende“ am Rechtsverkehr teilnehmen, und „nicht offen ermittelnden Polizeibeamten“ (NoeP) unterschieden, die z.B. punktuell einen Scheinkauf anbahnen und im Allgemeinen auch vor Gericht auftreten. Nur für erstere greifen die Anordnungsvorbehalte der Staatsanwaltschaft oder des Gerichts (bei gezielten Ermittlungen gegen bestimmte Beschuldigte).
Laut Bundesregierung hat das BKA von Juni 2009 bis Juni 2011 in sechs Ermittlungsverfahren „virtuelle Verdeckte Ermittler“ eingesetzt.[12] Über die Zahl der verdeckten Aktivitäten unterhalb dieser Ebene der staatsanwaltschaftlichen Anordnung macht sie keine Aussagen. Da das BKA nur einen begrenzten Zuständigkeitsbereich hat und relativ wenige Ermittlungsverfahren bearbeitet, dürfte die Zahl der Einsätze von virtuellen NoeP und VE durch die Länderpolizeien erheblich höher liegen. Der Hannoveraner Oberstaatsanwalt Dieter Kocheim hält es für zulässig, dass virtuelle VE (oder NoeP) dabei auf „Keuschheitsproben“ eingehen und selbst Straftaten begehen, um in exklusive Zirkel aufgenommen zu werden. Informationen über die entsprechende Praxis des BKA wollte die Bundesregierung dem Bundestag nur in der Geheimschutzstelle gewähren.[13]
Auch der Verfassungsschutz soll künftig in größerem Maße „virtuelle Agenten“ im Internet einsetzen, die „durch den Aufbau von Blogs bestimmte Personengruppen ansprechen und zur Teilnahme an Diskussionen anregen sowie Kontakte knüpfen“, so zitiert der Spiegel ein „Konzept zur Bekämpfung linker Gewalttaten“ des Bundesinnenministeriums (BMI).[14] Ob dabei auch „Honeypots“ ausgelegt, d.h. IP-Adressen derjenigen gespeichert werden sollen, die sich durch solche Fake-Blogs anlocken lassen, ist unklar. Wie das funktioniert, zeigte das BKA bei seinen Ermittlungen gegen die „militante gruppe“. Unter dem Pseudonym „die zwei von der muppetshow“ beteiligten sich seinerzeit BKA-Beamte an der „Militanzdebatte“ des Szeneblatts „Interim“. Die Beiträge, deren polizeiliche Urheberschaft erst durch die Aufmerksamkeit der VerteidigerInnen im Berliner „mg“-Verfahren öffentlich wurde, sollten die LeserInnen auf die Seiten zu den mg-Ermittlungen auf der Homepage des BKA locken, wo ihre IP-Adressen gespeichert wurden. „heise online“ berichtete damals:“
„Nach dem Muppetshow-Kommentar wurden 417 IP-Adressen ermittelt. Zum Gros dieser IP-Adressen konnten keine Nutzerdaten ermittelt werden, weil die Provider seinerzeit die Daten zu kurz speicherten. Weitere Daten gehörten Behörden und Presseorganen. Nur die deutsche Telekom konnte für 120 IP-Adressen Nutzerdaten vorlegen, die im aktuellen Verfahren keine Rolle spielen.“
2009 beendete das BMI diese Praxis des BKA. Laut Bundesregierung legt das BKA solche Honigtöpfe – derzeit – nicht mehr aus.[15]
Technische Infiltration
„Das allgemeine Persönlichkeitsrecht … umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“, so lautet der erste Leitsatz der BVerfG-Entscheidung zu den so genannten Online-Durchsuchungen. Das neue Grundrecht hat für das Gericht einen im Wesentlichen technischen Charakter, weswegen es mit den oben beschriebenen Methoden der Überwachung durch Polizei und Dienste äußerst leger umging. Die „Vertraulichkeit und Integrität informationstechnischer Systeme“ schien den RichterInnen offenbar erst dort tangiert, wo von außen – mit technischen Mitteln – eingegriffen wird.
Diese Grenze ist dann erreicht, wenn ein Trojaner, also eine Schadsoftware, auf einen Computer aufgespielt wird, mit dessen Hilfe Informationen an die ÜberwacherInnen übertragen werden. Technisch können durch diesen Eingriff sämtliche auf dem Computer vorhandenen Informationen erfasst werden. Rechtlich wird dagegen unterschieden, ob die Telekommunikation via Computer ausgespäht werden soll („Quellen-TKÜ“, siehe unten), oder die auf dem PC gespeicherten Dateien. Für Letzteres hat die öffentliche Debatte den verharmlosenden Begriff der „Online-Durchsuchung“ parat, während das BKA-Gesetz immerhin vom „verdeckten Eingriff in informationstechnische Systeme“ spricht. Das BVerfG hatte nicht den Mut, diesen Eingriff ganz zu verbieten, band ihn aber an eine richterliche Anordnung und scheinbar enge Voraussetzungen, nämlich an
„tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut. Überragend wichtig sind Leib, Leben und Freiheit der Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt.“
Unter dieser Voraussetzung hätte das Gericht den Geheimdiensten, deren Aufgabe im Vorfeld der Gefahrenabwehr liegt, diese Methode untersagen müssen. Auch das hat es nicht getan. Stattdessen entzog es dem Begriff der „konkreten Gefahr“ die zeitliche Dimension:
„Die Maßnahme kann schon dann gerechtfertigt sein, wenn sich noch nicht mit hinreichender Wahrscheinlichkeit feststellen lässt, dass die Gefahr in näherer Zukunft eintritt, sofern bestimmte Tatsachen auf eine im Einzelfall durch bestimmte Personen drohende Gefahr für das überragend wichtige Rechtsgut hinweisen.“[16]
Tatsächlich hat sich das BVerfG damit an die technischen Bedingungen angepasst, unter denen Trojaner gesetzt werden: Das BKA hat zwar schon seit längerem eine „Remote Forensic Software“ für derartige Angriffe entwickelt. Bevor sie aber auf den Computer der Zielperson überspielt werden kann, müssen – so das BMI im August 2007 – diverse technische Informationen von der Version des Betriebsystems über den Internetzugang, den Browsertyp und der jeweiligen Version bis hin zu „installierten Softwareprodukten und deren Versionen“ bekannt sein. Vor allem aber bedarf es „Angaben zum Onlineverhalten des Benutzers“, um den Trojaner so zu verpacken, dass er der Zielperson nicht auffällt. Die vorausgehenden Ermittlungsarbeiten, die „Einbringungsmethode“ und die Überwachung selbst sind zeitlich und personell aufwändig: Es braucht laut BMI „mindestens zwei Personen, die den Controller bedienen, dazu unter Umständen Ermittler und Dolmetscher“.[17]
Das BKA verfügt seit Anfang 2009 über eine Rechtsgrundlage für solche Aktionen zur „Abwehr von Gefahren des internationalen Terrorismus“ (§ 20k BKA-Gesetz). Bis April 2010 habe es „Online-Durchsuchungen“ weder beantragt noch durchgeführt, so die Bundesregierung im Mai 2010. Auf eine Nachfolgefrage der Linken im April 2011 teilte sie nur mit, dass das BKA von der Befugnis Gebrauch mache. Vermutlich dürfte der Festnahme der „Düsseldorfer Zelle“ am 29. April 2011 eine „Online-Durchsuchung“ vorausgegangen sein.[18]
Bisher verfügen nur Rheinland-Pfalz (seit Februar 2011) und Bayern (seit August 2008) über entsprechende Regelungen in ihrem Polizeirecht. § 34d des Bayerischen Polizeiaufgabengesetzes erlaubt nicht nur die Erhebung von Daten durch den „verdeckten Zugriff“ auf einen Computer, sondern auch deren Löschung zur Abwehr einer gegenwärtigen Gefahr für Leib und Leben. Die Regelung unterscheidet zwischen dem Zugriff auf Zugangs- und dem auf gespeicherte Daten. Nur über die Erhebung (bzw. Löschung) der Letzteren muss die Landesregierung jährlich berichten. „Berichtspflichtige“ Maßnahmen gab es bisher nicht.[19]
Die Geheimdienste des Bundes hatten seit 2005 „Online-Durchsuchungen“ durchgeführt, erklärte das Bundeskanzleramt im April 2007 vor dem Innenausschuss des Parlaments. Gemäß den Antworten der Bundesregierung auf diverse Anfragen hat das Bundesamt für Verfassungsschutz seit Januar 2007 wegen der fehlenden Rechtsgrundlagen keine solchen Aktionen mehr vorgenommen.[20] Nachdem das BVerfG die Regelung im Nordrhein-westfälischen Landesverfassungsschutzgesetz für nichtig erklärt hat, ist das Bayerische das einzige, das eine Befugnis zur „Online-Datenerhebung“ enthält (Art. 6e), die aber angeblich noch nicht angewandt wurde.[21] Die Bundesregierung hat mittlerweile eingesehen, dass der Bundesnachrichtendienst (BND) keine Befugnis für den Einsatz von Trojanern im Landesinnern und gegen deutsche StaatsbürgerInnen hat. Für den Einsatz im Ausland stützt man sich auf die allgemeine Aufgabennorm des BND-Gesetzes. Bereits 2009 hieß es, der Dienst habe „in den vergangenen Jahren mindestens 2.500 Computer im Ausland infiltriert.“ Über die heutige Praxis schweigt sich die Regierung aus.[22]
Unübersichtlich ist die Situation auch bei der so genannten Quellen-TKÜ, bei der es um die Überwachung von Ton- und Bildkommunikation über Skype oder andere Internettelefonie-Dienste geht. Diese können anders als die übliche Mobil- oder Festnetztelefonie nicht beim Anbieter „angezapft“ werden. Die Kommunikation wird bereits vor dem „Versand“ ver- bzw. erst nach dem Empfang auf dem PC entschlüsselt. Sie kann deshalb nur auf dem Computer selbst mithilfe eines Trojaners überwacht werden. Der Gefahr, dass bei dieser Gelegenheit auch sonstige gespeicherte Inhalte kontrolliert werden, dass aus der Kommunikationsüberwachung also eine „Online-Durchsuchung“ wird, wollte das BVerfG vorbeugen und forderte „technische Vorkehrungen und rechtliche Vorgaben“.
Letztere gibt es bisher jedoch nur im präventivpolizeilichen Bereich: im BKA-Gesetz – zur Abwehr von Gefahren des internationalen Terrorismus – sowie einigen Länderpolizeigesetzen (Thüringen – § 34 Abs. 2 Satz 2 POG, Rheinland-Pfalz – § 31c POG, Hessen – § 15b HSOG). Obwohl eine explizite Regelung in der StPO fehlt, scheint die Methode vor allem im Rahmen von Ermittlungsverfahren angewandt zu werden. Die Behörden und die anordnenden Gerichte stützen sich dabei auf die traditionelle Befugnis zur Telekommunikationsüberwachung (§ 100a StPO), der sie eine „Annexkompetenz“ zur Verwendung von Trojanern andichten.[23]
Wie umstritten dies ist, zeigt das Beispiel Hamburg: 2007 lehnte das Landgericht (LG) eine erste Anordnung zur Quellen-TKÜ ab. 2009 folgte das Amtsgericht dieser Linie, die das LG selbst dann ein Jahr später über den Haufen warf.[24] Das Bayerische LKA machte seine ersten beiden Quellen-TKÜ 2009, zwei weitere folgten 2010. Die dabei eingesetzte Software ermöglichte nicht nur das Belauschen der Skype-Gespräche, sondern übermittelte alle 30 Sekunden einen „Screenshot“. Je nach Einstellung gibt ein solches Bild der Monitor-Oberfläche gleich das ganze Adressbuch der überwachten Person her. Der Übergang zur „Online-Durchsuchung“ ist also fließend. Das LG Landshut segnete zwar die Quellen-TKÜ ab, erklärte aber die Übermittlung „grafischer Inhalte“ für rechtswidrig.[25]
Es dürfte nur eine Frage der Zeit sein, bis der findige Gesetzgeber diese rechtlichen Unklarheiten beseitigt. Bestrebungen auf EU-Ebene dürften nationale Beschränkungen aufweichen.[26] Ob es das BVerfG wagt, europäische Vorgaben zurückzuweisen, ist fraglich. Die einzige Bremse für die Trojaner ist – vorläufig – der technische und personelle Aufwand.