 |
# taz.de -- Verfassungsgericht zu Sicherheitslücken: Staat muss Handynutzer sc… |
|
|
|
> Sicherheitsbehörden nutzen IT-Sicherheitslücken, um Staatstrojaner zu |
|
> installieren. Die Richter in Karlsruhe fordern jetzt neue Regeln. |
|
|
 |
Bild: Spionage ja, aber nur staatlich geregelt |
|
|
|
Karlsruhe taz | Der Staat muss regeln, wann Behörden IT-Sicherheitslücken |
|
nutzen dürfen, um Staatstrojaner zu installieren – und wann sie stattdessen |
|
besser den Hersteller informieren. Das entschied jetzt das |
|
Bundesverfassungsgericht. Eine Klage der Gesellschaft für Freiheitsrechte |
|
gegen das baden-württembergische Polizeigesetz lehnte das Gericht jedoch |
|
als unzulässig ab. |
|
|
|
Anlass für die Entscheidung: Das grün-schwarz regierte Baden-Württemberg |
|
hatte im Oktober 2020 der Landespolizei erlaubt, zur Gefahrenabwehr |
|
Staatstrojaner einzusetzen. [1][Andere Bundesländer haben solche |
|
Regelungen] schon länger. Zur Strafverfolgung ist dies bereits seit 2017 |
|
möglich. |
|
|
|
Der Staatstrojaner ist eine Spähsoftware, die installiert wird, um |
|
Kommunikation (Telefonate, Email, Messenger) vor der Verschlüsselung an die |
|
Polizei auszuleiten. Dies nennt man Quellen-Telekommunikationsüberwachung |
|
(Quellen-TKÜ). Eine der Möglichkeiten, den Trojaner auf einem Smartphone |
|
oder Computer zu installieren, ist die Ausnutzung von IT-Schwachstellen. |
|
Behörden können diese selbst finden oder (in der Regel) von Hacker:innen |
|
ankaufen. |
|
|
|
Gegen die Änderung des Stuttgarter Polizeigesetzes klagte die Gesellschaft |
|
für Freiheitsrechte (GFF) beim Bundesverfassungsgericht. Das Land habe die |
|
Grundrechte verletzt, indem es den Behörden nicht verboten hat, unbekannte |
|
IT-Sicherheitslücken zu nutzen. Die Behörden sollten stattdessen |
|
verpflichtet werden, die IT-Hersteller sofort über die Schwachstellen zu |
|
informieren, damit diese nicht von Kriminellen genutzt werden können. Es |
|
fehle jedenfalls an einem „Schwachstellen-Management“ für |
|
Sicherheitslücken. |
|
|
|
## Klage unzulässig, aber … |
|
|
|
Der Erste Senat des Bundesverfassungsgerichts lehnte die GFF-Klage nun als |
|
„unzulässig“ ab. Die Bürgerrechtler:innen hätten zunächst bei den |
|
Fachgerichten klagen müssen, bevor sie nach Karlsruhe gehen. |
|
|
|
Das Bundesverfassungsgericht nutzte den Fall jedoch, um erste Maßstäbe zu |
|
setzen. Danach entstehe eine „Schutzpflicht“ des Staates, wenn Behörden von |
|
bisher unbekannten IT-Sicherheitslücken erfahren. Die Bürger könnten sich |
|
schließlich nicht schützen, während die Sicherheitslücke auch von |
|
Verbrecher:innen missbraucht werden könnte, zum Beispiel um die Daten |
|
von Unternehmen und Kommunen zu verschlüsseln und nur gegen Zahlung eines |
|
Lösegelds wieder freizugeben. |
|
|
|
Die Richter:innen haben diese Schutzpflicht aber relativ schwach |
|
ausgestaltet. Sie verpflichten die Behörden nicht, die IT-Hersteller über |
|
unbekannte Sicherheitslücken zu informieren. Die Behörden müssen zum Schutz |
|
der Nutzer vor Angriffen nur „beitragen“. Der Gesetzgeber habe hierbei |
|
einen „Einschätzungs-, Wertungs- und Gestaltungsspielraum“. |
|
|
|
Jetzt müssen die Verwaltungsgerichte entscheiden, ob es ausreicht, wenn zum |
|
Beispiel im baden-württembergischen Polizeigesetz vorgegeben ist, dass die |
|
eingesetzten Mittel (also auch die ausgenutzten IT-Sicherheitslücken) |
|
„gegen unbefugte Nutzung“ zu schützen sind. |
|
|
|
Die Karlsruher Entscheidung war mit Spannung erwartet worden, nachdem ein |
|
internationales Medienkonsortium jüngst enthüllte, wie autoritäre Regime |
|
[2][die Trojaner-Software Pegasus missbrauchen], um Oppositionelle zu |
|
überwachen. Ein Weg, Pegasus auf einem Smartphone zu installieren, ist die |
|
Ausnutzung von IT-Sicherheitslücken. |
|
|
|
21 Jul 2021 |
|
|
|
## LINKS |
|
|
 |
[1] /Umstrittene-Ermittlungsmethode/!5747435 |
|
[2] /Pegasus-Software-und-Emmanuel-Macron/!5788607 |
|
|
|
## AUTOREN |
|
|
|
Christian Rath |
|
|
|
## TAGS |
|
|
|
Bundesverfassungsgericht |
|
Staatstrojaner |
|
Schwerpunkt Überwachung |
|
Datenschutz |
|
Soziale Medien |
|
Schwerpunkt Bundestagswahl 2025 |
|
Bundesgerichtshof |
|
Schwerpunkt Pressefreiheit |
|
Schwerpunkt Pressefreiheit |
|
Schwerpunkt Überwachung |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Aufmerksamkeitsökonomie: Wo ist die Konzentration hin? |
|
|
|
Menschen bleiben teilweise nur Sekunden bei einer Aufgabe. Ein Sachbuch |
|
erklärt, wie wir am Bildschirm die Aufmerksamkeit verlernt haben. |
|
|
|
Innere Sicherheit von Rot-Grün-Gelb: Big Ampel is watching you |
|
|
|
Eine mögliche Ampelregierung will mit einer progressiven Sicherheitspolitik |
|
aufwarten. Doch beim Thema Überwachung herrscht Streit. |
|
|
|
Urteil zu Hass-Posts bei Facebook: Erst anhören, dann sperren |
|
|
|
Der Bundesgerichtshof verlangt von Facebook mehr Schutz von Nutzer:innen, |
|
die Hass-Posts absetzen. Ein Mann aus Regensburg war vor Gericht gegangen. |
|
|
|
Israelischer Hacker über Pegasus und NSO: „Sie sind skrupellos“ |
|
|
|
Gegen hochentwickelte Cyberwaffen wie Pegasus hat man keine Chance, sagt |
|
Aktivist Yuval Adam. Die Angriffe sind für ihn nicht überraschend. |
|
|
|
Spionagesoftware für Unrechtsstaaten: Pegasus ist kein Einzelfall |
|
|
|
Pegasus ist der Traum aller Geheimdienstler:innen – und ein Alptraum |
|
für Oppositionelle. |
|
|
|
Umstrittene Staatstrojaner: Mehr Kompetenzen für Geheimdienste |
|
|
|
Der Bundestag beschließt, die Regeln für deutsche Geheimdienste zu lockern. |
|
Sie sollen nun verschlüsselte Chats mitlesen dürfen. |
