Drücken Sie „Enter“, um den Inhalte zu überspringen

Emotet-Takedown: Der Zweck heiligt nicht die Mittel

Beschlagnahmte Beweismittel auf dem Boden

Sven Herpig leitet bei der Stiftung Neue Verantwortung den Bereich Internationale Cyber-Sicherheitspolitik. Dennis-Kenji Kipker ist Jurist und wissenschaftlicher Geschäftsführer am Institut für Informations-, Gesundheits- und Medizinrecht (IGMR) an der Universität Bremen. Darüber hinaus ist er im Vorstand der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin tätig.

Cyberkriminalität im engeren Sinne ist die aktuell vermutlich größte Gefährdung für den Cyberraum. Das Bundeskriminalamt (BKA) definiert sie als „Straftaten die sich gegen das Internet, weitere Datennetze, informationstechnische Systeme oder deren Daten richten“. Daher sind Erfolge gegen Plattformen und Gruppen von Kriminalität, wie der aktuelle Takedown der Schadsoftware-Infrastruktur Emotet, besonders wichtig.

Jedoch müssen wir auch bei solchen Erfolgsmeldungen hinterfragen, ob die handelnden Behörden im Rahmen ihrer Befugnisse gehandelt haben. Im Falle vom Emotet-Takedown hat es den Anschein, als habe das Bundeskriminalamt seine Befugnisse hier nicht nur gedehnt, sondern überschritten.

Medizin wider Willen

Die Informationen über das genaue Vorgehen und die Rolle des Bundeskriminalamtes beim Vorgehen gegen Emotet sind noch nicht vollständig öffentlich. Das Bundeskriminalamt hat aber mit hoher Wahrscheinlichkeit ohne Wissen oder Zustimmung der jeweiligen Besitzer:innen in die Integrität der Computersysteme der Emotet-Opfer, und damit in ihr Computergrundrecht, eingegriffen.

Dafür nutzten die Ermittler:innen eine von der deutschen Firma G Data entwickelte Software, die im Rahmen des Takedowns auf die Computersysteme der Emotet-Opfer aufgespielt wurde. Das Programm soll die Emotet-Schadsoftware auf den Systemen neutralisieren. Als Analogie kann man sich hier vorstellen, dass die Behörde den infizierten Opfern eine Pille Dritter verabreicht hat, damit sie wieder gesund werden. Die Opfer erfuhren davon aber nichts, hatten dem nicht zugestimmt und wissen nichts über mögliche Nebenwirkungen.

Der Schlachter am Skalpell

Der Eingriff in das Computergrundrecht durch Behörden ist eine hoch-invasive Maßnahme, weshalb das Bundesverfassungsgericht für ihre Durchführung hohe Voraussetzungen festgelegt hat – ein zentraler Punkt hierbei ist die Gefahrenabwehr. Seit mehreren Jahren diskutieren die Bundesregierung und Expert:innen über die Grundlage und Maßnahmen der Gefahrenabwehr im Cyberraum – oder „aktive Cyberabwehr“, auch bekannt als „Hackback“.

Die Gefahrenabwehr kann den Eingriff in das Computergrundrecht durch das Bundeskriminalamt aus zwei Gründen nicht rechtfertigen. Zum einen waren die notwendigen Rahmenbedingungen im vorliegenden Fall nicht erfüllt. Es müssen beispielsweise „tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen“. Zum anderen sind für die Gefahrenabwehr im Cyberraum bei Kriminalität die Länder zuständig und nicht der Bund. Die aktuellen Diskussionen beim IT-Sicherheitsgesetz 2.0 zwischen Bund und Ländern deuten daraufhin, dass die Zuständigkeiten an mehreren Ecken und Enden des Cyberraums noch nicht geklärt sind.

Selbst wenn man annehmen würde, dass es sich bei den durch das BKA getroffenen Maßnahmen nicht um Gefahrenabwehr, sondern um Strafverfolgung handelt, und auf den Rechnern der Betroffenen daher Maßnahmen zur Beweissicherung durchgeführt werden können, wäre das eine höchst abenteuerliche Konstruktion: Dies zum einen, da sich der vorliegende Fall der Strafermittlung nicht zweifelsfrei zuordnen lässt, und zum anderen deshalb, weil die Beweissicherungsmaßnahmen auf den IT-Systemen völlig Unbeteiligter stattgefunden haben.

Auch müsste eine solche technische Maßnahme klar zur Online-Durchsuchung abgegrenzt werden, die verfassungsrechtlich höchsten Anforderungen genügen muss. Keinesfalls darf der Eingriff in informationstechnische Systeme einer Vielzahl Unbeteiligter auf eine juristische Argumentation gestützt werden, die sich in der rechtlichen Grauzone bewegt.

Selbst wenn das Bundeskriminalamt eine andere Rechtsgrundlage für sein Handeln anführt, müsste es immer noch glaubwürdig rechtfertigen, warum es nicht die am wenigsten invasive Maßnahme zur Zielerreichung durchgeführt hat. Mit dem aktuellen Telekommunikationsgesetz können Behörden Informationen an die Telekommunikationsdienstleister liefern, damit diese a) die Opfer unter ihren Kunden informieren und Bereinigungsmöglichkeiten bereitstellen und b) eben diese Kunden solange vom Internet trennen, bis diese ihre Systeme entsprechend bereinigt haben („Walled Garden“).

Während es selten zum gewünschten Ergebnis führt, Kund:innen nur zu warnen – vergleiche zum Beispiel die wiederholten Warnungen von CERT-Bund –, so wären Maßnahmen nach dem „Walled-Garden“-Prinzip zielführend und weniger invasiv gewesen. Davon abgesehen, dass sie von bestehendem Recht gedeckt gewesen wären.

Auch ein interessanter Artikel:  Nein, mit einer Resolution des Europarates ist ein „Impfzwang“ nicht rechtswidrig 

Die drei Paragraphen(-reiter) der Computergrundrechts-Apokalypse

Der vorliegende Fall illustriert plastisch, wie es die Bundesregierung auf den Eingriff in das Computergrundrecht durch Behörden abgesehen hat. Das Kompromittieren von IT-Systemen zur Abwehr von Cyberoperationen [sic!] bringt die Bundesregierung seit Jahren immer wieder auf die Agenda. Darunter fallen auch Maßnahmen, die noch nicht durch geltendes Recht abgedeckt sind und denen ähneln, die das Bundeskriminalamt angewandt hat. Bislang war die Debatte dabei verhältnismäßig fruchtlos, so wurden weder klare Behördenzuständigkeiten noch Rechtsgrundlagen geschaffen.

Zusätzlich sind im aktuellen Entwurf des Gesetzes zur Anpassung des Verfassungsschutzrechts rechtliche Erweiterungen berücksichtigt, die nicht nur allen deutschen Nachrichtendiensten den Einsatz des Staatstrojaners erlauben, sondern die Internetdiensteanbieter auch noch zur Mitwirkung verpflichten.

Komplettiert wird das Triumvirat der Computergrundrechts-Eingriffe durch die im aktuellen Kabinettsentwurf zum IT-Sicherheitsgesetz 2.0 geforderten Befugnisse, die es Behörden ermöglichen, Internetdiensteanbieter anzuweisen, Software(-Updates) ohne Wissen oder Zustimmung der Kunden auf ihre Systeme aufzuspielen. Warum bestehende, weniger invasive Maßnahmen aus dem Telekommunikationsgesetz nicht ausreichen, erklärt die Bundesregierung bisher nicht.

Fast schon könnte man annehmen, dass polizeiliche Generalklauseln zur Rechtfertigung eingriffsintensiver behördlicher Maßnahmen in das Computergrundrecht herangezogen werden, um eine Art von „Gewohnheitsrecht“ zu begründen. Den erhöhten verfassungsrechtlichen Anforderungen genügt das jedoch keineswegs. Ein solches Vorgehen ist höchst gefährlich: Es höhlt nicht nur schleichend eine zentrale grundrechtliche Gewährleistung des Informationszeitalters aus, sondern es droht auch, eine zunehmende Gleichgültigkeit seitens der Behörden und Gewohnheit seitens der Bürger:innen für Eingriffe in IT-Systeme zu fördern.

Verfassungsrechtliche Überprüfung notwendig

Bundeskriminalamt und Bundesregierung werden über jeden Zweifel erhaben sein und vortragen, dass man im Rahmen geltenden Rechts gehandelt habe. Auf Basis der aktuellen Informationen ist dies aber zumindest zu bezweifeln.

Abhilfe könnten Klagen betroffener Bürger:innen und Firmen schaffen, denn in ihre Systeme hat das Bundeskriminalamt ohne Warnung und Zustimmung eingegriffen, wenngleich weniger invasive Mittel mit weniger Nebenwirkungen möglich gewesen wären. Dann müssten die Gerichte entscheiden – die grundsätzliche Problematik wäre damit aber nicht geklärt.

Dass das Bundeskriminalamt seine Befugnisse gedehnt oder überschritten hat, wiegt viel schwerer. Davon sollten auch nicht die positiven Auswirkungen des Emotet-Takedowns ablenken. Hier geht es nicht um die Frage nach faktisch erzielten Ergebnissen, sondern um die juristische Beurteilung, ob ein bestimmtes Ergebnis überhaupt hätte erzielt werden dürfen.

Man könnte versucht sein zu denken, dass die Bundesregierung versucht, mit solchen Operationen Fakten zu schaffen, um die zukünftigen Policies in diesem Bereich – im Rahmen der Anpassung des Verfassungsschutzrechts, des IT-Sicherheitsgesetzes 2.0 und zukünftig im Rahmen der Gesetzgebung zu aktiver Cyberabwehr – zu untermauern. Die normative Kraft des Faktischen, ohne Rücksicht auf verfassungsrechtliche Verluste und Beschädigungen der Integrität von IT-Systemen vorrangig Privater. Und ohne Rücksicht auf die Tatsache, dass das Bundesverfassungsgericht seinerzeit schon feststellte, dass allein mit der Infiltration eines Computersystems die Möglichkeit besteht, eine „Totalausspähung“ zu betreiben. Denn „wird ein komplexes informationstechnisches System […] technisch infiltriert, so ist mit der Infiltration die entscheidende Hürde genommen, um das System insgesamt auszuspähen“.

Aus diesem Grund sollte nicht auf die Klage von Betroffenen gewartet werden, um herauszufinden, ob die Maßnahmen des Bundeskriminalamtes rechtlich einwandfrei waren oder nicht. Sie müssen verfassungsrechtlich überprüft werden, noch bevor die Anpassung des Verfassungsschutzrechts oder das IT-Sicherheitsgesetz 2.0 verabschiedet werden. Soviel Rechtsstaat muss schon sein.


Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Hier weiter lesen...

WEG MIT
§219a!