Im Innenausschuss des Bundestags wurde gestern in einer Sachverständigen-Anhörung die Reform des Bundespolizeigesetzes (BPolG) diskutiert. Die Bundesregierung hatte dazu im Dezember einen umfangreichen Gesetzentwurf vorgelegt, der die Befugnisse der Bundespolizei ausbauen soll.

Künftig soll nun auch die Bundespolizei hacken dürfen. Dafür könnten Polizeibeamte Computer oder Smartphones mit Schadsoftware infiltrieren, um laufende Kommunikation und einige weitere Daten auszuleiten.

Neu sind im Gesetzentwurf auch die verdachtsunabhängigen Kontrollen in sogenannten „Waffenverbotszonen“, die von der Ampel-Vorgängerregierung für die Bundespolizei bereits beschlossen worden waren, aber im Bundesrat scheiterten. Diese Kontrollen stehen in der Kritik, weil die Diskriminierung von bestimmten Personengruppen befürchtet wird. Die früher geplanten Kontrollquittungen, die von Polizeibeamten nach solchen Kontrollen ausgehändigt werden sollten, fehlen im Gesetzentwurf.

Weggefallen im Vergleich zum Entwurf der Ampel ist auch die Kennzeichnungspflicht für Polizisten. Uli Grötsch, SPD-Politiker und der Polizeibeauftragte des Bundes beim Deutschen Bundestag, nannte den Streit darum eine „rein ideologische Debatte“. Es gäbe keine schlechten Erfahrungen damit auf Polizeiseite. Er bedauerte die fehlende Kennzeichnungspflicht, die polizeiliches Handeln nachvollziehbarer und transparenter gemacht hätte.

Kritische Anmerkungen von einigen geladenen Sachverständigen betrafen auch die neuen Regelungen zu V-Personen. Das sind polizeiliche Informationszuträger, die aber keine Polizeibeamten sind. Zwar sei der Kernbereichsschutz der Überwachten – also der Schutz ihrer Intimsphäre – im Gesetzentwurf enthalten, damit die V-Personen nicht etwa enge Beziehungen zu Ausgehorchten aufnehmen. Was aber darin fehle, seien zeitliche Vorgaben und ein Katalog, der vorgibt, welche Personen ungeeignet sind. Der war im Vorgängerentwurf der Ampel-Regierung noch enthalten. Er sollte dafür sorgen, dass keine Menschen als V-Personen in Frage kommen, die beispielsweise geschäftsunfähig oder minderjährig sind oder ihr Einkommen wesentlich über Polizeizahlungen beziehen.

Staatstrojaner gegen WhatsApp

Das Bundespolizeigesetz ist ein umfängliches Regelwerk mit zahlreichen Neuerungen. Der Deutsche Anwaltverein (DAV) hatte schon in seiner ersten Stellungnahme zum Referentenentwurf die „äußerst kurze Stellungnahmefrist“ bemängelt, die der umfassenden Reform nicht gerecht werden könne. Der DAV konzentrierte sich daher auf besonders Kritikwürdiges. Dazu gehört die neue Regelung zu einer Version des Staatstrojaners, die im Amtsdeutsch „Quellen-Telekommunikationsüberwachung“ heißt. Diese Form des Staatstrojaners wird durch den Gesetzentwurf erstmals für die Bundespolizei zur Abwehr von Gefahren eingeführt.

Die „Quellen-TKÜ“ lehnt zwar ihren Namen an die Überwachung laufender Telekommunikation an, ist aber praktisch ein Hacking-Werkzeug. Die dafür notwendige Schadsoftware wird unter Ausnutzung von Sicherheitslücken heimlich auf einem Endgerät aufgebracht und zeichnet die gewünschten Inhalte unbemerkt vom Nutzer auf.

Im Gesetzentwurf heißt es, dass die Überwachung und Aufzeichnung von Telekommunikation „ohne Wissen der betroffenen Person auch in der Weise erfolgen [darf], dass mit technischen Mitteln in von der betroffenen Person genutzte informationstechnische Systeme eingegriffen wird“, um an verschlüsselte Gespräche oder Messenger-Nachrichten zu kommen. Die Gesetzesbegründung erwähnt beispielsweise konkret den Messenger WhatsApp, der sich allerdings auch ohne Staatstrojaner als abhörbar erwies.

„Nicht zu Ende gedacht“

Neben der laufenden Telekommunikation sollen mit dem Staatstrojaner auch weitere Kommunikationsinhalte überwacht werden dürfen, „deren Übertragung zum Zeitpunkt der Überwachung bereits abgeschlossen ist“. Praktisch wären das beim Beispiel WhatsApp etwa gespeicherte Chat-Verläufe, die ebenfalls heimlich von der Schadsoftware aufgezeichnet werden dürften. Der Zeitpunkt der Anordnung des Staatstrojaners soll maßgeblich dafür sein, wie weit in die Vergangenheit die Schadsoftware gespeicherte Kommunikationsinhalte überwachen darf.

Die Sachverständige Lea Voigt, Juristin und Vorsitzende des Ausschusses Recht der Inneren Sicherheit im DAV, sieht die Hacking-Befugnisse in ihrer Stellungnahme kritisch. Sie seien auch „nicht zu Ende gedacht“, sagte sie im Ausschuss. Denn laut der Begründung des Gesetzes sind sie für sofortige Interventionen vorgesehen, um Gefahren schnell abzuwehren. Staatstrojaner seien jedoch gar nicht sofort einsetzbar, sondern bräuchten eine gewisse Vorlaufzeit, um die Schadsoftware an Hard- und Software anzupassen, die sie heimlich ausspionieren soll. Die Begründung überzeuge also nicht.

Heiko Teggatz, stellvertretender Bundesvorsitzender der Deutschen Polizeigewerkschaft, wurde in der Anhörung nach einem Beispiel für den Staatstrojanereinsatz gefragt. Er betonte, dass nur die Gefahrenabwehr im Vordergrund stünde, etwa bei Schleusungen. Es „komme nicht selten vor“, dass Polizisten beispielsweise „Handynummern bei geschleusten Personen“ fänden. Keiner wisse, ob es sich dabei um Nummern von Kontaktpersonen, Schleusern oder Angehörigen handele. Dann könne es um die abzuwendende Gefahr gehen, dass an unbekanntem Ort „irgendwo in Europa“ ein LKW führe, in dem Menschen zu ersticken drohten. Ein Staatstrojaner müsse dann „schnell zur Gefahrenabwehr“ genutzt werden.

Es herrscht offenkundig nicht nur bei Teggatz die Vorstellung, dass eine Spionagesoftware ein geeignetes Werkzeug sei, um in kürzester Zeit eine laufende Kommunikation abhören zu können. Denn auch in der Gesetzesbegründung ist der Staatstrojaner als „gefahrenabwehrende Sofortintervention“ charakterisiert.

Die Sachverständige Voigt weist in ihrer Stellungnahme diese Vorstellung ins Reich der Phantasie und zitiert den Generalbundesanwalt. Der hatte aus praktischen Erfahrungen berichtet, dass die Umsetzung der „Quellen-Telekommunikationsüberwachung“ einige Zeit brauche: „In der Regel“ würden „zwischen Anordnung und Umsetzung jedenfalls einige Tage vergehen“.

Staatstrojaner sind Sicherheitsrisiken

Eine „Quellen-TKÜ“ birgt unvermeidlich verschiedene Risiken. Denn ein Staatstrojaner lässt sich nur heimlich einschleusen, wenn IT-Sicherheitslücken bei den gehackten Geräten offenstehen. Und dass sie offengelassen und eben nicht geschlossen werden, ist eine aktive Entscheidung und ein Sicherheitsrisiko für alle Computernutzer.

Zudem hat sich in den letzten Jahren ein wachsender Markt an kommerziellen Staatstrojaner-Anbietern etabliert, der eine zunehmende Bedrohung für die IT-Sicherheit, aber auch für die Achtung der Grund- und Menschenrechte ist. Wird eine Polizeibehörde Kunde eines solchen Anbieters, finanziert sie diesen gefährlichen Markt.

Der Sachverständige Kai Dittmann von der Gesellschaft für Freiheitsrechte (GFF) kritisierte, dass die „Quellen-TKÜ“ der Bundespolizei erlaubt werden soll, obgleich noch immer Vorschriften zum Schwachstellenmanagement fehlen. Denn in Deutschland gibt es bisher keine Regelungen, die IT-Sicherheitslücken hinsichtlich ihrer Risiken bewerten und vorschreiben, wie diese Schwachstellen jeweils zu behandeln sind. Dittmann verwies auf Millionenschäden für die Wirtschaft in Deutschland, die durch offene IT-Sicherheitslücken und Schadsoftware entstünden. Er forderte, ein staatliches Schwachstellenmanagement gesetzlich vorzuschreiben. Die „Quellen-TKÜ“ dürfe erst danach eingeführt werden.

Der Sachverständige erntete damit bei der grünen Innenexpertin und Polizeibeamtin Irene Mihalic Zustimmung. Sie nannt eine Staatstrojanerbefugnis für die Bundespolizei ohne ein vorgeschriebenes Schwachstellenmanagement „unverantwortlich“.

Auch Amnesty International hatte die Staatstrojaner-Befugnis kritisiert und die Besorgnis geäußert, dass die „Quellen-TKÜ“ auch gegen Personen zum Einsatz kommen könnte, die friedliche Proteste planen: Denn der Staatstrojaner „soll bezüglich Straftaten erlaubt werden, die etwa die Störung von öffentlichen Betrieben oder bestimmte Eingriffe in den Straßenverkehr erfassen, und zum Schutz von Einrichtungen des Bahn- und Luftverkehrs – Orten, an denen oft Proteste etwa für mehr Klimaschutz oder gegen Abschiebungen stattfinden“, wie Amnesty International schrieb. In einem Klima zunehmender Repression von friedlichem Protest forderte die Menschenrechtsorganisation „entsprechende Klarstellungen, die einen solchen Missbrauch ausschließen“.

Der Sachverständige Marc Wagner von der Hochschule des Bundes für öffentliche Verwaltung verwies hingegen darauf, dass die „Quellen-TKÜ“ beim Bundeskriminalamt und in einigen Landespolizeigesetzen doch „längst Standard“ wäre. Das sei „nicht anderes als ein Update“. Doch selbst Wagner sieht wie die Sachverständigen Voigt und Dittmann die Eingriffsschwellen für den Staatstrojanereinsatz als zu niedrig.

Dittmann von der GFF bescheinigte dem Gesetzentwurf bei der Staatstrojanerbefugnis zudem „handwerkliche Fehler“. Insgesamt seien die Regelungen bei dieser sehr eingriffsintensiven Maßnahme nicht überzeugend.

Auch gute Nachrichten

Es gibt aus bürgerrechtlicher Sicht auch gute Nachrichten: Sowohl der Ausbau der Gesichtserkennung als auch Regelungen, die eine automatisierte Big-Data-Analyse nach Art von Palantir ermöglichen, sind nicht unter den neuen Befugnissen. Auch findet sich keine „KI“ im ganzen Gesetzentwurf.

Vielleicht ist das auch aus Kostengründen eine gute Nachricht, denn technisierte Überwachung ist ein teures Unterfangen. Der Polizeibeauftragte Grötsch wies in der Anhörung darauf hin, dass Bundespolizisten auch mit lange verschleppten Baumaßnahmen und schlechten Bedingungen an ihren Arbeitsplätzen zu kämpfen hätten, die er „teilweise desolat“ nannte. Die hohen Geldsummen für ohnehin fragwürdige Staatstrojaner-Anbieter könnten vielleicht woanders in der Bundespolizei sinnvoller investiert werden.