Werden Messenger-Dienste wie WhatsApp, Signal oder Telegram von der Polizei überwacht, darf dies kein Freibrief für den Zugriff auf das gesamte digitale Vorleben eines Verdächtigen sein. In einem richtungsweisenden Beschluss vom 20. Januar hat der Bundesgerichtshof (BGH) die Befugnisse der Ermittler beim sogenannten Aufschalten auf Chat-Accounts deutlich eingeschränkt. Die Karlsruher Richter stellten klar, dass die gängige Praxis, bei einer laufenden Überwachung einfach auch die vorhandene Historie zu kopieren, gegen geltendes Recht verstößt.

Chat-Überwachung ist „Quellen-TKÜ“

Bisher wurde die Auswertung von Chatverläufen oft rechtlich wie eine einfache Telefonüberwachung behandelt. Doch der BGH bewertet die Methode, bei der sich die Polizei direkt Zugang zu einem Messenger-Konto verschafft, nun präzise als Quellen-Telekommunikationsüberwachung.

Diese „Quellen-TKÜ“ ist die Antwort des Staates auf Ende-zu-Ende-Verschlüsselung. Früher konnte die Polizei Nachrichten einfach beim Provider „auf der Leitung“ abgreifen. Heute ist das bei vielen Kommunikationsdiensten zwecklos, wenn die Daten dort durchgängig verschlüsselt übertragen werden.

Bei einer Quellen-TKÜ setzen die Ermittler technisch direkt auf dem Endgerät des Nutzers wie einem Smartphone oder Laptop an. Die Kommunikation wird entweder vor der Verschlüsselung beim Absender oder nach der Entschlüsselung beim Empfänger abgefangen. Technisch geschieht dies oft durch Spionagesoftware in Form von Staatstrojanern. Im aktuellen Fall entschieden sich die Ermittler indes für eine heimliche „Aufschaltung“, bei der sie sich als weiteres Endgerät in einen Account einschleichen. Technische Details dazu durften nicht einmal die Karlsruher Richter erfahren.

BGH: Schutz der Integrität ist entscheidend

Der Kern des BGH-Beschlusses liegt in der zeitlichen Trennung der Befugnisse. Der 3. Strafsenat argumentiert, dass die Quellen-TKÜ laut Strafprozessordnung (StPO) ein funktionales Äquivalent zur klassischen Telefonüberwachung sein soll (Az.: 3 StR 495/25). Das Gesetz erlaubt hier auf Basis von Paragraf 100a Absatz 1 Satz 2 StPO nur den Zugriff auf Daten, die „auch während des laufenden Übertragungsvorgangs“ hätten überwacht werden können.

Damit ist ein explizites Verbot der rückwirkenden Überwachung festgeschrieben. Der BGH betont, dass die Integrität eines IT-Systems ein hohes Gut ist. Wenn Ermittler sich Zugang verschafften, müssten sie technisch sicherstellen, dass sie wirklich nur die aktuelle Kommunikation erfassen. Ein automatisches Mitfiltern der Vergangenheit, nur weil die Technik es ermöglicht, ist mit der Rechtsnorm nicht vereinbar.

Will die Polizei dennoch auf alte Nachrichten zugreifen, reicht eine Anordnung zur Quellen-TKÜ nicht aus. Dafür ist laut BGH zwingend eine heimliche Online-Durchsuchung nach Paragraf 100b StPO nötig. Der rechtliche Unterschied ist groß: Während eine Quellen-TKÜ die laufende Kommunikation überwacht, besteht bei einer Online-Durchsuchung Zugriff auf den gesamten Speicher eines Zielgeräts.

Letztere unterliegt strengeren Anforderungen und ist nur bei einem Katalog von „besonders schweren Straftaten“ wie Terrorismus oder Mord zulässig. Im vorliegenden Fall ging es um den illegalen Handel mit Medikamenten und Dopingmitteln. Dies erfüllte nur die Hürden für eine normale Überwachung.

Folgen für die Justiz: Beweisverwertungsverbot

Die Entscheidung hat unmittelbare Folgen für die Verwertbarkeit von Beweisen. In dem Verfahren hatte das Landgericht Aurich einen Mann unter anderem aufgrund von Telegram-Nachrichten verurteilt, die teils fünf Monate vor der richterlichen Anordnung geschrieben worden waren. Der BGH erklärte diese Beweiserhebung für rechtswidrig und ordnete ein Verwertungsverbot an.

Die Richter begründeten dies damit, dass die Missachtung der technischen Sicherungspflichten nicht folgenlos bleiben dürfe. Würden solche Daten dennoch als Beweise zugelassen, gäbe das den Ermittlungsbehörden einen Anreiz, die gesetzlichen Grenzen der Online-Durchsuchung systematisch zu umgehen. Das Landgericht Aurich muss den Fall daher nun ohne die alten Chat-Logs neu aufrollen.

Gül Pinar, Strafverteidigerin und Vizevorsitzende im Strafrechtsausschuss des Deutschen Anwaltvereins (DAV), bezeichnete die Entscheidung gegenüber der ARD als „sehr wichtig und relevant“. Aus ihrer Sicht fehlte für das Auslesen alter Nachrichten bisher die Rechtsgrundlage. Mit seiner Ansage stärke der BGH das IT-Grundrecht, also den Schutz der Vertraulichkeit und Integrität informationstechnischer Systeme. In letzter Zeit habe es tausende Fälle gegeben, „in denen die Polizei auch alte Nachrichten ausgewertet hat“.

(mki)

Der quelloffene Passwort-Manager KeePassXC ist in Version 2.7.12 erschienen. Das Release behebt mehrere Sicherheitsprobleme, allen voran einen Schutz gegen DLL-Injection-Angriffe unter Windows. Außerdem bringt es funktionale Erweiterungen, darunter TOTP-Unterstützung in Auto-Type und verschachtelte Ordner beim Bitwarden-Import.

Wie die Entwickler in ihrem Release-Blog mitteilen, enthält die neue Version Mitigationen gegen Exploits über manipulierte OpenSSL-Konfigurationsdateien auf Windows. Bei einer DLL-Injection schleusen Angreifer bösartige Dynamic Link Libraries in den Adressraum eines laufenden Prozesses ein, um beliebigen Code auszuführen oder Rechte zu erhöhen. KeePassXC 2.7.12 verhindert nun, dass OpenSSL-Konfigurationen als Angriffsvektor für solche Injektionen missbraucht werden.

Passkey-Flags ändern sich – Vorsicht beim Update

Eine potenziell aufwendige Änderung betrifft Passkeys: KeePassXC speichert jetzt die Flags Backup Eligibility (BE) und Backup State (BS) mit jedem Eintrag. Das BE-Flag zeigt an, ob ein Passkey als Multi-Device-Credential gesichert und synchronisiert werden kann, das BS-Flag markiert den aktuellen Sicherungsstatus. Bisher waren beide Werte fest auf false gesetzt, ab Version 2.7.12 stehen sie standardmäßig auf true. Die Entwickler warnen ausdrücklich: „Dies könnte bestehende Passkeys brechen, für die die Flags nicht gespeichert wurden, da die Werte als unveränderlich gelten.“

Wer nach dem Update Probleme mit bestehenden Passkeys feststellt, kann den vorherigen Zustand wiederherstellen, indem er unter „Advanced“ zwei String-Attribute manuell hinzufügt: KPEX_PASSKEY_FLAG_BE=0 und KPEX_PASSKEY_FLAG_BS=0. Zusätzlich wird nun der publicKey in die Register-Response für Passkeys aufgenommen.

TOTP-Platzhalter und verbesserter Browser-Dialog

KeePassXC 2.7.12 unterstützt jetzt {TIMEOTP} als Platzhalter in Auto-Type-Sequenzen und als Entry-Platzhalter. TOTP (Time-based One-Time Password) ist ein RFC 6238 spezifizierter Algorithmus, der aus einem gemeinsamen geheimen Schlüssel und der aktuellen Systemzeit zeitbasierte Einmalpasswörter generiert – typischerweise alle 30 Sekunden. Nutzer können damit automatisch den aktuellen TOTP-Code in Login-Formulare einfügen lassen, ohne ihn händisch aus einer Authenticator-App ablesen zu müssen.

Im Browser-Zugriffsdialog zeigt KeePassXC nun die abgeglichenen URLs in einem Tooltip an. So lässt sich leichter verifizieren, welche Websites tatsächlich Zugriff auf gespeicherte Zugangsdaten anfordern. Außerdem validiert die neue Version die Haupt-Entry-URL bei der Verwendung von Platzhaltern und speichert browserbezogene Werte korrekt in den customData-Feldern.

Bitwarden-Import mit verschachtelten Ordnern

Wer von Bitwarden zu KeePassXC migriert, kann mit der neuen Version auch verschachtelte Ordner übernehmen. Bitwarden nutzt einen Schrägstrich als Trennzeichen für hierarchische Ordnerstrukturen, etwa „Socials/Forums“. KeePassXC 2.7.12 bildet diese Hierarchie beim Import korrekt ab, sodass die Vault-Struktur erhalten bleibt.

Weitere Bugfixes

Unter Linux haben die Entwickler eine Änderung rückgängig gemacht, die eine Race-Condition in der Auto-Type-Funktion verursachte. Darüber hinaus behebt das Release diverse kleinere Probleme: Die Anzeige des Kontrollkästchen-Werts in den Browser-Integrations-Einstellungen stimmt jetzt, Font- und Theme-Darstellung wurden korrigiert, der „Entfernen“-Button in den Plugin-Daten funktioniert wieder ordnungsgemäß, und Dateinamen werden vor dem Speichern von Anhängen bereinigt.

KeePassXC 2.7.12 steht für Windows, Linux und macOS auf der Projektseite zum Download bereit.

Siehe auch:

• KeePassXC: Download schnell und sicher von heise.de

(fo)

Das Europaparlament hat mit deutlicher Mehrheit für die Verlängerung der freiwilligen Chatkontrolle gestimmt – möchte diese aber deutlich einschränken. Nach einer überraschenden Ablehnung zuvor im Justiz-Ausschuss hatten sich die Fraktionen von EVP, S&D sowie Renew im Vorfeld auf gemeinsame Änderungsanträge geeinigt.

Bei der freiwilligen Chatkontrolle 1.0 handelt es sich um eine Ausnahmeregelung. Eigentlich verbietet die Datenschutzrichtlinie für elektronische Kommunikation das Überwachen von Nachrichten ohne Einwilligung der betroffenen Nutzer. Seit 2021 erlaubt aber eine vorübergehende Ausnahme Anbietern eine freiwillige Chatkontrolle. Kommission und Rat wollten sie ein zweites Mal verlängern – das Parlament hat dem nun zugestimmt. Die Ausnahmeregelung wäre sonst am 3. April ausgelaufen, nun ist sie bis 3. August 2027 verlängert.

Neu ist allerdings eine Einschränkung, die das Parlament fordert: In Amendment 5, das vom Parlament mit Mehrheit beschlossen wurde, heißt es, dass das Scannen nur „gezielt, spezifiziert und beschränkt“ auf einzelne Nutzer:innen oder eine bestimmte Gruppe von Nutzern stattfinden dürfe, wenn es einen „begründeten Verdacht“ auf eine Verbindung zu Material über sexuellen Kindesmissbrauch gibt und dieser von der zuständigen Justizbehörde identifiziert worden sei. Durch die Einschränkung wäre ein massenhaftes anlassloses Scannen wie bisher bei der freiwilligen Chatkontrolle nicht mehr möglich.

„Standhaft geblieben“

Die freiwillige Chatkontrolle stand seit Anbeginn in der Kritik, weil es sich um eine Form der Massenüberwachung handelt – auch wenn verschlüsselte Kommunikationen davon ausgeschlossen sind. Zuletzt kritisierte der Europäische Datenschutzbeauftragte das „wahllose Scannen“. Die EU-Kommission selbst konnte in ihren Evaluationsberichten nie die Verhältnismäßigkeit der Maßnahme nachweisen. Nun hat sich das EU-Parlament entschieden, die freiwillige Überwachung auf Verdachtsfälle zu begrenzen.

Bei Digitalorganisationen und Datenschützern löste das Ergebnis Freude aus. Konstantin Macher von der Digitalen Gesellschaft kommentiert gegenüber netzpolitik.org: „Der lautstarke Protest der Zivilgesellschaft hat Wirkung gezeigt. Das Europäische Parlament ist standhaft geblieben und hat das Scannen auf konkrete Verdachtsfälle begrenzt. Das ist eine gute Nachricht.“

Ralf Bendrath, Fraktionsreferent für Grundrechte bei den Grünen im EU-Parlament, spricht auf Mastodon von einem „großen Sieg für den digitalen Datenschutz“. Das sei keine Massenüberwachung mehr. „Jetzt werden die Verhandlungen mit den Mitgliedstaaten interessant. Sie sollen bereits morgen früh beginnen“, so Bendraht weiter.

Die neue Position des Parlaments steht den Plänen der EU-Kommission und vermutlich auch des Ministerrats entgegen.

Wie geht es weiter mit der Chatkontrolle?

Trilog über Chatkontrolle 2.0 läuft

Gleichzeitig verhandeln die EU-Gesetzgeber im Trilog über die CSA-Verordnung. Dieses geplante Gesetz ist ungleich wichtiger: Es wird dauerhaft gelten, es könnte Anbieter auch gegen ihren Willen verpflichten, eine Chatkontrolle 2.0 durchzuführen, und es könnte auch verschlüsselte Kommunikation betreffen.

Über diese Form der verpflichtenden Chatkontrolle haben wir in den letzten vier Jahren sehr viel berichtet. Während die EU-Kommission eine verpflichtende Chatkontrolle auch für verschlüsselte Kommunikationen einführen will, haben sich sowohl das Europaparlament als auch der EU-Ministerrat in ihren Verhandlungen nicht darauf geeinigt. Die Trilog-Verhandlungen sind nun entscheidend dafür, ob diese umfassende und gefährliche Überwachungsmaßnahme abgewendet werden kann. Neben der Chatkontrolle 2.0 gibt es weitere mögliche Grundrechtseingriffe durch die CSA-Verordnung.