Ermittlungsbehörden und Justizbeamte haben erneut falsche Zahlen zum staatlichen Hacken gemeldet. Sechs Bundesländer mussten ihre Statistiken korrigieren, nachdem wir nachgefragt haben.

Das Bundesamt für Justiz veröffentlicht jedes Jahr Statistiken zur Telekommunikationsüberwachung. Im August hat die Behörde zeitversetzt die Zahlen für 2023 veröffentlicht. Wir haben darüber berichtet: Polizei hackt alle fünf Tage mit Staatstrojanern.

Per Informationsfreiheitsgesetz haben wir die Daten angefragt, die das Bundesamt von den Ländern bekommen hat und aus denen es die Berichte erstellt. Diese Daten haben wir auch erhalten, für Telekommunikationsüberwachung und Online-Durchsuchung.

Wieder falsche Zahlen

Doch diese Dokumente enthielten andere Zahlen als die veröffentlichten Statistiken. Anfang September haben wir dem Bundesamt die Widersprüche mitgeteilt und um Prüfung gebeten. Im Januar hat das Amt die Statistiken zum ersten Mal korrigiert. Im Februar nochmal.

Mit der „Quellen-Telekommunikationsüberwachung“ hacken Ermittler Geräte, um Kommunikation auszuleiten. Dieser „kleine Staatstrojaner“ wurde im Jahr 2023 96 Mal angeordnet und 57 Mal eingesetzt. Korrigieren mussten sich Bayern, Hamburg, Hessen, Sachsen und Thüringen.

Mittels „Online-Durchsuchung“ hacken Ermittler Geräte, um sämtliche Daten auszuleiten. Dieser „große Staatstrojaner“ wurde im gleichen Zeitraum 31 Mal angeordnet und sieben Mal eingesetzt. Nordrhein-Westfalen hatte ursprünglich behauptet, die Online-Durchsuchung nicht genutzt zu haben. Tatsächlich gab es fünf Anordnungen in zwei Verfahren und einen Einsatz.

Abhören und Hacken verwechselt

Die veröffentlichten Zahlen zu staatlichem Hacken sind fast immer falsch. Seit fünf Jahren enthalten die Statistiken zur Telekommunikationsüberwachung auch Angaben zum Einsatz von Staatstrojanern. Schon im ersten Jahr waren die Zahlen falsch. Im zweiten Jahr wieder. Und im Dritten. Und jetzt wieder.

Das Bundesjustizamt hat nicht nur die gemeldeten Daten falsch übertragen. Die Länder haben auch falsche Daten geliefert. Das Bundesjustizamt verschickt Fragebögen mit ausführlichen Erklärungen. Landesjustizverwaltungen und Generalbundesanwalt füllen die aus.

Schon bei der ersten Statistik haben die Landesämter „Kreuzchen/Häkchen versehentlich falsch gesetzt“. Das setzt sich bis heute fort. In Sachsen ergab die Überprüfung, dass ursprünglich gemeldete Einsätze der Quellen-TKÜ doch nur „Maßnahmen der klassischen Telekommunikationsüberwachung“ waren.

Die Ermittler haben das Mithören von Telefonie mit heimlichem Hacken verwechselt.

Jura-Trick gegen Grundrecht

Diese Verwirrung ist bereits im Gesetz angelegt. Die Strafprozessordnung enthält einen Paragrafen zur Telekommunikationsüberwachung, der eigentlich das Abhören von Telefonaten regelt. 2017 haben Union und SPD zwei Sätze eingefügt, mit denen Ermittler auch Endgeräte hacken dürfen, um Kommunikation abzuhören.

Das Bundesverfassungsgericht hat staatliches Hacken auf absolute Ausnahmefälle beschränkt und extra ein Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität von IT-Systemen erfunden. Die Quellen-TKÜ ist ein juristischer Trick, um diese strengen Vorgaben zu umgehen.

Befürworter behaupten einfach, dass staatliches Hacken nur die moderne Version der normalen Telefonüberwachung sei.

Dabei ist das heimliche Hacken von Smartphones und Computern ein viel tiefergehender Eingriff in die Grundrechte der Betroffenen. Und Staatstrojaner halten Sicherheitslücken offen, um sie auszunutzen statt sie zu schließen – das gefährdet die Sicherheit aller Menschen.

Die juristische Gleichsetzung von Abhören und Hacken führt auch dazu, dass selbst Staatsanwälte die beiden Maßnahmen miteinander verwechseln. Dabei sind sie Strafrechts-Experten – und ordnen den Einsatz dieser Maßnahmen an.

Licht ins Dunkel

Deshalb sind die Statistiken zur Quellen-TKÜ nur ein Anhang in der Statistik der normalen Telekommunikationsüberwachung. Damit ist nicht erkennbar, bei welchen Straftaten die Quellen-TKÜ eingesetzt wird.

Das Justizamt schreibt nur allgemein: „Wie in den vergangenen Jahren begründete vor allem der Verdacht einer Straftat nach dem Betäubungsmittelgesetz die Überwachungsmaßnahmen.“

Wir haben deshalb Abgeordnete in allen Bundesländern mit demokratischer Opposition gebeten, parlamentarische Anfragen zu stellen: Baden-Württemberg, Bayern, Hamburg, Hessen, Nordrhein-Westfalen, Sachsen, Sachsen-Anhalt, Schleswig-Holstein, Thüringen (Nachklapp) und im Bund.

Hacken wegen Drogen

Für 29 Einsätze der Quellen-TKÜ haben die Regierungen die zugrundeliegende Straftat genannt. In zehn Fällen ging es um Betäubungsmittel, also Drogen. Sieben Mal ging es um Mord, drei Mal um Waffen.

Damit bestätigen die Zahlen erneut: Die Polizei nutzt Staatstrojaner vor allem wegen Drogendelikten. Staat und Überwachungsfirmen lassen Sicherheitslücken in Milliarden Geräten offen, um ein Dutzend Drogendealer zu überwachen.

Wenn Ermittler Geräte hacken dürfen, tun sie das nicht immer. Von 96 Anordnungen wurden nur 57 tatsächlich durchgeführt. Die meisten Regierungen wollen nicht sagen, warum genehmigte Einsätze nicht stattfinden. Wenn sie antworten, nennen sie fast immer „technische Gründe“. Nur einmal gab es neben technischen auch ermittlungstaktische Gründe, an denen ein Trojaner-Einsatz scheiterte.

Mehr Einstellungen als Anklagen

Selbst wenn Trojaner zum Einsatz kommen, führen sie nicht immer zum Ermittlungserfolg. Viele Regierungen geben keine Auskunft zu dieser Frage. Verfahren laufen demnach noch oder wurden abgegeben, eine Antwort wäre zu viel Aufwand oder würde die Sicherheit gefährden.

In den beantworteten elf Fällen gab es nur zwei Urteile und eine Anklage. Vier mal haben Trojaner „keine relevanten Erkenntnisse“ geliefert, drei Verfahren wurden mangels Tatverdacht eingestellt, in einem Fall hat der Hack den ursprünglichen Tatverdacht sogar ausgeräumt.

Keine Regierung nennt die eingesetzten Trojanerprodukte.

Hessen nennt immerhin die Zielgeräte: zwei iPhones, ein Android und ein Laptop mit Windows. Auch Hamburg hat ein iPhone gehackt. Dabei „wurden 896 Dateien in einem Umfang von 0,388 Gigabyte erhoben und ausgewertet“. In einem anderen Fall „wurden Daten im Umfang von circa 70 Gigabyte erhoben und ausgewertet“.

Antwort oder Sicherheit

Die Regierungen in Hamburg und Hessen nennen sogar Kalenderwochen, in denen die Trojaner zum Einsatz kamen. Viele andere Landesregierungen verweigern Auskünfte zu Technik, Daten oder Zeitpunkt. Thüringen verweigert fast jede Antwort, demnach hat die Staatsanwaltschaft die entsprechenden Unterlagen bereits „vernichtet“.

Insgesamt antworten die Bundesländer sehr unterschiedlich. Einige Regierungen beantworten vorbildlich alle Fragen ihrer Abgeordneten. Andere verweigern viele Antworten vollständig, weil eine Auskunft angeblich die Sicherheit gefährdet. Welche Informationen die Sicherheit gefährden, scheint in Deutschland Ansichtssache der Bundesländer zu sein.

Erst vor dem verlängerten Wochenende wurde die Linux-Sicherheitslücke „Copy Fail“ bekannt. Missbrauchen Angreifer sie, können sie auf den meisten größeren Linux-Distributionen seit 2017 in den Standard-Installationen an root-Rechte gelangen. Und das machen sie inzwischen auch.

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt aktuell vor Missbrauch der Schwachstelle in der freien Wildbahn. Sie fasst die Lücke mit der Beschreibung „Sicherheitslücke im Linux-Kernel aufgrund falscher Ressourcenübergabe zwischen Bereichen“ zusammen (CVE-2026-31431, CVSS 7.8, Risiko „hoch“). Gleich mehrere Fassungen von Proof-of-Concept-Exploit-Code stehen inzwischen im Netz zur Verfügung.

Jetzt Updates installieren

Aktualisierter Linux-Quellcode steht bereits seit rund zwei Wochen zur Verfügung. Greg Kroah-Hartman hat erste Patches für die Kernel 6.18.22, 6.19.12 und 7.0 angekündigt sowie weitere Backports in Aussicht gestellt. Inzwischen haben die meisten Linux-Distributionen auch korrigierte Installationspakete dazu im Angebot. IT-Verantwortliche sollten diese zügig herunterladen und installieren.

Die Schwachstelle haben IT-Forscher mit KI-Hilfe gefunden. Sie haben dafür Xint Code verwendet. Linux enthält demnach einen Logikfehler, der lokalen Nutzern im System ermöglicht, einen deterministischen, kontrollierten 4-Byte-Schreibzugriff auf den Page-Cache jedes lesbaren Dateisystems eines Rechners auszuführen. Mit einem Python-Skript von 732 Byte Größe gelingt es den Forschern, eine Binärdatei mit setuid-Flag zu manipulieren und dadurch root-Rechte zu erlangen. Das Ganze passiert im Page-Cache, ohne Spuren etwa auf dem Laufwerk zu hinterlassen. Da der Page-Cache vom Host geteilt wird, können Angreifer sich nicht nur root-Rechte verschaffen, sondern beispielsweise auch aus Containern ausbrechen.

(dmk)

Liebe Leser:innen,

Begriffe wie Notstandsgesetze, Volkszählung, Rasterfahndung, Großer Lauschangriff oder die Otto-Kataloge haben sich in das kollektive Gedächtnis eingebrannt. Und das nicht nur bei Menschen, denen eine freie, unüberwachte Gesellschaft und Grundrechte am Herzen liegen. Rund um diese Projekte wurde in diesem Land protestiert, heftig gestritten und große gesellschaftliche Debatten geführt.

Gerade kommt ein neuer Begriff dazu, den man ohne weiteres in diese Reihe stellen kann: Das Überwachungspaket. Doch im Gegensatz zu seinen Vorgängern ist das Überwachungspaket nicht von einer großen öffentlichen Debatte begleitet. Dabei haben alle zivilgesellschaftlichen Organisationen mit Rang und Namen laut aufgeschrien. Sie haben in Stellungnahmen überdeutlich gemacht, dass diese Gesetze den Charakter des Landes verändern werden, dass sie verfassungswidrig sein werden, dass sie eine vollkommen neue Form Überwachung etablieren.

Doch in der medialen Berichterstattung tröpfelt es, wenn überhaupt. Während bei Wal Timmy jede Geschwindigkeitsänderung des Transports ein Update des Tickers wert ist, Benzin- und Heizkosten die Nachrichten beherrschen, läuft dieses gesellschaftsverändernde Überwachungspaket unter ferner liefen. Ein paar unkritische Artikel mit Titeln wie „Dobrindt jagt mit KI Kriminelle im Netz“ suggerieren Normalität.

Dabei ist gar nichts normal an diesen Gesetzen, über die wir schon lange berichten. Sie bringen die drastischste Verschärfung seit der Überwachungswelle nach dem Anschlag auf das World Trade Center am 11. September 2001.

Durch die automatisierte Datenanalyse, ob nun mit oder ohne Palantir, werden unterschiedlichste Daten in noch nie geahnter Tiefe polizeilich zusammengeführt und ausgewertet, um Muster aufzuspüren oder zu kreieren. Das erlaubt Profilbildungen und Erkenntnisse, gegen die die Auswirkungen der Volkszählung wie ein fröhlicher Kinderbauernhof aussehen.

Auch die automatisierte Fotofahndung im Netz wird uns alle betreffen. Erstens werden alle, die irgendwie mit ihrem Bild im Netz sind, potentiell durchgemessen und mit gesuchten Personen verglichen. Private Fotos füttern also bald den staatlichen Überwachungsapparat. Noch schlimmer ist, was mit der Technik letztlich möglich ist.

Eine biometrische Suche im Netz legt ja nicht nur das Gesicht selbst offen, sondern den Kontext des Bildes, das gefunden wird: Wer hat welche Veranstaltung besucht, welche Demonstration, wer ist in welcher Community unterwegs, wer macht was? Wer ist da noch drauf? Das sind sensibelste Informationen, die Rückschlüsse auf politische Einstellungen und sexuelle oder religiöse Orientierung erlauben.

Dass von dieser neuen Dimension der Massenüberwachung und dem fehlgeleiteten Sicherheitsbegriff in der medialen und politischen Debatte bislang kaum die Rede ist, ist tragisch und gefährlich für unsere Zukunft. Gerade in Zeiten, in denen wir auf immer autoritärere Regierungen mit rechtsradikaler Beteiligung zusteuern.

Deshalb bleiben wir dran und laut. Und da sind wir alle gefragt, wenn wir das Überwachungspaket irgendwie noch stoppen oder abbremsen wollen. Erzählt anderen davon. Wendet euch an eure Abgeordneten. Und schreibt gerne auch mal ein paar der guten alten Leser:innenbriefe an andere Medien, damit sie verstehen, was für eine gefährliche Lücke sie hier lassen.

Trotz allem schöne Frühlingstage wünscht Euch

Markus Reuter