Weniger Berichtspflichten beim Abhören und bei Staatstrojanern
Das Bundesjustizministerium bekam mit der schwarz-schwarz-roten Koalition eine neue Chefin: Stefanie Hubig von der SPD. Kaum im Amt, treten ihre Länderkollegen mit einem Anliegen an sie heran: Die Justizministerinnen und Justizminister würden gern die gesetzlichen Berichtspflichten bei der Telekommunikationsüberwachung reduzieren. Hubig möge das prüfen.
Das Bundesland Hessen legt der Justizministerkonferenz (JuMiKo) dazu eine Empfehlung vor. Laut dieser soll die Strafprozessordnung (StPO) geändert werden, in der die statistischen Berichtspflichten zur Telekommunikationsüberwachung stehen. Momentan sieht das Gesetz vor, dass Länder und der Generalbundesanwalt dem Bundesamt für Justiz jährlich mitteilen, wie oft sie bestimmte Überwachungsmaßnahmen anordnen. Wir veröffentlichen den Beschlussvorschlag Hessens.
Bundesjustizamt erfasst einmal im Jahr statistische Daten
Jeweils im Frühjahr und im Herbst kommen die Ministerinnen und Minister und Senatorinnen und Senatoren der Justizressorts zu ihrer Tagung zusammen und begrüßen dabei erstmals die neue Bundesministerin der Justiz. Die Behördenchefs der Länder beraten sich diesmal vom 4. bis 6. Juni in Bad Schandau.
Beschlüsse der JuMiKo sind Ideen oder Forderungen, die aber keine unmittelbaren Folgen haben und schon gar keine praktische Rechtssetzung sind. Wirkungslos sind sie deswegen aber nicht, denn sie können kontroverse Ideen breittreten, Diskussionen anstoßen und die rechtspolitische Meinungsbildung beeinflussen.
Ein Beschlussvorschlag Hessens will die Berichtspflichten bei der Telekommunikationsüberwachung (TKÜ) reduzieren. Diese Überwachungsmaßnahmen dürfen beim Verdacht einer schweren Straftat angeordnet werden, in der Regel durch ein Gericht. Eine TKÜ ist dabei auf maximal drei Monate zu befristen, kann aber jeweils um drei Monate verlängert werden.
Die Landesjustizverwaltungen und auch der Generalbundesanwalt sind gesetzlich verpflichtet, Telekommunikationsüberwachungsmaßnahmen statistisch anzugeben, die im Rahmen der Strafverfolgung nach StPO (vor allem nach § 100a) angeordnet werden. Einmal im Jahr, nämlich bis zum 30. Juni, berichten sie dazu dem Bundesamt für Justiz. Das wiederum erstellt mit erheblicher zeitlicher Verzögerung Jahresübersichten, die zeigen, wie viele Überwachungen pro Jahr für welche der sogenannten Katalogstraftaten angeordnet wurden. Wie viele Überwachungsansinnen abgelehnt werden, wird nicht erfasst.
Wegen der Umbenennung von einer Variante des Staatstrojaners in „Quellen-TKÜ“ könnte von einer Reduzierung der Berichtspflichten auch das staatliche Hacken betroffen sein. Denn wird mit Hilfe eines Staatstrojaners laufende Kommunikation abgehört, fällt er formal unter TKÜ, obwohl technisch ein ganz anderes Vorgehen stattfindet.
Eine TKÜ wird im Regelfall mit Hilfe der Telekommunikationsanbieter vollzogen. Sie sind gesetzlich verpflichtet, bei der Strafverfolgung auszuhelfen und nach Anordnung die Kommunikation an die Ermittlungsbehörden auszuleiten. Bei der „Quellen-TKÜ“ hingegen wird das Smartphone oder der Rechner gehackt und heimlich eine Schadsoftware installiert, um an die Kommunikation zu gelangen. Staatstrojaner manipulieren also hinterrücks das Gerät, um an Inhalte von Kommunikation wie etwa Chat-Nachrichten zu kommen.
Staatshacker
Wir berichten seit mehr als siebzehn Jahren über Staatstrojaner. Unterstütze uns!
Laut dem Beschlussvorschlag zu der anstehenden Frühjahrs-JuMiKo wird die Aussagekraft der zur TKÜ erhobenen statistischen Daten von den Justizministerinnen und Justizministern als nur „gering“ eingeschätzt. Dem stünden aber „erhebliche personelle Ressourcen in den Justizverwaltungen“ gegenüber.
Den Nutzen der Statistik verorten die Minister „etwa bei der rechtspolitischen Steuerung oder Evaluation der Eingriffspraxis“. Dass Transparenz bei Überwachungsmaßnahmen auch eine vertrauensbildende Seite haben kann, scheint offenbar weniger wichtig. Gerade bei Maßnahmen, die wie die „Quellen-TKÜ“ große immanente Risiken ins sich tragen, ist die statistische Transparenz nicht nur für die Evaluation notwendig, sondern kann auch Vertrauen bilden. Ob TKÜ-Maßnahmen umfassend oder zurückhaltend eingesetzt werden, ob sich die Zahl der Maßnahmen alljährlich erhöht oder nicht, ist auch für die Forschung bedeutsam. Und nicht zuletzt ermöglichen die Statistiken eine Berichterstattung, so auch bei netzpolitik.org.
Eine Enthaltung aus Hamburg
Die hessische Vorlage fand im Strafrechtsausschuss der JuMiKo viel Zustimmung, allerdings mit einer Enthaltung: Hamburg votierte nicht dafür. Wir haben bei der Justizsenatorin der Hansestadt nachgefragt, was die Gründe dafür sind, dass sich Hamburg als einziges Bundesland bei der Abstimmung enthalten hat. Ein Pressesprecher antwortet darauf nicht inhaltlich, bittet gegenüber netzpolitik.org nur um „Verständnis“ dafür, dass „die inhaltliche Beratung der einzelnen Beschlussvorschläge“ auf der JuMiKo stattfände. Das sei „gute Praxis“, von der man nicht abweichen wolle.
Auch Fragen von netzpolitik.org danach, welchen Aufwand beispielsweise Hamburg betreibt, um die Daten für die statistischen Berichtspflichten zu erheben, bleiben unbeantwortet. Man wolle sich „nicht im Vorfeld der Konferenz detailliert zu den Initiativen anderer Länder oder zu vertraulichen Ausschussberatungen der Fachebene und deren Votierungen äußern“.
Wenn es zu der Reduzierung der statistischen TKÜ-Berichtspflichten kommt, wird auch die ungeliebte Überwachungsgesamtrechnung löchriger. Und es fehlt natürlich auch in der hessischen Beschlussvorlage nicht der Hinweis auf die Entlastung von „unnötiger Bürokratie“. Als seien die statistischen Angaben zur Telekommunikationsüberwachung nur unnötiger Ballast.
Doch Bürokratieabbau ist gerade das Steckenpferd der Konservativen, an allen Ecken und Enden gefordert. Ob Justizministerin Hubig in den Chor einstimmt, bleibt abzuwarten. Dass dieser Bürokratieabbau gar nicht so selten Transparenzabbau und fehlendes Wissen über staatliche Maßnahmen zur Folge hat, sollte der Juristin jedenfalls zu denken geben.
Beschlussvorschlag
TOP: I. 4
Berichterstattung: Hessen
Kritische Überprüfung der statistischen Berichtspflichten zur Telekommunikationsüberwachung in der StPO
Die Justizministerinnen und Justizminister haben sich mit den statistischen Berichtspflichten zur Telekommunikationsüberwachung befasst.
Sie stellen fest, dass diese Berichtspflichten erhebliche personelle Ressourcen in den Justizverwaltungen und in den ohnehin schon hochbelasteten Staatsanwaltschaften binden, ohne dass diesem Aufwand aufgrund der geringen Aussagekraft der erhobenen Daten stets ein entsprechender Nutzen, etwa bei der rechtspolitischen Steuerung oder Evaluation der Eingriffspraxis, gegenübersteht.
Vor dem Hintergrund des dringlichen Anliegens, die Justiz im Allgemeinen und die Staatsanwaltschaften im Besonderen von unnötiger Bürokratie zu entlasten, bitten die Justizministerinnen und Justizminister daher den Bundesminister der Justiz, unter Einbeziehung der Länder die Möglichkeit einer Reduzierung der statistischen Berichtspflichten zur Telekommunikationsüberwachung zu prüfen und auf der Frühjahrskonferenz der Justizministerinnen und Justizminister 2026 über das Ergebnis der Prüfung zu berichten.
Die Woche, in der sich die Überwachungspläne bei uns stapelten
Fraktal, generiert mit MandelBrowser von Tomasz Śmigielski
Liebe Leser*innen,
in Berlin ist zwar die Ferienzeit angebrochen. Sommerliche Ruhe will aber nicht so recht einkehren. Denn auf unseren Schreibtischen stapeln sich die neuen Gesetzesentwürfe der Bundesregierung. Und die haben’s in sich.
Beispiele gefällig?
Staatstrojaner: Künftig soll die Bundespolizei zur „Gefahrenabwehr“ Personen präventiv hacken und überwachen dürfen, auch wenn „noch kein Tatverdacht begründet ist“.
Biometrische Überwachung: Bundeskriminalamt, Bundespolizei und das Bundesamt für Migration und Flüchtlinge sollen Personen anhand biometrischer Daten im Internet suchen dürfen. Auch Gesichter-Suchmaschinen wie Clearview AI oder PimEyes können sie dann nutzen.
Palantir: Bundeskriminalamt und Bundespolizei sollen Datenbestände zusammenführen und automatisiert analysieren dürfen. Das riecht gewaltig nach Palantir – was das Innenministerium in dieser Woche bestätigt hat.
Auch in vielen Bundesländern wird über Palantir diskutiert. In Baden-Württemberg sind die Grünen soeben umgekippt. Keine gewagte Prognose: Andere werden ihre Vorsätze auch noch über Bord werfen.
Die gute Nachricht: In allen drei Bundesländern, die Palantir einsetzen – Bayern, Hessen und Nordrhein-Westfalen -, sind jeweils Verfassungsbeschwerden gegen die Polizeigesetze anhängig. Und auch die Überwachungspläne der Bundesregierung verstoßen ziemlich sicher gegen Grundgesetz und EU-Recht. Wir bleiben dran.
Martin, Sebastian und Chris im Studio. – CC-BY-NC-SA 4.0 netzpolitik.org
Diese Recherche hat für enorm viel Aufsehen gesorgt: Über Monate hinweg hat sich Martin damit beschäftigt, wie Polizeibehörden, Banken und Unternehmen unser Bargeld verfolgen und was sie über die Geldströme wissen. Die Ergebnisse überraschten auch uns, denn sie räumen mit gängigen Vorstellungen über das vermeintlich anonyme Zahlungsmittel auf. Die Aufregung um diese Recherche rührt vielleicht auch daher, dass Behörden nicht gerne darüber sprechen, wie sie Bargeld tracken. Martin selbst spricht von einer der zähsten Recherchen seines Arbeitslebens.
Außerdem erfahrt ihr, wie wir solche Beiträge auf Sendung-mit-der-Maus-Niveau bringen und warum man aus technischen Gründen besser Münzen als Scheine rauben sollte. Wir sprechen darüber, wie wir trotz schlechter Nachrichten zuversichtlich bleiben und warum wir weitere Wände im Büro einziehen. Viel Spaß beim Zuhören!
Und falls wir es in dieser Podcast-Folge noch nicht oft genug erwähnt haben sollten: Wir freuen uns über Feedback, zum Beispiel per Mail an podcast@netzpolitik.org oder in den Ergänzungen auf unserer Website.
In dieser Folge: Martin Schwarzbeck, Sebastian Meineck und Chris Köver. Produktion: Serafin Dinges. Titelmusik: Trummerschlunk.
Hier ist die MP3 zum Download. Wie gewohnt gibt es den Podcast auch im offenen ogg-Format. Ein maschinell erstelltes Transkript gibt es im txt-Format.
Unseren Podcast könnt ihr auf vielen Wegen hören. Der einfachste: in dem Player hier auf der Seite auf Play drücken. Ihr findet uns aber ebenso bei Apple Podcasts, Spotify und Deezer oder mit dem Podcatcher eures Vertrauens, die URL lautet dann netzpolitik.org/podcast.
Wir freuen uns auch über Kritik, Lob, Ideen und Fragen entweder hier in den Kommentaren oder per E-Mail an podcast@netzpolitik.org.
Sicherheitsupdates: IBM Db2 über verschiedene Wege angreifbar
close notice
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
.
Aufgrund von mehreren Softwareschwachstellen können Angreifer IBM Db2 attackieren und Instanzen im schlimmsten Fall vollständig kompromittieren. Um dem vorzubeugen, sollten Admins die abgesicherten Versionen installieren.
Schadcode-Schlupfloch
Am gefährlichsten gilt eine Sicherheitslücke (CVE-2025-33092 „hoch„), durch die Schadcode schlüpfen kann. Die Basis für solche Attacken ist ein von Angreifern ausgelöster Speicherfehler. Wie ein solcher Angriff konkret ablaufen könnten, ist bislang unklar. Davon sind einer Warnmeldung zufolge die Client- und Server-Editionen von Db2 bedroht. Das betrifft die Db2-Versionen 11.5.0 bis einschließlich 11.5.9 und 12.1.0 bis einschließlich 12.1.2.
Eine weitere Schwachstelle (CVE-2025-24970) ist mit dem Bedrohungsgrad „hoch“ eingestuft. Sie betrifft das Application Framework Netty. An dieser Stelle können Angreifer Abstürze provozieren. Auch hier soll ein Special Build Abhilfe schaffen.
Weitere Gefahren
Die verbleibenden Schwachstellen sind mit dem Bedrohungsgrad „mittel“ versehen. An diesen Stellen können Angreifer meist ohne Authentifizierung DoS-Zustände erzeugen, was Abstürze nach sich zieht. Die dagegen gerüsteten Versionen finden Admins in den verlinkten Warnmeldungen (nach Bedrohungsgrad absteigend sortiert):
