Datenschutz in Gefahr
6. Februar 2007DW-WORLD: Können Datenschützer nach der Entscheidung des BGH aufatmen?
Jürgen Schmidt: Die Entscheidung hat eine hohe Bedeutung, weil sie vorerst zumindest den Begehrlichkeiten der Strafverfolgungsbehörden einen deutlichen Riegel vorschiebt. Doch aufatmen können Datenschützer sicher nicht. Zum einen gibt es bereits in Nordrhein-Westfalen ein spezielles Gesetz auf Landesebene, das solche Online-Durchsuchungen gestattet. Zum anderen hat Innenminister Schäuble klar gemacht, dass er so eine Regelung haben will und notfalls entsprechende Gesetze auf Bundesebene in Angriff nimmt.
Wie würde der Staat eine Online-Durchsuchung von Computern technisch durchführen?
Wie das konkret passieren soll, ist mir nicht ganz klar, denn es stellen sich da einige Fragen, die noch nicht ganz gelöst sind. In einem Einzelfall ist es sicherlich möglich, eine Online-Durchsuchung analog durchzuführen, wie es zurzeit normale Schädlinge machen. Ein Beispiel: Sie bekommen eine E-Mail, die an Sie persönlich adressiert ist und möglichst noch einen persönlichen Bezug hat, mit einer Absenderadresse, der Sie vertrauen. Sie werden dann aufgefordert, eine angefügte Word-Datei zu öffnen. Sie machen diese Datei dann auf. Im Moment gibt es fünf Lücken bei Word, die bekannt sind, über die man auf diesem Weg Schadsoftware in Ihren PC einschleusen könnte. Statt Schadsoftware würde dann irgendeine ministerlich abgesegnete Spionagesoftware in die Datei eingebettet werden, so dass sie auf Ihrem Rechner installiert wird und danach ermöglicht, den Computer von außen zu durchsuchen.
Ist man dem als Computernutzer hilflos ausgeliefert oder kann man solchen Eingriffen mit so genannten Firewalls und Virenschutzprogrammen vorbeugen?
Wenn das gut gemacht wird, dann kann man an den gängigen Schutzprogrammen definitiv vorbeikommen. Wenn man das aber im großen Stil aber mit einem vergleichsweise kleinen Budget machen will, dann geht das so ohne weiteres nicht. Dann würde ich erwarten, dass Firewalls, Antiviren- und sonstige Schutzsoftware da zuschlagen und solche Eingriffe unterbinden. Das setzt voraus, dass Softwarehersteller nicht genötigt werden, so genannte vorbeugende White Lists zu pflegen. Das heißt, irgendwelche Kennungen aufzunehmen, die signalisieren, "das sind die Guten und die müssen wir durchlassen". Das ist allerdings sehr schwierig, weil es weit über 20 verschiedene Anti-Viren Hersteller gibt. Und wie will man einem Hersteller aus Russland klarmachen, dass der ein Programm, das von deutschen Strafverfolgern benutzt wird, als "gut" in seinen Listen berücksichtigen soll? Ich wüsste nicht, wie man das konsequent durchsetzen will.
Das Internet kennt keine Landesgrenzen. Besteht die Möglichkeit, dass ausländische Geheimdienste oder andere staatliche Stellen bereits auf Computer in Deutschland zugreifen? Ein solches Vorgehen dürfte für sie schließlich auch in Ermangelung einer gesetzlichen Regelung ohne Konsequenzen bleiben.
Das passiert jetzt schon. Zum einen machen das Nachrichtendienste, die Spionagetrupps unterhalten. Zum anderen sind das private Organisationen, die sich auf so etwas spezialisiert haben. Im Rahmen von Industriespionage passiert es tagtäglich, dass Lücken in Softwares ausgenutzt werden, um Computer auszuspionieren.
Wäre es paranoid anzunehmen, dass es Kooperationen zwischen Softwareherstellern und staatlichen Stellen gibt?
Sobald es ein Gesetz gibt, das einen Software-Hersteller dazu verpflichtet, irgendwelche Hintertüren für den Staat einzubauen, damit er seine Software legal vertreiben kann, dann werden Softwarehersteller zwangsläufig solche Hintertüren einbauen. Ob solche Mauscheleien ohne gesetzliche Grundlage bereits stattfinden, ist schwer einzuschätzen. Das Problem dürfte sein, dass solche Mauscheleien nicht flächendeckend zu machen sind. Man müsste ja gleichzeitig mit 30 Herstellern mauscheln und sich darauf verlassen, dass keiner von ihnen etwas ausplaudert.
Von Befürwortern einer gesetzlichen Regelung wird häufig das Argument gebracht, dass der "unbescholtene Bürger" die staatlichen Maßnahmen nicht fürchten müsse. Außerdem sei ein Eingriff verhältnismäßig, wenn damit Verbrechen verhindert werden könnten. Sind diese Argumente so einfach von der Hand zu weisen?
Bei der Frage der Verhältnismäßigkeit würde ich die Schwelle sehr hoch setzen. Viele nutzen den PC für sehr private und intime Dinge. Was würden Sie zu einer Kamera in Ihrem Schlafzimmer sagen? Das ist ein drastischer Vergleich, aber ich benutze meinen PC für sehr persönliche Dinge. Es gibt Leute, die führen Tagebücher auf ihrem Computer. Das muss man entsprechend berücksichtigen und das hat der BGH auch getan.
Jürgen Schmidt ist Chefredakteur von Heise Security und Ressortleiter für Sicherheitsthemen beim Computermagazin c't.