In der Schweiz gibt es für Staatstrojaner bislang keine Rechtsgrundlage. Wer heute schon Trojaner einsetzt und genehmigt, verspottet deshalb unseren demokratischen Rechtsstaat.
Polizei und Staatsanwaltschaft im Kanton Zürich, mit Sicherheitsdirektor Mario Fehr (SP) an der Spitze, beschafften trotzdem die staatliche Schadsoftware «Galileo» beim italienischen Hacking Team – und wurden dabei erwischt, nachdem Hacking Team selbst gehackt worden war. Mario Fehr und andere Behördenmitglieder bevorzugen übrigens den Neusprech «GovWare», kurz für «Government Software».
Irreführende Berichterstattung in den Medien
Beschaffung und Einsatz der Schadsoftware aus Italien wurde im Zürcher Kantonsrat von einer Subkommission der Geschäftsprüfungskommission (GPK) untersucht. Ende Mai 2016 veröffentlichte die GPK den entsprechenden Bericht (PDF). Glaubt man den Schlagzeilen in den Medien, so hatte sich Regierungsrat Fehr «ans Gesetz gehalten» (inside-it.ch), «nicht gegen geltendes Recht verstossen» (20 Minuten) und wurde «entlastet» (Tages-Anzeiger) – die Behörden hätten «ordnungsgemäss […] gehandelt» (Neue Zürcher Zeitung, NZZ).
Die Frage der Rechtsgrundlage wurde durch die GPK allerdings gar nicht geprüft, wie es im Bericht ausdrücklich heisst:
«Demnach kann es nicht Aufgabe der Geschäftsprüfungskommission sein zu entscheiden, ob für den Einsatz der GovWare eine genügende Rechtsgrundlage besteht. Dieser Entscheid ist den Gerichtsbehörden vorbehalten. […]»
Journalisten, die im Widerspruch dazu Schlagzeilen wie die oben zitierten verfassen, verspielen ihre Glaubwürdigkeit. Sie provozieren «Lügenpresse»-Vorwürfe und schaden jenen Berufskollegen, die ihre journalistischen Pflichten unabhängig und mit der erforderlichen Qualität erfüllen.
Brüchiger Rechtsstaat im Kanton Zürich
Im Übrigen zeigt diese Angelegenheit, wie brüchig der Rechtsstaat (auch) im Kanton Zürich geworden ist. Im Zentrum steht diesbezüglich das Zürcher Obergericht als höchstes kantonales Gericht, dessen Zwangsmassnahmengericht die Staatstrojaner-Beschaffung anscheinend genehmigt hatte:
«Ausgangspunkt für die Beschaffung der GovWare bildete die durch das Zwangsmassnahmengericht des Obergerichts genehmigte Anordnung der Staatsanwaltschaft zur Durchführung von Überwachungsmassnahmen. Die Prüfung der Beschaffung und die Evaluation erfolgten durch die Kantonspolizei nach Rücksprache mit der Sicherheitsdirektion. […]»
Die entsprechenden gerichtlichen Verfügungen wurden bislang nicht veröffentlicht und durften selbst von den Mitgliedern der Subkommission nicht gelesen werden. Nach Angaben im Bericht konnten lediglich der Kommissionsvorsitzende und die Kommissionssekretärin Einsicht nehmen …
In diesem Zusammenhang überraschte es nicht, dass sich die Verantwortlichen bei Kantonspolizei, Sicherheitsdirektion und Staatsanwaltschaft davon überzeugt geben, es gäbe eine Rechtsgrundlage für Beschaffung und Einsatz von staatlicher Schadsoftware im Kanton Zürich. Ansonsten müssten die Verantwortlichen ihre Ämter niederlegen und sich einer strafrechtlichen Verfolgung stellen.
Im Ergebnis entziehen sich mit Verweis auf die obergerichtliche Geheimjustiz sämtliche Verantwortlichen im Kanton Zürich ihrer Verantwortung und die Gewaltentrennung wurde ausgehebelt:
Die Rechtsprechung erfolgt jenseits jeder Justizöffentlichkeit und erfüllt den Sicherheitsbehörden hinter verschlossenen Türen mutmasslich (fast) jeden Wunsch. Für die parlamentarische Aufsicht heiligt der Zweck die Mittel und sie verspottet unseren demokratischen Rechtsstaat anstatt die fehlenden Rechtsgrundlagen für Staatstrojaner deutlich anzuprangern – aber ein solches Ergebnis wäre, so der GPK-Bericht, «keine sinnvolle Option» gewesen, zumal die GPK den Einsatz von staatlicher Schadsoftware für «unerlässlich» hält – die GPK ist demnach befangen und konnte gar keinen unabhängigen Bericht verfassen.
Überwachungsstaat: Wenn der Zweck die Mittel heiligt …
Ein Staat, für dessen Staatsgewalten der Zweck jenseits von Rechtsgrundlagen die Mittel heiligt, ist offensichtlich kein Rechtsstaat. Im Kanton Zürich wird teilweise nicht einmal mehr versucht, den Schein von Rechtsstaatlichkeit und Verhältnismässigkeit zu wahren:
So fordert beispielsweise Daniel Jositsch (SP), immerhin Ständerat sowie Professor für Strafrecht und Strafprozessrecht (sic!) an der Universität Zürich (UZH), dass die «Strafverfolgungsbehörden […] alle technischen Möglichkeiten zur Verfügung haben [sollen], die denkbar sind.»
Äusserungen dieser Art zeigen, wie stark der wachsende Überwachungsstaat den Rechtsstaat bereits ausgehöhlt hat. Ein Rechtsstaat zeichnet sich gerade dadurch aus, dass nicht alles, was möglich ist, erlaubt wird – dieses Verhältnismässigkeitsprinzip ist nicht nur rechtsstaatlich unabdingbar, sondern sollte auch als zwingendes Völkerrecht betrachtet werden.
(Auch via Luka Markić.)
Bild: Flickr / Massimiliano Calamelli, «Broken», CC BY-SA 2.0 (generisch)-Lizenz.
Nachtrag: Nach Angaben (Screenshot) von GPK-Mitglied Kantonsrätin Claudia Wyssen (SP) haben «sämtliche Mitglieder die Verfügung gesehen.» Nach Angaben im GPK-Bericht konnten lediglich der Kommissionsvorsitzende und die Kommissionssekretärin in die Verfügungen Einsicht nehmen:
«[…] Anfang Januar 2016 nahmen der Vorsitzende der Subkommission und die Kommissionssekretärin bei der Oberstaatsanwaltschaft Einsicht in zwei Verfügungen des Zwangsmassnahmengerichts des Obergerichts betr. Genehmigung von Überwachungsmassnahmen. […]»
Sofern mich mein Erinnerungsvermögen nicht täuscht, hat ein Staatsanwalt in einer Vorlesung zur StPO erwähnt, dass die Staatsanwaltschaft heute schon die Kommunikation auf Handys live überwachen kann. Was würde ein Staatstrojaner da noch gross ändern?
Seit dem Aufkommen von End-to-End-Verschlüsselung ist das eben nicht mehr so einfach und man muss zugreifen, bevor die Kommunikationsdaten verschlüsselt werden – also auf dem Computer der Zielperson.
Das Problem ist die Einnistung im Zielsystem und damit die wegfallende Sicherstellung der Beweisintegrität. Wir «nur» die Kommunikation überwacht, kann mitgelesen werden, was geschrieben, telefoniert, gesurft etc wurde. Wir aber Software ins Zielsystem eingeschleust, wird dadurch das System selbst verändert, was Eingriffe, die übers einfache Abhören hinaus möglich macht. Wie soll sich ein Gericht sicher sein, dass die Kommunikation wirklich vom Benutzenden des Smartphones stammt, wenn dieser nicht mehr die Kontrolle über das Gerät hat?
Liebe Anja, ich stimme Dir hier voll zu. Allerdings finde ich bereits das Mitlesen als einen tiefen Eingriff in das Persönlichkeitsrecht. Gerade bei den «man in the middle Attacken» hat der Geschädigte kaum eine Chance dies zu verhindern oder den Angreifer zu identifizieren. Wie soll ein Vertrauen zu der Polizei bleiben, wenn die selbst mit derartigen Mitteln Personen beschattet. Der Eingriff in das eigene Heimnetzwerk stellt natürlich den schwerwiegendsten Verstoss dar, da hier wie Du richtig beschrieben hast, der Eindringling die Kontrolle über all deine Geräte hat und du für das Tun verantwortlich bist. Wie willst du da deine Unschuld beweisen?
Es kommen grosse Herausforderungen auf uns Bürger zu und das unabhängig von dem Staatstrojaner. Stichwort Darknet und die Möglichkeiten Verbrechen einfach per Bitcoin zu bestellen.
Wenn man bedenkt, dass Provider mehrere Jahre Log Dateien über jegliche Sessions des privaten Internetanschlusses haben, ist das Feststellen von behördlichen MitM Attacken, bei denen reguläre Verschlüsselungen aufgebrochen werden, nur ein relativ kleines Übel. Staatstrojaner sind und bleiben das grosse Übel, da diese nicht nur verwanzen sondern auch umräumen und Gefahren schaffen. Digitalegeräte können beschlagnahmt und forensisch untersucht werden und genau so können auch Server und Netzwerk Komponenten beschlagnahmt, überwacht und verändert werden um Verbrechen zu verfolgen.
Die EndzuEnd Verschlüsselung entspricht meines Erachtens nicht weniger als dem Eingriff entsprechend eines verschlossenes Tagesbuches oder Tresores, sondern viel mehr dem Zwang der Erläuterung einer Art Geheimsprache die man spasseshalber mit Kolegen entwickelt hat und pflegt.
Ein grosser Teil des illegalen DarkNet Traffics stammt übrigens von CyberCops verschiedener Länder. Es bleibt weiterhin ein Problem das auch Geld und Verbrechen Variabeln des richtigen Lebens, ausserhalb des Internets, der DarkNets und alternativ Netzwerke, bleiben.
Natürlich müssen die Behörden die Möglichkeit haben alle technischen Mittel auszuloten, aber dies sollte nur in Notfall Situation geschehen, dann wenn das Leben von Menschen effektiv bedroht wird oder diese unterdrückt werden. Der geplante Einsatz von GovMalware (Es ist und bleibt der Einsatz von Computerviren, welche gefahren für die Zielsysteme und alle weiteren Umsysteme generien) mit dem neuen BÜPF entspricht aber einer antibiotika Kahlschlagsmethode im Einsatz mit dieser Technologie, unter der die Bürgerrechte und Freiheitsrechte überbord geworfen werden. Denken Sie nur mal an eine Psycholgie Studien wie sich Menschen mit und ohne Visuelleüberwachung verhalten und wie sehr das individuelle Verhalten dadurch unterdrückt und veränder wird, wenn die Propanden überwacht werden. Was wird alles möglich wenn wir den Behörden vollumfängliche Eingriffsmöglichkeiten auf all unsere Geräte erhalten können? Bedenken wir nur die Verfolgungen, ethnischen Säuberungen, Unterdrückung poltischer Opositioneller etc. dieses jungen Jahrhunderts durch Behörden «demokratischer» Länder auf dieser Welt.
Es ist richtig, das Provider die Daten speichern, aber erhält der Kunde seine Daten auch problemlos?! Mein Anbieter teilte mir mit, dass ich einen richterlichen Beschluss vorlegen müsse, um an meine Daten zu gelangen. Hier wird meines Erachtens eine Hürde aufgebaut, da es sich um meine Daten handelt bzw. ich für die Geschehnisse verantwortlich gemacht werde.
Wenn ich die E2E Verschlüsselung richtig verstanden habe, dann muss ich über eine unverschlüsselte Verbindung erst meinen Schlüssel austauschen, ehe mein Gesprächspartner meine Emails entschlüsseln kann und hier ist der Angriffspunkt.
Die psychologischen Studien sind sehr interessant, nur interessiert sich die Politik dafür?!
Hier geht es oftmals nur um die reine Macht und transparenz bedeutet Machtabgabe (Demokratie?).
Ausserdem ist ein verunsicherter Mensch einfacher zu führen als ein selbstbestimmter und selbstbewusster Mensch.
Zum Nachtrag: erstens bin ich nicht GPK-Mitglied, wie sich äusserst leicht feststellen lassen sollte, und zweitens, woher kommt diese Aussage, die ich gemacht haben soll?
@Claudia Wyssen:
GPK-Mitgliedschaft: Korrigiert, merci für den Hinweis! (Woher wussten Sie, dass sämtliche Kommissionsmitglieder die Verfügung gesehen hatten?)
Aussage: Die Quelle ist im Beitrag verlinkt – nun ergänzend mit einem entsprechenden Screenshot.
Nebenbei: In dieser Angelegenheit und überhaupt am Zwangsmassnahmengericht gibt es weiterhin keine Justizöffentlichkeit. Was sagen Sie dazu?