Die Details sind noch nicht vollständig bekannt, jedoch kann anhand der vorliegenden Vorschläge und Daten bereits ein grober Überblick gegeben werden. Die Ausführung im Detail kann sich immer noch ändern.
- Grundgesetz
- Der Gesetzentwurf zur Änderung des BKAG
- Die Online-Durchsuchung im BKAG
- Technische Umsetzung
1. Grundgesetz
Mit welchen Grundrechten die Ermittlungsmethode der Online-Durchsuchung in Konflikt kommt, ist nicht eindeutig. GG Art. 10 schreibt das Brief-, Post- und Fernmeldegeheimnis fest. Diesem Artikel wurde zur Durchführung von Telefonüberwachung und Briefdurchsuchungen im zweiten Absatz eine gesetzliche Ausnahmeregelung beigegeben, die zum „Schutze der freiheitlichen demokratischen Grundordnung oder des Bestandes oder der Sicherung des Bundes oder eines [Bundes-]Landes“ auch verdeckt erfolgen darf.
Bei der Online-Durchsuchung wird aber keine Kommunikation überwacht, sondern das Internet benutzt, um die Daten aus dem überwachten Rechner an die überwachende Behörde übermittelt.
Ein anderer in der Diskussion angeführter Punkt ist die in GG Art. 13 festgeschriebene Unverletzlichkeit der Wohnung. Auch hierfür gibt es Ausnahmeregelungen, wie eine richterlich angeordnete Durchsuchung der Wohnung, die bei Gefahr im Verzug auch ohne diese Anordnung durchgeführt werden kann (Absatz 2). Weitere Absätze wurden im Zuge des sogenannten Großen Lauschangriffs eingefügt, wonach der Wohnraum Verdächtiger auch verdeckt akustisch überwacht werden darf, wenn eine besonders schwere Straftat auf andere Weise nicht aufgedeckt werden kann. Dies muss durch eine mit drei Richtern besetzte Kammer angeordnet werden.
Da sich der zu überwachende Rechner meist im Wohnbereich der Zielperson befindet, könnte aus diesen Anordnungen eine Möglichkeit konstruiert werden, die Online-Durchsuchung einsetzen zu können. Da die Überwachung nicht akustisch, sondern elektronisch erfolgt, müsste bei dieser Argumentation das Grundgesetz geändert werden, eine Anordnung der Maßnahme durch eine mit drei Richtern besetzte Spruchkammer wäre dieser Argumentation zufolge ebenfalls notwendig.
Weiterhin folgt aus dem Recht auf informationelle Selbstbestimmung, das aus der in GG Art. 1 besonders geschützten, unantastbaren Würde des Menschen folgt, eine weitere Hürde.
2. Der Gesetzentwurf zur Änderung des BKAG
Am 31.08.2007 machte der Chaos Computer Club den Gesetzentwurf vom 11.07.2007 zur Änderung des Bundeskriminalamtgesetzes (BKAG) online verfügbar.
Laut dem Entwurf soll dem BKAG ein §4a eingefügt werden, der dem Bundeskriminalamt (BKA) Ermittlungsbefugnisse bei Gefahren des internationalen Terrorismus zugesteht, wenn eine (bundes-)länderübergreifende Gefahr besteht, ein Fall keiner einzelnen Landespolizei zugeordnet werden kann oder das BKA explizit von einer Landesbehörde um die Übernahme des Falles gebeten wird. Damit kann dann das BKA präventiv tätig werden.
Darf das BKA bisher nach §16 BKA bei einer Anordnung durch den Präsidenten des BKA zur eigenen Sicherheit ohne Wissen der Betroffenen abgehört, fotografiert und gefilmt werden, soll ein Absatz 1a eingefügt werden, der einen Abbruch dieser Maßnahmen erzwingt, wenn dies ohne Gefahr des Überwachers möglich ist und der „Kernbereich privater Lebensgestaltung betroffen“ ist. Die dadurch gewonnenen personenbezogenen Daten dürfen bislang allerdings auch zur Gefahrenabwehr eingesetzt werden, bei in Wohnungen erlangten Informationen muss dies richterlich bestätigt werden, bei Gefahr im Verzug muss diese Genehmigung nachträglich eingeholt werden.
Wichtigster Punkt des Gesetzentwurfes ist jedoch die Einfügung der §§ 20a bis 20y in das BKAG, die die Möglichkeiten des BKA zur „Abwehrung von Gefahren des internationalen Terrorismus“ regeln sollen. Die im Rahmen des Terrorbekämfungsgesetzes bereits erfolgten Änderungen sind in einem separaten Artikel aufgeführt.
Dabei werden in den §§20a bis 20f dem BKA polizeiliche Maßnahmen zur Fahndung nach Terrorverdächtigen, zur Zeugensaussage, Vorladungsmöglichkeiten von Zeugen und erkennungsdienstliche Maßnahmen zur Identitätsfeststellung zugestanden. §20g gibt dem BKA die Möglichkeit, Verdächtige zu observieren und Vertrauensleute und Verdeckte Ermittler einzusetzen. §§20h und 20l ff. dehnen den Großen Lauschangriff auch auf Ermittlungen gegen Terrorverdächtige aus, gemäß §20i kann das BKA Verdächtige zur bundesweiten Fahndung ausschreiben.
3. Die Online-Durchsuchung im BKAG
Der wichtigste Punkt wird in §20k behandelt: Der „[h]eimlich[e] Zugriff auf informationstechnische Systeme“. Wie in der o.a. Betrachtung zum Grundgesetz angeführt, dürfen Daten aus einem „informationstechnischen System“ nur nach einer Gerichtsentscheidung gewonnen werden, den Antrag hierfür muss der Präsident des BKA oder sein Vertreter stellen. Bei Gefahr im Verzug kann der Präsident oder sein Vertreter die Maßnahme selbst anordnen, eine Gerichtsentscheidung muss schnellstmöglich nachgeholt werden. Trifft diese Entscheidung nicht binnen drei Tage ein, so muss die Durchsuchung eingestellt werden (Absatz 2). Die Anordnung muss schriftlich erfolgen und detaillierte Informationen über die Online-Durchsuchung enhalten (Absatz 3).
Es darf auf „informationstechnischen Systemen“ von Verdächtigen, von Personen, die für den Verdächtigen Informationen empfangen oder weitergeben, und von Personen, die dem Verdächtigen einen Rechner zur Verfügung stellen, zugegriffen werden. Wenn andere Personen betroffen werden, kann die Maßnahme trotzdem durchgeführt werden (Absatz 1).
Dieser Paragraph enthält im Entwurf auskommentierte Sätze, die gesondert betrachtet werden sollen: Zum einen ist ein Absatz 2a enthalten, der dem BKA nur die Verwendung spezieller Suchbegriffe erlauben soll, die ebenfalls in der Anordnung enthalten sein müssen. Ebenfalls geklammert sind eine Befristung einer Online-Durchsuchung auf drei Monate, die jeweils um weitere drei Monate verlängert werden kann, und die Verpflichtung zum Abbruch der Maßnahme, falls die Voraussetzungen zur Durchsuchung nicht mehr gegeben sind.
Die Formulierung „informationstechnisches System“ beinhaltet nicht nur Computer, sondern jegliches digitales Medium, er beinhaltet auch Mobiltelefone, digitale Anrufbeantworter und Webserver. Gerade Letzteres ist für die Beurteilung wichtig, da nach Absatz 1 des §20k dann auch die Daten unbeteiligter Personen vom Einsatz betroffen sein dürfen. Bei einem Einsatz kann dann beispielsweise ein Webmail-Anbieter betroffen sein, da eben auch Systeme von Personen, die Informationen empfangen und weitergeben, ausspioniert werden dürfen. Das Bundesministerium des Inneren definiert in seiner Antwort auf eine Anfrage des Bundesministeriums für Justiz auch das Internet als Ganzes als informationstechnisches System.
Aus der Möglichkeit bei Gefahr in Verzug konstruierte die Berliner Zeitung eine Sensationsmeldung, die in den vergangenen Tagen mehrfach zitiert wurde. Dennoch ist dieses Verhalten bei Gefahr im Verzug keine Besonderheit der Online-Durchsuchung, sondern ist auch bei anderen Fahndungsmethoden gang und gäbe, z.B. Wohnungsdurchsuchungen und Großer Lauschangriff.
Der Rest der Paragraphen erlaubt dem BKA weitere Fahndungsmaßnahmen bei der Bekämpfung von internationalem Terrorismus, §20v regelt den „Schutz des Kernbereichs privater Lebensgestaltung“. Dort ist der Absatz 2 wieder geklammert, er enthält die Vorschrift, dass für eine Online-Durchsuchung nur Suchbegriffe verwendet werden dürfen, die „nicht zur Erfassung von Inhalten aus dem Kernbereich privater Lebensgestaltung führen.“ Diese Unterscheidung ist jedoch gerade auf Computern nicht wirklich einfach zu treffen, da sich in gleichlautenden Textdateien in einem Fall Tagebucheinträge, in einem anderen Bombenbauanleitungen befinden können.
Im Wesentlichen soll also der Große Lauschangriff auf die Überwachung von Computern ausgedehnt werden. Diese Methode wird aber nur dem Bundeskriminalamt, und auch nur zur Abwehr von Gefahren des internationalen Terrorismus zugestanden. Der Große Lauschangriff zeigt jedoch, dass die Zahl von Telefonüberwachungen stark gestiegen ist – auch dies eine Methode, die ursprünglich nur für Ausnahmefälle gedacht war. Desweiteren zeigt sich an diesen Fällen, dass die vorgeschriebene Benachrichtigung der Betroffenen nach Ende der Maßnahme häufig „vergessen“ wird.
4. Technische Umsetzung
Computer und andere technische Geräte können nach geltendem Recht beschlagnahmt werden, wenn vermutet werden kann, dass sich auf diesen Daten zur Aufklärung von Sachverhalten befinden. Da aber das Bundesministerium des Inneren (BMI) davon ausgeht, dass mutmaßliche Terroristen Verschlüsselungstechnik einsetzen, können diese Daten dann nicht ausgelesen werden, da zum einen viele Implementierungen nur durch Brute-Force-Attacken knackbar sind, was häufig nicht mit einem vertretbaren Aufwand möglich ist, andererseits aber Beschuldigte nicht zur Herausgabe von Passwörtern gezwungen werden können, was aus dem Zeugnisverweigerungsrecht des Beschuldigten folgt.
Deswegen ist das Ziel der Online-Durchsuchung und -Überwachung auch die Erfassung flüchtiger Daten wie Passwörter, Klartextdaten vor einer Ver- bzw. nach einer Entschlüsselung. Auf am System angeschlossene Mikrofone und Kameras soll nicht zugegriffen werden, da dies durch die verdeckte Wohnraumüberwachung abgedeckt ist, also in einen anderen Bereich fällt.
Für jede einzelne Überwachungsmaßnahme wird eine eigens entwickelte Version der Remote Forensic Software (RFS) entwickelt, für die nach Angaben von BKA-Chef Zierke die Kosten jeweils ca. 200.000 € betragen. Diese wird speziell auf das zu überwachende System angepasst, also u.a. das Betriebsystem, die Software und das Internetnutzungsverhalten. Diese Informationen müssen vorher durch andere Maßnahmen wie Telekommunikationsüberwachung und Portscans gewonnen werden.
Die mit Hilfe der RFS gewonnenen Daten werden auf dem Zielrechner verschlüsselt gespeichert und bei einer Internetverbindung an einen Zentralrechner übermittelt. Danach werden diese Daten auf dem Zielrechner gelöscht, die Software soll sich nicht selbständig verbreiten können.
Die Einschränkung auf bestimmte Suchbegriffe, die auch aus Dateitypen bestehen können, ist nicht nur aus rechtlicher Sicht geboten, um die Privatsphäre zu schützen, sondern auch aus technischer, da ansonsten die Online-Durchsuchung zu viele Ressourcen des Zielsystems verbrauchen würde, um unentdeckt bleiben zu können.
Zur Methode, wie die RFS auf dem Zielrechner installiert werden soll, hält sich das BMI in seinen Antworten bedeckt. Eine Methode wie das in den vergangenen Tagen mehrfach kritisierte Versenden gefälschter Emails anderer Behörden soll nur in Rücksprache mit dieser erfolgen.
Interessant ist auch die Auskunft, wonach die Software nach Beendigung des Entwicklungsstopps sofort einsatzfähig sei und nur noch an aktuelle Antiviren- und Firewall-Software angepasst werden müsse. Insgesamt scheint die Entwicklung nach Auskunft des BMI schon weit fortgeschritten zu sein.
Der Chaos Computer Club vermutet in der Sendung des Chaosradio vom 29.08.2007, dass RFS zunächst als Grundgerüst für Windows entwickelt und an die jeweilige Umgebung des zu überwachenden Rechners angepasst wird. Für andere Betriebsysteme wird dann von dieser Entwicklung aus weitergearbeitet, schließlich sind prinzipiell alle Umgebungen anfällig.