"Statt Sicherheit wird Unsicherheit produziert"

Dieter Kassel: … über das Drängen der Ermittlungsbehörden, möglichst unbeschränkten Zugriff auf private Computer und deren Daten zu bekommen. Ein Drängen, dem die Datenschützer von Bund und Ländern natürlich nicht nachgeben wollen. Sie treffen sich heute und morgen in Erfurt, und am Telefon begrüße ich jetzt einen Mann, dessen Chef wahrscheinlich schon längst in Erfurt ist. Er selber ist gerade an einer Autobahnraststätte zwischen der dänischen Grenze und Kiel, so wird das zum Teil auch ein bisschen klingen. Ich begrüße den stellvertretenden Leiter des Unabhängigen Zentrums für Datenschutz Schleswig Holstein, Johann Bizer. Guten Morgen Herr Bizer!

Johann Bizer: Ja, einen schönen guten Morgen!

Kassel: Am Schluss des Beitrags eben klang es so, als ob eines der großen Probleme bei der Onlinedurchsuchung beispielsweise tatsächlich ein technisches Problem ist. Sehen Sie das ähnlich?

Bizer: Nein, das ist nicht nur ein technisches Problem, aber das technische Problem ist der Ausgangspunkt. Also das, was man da vorhat, das ist nicht nur grenzwertig, das überschreitet die Grenzen jeder Verhältnismäßigkeit, weil da nicht nur Sicherheitsprobleme mit gelöst werden sollen mit dieser Onlinedurchsuchung, sondern gleichzeitig ein ganz gravierendes Sicherheitsproblem ausgelöst wird.

Die Sicherheitsbehörden haben die Aufgaben, Sicherheit zu schaffen, aber nicht Unsicherheit zu produzieren. Wenn solche Viren und Trojaner dann eingeschleust werden in private Systeme - und das wird ja heimlich passieren -, dann weiß keiner mehr, ob man nicht irgendwie doch betroffen ist von einem solchen Sicherheitsleck.

Kassel: Wird das wirklich heimlich passieren? Denn wenn wir mal zurückkommen auf das, was der Bundesgerichtshof gesagt hat zu den Onlinedurchsuchungen, als er sie zunächst, so wie bisher geplant, verboten hat: Das klingt doch so, als ob man ein Gesetz schaffen müsste, dass - ähnlich wie bei ganz normalen Hausdurchsuchungen - eine entsprechende Ankündigung vorsieht.

Bizer: Nein, gedacht ist an etwas anderes. Gedacht ist etwas, von daher ist der Begriff Onlinedurchsuchung parallel zur Wohnungsdurchsuchung nicht ganz treffend, gedacht ist im Grunde genommen an eine Erweiterung der Telefonüberwachung. Das Ganze macht ja nur Sinn, wenn es heimlich passiert, weil sonst würde der Verdächtige, derjenige, der überwacht werden soll, das Überwachungsobjekt würde ja sein Verhalten automatisch danach ausrichten, dass es weiß, dass es überwacht wird.

Es geht wirklich darum, sozusagen Schleusen, geheime Falltüren einzubauen in Systeme, damit dann die befugten Nachrichtendienste und Polizeibehörden dann eben abhören können und die Nachrichten aus den Rechnern herauslesen können. Und was dabei völlig übersehen wird, ist, dass man mit solchen Mechanismen gravierende Sicherheitslöcher in Systeme baut, wo wir uns doch gerade seit Jahrzehnten darum bemühen, seit dem Anfang des Internetbooms darum bemühen, richtig ordentliche Sicherheitsmauern zu errichten, damit auch wirklich elektronische Kommunikation, damit auch wirklich elektronischer Handel, damit gesellschaftspolitisch relevante Kommunikation über das Internet auch laufen kann.

Kassel: Nun kann man aber, sage ich mal, Herr Bizer, nicht bestreiten, dass das Internet, dass verschiedene Onlinevarianten sowohl für den Terrorismus als auch für das organisierte Verbrechen enorm wichtige Arbeitsmittel inzwischen geworden sind. Muss man nicht doch den Ermittlungsbehörden Gelegenheit geben, diese Arbeitsmittel zu kontrollieren?

Bizer: Also das Internet ist wie jedes andere Medium eben auch ein Kommunikationsmedium, so wie das Telefon, so wie die Briefpost, so wie auch Sprachkommunikation. Und bei solchen Mechanismen kommen wir einfach in Grenzbereiche, wo man sehr sorgfältig gegeneinander stellen muss, welche Vorteile, welche Gewinne man hat gegenüber den Verlusten, die der freiheitliche Rechtsstaat erleidet. Und auf der Seite des freiheitlichen Rechtsstaates stehen die Grundrechte aller derjenigen, die nun überhaupt keine Terroristen sind und in gar keinem Zusammenhang mit solchen terroristischen Taten stehen, die aber erstens verunsichert werden in ihren Kommunikationsmöglichkeiten durch diese Pläne, aber zweitens vor allen Dingen deren Sicherheit in der elektronischen Kommunikation entscheidend beeinträchtigt wird.

Solche Falltüren kann ich letztendlich ja nur einbauen, wenn ich zusammenarbeite mit denjenigen, die eigentlich auch für Sicherheit verantwortlich sind. Das ist ein Aspekt, den man sich vor Augen halten muss. Also wenn ich einen Virenscanner installiert habe, und wir fordern ja die Leute immer auf, installiert eure Virenscanner, aktiviert sie auch, arbeitet mit diesen Virenscannern, und dieser Virenscanner soll jetzt aber gerade nicht den BKA-Trojaner, den Bundestrojaner erkennen, dann bedeutet das doch gleichzeitig auch, dass diese Bundesbehörden mit den Herstellern von Antivirensoftware zusammenarbeiten müssen. Und das bedeutet gleichzeitig, dass wir, obwohl wir auf der einen Seite Sicherheit schaffen wollen, Unsicherheit produzieren.

Und der dritte Punkt, der dazu kommt, ist der, dass, wenn das BKA das kann, sozusagen diese Sicherheits-Firewalls, diese Sicherheitsmauern zu durchbrechen und in unsere Nachrichten, in unserer Computer einzudringen, was glauben Sie, wer das denn noch kann? Das informationstechnische Potential, was beim BKA, was beim Bundesamt für die Sicherheit in der Informationstechnik ist, darüber verfügt auch der russische Geheimdienst, darüber verfügen auch einfach andere mafiöse Gruppierungen, wie in dem Beitrag vorher angedeutet worden ist.

Kassel: Aber kann man dieses Argument, Herr Bizer, nicht genau umdrehen, kann man nicht sagen, wenn neben dem russischen Geheimdienst auch El Kaida oder das organisierte Verbrechen in Computer eindringen kann und auch da, teilweise eine Geldfrage und natürlich auch eine Know-how-Frage, enorme Technik besitzt, muss man da nicht erst recht diese Technik den Ermittlungsbehörden auch zugestehen?

Bizer: Nein, umgekehrt. Wir kriegen Sicherheit nur dadurch, dass wir hohe Sicherheitshürden bei der Kommunikationstechnik einsetzen, um auf diese Art und Weise jedem die Möglichkeit zu geben, seine Kommunikation selbst auch hochwertig zu schützen. Weil anders herum werden die Freiheitsrechte all derjenigen, die nun überhaupt nicht betroffen sind, ganz gravierend gefährdet.

Wissen Sie, es gibt so Fälle, da meldet sich bei uns eine Oma, weil es im Telefon knackt, und die ist verunsichert, weil sie auch was von Abhören gehört hat und der Möglichkeit, dass irgendwas ist. Dann versuchen wir beim Landeskriminalamt herauszufinden: Ist die wirklich überwacht worden. Dann haben wir erstmal Schwierigkeiten, überhaupt vom Landeskriminalamt eine Auskunft darüber zu bekommen, ob dieser Anschluss überwacht worden ist. Obwohl es sich eigentlich nur um eine ältere Dame handelt, die vielleicht ein bisschen übersensibel ist, um es vorsichtig auszudrücken.

Jetzt extrapolieren Sie mal diese Fälle auf all diejenigen, die Probleme beim Onlinebanking haben und die jetzt wissen wollen, ob möglicherweise das Problem ihres Onlinebankings auf einen Bundestrojaner zurückführen ist.

Kassel: Also von der Verwirrung her sehe ich es ein, aber lassen Sie uns doch mal dieses konkrete Beispiel nehmen: Es war keine Onlineuntersuchung, aber dieses gute Beispiel für die Abwägung Datenschutz möglicher anderer Nutzen, das war dieser Verhandlungserfolg des Landeskriminalamtes Sachsen-Anhalt im vergangenen Herbst, kam auch im Beitrag vor.

Da sind eben nicht nur ein Pädophilenring mit zwei Schuldigen und vier Fotos, sondern da sind insgesamt im Zusammenhang mit Kinderpornografie im Internet über 300 Leute dann wirklich entdeckt und angeklagt worden. Man hat diese über 300 Leute gefunden, weil man die Daten von 22 Millionen Kreditkartenbesitzern von den Kreditkartenfirmen bekommen hat. Es war eine einfache Geschichte. Man hat nach allen gesucht, die in einem bestimmten Zeitraum auf ein bestimmtes Konto, ich glaube, 79,95 Dollar per Kreditkarte geschickt haben.

Da waren damals ja auch Leute dabei, die haben damit keine Kinderpornografie, sondern in dem Fall teilweise iPods und ähnliches gekauft, und danach haben auch Leute gesagt, so stellen wir uns Datenschutz bei Kreditkarten und bei Bankdaten nicht vor. Wenn wir dagegen setzen: Mehr als 300 Menschen, die mit Kinderpornografie gehandelt haben, was ist da wichtiger?

Bizer: Der Fall ist ein bisschen anders gelagert. Also bei der Onlinedurchsuchung, sozusagen was man da machen will, ist dieses Bild vom Bundestrojaner, wo man also sozusagen Pferde einschleust, über die dann die Feinde über Falltüren in die eigenen Systeme eindringen. Bei diesem Mikadofall in Sachsen-Anhalt, den Sie gerade als Beispiel angesprochen haben, das war sozusagen eine offene Kommunikation zwischen der Staatsanwaltschaft und den Kreditkarteninstituten. Es gab ein Raster von fünf Punkten, die vorgegeben waren, dazu gehörte zum Beispiel insbesondere auch die Webseite, die die Staatsanwaltschaft kannte, auf dem ausländischen Webserver, über den die kinderpornografischen Angebote liefen.

Es war auch nicht einfach ein Betrag, der Betrag war auch nicht 9,99 Euro, also so ein Allerweltsbetrag, ein ALDI- oder LIDL-Betrag, sondern es war ein höherer, es war so was größenordnungsmäßig 59,99 oder so was in der Größenordnung. Es war auch das Empfängerkonto klar, auf dem das Geld überwiesen werden musste, weil man ja den Server kannte, wo das Angebot eben auch öffentlich war, und es waren noch zwei weitere Merkmale. Mikado war sozusagen eine Form von Rasterfandung mit vorgegebenen Merkmalen, wo die Polizei nicht nur einfach in den Nebel geschossen hat, sondern schon ziemlich klare Konturen von dem Täterbild eben auch hatte und auch von dem Tatverdacht selber hatte.

Das ist ein völlig anderes Szenario als jetzt das Bild, was wir hier haben, wo es sozusagen die Möglichkeit gibt, dass der Nachrichtendienst sagt: Ja, das ist ein Verdächtiger, der gehört zur El Kaida, aber dann sozusagen einen Bundestrojaner in die Welt setzt, der aber auch gleichzeitig Auswirkungen hat auf die Sicherheit von anderen Informationssystemen derjenigen, die überhaupt nichts damit zu tun. Es geht um das Problem des Kollateralschadens.

Kassel: Vorläufiges Fazit zur Onlinefahndung zum Schluss von Ihnen, Herr Bizer: Kann es für den Datenschutz denn wirklich darum gehen, diese grundsätzlich noch zu vermeiden, oder muss es vielmehr etwas pragmatischer darum gehen, doch irgendeinen Datenschutz-kompatiblen Weg zu finden?

Bizer: Also wir tun uns vor allen Dingen nach dem, wie defensiv sich das BKA verhält, Auskunft zu geben, wie sie das, was sie in die Welt setzen will, wieder einfangen will, also das, was sie da freisetzen will, wie sie das wieder einfangen kann, sind wir nicht nur skeptisch, sondern wir warnen eindringlich davor, diesen Weg der Unsicherheit zu beschreiten.

Kassel: Herzlichen Dank.