Online-Durchsuchung (Deutschland)
Online-Durchsuchung bedeutet den Zugriff von Ermittlungsbehörden auf die Festplatte des Computers einer Person mit Hilfe einer während der Internetnutzung installierten Software, eines sogenannten Trojaners (entsprechend in Deutschland auch Bundestrojaner genannt). Die Übermittlung der auf der Festplatte gespeicherten Daten an die Behörde erfolgt heimlich und über einen längeren Zeitraum. Die Online-Durchsuchung gehört zu den verdeckten Ermittlungsmaßnahmen.[1]
Im Strafverfahrensrecht wurde mit § 100b StPO mit Wirkung zum 24. August 2017 eine gesetzliche Grundlage der Online-Durchsuchung geschaffen.[2] 2019 betrug die Anzahl der tatsächlich durchgeführten Online-Durchsuchungen 12.[3]
Abzugrenzen ist die Online-Durchsuchung von der offenen Durchsuchung des Computers vor Ort beim Beschuldigten nach § 110 Abs. 3 StPO[4] sowie der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) gemäß § 100a Abs. 1 Satz 2 und 3 StPO.[5] Obwohl die Quellen-TKÜ technisch auf dieselbe Weise (per Hacking) funktioniert, sind im Gegensatz zur Online-Durchsuchung, die eine umfassende Durchsuchung eines Geräts gestattet, die Zugriffsrechte der Behörde bei der Quellen-TKÜ inhaltlich grundsätzlich auf die laufende Kommunikation beschränkt (§ 100a Abs. 5 Satz 1 Nr. 1a StPO).[6]
Bei der Quellen-TKÜ dürfen Kommunikationsdaten erfasst werden, bevor diese verschlüsselt werden oder nachdem diese entschlüsselt wurden.[6] Es sollen jedoch darüber hinaus keine Informationen erlangt werden, die nicht auch während des laufenden Übertragungsvorgangs im öffentlichen Telekommunikationsnetz hätten erlangt und aufgezeichnet werden können (§ 100a Abs. 5 Satz 1 Nr. 1b StPO). Bei der Online-Durchsuchung wird dagegen ein Computersystem umfassend oder gezielt durchsucht, so dass nicht nur Kommunikationsdaten, sondern sämtliche gespeicherten Daten betrachtet werden können wie Chats, hochgeladene Fotos, verfasste Notizen und Webseiten-Verläufe. Daraus lässt sich ein umfassendes Bild des Online-Verhaltens einer überwachten Person zusammensetzen.[7]
Ob dies in der Praxis tatsächlich abgrenzbar ist, ist umstritten.[8][9][10][11]
Rechtspolitische Debatte vor Einführung des § 100b StPO
Politik
Im Programm zur Stärkung der Inneren Sicherheit der deutschen Bundesregierung von 2006 wird die Online-Durchsuchung als Maßnahme umschrieben, „entfernte PCs auf verfahrensrelevante Inhalte hin zu durchsuchen, ohne tatsächlich am Standort des Gerätes anwesend zu sein“. Ob sie als eine Durchsuchung im Rechtssinne anzusehen und inwieweit sie einer Wohnungs- oder Hausdurchsuchung gleichzusetzen ist (womit sie den verfassungsrechtlichen Anforderungen an Eingriffsgesetze in das Wohnungsgrundrecht, z. B. nach der deutschen Strafprozessordnung genügen müsste), ist unter Juristen umstritten,[12] obwohl die Bundesregierung die Auffassung vertritt, dass für spezielle Datentypen die Online-Durchsuchung bereits von geltendem Recht gedeckt sei. Über eine Ermächtigungsgrundlage verfüge z. B. bereits der Zollfahndungsdienst als die die Maßnahme veranlassende Behörde. Dafür wird ein Programm für eine Quellen-Telekommunikationsüberwachung (auch Quellen-TKÜ, die Überwachung der Telekommunikation am Rechner vor ihrer Verschlüsselung) installiert und eingesetzt, wenn bei der klassischen Telekommunikationsüberwachung die Inhalte verschlüsselt werden.[13][14]
Die Bayerische Staatsregierung erklärte am 16. Mai 2007, einen Gesetzentwurf zu Online-Durchsuchungen zu Strafverfolgungszwecken auf den parlamentarischen Weg zu bringen. Der bayerische Gesetzentwurf wurde am 4. Juli 2008 im Bundesrat eingebracht, ist dort jedoch gescheitert.[15]
Im Juli 2007 erkundigten sich Bundesbehörden bei den USA nach dem vom Federal Bureau of Investigation verwendeten Überwachungsprogramm Computer and Internet Protocol Address Verifier. Ob das Programm oder Informationen über seine Funktionsweise an die Bundesbehörden weitergeleitet wurden, ist unbekannt.[16][17]
Laut Aussage des Bundestagsabgeordneten Hans-Peter Uhl wurden Staatstrojaner zum Zwecke der Online-Überwachung seit 2009 etwa 35 mal pro Jahr durch Landes- und Bundesbehörden eingesetzt. Für etwaige dabei erfolgte Rechtsbrüche sieht Uhl Leutheusser-Schnarrenberger in der Verantwortung.[18]
Am 8. Oktober 2011 gab der Chaos Computer Club bekannt, dass ihm mehrere Versionen einer staatlichen Spionagesoftware, die in den Medien als „Staats-“ oder „Bayerntrojaner“ bekannt wurden, zugespielt worden sind. Er veröffentlichte die extrahierten Binärdateien einer Version gemeinsam mit einer Bewertung der technischen Analyse und einem Bericht zum Funktionsumfang und kritisierte deren Einsatz durch Ermittlungsbehörden, der gegen das Urteil des Bundesverfassungsgerichts verstoße. Am 10. Oktober 2011 gab der bayerische Innenminister Joachim Herrmann bekannt, diese Software stehe in Zusammenhang mit einem Ermittlungsverfahren im Jahre 2009. Nach Beschluss des Landgerichts Landshut vom 20. Januar 2011[19] war diese damalige Umsetzung rechtswidrig.[20][21][22][23][24]
Nach Ansicht des Bundestagsabgeordneten Peter Altmaier konnten Landes- und Bundesbehörden die verfassungsrechtliche Unbedenklichkeit des DigiTask-Trojaners nicht nachvollziehbar darlegen.[25]
Zivilgesellschaft und Medien
Datenschützer kritisieren die Online-Durchsuchung ferner als massiven Eingriff in die Privatsphäre, weswegen am 22. Dezember 2006 eine Petition an den Petitionsausschuss des Deutschen Bundestages eingereicht wurde.[26]
Im August 2007 wurde bekannt, dass ein Mitarbeiter des BND die technischen Möglichkeiten zu privaten Zwecken nutzte.[27] Laut einer Presseerklärung des Bayerischen Beauftragten für den Datenschutz von August 2007 sei die Gefahr gegeben, dass der Bürger das Vertrauen in behördliche elektronische Kommunikation (E-Government) verliert. Benannt werden hier die „mit Milliardenaufwand vorangetriebenen E-Government-Projekte in Bund und Ländern bis hin zur elektronischen Steuererklärung (ELSTER) und zur elektronischen Gesundheitskarte“.[28]
In der Blogger-Szene entstand aus dem Eindruck eines Überwachungsstaates heraus auch die Bezeichnung Stasi 2.0 in Anlehnung an das Ministerium für Staatssicherheit der DDR (kurz Stasi) als Begriff für die verschärften Sicherheitsgesetze Schäubles. In einigen Gegenden Deutschlands fand daraufhin die sogenannte Schäublone, ein Porträtbild Wolfgang Schäubles mit dem Untertitel Stasi 2.0[29] Verbreitung.
Vor dem Hintergrund, dass die Existenz einer Einrichtung, die Zugriff auf Informationssysteme der Bürger hat, eine erhebliche Schwächung der nationalen IT-Sicherheit darstellt, hat der ehemalige Präsident des BND und des Bundesamtes für Verfassungsschutz, Hansjörg Geiger, die Einführung eines unabhängigen „Bürgeranwalts“ gefordert, der die Rechte der Betroffenen wahrnimmt, weil er eine richterliche Kontrolle nicht für ausreichend hält.[30]
Beispielhaft für die Unvorhersehbarkeit von Schäden steht ein Fall aus Frankfurt am Main im Jahr 2011: Ein hoher Beamter der Bundespolizei installierte aus eigenem Antrieb ein Trojanisches Pferd auf dem Rechner seiner Tochter, um ihre Computeraktivitäten zu überwachen. Einem Freund des Mädchens fiel der „Trojaner“ jedoch auf: Er drehte den Spieß um und überwachte fortan stattdessen den Datenverkehr des Polizeibeamten. Diese von dem Bundespolizisten selbst geöffnete Sicherheitslücke führte in der Folge dazu, dass der Hacker in das Netzwerk der Bundespolizei eindringen konnte. Daraufhin musste der Polizeiserver für das Observierungsprogramm Patras zeitweilig heruntergefahren werden.[31]
Im Februar 2012 wurde bekannt, dass das Bundeskriminalamt per Trojaner Telefonsex-Mitschnitte speicherte.[32]
Bundesgerichtshof
Innerhalb des Bundesgerichtshofes war die Zulässigkeit der Online-Durchsuchung für Zwecke der Strafverfolgung (repressive Online-Durchsuchung) umstritten.
Zunächst rechtfertigte der 3. Senat mit Beschluss vom 21. Februar 2006 „die Durchsuchung des von dem Beschuldigten […] benutzten Personalcomputers/Laptops, insbesondere der auf der Festplatte und im Arbeitsspeicher abgelegten Dateien“. Die Durchsuchung des PC-Datenbestandes des Beschuldigten ohne sein Wissen sei durch die Befugnisnorm des § 102 StPO gedeckt.[33] Diese Vorschrift der Strafprozessordnung regelt die offene Haus- und Wohnungsdurchsuchungen.
Mit Beschluss 25. November 2006 lehnte jedoch der 1. Senat diese Rechtsauffassung ab.[34] Eine entsprechende Anwendung der Vorschriften über die Durchsuchung (§ 102 StPO) komme für den heimlichen Zugriff auf einen Computer zum Zwecke der Strafverfolgung wegen des im Strafrecht geltenden Analogieverbots nicht in Betracht. Eine Online-Durchsuchung finde ohne Wissen des Betroffenen statt, während das Gesetz für eine herkömmliche Durchsuchung die Anwesenheit von Zeugen (vgl. § 105 Abs. 2 StPO) und des Inhabers (vgl. § 106 Abs. 1 StPO) des Durchsuchungsobjektes bzw. seines Vertreters vorsehe.
Die gegen diesen Beschluss gerichtete Beschwerde des Generalbundesanwalts verwarf der 3. Strafsenat mit Beschluss vom 31. Januar 2007 und schloss sich der Rechtsprechung des 1. Senats an.[35] Die "verdeckte Online-Durchsuchung" sei mangels einer ausdrücklichen Ermächtigungsgrundlage unzulässig. Sie könne weder auf § 102 StPO noch § 100a StPO gestützt werden. Insbesondere erlaube § 100a StPO verdeckte Online-Durchsuchung nicht. Dort sei die heimliche Überwachung der Telekommunikation, d. i. der Austausch von kommunikativen Elementen zwischen dem Verdächtigen und einem Dritten geregelt, welche bei der geheimen Onlinedurchsuchung gerade nicht vorliege.[36] Dieser „schwerwiegende Eingriff in das Recht auf informationelle Selbstbestimmung“ bedürfe einer speziellen Ermächtigungsgrundlage. Einzelne Elemente von Eingriffsermächtigungen dürften nicht kombiniert werden, um eine Grundlage für eine neue technisch mögliche Ermittlungsmaßnahme zu schaffen. Dies widerspreche dem Grundsatz des Gesetzesvorbehaltes für Eingriffe in Grundrechte (Art. 20 Abs. 3 GG) sowie dem Grundsatz der Normenklarheit und Tatbestandsbestimmtheit von strafprozessualen Eingriffsnormen.
Bundesverfassungsgericht
Das Bundesverfassungsgericht hat mit Urteil vom 27. Februar 2008[37] über die Befugnisse der Verfassungsschutzbehörden zu verschiedenen Datenerhebungen, insbesondere aus informationstechnischen Systemen und zum Umgang mit den erhobenen Daten entschieden.[38] Verschaffe der Staat sich heimlich Kenntnis von Inhalten der Internetkommunikation auf dem dafür technisch vorgesehenen Weg, so liege darin ein Eingriff in Art. 10 Abs. 1 GG. Bei der Teilnahme an öffentlich zugänglichen Kommunikationsinhalten im Internet greife der Staat dagegen grundsätzlich nicht in Grundrechte ein.
Das allgemeine Persönlichkeitsrecht schützt danach vor Eingriffen in informationstechnische Systeme, soweit der Schutz nicht durch andere Grundrechte, wie insbesondere Art. 10 oder Art. 13 GG, sowie durch das Recht auf informationelle Selbstbestimmung gewährleistet ist. Die grundrechtlichen Gewährleistungen der Art. 10 und Art. 13 GG in der bis dahin durch das Bundesverfassungsgericht entwickelten Ausprägung des allgemeinen Persönlichkeitsrechts trügen dem durch die Entwicklung der Informationstechnik entstandenen Schutzbedürfnis nicht hinreichend Rechnung. Soweit der heimliche Zugriff auf ein informationstechnisches System dazu diene, Daten auch insoweit zu erheben, sei die bestehende Schutzlücke durch das allgemeine Persönlichkeitsrecht in seiner Ausprägung als Schutz der Vertraulichkeit und Integrität von informationstechnischen Systemen zu schließen.[37]
Dieses durch das Urteil quasi neu geschaffene Grundrecht leitete das Gericht aus der Auffangfunktion des allgemeinen Persönlichkeitsrechts her, welches seinerseits in Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG begründet liege.
- „Es bewahrt den persönlichen und privaten Lebensbereich der Grundrechtsträger vor staatlichem Zugriff im Bereich der Informationstechnik auch insoweit, als auf das informationstechnische System insgesamt zugegriffen wird und nicht nur auf einzelne Kommunikationsvorgänge oder gespeicherte Daten.“[37]
Aus verfassungsrechtlicher Sicht bedeutete dies jedoch nicht, dass jede Online-Durchsuchung mit dem Grundgesetz unvereinbar ist. Allerdings erzeuge die besondere Nähe des neuen „Computer-Grundrechts“[39] zur Menschenwürde einen besonderen Rechtfertigungsdruck für den Gesetzgeber. Demnach bestehen folgende Anforderungen an die Verfassungsmäßigkeit einer gesetzlichen Befugnis zur Onlinedurchsuchung:[40]
- Die Regelung muss bestimmt genug sein, d. h. sie muss detailliert die Eingriffsvoraussetzungen beschreiben.
- Die Regelung darf Onlinedurchsuchungen nur zulassen zugunsten überragend wichtiger Rechtsgüter wie Leib, Leben und Freiheit der Person sowie Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt.
- Die Regelung muss Vorkehrungen enthalten, um den Kernbereich privater Lebensgestaltung zu schützen.
- Bei strafprozessualer Onlinedurchsuchung muss die Rechtsgrundlage die Anlasstatbestände (die schweren Straftaten) katalogartig auflisten und die Einschränkung enthalten, dass die Tat auch im Einzelfall schwer wiegen muss.
- Bei gefahrenabwehrrechtlicher Onlinedurchsuchung muss die Regelung eine konkrete Gefahr für eines der genannten Rechtsgüter verlangen.
- Die Regelung muss schließlich zur vorbeugenden Kontrolle einen Richtervorbehalt statuieren und eine nachträgliche Benachrichtigungspflicht enthalten.
Einführung des § 100b StPO
Gesetzliche Regelung
Die gesetzliche Grundlage der Online-Durchsuchung zum Zwecke der Strafverfolgung ist seit Inkrafttreten des Art. 3 des Gesetzes zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens am 24. August 2017[41] der neue § 100b Strafprozessordnung (StPO). Dort ist die Online-Durchsuchung legaldefiniert als Eingriff mit technischen Mitteln in ein von dem Betroffenen genutztes informationstechnisches System und Erhebung von Daten daraus auch ohne Wissen des Betroffenen.
Unter den Begriff des informationstechnischen Systems fallen neben klassischen PCs „alle von einem Mikroprozessor gesteuerten Geräte, namentlich auch Mobiltelefone (Smartphones), Organizer oder Server und Router bis hin zu sog. smarten Haushaltsgeräten oder sog. Digitalen Assistenten (z.B. ‚Alexa‘ von Amazon, ‚Hello‘ von Google, ‚Cortana‘ von Microsoft oder ‚Siri‘ von Apple).“[42]
Es können nicht nur alle neu hinzukommenden Kommunikationsinhalte, sondern auch alle in dem IT-System gespeicherten Inhalte sowie das Nutzungsverhalten der Person überwacht werden.[43]
In der rechtswissenschaftlichen Literatur wird diskutiert, ob § 100b StPO die Ermittlungsbehörden auch dazu ermächtigt, Mikrofone oder Kameras vernetzter Systeme selbst anzuschalten und hierdurch im Sinne eines „großen Spähangriffs“ Ton- und Bildsignale zu erfassen. Das wird überwiegend abgelehnt. Von § 100b StPO erfasst sei lediglich das – passive – Erheben einschlägiger Daten aus der Nutzung des Systems seitens des Betroffenen.[44]
Voraussetzungen und Verfahren der Online-Durchsuchung
Die Maßnahme setzt einen Antrag der Staatsanwaltschaft und eine schriftliche Anordnung des zuständigen Landgerichts durch eine nicht mit Hauptverfahren in Strafsachen befasste Kammer voraus (§ 100e Abs. 2 Satz 1 StPO, § 74a Abs. 4 GVG). Die Anordnung ist auf höchstens einen Monat zu befristen. Eine Verlängerung um jeweils einen weiteren Monat ist zulässig. Ist die Dauer der Anordnung auf insgesamt sechs Monate verlängert worden, so entscheidet über weitere Verlängerungen das Oberlandesgericht.
Durch die Online-Durchsuchung dürfen nicht allein Erkenntnisse aus dem Kernbereich privater Lebensgestaltung (Intimsphäre) erlangt werden, was technisch sicherzustellen ist (§ 100d Abs. 1, Abs. 3 StPO). Derartige Erkenntnisse unterliegen gegebenenfalls einem Verwertungsverbot (§ 100d Abs. 2 StPO). Dasselbe gilt für Äußerungen von Zeugnisverweigerungsberechtigten (§ 100d Abs. 5 StPO, § 53 StPO).
Die Anordnung setzt den begründeten Verdacht voraus, dass der Beschuldigte eine besonders schwere Straftat begangen oder zu begehen versucht hat, die Tat auch im Einzelfall besonders schwer wiegt und die Aufklärung des Sachverhalts auf andere Weise wesentlich erschwert oder aussichtslos wäre (§ 100b Abs. 1 Nr. 1–3 StPO).[45]
Welche besonders schweren Straftaten eine Online-Durchsuchung rechtfertigen, ist in § 100b Abs. 2 Nr. 1–7 StPO geregelt. Einschlägige Katalogstraftaten sind danach bestimmte Tatbestände aus dem Strafgesetzbuch wie die Gefährdung des demokratischen Rechtsstaates, die Bildung krimineller Vereinigungen oder die Bildung terroristischer Vereinigungen, die Verbreitung, der Erwerb und Besitz kinderpornografischer Schriften sowie Mord und Totschlag, ferner aus dem Asylgesetz, dem Aufenthaltsgesetz (Schleusungskriminalität), dem Betäubungsmittelgesetz, dem Gesetz über die Kontrolle von Kriegswaffen, dem Völkerstrafgesetzbuch und dem Waffengesetz.
Verfassungsbeschwerden
Beim 2. Senat des Bundesverfassungsgerichts sind seit dem Jahr 2018 eine Reihe von Verfassungsbeschwerden von unter anderem Rechtsanwälten, Künstlern und Journalisten, darunter einige Mitglieder des Deutschen Bundestages, anhängig zu der Frage, ob die zum 24. August 2017 bewirkten Änderungen der Strafprozessordnung, insbesondere die Möglichkeit der Anordnung der sog. Quellen-Telekommunikationsüberwachung und der Online-Durchsuchung mittels des sog. „Staatstrojaners“ verfassungsgemäß sind.[46] Zuständige Berichterstatterin ist Sibylle Kessal-Wulf.
Zu den Beschwerdeführern zählen Mitglieder der FDP und der Piratenpartei,[47] der TeleTrusT – Bundesverband IT-Sicherheit,[48] der Verein Digitalcourage[49][50] sowie die Gesellschaft für Freiheitsrechte (GFF) und der Deutsche Anwaltverein (DAV).[51]
Softwareeinsatz
Das Bundeskriminalamt (BKA) verfügt schon seit mehreren Jahren über drei Programme: zwei selbst entwickelte Systeme – Remote Communication Interception Software (RCIS) 1.0 und 2.0 genannt – und die kommerziell erworbene Software FinSpy des Unternehmens FinFisher. Der Generalbundesanwalt hat im Jahr 2019 über 550 neue Terrorismusverfahren eingeleitet, jedoch in keinem dieser Fälle den Einsatz der Quellen-TKÜ oder der Online-Durchsuchung beantragt. Grund sei der noch immer „immense technische Aufwand“, eine für das Zielgerät passende Software zu entwickeln.[52]
Das BKA kaufte außerdem eine modifizierte Version der Spionagesoftware Pegasus.[53]
Weitere Ermächtigungsgrundlagen
Gesetz über das Bundeskriminalamt
Gem. Art. 73 Abs. 1 Nr. 9a GG hat der Bund die ausschließliche Gesetzgebungskompetenz für die Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalpolizeiamt in Fällen, in denen eine länderübergreifende Gefahr vorliegt, die Zuständigkeit einer Landespolizeibehörde nicht erkennbar ist oder die oberste Landesbehörde um eine Übernahme ersucht.[54]
§ 20k des BKA-Gesetzes (BKAG) in der Fassung des Gesetzes zur Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalamt vom 25. Dezember 2008[55] sah einen verdeckten Eingriff in informationstechnische Systeme ohne Wissen des Betroffenen vor.[56] Mit Urteil vom 20. April 2016 erklärte das Bundesverfassungsgericht die Ermächtigung des Bundeskriminalamts zum Einsatz von heimlichen Überwachungsmaßnahmen zwar für im Grundsatz mit den Grundrechten des Grundgesetzes vereinbar, § 20k BKAG und andere Vorschriften in ihrer damaligen Fassung aber mit Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1, Art. 10 Abs. 1, Art. 13 Abs. 1 und 3 – auch in Verbindung mit Art. 1 Abs. 1 und Art. 19 Abs. 4 GG – für nicht vereinbar.[57][58] Die Ausgestaltung solcher Befugnisse, die tief in das Privatleben hineinreichen, müsse dem Verhältnismäßigkeitsgrundsatz genügen und verlange besondere Regelungen zum Schutz des Kernbereichs privater Lebensgestaltung sowie einen Schutz von Berufsgeheimnisträgern, unterliege Anforderungen an Transparenz, individuellen Rechtsschutz und aufsichtliche Kontrolle und müsse mit Löschungspflichten bezüglich der erhobenen Daten flankiert sein.
Das Gesetz zur Neustrukturierung des Bundeskriminalamtgesetzes vom 1. Juni 2017[59] diente auch der Umsetzung dieses Urteils.[60][61] § 49 Abs. 1 Satz 3 iVm. § 5 BKAG n.F. ermächtigt zur Online-Durchsuchung zu Zwecken der Abwehr von Gefahren des internationalen Terrorismus von länderübergreifender Bedeutung und entspricht weitgehend dem bisherigen § 20k, um in der Rechtsanwendung Unsicherheiten zu vermeiden, erfolgte jedoch eine ausdrückliche Regelung der Gefahrenlage, die im Vorfeld einer konkreten Gefahr einen Eingriff in informationstechnische Systeme rechtfertigt. § 49 Abs. 5 BKAG n.F. setzt die Anforderungen des Bundesverfassungsgerichts an den zu stellenden Antrag um. § 49 Abs. 7 BKAG n.F. sieht für die Sichtung von Informationen aus verdeckten Eingriffen in informationstechnischen Systemen eine unabhängige Stelle vor.[62][63]
In ihrer Antwort auf eine Kleine Anfrage führte die Bundesregierung 2018 aus, es sei für die „rechts- und datenschutzkonforme Durchführung von Maßnahmen der informationstechnischen Überwachung“ innerhalb des BKA eine neue Organisationseinheit geschaffen worden. Ihre Aufgabe bestehe darin, die benötigte Software zu entwickeln und zu beschaffen. Außerdem überwache sie die Einhaltung der gesetzlichen und technischen Vorgaben beim Einsatz der Software.[64]
Bundesverfassungsschutzgesetz
Am 9. Juli 2021 trat das "Gesetz zur Anpassung des Verfassungsschutzrechts" in Kraft[65], das den deutschen Geheimdiensten erweiterte Befugnisse zur Telekommunikationsüberwachung verleiht. Im Einzelnen wurden dabei das Bundesverfassungsschutzgesetz, Sicherheitsüberprüfungsgesetz, MAD-Gesetz, BND-Gesetz und Artikel-10-Gesetz verändert. Zu den Befugnissen gehört es unter anderem: „Auf dem informationstechnischen System des Betroffenen ab dem Zeitpunkt der Anordnung gespeicherte Inhalte und Umstände der Kommunikation dürfen überwacht und aufgezeichnet werden, wenn sie auch während des laufenden Übertragungsvorgangs im öffentlichen Telekommunikationsnetz in verschlüsselter Form hätten überwacht und aufgezeichnet werden können.“ Nach Auffassung von Anwälten[66] und Journalisten[67][68] beinhaltet dies die Ermächtigung der Geheimdienste zum Einsatz des sogenannten „Staatstrojaners“. Mehrere Abgeordnete der FDP verorteten den Wirkungsbereich des Gesetzes eher im Bereich der Quellen-TKÜ, halten insbesondere den "Zugriff auf die ruhende Kommunikation" und die "Infiltration von Geräten" aber für verfassungswidrig und kündigten eine Klage vor dem Bundesverfassungsgericht an.[69]
Seit März 2019 gab es diesen Entwurf eines Gesetzes zur Harmonisierung des Verfassungsschutzrechtes („Entwurf BVerfSchG“), auch Gesetz zur „Modernisierung des Bundesamtes für Verfassungsschutz (BfV)“[70][71] aus dem Bundesinnenministerium. Dieser Entwurf sehe auch eine Befugnis zur Online-Durchsuchung und zur Quellen-TKÜ vor, um Handys und Computer nicht nur an öffentlichen Orten, sondern auch in Privatwohnungen mit einer Spionagesoftware zu infizieren.[72] In Beantwortung einer entsprechenden Kleinen Anfrage will die Bundesregierung keine Einblicke in noch nicht abgeschlossene Meinungsbildungsprozesse gewähren. Die Kontrollkompetenz des Parlaments erstrecke sich nach der Rechtsprechung des Bundesverfassungsgerichts[73] grundsätzlich nur auf bereits abgeschlossene Vorgänge und umfasse nicht die Befugnis, in laufende Verhandlungen und Entscheidungsvorbereitungen einzugreifen.[74]
Bereits im März 2005 wurde der damalige Bundesinnenminister Otto Schily (SPD) vom Präsidenten des Bundesamtes für Verfassungsschutz, Heinz Fromm, gebeten, eine Möglichkeit zu schaffen, heimlich Computer von Verdächtigen auszuspionieren.[75] Nach Angaben des parlamentarischen Staatssekretärs im Bundesinnenministerium, Peter Altmaier (CDU), wurden somit bereits seit 2005 Online-Untersuchungen per geheimer Dienstanweisung ermöglicht.[76] Erst im Juli 2005 wurde das Parlamentarische Kontrollgremium informiert.
Umstritten ist, ob die Online-Durchsuchung als nachrichtendienstliches Mittel zulässig ist. So sollen nach Ansicht des Bundesministerium des Innern die heimlichen Durchsuchungen von PCs für den Bundesamt für Verfassungsschutz, den Militärischen Abschirmdienst (MAD) und den Bundesnachrichtendienst (BND) erlaubt sein.[77]
Die Entscheidung des Bundesgerichtshofes vom Januar 2007 kann zur Beantwortung der Frage der Zulässigkeit im Bereich der Nachrichtendienste nicht unmittelbar herangezogen werden. Sie bezieht sich allein auf die Rechtsgrundlagen für das Gebiet der Strafverfolgung, während für den Bereich der Vorfeldbeobachtung durch die Nachrichtendienste spezielle Eingriffsvorschriften bestehen.
Nachdem Anfang März 2009 bekannt wurde, dass die Online-Durchsuchung und Keylogger vom BND im Rahmen einer Generalvollmacht bis dahin in mindestens 2500 Fällen eingesetzt wurden, wird von Experten der Regierungskoalition und der Opposition eine eindeutigere Rechtsgrundlage gefordert, um illegale Aktionen auszuschließen.[78]
Landesverfassungsschutzgesetze
Nordrhein-Westfalen nahm mit seinem FDP-geführten Innenministerium eine Vorreiterrolle ein. Dort war dem Verfassungsschutz seit dem 30. Dezember 2006 „heimliches Beobachten und sonstiges Aufklären des Internets, wie insbesondere die verdeckte Teilnahme an seinen Kommunikationseinrichtungen bzw. die Suche nach ihnen, sowie der heimliche Zugriff auf informationstechnische Systeme auch mit Einsatz technischer Mittel“ zur Informationsbeschaffung erlaubt. Gegen diese Vorschrift wurde Verfassungsbeschwerde erhoben, der das Bundesverfassungsgericht am 27. Februar 2008 stattgegeben hat.[37] § 5 Abs. 2 Nr. 11 des Gesetzes über den Verfassungsschutz in Nordrhein-Westfalen (VSG-NRW) wurde für verfassungswidrig und somit für nichtig erklärt.[37][79] Gem. § 5 Abs. 2 Nr. 11 VSG NRW n.F. ist zwar die Überwachung nicht öffentlicher Kommunikationsinhalte zulässig, eine Online-Durchsuchung aber ausgeschlossen.[80]
Die 2018 im Gesetzentwurf der Fraktionen der CDU und Bündnis 90/Die Grünen für ein Gesetz zur Neuausrichtung des Verfassungsschutzes in Hessen[81] vorgesehene Befugnis zur nachrichtendienstlichen Online-Durchsuchung für das Landesamt für Verfassungsschutz wurde nicht beschlossen, ist aber gem. § 15c HSOG für Zwecke der Gefahrenabwehr durch die Polizei zulässig.[82][83]
Das Brandenburgische Verfassungsschutzgesetz[84] wurde im Juni 2019 reformiert, ohne die Online-Durchsuchung einzuführen.[85]
Das Bayerische Landesamt für Verfassungsschutz hat nach Art. 10 des Bayerischen Verfassungsschutzgesetzes[86] die Befugnis zum verdeckten Zugriff auf informationstechnische Systeme. Die Regelung berücksichtigt insbesondere das BKAG-Urteil des Bundesverfassungsgerichts von 2016.[87]
Polizeigesetze der Bundesländer
Der Koalitionsvertrag für die 19. Legislaturperiode vom 12. März 2018 sieht zur Abwehr von Gefahren des islamistischen Terrors die Erarbeitung eines gemeinsamen Musterpolizeigesetzes vor.[88] Man wolle keine Zonen unterschiedlicher Sicherheit in Deutschland.
Auf Länderebene gibt es seit 2018 unterschiedliche Bemühungen um eine Novellierung der Landespolizeigesetze.[89] Zu den je nach Mehrheitsverhältnissen in den Landesparlamenten rechtspolitisch umstrittenen Befugnissen gehört nicht zuletzt die Online-Durchsuchung. Die Entscheidungen des Bundesverfassungsgerichts vom 27. Februar 2008 und vom 20. April 2016 sind auch für die Landesgesetzgebung maßgeblich.
Praktische Durchführung
Am 8. Oktober 2011 veröffentlichte der Chaos Computer Club die Binärdateien der Version 3.4.26 eines staatlichen Überwachungsprogramms für 32-Bit-Betriebssystemversionen von Windows.[21][108][22] Die FAZ veröffentlichte einen Teil des disassemblierten Programmcodes, den der CCC mit dem Label „0zapftis“ (mit führender Null) versehen hatte.[109] Dieses Kunstwort etablierte sich als Name des Schadprogramms, neben weiteren in den Medien gebrauchten Bezeichnungen wie „Staatstrojaner“ oder „Bayerntrojaner“.[110] Der Trojaner bestand aus den Dateien „mfc42ul.dll“ und „winsys32.sys“.[111]
Laut F-Secure, das dem Programm den Namen Backdoor:W32/R2D2.A gab, kann die Installation auf einem Zielrechner z. B. durch das Programm scuinst.exe (Skype Capture Unit Installer) erfolgen.[112] Das Programm überwacht u. a. VoIP-Gespräche via Skype oder Sipgate, besitzt einen Keylogger und fertigt Bildschirmkopien aktiver Chat- und Webbrowser-Fenster an. Durch Verbindungsaufbau zu Command-and-Control-Servern mit den IP-Nummern 83.236.140.90 (QSC in Hessen, Deutschland[113]) und 207.158.22.134 (Web Intellects in Ohio, USA) kann das Überwachungsprogramm auch weitere Programme zur Erweiterung der Funktionalität nachladen, die dann Inhalte auf der Festplatte des befallenen Computers ändern könnten.[108][21][23]
Der Chaos Computer Club kritisierte unter anderem, dass die untersuchten Trojaner „nicht nur höchst intime Daten ausleiten“, sondern „auch eine Fernsteuerungsfunktion zum Nachladen und Ausführen beliebiger weiterer Schadsoftware“ bieten, zudem würden aufgrund von „groben Design- und Implementierungsfehlern“ eklatante Sicherheitslücken in den infiltrierten Rechnern entstehen, „die auch Dritte ausnutzen können.“[114] Bundesinnenminister Hans-Peter Friedrich bestätigte, dass die Nachladefunktion des Staatstrojaners gewollt ist und von den Überwachungsbehörden zum Nachladen weiterer Module verwendet wird. In einer Stellungnahme, die sich somit als Falschaussage herausstellte, hatte im August 2010 das Landeskriminalamt Bayern gegenüber dem Amtsgericht Landshut die Existenz der Nachladefunktion bestritten. Die Nachladefunktion ist auch in der neueren Version 3.6.44 des Trojaners, die u. a. im Dezember 2010 zum Einsatz kam, weiterhin aktiv.[115][116] Eine unabhängige Überprüfung der Sicherheit und Verfassungskonformität der Überwachungsprogramme lehnte Friedrich ab.[117] Eine aktuellere Version, die von Kaspersky Lab untersucht wurde, unterstützte auch 64-Bit-Systeme von Windows und enthalte 15 Anwendungen.[118][119]
Die vom Chaos Computer Club analysierte Software wurde von der hessischen Firma Digi Task GmbH – Gesellschaft für besondere Telekommunikationssysteme[120][121] u. a. im Auftrag der Bayerischen Staatsregierung entwickelt.[122][123] Ein Anwalt des Unternehmens bestätigte, dass DigiTask die Schadsoftware programmiert habe,[124] verteidigte sich jedoch gegen den Vorwurf der Inkompetenz und erklärte: „Es ist durchaus möglich, dass im November 2008 gelieferte Software heute nicht mehr den Sicherheitsanforderungen entspricht.“[125] Zu den verfassungsrechtlichen Bedenken sagte der Anwalt, „die Grenzen der Anwendung seien nicht von der Firma, sondern von den Behörden zu beachten.“[126] Nach Auskunft des Bayerischen Staatsministeriums der Justiz und für Verbraucherschutz berechnet „DigiTask“ einmalig 2500 Euro für die Installation und Deinstallation der Software, sowie monatlich 3500 Euro für „Skype-Capture“ und 2500 Euro für „SSL-Dekodierung“ je „Maßnahme“. Zusätzlich empfiehlt „DigiTask“ zum Zwecke der Verschleierung der IP-Adresse der Überwachungsbehörde die Anmietung zweier Proxy-Server, von denen sich einer in „Übersee“ befinden sollte.[127][122] Nach Bekanntwerden und der Veröffentlichung des Programms haben die verschiedenen Antivirenhersteller dieses in ihre Datenbanken aufgenommen und es wird seither von deren Virenschutzprogrammen erkannt.[128] Laut Experten der Firmen Kaspersky Lab und Symantec reicht zum Schutz gegen diesen Trojaner ein herkömmliches Virenschutzprogramm aus.[129]
Das deutsche Bundeskriminalamt gründete im Juli 2008 die DigiTask User Group, um den Einsatz der Software innereuropäisch zu koordinieren.[130] Sicherheitsbehörden Baden-Württembergs und Bayerns trafen sich etwa zweimal jährlich mit Behörden der Schweiz, Belgiens und der Niederlande. Die Gruppe wurde später in Remote Forensic Software User Group umbenannt. Der Abgeordnete Andrej Hunko, auf dessen Frage die Information an die Öffentlichkeit gelangte, kritisierte, dass die „grenzüberschreitende Heimlichtuerei“ des BKA erst durch „zähe Recherchen“ öffentlich werde.[131]
Im März 2011 und im Januar 2012 hat das Bundeskriminalamt (BKA) in Mailand Gespräche mit der Firma „Hacking Team“ geführt, um „im Rahmen einer üblichen Marktsichtung“ Informationen zum Produkt „Remote Control System“ zu erheben.[132] Nach Angaben von BKA-Beamten soll es sich dabei um einen spezifischen Keylogger handeln. Dieser soll entweder voll elektronisch oder aber von Observanten persönlich in der Wohnung direkt am Rechner des Tatverdächtigen[133] installiert werden. In dieser Form wird die Online-Durchsuchung zwingend mit einem Betreten der Wohnung des Verdächtigen gekoppelt, damit die gesamte Maßnahme der Informationsgewinnung Erfolg hat.
Im Mai 2012 berichtete das Nachrichtenmagazin Der Spiegel, dass es dem Bundeskriminalamt bis dato nicht gelungen sei, einen eigenen Staatstrojaner zu entwickeln.[134] Im August 2014 berichtete Der Spiegel unter Bezugnahme auf die Antwort des Bundesinnenministeriums an den Abgeordneten Hunko, dass der Bundestrojaner fertiggestellt und einsatzbereit sei. Eine Lösung zur Quellen-Telekommunikationsüberwachung befinde sich „nach Abschluss der Architekturarbeiten derzeit in der Implementierungsphase“.[135]
Zweckmäßigkeit
Unabhängig von der verwendeten Technik wurde angezweifelt, ob insbesondere gezielte Online-Durchsuchungen bei Einsatz üblicher Kommunikationstechnik wie Router, Firewall und Anti-Virus-Scanner überhaupt erfolgversprechend sein können.[136][137][138] Experten waren jedoch der Meinung, dass die bereits im Einsatz befindlichen Abhörschnittstellen, die zur Durchführung von Telekommunikations-Überwachungsverordnungs-Maßnahmen bei jedem Internet-Provider in Deutschland installiert sein müssen, ohne größere Probleme zur Einschleusung von Trojanern während eines beliebigen ungesicherten Software-Downloads umprogrammiert werden könnten – ein klassischer Man-in-the-Middle-Angriff, gegen den auch die beste Firewall machtlos ist.[139] Um eine derartige Attacke auszuschließen, müsste man sich bei Programmdownloads auf signierte Dateien beschränken. Allerdings gab es schon einzelne Fälle, bei denen signierte Software aus offizieller Downloadquelle Malware enthielt. Viele freie Betriebssysteme tun dies mit dem GNU Privacy Guard ohnehin. Allerdings signieren nur sehr wenige Anbieter von Windows-Software ihre Downloads. Außerdem benötigt man eine garantiert echte Version des jeweiligen öffentlichen Schlüssels. Antivirenprogrammhersteller wie Avira und Kaspersky Lab schlossen eine Kooperation mit dem BKA bereits aus.[140] Virenschutzprogramme bieten nur bedingte Sicherheiten durch Erkennung von typischen Verhaltensweisen und bereits bekannten Programmmustern über generische und heuristische Verfahren, da staatliche Trojaner sich atypisch verbreiten und den Herstellern erst bekannt sein müssen, um sie in ihren Virenschutzprogrammen durch aktuelle Virensignaturen zuverlässig erkennen zu lassen.[141] Erschwerend kommt nur hinzu, dass Trojaner oder Ausspähprogramme auf die Zusammenarbeit des Betriebssystems angewiesen sind (und speziell auf dieses zugeschnitten sein müssen).
Literaturauswahl (chronologisch)
- Florian Meininghaus: Der Zugriff auf E-Mails im strafrechtlichen Ermittlungsverfahren. Kovac, Hamburg 2007, ISBN 978-3-8300-3158-1.
- Jörg Ziercke: Pro Online-Durchsuchung. In: Informatik Spektrum, Band 31, Heft 1/2008, S. 62–64.
- Fredrik Roggan (Hrsg.): Online-Durchsuchungen – Rechtliche und tatsächliche Konsequenzen des BVerfG-Urteils vom 27. Februar 2008, Berliner Wissenschaftsverlag, Berlin 2008, ISBN 978-3-8305-1560-9.
- Werner Beulke/Florian Meininghaus: Der Staatsanwalt als Datenreisender – Heimliche Online-Durchsuchung, Fernzugriff und Mailbox-Überwachung. In: Heinz Schöch/Gunter Widmaier (Hrsg.): Strafverteidigung, Revision und die gesamten Strafrechtswissenschaften : Festschrift für Gunter Widmaier zum 70. Geburtstag. Heymanns, Köln 2008, ISBN 978-3-452-26938-6, S. 63–79.
- André Weiß: Online-Durchsuchungen im Strafverfahren. Kovac, Hamburg 2009, ISBN 978-3-8300-4550-2.
- Anne Gudermann: Online-Durchsuchung im Lichte des Verfassungsrechts. Kovač, Hamburg 2010, ISBN 978-3-8300-5004-9. (Diss. Univ. Münster (Westf.), 2009).
- Christoph Herrmann: Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme – Entstehung und Perspektiven, Frankfurt/Main 2010
- Friedemann Vogel: Gefechtsspuren im gesetzgebenden Diskurs: Die Debatte um Normierung von "Online-Durchsuchungen" aus rechtslinguistischer Perspektive. In Sprachreport 3/2011, S. 7–14 (PDF; 1,1 MB).
- Thomas A. Bode: Verdeckte strafprozessuale Ermittlungsmaßnahmen. Springer, Berlin 2012, Schriftenreihe der Juristischen Fakultät der Europa-Universität Viadrina Frankfurt (Oder), ISBN 978-3-642-32660-8.
- Franziska Schneider: Rechtliche Rahmenbedingungen für die Vornahme von Online-Durchsuchungen – Online-Durchsuchungen als Mittel zur Terrorismusbekämpfung in Deutschland und den USA. Lang, Frankfurt am Main 2012, ISBN 978-3-631-63697-8.
- Friedemann Vogel: Linguistik rechtlicher Normgenese. Theorie der Rechtsnormdiskursivität am Beispiel der Online-Durchsuchung. de Gruyter, Berlin/New York 2012, ISBN 978-3-11-027839-2. (= Sprache und Wissen 6)
- Dieter Kochheim: Onlinedurchsuchung und Quellen-TKÜ in der Strafprozessordnung – Neuordnung der tiefen technischen Eingriffsmaßnahmen in der StPO seit dem 24. August 2017 Kriminalpolitische Zeitschrift KriPoz 2018, S. 60–69
Weblinks
- Andreas Bogk, Chaos Computer Club: Antwort zum Fragenkatalog zur Verfassungsbeschwerde 1 BvR 370/07 und 1 BvR 595/07, 23. September 2007 (Memento vom 15. Dezember 2007 im Internet Archive)
- Dirk Fox, Secorvo Security Consulting: Stellungnahme zur „Online-Durchsuchung“. Verfassungsbeschwerden 1 BvR 370/07 und 1 BvR 595/07, 29. September 2007
- Felix Freiling, Lehrstuhl für Praktische Informatik, Universität Mannheim: Schriftliche Stellungnahme zum Fragenkatalog. Verfassungsbeschwerden 1 BvR 370/07 und 1 BvR 595/07, 27. September 2007 (Memento vom 16. April 2014 im Internet Archive)
- Andreas Pfitzmann: Möglichkeiten und Grenzen der Nutzungsüberwachung von Informations- und Kommunikationssystemen in einer freiheitlichen demokratischen Gesellschaft, 26. September 2007
- Bundestrojaner: ein Programmierer erzählt (Memento vom 24. Januar 2013 im Webarchiv archive.today), gulli.com, 21. August 2009.
- Annamaria Nockemann: Online-Durchsuchung im Spannungsfeld zwischen Prävention und Repression Mittweida, 2018
- Verfassungsrechtliche Vorgaben für die Online-Durchsuchung Wissenschaftliche Dienste des Deutschen Bundestages, Ausarbeitung vom 1. April 2019 (für eine Regelung der sog. Online-Durchsuchung zugunsten der Nachrichtendienste)
Einzelnachweise
- Christoph Keller, Frank Braun: Telekommunikationsüberwachung und andere verdeckte Ermittlungsmaßnahmen. Richard Boorberg Verlag, 3. Auflage 2019, ISBN 978-3-415-06552-9. Leseprobe.
- Art. 3 des Gesetzes zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens vom 17. August 2017, BGBl. I S. 3202
- Übersicht Telekommunikationsüberwachung für 2019 (Maßnahmen nach § 100b StPO). (PDF) In: Bundesamt für Justiz. Abgerufen am 19. Februar 2021.
- vgl. BGH, Beschluss vom 31. Januar 2007 - StB 18/06
- Bernd Heinrich, Tobias Reinbacher: Online-Durchsuchung Stand: 1. Oktober 2019
- Bernd Heinrich, Tobias Reinbacher: QuellenTelekommunikationsüberwachung Stand: 1. Oktober 2019
- Markus Sehl: Geleakter Gesetzentwurf zeigt BMI-Pläne: Geheimdienste wollen Zugriff auf PC, Smartphone und Alexa Legal Tribune Online, 28. März 2019
- Quellen-TKÜ und Online-Durchsuchung – Notwendigkeit, Sachstand und Rahmenbedingungen. In: https://www.bka.de/. BKA, abgerufen am 1. Januar 2019.
- Fragenkatalog des Bundesministeriums der Justiz. (PDF 283kB) Bundesministerium des Innern, 22. August 2007, S. 2, abgerufen am 14. Februar 2016.
- Christian Rath: Am Computer des Täters ansetzen. Interview mit BKA-Chef Ziercke. In: taz.de. 26. März 2007, abgerufen am 14. Februar 2016.
- Detlef Borchers: Bürgerrechtler diskutieren mit BKA-Chef über Online-Durchsuchung. In: heise.de. 22. September 2007, abgerufen am 14. Februar 2016.
- Detlef Borchers: Online-Durchsuchung: Ist die Festplatte eine Wohnung? In: heise.de. 25. Juli 2007, abgerufen am 14. Februar 2016.
- Drucksache 16/6885 Antwort der Bundesregierung auf die Kleine Anfrage. (PDF 81kB) Rechtsstaatliche Probleme bei der Überwachung der Telekommunikation über das Internet. Deutscher Bundestag, 30. Oktober 2007, abgerufen am 14. Februar 2016.
- Drucksache 16/7279 Antwort der Bundesregierung auf die kleine Anfrage. (PDF 74kB) Rechtsstaatliche Probleme bei der Überwachung der Telekommunikation über das Internet (Nachfrage zu Bundestagsdrucksache 16/6885). Deutscher Bundestag, 27. November 2007, abgerufen am 14. Februar 2016.
- Stefan Krempl: Bundesrat will heimliche Online-Durchsuchungen auf Terrorabwehr beschränken. In: heise.de. 4. Juli 2008, abgerufen am 14. Februar 2016.
- CIPAV? (PDF 2,7MB) In: Federal Bureau of Investigation. 24. Juli 2007, archiviert vom Original am 23. Mai 2012; abgerufen am 14. Februar 2016.
- Kim Zetter: Germany Sought Info About FBI Spy Tool in 2007. In: Wired. 13. Oktober 2011, abgerufen am 14. Februar 2016.
- Staatstrojaner: Behörden spähten 100-mal Computer aus. In: Spiegel Online. 15. Oktober 2011, abgerufen am 14. Februar 2016.
- Beschluss vom 20. Januar 2011. Az. 4 Qs 346/10. Landgericht Landshut, 20. Januar 2011, abgerufen am 14. Februar 2016.
- Kai Biermann: Überwachungstrojaner kommt aus Bayern. In: zeit.de. 10. Oktober 2011, abgerufen am 14. Februar 2016.
- Chaos Computer Club analysiert Staatstrojaner. Chaos Computer Club, 8. Oktober 2011, abgerufen am 14. Februar 2016.
- Der deutsche Staatstrojaner wurde geknackt. In: faz.net. 8. Oktober 2011, abgerufen am 14. Februar 2016.
- Kai Biermann: Onlinedurchsuchung: CCC enttarnt Bundestrojaner. In: zeit.de. 8. Oktober 2011, abgerufen am 14. Februar 2016.
- Jürgen Kuri: CCC knackt Staatstrojaner. In: heise.de. 8. Oktober 2011, abgerufen am 14. Februar 2016.
- Peter Altmaier: Mein neues Leben unter Piraten. In: Frankfurter Allgemeine Zeitung. 13. Oktober 2011, abgerufen am 14. Februar 2016.
- Strafprozessordnung: Elektronische Durchsuchung von Datenbeständen. Deutscher Bundestag, archiviert vom Original am 6. März 2008; abgerufen am 14. Februar 2016.
- Andreas Förster: Beamter unter Verdacht. In: Berliner Zeitung. 31. August 2007, abgerufen am 14. Februar 2016.
- Datenschützer Betzl: Überlegungen zu Bundestrojaner dürfen eGovernment nicht gefährden. Pressemitteilung. Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD), 30. August 2007, abgerufen am 24. Juni 2017.
- Die besten Bundestrojaner-Bilder - Schliemanns Erben. In: sueddeutsche.de. 3. September 2007, abgerufen am 14. Februar 2016.
- Südwestrundfunk (SWR) Ex-BND-Chef fordert "Bürgeranwalt" bei der Online-Durchsuchung Hansjörg Geiger will die Rechte der Betroffenen stärken auf presseportal.de
- Hackerangriff auf Bundespolizei: Fieser Gruß an den neugierigen Papa. In: Spiegel Online. 8. Januar 2012, abgerufen am 14. Februar 2016.
- Konrad Lischka und Richard Meusers: Datenschutzbericht: BKA speicherte per Trojaner Telefonsex-Mitschnitte. In: Spiegel Online. 20. Februar 2012, abgerufen am 14. Februar 2016.
- BGH, Beschluss vom 21. Februar 2006, Az. 3 BGs 31/06; StV 2007, S. 60 ff. m. Anm. Beulke/Meininghaus
- BGH Beschluss vom 25. November 2006, Az. 1 BGs 184/2006; BeckRS 2007 00295
- Beschluss vom 31. Januar 2007. (PDF 89kB) Az. StB 18/06. BGH, 31. Januar 2007, abgerufen am 14. Februar 2016.
- vgl. Ulf Buermeyer: Die „Online-Durchsuchung“. Technischer Hintergrund des verdeckten hoheitlichen Zugriffs auf Computersysteme. In: HRRS 4/2007, S. 154–166
- Leitsätze zum Urteil des Ersten Senats vom 27. Februar 2008. Az. 1 BvR 370/07 und 1 BvR 595/07. Bundesverfassungsgericht, 27. Februar 2008, abgerufen am 14. Februar 2016 (Volltext des Urteils).
- Gesetz zur Änderung des Gesetzes über den Verfassungsschutz in Nordrhein-Westfalen vom 20. Dezember 2006 (GVBl NW, S. 620)
- Heribert Prantl: Ein Kampf um Troja. In: sueddeutsche.de. 28. Februar 2008, abgerufen am 14. Februar 2016.
- Rolf Schmidt: Polizei- und Ordnungsrecht 19. Auflage 2017, S. 108 ff, Rdnr. 308l
- Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens, BGBl. I S. 3202 (pdf), BT-Drs. 18/11277 (pdf)
- Bruns, in: Karlsruher Kommentar zur Strafprozessordnung, 8. Auflage 2019, § 100b Rn. 4
- Bruns, in: Karlsruher Kommentar zur Strafprozessordnung, 8. Auflage 2019, § 100b Rn. 5
- vgl. zum Meinungsstand Zugriff auf vernetzte Geräte zum Zweck der Strafverfolgung. Strafverfahrensrechtliche Rahmenbedingungen Wissenschaftliche Dienste des Deutschen Bundestages, Ausarbeitung vom 19. August 2019, S. 15 ff.
- vgl. Graf, in: BeckOK StPO, 34. Edition, Stand: 1. Juli 2019, § 100b Rn. 16
- Bundesverfassungsgericht: Übersicht für das Jahr 2019 Zweiter Senat, Nr. 26
- Stefan Krempl: Außerparlamentarische Opposition klagt gegen Überwachungsgesetze 28. Juni 2017
- "Bundestrojaner": TeleTrusT - Bundesverband IT-Sicherheit e.V. kündigt Verfassungsbeschwerde an Pressemitteilung vom 9. August 2017
- Martin Holland: Bundesverfassungsgericht: Digitalcourage klagt gegen Staatstrojaner heise online, 27. Juli 2017
- Lücke in den Privatbereich Neues Deutschland, 22. August 2018
- Neue Verfassungsbeschwerden gegen heimliche Online-Durchsuchungen mit Staatstrojanern haufe.de, 27. August 2018
- Florian Flade: Überwachungssoftware: Der Bundestrojaner, den keiner nutzt tagesschau.de, 25. Oktober 2019
- Florian Flade, Georg Mascolo: BKA soll umstrittene Spionage-Software gekauft haben. In: Tagesschau.de. Abgerufen am 4. März 2022.
- vgl. Entwurf eines Gesetz zur Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalamt vom 11. Juli 2007 (Memento vom 2. September 2009 im Internet Archive)
- BGBl. I S. 3083
- vgl. Florian Albrecht, Sebastian Dienst: Der verdeckte hoheitliche Zugriff auf informationstechnische Systeme – Rechtsfragen von Online-Durchsuchung und Quellen-TKÜ. In: JurPC. Band 5/2012, 10. Januar 2012, Abs. 1-65 (Online).
- BVerfG, Urteil vom 20. April 2016 - 1 BvR 966/09, 1 BvR 1140/09 LS 3
- Innere Sicherheit: Bundesverfassungsgericht erklärt BKA-Gesetz für teilweise verfassungswidrig Der Spiegel, 20. April 2016
- BGBl. I S. 1354
- Entwurf eines Gesetzes zur Neustrukturierung des Bundeskriminalamtgesetzes BT-Drs. 18/11163 vom 14. Februar 2017
- Kurt Graulich: Aufgaben und Befugnisse des Bundeskriminalamts im digitalen Rechtsraum – Das Gesetz zur Neugestaltung des BKAG im Jahr 2017 KriPoZ, abgerufen am 11. Januar 2020
- BT-Drs. 18/11163 vom 14. Februar 2017, S. 118 f.
- BKAG – Gesetzentwürfe: Entwurf eines Gesetzes zur Neustrukturierung des Bundeskriminalamtgesetzes kripoz.de, abgerufen am 11. Januar 2020
- Informationstechnische Überwachung durch Bundeskriminalamt und Zoll BT-Drs. 19/522 vom 24. Januar 2018, S. 6
- Gesetz zur Anpassung des Verfassungsschutzrechts vom 5. Juli 2021, Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 40 (pdf)
- Staatstrojaner: JETZT dürfen Handys gehackt & überwacht werden - Anwalt Christian Solmecke - Youtube, 18. Juni 2021
- Staatstrojaner für Geheimdienste, Florian Fade, WDR, 6. Mai 2021
- "Deutschland wird zur Bundestrojanerrepublik", Erich Moechel, ORF, 11. Juli 2021
- "FDP klagt gegen neues Verfassungsschutzgesetz" Helene Bubrowski, FAZ, 15. Juli 2021
- Gegen Terrorverdächtige: Verfassungsschutz soll Erlaubnis für Online-Durchsuchung erhalten FAZ, 15. März 2019
- Cybersecurity: CDU will Befugnisse von Verfassungsschutz und Bundespolizei ausbauen Süddeutsche Zeitung, 29. Dezember 2019
- Anfrage zum Entwurf eines Gesetzes zur Harmonisierung des Verfassungsschutzrechtes und zum heimlichen Betreten von Wohnungen Kleine Anfrage, BT-Drs. 19/14602 vom 30. Oktober 2019
- BVerfGE 124, 78, 120 f.
- Anfrage zum Entwurf eines Gesetzes zur Harmonisierung des Verfassungsschutzrechtes und zum heimlichen Betreten von Wohnungen Antwort der Bundesregierung auf eine Kleine Anfrage, BT-Drs.19/15219 vom 14. November 2019
- Michael Beyer und Kay Walter: Wanze im Wohnzimmer – Online-Spitzelei durch den Verfassungsschutz. Rundfunk Berlin-Brandenburg, 10. Mai 2007, abgerufen am 14. Februar 2016 (Blog über die Sendung Kontraste vom 10. Mai 2007).
- Geheimdienste spitzeln schon seit Jahren. In: stern.de. 25. April 2007, abgerufen am 14. Februar 2016.
- Florian Rötzer: Innenministerium: Verfassungsschutz, MAD und BND können Online-Durchsuchungen durchführen. In: Telepolis. 24. März 2007, abgerufen am 14. Februar 2016.
- Holger Stark: Digitale Spionage. In: Spiegel Online. 9. März 2009, abgerufen am 14. Februar 2016.
- Enge Grenzen für Bundestrojaner. Tagesschau.de, 27. Februar 2008, archiviert vom Original am 11. Dezember 2011; abgerufen am 14. Februar 2016.
- Gesetz über den Verfassungsschutz in Nordrhein-Westfalen (Verfassungsschutzgesetz Nordrhein-Westfalen - VSG NRW) mit Stand vom 1. Januar 2020, recht.nrw.de, abgerufen am 16. Januar 2020
- Hessischer Landtag, Drs. 19/5412 vom 14. November 2018
- Nach stürmischer Debatte: Hessens Verfassungsschutzgesetz verabschiedet heise online, 22. Juni 2018
- Hessisches Gesetz über die öffentliche Sicherheit und Ordnung (HSOG) Zuletzt geändert durch Artikel 2 des Gesetzes vom 23. August 2018 (GVBl. S. 374)
- Gesetz über den Verfassungsschutz im Land Brandenburg (Brandenburgisches Verfassungsschutzgesetz - BbgVerfSchG) vom 5. April 1993 (GVBl.I/93, [Nr. 04], S. 78)
- Oliver von Riegen: Verfassungsschutz in Brandenburg: Mehr Befugnisse und strengere Kontrolle für Geheimdienst Potsdamer Neueste Nachrichten, 14. Juni 2019
- Bayerisches Verfassungsschutzgesetz (BayVSG) vom 12. Juli 2016 (GVBl. S. 145)
- Reform des Bayerischen Verfassungsschutzgesetzes 2018 Website des Bayerischen Landesbeauftragten für den Datenschutz, abgerufen am 16. Januar 2020
- Ein neuer Aufbruch für Europa. Eine neue Dynamik für Deutschland. Ein neuer Zusammenhalt für unser Land. Koalitionsvertrag zwischen CDU, CSU und SPD vom 12. März 2018, S. 126, Zeile 5922 ff.
- Übersicht über die Änderungen der Polizeigesetze in den einzelnen Bundesländern Amnesty International, Gesellschaft für Freiheitsrechte, Stand: 13. Juni 2019
- Polizeigesetz Baden-Württemberg: Verschärfung erst 2020 und wohl ohne Online-Durchsuchung Stuttgarter Zeitung, 5. Dezember 2019
- TKÜ gem. § 23b PolG
- Gesetz zur Neuordnung des bayerischen Polizeirechts (PAG-Neuordnungsgesetz) vom 18. Mai 2018, GVBl. S. 301
- Brandenburg: Landtag beschließt umstrittenes Polizeigesetz Legal Tribune Online, 13. März 2019
- Ralf Michel: Videoüberwachung und Fußfesseln: Bremer CDU präsentiert Gesetzentwurf für neues Polizeigesetz Weser-Kurier, 26. Juni 2018
- Fußfessel für Beziehungstäter Hamburger Senat beschließt neues Polizeirecht Hamburger Morgenpost, 30. Juli 2019
- IM-MV: Innenminister Lorenz Caffier legt Gesetzesnovelle zum Sicherheits- und Ordnungsgesetz M-V vor. Caffier: Das neue Sicherheits- und Ordnungsgesetz ist die Antwort auf das digitale Zeitalter Ministerium für Inneres und Europa des Landes Mecklenburg-Vorpommern, 29. Januar 2019
- Entwurf eines Gesetzes über die öffentliche Sicherheit und Ordnung in Mecklenburg-Vorpommern und zur Änderung anderer Gesetze Landtag Mecklenburg-Vorpommern, Drs. 7/3694 vom 5. Juni 2019: § 33c SOG-MV-E
- Erweiterte Polizei-Kompetenzen: Kabinett in Mecklenburg-Vorpommern billigt neues Sicherheits- und Ordnungsgesetz labournet.de, 26. August 2019
- Peter Mlodoch: Sicherheit in Niedersachsen: Kritik am neuen Polizeigesetz Weser-Kurier, 24. September 2019
- Christiane Schulzki-Haddouti: Polizeigesetz NRW: Verfassungsbeschwerde gegen Staatstrojaner und "Lex Hambi" heise online, 29. Oktober 2019
- Stefan Holzner: Rheinland-Pfalz: Online-Durchsuchung und weitere Maßnahmen der TK-Überwachung geplant, Newsdienst MMR-Aktuell Ausgabe 7/2010, MMR-Aktuell 2010, 302767
- Jan Ziekow, Alfred G. Debus, Dieter Katz, Alexander Niestedt, Axel Piesker, Corinna Sicko: Verdeckte Datenerhebungsmaßnahmen in der polizeilichen Praxis. Ergebnisse der Evaluation gemäß § 100 Polizei- und Ordnungsbehördengesetz Rheinland-Pfalz Speyerer Forschungsberichte 290, 2018
- TKÜ gem. § 28b SPolG
- SächsGVBl. 2019 Nr. 9 (PDF; 1,3 MB)
- Polizei in Sachsen bekommt neue Befugnisse MDR, 19. September 2018
- Allgemeines Verwaltungsgesetz für das Land Schleswig-Holstein (Landesverwaltungsgesetz - LVwG -) GVOBl. 1992 243, 534
- Matthias Hoenig: Kiel reformiert das Polizeirecht Die Welt, 6. November 2019
- Possible Governmental Backdoor found ("case R2D2"). In: F-Secure Weblog: News from the Lab. F-Secure, 8. Oktober 2011, abgerufen am 14. Februar 2016 (englisch).
- Markus Beckedahl: CCC über das Innenleben des Bundestrojaners. In: netzpolitik.org. 9. Oktober 2011, abgerufen am 26. Mai 2018 (In den vom CCC veröffentlichten Binärdateien kommt die Zeichenfolge „0zapftis“ nicht vor.).
- Bundestrojaner ist in Wahrheit ein Bayerntrojaner. In: Financial Times Deutschland. 10. Oktober 2011, archiviert vom Original am 11. Oktober 2011; abgerufen am 14. Februar 2016.
- http://www.pc-magazin.de/news/diese-virenscanner-finden-den-bundestrojaner-1202731.html
- More Info on German State Backdoor: Case R2D2. In: F-Secure Weblog: News from the Lab. F-Secure, 11. Oktober 2011, abgerufen am 14. Februar 2016 (englisch).
- IP lokalisieren (83.236.140.90). In: IP-address.com. 14. Februar 2016, abgerufen am 14. Februar 2016.
- Jürgen Kuri: Einsatz des Staatstrojaners: Zwischen fehlendem Rechtsrahmen und Verfassungswidrigkeit. In: heise online. 11. Oktober 2011, abgerufen am 14. Februar 2016.
- Neue Vorwürfe des Chaos Computer Clubs: Auch neuer Staatstrojaner rechtswidrig. In: stern.de. 26. Oktober 2011, abgerufen am 14. Februar 2016.
- 0ZAPFTIS – Teil 2 Analyse einer Regierungs-Malware: Drei Jahre sind in der IT eine wirklich lange Zeit. (PDF 471kB) Chaos Computer Club, 26. Oktober 2011, abgerufen am 14. Februar 2016.
- Online-Durchsuchung: Friedrich verteidigt Überwachung durch Trojaner. In: Frankfurter Allgemeine Zeitung. 15. Oktober 2011, abgerufen am 14. Februar 2016.
- Tillmann Werner: Federal Trojan’s got a “Big Brother”. In: securelist.com. 18. Oktober 2011, abgerufen am 14. Februar 2016.
- Der Staatstrojaner kann noch mehr. In: Frankfurter Rundschau. 19. Oktober 2011, abgerufen am 14. Februar 2016.
- Handelsregister: Wetzlar HRB 3177
- Oliver Voß: Auf der Spur des Trojaners. In: wiwo.de. 10. Oktober 2011, abgerufen am 14. Februar 2016.
- Matthias Thieme: Spionagesoftware: Die Privaten hinter dem Bundestrojaner. In: Frankfurter Rundschau. 10. Oktober 2011, abgerufen am 14. Februar 2016.
- Jürgen Kuri: Staatstrojaner: Eine Spionagesoftware, unter anderem aus Bayern. In: Heise online. 10. Oktober 2011, abgerufen am 14. Februar 2016.
- Bestätigung durch Rechtsanwalt: „Staatstrojaner“ kommt aus Hessen. 10. Oktober 2011, archiviert vom Original am 4. September 2012; abgerufen am 14. Februar 2016.
- Konrad Lischka, Ole Reißmann: Staatstrojaner: DigiTask wehrt sich gegen Inkompetenz-Vorwurf. In: Spiegel online. 12. Oktober 2011, abgerufen am 14. Februar 2016.
- Matthias Thiema: Computerüberwachung: Geschäfte mit der Software laufen gut. In: Mitteldeutsche Zeitung. 11. Oktober 2011, abgerufen am 16. August 2021.
- Kosten der Telekommunikationsüberwachung beim Einsatz von Voice-over-IP und der Software Skype. (PDF 9,1MB) Bayerisches Staatsministerium der Justiz und für Verbraucherschutz, 2008, archiviert vom Original am 23. Februar 2016; abgerufen am 14. Februar 2016 (bereitgestellt von der Frankfurter Rundschau).
- mfc42ul.dll. In: VirusTotal. 11. Oktober 2011, archiviert vom Original am 13. Oktober 2011; abgerufen am 14. Februar 2016.
- Ingo Arzt, Sebastian Erb und Martin Kaul: Ein Trojaner ist ein Bayer. In: taz.de. 11. Oktober 2011, abgerufen am 14. Februar 2016.
- Stenografischer Bericht 138. Sitzung. (PDF 847kB) Deutscher Bundestag, 9. November 2011, archiviert vom Original am 20. November 2011; abgerufen am 14. Februar 2016.
- Andreas Wilkens: BKA initiierte internationale Staatstrojaner-Arbeitsgruppe. In: Heise online. 14. November 2011, abgerufen am 14. Februar 2016.
- Das Bundeskriminalamt und das gehackte Hacking Team Antwort der Bundesregierung auf eine Kleine Anfrage, BT-Drs. 18/5779 vom 17. August 2015
- Stefan Krempl: „Bundestrojaner“ heißt jetzt angeblich „Remote Forensic Software“. In: heise.de. 3. August 2007, abgerufen am 14. Februar 2016.
- Lisa Hemmerich: Staatstrojaner: BKA scheitert an Entwicklung der Software. In: netzwelt.de. 14. Mai 2012, abgerufen am 16. Februar 2016.
- Bundestrojaner: BKA stellt ersten eigenen Trojaner fertig. In: Spiegel Online. 15. August 2014, abgerufen am 14. Februar 2016.
- Lutz Herkner: Hacken für den Staat. In: Die Zeit. 17. Mai 2007, abgerufen am 14. Februar 2016.
- Jörg Donner: Bundestrojaner im Computer. In: sueddeutsche.de. 7. Dezember 2006, archiviert vom Original am 4. Mai 2008; abgerufen am 14. Februar 2016.
- Jürgen Schmidt: Bundestrojaner: Geht was – was geht. Technische Optionen für die Online-Durchsuchung. In: heise.de. 11. März 2007, abgerufen am 14. Februar 2016.
- Volker Birk: Der Staat als Einbrecher: Heimliche Online-Durchsuchungen sind möglich. In: Telepolis. 3. März 2007, abgerufen am 14. Februar 2016.
- Nils Weisensee: Umstrittene Online-Durchsuchungen: Angriff auf die Ahnungslosen. In: Spiegel-Online. 5. Juli 2007, abgerufen am 14. Februar 2016.
- Ole Reißmann, Christian Stöcker, Konrad Lischka: Plumper Schnüffler: Virenprogramme erkennen den Staatstrojaner Der Spiegel, 10. Oktober 2011