Manfred Kloiber: Dieses Grundrecht auf Unverletzlichkeit des eigenen Computers, wie es auch genannt wurde, hat in den vergangenen Tagen für eine heftige Diskussion gesorgt, nicht nur bei den Sicherheitsbehörden, sondern auch bei den Herstellern. Inwieweit sind die denn von diesem neu formulierten Grundrecht betroffen, Peter Welchering?
Peter Welchering: Hier spielen vor allen Dingen zwei Bereiche eine wesentliche Rolle, die so genannten Statusinformationen des Computers und die Zusammenarbeit mit Sicherheitsbehörden. Bei den Statusinformationen geht es ja um Betriebsinformationen des Rechners, also welchen Füllstand hat mein Toner im Drucker, über welchen Port läuft die Verbindung zur aufgerufenen Webseite, welche Programme haben welche Speicherbereiche allokiert und welche Daten haben sie verarbeitet. An diesen Statusinformationen sind Hersteller massiv interessiert – aus ganz unterschiedlichen Gründen. Der Druckerhersteller will überprüfen, ob die PC-Nutzer auch wirklich Originalkartuschen einsetzen. Wenn der Toner zu Ende ist, soll automatisch neuer nachbestellt werden. Der Softwarehersteller will wissen, ob der PC-Nutzer mit lizenzierten Kopien eines bestimmten Programms arbeitet oder mit Raubkopien. Also das ist eine Gemengelage von Interessen, bei denen es um mehr Komfort für den Benutzer, um Verfolgung von Raubkopien, um besseren Verkauf von Toner und Musikdateien geht. Und der Zugriff auf diese Statusinformationen, der ist durch das Urteil der Verfassungsrichter massiv eingeschränkt.
Kloiber: Welche Konsequenzen ziehen die Hersteller aus dem Urteil des BVG?
Welchering: Daran arbeiten sie wohl noch. Denn offizielle Auskünfte gab es in dieser Woche dazu nicht. Klar ist, dass der bisher nicht selten gewählte Weg, solche Statusinformationen einfach per Allgemeinen Geschäftsbedingungen zum Eigentum der Hersteller zu machen, nicht mehr funktioniert. Die Hersteller müssen sich für die Erhebung einzelner Statusinformationen jeweils in den Einzelfällen die ausdrückliche Zustimmung des PC-Nutzers holen. Das verändert die Situation dramatisch.
Kloiber: Hat das auch Auswirkungen für die Hersteller über die Statusinformationen hinaus?
Welchering: Erhebliche sogar. Zum Beispiel haben die Betriebssystemhersteller bisher eng mit der National Security Agency, dem Technologiegeheimdienst der USA zusammengearbeitet, wenn es um die Entwicklung von Sicherheitsroutinen für Computer ging. Das macht Microsoft genauso wie Apple, genauso wie verschiedene Linux-Hersteller. Dabei ist in einigen Fällen der PC-Nutzer von seinen sicherheitsrelevanten Systeminformationen praktisch enteignet worden. Und da gilt seit Mittwoch in Deutschland eine andere rechtliche Situation. Die Gesamtüberwachung eines Computers aus Sicherheitsgründen, die ist so nicht mehr ohne weiteres machbar. Darauf müssen auch die Hersteller von Betriebsystemen, auch die Hersteller von Sicherheitssoftware reagieren. Inwieweit die Systemfunktionen jetzt für den Anwender transparenter werden, wie gelegentlich von Verbraucherschützern schon prognostiziert wurde, da muss man abwarten. Ich persönlich bleibe da skeptisch.
Kloiber: Das Urteil der Verfassungsrichter ist ja auch im Innenministerium und im Bundeskriminalamt begrüßt worden. Man sah sich dort bestärkt, mit den Online-Durchsuchungen jetzt auf einer rechtlich einwandfreien Basis arbeiten zu können. Welche Technologie soll denn da eingesetzt werden?
Welchering: Da halten sich BKA und Innenministerium einstweilen noch sehr zurück. Klar ist, dass damit der einfache Versand des Bundestrojaners für die Online-Durchsuchung übers Internet ausscheidet. Klar ist auch, dass bisher noch keine Technologie bekannt ist, mit der eine Online-Durchsuchung nach den strengen Kriterien des Verfassungsgerichts durchgeführt werden kann. Das Ausnutzen von Sicherheitslücken und die Arbeit mit darauf aufsetzenden Angriffprogrammen sind ein Ansatz. Doch dieser so genannte Exploit-Ansatz scheitert daran, dass bislang nicht klar ist, wie sicher gestellt werden soll, dass nur Computer der Zielperson Gegenstände der Durchsuchung sind. Auch diese Angriffsprogramme bleiben Schadsoftware. Und selbst wenn diese Schadsoftware händisch auf einen Rechner einer Person aufgebracht wird, ist die Gefahr da, dass sich die Schadsoftware dann via Internet verbreitet, und zwar unkontrolliert. Es sei denn, der Rechner hängt nicht am Internet. Das darf man bei Rechnern, die innerhalb der organisierten Kriminalität und von Terroristen benutzt werden, in den meisten Fällen voraussetzen. Hängt der Rechner aber nicht am Internet, kann er auch nicht online durchsucht werden. Auch nach dem Verfassungsgerichtsurteil bleibt also für die Sicherheitsbehörden das Problem: Aus rein technischen Gründen ist die Online-Durchsuchung keine wirksame Waffe gegen Terroristen und Organisierte Kriminalität.
Peter Welchering: Hier spielen vor allen Dingen zwei Bereiche eine wesentliche Rolle, die so genannten Statusinformationen des Computers und die Zusammenarbeit mit Sicherheitsbehörden. Bei den Statusinformationen geht es ja um Betriebsinformationen des Rechners, also welchen Füllstand hat mein Toner im Drucker, über welchen Port läuft die Verbindung zur aufgerufenen Webseite, welche Programme haben welche Speicherbereiche allokiert und welche Daten haben sie verarbeitet. An diesen Statusinformationen sind Hersteller massiv interessiert – aus ganz unterschiedlichen Gründen. Der Druckerhersteller will überprüfen, ob die PC-Nutzer auch wirklich Originalkartuschen einsetzen. Wenn der Toner zu Ende ist, soll automatisch neuer nachbestellt werden. Der Softwarehersteller will wissen, ob der PC-Nutzer mit lizenzierten Kopien eines bestimmten Programms arbeitet oder mit Raubkopien. Also das ist eine Gemengelage von Interessen, bei denen es um mehr Komfort für den Benutzer, um Verfolgung von Raubkopien, um besseren Verkauf von Toner und Musikdateien geht. Und der Zugriff auf diese Statusinformationen, der ist durch das Urteil der Verfassungsrichter massiv eingeschränkt.
Kloiber: Welche Konsequenzen ziehen die Hersteller aus dem Urteil des BVG?
Welchering: Daran arbeiten sie wohl noch. Denn offizielle Auskünfte gab es in dieser Woche dazu nicht. Klar ist, dass der bisher nicht selten gewählte Weg, solche Statusinformationen einfach per Allgemeinen Geschäftsbedingungen zum Eigentum der Hersteller zu machen, nicht mehr funktioniert. Die Hersteller müssen sich für die Erhebung einzelner Statusinformationen jeweils in den Einzelfällen die ausdrückliche Zustimmung des PC-Nutzers holen. Das verändert die Situation dramatisch.
Kloiber: Hat das auch Auswirkungen für die Hersteller über die Statusinformationen hinaus?
Welchering: Erhebliche sogar. Zum Beispiel haben die Betriebssystemhersteller bisher eng mit der National Security Agency, dem Technologiegeheimdienst der USA zusammengearbeitet, wenn es um die Entwicklung von Sicherheitsroutinen für Computer ging. Das macht Microsoft genauso wie Apple, genauso wie verschiedene Linux-Hersteller. Dabei ist in einigen Fällen der PC-Nutzer von seinen sicherheitsrelevanten Systeminformationen praktisch enteignet worden. Und da gilt seit Mittwoch in Deutschland eine andere rechtliche Situation. Die Gesamtüberwachung eines Computers aus Sicherheitsgründen, die ist so nicht mehr ohne weiteres machbar. Darauf müssen auch die Hersteller von Betriebsystemen, auch die Hersteller von Sicherheitssoftware reagieren. Inwieweit die Systemfunktionen jetzt für den Anwender transparenter werden, wie gelegentlich von Verbraucherschützern schon prognostiziert wurde, da muss man abwarten. Ich persönlich bleibe da skeptisch.
Kloiber: Das Urteil der Verfassungsrichter ist ja auch im Innenministerium und im Bundeskriminalamt begrüßt worden. Man sah sich dort bestärkt, mit den Online-Durchsuchungen jetzt auf einer rechtlich einwandfreien Basis arbeiten zu können. Welche Technologie soll denn da eingesetzt werden?
Welchering: Da halten sich BKA und Innenministerium einstweilen noch sehr zurück. Klar ist, dass damit der einfache Versand des Bundestrojaners für die Online-Durchsuchung übers Internet ausscheidet. Klar ist auch, dass bisher noch keine Technologie bekannt ist, mit der eine Online-Durchsuchung nach den strengen Kriterien des Verfassungsgerichts durchgeführt werden kann. Das Ausnutzen von Sicherheitslücken und die Arbeit mit darauf aufsetzenden Angriffprogrammen sind ein Ansatz. Doch dieser so genannte Exploit-Ansatz scheitert daran, dass bislang nicht klar ist, wie sicher gestellt werden soll, dass nur Computer der Zielperson Gegenstände der Durchsuchung sind. Auch diese Angriffsprogramme bleiben Schadsoftware. Und selbst wenn diese Schadsoftware händisch auf einen Rechner einer Person aufgebracht wird, ist die Gefahr da, dass sich die Schadsoftware dann via Internet verbreitet, und zwar unkontrolliert. Es sei denn, der Rechner hängt nicht am Internet. Das darf man bei Rechnern, die innerhalb der organisierten Kriminalität und von Terroristen benutzt werden, in den meisten Fällen voraussetzen. Hängt der Rechner aber nicht am Internet, kann er auch nicht online durchsucht werden. Auch nach dem Verfassungsgerichtsurteil bleibt also für die Sicherheitsbehörden das Problem: Aus rein technischen Gründen ist die Online-Durchsuchung keine wirksame Waffe gegen Terroristen und Organisierte Kriminalität.