Auch ohne Wissen des Betroffenen darf mit technischen Mitteln in ein von dem Betroffenen genutztes informationstechnisches System eingegriffen und dürfen Daten daraus erhoben werden.
§ 100b StPO ("Online-Durchsuchung") [1]

Daß die türkische Regierung Kritiker und Oppositionelle überwacht und ausspioniert, ist seit langem bekannt. Welcher Mittel sie sich dabei inzwischen bedienen kann, belegen aktuelle Berichte, wonach offenbar hochwertige Spionage-Software aus Deutschland dabei zum Einsatz kam. Im Juni 2017 waren zahlreiche Menschen dem Aufruf des Vorsitzenden der Republikanischen Volkspartei (CHP), Kemal Kilicdaroglu, gefolgt und hatten sich dem "Marsch der Gerechtigkeit" angeschlossen. In 23 Tagen marschierten sie mehr als 400 Kilometer von Ankara nach Istanbul, um gegen die Verhaftung eines CHP-Politikers und die wachsende Repression in der Türkei zu demonstrieren. An der Abschlußkundgebung nahmen Hunderttausende Menschen teil.

Einem 32seitigen Bericht der Nichtregierungsorganisation Access Now zufolge waren die Demonstrierenden zu diesem Zeitpunkt Ziel einer professionellen Spähkampagne. Während der drei Wochen des Marsches wurde über Twitter für eine vermeintlich von den Organisatoren des Protests betriebene Webseite geworben, die einen Link zu einer Smartphone-App enthielt. Wer vom Handy aus diesen Link anklickte, bekam ohne sein Wissen eine ausgefeilte Spionagesoftware installiert, die unter anderem auf die Adreßbücher, Fotos und Videos auf den Mobiltelefonen zugreifen, Telefonate abhören und den Schriftverkehr mitlesen kann.

Auf diese Weise wurden Menschen in einem vermeintlich geschützten Raum nicht nur bei ihrer aktuellen Kommunikation ausgespäht, den Urhebern des Angriffs fielen auch jegliche weiteren persönlichen Informationen über die betreffenden Personen und deren Kontakte in die Hände. Dies wiegt um so schwerer, als mit dieser Art der Überwachung nicht zu rechnen war und ihre Existenz unter Umständen erst Jahre später oder überhaupt nicht bekanntgeworden wäre. Möglicherweise war diese Spionageaktion ein maßgeblicher Grund, warum der Marsch trotz seines enormen Zulaufs und der großen internationalen Beachtung unterwegs nicht aufgehalten wurde, obgleich das Regime ansonsten nicht zögert, massive Repression gegen Proteste auf der Straße aufzufahren.

Die Experten von Access Now gehen nach einer aufwendigen Analyse des Quellcodes der Software davon aus, daß es sich dabei um das Produkt "FinSpy" des deutschen Herstellers FinFisher handelt. Auch der IT-Experte Thorsten Holz von der Ruhr Universität Bochum, der die Software im Auftrag von NDR, WDR und Süddeutscher Zeitung analysiert hat, kommt zu dem Schluß, daß der Code "relativ ähnlich" zu vorherigen Versionen von FinFisher sei und es sich um eine neue Version zu handeln scheine.

Das macht die Affäre insofern besonders brisant, als das Unternehmen mit Hauptsitz in München in der Vergangenheit wiederholt in die Schlagzeilen geraten war, weil seine Software von autoritären Regimen wie in Ägypten unter Präsident Husni Mubarak und in Bahrain gegen Oppositionelle eingesetzt wurde. Damit nicht genug, hat FinFisher auch in Deutschland den Staatstrojaner für das Bundeskriminalamt entwickelt. In der Europäischen Union ist der Export sogenannter Intrusion-Software streng reglementiert, laut Bundeswirtschaftsministerium wurden seit Oktober 2014 überhaupt keine Exportlizenzen mehr für derartige Software erteilt.

Eine konkrete Anfrage, ob auch FinFisher keine derartige Lizenz erhalten habe, ließ das Ministerium unbeantwortet, das Unternehmen selbst wollte zu den Vorwürfen nicht Stellung beziehen, und von Präsident Erdogan darf man wohl auch keinen näheren Aufschluß erwarten. Daher ist unbekannt, ob die Software, die nach Angaben des Herstellers ausschließlich an Regierungen und Sicherheitsbehörden geliefert wird, mit oder ohne Wissen der Bundesregierung in die Türkei gelangte. Ebensowenig weiß man, wie viele Teilnehmer des damaligen Marsches Opfer des Spähangriffs wurden und wo diese Software heute eingesetzt wird. [2]

Access Now hat "Finspy" über zwei Jahre lang beobachtet und dabei fortlaufende Veränderungen an der Software festgestellt. Solche Updates können nur dann erfolgen, wenn man Zugang zum ursprünglichen Programmiercode der Software hat. Handelt es sich demzufolge um neue Versionen, müßten diese unter die seit 2015 EU-weit geltende Exportkontrolle fallen und vor dem Verkauf an ein Nicht-EU-Land einer nationalen Prüfbehörde vorgelegt werden, die von Fall zu Fall entscheidet. Entweder hat Finfisher also eine solche Exportgenehmigung für die Türkei erhalten oder sich diese die Software mittels einer bislang nicht bekannten Sicherheitslücke oder aus einem Land außerhalb der EU beschafft. "Finspy" wird offenbar nicht nur von Finfisher selbst, sondern auch von einem Firmengeflecht rund um die britische Gamma Group verkauft. Beide Firmen arbeiteten in der Vergangenheit eng zusammen, auch von Gamma Group waren auf Anfrage der genannten deutschen Medien keine Informationen zu erhalten.

Ist die Türkei nach Auffassung der Bundesregierung noch ein Rechtsstaat? Der Beauftragte für die Exportkontrolle im Auswärtigen Amt, Ernst Peter Fischer, drückte es Ende März in Berlin folgendermaßen aus: "Die innere Entwicklung in der Türkei gibt uns Anlass zur Sorge." Der türkische Rechtsstaat sei "insgesamt in einem kritischen Zustand", so daß man sich "die Frage nach der Beachtung der Menschenrechte und nach der inneren Repression" stellen müsse. [3] Die in beide Richtungen offene Formulierung legt zwar nahe, daß der Export modernster Spionagesoftware an das Erdogan-Regime kaum genehmigt würde, schließt ihn aber auch nicht grundsätzlich aus.

Hat die Kontroverse um die Ausstattung autoritärer Regime mit derartiger deutscher Technologie damit neue Nahrung erhalten, so lenkt diese Diskussion den Blick zugleich auf entsprechende Spähangriffe in der Bundesrepublik. Auch das Bundeskriminalamt setzt die "Finspy"-Software ein, um die Smartphone-Kommunikation verdächtiger Personen in Echtzeit zu überwachen. Die Frage danach, ob man Konsequenzen aus dem mutmaßlichen Einsatz von "Finspy" gegen Oppositionelle ziehen würde, ließ das Bundesinnenministerium denn auch unbeantwortet. [4]

Beim sogenannten Bundestrojaner oder Staatstrojaner handelt es sich um ein Schadprogramm, das Behörden ohne Wissen der Besitzer auf deren Geräte laden. Anders als Telefon und SMS verfügen Messenger wie WhatsApp über keine standardisierte Überwachungsschnittstelle, sondern nutzen eine Ende-zu-Ende-Verschlüsselung. Daher kann nicht einmal der Betreiber des Dienstes wie Facebook lesen, was in versendeten Nachrichten steht, und dies folglich auch nicht per Kooperation mit den Behörden offenbaren. Bei der Quellen-Telekommunikationsüberwachung (Q-TKÜ) greift nun der Trojaner vor dem Senden oder nach dem Empfang auf die Nachrichten zu, so daß die Verschlüsselung umgangen wird. Ist das Smartphone erst einmal infiziert, haben die Behörden im Prinzip Einblick in alle gespeicherten Informationen bis hin zu der gesamten dort präsenten Privatsphäre der Nutzer. [5] Wenngleich sich der Einsatz solcher Trojaner nach Angaben der Koalition auf die Messenger beschränken soll, dürfte das angesichts der technischen Voraussetzungen kaum möglich sein, zumal eine unabhängige Kontrolle der tatsächlichen Funktionen des Trojaners nicht vorgesehen ist.

Das "Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens" trat am 24.08.2017 in Kraft, woraus höchst bedenkliche Änderungen in der Strafprozeßordnung resultieren. Die Online-Durchsuchung und Quellen-Telekommunikationsüberwachung fanden Eingang in das Gesetz (§§ 100a und 100b StPO), das den Einsatz über die unmittelbare Gefahrenabwehr hinaus nun auch zur Ermittlung bei schweren Straftaten zuläßt. Darunter fallen nicht nur Kapitalverbrechen wie Mord und Totschlag oder Terrorakte, sondern auch Betrugs- und Computerbetrugsdelikte, Bestechlichkeit, Geldfälschung oder Asylvergehen, womit noch längst nicht alle möglichen Anwendungsfälle genannt sind. Zwar dürfen die Sicherheitsbehörden die Software nicht immer und nicht ohne richterliche Genehmigung nutzen, doch ist der Anwendungsbereich erheblich weiter als in der Vergangenheit gefaßt. Das Bundesverfassungsgericht hatte in seinem Urteil zum BKA-Gesetz den Einsatz von Staatstrojanern lediglich bei konkreten Terrorgefahren für akzeptabel angesehen. Wie das novellierte Polizeigesetz in Bayern zeigt, ist man inzwischen bei "drohenden" Gefahren diverser Art angelangt, wo es gilt, die Überwachung und Kontrolle der Bevölkerung zu perfektionieren.

Die Feststellung des damaligen Bundesinnenministers Thomas de Maiziére, er wolle Deutschland "zum Verschlüsselungstandort Nummer eins weltweit" machen, war also nicht nur eine Absage an den Ansatz, eine Hintertür in die Verschlüsselung selbst einzubauen, wie dies Großbritannien und Australien angekündigt haben. Werden fest installierte Rechner ebenso wie Laptops, Handys und Tablets per Trojaner ausgespäht, kann es aus Perspektive der Behörden von beträchtlichem Vorteil sein, daß sich die Nutzer dank verschlüsselter Dienste sicher fühlen und sorglos miteinander kommunizieren. Warum in die Ferne schweifen und sich über Erdogans großes Ohr beim "Marsch der Gerechtigkeit" entrüsten, wo doch der gute Bundestrojaner so nahe liegt!