Staatstrojaner

Die KleinKo und unsere Verfassungsbeschwerden

Wir wollten diesen Artikel schon mit der entsprechenden Textpassage des Koalitionsvertrages beginnen: „… zur Bekämpfung schwerer Straftaten die Quellen-TKÜ ohne Zugriff auf …“ – doch dann überschlugen sich die Ereignisse: Am 7. August 2025 sollte das Bundesverfassungsgericht seine Entscheidung zu unseren beiden Verfassungsbeschwerden zum Staatstrojaner bekannt geben. Nach so langer Zeit des Wartens! So mussten wir unseren Artikel noch einmal komplett umstellen, denn: Hinter dem harmlosen Wort der Quellen-TKÜ (Quellen-Telekommunikationsüberwachung) steckt nichts anderes als – Sie ahnen es – der Staatstrojaner.

Doch der Reihe nach. Neben strittigen Gesetzen zur Überwachung von Körper (Videoüberwachung) und Aufenthaltsort (Vorratsdatenspeicherung) ist der schwarz-roten Koalition noch eine Möglichkeit eingefallen, wie sie ihre Massenüberwachung auf uns ausdehnen kann: Unsere Handys. Längst sind diese schon zu einer Art zweitem Gehirn für uns geworden. Jetzt soll laut Koalitionsvertrag die Bundespolizei genau diese ausgelagerten Gehirne hacken dürfen – und das auch gleich präventiv, um „Gefahren“ abzuwehren, selbst wenn „noch kein Tatverdacht begründet ist“.

Wenn man „Staatstrojaner“ hört, dann meist in Zusammenhang mit ellenlangen Wörtern. Wenn Bürokratie gähnen könnte, würde sie sicher dabei Geräusche von sich geben, die klingen wie: Quellen-Telekommunikationsüberwachung und Online-Durchsuchung. Nicht einschlafen! So trocken wie diese Begriffe sind, so wichtig sind sie auch. Hier klären wir auf!

Staatstrojaner – was ist das?

Alles begann mit der Telekommunikationsüberwachung (kurz: TKÜ), also dem direkten Abfangen von Nachrichten und Anrufen etwa zwischen zwei Handys. Messenger-Dienste wie Signal, WhatsApp und Co. setzten aber immer mehr auf die Ende-zu-Ende-Verschlüsselung um. Strafvollzugsbehörden konnten Nachrichten und Anrufe über diese Apps danach nicht mehr so einfach abfangen.

Neue Lösungen mussten her, um Bürgerinnen und Bürger durch staatliche Massenüberwachung vor sich selbst zu schützen. Private Unternehmen entwickelten Software-Programme – und Staaten kauften sie. Denn diese ersten Staatstrojaner namens Pegasus und FinFisher versprachen einen Durchbruch in der Ermittlungsarbeit: Gelingt es den Behörden, den Trojaner auf dem Gerät der Zielperson zu installieren, kann der Staat auch die Ende-zu-Ende-verschlüsselte Kommunikation wieder lesen, denn auf dem Gerät ist diese unverschlüsselt gespeichert. Das ist es, was der Koalitionsvertrag mit „Quellen-Telekommunikationsüberwachung“ meint.

Und ach ja, wo man schon mal im infizierten Gerät ist, muss sich die Überwachung ja nicht mehr nur auf Nachrichten beschränken. Auch intimste Fotos, Perioden-Apps und Tagebücher sind für Ermittlungsbehörden dann einsehbar. Und das ist, was der Koalitionsvertrag mit „Online-Durchsuchung“ meint.

Ein trojanisches Pferd ohne Zügel?

Aber wie kommt eigentlich der Trojaner in die Stadtmauern unserer Endgeräte? Behörden nutzen hier offene Sicherheitslücken in der Software unserer Handys, Computer und Tablets. Das ist das Hacken „auf technischem Weg“. Daneben darf die Polizei den Trojaner auch mit „kriminalistischer List“ in das Gerät einschleusen. Und hier macht der Staatstrojaner seinem Namen alle Ehre: Der Staat schickt eine Mail, SMS oder Messenger-Nachricht auf das Gerät, das infiltriert werden soll und lockt die Zielperson mit hinterlistigen Tricks, den Link oder die Datei zu öffnen, die darin enthalten ist. So installiert sich die Software im Hintergrund auf dem Gerät. Von außen wirkt es wie ein Geschenk, tatsächlich ist es ein Überfall. Und man bekommt ihn nicht einmal mit. „Kriminalistische List“ bedeutet aber auch, dass Behörden mit einem Smartphone im Hinterzimmer verschwinden dürfen, etwa bei einer Personenkontrolle am Flughafen, und dabei den Trojaner ins Gerät einpflanzen. Sogar heimliche physische Wohnungseinbrüche zur Installation der Software waren im Gespräch.

Das Pferd wird also nicht durch das Haupttor geschoben, sondern schleicht sich still und leise durch die Hintertür hinein. Das zieht zwei Probleme nach sich:

1. Diese „Hintertüren“ gefährden die digitale Sicherheit von uns allen. Sie sind Einladung und Einfallstor für Kriminelle, fremde Geheimdienste und Malware. Ein Staat, der mit dem Versprechen antritt, uns zu schützen, sollte darum bemüht sein, diese Lücken offenzulegen und umgehend zu schließen. In der Realität tut er aber das Gegenteil. Man braucht die Sicherheitslücke ja, um sie selbst auszunutzen. Im Klartext: Unsere Sicherheit wird geopfert – für eine Symbolpolitik mit Überwachungsfantasie.

2. Die Online-Durchsuchung ist nichts anderes als ein digitaler Wohnungseinbruch. Natürlich versichern Behörden, dass sie – gesetzeskonform – abgegriffene Daten wieder löschen, die die private Lebensführung betreffen. Im Gegensatz zu einer Hausdurchsung merken wir aber nichts davon, wenn unser Gerät mit einem Staatstrojaner infiziert wurde – geschweige denn, welche Daten eingesehen werden und ob man sich dabei tatsächlich an die gesetzlichen Einschränkungen gehalten hat. Kurz gesagt: Wir verlieren die Kontrolle über unsere Rechte.

Und so sind alle Kontakte der verdächtigen Person mitbetroffen: Freunde, Familienmitglieder, Kolleginnen. Sogar die Geräte von Dritten dürfen mit dem Trojaner infiziert werden, wenn die Polizei annimmt, dass die tatverdächtige Person dieses Gerät mitbenutzt. Aber wie können die Behörden zwischen Beteiligten und Unbeteiligten unterscheiden? Jedes Foto kann potentiell relevant sein. Es ist somit ein Ding der Unmöglichkeit, die Privatsphäre unbeteiligter Personen zu wahren. Für die Regierung ein akzeptabler Kollateralschaden.

So schnell wie Regierungen aller Länder FinFisher, Pegasus und Co. zur Verbrechensbekämpfung einkauften, so schnell kam es auch zu dem Missbrauch der Software. Katalonien, Polen und Mexiko sind nur die gravierendsten Beispiele, in denen die Regierung mit dem Staatstrojaner nicht verdächtigte Schwerverbrecherinnen, sondern vor allem Oppositionelle angriff. So verkommt der Staatstrojaner zum Werkzeug des Machterhalts – auf Kosten von schweren Menschenrechtsverletzungen. In Deutschland dürfte eine immer stärker werdende AfD diese Fälle mit Interesse beobachten.

Die Entscheidung des BVerfG und „Wie es weiter geht“

Sicherheitslücken in Endgeräten, unbemerktes Hacken, das Überwachen von Unbeteiligten und Dritten … Maßnahmen, die der Staat für notwendig hält, um uns zu „schützen“. Das Gegenteil aber passiert. Wenn ich die ganze Zeit befürchten muss, dass der Staat mich fälschlich überwacht und meine intimsten Geheimnisse ausliest, wenn er Sicherheitslücken in meinen Geräten offen hält, statt sie zu schließen: Ist meine Welt dann sicherer geworden? Das Sicherheitstheater des Staates bewirkt das Gegenteil von dem, was es vorgibt zu tun.

Der zügellose Einsatz des Staatstrojaners untergräbt das Vertrauen in die Demokratie. Mit dem Beschluss des Bundesverfassungsgerichtes vom 7. August 2025 konnten wir diese Zügel zumindest teilweise wieder zu fassen bekommen: Für Delikte mit einer Höchstfreiheitsstrafe von bis zu drei Jahren erklärte das Gericht den Einsatz für verfassungswidrig, auch rückwirkend. Damit ist die expansive Überwachungspolitik der letzten Jahre zu Teilen gestoppt, die sich immer mehr auch auf Alltagskriminalität ausbreitete. Außerdem hat die Entscheidung des Gerichtes etwas schon verloren Geglaubtes ans Tageslicht befördert: Das Computer-Grundrecht.

Schwarz-Rot wollte den Staatstrojaner auch einsetzen, selbst wenn „noch kein Tatverdacht begründet ist“. Die Vorgaben des Gerichts stehen dem klar entgegen. Digitalcourage wird das wachsam beobachten. „Wenn die Politik aus der Entscheidung nicht lernt und weiter Gesetze beschließt, die nicht verfassungskonform sind, wird Digitalcourage wieder vor Gericht ziehen. Wer unsere Freiheit angreift, muss mit Widerstand rechnen“, erklärt Rena Tangens – und richtet sich mit diesen Worten an die noch junge Regierung.