Schweizer Strafverfolger sollen künftig Computer und Smartphones von Verdächtigen mit Trojaner-Programmen infiltrieren dürfen. Der Ständerat hat die entsprechende Revision des Gesetzes mit dem fast schon herzig anmutenden Namen «Büpf» (Bundesgesetzes über die Überwachung des Post- und Fernmeldeverkehrs) soeben angenommen.
Die Kontroverse um den Einsatz von Staatstrojanern ist im Vorfeld der Abstimmung heftig geführt worden. Die Justiz- und Polizeidirektoren haben hüben den Kampf gegen kriminelle Elemente als verloren ausgerufen, sollten sie ihre Trojaner nicht erhalten. Drüben haben die grünen und linken Advokaten der Grundrechte den Untergang der Demokratie ausgerufen, weil die liberalen Fundamentalwerte Informations- und Kommunikationsfreiheit ausgeschaltet würden.
Beide Szenarien sind Humbug. Hauptkommunikationsmittel hiesiger Krimineller ist immer noch das herkömmliche Handy. Und das revidierte Büpf erlaubt kein flächendeckendes Scanning von Internet, Computersystemen oder Skype-Verkehr. Der Einsatz von Trojanern ist darauf beschränkt, verschlüsselte Anrufe, Email- oder Chat-Kommunikation abzufangen. Und das Abhören via Trojaner ist nur mit richterlicher Genehmigung und beim gleichen Tatbestandskatalog möglich, der nach geltendem Gesetz schon verdeckte Ermittlungen erlaubt: Bei schweren Fällen von Drogenhandel etwa, Gewaltverbrechen oder der Suche nach vermissten oder sich in Gefahr befindlichen Personen.
Dennoch dürfen das revidierte Büpf und damit der Staatstrojaner noch nicht in Kraft und Aktion treten. Drei grosse Unklarheiten und Risiken sind zum jetzigen Zeitpunkt weder gesetzlich noch durch eine Verordnung geregelt oder aufgefangen:
Die Trojaner, die immer an die Betriebssysteme der Computer oder Handys der Abzuhörenden angepasst werden müssen, sollen mangels einheimischer Entwicklung auf dem internationalen Markt eingekauft werden. Damit müssen sie auch von internationalen Spezialisten (mit)-bedient werden. So ist die Sicherheit nicht gegeben, dass die Schweizer Strafverfolger die Lufthoheit über Einsatz und Datenfunde der komplexen Überwachungssysteme behalten. Doch die ist zwingend, wenn die Justizorgane das Vertrauen der Öffentlichkeit weiterhin geniessen wollen. Etwas anderes als eine reine Schweizer Lösung kommt deshalb nicht in Frage, auch wenn die teurer sein mag, als eingekaufte Programme.
Noch sind die Prozesse und Abläufe, nach denen die Trojaner eingesetzt werden sollen, nicht definiert. Welche Polizeikorps führen die Installationen von Trojanern und Überwachungen von Verdächtigen durch? Wohin werden die Daten zu Handen der Staatsanwaltschaften auf welchem Weg übermittelt? Und welche Dispositive stehen für die Kontrolle beteiligter externer IT-Spezialisten zur Verfügung?
Die Verantwortlichkeiten sind weitgehend ungeregelt. Wer muss dafür gerade stehen, wenn Trojaner Schaden anrichten, oder die Falschen ausspähen? Welche Stellen überwachen, dass die jeweils einzeln angefertigten Trojaner wirklich nur die im Büpf definierten Kommunikationskanäle anzapfen? Und nicht doch breiter Systeme scannen, in der Hoffnung auf für weitere Strafverfolgungen nützliche Zufallsfunde? Die Gerichte sind mit der Kontrolle der hochkomplexen Trojaner-Einsätze überfordert. Eine Alternative existiert noch nicht.
Da kommt dem Staatstrojaner die Tatsache zu Gute, dass sich die Telekommunikationsanbieter und die IT-Branche gegen die im neuen Büpf ebenfalls festgeschriebene verlängerte Aufbewahrungszeit von Verbindungsdaten und ausgedehntem Mithilfezwang bei der Strafverfolgung wehren. Wegen des erhöhten finanziellen Aufwands droht die IT-Branche damit, das Referendum gegen das neue Überwachungsgesetz zu ergreifen, das erst noch durch den Nationalrat muss.
Diesen Umstand müssen sich die Trojaner-Gegner zu Nutze machen und die künftigen Trojaner-Anwender vor der Drohkulisse des Referendums zwingen, die offenen Fragen so zu regeln, dass sie dem Stimmbürger plausibel beantwortet werden können. Nur so ist ein so sauber wie nötiger und so transparent wie möglicher Einsatz der Staatstrojaner zu gewährleisten.
Den Strafverfolgern zu vertrauen, dass sie das Richtige tun, ist gut. Zu wissen, was und wie sie es tun, ist besser.