Ein Staatstrojaner setzt die unbemerkte Infektion des Zielsystems voraus. Einige Vorgehensweisen bedingen die Mitarbeit privater Dritter. Doch können diese zur Kollaboration herangezogen oder gar verpflichtet werden?
Seit einigen Monaten besteht in der Schweiz eine gesetzliche Grundlage für den Einsatz von Staatstrojanern. Für den Geheimdienst ist die Grundlage das Nachrichtendienstgesetz (Art. 26 Abs. 1 lit. d) und für die Strafverfolgungsbehörden die Strafprozessordnung (Art. 269ter f.). Beide Gesetze klammern weitgehend aus, auf welchem Weg eine solche staatliche Malware unbemerkt ein Zielsystem infizieren soll.
Gemäss Strafprozessordnung kann zwar die Staatsanwaltschaft «die nicht öffentlichen Räumlichkeiten, in die allenfalls eingedrungen werden muss, um besondere Informatikprogramme in das betreffende Datenverarbeitungssystem einzuschleusen» festlegen. Dies dürfte jedoch eher die Ausnahme bleiben. Einfacher scheint eine Infektion über einen Infection Proxy, Update-Server, die Fahrplan-App oder auch die Steuererklärungssoftware. Bei all diesen Varianten sind die Behörden auf Mitarbeit angewiesen. Doch können private Dritte zur Mithilfe beim Einschleusen von Staatstrojanern verpflichtet werden?
Gesetzliche Grundlagen für Staatstrojaner
Staatstrojaner für die Strafverfolgungsbehörden wurden mit dem totalrevidierten Bundesgesetz betreffen die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) in diesem Jahr eingeführt. Die Bestimmungen finden sich jedoch nicht im Überwachungsgesetz BÜPF selber, sondern in der Strafprozessordnung (StPO) wieder, da die beiden Gesetze unterschiedliche Adressaten haben und unterschiedliche Regelungszwecke verfolgen.
Während die StPO die Strafverfolgung und Beurteilung der Straftaten nach Bundesrecht durch die Strafbehörden des Bundes und der Kantone regelt (Art. 1 Abs. 1 StPO) und die beschuldigte Person im Fokus steht, betrifft das BÜPF den Dienst ÜPF und die Access/Dienste-Anbieter im Bereich der angeordneten Telekommunikations-Überwachungsmassnahmen und der Vorratsdatenspeicherung.
Konkret gilt das BÜPF für die Überwachung des Post- und Fernmeldeverkehrs (Art. 1 Abs. 1). Hierzu betreibt der Bund einen Dienst für die Überwachung des Post- und Fernmeldeverkehrs (Dienst) (Art. 3 Abs. 1). Die Anbieterinnen von Fernmeldediensten (FDA) liefern dem Dienst (oder der von dieser bezeichneten Behörde) den Inhalt des Fernmeldeverkehrs und/oder die Randdaten des Fernmeldeverkehrs der überwachten Person (Art. 26 Abs. 1). Die FDA müssen zudem Überwachungen dulden, die durch den Dienst oder durch von diesem beauftragte Personen durchgeführt werden.
Für die Überwachung mit IMSI-Catchern und Staatstrojanern ist jedoch nicht der Dienst ÜPF oder die Access/Dienste-Anbieter zuständig. Daher führt auch nicht der Dienst ÜPF, sondern die Staatsanwaltschaften eine Statistik (Art. 269bis Abs. 2 und Art. 269ter Abs. 4 StPO), und es stellen die Strafverfolgungsbehörden die Überprüfung des Quellcodes sicher (Art. 269quater Abs. 3).
Weiter geht diesbezüglich das Nachrichtendienstgesetz. Dieses sieht in Art. 34 Abs. 2 vor, dass der Geheimdienst «ausnahmsweise auch mit Privaten zusammenarbeiten oder Privaten Aufträge erteilen [kann], wenn dies aus technischen Gründen oder wegen des Zugangs zum Beschaffungsobjekt erforderlich ist und die betreffende Person Gewähr dafür bietet, die Beschaffung entsprechend den Bestimmungen dieses Gesetzes durchzuführen.»
Gemäss Botschaft fallen z.B. komplexe technische Überwachungsgeräte darunter, die nur von spezialisierten Privatfirmen betrieben werden können. Denkbar wäre auch der Einsatz von privaten InformatikspezialistInnen bei besonders geschützten Datennetzwerken.
Der NDB darf nach dieser Bestimmung private «Hacker» zum Einbruch in fremde Netze/Computer anstellen; sie können jedoch nicht dazu verpflichten werden.
Mitwirkungspflicht Dritter im Rahmen von Strafverfahren
Gemäss Nachrichtendienstgesetz können also Dritte beauftragt werden, beim Einsatz von Staatstrojanern mitzuhelfen. Sie können jedoch nicht dazu verpflichtet werden.
Der Einsatz von Staatstrojanern in Strafverfahren ist, wie ausgeführt, in der Strafprozessordnung geregelt. Die Bestimmungen betreffen die Strafverfolgunsbehörden. Zusätzliche Pflichten aus dem BÜPF für den Dienst ÜPF oder Access/Dienste-Anbieter bestehen nicht.
Die Strafprozessordnung sieht jedoch verschiedene generelle Mitwirkungspflichten im Rahmen von Strafverfahren für Dritte vor. Diese sind:
- Für Zeuginnen und Zeugen (Art. 162 – 177)
- Für Auskunftspersonen (Art. 178 – 181; keine Pflicht nach Art. 180 Abs. 1)
- Die Herausgabepflicht (Art. 265) als milderes Mittel der Beschlagnahme (Art. 263 – 268)
Weitere Mitwirkungspflichten oder eine Duldungspflicht bestehen jedoch nicht.
Auf Nachfrage bestätigt dies auch das Bundesamt für Justiz: Die einschlägige Gesetzgebung, insbesondere der neu geschaffene Art. 269ter StPO, würde keine hinreichende – aber zwingend nötige – gesetzliche Grundlage für eine Verpflichtung zur Kollaboration beinhalten.
Hingegen ist eine Überwachung des Post- und Fernmeldeverkehrs ohne ausdrückliche, gesetzliche Befugnis und Genehmigung, das unbefugte Eindringen in ein Datenverarbeitungssystem sowie die unbefugte Entschlüsselung strafbar.