# taz.de -- Verfassungsgericht zu Sicherheitslücken: Staat muss Handynutzer schützen
       
       > Sicherheitsbehörden nutzen IT-Sicherheitslücken, um Staatstrojaner zu
       > installieren. Die Richter in Karlsruhe fordern jetzt neue Regeln.
       
 (IMG) Bild: Spionage ja, aber nur staatlich geregelt
       
       Karlsruhe taz | Der Staat muss regeln, wann Behörden IT-Sicherheitslücken
       nutzen dürfen, um Staatstrojaner zu installieren – und wann sie stattdessen
       besser den Hersteller informieren. Das entschied jetzt das
       Bundesverfassungsgericht. Eine Klage der Gesellschaft für Freiheitsrechte
       gegen das baden-württembergische Polizeigesetz lehnte das Gericht jedoch
       als unzulässig ab.
       
       Anlass für die Entscheidung: Das grün-schwarz regierte Baden-Württemberg
       hatte im Oktober 2020 der Landespolizei erlaubt, zur Gefahrenabwehr
       Staatstrojaner einzusetzen. [1][Andere Bundesländer haben solche
       Regelungen] schon länger. Zur Strafverfolgung ist dies bereits seit 2017
       möglich.
       
       Der Staatstrojaner ist eine Spähsoftware, die installiert wird, um
       Kommunikation (Telefonate, Email, Messenger) vor der Verschlüsselung an die
       Polizei auszuleiten. Dies nennt man Quellen-Telekommunikationsüberwachung
       (Quellen-TKÜ). Eine der Möglichkeiten, den Trojaner auf einem Smartphone
       oder Computer zu installieren, ist die Ausnutzung von IT-Schwachstellen.
       Behörden können diese selbst finden oder (in der Regel) von Hacker:innen
       ankaufen.
       
       Gegen die Änderung des Stuttgarter Polizeigesetzes klagte die Gesellschaft
       für Freiheitsrechte (GFF) beim Bundesverfassungsgericht. Das Land habe die
       Grundrechte verletzt, indem es den Behörden nicht verboten hat, unbekannte
       IT-Sicherheitslücken zu nutzen. Die Behörden sollten stattdessen
       verpflichtet werden, die IT-Hersteller sofort über die Schwachstellen zu
       informieren, damit diese nicht von Kriminellen genutzt werden können. Es
       fehle jedenfalls an einem „Schwachstellen-Management“ für
       Sicherheitslücken.
       
       ## Klage unzulässig, aber …
       
       Der Erste Senat des Bundesverfassungsgerichts lehnte die GFF-Klage nun als
       „unzulässig“ ab. Die Bürgerrechtler:innen hätten zunächst bei den
       Fachgerichten klagen müssen, bevor sie nach Karlsruhe gehen.
       
       Das Bundesverfassungsgericht nutzte den Fall jedoch, um erste Maßstäbe zu
       setzen. Danach entstehe eine „Schutzpflicht“ des Staates, wenn Behörden von
       bisher unbekannten IT-Sicherheitslücken erfahren. Die Bürger könnten sich
       schließlich nicht schützen, während die Sicherheitslücke auch von
       Verbrecher:innen missbraucht werden könnte, zum Beispiel um die Daten
       von Unternehmen und Kommunen zu verschlüsseln und nur gegen Zahlung eines
       Lösegelds wieder freizugeben.
       
       Die Richter:innen haben diese Schutzpflicht aber relativ schwach
       ausgestaltet. Sie verpflichten die Behörden nicht, die IT-Hersteller über
       unbekannte Sicherheitslücken zu informieren. Die Behörden müssen zum Schutz
       der Nutzer vor Angriffen nur „beitragen“. Der Gesetzgeber habe hierbei
       einen „Einschätzungs-, Wertungs- und Gestaltungsspielraum“.
       
       Jetzt müssen die Verwaltungsgerichte entscheiden, ob es ausreicht, wenn zum
       Beispiel im baden-württembergischen Polizeigesetz vorgegeben ist, dass die
       eingesetzten Mittel (also auch die ausgenutzten IT-Sicherheitslücken)
       „gegen unbefugte Nutzung“ zu schützen sind.
       
       Die Karlsruher Entscheidung war mit Spannung erwartet worden, nachdem ein
       internationales Medienkonsortium jüngst enthüllte, wie autoritäre Regime
       [2][die Trojaner-Software Pegasus missbrauchen], um Oppositionelle zu
       überwachen. Ein Weg, Pegasus auf einem Smartphone zu installieren, ist die
       Ausnutzung von IT-Sicherheitslücken.
       
       21 Jul 2021
       
       ## LINKS
       
 (DIR) [1] /Umstrittene-Ermittlungsmethode/!5747435
 (DIR) [2] /Pegasus-Software-und-Emmanuel-Macron/!5788607
       
       ## AUTOREN
       
 (DIR) Christian Rath
       
       ## TAGS
       
 (DIR) Bundesverfassungsgericht
 (DIR) Staatstrojaner
 (DIR) Schwerpunkt Überwachung
 (DIR) Datenschutz
 (DIR) Konzerne
 (DIR) Schwerpunkt Bundestagswahl 2025
 (DIR) Bundesgerichtshof
 (DIR) Schwerpunkt Pressefreiheit
 (DIR) Schwerpunkt Pressefreiheit
 (DIR) Schwerpunkt Überwachung
       
       ## ARTIKEL ZUM THEMA
       
 (DIR) Aufmerksamkeitsökonomie: Wo ist die Konzentration hin?
       
       Menschen bleiben teilweise nur Sekunden bei einer Aufgabe. Ein Sachbuch
       erklärt, wie wir am Bildschirm die Aufmerksamkeit verlernt haben.
       
 (DIR) Innere Sicherheit von Rot-Grün-Gelb: Big Ampel is watching you
       
       Eine mögliche Ampelregierung will mit einer progressiven Sicherheitspolitik
       aufwarten. Doch beim Thema Überwachung herrscht Streit.
       
 (DIR) Urteil zu Hass-Posts bei Facebook: Erst anhören, dann sperren
       
       Der Bundesgerichtshof verlangt von Facebook mehr Schutz von Nutzer:innen,
       die Hass-Posts absetzen. Ein Mann aus Regensburg war vor Gericht gegangen.
       
 (DIR) Israelischer Hacker über Pegasus und NSO: „Sie sind skrupellos“
       
       Gegen hochentwickelte Cyberwaffen wie Pegasus hat man keine Chance, sagt
       Aktivist Yuval Adam. Die Angriffe sind für ihn nicht überraschend.
       
 (DIR) Spionagesoftware für Unrechtsstaaten: Pegasus ist kein Einzelfall
       
       Pegasus ist der Traum aller Geheimdienstler:innen – und ein Alptraum
       für Oppositionelle.
       
 (DIR) Umstrittene Staatstrojaner: Mehr Kompetenzen für Geheimdienste
       
       Der Bundestag beschließt, die Regeln für deutsche Geheimdienste zu lockern.
       Sie sollen nun verschlüsselte Chats mitlesen dürfen.