Motherboard veröffentlicht heute neue Ergebnisse einer seit Monaten andauernden Recherche. Wir haben versucht, genau nachzuvollziehen, wie sich Deutschlands oberste Ermittlungsbehörde, das BKA, Zugriff zu den privaten Telegram-Chats von Terrorverdächtigen verschafft—ohne je der Firma Bescheid zu sagen.
Autor Max Hoppenstedt & Sebastian Lipp
Normalerweise ist ein Hack der Chat-App Telegram keine leichte Aufgabe, denn ein Großteil der Kommunikation ist verschlüsselt und auch von der Firma selbst sind für das BKA keine Daten zu bekommen. Aber die staatlichen Hacker kennen eine Reihe an Tricks, um trotzdem unbemerkt an die privaten Nachrichten, Bilder und Videos der Verdächtigen zu kommen.
Inzwischen ist klar: Für die BKA-Informatiker waren es nur ein paar Klicks und eine selbstgeschriebene Software, die den Job einfacher machten. Für die Verteidiger ist die Methode ein Skandal, für unabhängige Rechtsexperten ist sie sogar klar rechtswidrig—und den Generalbundesanwalt sowie den Gesetzgeber bringt sie in Erklärungsnot. Wir haben uns die technischen Details des Hacks mit mehreren Experten genau angeschaut und können nun detailliert darlegen, wieso das BKA letztlich illegal handelte.
Wie der Hack beginnt
Die BKA-Aktion gegen die Telegram-Konten der Terrorverdächtigen beginnt in einer Sonntagnacht im April 2015 in Berlin-Treptow. Die Ermittler starten auf ihren Behörden-Laptops die selbst entwickelte Software und tippen die Handynummern ihrer acht Zielpersonen ein. Das BKA-Programm verbindet sich zum Telegram-Server. Dort meldet es ein neues Gerät auf dem Account der Zielperson an.
Das Hinzufügen neuer Geräte ist eigentlich ein reguläres Feature, das der Benutzerfreundlichkeit dient: Ein User kann so all seine Smartphones, Laptops und Tablets auf eine Nummer registrieren und bequem von überall aus Nachrichten abrufen und verfassen. Die eigentlich nützliche Funktion wird aber in diesem Fall zum Einfallstor für die Überwacher.
Bevor das BKA in einem Account mitlesen kann, gibt es allerdings noch eine Hürde: Vor der Anmeldung eines neuen Geräts muss der Nutzer einen fünfstelligen Bestätigungscode eintippen, mit dem er Telegram vorgaukelt, dass er an seinem Zielaccount Änderungen vornehmen darf. Der wird zunächst nur via Telegram auf die bereits angemeldeten Geräte geschickt. Eigentlich ist der Code durch die Verschlüsselung des Chatprogramms für die Ermittler so unerreichbar. Allerdings wird der Code kurze Zeit später noch einmal unverschlüsselt per SMS übertragen. Dass dies ein Sicherheitsproblem darstellt, zeigten Hacker bereits im Juni: Sie nutzen eine Sicherheitslücke im Mobilfunknetz aus, um den Code abzufangen.
Das BKA dagegen lässt sich die SMS einfach vom Mobilfunkanbieter der Zielperson liefern. Das bedeutet: Die Voraussetzung für das Knacken des Telegram-Kontos ist also zunächst mal das Abhören der Handykommunikation. Das darf die Behörde auch—allerdings nur auf der Basis einer richterlich erlaubten Telekommunikationsüberwachung (TKÜ). Eine TKÜ ist das klassische Abhör-Instrument, das in deutschen Ermittlungsverfahren in monatlich hunderten Fällen zum Einsatz kommt—doch in der Kontroverse um den BKA-Hack kommt dem Standard-Repertoir nun eine zentrale Rolle zu.
Ein veraltetes Gesetz macht Probleme
Das Problem für die Ermittler: Das Gesetz stammt aus den 1960er Jahren und ist seitdem kaum an die technische Entwicklung angepasst worden—im Fall von klassischer Telefonüberwachung von SMS und Telefonie ist das unproblematisch, doch für das Abfangen von Telegram-Nachrichten ist die aktuelle Rechtslage kaum zu gebrauchen.
Rechtsanwalt Toralf Nöding erklärt Motherboard den Paragraphen so: „Der sieht vor, dass der Diensteanbieter eine Schnittstelle zur Verfügung stellt und über die wird der Datenstrom ausgeleitet.“ Dienstanbieter können sowohl Telefon- oder Internetprovider wie die Telekom oder O2 sein, aber auch Programmanbieter wie Skype oder WhatsApp. Klassischerweise bekommt der Anbieter von der Polizei den Beschluss des Richters vorgelegt und schaltet dann den Zugang frei. Über diese Schnittstelle können die Ermittler dann Telefongespräche abhören oder den Internetverkehr überwachen.
Genau das ist aber im Fall Telegram nicht möglich. Denn die Polizei kennt den Standort des Dienstes nicht und hat keinen Ansprechpartner, der eine solche Schnittstelle einrichten kann. Das gibt der BKA-Beamte K. vor Gericht zu und es geht auch aus einem BKA-Schreiben hervor, das Motherboard heute ebenfalls veröffentlicht (Alle Dokumente, die wir zu dem Fall veröffentlichen, finden sich gebündelt am Ende dieses Textes).
Das BKA muss sich also entscheiden: Auf die Überwachung der Telegram-Accounts verzichten? Oder ihre IT-Experten eine Lösung für das Problem finden lassen? Die Behörde wählt den zweiten Weg—und wird dabei vom Generalbundesanwalt gedeckt. Auch Deutschlands oberster Staatsanwalt glaubt nämlich, dass diese Lösung Marke Eigenbau durch Paragraph 100a gedeckt ist, wie aus einem Schreiben aus der Münchner Verhandlung hervorgeht. Doch eine genauere Untersuchung der einzelnen technischen Schritte der Account-Übernahme liefert mindestens drei konkrete Gründe, warum sowohl BKA als auch Generalbundesanwalt falsch liegen.
1. Hinein gemogelt: Die illegale Identitätstäuschung
„Auch ohne Wissen der Betroffenen darf die Telekommunikation überwacht und aufgezeichnet werden.“ So lautet der zentrale Satz des Paragraphen 100a der Strafprozessordnung, der festlegt, was die Ermittler dürfen. Und schon hier, beim ersten Schritt, wird es problematisch.
Die Begriffe Überwachen und Aufzeichnen werden grundsätzlich so verstanden, dass die Behörden sich von den Firmen, die Leitungen oder Server kontrollieren, die Daten und Informationen geben lassen—und nicht selbst mit eigenen Hacks aktiv werden.
Diese Unterscheidung war schon einmal wichtig: In der Debatte um den Bundestrojaner. Als sogenannte Quellen-TKÜ geht der über eine klassische TKÜ hinaus, weil er eben nicht einfach auf die Daten vom Dienstanbieter wartet, sondern sich als Software einen Weg zu den Inhalten bahnt, die die Ermittler haben wollen. Die Parallelen zum aktuellen Fall liegen auf der Hand.
Vor Gericht beschreibt BKA-Mitarbeiter K. genau, wie der Angriff beginnt und wie man den Registrierungscode auf dem neuen Gerät nutzt: „Wir tippen den in die Software ein, was dazu führt, dass die Software den Code an den Dienstbetreiber zurück sendet, der verifiziert, ob das der generierte ist und wenn er identisch ist, kann sich das neue Gerät anmelden“, erinnert sich der an der nächtlichen Aktion beteiligte BKA-Mitarbeiter.
Wir haben mit mehreren Juristen gesprochen, nach deren Auffassung bereits an diesem Punkt die Grenzen von §100a überschritten sind. So erklärt zum Beispiel der Berliner Rechtsanwalt Toralf Nöding, dass das BKA mit dem Zurücksenden des Legitimationscodes eine vom Dienstanbieter an dessen Teilnehmer versandte SMS aktiv „missbraucht, um sich selbst anzumelden“.
Auch der Rechtsanwalt Michael Rosenthal, der Verteidiger des als „Präsidenten“ der OSS angeklagten Andreas H., ist sich sicher, dass das BKA hier zu weit geht. Er erklärt das Problem mit einem Vergleich aus dem realen Leben: Man stelle sich vor, es würde „ein Polizist zur Post gehen und sagen, er würde gerne seine Post abholen und nennt dabei einen falschen Namen. Auf die Frage des Schalterbeamten, ob er sich ausweisen kann, zeigt der Polizist auch noch einen falschen Ausweis vor. Das ist bei 100a nicht vorgesehen.“
Vor Gericht räumt auch Michael K. die Identitätstäuschung ein, als Rosenthal ihn danach fragt: „Grundsätzlich sage ich, ich wäre der entsprechende Account-Inhaber, indem ich das beweise durch den Empfang der SMS.“ Rechtsanwalt Nöding, der nicht in den Prozess involviert ist, kommentiert das eindeutig: Er finde dieses Vorgehen des BKA „so gezielt und täuschend“, dass er eine spezielle Rechtsgrundlage für nötig hält—aber die gibt es nicht.
2. Heimlich ran an die Leitung: Die Umgehung des Dienstanbieters
Als der Verteidiger der „Oldschool Society“ selbst bei Telegram anfragt, um besser zu verstehen, wie das BKA an die Nachrichten seiner Mandanten kam, erhält er vom Support-Account eine recht unverblümte Erläuterung der Firmen-Taktik: „Telegram ist ja ein internationales Projekt mit weltweit verteilter Infrastruktur. Wir versuchen, Telegram so weit wie möglich zu dezentralisieren, um lokalen Rechtssprechungen aus dem Wege zu gehen :). Bislang gelingt das.“
Ein Telegram-Sprecher bestätigt diese Firmenstrategie gegenüber Motherboard bereits im August: „Unsere Cloud-Chats sind in verschieden Datencentern überall auf der Welt verteilt gespeichert, die unter der Kontrolle unterschiedlicher rechtlicher Hoheiten stehen. Das führt dazu, dass es verschiedene Gerichtsverfügungen aus verschiedenen Gebieten braucht, um uns zur Herausgabe von Daten zu zwingen.“
Auf unsere Anfrage, ob Telegram tatsächlich noch nie Daten mit deutschen Behörden kooperierte, haben wir bis heute keine Antwort erhalten. Allerdings erklärte ein Sprecher bereits im August allgemein: „Telegram kann nur dann zur Herausgabe von Daten gezwungen werden, wenn die Angelegenheit drastisch genug ist, dass es von verschiedenen juristische Systemen akzeptiert wird“, hieß es damals etwas kryptisch.
Deutschlands oberste Ermittlungsbehörde steht vor einem unlösbaren Dilemma: Üblicherweise würde die Polizei bei einer TKÜ dem Anbieter den Gerichtsbeschluss vorlegen, in dem der Tatverdacht und die Notwendigkeit der Überwachung begründet dargelegt werden. Doch weil das BKA schlicht nicht weiß, wo Telegram zu erreichen ist, umgeht es diesen Schritt.
Das Problem: Wenn der Dienstanbieter Bedenken gegen die Maßnahme hat, gibt es die Möglichkeit, Rechtsmittel dagegen einzulegen und den Beschluss einer erneuten richterlichen Prüfung zu unterziehen. Dieses Recht, erklärt der Würzburger Rechtsanwalt Chan-jo Jun telefonisch gegenüber Motherboard, ist ihm durch das heimliche Handeln des BKA genommen: „Jeder richterliche Beschluss ist mit Rechtsmitteln anzufechten. Das Recht hätte auch der Infrastrukturbetreiber.“
Der SPD-Politiker Christopher Lauer kritisiert die Maßnahme zwar, zeigt auf Anfrage von Motherboard aber auch Verständnis für das Vorgehen des BKA: „Eine Firma, die offen zugibt nicht mit Strafverfolgungsbehörden zusammen arbeiten zu wollen stellt den Rechtsstaat vor Probleme. In der analogen Welt bekäme man bei so einem Verhalten auch ziemlich schnell Schwierigkeiten bis hin zu einer Anzeige wegen Strafvereitelung.“ Lauer sieht daher auch eine einfache Lösung für den Ausweg aus dem Dilemma vor dem das BKA steht: „Am sinnvollsten wäre es in meinen Augen daher, Dienstanbieter zu verpflichten, eine in Deutschland ansässige, haftbare Kontaktperson zu benennen, die auf Behördenanfragen reagiert. Dann würden sich viele der bestehenden Probleme von alleine lösen."
3. Nutzer aus ihrem Konto schmeißen: Deregistrieren als Verschleierungstaktik
Die Ermittler, die sich in der Aprilnacht in die Konten hacken, haben nach den ersten Schritten keine Zeit, den Erfolg zu feiern. Denn ein kleines Feature in der Chat-Software droht den staatlichen Hackern zum Verhängnis zu werden, wenn sie nicht unverzüglich handeln.
Sobald sich die Überwacher angemeldet haben, ploppt auf allen Zielgeräten nämlich eine Meldung auf, dass gerade ein neues Gerät hinzugefügt wurde. Um nicht direkt aufzufliegen, greift das BKA zu einem weiteren Trick, um seinen Einbruch in die Integrität der Kommunikation ihrer Zielperson zu verschleiern: Man schmeißt alle bisher registrierten Geräte kurzerhand aus dem Konto raus—wieder mit Hilfe einer regulären Telegram-Funktion der App: „Alle anderen Geräte abmelden“, heißt der Menüpunkt, der auch in der API zur Verfügung steht. Als die Terrorverdächtigen am Morgen nach dem Hack aufwachen und wieder versuchen, Telegram zu öffnen, fordert das Programm sie auf, ihr Gerät neu zu registrieren. BKA-Techniker K. erklärt vor Gericht, warum die Behörde zu diesem Schritt greift: Wenn die Geräte wieder angemeldet sind, ist die Nachricht verschwunden.
Für Rechtsanwalt Udo Vetter ist so etwas „keine Ausleitung, sondern die Manipulation der Kommunikationssysteme.“ Damit bestätigt er die Auffassung von Michael Rosenthal, dem Verteidiger des „Präsidenten“ der OSS, für den die Behörde damit erneut die Grenzen der TKÜ überschreitet. Das BKA habe in diesem Fall Nachrichten—nämlich den für den Nutzer bestimmten Hinweis, dass Geräte ab- oder angemeldet wurden— aktiv unterdrückt, während der Paragraph 100a nur zum passiven Mithören ermächtige. Auch der IT-Rechtsexperte Jun bestätigt das im Gespräch mit Motherboard.
Als die Mitglieder der „Oldschool Society“ am Morgen nach der BKA-Operation aufwachen, sind manche von ihnen tatsächlich verwundert, was mit ihrem Telegram-Account passiert ist. Doch keiner von ihnen schöpft Verdacht, dass sie ins Visier des BKA geraten sind—sie haben ganz andere Befürchtungen: Im Chat spekulieren die Neonazis nun, ob sie Opfer eines Hackerangriffes einer konkurrierenden Nazigruppe namens „Sturm 18“ geworden sind.
Wie aus den Chats hervorgeht, versuchte die OSS zuvor, „Sturm 18“ auszuspitzeln und schickte einen Informanten in die Gruppe um den einschlägig bekannten Bernd Tödter. Die ebenfalls kriminelle und militante Gruppe aus dem Raum Kassel wurde im August 2015 verboten. Die OSS fühlte sich aus „Sturm 18“-Kreisen beleidigt. Dafür wollte sich die „Oldschool Society“ laut Aussage eines Ermittlers rächen und plante Gewalttaten gegen die Konkurrenz. Es wurde sogar eine „Kriegserklärung“ mit dem Foto einer Schrotflinte und Munition veröffentlicht.
Geheimnisvoll gibt sich der technische Leiter des BKA vor Gericht um die Frage, ob seine Behörde die Deregistrierung automatisiert vornimmt oder ob das manuell durch ihn und seine Kollegen ausgelöst wird: „Sagen wir mal so: Wir machen's sehr schnell.“ Und—auf weiteres Nachfragen von Rechtsanwalt Rosenthal: „Es wäre durchaus denkbar, eine solche Funktion zu automatisieren. Man könnte aber auch üben und sehr schnell werden, das händisch zu machen.“
3,5. Strittige Reise in die Vergangenheit: Retrospektive Daten mitschneiden
Beim BKA ist es inzwischen spät geworden: Die Uhr auf einem der Laptops des OE 23 zeigt 3:50:17, wie später aus den Überwachungsprotokollen hervorgehen wird. Die Ermittler können sich erstmals entspannen, die Accounts von fünf Zielpersonen sind geknackt. Auf den Bildschirmen der BKA-Geräte erscheinen ihre Unterhaltungen—allerdings zunächst nicht vollständig, sondern immer nur die jeweils letzte Nachricht, die in Gruppen oder Dialogen ausgetauscht wurde. K. erklärt vor Gericht, dass sich die BKA-Mitarbeiter den Rest der Nachrichten manuell vom Telegram-Server geholt hätten.
Diese Reise in die Vergangenheit ist höchst umstritten. Der Streit darum, ob Ermittler diese Daten aus der Vergangenheit bei einer TKÜ auch sichern dürfen, wurde bisher nur am Thema E-Mail geführt. Ein gängiger Kommentar zum Strafprozessrecht der beiden Juristen Dr. Lutz Meyer-Goßner und Bertram Schmitt erklärt das anschaulich, wenn man ihn um Abkürzungen und Referenzen auf die Rechtsprechung bereinigt: „Beim Zugriff auf E-Mails sind 3 Phasen zu unterscheiden: Absenden der Nachricht bis zum Ankommen im Speicher des Providers, Ruhen der Nachricht auf dem Speicher, Abrufen der Nachricht durch den Empfänger. Für die 1. und 3. Phase gilt unstrittig § 100a.“ Für die E-Mails, die sich in der 2. Phase befinden, hat das Bundesverfassungsgericht entschieden, dass sie zwar unter dem Schutz des Artikel 10 des Grundgesetzes stehen, die Polizei aber nur als „offene Ermittlungsmaßnahme“—also mit Ansage gegenüber des Betroffenen—nach § 94 StPO darauf zugreifen darf. Darauf stützt sich Michael Rosenthal: „Der rechtlich zulässige Weg wäre eine Beschlagnahme auf einem Telegram-Server“, weil die Daten dort ruhen. Zwar räumt Rosenthal ein, „dass das praktisch auf unüberwindliche Schwierigkeiten stößt, weil niemand weiß, wo die Daten zu beschlagnahmen wären. Das allein rechtfertigt aber nicht, ohne gesetzliche Grundlage andere Wege zu beschreiten.“
Der Generalbundesanwalt behandelt Telegram genauso wie E-Mails und sieht den Blick in die Vergangenheit dennoch gedeckt. Der Fachanwalt für IT-Recht Chan-jo Jun erklärt den Widerspruch so: „Während das Übersenden von E-Mails unstreitig von § 100a StPO gedeckt ist, wird für das verdeckte Abrufen von einzelnen Stimmen vertreten, dies könne nach geltendem Recht unter § 100a gefasst werden. Hier handelt es sich um streitige Literaturmeinungen.“ Eine klare Tendenz, wohin die Rechtsprechung tendiere, sieht Jun nicht.
Für die Mitarbeiter des BKA spielen solche juristischen Streitigkeiten erstmal keine Rolle—sie haben in dieser Aprilnacht nur das Ziel, in die Telegram-Accounts der Verdächtigen einzudringen. Die Notebooks saugen jetzt alles vom Server, das sie bekommen können. Das „hat Stunden gedauert“, erinnert sich der beteiligte Informatiker. Das BKA hat nun eine Kopie aller Nachrichten der jeweiligen Zielperson, soweit diese noch auf dem Server vorhanden sind, in einer eigenen Datenbank. Von jetzt an wird jede neue Nachricht, die die Zielperson erhält oder versendet, in deren Datenbank gespiegelt.
Fazit: Das Vorgehen ist „einem Rechtsstaat nicht würdig“
Chan-jo Jun hat sich die Rechtslage und wie sie auf den Telegram-Hack angewendet werden kann, genau angeschaut und kommt genauso wie Udo Vetter und Toralf Nöding in vergangenen Einschätzungen zu dem Fazit, dass das Verfahren illegal sei. Er erklärt, dass die Strafprozessordnung insgesamt das beschriebene Vorgehen nicht vorsieht und verweist auf das Rechtsstaatsprinzip: „Fehlt es an einer Eingriffsbefugnis, ist der Eingriff rechtswidrig“ und dürfe nicht geschehen. Trotzdem dürfte der BKA-Sonderweg für das Verfahren gegen die Führungsmitglieder der OSS folgenlos bleiben, vermutet der Jurist. Das deutsche Strafverfahrensrecht sehe nur in wenigen Ausnahmefällen vor, dass illegal beschaffte Beweismittel nicht verwertet werden dürfen.
Laut Jun könnte der Eingriff theoretisch aber Folgen für die beteiligten Ermittler haben: „Wer sich unbefugt Zugang zu Daten verschafft, die gegen unberechtigten Zugang gesichert sind, macht sich nach § 202a Strafgesetzbuch strafbar. Das gilt auch für Ermittlungsbeamte und deren anordnenden Vorgesetzte.“ Die Rechtsnorm stellt das Ausspähen von Daten unter Strafe. „Gut möglich, dass man am Ende einen übergesetzlichen Notstand annimmt, mit dem die Tat entschuldigt wäre.“ Rechtswidrig und „einem Rechtsstaat nicht würdig“ bleibe das Vorgehen trotzdem. „Hier muss der Gesetzgeber ran und bis dahin müssen die Ermittler von Straftaten Abstand nehmen“, schließt Jun.
Weder das BKA noch der Generalbundesanwalt wollten sich mit Verweis auf ein noch laufendes Gerichtsverfahren dazu äußern, warum sie das Verfahren dennoch für legal halten. Eine Sprecherin des Generalbundesanwalts erklärte lediglich, dass sich der Anklagevertreter Jörn Hausschild bereits im Prozess geäußert habe—über die Erklärungen in den Dokumenten aus dem Gericht, die wir unter diesem Artikel mit veröffentlichten, gingen die Einlassungen technisch allerdings nicht wesentlich hinaus. Im Münchner Gerichtssaal hat sich der Richter noch immer nicht dazu geäußert, wie er das Verfahren einschätzt. Mit einer Urteilsverkündung wird im neuen Jahr gerechnet—ob sie sich zu einer Bewertung der Telegram-TKÜ einlassen werden, ist nicht klar.
Inzwischen ist der umstrittene BKA-Hack auch im politischen Berlin angekommen. Die Linken-Abgeordnete Martina Renner, die bereits eine Kleine Anfrage zu dem Thema gestellt hat, erklärt gegenüber Motherboard, warum die rechtlichen Details dieses Falls keine Kleinigkeit sind: „Es beschädigt unsere Gesellschaft und das Vertrauen in den Rechtsstaat, wenn Ermittlungsbehörden ohne rechtliche Grundlage oder mit selbstgestrickten Befugnissen vorgehen.“