Mit 355 gegen 280 Stimmen hat der Bundestag am 10. Juni den Einsatz des Staatstrojaners durch Bundespolizei und alle Inlandsgeheimdienste freigegeben. War es seit 2017 deutschen Polizeiermittlern bereits erlaubt, Computer und Smartphones von Personen, die einer Straftat verdächtig waren, zu hacken und sämtliche Daten der laufenden Kommunikation und gespeicherte Daten auszulesen, erweitert das Gesetz nun die Einsatzmöglichkeiten auf den präventiven Bereich.
Die Gesetzesbegründung versucht zu suggerieren, das Gesetz sei eine Reaktion „auf die aktuellen Ereignisse im Bereich des Rechtsterrorismus“, in der Parlamentsdebatte hoben die Vertreter der Großen Koalition hervor, eine „Anpassung an die technischen Verhältnisse“ sei überfällig, der Verfassungsschutz als „Frühwarnsystem“ müsse auf die Höhe der Zeit kommen. Im Gesetzestext selbst ist allerdings von der Zielgruppe „Rechtsextremismus“ nichts mehr zu lesen, da geht es entsprechend Paragraf 3 Absatz 1 Verfassungsschutzgesetz (VS-Gesetz) um sämtliche „Bestrebungen, die gegen die freiheitlich-demokratische Grundordnung, den Bestand oder die Sicherheit des Bundes oder eines Landes gerichtet“ sind. Der großflächige Einsatz von Staatstrojanern und Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) ist für die Zukunft demnach gewährleistet.
Technisch setzen die Überwachungsmaßnahmen am Endgerät (Computer, Smartphone) an, indem sie Sprach- und Textnachrichten vor ihrer Verschlüssung oder nach ihrer Entschlüsselung abgreifen und auf direktem Weg an die Datensammelstellen der Dienste weiterleiten. Bisher scheiterte das Online-Mitlesen der Kommunikation über Messengerdienste wie WhatsApp, Signal oder Telegram an der Verschlüsselung. Das vom Nutzer unbemerkte Absaugen von Kommunikationen und Daten jedweder Art wird durch das Aufspielen einer Überwachungssoftware ermöglicht, die in der Lage ist, sämtliche Aktivitäten des Users eins zu eins zu spiegeln und aufzuzeichnen. So sorgt ein „Key-Logger“ dafür, Tastaturanschläge in ihrer zeitlichen Reihenfolge aufzuzeichnen und damit jedes Passwort transparent werden zu lassen. Daneben kann der Trojaner die Gesamtheit der sich auf PC oder Smartphone befindlichen Daten durchsuchen und gefundene Dateien online auf den Datensammelservern der Dienste ablegen.
Damit die Trojaner-Software unbemerkt in das Betriebssystem des jeweiligen Endgerätes gelangen kann, werden die Internetprovider herangezogen. Bei einem vom User durchgeführten System-Update, dem Herunterladen neuer Software, dem Empfang von E-Mails und so weiter schmuggelt sich die Trojaner-Software in den Download und kann sich so im Ziel-Betriebssystem installieren. Dabei macht sich der Trojaner Sicherheitslücken zunutzen, wird also vom System nicht als „Fremdkörper“ erkannt.
Durch das verabschiedete „Gesetz zur Anpassung des Verfassungsschutzrechts“ wird die präventive Vollzeitüberwachung von Einzelpersonen und Organisationen möglich. Die Trennung der Datenerhebung durch die Geheimdienste ist ebenfalls aufgehoben worden. Im neuen Paragraf 3 des Gesetzes über den Militärischen Abschirmdienst (MAD-G) ist der Austausch von Daten unter den Diensten für „alle Angelegenheiten, deren Kenntnis für die Erfüllung ihrer Aufgaben erforderlich“ sind, zur Pflicht erhoben. Das neue Gesetz eröffnet den Datensammlern im Bereich des Vorfelds „verfassungsfeindlicher Bestrebungen“ ein schrankenloses Operationsfeld. Selbst das rechtsstaatliche Feigenblatt einer richterlichen Genehmigung fehlt: Nach Abschluss der Maßnahme muss der Adressat zwar über den Einsatz informiert werden, er darf sich dann aber selbst um die rechtliche Überprüfung kümmern. Angesichts der bereits im Gesetz eröffneten ausufernd niedrigen Eingriffsschwelle dürfte er dabei wenig Chancen haben.