Wir haben den Entwurf des Innenministeriums vorab bekommen und für euch analysiert:

Der Staat wird zum Hacker

Nach einem der größten Spionageskandale in Österreich um Egisto Ott, werden die Rufe nach der Überwachung von verschlüsselten Nachrichten immer lauter. Es stimmt uns besorgt, wenn auf den Missbrauch von Überwachungsbefugnissen durch das Innenministerium mit der Ausweitung von Überwachungsbefugnissen reagiert wird. Dies ist der vierte Anlauf der ÖVP, einen Bundestrojaner einzuführen. Erstmals hat Justizminister Brandstetter ein solches Gesetz 2016 nach enormer Kritik im Begutachtungsverfahren zurückgenommen. 2017 scheiterte der zweite Anlauf als Teil eines Überwachungspakets im Parlament. Unter Innenminister Kickl wurde 2018 der Bundestrojaner beschlossen und 2019 durch den Verfassungsgerichtshof aufgehoben.

Bewusste Gefährdung

Trotz der offensichtlichen grundrechtlichen Mängel fordert das türkise Innenministerium im heute zirkulierenden Gesetzesentwurf wieder faktisch einen Bundestrojaner. Dass der Staat damit in die Unsicherheit unseres gesamten IT-Systems investieren würde, scheint die ÖVP nicht zu stören.

Die Gefahr eines Bundestrojaners ist in erster Linie gar nicht Massenüberwachung, sondern die massenhafte Gefährdung der Sicherheit von allen Smartphones. Für einen Bundestrojaner muss der Staat Steuergeld für Sicherheitslücken ausgeben. Für die wird oft im Abomodell bei speziellen Spywareunternehmen gezahlt, damit sie von den Herstellern nicht geschlossen werden. Hier wird die absurde Interessensumkehr klar: Der Staat sollte eigentlich für die Sicherheit der Bevölkerung verantwortlich sein und hat auch positive Schutzpflichten nach dem Fernmeldegeheimnis, die individuelle Kommunikation vor Gefahren zu schützen.

Will der Staat Bundestrojaner einsetzen, wird dies aber nur möglich sein, wenn bestimmte Schwachstellen in Computersystemen bewusst nicht behoben und für das Einschleusen der Schadsoftware ausgenutzt werden. Laut dem vorliegenden Entwurf kommt auch die besonders gefährliche Klasse an Sicherheitslücken zum Einsatz, durch die ein Gerät sogar aus der Ferne übernommen werden kann. Das Wissen um solche Sicherheitslücken gehört nicht einem Staat, sondern kann auch von Kriminellen gefunden und für Angriffszwecke eingesetzt werden. Je länger eine Sicherheitslücke offen bleibt, umso größer ist die Gefahr für die Bevölkerung. Der einzige richtige Weg wäre, es sofort den Herstellern zu melden, damit die Lücke geschlossen werden kann.

Komplettzugriff & unbrauchbare Beweise

Auch um Überwachungssoftware für Messenger einzuschleusen, muss das gesamte Gerät gehackt werden. Sämtliche Daten wie Fotos, Dokumente, Standorte und auch niemals abgeschickte Nachrichtenentwürfe könnten dadurch ausgelesen und manipuliert werden – durch den Trojaner selbst und alle Dritten, die über die Sicherheitslücke im Telefon Bescheid wissen. Das birgt ein extrem hohes Missbrauchspotenzial.

Durch das notwendige Hacken des gesamten Geräts durch den Bundestrojaner werden außerdem Beweise auf dem Zielgerät sehr wahrscheinlich unbrauchbar. Der Bundestrojaner führt zu erheblichen Zweifeln an der Qualität und Authentizität der gewonnenen Beweise. Dies wiederum kann Auswirkungen auf die Frage haben, ob das Verfahren insgesamt fair war, konkret, ob die näheren Umstände, unter denen das Beweismittel erlangt wurde, Zweifel an seiner Zuverlässigkeit oder Richtigkeit aufkommen lassen.

Selbst mit einem Bundestrojaner gibt es viel Kommunikation, die den österreichischen Behörden verwehrt bleiben würde. Menschen mit genügend krimineller Energie könnten immer noch mit bestimmten Betriebssystemen wie GrapheneOS und speziell gehärteten Crypto-Telefonen unbemerkt kommunizieren und sich somit der Überwachung durch einen Bundestrojaner entziehen.

Vermutlich wieder verfassungswidrig

Der österreichische Verfassungsgerichtshof hat schon 2019 die enorme grundrechtliche Eingriffstiefe eines Bundestrojaners klar festgestellt, die weit über die bisher zur Verfügung stehenden Überwachungsmittel hinausgeht. Das Höchstgericht hat dementsprechend besonders hohen Rechtsschutz gefordert.

Selbst das 2019 vom VfGH aufgehobene Gesetz hat bereits alle im Rahmen des bisherigen Rechtsschutzsystems zur Verfügung stehenden Rechtsschutzmechanismen vorgesehen: Auch damals war eine gerichtliche Bewilligung und die Einbindung eines Rechtsschutzbeauftragten vorgesehen. Trotzdem hat der VfGH die Rechtsschutzmechanismen als unzureichend erachtet. Nach Ansicht des VfGH bedarf es nämlich „einer begleitenden, effektiven – mit entsprechenden technischen Mitteln und personellen Ressourcen ausgestatteten – Kontrolle der laufenden Umsetzung dieser Maßnahme durch das Gericht (oder durch eine mit gleichwertigen Unabhängigkeitsgarantien ausgestattete Stelle)“.

Im uns vorliegenden Entwurf sehen wir lediglich Lippenbekenntnisse für die vom VfGH geforderte Verbesserung des Rechtsschutzes. Eine tatsächliche Umsetzung samt der notwendigen technischen und personellen Ressourcen ist für uns nicht ableitbar.

Weiters kritisierte der VfGH damals schon den viel zu weiten Anwendungsbereich der des Bundestrojaners, der auch auf nicht bei hinreichend schweren Straftaten ausgeweitet war. Der damalige Entwurf war hier sogar strenger als der aktuelle Vorschlag. Er war zumindest auf konkrete (strafrechtlich relevante) Verdachtsmomente beschränkt und nicht wie der jetzige Entwurf auf die abstrakte Gefahrenerforschung.

Menschenrechtsverletzungen durch (Hersteller von) Spionagesoftware

Die rechtlichen Anforderungen an einen Bundestrojaner müssen auch nicht den Anforderungen von 2019 genügen, sondern denen von 2024. Seit dem Pegasus-Skandal ist der Bundestrojaner als Gefahrentechnologie noch viel mehr ins Bewusstsein der Bevölkerung gerückt. Der Europäische Gerichtshof für Menschenrechte hat im Fall Podchasov v. Russia auch klar gesagt, dass Verschlüsselung einzuschränken als drastischer Eingriff in das Grundrecht auf Privatsphäre abzulehnen ist.

Auch die Hersteller der Spionagesoftware selbst, müssen Verantwortung für die daraus resultierenden Menschenrechtsverletzungen übernehmen. Der Handel von solchen hochgradig invasiven Überwachungsprodukten unterliegt nämlich weder einer Aufsicht noch einer Rechenschaftspflicht. Die Hersteller bewegen sich im Verborgenen und das in einem nahezu industriellen Ausmaß wie eine Untersuchung von European Investigative Collaborations und Amnesty International zeigt. In einem so heiklen Bereich, in dem es um massive Menschenrechtsverletzungen geht, braucht es Transparenz und eine strenge Regulierung auf EU-Ebene. Sonst geraten diese höchst gefährlichen Überwachungsprodukte weiterhin in die falschen Hände und werden von Autokraten oder anderen Kriminellen dieser Welt missbraucht. Mit der Einführung eines Bundestrojaners würde Österreich genau diese hochgradig problematische digitale Waffenindustrie noch weiter mit Steuergeld unterstützen.

epicenter.works bekam den Entwurf zur Analyse zugespielt, kann diesen jedoch wegen Verschwiegenheit nicht teilen. Im Sinne einer demokratischen Debatte hoffen wir, dass der Entwurf bald von den Verantwortlichen veröffentlicht (oder jemandem geleakt) wird.