Bundestrojaner

Staatliche Spionagesoftware gefährdet IT-Sicherheit aller

Fotocredit: Karola Riegler cc by-sa

Seit den Enthüllungen von Edward Snowden haben die Anbieter von Internetdiensten auf die alltägliche Überwachung durch Unternehmen und Geheimdienste reagiert. Sie schützen die Kommunikation der Anwenderinnen und Anwender durch Verschlüsselungstechnologien. Polizeibehörden, Geheimdienste sowie Sicherheitspolitikerinnen und -politiker betonen tagein, tagaus, dass die Überwachung verschlüsselter Online-Kommunikation eine Notwendigkeit für die Verbrechensbekämpfung sei. Doch das ist technisch nicht so einfach möglich. Ihre Lösung lautet: Der Staat soll sich künftig in die Geräte der Betroffenen hacken dürfen und dort die Kommunikation abgreifen, noch bevor sie verschlüsselt bzw. nachdem sie entschlüsselt wird. Doch damit riskiert die Sicherheit der weltweiten IT-Infrastruktur und jedes einzelnen Smartphones, Tablets oder Computers. Kurz gesagt: Um die Chats weniger Verdächtiger überwachen zu können, wird die Sicherheit aller gefährdet. In Österreich gibt es mittlerweile schon den dritten Anlauf, eine gesetzliche Grundlage für den Bundestrojaner zu schaffen. Zwei Mal konnten diese Pläne schon abgewehrt werden. Nun sind sie wieder Teil des Überwachungspakets der Bundesregierung.

Update Ende April 2018: Am 20. April 2018 wurde die Legalisierung der staatlichen Spionagesoftwar entgegen der Warnungen von Fachleuten und der Opposition beschlossen. Der Bundestrojaner soll ab Der Bundestrojaner soll erst ab 1. April 2020 eingesetzt werden können.

Verschlüsselung funktioniert: Mathematik entzieht sich staatlicher Gewalt

Die Überwachung verschlüsselter Kommunikation stößt bei zeitgemäßen Verfahren schnell an mathematische Grenzen. Die Prinzipien kryptographischer Verfahren lassen sich weder von modernen Supercomputern noch durch eine gerichtliche Anordnung aushebeln. Sie sind eine wichtige Voraussetzung für unsere Informationsgesellschaft. Ohne funktionierende Verschlüsselung können wir den verwendeten Technologien nicht mehr vertrauen.

Was sie eigentlich wollen: Einen Bundestrojaner

Die einzige Möglichkeit, um verschlüsselte Kommunikation mitlesen zu können, ist sie vor der Ver- oder nach der Entschlüsselung am Gerät selbst auszulesen. Dazu muss man aber in die Endgeräte eindringen. Um die Spionagesoftware – also den Bundestrojaner – einschleusen zu können, müssen Sicherheitslücken in Computersystemen ausgenutzt werden.

Staatliche geförderte Sicherheitslücken

Wie jedes andere Computervirus muss auch der Bundestrojaner bestehende Sicherheitslücken in gängigen Betriebssystemen und Geräten vertwenden, um sie zu infizieren. Bestehende Sicherheitslücken zu nutzen heißt, der Staat muss am Schwarzmarkt Wissen darüber erwerben und dann bewusst vor den Herstellern geheim halten. Damit fließen Millionen Euro an Steuergeld in die Unsicherheit der Geräte, auf die wir uns jeden Tag verlassen. Sicherheitslücken durch Betreiber selbst einbauen zu lassen, wie dies der deutsche Innenminister fordert, heißt jedes Gerät, jede Anwendung mit einer erzwungen Schwachstelle auszustatten. Der Staat tut hier genau das Gegenteil von dem, was er eigentlich tun sollte: Er schafft selbst Gefahren für uns alle statt die Bevölkerung zu schützen. Es ist ein krasser Widerspruch Interessenkonflikt, wenn ein und dasselbe Ministerium uns vor Cyberkriminalität schützen (also Sicherheitslücken aufdecken und reparieren) will, gleichzeitig (teilweise sogar dieselben) Lücken für die eigene Spionagesoftware einkaufen und geheim halten muss. Das ist wie eine staatlich verordnete offene Tür, die dazu dienen soll, Einbrecher und Einbrecherinnen auf frischer Tat zu ertappen.

Sicherheitslücken gefährden uns alle

Es gibt keine „staatlichen“ Sicherheitslücken, es gibt nur Sicherheitslücken. Anders als Sicherheitslücken in Autos und Schlössern, die heute schon für die Polizei eingebaut werden, kann mit IT-Sicherheitslücken in Millionen von Systemen gleichzeitig eingebrochen werden. Solange eine Schwachstelle in einer Software existiert, kann diese von Kriminellen, Diktaturen, anderen Staaten oder konkurrierenden Firmen verwendet werden. Sobald das Wissen um eine Sicherheitslücke bekannt wird, dauert es nicht lange, bis Computerviren auftauchen, die damit Rechner in großem Stil infizieren. So ist es bei der Schadsoftware WannaCry passiert. Diese hat kritische digitale Infrastruktur in dutzenden Ländern lahmgelegt. Krankenhäuser im Großbritannien konnten die Gesundheitsakten vor kritischen Operationen nicht öffnen, der Bahnverkehr in Deutschland war betroffen und auch ein spanischer Mobilfunkkonzern hatte großflächige Ausfälle. Wir sind heutzutage in fast jedem Lebensbereich auf Computersysteme angewiesen. Wenn der Staat aktiv die Unsicherheit dieser Systeme forciert, dann wird dies zu einer Gefahr für uns alle!  

Tiefer Eingriff in Persönlichkeitsrechte

Die komplette Überwachung von Geräten ist die einzige Möglichkeit sicherzustellen, dass ein Bundestrojaner sich nicht durch einfache Maßnahmen (wie Gerät neu aufsetzen oder einen Chat-App wechseln) umgehen lässt. Einen Bundestrojaner, der ausschließlich auf die Online-Kommunikation oder nur gewisse Teile davon zugreift, kann es technisch gesehen nicht geben; es muss gezwungenermaßen immer das gesamte System infiziert und unterwandert werden. Deshalb ist ein Bundestrojaner nicht von einer Online-Durchsuchung – also einem Vollzugriff auf das Gerät. Das ist ein tiefer Eingriff in die Privatsphäre der Betroffenen: Sämtliche Daten, Bilder, Notizen, Kontakte, Standorte und selbst gelöschte Texte, die nie verschickt wurden, werden überwacht. Wie eine hochrangige Expertenkommission von Justiz- und Innenministerium 2008 festgestellt hat, ist eine Online-Überwachung theoretisch rechtlich zulässig, aber eine Online-Durchsuchung ist dies nicht. Siehe dazu den Bericht der Expertenkommission unter Leitung des Verfassungsjuristen Prof. Bernd-Christian Funk, die schon 2008 festgestellt hat, dass die "Online-Durchsuchung" von Computersystemen (Infiltration und Ausspähen informationstechnischer Systeme) und somit auch der Einsatz eines Bundestrojaners in Österreich illegal ist..

Keine gesicherten Beweise

Ein Vollzugriff auf das Gerät macht die gewonnen Informationen als Beweis wertlos. Der Zugriff durch einen Bundestrojaner besteht nicht nur auf versendete Nachrichten, sondern auf das gesamte Gerät. Damit können alle Informationen auf dem Gerät manipuliert werden, entweder durch den Bundestrojaner selbst oder Dritte, die dieselben Sicherheitslücken im Gerät ausnutzen. Gesicherte Beweisketten lassen sich unter solchen Bedingungen nicht abbilden. Auch ohne Manipulation ist ein Bundestrojaner problematisch bei Gerichtsverfahren, denn wenn Beschuldigte auch nur glaubhaft behaupten können, die Beweise wären manipuliert, muss der Staat den Gegenbeweis antreten – und das kann er bei gehackten Geräten nicht.

Bundestrojaner

(Klicken, um Grafik zu vergrößern)

Sinnvolle Alternativen

Deshalb ist es sinnvoller, verstärkt auf klassische forensische Methoden zurückzugreifen. Bei einem erhärteten Verdacht und einer richterlichen Genehmigung kann man anstelle eines Bundestrojaners auch gleich das Gerät sicherstellen und auswerten. Mit physischem Zugriff kann man auf die allermeisten verschlüsselten Daten zugreifen. Auch klassische Observation und andere Abhörmethoden gibt es heute schon, ohne in die Geräte von Zielpersonen einzudringen. Das sind billigere und für alle ungefährlichere Methoden, um bei konkretem Verdacht auf verschlüsselte Kommunikation zuzugreifen.

Widerstand gegen den Bundestrojaner

Wegen dieser guten Argumente und der kontinuierlichen Aufklärungsarbeit ist die Einführung eines Bundestrojaners bereits zwei Mal gescheitert. Nach dem ersten Anlauf und unserer Demontage eines Trojanischen Pferdes vor dem Justizministerium trat der damalige Justizminister Brandstetter vor die Kameras und zog den Entwurf aufgrund der massiven Kritik zurück, da er „in dieser Form nicht sinnvoll sei“. Den zweiten Anlauf im Rahmen des Überwachungspaket hat Innenminister Wolfgang Sobotka seinen Vorstoß im September 2017 zurückgezogen. Die Kampagne „Stoppt das Überwachungspaket!“ war vorerst erfolgreich.

Pläne der schwarz-blauen Regierung

Am Mittwoch, 21. Februar 2018 wurde im Ministerrat eine Neuauflage des Überwachungspakets beschlossen. Auch der Bundestrojaner ist wieder enthalten. Im Regierungsprogramm ist immer wieder von der Notwendigkeit der „Schließung digitaler Sicherheitslücken“ in informationstechnischen Systemen“ die Rede. Auch heißt es: „Entscheidend für eine gelungene und erfolgreiche Digitalisierung [ist u.a.] eine entsprechende digitale Sicherheit in allen Bereichen.“ Dieser offensichtliche Widerspruch wäre nur aufzulösen, wenn vom Vorhaben der Einführung eines Bundestrojaners endlich abgerückt wird.

Unsere Forderungen

  • Verbot von staatliche Spionagesoftware in Österreich
  • Verankerung der Integrität informationstechnischer Systeme in der Verfassung
  • Diplomatische Bemühungen zur internationalen Ächtung von Cyberwaffen
  • Cyberpeace statt Cyberwar. Stopp der militärischen Aufrüstung im Internet.
  • Evaluierung aller Anti-Terror-Maßnahmen auf ihre Verfassungskonformität, Zweckmäßigkeit und Wirksamkeit (Überwachungsgesamtrechnung gemäß HEAT, Handbuch zur Evaluation der Anti-Terror-Gesetze)