Seit den Enthüllungen von Edward Snowden haben die Anbieter von Internetdiensten auf die alltägliche Überwachung durch Unternehmen und Geheimdienste reagiert. Sie schützen die Kommunikation der Anwenderinnen und Anwender durch Verschlüsselungstechnologien. Polizeibehörden, Geheimdienste sowie Sicherheitspolitikerinnen und -politiker betonen tagein, tagaus, dass die Überwachung verschlüsselter Online-Kommunikation eine Notwendigkeit für die Verbrechensbekämpfung sei. Doch das ist technisch nicht so einfach möglich. Ihre Lösung lautet: Der Staat soll sich künftig in die Geräte der Betroffenen hacken dürfen und dort die Kommunikation abgreifen, noch bevor sie verschlüsselt bzw. nachdem sie entschlüsselt wird. Doch damit riskiert man die Sicherheit der weltweiten IT-Infrastruktur und jedes einzelnen Smartphones, Tablets oder Computers. Kurz gesagt: Um die Chats weniger Verdächtiger überwachen zu können, wird die Sicherheit aller gefährdet. In Österreich gibt es mittlerweile schon den dritten Anlauf, eine gesetzliche Grundlage für den Bundestrojaner zu schaffen. Zwei Mal konnten diese Pläne schon abgewehrt werden. Nun sind sie wieder Teil des Überwachungspakets der Bundesregierung.

Update Dezember 2019: Der Verfassungsgerichtshof hat entschieden, dass der Bundestrojaner verfassungswidrig ist und hat das Gesetz dazu aufgehoben.

Update Ende April 2018: Am 20. April 2018 wurde die Legalisierung der staatlichen Spionagesoftware beschlossen. Die Warnungen von Fachleuten und der Opposition hat man ignoriert. Der Bundestrojaner kann somit ab 1. April 2020 eingesetzt werden.

Verschlüsselung funktioniert: Mathematik entzieht sich staatlicher Gewalt

Die Überwachung verschlüsselter Kommunikation stößt bei zeitgemäßen Verfahren schnell an mathematische Grenzen. Die Prinzipien kryptographischer Verfahren lassen sich weder von modernen Supercomputern noch durch eine gerichtliche Anordnung aushebeln. Sie sind eine wichtige Voraussetzung für unsere Informationsgesellschaft. Ohne funktionierende Verschlüsselung können wir den verwendeten Technologien nicht mehr vertrauen.

Was sie eigentlich wollen: Einen Bundestrojaner

Die einzige Möglichkeit, um verschlüsselte Kommunikation mitlesen zu können, ist sie vor der Ver- oder nach der Entschlüsselung am Gerät selbst auszulesen. Dazu muss man aber in die Endgeräte eindringen. Um die Spionagesoftware – also den Bundestrojaner – einschleusen zu können, müssen Sicherheitslücken in Computersystemen ausgenutzt werden.

Staatliche geförderte Sicherheitslücken

Wie jedes andere Computervirus muss auch der Bundestrojaner bestehende Sicherheitslücken in gängigen Betriebssystemen und Geräten verwenden, um sie zu infizieren. Bestehende Sicherheitslücken zu nutzen heißt, der Staat muss am Schwarzmarkt Wissen darüber erwerben und dann bewusst vor den Herstellern geheim halten. Damit fließen Millionen Euro an Steuergeld in die Unsicherheit der Geräte, auf die wir uns jeden Tag verlassen. Sicherheitslücken durch Betreiber selbst einbauen zu lassen, wie dies der deutsche Innenminister fordert, heißt jedes Gerät, jede Anwendung mit einer erzwungen Schwachstelle auszustatten. Der Staat tut hier genau das Gegenteil von dem, was er eigentlich tun sollte: Er schafft selbst Gefahren für uns alle statt die Bevölkerung zu schützen. Es ist ein krasser Widerspruch, wenn ein und dasselbe Ministerium uns vor Cyberkriminalität schützen (also Sicherheitslücken aufdecken und reparieren) will, gleichzeitig (teilweise sogar dieselben) Lücken für die eigene Spionagesoftware einkaufen und geheim halten muss. Das ist wie eine staatlich verordnete offene Tür, die dazu dienen soll, Einbrecher und Einbrecherinnen auf frischer Tat zu ertappen

Sicherheitslücken gefährden uns alle

Es gibt keine „staatlichen“ Sicherheitslücken, es gibt nur Sicherheitslücken. Anders als Sicherheitslücken in Autos und Schlössern, die heute schon für die Polizei eingebaut werden, kann mit IT-Sicherheitslücken in Millionen von Systemen gleichzeitig eingebrochen werden. Solange eine Schwachstelle in einer Software existiert, kann diese von Kriminellen, Diktaturen, anderen Staaten oder konkurrierenden Firmen verwendet werden. Sobald das Wissen um eine Sicherheitslücke bekannt wird, dauert es nicht lange, bis Computerviren auftauchen, die damit Rechner in großem Stil infizieren. So ist es bei der Schadsoftware WannaCry passiert. Diese hat kritische digitale Infrastruktur in dutzenden Ländern lahmgelegt. Krankenhäuser im Großbritannien konnten die Gesundheitsakten vor kritischen Operationen nicht öffnen, der Bahnverkehr in Deutschland war betroffen und auch ein spanischer Mobilfunkkonzern hatte großflächige Ausfälle. Wir sind heutzutage in fast jedem Lebensbereich auf Computersysteme angewiesen. Wenn der Staat aktiv die Unsicherheit dieser Systeme forciert, dann wird dies zu einer Gefahr für uns alle!

Tiefer Eingriff in Persönlichkeitsrechte

Die komplette Überwachung von Geräten ist die einzige Möglichkeit sicherzustellen, dass ein Bundestrojaner sich nicht durch einfache Maßnahmen (wie Gerät neu aufsetzen oder einen Chat-App wechseln) umgehen lässt. Einen Bundestrojaner, der ausschließlich auf die Online-Kommunikation oder nur gewisse Teile davon zugreift, kann es technisch gesehen nicht geben; es muss gezwungenermaßen immer das gesamte System infiziert und unterwandert werden. Das ist ein tiefer Eingriff in die Privatsphäre der Betroffenen: Sämtliche Daten, Bilder, Notizen, Kontakte, Standorte und selbst gelöschte Texte, die nie verschickt wurden, werden überwacht. Wie eine hochrangige Expertenkommission von Justiz- und Innenministerium 2008 festgestellt hat, ist eine Online-Überwachung theoretisch rechtlich zulässig, aber eine Online-Durchsuchung ist dies nicht. Siehe dazu den Bericht der Expertenkommission unter Leitung des Verfassungsjuristen Prof. Bernd-Christian Funk, die schon 2008 festgestellt hat, dass die "Online-Durchsuchung" von Computersystemen (Infiltration und Ausspähen informationstechnischer Systeme) und somit auch der Einsatz eines Bundestrojaners in Österreich illegal ist..

Keine gesicherten Beweise

Ein Vollzugriff auf das Gerät macht die gewonnenen Informationen als Beweis wertlos. Der Zugriff durch einen Bundestrojaner besteht nicht nur auf versendete Nachrichten, sondern auf das gesamte Gerät. Damit können alle Informationen auf dem Gerät manipuliert werden, entweder durch den Bundestrojaner selbst oder Dritte, die dieselben Sicherheitslücken im Gerät ausnutzen. Gesicherte Beweisketten lassen sich unter solchen Bedingungen nicht abbilden. Auch ohne Manipulation ist ein Bundestrojaner problematisch bei Gerichtsverfahren, denn wenn Beschuldigte auch nur glaubhaft behaupten können, die Beweise wären manipuliert, muss der Staat den Gegenbeweis antreten – und das kann er bei gehackten Geräten nicht.

Sinnvolle Alternativen

Deshalb ist es sinnvoller, verstärkt auf klassische forensische Methoden zurückzugreifen. Bei einem erhärteten Verdacht und einer richterlichen Genehmigung kann man anstelle eines Bundestrojaners auch gleich das Gerät sicherstellen und auswerten. Mit physischem Zugriff kann man auf die allermeisten verschlüsselten Daten zugreifen. Auch klassische Observation und andere Abhörmethoden gibt es heute schon, ohne in die Geräte von Zielpersonen einzudringen. Das sind billigere und für alle ungefährlichere Methoden, um bei konkretem Verdacht auf verschlüsselte Kommunikation zuzugreifen.

Widerstand gegen den Bundestrojaner

Wegen dieser guten Argumente und der kontinuierlichen Aufklärungsarbeit ist die Einführung eines Bundestrojaners bereits zwei Mal gescheitert. Nach dem ersten Anlauf und unserer Demontage eines Trojanischen Pferdes vor dem Justizministerium trat der damalige Justizminister Brandstetter vor die Kameras und zog den Entwurf aufgrund der massiven Kritik zurück, da er „in dieser Form nicht sinnvoll sei“. Den zweiten Anlauf im Rahmen des Überwachungspaket hat Innenminister Wolfgang Sobotka seinen Vorstoß im September 2017 zurückgezogen. Die Kampagne „Stoppt das Überwachungspaket!“ war vorerst erfolgreich.

Schwarz-blaue Widersprüche

Im Koalitionsabkommen der aktuellen Regierung ist immer wieder von der Notwendigkeit der "Schließung digitaler Sicherheitslücken" in "informationstechnischen Systemen“ die Rede. Auch heißt es: "Entscheidend für eine gelungene und erfolgreiche Digitalisierung [ist u.a.] eine entsprechende digitale Sicherheit in allen Bereichen." Dieser offensichtliche Widerspruch ist nur aufzulösen, wenn kein Bundestrojaner eingeführt wird.

Unsere Forderungen

  • Verbot von staatliche Spionagesoftware in Österreich
  • Verankerung der Integrität informationstechnischer Systeme in der Verfassung
  • Diplomatische Bemühungen zur internationalen Ächtung von Cyberwaffen
  • Cyberpeace statt Cyberwar. Stopp der militärischen Aufrüstung im Internet.
  • Evaluierung aller Anti-Terror-Maßnahmen auf ihre Verfassungskonformität, Zweckmäßigkeit und Wirksamkeit (Überwachungsgesamtrechnung gemäß HEAT, Handbuch zur Evaluation der Anti-Terror-Gesetze)

Update 11. Dezember 2019:

Der österreichische Verfassunsgerichtshof hat den Bundestrojaner (und auch die KFZ-Überwachung des Überwachungspakets) für unverhältnismäßig und somit verfassungswidrig erklärt. Mehr Details folgen in Kürze. 

Dokumente

The European Parliament is just about to vote on the draft report of the European Media Freedom Act. With this vote it has the unique opportunity to protect public access to independent, trustworthy reporting. To do so it must ban the use of spyware against journalists without exceptions. In this…

Mandatory disclosure of unmitigated vulnerabilities undermines the security of digital products and the individuals who use them. Sadly, this is in the proposal of the EU Cyber Resilience Act. Together with 10 digital rights NGOs we highlight the problem with this open letter.

 

The European Cyber Resilience Act has the potential to strengthen cybersecurity rules and to ensure more secure hardware and software products. To do so, however, the EU co-legislators have to effectively address the serious shortcomings of the EU Commission’s proposal.

 

Position paper by EDRi,…

These are the oral statements provided by Policy Advisor Tanja Fachathaler on behalf of Eticas Foundation in the plenary (and in informal groups) of the UN during the 4th session of the Ad Hoc Committee on the new Cybercrime Convention.

 

11.01.2023: Plenary statement on the procedural and law…

Am 28.07.2022 haben wir bei der Staatsanwaltschaft Wien Anzeige gegen eine wiener Firma erstattet, die laut Medienberichten und Analysen von Microsoft illegale Angriffssoftware im In- und Ausland zum Einsatz brachte.

 

Alle Artikel zum Thema

Spionagesoftware und staatliches Hacken richten weltweit großen Schaden an. Trotzdem ist es um den Fall des Wiener Unternehmens DSIRF still geworden. Wir geben einen Überblick.

Das war 2023 in der Netzpolitik: Wir blicken zurück auf ein ereignisreiches Jahr.

Staatliches Hacken ist in Österreich verfassungswidrig. Innenminister und Staatsschutz fordern trotzdem Zugriff auf vertrauliche Kommunikation.

Die EU-Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern im Internet (auch bekannt als „Chatkontrolle“) ist mitten in den Endverhandlungen angekommen. Das EU-Parlament könnte schon sehr bald über den Entwurf abstimmen. Wir freuen uns daher umso mehr, dass wir als Stimme…

Die rasante Geschwindigkeit, mit der digitale Technologien immer mehr vernetzt werden und in alle Lebensbereiche vordringen, erfordert auch eine ständige Anpassung der gesetzlichen Regulierungen. Auch vor dem Bereich der Kriminalitätsbekämpfung macht diese Entwicklung nicht halt. Trotz bereits…