Bundestrojaner

Die Demontage staatlicher Spionagesoftware

Fotocredit: Karola Riegler cc by-sa

Der Zeitraum zwischen Terroranschlägen und der Präsentation unausgereifter Ideen für neue Überwachungsbefugnisse, die unsere Freiheit einschränken, wird immer kürzer. Im Fall des Bundestrojaners sind nach den schrecklichen Anschlägen von Brüssel im März 2016 nur neun Tage vergangen, bis das österreichische Justizministerium die Pläne für die Einführung staatlicher Spionagesoftware aus der Schublade holte. 
 
Offensichtlich hat man es sehr eilig damit gehabt. Neben vielen Punkten, die wir aus grundrechtlicher ebenso wie aus technischer Perspektive in unserer Stellungnahme kritisierten, fand sich in den Erläuterungen des Gesetzes auch eine Zeitungsente. In dem offiziellen Gesetzestext findet sich ein Hinweis darauf, dass die Anschläge von Paris über Spielekonsolen geplant worden wären. Diese Information war zum Zeitpunkt der Veröffentlichung des Gesetzes längst als Zeitungsente enttarnte Falschmeldung bekannt. Daran zeigt sich, dass der Text unmittelbar nach den Pariser Attentaten verfasst und anscheinend unverändert aus der Schublade gezogen wurde, als man nach der Tragödie von Brüssel die Zeit für gekommen hielt. 

Bundestrojaner bringt mehr Probleme als er lösen könnte

In unserer umfangreichen Stellungnahme konnten wir schwerwiegende Probleme entlang des gesamten Lebenszyklus derartiger Spionagesoftware aufzeigen, die dann von zahlreichen anderen Organisationen aufgegriffen und in ihren Kommentaren und Analysen weiter ausgeführt wurden. So war die Analyse des AKVorrat zwar der erste, bei weitem aber nicht die letzte im Begutachtungsverfahren geäußerte Kritik am Gesetzesentwurf, eine lange Liste erhobener Einwände sollte folgen. 

Diese argumentative Demontage haben wir live vor dem Justizministerium in Szene gesetzt. Damit waren wir vorerst einmal erfolgreich: Noch während unsere Aktion vor dem Justizministerium lief, ging Justizminister Brandstetter vor die Kameras und zog den Entwurf aufgrund der massiven Kritik zurück, da er "in dieser Form nicht sinnvoll sei".

UNSERE HAUPTKRITIKPUNKTE

  • Schwerer Eingriff in Grundrechte. Das Überwachung von nicht versendeten Entwürfen von Nachrichten ist ein Schritt in Richtung Gedankenpolizei
  • Gelindere Mittel sind meist ausreichend (Legal Intercept, Hausdurchsuchung, Beschlagnahme von Rechnern…)
  • Grundrechtliches Determinierungsgebot nicht beachtet (Vorhersehbarkeit behördlichen Handelns ist nicht gegeben)
  • Mit dem Bundestrojaner ist die Grundlage für George Orwells Dystopie einer Gedankenpolizei geschaffen. Auch Entwürfe nicht abgeschickter Nachrichten und Postings können gelesen werden. Die Behörden haben damit Zugriff auf Gedanken, die teils niemals geäußert wurden.

TECHNISCHE BEDENKEN

  • Online-Überwachung ohne Onlinedurchsuchung kaum möglich: Obwohl im Gesetzesvorschlag die Rede davon ist, dass der Bundestrojaner nur für die Überwachung von Nachrichten gedacht ist, die im „Wege eines Computersystems übermittelt werden“, lässt sich diese nicht ohne einer Onlinedurchsuchung durchführen (für Adressbücher ist sie explizit erlaubt). Bereits 2008 hat eine interministerielle Arbeitsgruppe festgestellt, dass eine Onlinedurchsuchung nicht mit unserer Verfassung vereinbar ist.
  • Um Inhalte vor einer etwaigen Verschlüsselung abzufangen, muss entweder sehr nahe an der Eingabe angesetzt werden, was etwa mithilfe von Keylogger-Verfahren (Aufzeichnung der Tastaturanschläge) möglich ist. Oder es müssen auf die dem Rechner vorhandenen geheimen Schlüssel ausgelesen werden, was wiederum eine Onlinedurchsuchung bedingen würde.
  • Obwohl von Ministeriumsseite die Remote-Installation der Software zwar ausgeschlossen wurde steht der eigentliche Gesetzestext und die Erläuterungen dazu im widerspruch. 
  • Die geeignete Protokollierung für die gerichtliche Verwertbarkeit von Beweisen ist unzureichend geregelt. Jeder Computer wird durch seine Infektion und Manipulation durch Dritte als Beweismaterial unbrauchbar.

ALLGEMEINE SICHERHEITSBEDENKEN

  • Die IT-Sicherheit für alle Nutzer wird durch staatliche Spionagesoftware geschwächt. Um einen Bundestrojaner zu betreiben, muss der Staat bekannte Sicherheitslücken von IT-Systemen nutzen. Er bekommt also ein Interesse daran Sicherheitslücken ungeschützt zu lassen und nicht dazu beizutragen, sie zu schließen. Ein klarer Widerspruch zur Aufgabe des Staates, seine Bürger*innen nicht zuletzt auch vor Internetkriminalität zu schützen. Das ist nicht nur ein Paradigmenwechsel, sondern auch eine Umkehr des Verständnisses staatlicher Aufgaben die Bürger zu schützen.
  • Das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT) ist gleichzeitig für den Betrieb einer „Unsicherheitssoftware“, als auch für die Sicherheit im Internet zuständig (Umsetzung der EU-Richtlinie zur Netz- und Informationssicherheit, NIS-Richtlinie)

UNSERE FORDERUNGEN

  • Es gibt keinen Spielraum für den Einsatz einer staatlichen Spionagesoftware in Österreich.
  • Eine Debatte über die notwendige Sicherheitsdoktrin für den Einsatz von offensiven Cyber-Angriffen, ähnlich der internationalen Abkommen zu chemischen, biologischen und nuklearen Waffengattungen.