English

Calendar

Österreich: Stellungnahme zum Staatstrojaner

2016-05-13 00:04:00, 46halbe

Auch in Österreich plant der Gesetzgeber die Infiltration von Computern mit Überwachungssoftware. Der Chaos Computer Club Wien (C3W) hat in Zusammenarbeit mit dem Chaos Computer Club e. V. (CCC) dazu eine ausführliche Stellungnahme an das österreichische Justizministerium abgegeben, die wir hiermit zur Verfügung stellen.

Mit dem „Entwurf des Bundesministeriums für Justiz eines Bundesgesetzes, mit dem die Strafprozessordnung 1975 und das Staatsanwaltschaftsgesetz geändert werden sollen (192/ME XXV. GP)“, soll in Österreich der Rechtsrahmen für einen Staatstrojaner geschaffen werden.

Im Vorschlag des Ministerialentwurfs finden sich unzulässige Grundrechtseingriffe und ein weder technisch noch legalistisch ausreichend bestimmtes Vorhaben. Eine Wirkungsfolgenabschätzung, die über einen Kostenschätzung hinausgeht, fehlt.

Wir lehnen diesen Gesetzesvorschlag ab.

Rechtsfiktion

Der Ministerialentwurf behauptet, der Trojaner würde sich auf Kommunikationsüberwachung beschränken und damit eine wesentlich geringere Eingriffstiefe als eine „Online-Durchsuchung“ bewirken. Dies ist reine Rechtsfiktion. Selbst wenn die Darstellung im juristischen Elfenbeinturm zulässig wäre, ist sie technisch mit den Vorgaben des Entwurfs nicht umsetzbar.

Zur Kommunikationsüberwachung müßte die beamtete Schadsoftware so vielfältig sein wie die mögliche Anzahl der Übertragungsprogramme: E-Mail, Instant Messenger, eine Vielzahl von Internet-Browsern etc. Selbst Anwendungen für Fernwartung müßten einbezogen sein. So vielfältig wie die Anwendungen zur Kommunikation, so groß ist die Fehleranfälligkeit einer entsprechenden Schadsoftware.

Technische Restriktionen

Computer sind komplexe Systeme, deren Infiltration ausnutzbare Sicherheitslücken für das Einbringen von Überwachungssoftware voraussetzt. Das stellt einen schwerwiegenden Eingriff dar. Daten, die von einem solcherart infiltrierten System ausgehen, können von Dritten wie auch von übereifrigen Behörden ge- oder verfälscht werden und sind dementsprechend von zweifelhafter Beweiswürdigkeit. Das Einbringen behördlicher Schadsoftware selbst beweist, daß das überwachte Gerät ungenügend gegen Zugriffe Dritter geschützt war.

Wie kann Schadsoftware in ein Computersystem eingebracht werden?

In der Erläuterung und in Presseauftritten wurde behauptet, der Gesetzesentwurf sehe die Einbringung der Schadsoftware ausschließlich durch Installation vor Ort vor. Im vorgeschlagenen Gesetzestext fehlt diese Einschränkung. Tatsächlich kann die Schadsoftware ebenfalls unerkannt vom Besitzer des Gerätes über den entfernten Zugriff durch Sicherheitslücken aufgespielt werden. Dies wird vom Gesetzesentwurf – anders als behauptet – explizit nicht ausgeschlossen.

Telekommunikationsüberwachung – Trojaner – Spionagewerkzeug – Schadsoftware

Technisch besteht zwischen einer im Gesetzesvorschlag behaupteten „Quellen-TKÜ“ (Quellen-Telekommunikationsüberwachung) und einer sogenannten „Online-Durchsuchung“ in Computersystemen kein Unterschied. Beide sind informationstechnisch als Schadprogramme klassifizierte Spionagewerkzeuge, die beispielsweise eine Kommunikation vor einer möglichen Verschlüsselung abgreifen.

Eine „Quellen-TKÜ“ darf erst bei tatsächlicher Nachrichtenübermittlung durch den Benutzer eingesetzt werden. Da vorgesehen ist, Nachrichten vor ihrer möglichen Verschlüsselung abzufangen, ist der Telekomminukationsüberwachungs-Trojaner damit einer „Online-Durchsuchung“ gleichzusetzen.

Abgrenzung von Kommunikation gegenüber anderen Daten

Ein Entwurf einer E-Mail oder eines Beitrags in einem Web-Forum kann jederzeit vor dem Absenden abgelegt, verändert oder gelöscht werden, ohne daß eine Überwachungssoftware dies zuverlässig registrieren könnte. Damit führt die „Quellen-TKÜ“ unausweichlich zu einer Überwachung von Notizen und festgehaltenen Gedanken, da nicht vorhergesagt werden kann, ob diese jemals zu Kommunikation werden.

Qualitätsanspruch bei der Gesetzwerdung

Die grundlegenden Ansprüche an ein qualitatives legalistisches Verfahren – eine klare Problembeschreibung, eine klare Zieldefinition, Kriterien zur Erfolgsmessung und eine über die Kosten hinausgehende Folgenabschätzung, Plausibilität der Angaben zur Wesentlichkeit hinsichtlich der Abschätzung der Auswirkungen innerhalb der Wirkungsdimensionen – sind ebenso wenig erkennbar wie eine zwingend notwendige Eingrenzung auf informationstechnische Systeme, die nicht sicherheitsrelevant sind und keine Gefahr für Leib oder Leben (etwa Kraftfahrzeuge, Gesundheitssysteme) darstellen können.

Fazit

Wir halten den Gesetzesvorschlag für unausgereift und technisch undurchdacht. Denn Kommunikationsüberwachung durch Schadsoftware bringt eine Vielzahl gravierender sicherheitsrelevanter, beweistechnischer und rechtlicher Probleme mit sich.

Aufgrund technischer Einschränkungen ist eine alleinige Überwachung von Kommunikation durch eingebrachte Schadsoftware unrealistisch. Vielmehr führt diese dazu, daß das überwachte System kompromittiert und gefährdet ist. Wir sehen darin einen tiefgreifenden Grundrechtsbruch.

Links: