Staatstrojaner: Überwachung umfangreicher als gedacht
Eine neue Maßnahme für Ermittler zur Überwachung verschlüsselter WhatsApp- oder Skype-Nachrichten soll in einer Adaption zur Strafprozessordnung eingeführt werden. SPÖ und ÖVP haben sich darauf geeinigt, dass dieser Gesetzesentwurf am Montag in Begutachtung geschickt wird – bis zum 21. August haben Initiativen nun Zeit, dazu Stellung zu beziehen.
Bereits im vergangenen Jahr gab es ein ähnliches Gesetzesvorhaben zur Einführung eines Staatstrojaners. Damals gab es insgesamt mehr als 40 Stellungnahmen von Experten, die massive Kritik geäußert hatten. Jetzt liegt der neue Gesetzesentwurf der Öffentlichkeit vor – und dieser unterscheidet sich im Wortlaut in diesem Punkt der Online-Überwachung nur minimal von dem Entwurf im letzten Jahr - obwohl der Staatstrojaner dieses Mal gar nicht so genannt werden darf. Das Wort Staats- oder Bundestrojaner will man nicht in den Mund nehmen.
Nachrichten-Definition
Bei einigen Punkten hatten die Experten im vergangenen Jahr um „Präzision“ gebeten, etwa bei der Definition des Begriffs „Nachricht“. Dies hat das Ministerium nun in den Erläuterungen zum Gesetzestext klargestellt: Daraus geht hervor, dass mit Nachrichten nicht nur Chats gemeint sind, sondern die Überwachung des gesamten Internet-Verkehrs. So ist etwa die Rede von: "Inhalte von Homepages, Beiträge in Newsgroups, Informationen über Bestellvorgänge, Aufrufstatistiken von Webseiten". "Klarstellend ist auszuführen, dass Nachrichten weder einen menschlichen Denkvorgang voraussetzen noch durch eine menschliche Tätigkeit übertragen werden müssen und auch beim Senden und Empfangen von Datenstreams Nachrichten ausgetauscht werden“, wie aus den Erläuterungen hervorgeht.
Laut der neuen Definition fallen auch „Inhalte von Homepages, Beiträge in Newsgroups, Informationen über Bestellvorgänge, Aufrufstatistiken von Webseiten" unter den Begriff "Nachrichten". All das kann „in Echtzeit“ ausgelesen werden. Die Software kann auch aus der Ferne (per Remote-Zugriff) installiert werden. „Nachdem diese installierte Software nicht sagen wird, dass sie ein Überwachungsprogramm ist, kann man sie durchaus als Staatstrojaner bezeichnen“, sagt Edgar Weippl vom Forschungszentrum SRA Research in einer ersten Stellungnahme gegenüber der futurezone dazu.
Fernsteuerung
„Um per Fernzugriff auf das Gerät zugreifen zu können, muss eine technische Sicherheitsschwachstelle ausgenutzt werden. Behörden sollten derartige Schwachstellen aber melden, anstatt diese auszunutzen. Dadurch werden nämlich neue Schwachstellen kreiert und man macht alles unsicherer. Für alle und nicht nur für die Person, die überwacht wird“, so die Kritik. „Die Software, die installiert wird, kann weitere Schwachstellen haben und neue Angriffe ermöglichen.“
Die Nachrichten-Kommunikation soll laut Angaben des Justizministeriums damit „abgefangen“ werden, bevor sie verschlüsselt, oder nachdem sie wieder entschlüsselt wurde. Christoph Tschohl, Obmann von epicenter.works, ortet bei dem neuen Gesetzesentwurf daher einen „Etikettenschwindel“ und keinen wirklichen Unterschied zu dem, was im Vorjahr von IT-Experten kritisiert wurde. „Um zu sehen, was kommuniziert wurde, muss man sich jedes File einzeln anschauen", kritisiert Tschohl. Das bedeutet, dass der Umfang der Überwachung sich nicht wesentlich von dem einer Online-Überwachung, wie sie in Deutschland beschlossen wurde, unterscheidet.
"Gefährdung von IT-Systemen"
Auch der Verband der Internet Service Provider Austria (ISPA) kritisiert den neuen Gesetzesentwurf: „Die ISPA lehnt jede gesetzliche Regelung, die starke Verschlüsselung in Frage stellt, strikt ab. Der vorliegende Vorschlag einer Ermittlungsmaßnahme zur Überwachung verschlüsselter Nachrichten stellt eine unverhältnismäßige Gefährdung der Integrität informationstechnischer Systeme dar. Eine derartige Verpflichtung würde dazu führen, dass Unternehmen dazu gezwungen werden könnten, die Sicherheit ihrer eigenen Produkte für den Zugriff durch Rechtsdurchsetzungsbehörden künstlich zu schwächen oder die Beseitigung von bereits gefundenen Schwachstellen zu unterlassen. Das Risiko welches durch diese Maßnahmen geschaffen wird überwiegt somit deren potentiellen Nutzen bei weitem, indem es die Sicherheit von Unternehmen, öffentlichen Stellen, sowie der Bürger gefährdet.“ Die ISPA weist zudem darauf hin, dass auch die EU-Kommission derartige Maßnahmen ablehne.
Befristung
Da die Ermittlungsmaßnahme der Überwachung verschlüsselter Nachrichten vorläufig nur befristet bis 31. Juli 2024 eingeführt wird, stehen die langfristigen finanziellen Auswirkungen in starker Abhängigkeit von der geplanten Evaluierung der Maßnahme. In dem neuen Gesetzesentwurf gibt es neben der Überwachung der verschlüsselten Nachrichten aber auch noch weitere grundrechtskritische Adaptionen, die unter dem Stichwort „Sicherheitspaket“ bekannt geworden sind.