Bundestrojaner überall? Wie in Europa Chats überwacht werden
Die Verschlüsselung von digitaler Kommunikation ist Behörden auf der ganzen Welt ein Dorn im Auge. WhatsApp- oder Signal-Nachrichten sind heutzutage Ende-zu-Ende-verschlüsselt. Das heißt, dass nicht einmal der Anbieter der Software weiß, was in den Nachrichten steht, sondern nur diejenigen, die die Nachrichten miteinander austauschen.
Auch Behörden ist es daher nicht möglich, diese Nachrichten mitzulesen. Außer dann, wenn sie über „spezielle investigative Methoden“ verfügen, mit Hilfe dieser das technisch möglich gemacht wird. Dazu zählt etwa ein Bundestrojaner. Das ist eine staatliche Spionagesoftware, die von Unternehmen zugekauft wird, um gezielt die Kommunikation von Bürger*innen damit zu überwachen. Diese Spionagesoftware muss am Gerät installiert werden. Das geht meist aus der Ferne und über das Ausnutzen von „Zero Day“-Sicherheitslücken. Doch dafür braucht es gesetzliche Rahmenbedingungen, die es in Österreich aktuell nicht gibt. Der Verfassungsgerichtshof (VfGH) hatte im Dezember 2019 den für 2020 geplanten Bundestrojaner wegen schwerer Privatsphäre-Bedenken gekippt.
Schlusslicht bei Kommunikationsüberwachung
Nun will man in Österreich einen neuen Vorstoß in diese Richtung wagen: Der Geheimdienst-Chef Omar Haijawi-Pirchner hat unlängst kritisiert, dass es deshalb speziell in Österreich nicht möglich sei, „Gefährder im Extremismus und Terrorismus zu überwachen“. Man sei vor allem im Vergleich zu „sämtlichen anderen europäischen Sicherheitsbehörden“ taub. Die Direktion Staatsschutz und Nachrichtendienst des Innenministeriums bestätigt dies auf futurezone-Anfrage erneut: „Im europäischen Vergleich gehört der österreichische Verfassungsschutz hinsichtlich seiner Befugnisse, insbesondere jener zur Erfüllung nachrichtendienstlicher Aufgaben, zu den Schlusslichtern.“
Doch stimmt das eigentlich? Eine Quelle für die Aussage nennt der Staatsschutz nicht. Einen offiziell zugänglichen Europa-Vergleich von den Überwachungsbefugnissen unterschiedlicher Behörden in der EU gibt es aktuell nicht. So ist es schwer, sich einen Gesamtüberblick über die Lage zu verschaffen. Das Policy Department für Bürgerrechte des EU-Parlaments hat allerdings im Februar 2023 eine Studie veröffentlicht, aus der die Überwachungsbefugnisse einzelner EU-Länder hervorgehen. Konkreter Anlass war der Einsatz der Spionagesoftware Pegasus in einzelnen EU-Ländern. Das EU-Parlament hat daraufhin auch grob erstellt, in welchen Ländern welche Maßnahmen zur Überwachung von privater Kommunikation für Behörden legal sind.
Welche EU-Länder welche Methoden im Einsatz haben
So gibt es etwa in Ungarn praktisch keine „Safeguards“ und Überwachung ist unter dem Deckmantel der „nationalen Sicherheit“ jederzeit möglich. In Polen dürfen durch Abhören illegal gesammelte Beweise vor Gericht gegen einen verwendet werden und es sind den Behörden „spezielle investigative Techniken“ zur Überwachung erlaubt, diese sind jedoch vage gehalten. Auch in Griechenland und Spanien gibt es diesen Passus in den Gesetzen, jedoch nur unter strengen Bestimmungen und mit richterlichem Beschluss. In Frankreich ist die Telekom-Überwachung seit den Terroranschlägen in Paris in Ausnahmesituationen erlaubt. Italien ist überhaupt eines jener Länder, in denen Hacking-Techniken von Behörden eingesetzt werden dürfen.
Der Staatsschutz verweist in der futurezone-Anfrage aber speziell auf jene zwei Länder: In den Niederlanden gibt es einen eigenen Gesetzesrahmen zum Einsatz von Spionagesoftware für Polizeibehörden, die legal zur Überwachung von Kommunikation verwendet werden darf. In Deutschland ist die Überwachung und Aufzeichnung von Telekommunikation, auch bei verschlüsselter Kommunikation durch Eingriff in das IT-System oder Handy der betroffenen Person, möglich und rechtlich gesetzlich verankert.
„Wir orientieren uns an Ländern, die denselben grund- und datenschutzrechtlichen Schranken unterliegen, wie z.B. Deutschland“, heißt es seitens des Staatsschutzes dazu. Auch in weiteren Ländern seien die Gesetze an den „technischen Fortschritt“ angepasst worden, heißt es. Alleine von dem groben Überblick aus dem EU-Parlamentsüberblick lässt sich das soweit bestätigen.
Verfassungsrichter geben nicht viel Spielraum
Doch warum ist es in Österreich trotzdem nicht so einfach möglich, einen Bundestrojaner wieder einzuführen? Zwar hat sich die österreichische Regierung im Regierungsprogramm im Kapitel „Innere Sicherheit“ darauf geeinigt, dass der Einsatz von staatlicher Spionagesoftware zur Überwachung von verschlüsselten Nachrichten „unter Berücksichtigung des Verfassungsgerichtshofs-Entscheids“ geprüft werden soll. Sieht man sich das Urteil der Verfassungsrichter allerdings im Detail an, so kommen sowohl Techniker*innen als auch Jurist*innen rasch zu dem Schluss, dass eine erneuter Einführungsversuch zwar am Papier möglich ist, aber aus denselben Gründen erneut scheitern würde.
Eine verdeckte Überwachung soll laut VfGH zwar in „äußerst engen Grenzen zum Schutz gewichtiger Rechtsgüter zulässig“ sein, hieß es damals im Urteil. Doch den Einsatz eines Trojaners zu dieser Überwachung lehnten die Verfassungsrichter ganz klar ab. Unter anderem deshalb, weil sie gegen die Menschenrechtskonvention (Artikel 8) verstößt und es für Rechtsschutzbeauftragte nicht gewährleistet ist, diese Art der Überwachung „effektiv und unabhängig“ zu kontrollieren, heißt es in der Urteilsbegründung.
➤ Mehr lesen: VfGH hebt Bundestrojaner und Kennzeichenerkennung auf
Keine wirkliche Kontrolle möglich
Der IT-Sicherheitsexperte Sebastian Bicchi erklärt im Gespräch mit der futurezone warum das mit der Kontrolle besonders problematisch ist: „Bei einer Hausdurchsuchung ist klar geregelt, was mitgenommen werden darf und was nicht. Wenn es sich aber um nicht physische Dinge wie etwa private Kommunikation handelt und Behörden den Zugriff auf das Gesamtgerät haben, ist es sehr schwierig, im Nachhinein festzustellen, welche Daten wirklich mitgenommen werden dürfen, und welche nicht. Da gibt es keine Möglichkeit, das zu kontrollieren.“
Zudem würde staatliche Überwachungssoftware von Drittanbietern zugekauft werden, so Bicchi. „Hier muss man sich fragen, wie sicher die Daten in den Händen dieser Drittfirmen sind. Was haben die sonst noch für Kund*innen und Interessen? Wenn wir uns die Firmen ansehen, die in der Branche tätig sind, sind das nicht gerade jene Firmen, denen wir unsere Daten anvertrauen würden.“ Aus der Sicht von Bicchi sei es daher zwar „verständlich, dass Behörden diese Art der Überwachung fordern“, aber „die damit verbundenen Risiken für die Gesamtbevölkerung sind sehr, sehr groß.“
Sicherheit aller wird geschwächt
Denn um Staatstrojaner zu schaffen müssen Sicherheitslücken geschaffen werden, die dann von den Behörden ausgenutzt werden. „Es gibt keine Garantie dafür, dass die Lücke nicht von jemand anderem gefunden und ebenfalls genutzt wird. Damit wird die Sicherheit aller Menschen geschwächt und für dubiose Firmen wird es zum lukrativen Geschäft“, sagt Bicchi von der IT-Sicherheitsfirma Sec Research. Konkret könnten die Sicherheitslücken dann auch von Kriminellen ausgenutzt werden, um an Daten von Opfern zu kommen.
➤ Mehr lesen: Staatstrojaner ist "Einfallstor für Kriminelle"
Außerdem: Selbst wenn die Trojanersoftware nur auf gezielten Geräten eingesetzt wird, würden Behörden trotzdem die Kommunikation zwischen der verdächtigen mit völlig unschuldigen Personen mitverfolgen können. Auch dies kritisierte der Verfassungsgerichtshof. „Ich sehe kein Schlupfloch und keine Möglichkeit, diese Software nach dem Urteil in Österreich legal einzuführen“, so Bicchi.
Man könnte daher auch das "Framing" der Behörden einfach umdrehen: Österreich zählt nicht zu den "Schlusslichtern" bei Überwachung, sondern zu jenen Ländern, die sich an Menschenrechte halten und denen die Sicherheit der Gesamtbevölkerung durch verschlüsselte Kommunikation wichtig ist.
Kommentare