Im Liveticker: Verfassungsgericht nimmt Bundestrojaner unter die Lupe
Dieser Artikel ist älter als ein Jahr!
61 SPÖ- und NEOS-Abgeordnete haben eine Beschwerde gegen das Überwachungspaket eingebracht. Es betrifft den Bundestrojaner, die Ausweitung der Kennzeichenerfassung sowie die Speicherung der Section-Control-Daten. Der Verfassungsgerichtshof beschäftigt sich heute mit der Causa und macht ein öffentliches Hearing dazu. Wir berichten live. Aufgrund des Modus der Anhörung werden die Einträge im Live-Ticker mit etwas größeren Abständen als üblich stattfinden.
Überwachungspaket vor dem Verfassungsgerichtshof (VfGH)
-
Zusammenfassung zum Nachlesen
Hier gibt es jetzt unseren Bericht von der Verhandlung als Zusammenfassung.
-
Verhandlung ist zu Ende
Die Verhandlung schließt pünktlich um 13.30 Uhr. Es ist noch unklar, ob es noch einen Verhandlungstermin zu der Causa geben wird. Das Urteil erfolgt schriftlich. Wir bedanken uns fürs Mitlesen. Und für alle, die später eingestiegen sind: Es wird in Kürze eine Zusammenfassung der Verhandlung geben. -
Wie umfangreich ist die Software?
Kann man Überwachungssoftware und Onlinedurchsuchungssoftware überhaupt unterscheiden, fragt ein Richter.
Der technische Experte der Bundesregierung erklärt, dass das davon abhängt, welche Funktionalitäten man freischalte. Aber es gebe eine strenge Kontrolle und lückenlose Protokollierung seitens der Ermittler.
Der technische Experte der Antragssteller, Michael Sonntag, sagt: Man müsse den gesamten Computer vorher durchsuchen, sonst könne man auch keine Überwachungssoftware installieren. Und Protokollierung gut und schön, aber die könne auch manipuliert oder abgedreht werden, so dass etwas ganz anderes gemacht wird.
-
Jetzt geht es um den Bundestrojaner im Detail
Was darf der Bundestrojaner eigentlich? Was steht im Leistungskatalog der Anforderungen, fragt der Richter: Sektionschef Pilnaceck: Das Programm muss erfüllen, dass es sich dabei nur auf Kommunikation bezieht. Es muss so gestaltet sein, dass es nicht den gesamten Inhalt untersucht. Richter fragt: Wie identifiziert das Programm das? Pilnacek: Das darf nicht Inhalt des Programms sein. Das ist eine Grundvoraussetzung. Eine andere Voraussetzung ist, dass es sich wieder entfernen lässt.
-
Frage der Hausdurchsuchung
Die Verfassungsrichter hinterfragen, ob es sich bei dem Einsatz um eine Hausdurchsuchung handelt, wenn ein Bundestrojaner physisch raufgespielt werden muss und dabei heimlich eingedrungen werden darf. Die Vertreter der Bundesregierung argumentieren damit, dass dies nicht der Fall ist. Die Verfassungsrichter hinterfragen dies, da sich das Eindringen in Wohnungen sogar auf das Hausrecht bezieht.
Sektionschef Pilnacek geht davon aus, dass das physische Eindringen gar keine Vorteile mit sich bringt. Künftig würde man einfach ein iPhone mit einem gleichwertigen iPhone austauschen, und dazu müsse man nicht ins Heim eindringen, das gehe auch "unterwegs", ohne dass der Betroffene das merke.
-
Wie sinnvoll ist die Maßnahme?
2014 bis 2016 hat es 71 Fälle gegeben, die nicht aufgeklärt werden konnten, wegen verschlüsselter Nachrichten. Die Verfassungsrichter fragen nach, ob das alles Fälle wären, die nach dem neuen Gesetz mit dem Bundestrojaner aufgeklärt werden können.
Die 71 Fälle wurden nach den Kriterien ermittelt, sagt Sektionschef Pilnacek. Pilnacek sieht kein "gelinderes Mittel".
-
Frage der Backups beim Bundestrojaner
Jetzt geht es darum, ob der Bundestrojaner wieder rückgängig gemacht werden kann. Michael Sonntag argumentiert, dass man mit Backups den Trojaner wieder draufspielen kann. Diese Möglichkeit weist der technische Experte der Bundesregierung zurück mit dem Argument, dass man dabei vom klassischen PC ausgehe, sich aber in Zukunft immer mehr Smartphones durchsetzen werden und man leistungsstarke Geräte in der Hosentasche habe und die Möglichkeit daher immer unbedeutender werde. -
Verletzung der Schutzpflichten
Die Überwachung verschlüsselter Nachrichten stellt laut den Antragstellern eine Verletzung der positiven Schutzpflichten des Staats dar. Während der Staat, um die Möglichkeit der Überwachung zu gewährleisten, einerseits in die Unsicherheit der am häufigsten verwendeten Computersysteme investierten muss, ist er andererseits verpflichtet, die Unverletzlichkeit der Individualkommunikation gegen Gefahren zu schützen.
Die Vertreterin der Bundesregierung sieht keine positive Schutzpflicht verletzt. Bei der Überwachung der Kommunikation handle es sich um eine Ermittlungsmaßnahme, so die Argumentation. Außerdem müsse man sonst jegliche Kommunikation, die nicht sicher ist, verbieten. Das wäre ein massiver Eingriff in die Rechte, deshalb könne eine derartige positive Schutzpflicht nicht abgeleitet werden.
Natürlich gebe es in dem Bereich der Überwachungssoftware Hersteller, mit denen man nicht zusammenarbeiten sollte, aber es gebe auch "seriöse Anbieter".
Der Anwalt der Antragsteller beruft sich bei den Schutzpflichten auf Artikel 8 der Menschenrechtskonvention. Der Staat darf sich in bestimmten Situationen davon freispielen, das sei richtig, aber nur, wenn die Verhältnismäßigkeit gewahrt sei. Das sei der entscheidende Maßstab.
-
Sektionschef wieder am Wort
Der Sektionschef Pilnacek verteidigt den Bundestrojaner weiter. Die Voraussetzungen sind sehr eng, es gibt einen Richtervorbehalt. Ist die Maßnahme auch dann vertretbar, etwa bei leichteren Maßnahmen? In UK ist die Zurückhaltung eines Briefes als notwendig erachtet worden.
-
"Nicht nur eine Sicherheitslücke"
Es gibt nicht "die eine Sicherheitslücke", sagt der technische Experte der Bundesregierung. Es sei immer eine "Kombination aus Schwachstellen".
Es werde zudem einen externen Audit geben. Nähere Ausführungen dazu gibt es keine.
-
Technischer Experte der Bundesregierung
Als Ergänzung zu Sicherheitslücken, die gleich tausende Geräte infizieren, bei denen Hersteller einen Patch liefern, merkt der Experte an: Diese Lücken wurden dann bereits an den Hersteller gemeldet. Bei der Überwachungssoftware, die man ankaufe, sei das in der Regel noch nicht passiert. Aus der Kombination von Schwachstellen kann man dann Geräte "aufmachen". Dazu müsse man sich aber jedes Zielgerät sehr genau ansehen: Welcher Hersteller, welches Betriebssystem, welche Version. Man müsse pro Zielgerät maßgeschneidert einen Lösungsweg suchen. Daher sei keine flächendeckende Überwachung von tausenden Geräten möglich.
Zum Vorwurf, die österreichische Sicherheitsbehörde müsse selbst Sicherheitslücken einsetzen, sagt der Experte: Das mache nicht die Behörde, sondern der Auftragnehmer. Diese würden den ganzen Tag nichts anderes machen, als kleine Schwachstellen suchen. Diese Anbieter versuchen die Expertise im eigenen Haus aufbauen. Durch bloßes Zukaufen von Lücken würde man nicht weit kommen.
-
Vertreter der Bundesregierung verteidigt Bundestrojaner
Sektionschef Pilnacek verteidigt die Maßnahmen, Verschlüsselung von Kommunikation zu knacken. Man könne derzeit WhatsApp oder Skype nicht mitlesen. Die Überwachung scheitere hier an der Technik. Es gehe immer um die Frage Verhältnismäßigkeit von Recht und Technik. Gibt es den Bundestrojaner schon? Nein, das Programm gibt es derzeit noch nicht. Es ist derzeit noch nicht angekauft, sagt der Sektionschef.
-
Michael Sonntag als technischer Experte
Michael Sonntag, Experte der Johannes Kepler Universität, sagt, dass es ohne Sicherheitslücke nicht geht, verschlüsselte Kommunikation zu überwachen. Er erklärt verschiedene Methoden, wie man das machen könnte, wie etwa, jemanden über einen Phishing-Link auf eine bestimmte Seite zu locken und zu klicken. Aus der Entfernung gibt es ausschließlich die Möglichkeit, über Sicherheitslücken auf Systeme einzudrücken.
Vorteile einer physikalischen Infiltration des Systems: Man kann das auch ohne Sicherheitslücke machen.
Sicherheitslücken sind sehr teuer und es gibt keine Garantie dafür, dass das auch klappt. Geheimdienste haben hier andere Chancen. Außerdem ist es ein extremes Risiko. Niemand würde die Software mehr kaufen, wenn bekannt wird, dass es darin Sicherheitslücken gibt.
Wie funktioniert das, wenn ein Schadprogramm nach dem Einsatz wieder deaktiviert werden muss? Es ist ein großer Aufwand. Außerdem gibt es Backups, mit denen die Software wieder draufgespielt werden kann. Es besteht damit das Risiko, ein System erneut damit zu infizieren.
Mit Quantencomputer ist das Entschlüsseln von verschlüsselter Nachrichten bald möglich, doch das ist noch Zukunftsmusik.
-
Anwalt der Antragssteller spricht
Ausgangspunkt ist die Verschlüsselung von Daten.
Erste Methode, Daten zu verschlüsseln: Kann man Anbieter dazu verpflichten, Hintertüren in ihre Programme einbauen? Apple, Facebook und Google - ist es möglich, diese zu verpflichten? Greift das zu tief in die Bürgerrechte ein? Wir halten es für unwahrscheinlich, dass Österreich auf diesem Weg einen Zugang schafft. Wenn es die Amerikaner nicht schaffen, werden wir es auch nicht schaffen.
Die zweite Methode ist eine Überwachungsmethode, die die Daten schon vor der Verschlüsselung ausspäht. Um die Installation einer solcher Möglichkeit zu ermöglichen, muss der Staat mit der Brechstange herangehen, sagt der Anwalt der Antragsteller.
Installation der Software vor Ort: Beamte schaffen sich physisch Zugang zur Kommunikation der zu Überwachenden. Behörden sind ermächtigt, in Wohnungen einzudringen, Alarmanlagen auszuschalten, zusätzliche Hardware- oder Software anzubringen - und zwar heimlich. Von einer Verpflichtung zu einer Verständigung des Betroffenen sagt das Gesetz nichts.
Diese Art der Durchführung geht deutlich über das hinaus, was in einer Hausdurchsuchung erlaubt ist. Da hat der Betroffene nämlich das Recht, anwesend zu sein. Außerdem sind die Gründe für die Untersuchung vorab erläutert. Er hat die Möglichkeit der Kooperation. Der Gesetzesvorschlag sieht so etwas in diesem Fall nicht vor.
Zweite Möglichkeit: Ferninstallation. Es gibt zwar keine Verletzung des Hausrechts, aber ein Problem technischer Natur. Die Wurzel ist die Cyberabwehr. Kriminelle spüren unbekannte Sicherheitslücken auf und nutzen diese aus. Um einzudringen, geht das nur durch das Ausnutzen von Sicherheitslücken. Dass die Behörden diese in der Schublade haben, kann ich mir technisch nicht vorstellen, sagt der Anwalt.
Es gehe hierbei um globale Lücken. Realistischerweise sind die Behörden daher dazu gezwungen, sich am Markt einzudecken. Welcher Markt das ist, will ich gar nicht erst hinterfragen. Der Staat wäre gezwungen, Maßnahmen zu ergreifen, vor denen er den Bürger eigentlich schützen möchte: Das Ausnutzen von Sicherheitslücken in Computersystemen.
-
Verhandlung wieder aufgenommen
Im zweiten Teil der Verhandlung geht es jetzt um den Bundestrojaner, die Überwachung verschlüsselter Nachrichten. Die Maßnahme kommt laut den Antragsstellern einer Online-Durchsuchung gleich. Die Bedenken werden vom Verfassungsrichter verlesen. Danach kommt wieder der Anwalt der Antragssteller zu Wort. Er hat sich den Experten Michael Sonntag von der Johannes Kepler Universität Linz dazu geholt, mit dem er sich die Zeit teilen wird. Dieser könne mit seiner technischen Expertise die Probleme besser erklären, so der Anwalt.
-
Kurze Pause
Im Verhandlungssaal gibt es jetzt eine kurze Pause von 15 Minuten. Wir sind nachher wieder für euch da.
-
Frage nach der Ausweitung
Sehen Sie Anhaltspunkte, Schranken auszuweiten durch eine nächste Bundesregierung, fragt ein Verfassungsrichter. Kann es damit zu chinesischen Verhältnissen kommen? "Jeder Grundsatz der Verhältnismäßigkeit verbietet das." Kurze Antwort der Bundesregierung.
-
Fragen zu Fahndung und Datenspeicherung
Die Bundesregierung sagt, Daten werden nach Abschluss der Fahndung gelöscht. Wer entscheidet, wann eine Fahndung zu Ende ist, so die Frage einer Verfassungsrichterin. Eine Alarmfahndung sei "meistens eine Frage von Stunden", so die Antwort. Kennzeichen und Ort werden derzeit für 14 Tage gespeichert. -
Konkrete Fragen der Richter
Das Interesse der Verfassungsrichter betrifft, auf welche Daten unter welchen Voraussetzungen zugegriffen werden darf. "Diese oder jene Sachen werden nur gemacht", oder erachten Sie das als zwingende Vorgabe, dass der Gesetzgeber nur innerhalb der Schranken etwas erlaubt?" lautet eine Frage. Man orientiere sich am "Grundsatz der Verhältnismäßigkeit", so die Antwort des Experten der Bundesregierung.
-
Argumente der Bundesregierung
Aus der Sicht der Bundesregierung sind es Ziele, die von einer demokratischen Gesellschaft als verfolgbare Ziele anerkannt werden, so der Experte der Bundesregierung. Aus dem Verhältnismäßigkeitsgrundsatzes ergeben sich deutliche Schranken. -
Kritik von epicenter.works
Die NGO epicenter.works merkt via Twitter an, dass die Bundesregierung viel über ein System sagen könne, das noch gar nicht fertig technisch ausgearbeitet sei. Schließlich wird noch an "technischen Spezifikationen gearbeitet". Trotzdem weiß man schon jetzt, was das System nicht speichern werde, so die Kritik. Das sei "merkwürdig".
-
Sonderfunktion bei Kennzeichenüberwachung bei Alarmfahndungen
Sonderfunktion des Geräts: Wenn ein Zeuge sich nur einen bestimmten Teil des Kennzeichens gemerkt hat, kann in das Gerät diese Kombi eingegeben werden und dann sucht das Gerät nach Kennzeichen, die diesen Vorgaben entsprechen. Es kommt aber zu keinen Speicherungen dieser Informationen. Diese werden nur lokal in diesem Gerät verarbeitet und das System schlägt nur Alarm, wenn ein Auto mit diesen Kennzeichenteilen vorbeifährt, erklärt der Experte. Darauf kann nur im Einzelfall zugegriffen werden, heißt es. Alle Abfragen werden protokolliert, aber nur dann wenn sie zu einem Treffer führen. Die Löschung erfolgt automatisiert. -
Bundesregierung zur Kennzeichenerfassung
An den technischen Spezifikationen werde noch gearbeitet, heißt es. Das Kennzeichenerkennungssystem soll dann ein "Gesamtbild" erstellen, das den Polizisten zur Verfügung gestellt werden soll. Die technischen Vorkehrungen, dass nur die Aspekte erkannt werden, sei noch Gegenstand der Verhandlungen mit den Bieter. Es kann noch nicht gesagt werden, wie was verpixelt werden soll. Es werde aber sichergestellt werden, heißt es seitens des Experten der Bundesregierung. Ein automatisierter Abgleich des Gesichtsfeldes sei nicht vorgesehen und technisch nicht möglich sein mit den geplanten Systemen, heißt es weiters.
Abfragen mit anderen Datenbeständen könne mit dem System nicht erfolgen, heißt es. Wenn sich ein Treffer ergibt, steht den Sicherheitsbehörden allerdings die Möglichkeit offen, weitere Maßnahmen zu setzen, so der Experte. Dann können auch andere Datenbanken abgefragt werden. Mit den Kennzeichensystem würden jedoch keine anderen Anwendungen abgefragt.
-
Vertreter der Bundesregierung
Die Bundesregierung hat die Möglichkeit, sich zu äußern. Die Bedenken der Antragsteller treffen nicht zu, heißt es seitens einer Vertreterin der Bundesregierung. Es sei nicht mit China vergleichbar, so die Vertreterin.
-
Gesichtserkennung
Der Anwalt der Antragssteller empfiehlt den Verfassungsrichtern, "Gesichtserkennung" zu googlen und spricht über die Erfahrungen, die damit in China gemacht worden waren.
-
Anwalt der Antragsteller spricht 25 Minuten lang
Das Match um die effizientesten Waffen kann ein liberaler Rechtsstaat nicht gewinnen. Akzeptiert man die Ausgangslage, muss man sich bei jeder neuen Maßnahme die Frage stellen, ob sie verhältnismäßig ist, sagt der Anwalt der Antragsteller weiter. Er spricht insgesamt 25 Minuten. Als nächstes erwähnt er das VfGH-Urteil zur Vorratsdatenspeicherung aus dem Jahr 2014, die damals aufgrund von Unverhältnismäßigkeit gekippt worden ist. -
Anwalt des Antragsstellers
Der Anwalt der Antragssteller, Rechtsanwalt Rohregger, beginnt mit der allgemeinen Problematik zur Kennzeichenerfassung. Beide Teile versuchen das wachsende Potential der IT und leistungsstärkere Software zu nutzen: Kennzeichenerfassung und Bundestrojaner. Es sei nicht zu beanstanden, dass Behörden neue Technologien nutzen möchten. Aber das Problem liegt auf der Ebene der Verhältnismäßigkeit. Jeder dieser Maßnahme ist mit einem Eingriff auf Grundrechte verbunden. Technische Ermittlungsmaßnahmen unterscheiden sich von konventionellen Ermittlungsmaßnahmen, so die einleitenden Worte. Der Unterschied: Die neuen Maßnahmen sind nicht punktuell und anlassbezogen, sondern aufgrund der Mächtigkeit der Technologien ohne großen Aufwand eine flächendeckende Überwachung auf Vorrat. Stichtwort Big Data. Die "Nebenwirkung" reiche weit über das einzelne Ermittlungsverfahren hinaus.
Was die Eingriffsintensität macht es einen Unterschied, ob man nur damit rechnen muss, ob ein Computer im Verdachtsfall in einer Hausdurchsuchung - und vorab informiert -, oder ob ein Trojaner auf dem Computer lauert und mitprotokolliert. Es macht auch einen Unterschied, ob man bei einer Autofahrt damit rechnen muss, dass ein lückenloses Bewegungsprofil erstellt werden kann - wann man wohin fährt.
-
Vor dem Gebäude
Vor dem Gebäude haben die Aktivisten von epicenter.works auf die Gefahren der geplanten Überwachungsmaßnahmen aufmerksam gemacht. Mit Schildern "Nein zum Bundestrojaner" gestalteten sie eine Aktion. Der Bundestrojaner höhe Grundrechte aus, heißt es. Die Juristin der NGO, Angelika Adensamer, sagte im futurezone-Gespräch vor der Verhandlung, dass es schwer abzuschätzen sei, ob der Bundestrojaner wirklich gekippt werden könne. Damit würde der Staat aber bewusst Sicherheitslücken fördern, so Adensamer. Bei der Ausweitung der Kennzeichenüberwachung, die für sie eine "klare Vorratsdatenspeicherung" darstellt, ist die Wahrscheinlichkeit schon höher. Schließlich hatte der VfgH auch die Vorratsdatenspeicherung gekippt.
-
Großes Interesse
Die Verhandlung des VfGH ist öffentlich. Das ist insofern ein wichtiges Signal, als das der ehemalige Innenminister Herbert Kickl (FPÖ) den Bundestrojaner als "geheim" eingestuft hatte und es auch an Anträge der Nationalratsabgeordnete keine Informationen zur Umsetzung gegeben hatte. Im Saal sitzen rund 100 Journalisten, Aktivisten, Politiker und Experten und verfolgen die Verhandlung nun.
-
Die Verhandlung ist eröffnet
Um 9.30 Uhr eröffnete der Verfassungsgericht die öffentliche Verhandlung. Es wird in zwei Teile gegliedert: Im ersten Teil geht es um die Ermittlung und vorrätigen Speicherungen von Daten. Im zweiten Teil geht es um die Überwachung verschlüsselter Nachrichten ("Bundestrojaner").
Kommentare