© APA - Austria Presse Agentur

Netzpolitik
06/25/2019

Im Liveticker: Verfassungsgericht nimmt Bundestrojaner unter die Lupe

Der Verfassungsgerichtshof beschäftigt sich mit dem umstrittenen Überwachungspaket.

61 SPÖ- und NEOS-Abgeordnete haben eine Beschwerde gegen das Überwachungspaket eingebracht. Es betrifft den Bundestrojaner, die Ausweitung der Kennzeichenerfassung sowie die Speicherung der Section-Control-Daten. Der Verfassungsgerichtshof beschäftigt sich heute mit der Causa und macht ein öffentliches Hearing dazu. Wir berichten live. Aufgrund des Modus der Anhörung werden die Einträge im Live-Ticker mit etwas größeren Abständen als üblich stattfinden.

Überwachungspaket vor dem Verfassungsgerichtshof (VfGH)

  • 06/25/2019, 2:16 PM

    Zusammenfassung zum Nachlesen

    Hier gibt es jetzt unseren Bericht von der Verhandlung als Zusammenfassung.

  • 06/25/2019, 11:31 AM

    Verhandlung ist zu Ende

    Die Verhandlung schließt pünktlich um 13.30 Uhr. Es ist noch unklar, ob es noch einen Verhandlungstermin zu der Causa geben wird. Das Urteil erfolgt schriftlich. Wir bedanken uns fürs Mitlesen. Und für alle, die später eingestiegen sind: Es wird in Kürze eine Zusammenfassung der Verhandlung geben.
  • 06/25/2019, 11:18 AM

    Wie umfangreich ist die Software?

    Kann man Überwachungssoftware und Onlinedurchsuchungssoftware überhaupt unterscheiden, fragt ein Richter.

    Der technische Experte der Bundesregierung erklärt, dass das davon abhängt, welche Funktionalitäten man freischalte. Aber es gebe eine strenge Kontrolle und lückenlose Protokollierung seitens der Ermittler.

    Der technische Experte der Antragssteller, Michael Sonntag, sagt: Man müsse den gesamten Computer vorher durchsuchen, sonst könne man auch keine Überwachungssoftware installieren. Und Protokollierung gut und schön, aber die könne auch manipuliert oder abgedreht werden, so dass etwas ganz anderes gemacht wird.

  • 06/25/2019, 11:09 AM

    Jetzt geht es um den Bundestrojaner im Detail

    Was darf der Bundestrojaner eigentlich? Was steht im Leistungskatalog der Anforderungen, fragt der Richter: Sektionschef Pilnaceck: Das Programm muss erfüllen, dass es sich dabei nur auf Kommunikation bezieht. Es muss so gestaltet sein, dass es nicht den gesamten Inhalt untersucht. Richter fragt: Wie identifiziert das Programm das? Pilnacek: Das darf nicht Inhalt des Programms sein. Das ist eine Grundvoraussetzung. Eine andere Voraussetzung ist, dass es sich wieder entfernen lässt.

  • 06/25/2019, 11:04 AM

    Frage der Hausdurchsuchung

    Die Verfassungsrichter hinterfragen, ob es sich bei dem Einsatz um eine Hausdurchsuchung handelt, wenn ein Bundestrojaner physisch raufgespielt werden muss und dabei heimlich eingedrungen werden darf. Die Vertreter der Bundesregierung argumentieren damit, dass dies nicht der Fall ist. Die Verfassungsrichter hinterfragen dies, da sich das Eindringen in Wohnungen sogar auf das Hausrecht bezieht.

    Sektionschef Pilnacek geht davon aus, dass das physische Eindringen gar keine Vorteile mit sich bringt. Künftig würde man einfach ein iPhone mit einem gleichwertigen iPhone austauschen, und dazu müsse man nicht ins Heim eindringen, das gehe auch "unterwegs", ohne dass der Betroffene das merke.

  • 06/25/2019, 10:58 AM

    Wie sinnvoll ist die Maßnahme?

    2014 bis 2016 hat es 71 Fälle gegeben, die nicht aufgeklärt werden konnten, wegen verschlüsselter Nachrichten. Die Verfassungsrichter fragen nach, ob das alles Fälle wären, die nach dem neuen Gesetz mit dem Bundestrojaner aufgeklärt werden können.

    Die 71 Fälle wurden nach den Kriterien ermittelt, sagt Sektionschef Pilnacek. Pilnacek sieht kein "gelinderes Mittel".

  • 06/25/2019, 10:49 AM

    Frage der Backups beim Bundestrojaner

    Jetzt geht es darum, ob der Bundestrojaner wieder rückgängig gemacht werden kann. Michael Sonntag argumentiert, dass man mit Backups den Trojaner wieder draufspielen kann. Diese Möglichkeit weist der technische Experte der Bundesregierung zurück mit dem Argument, dass man dabei vom klassischen PC ausgehe, sich aber in Zukunft immer mehr Smartphones durchsetzen werden und man leistungsstarke Geräte in der Hosentasche habe und die Möglichkeit daher immer unbedeutender werde.
  • 06/25/2019, 10:36 AM

    Verletzung der Schutzpflichten

    Die Überwachung verschlüsselter Nachrichten stellt laut den Antragstellern eine Verletzung der positiven Schutzpflichten des Staats dar. Während der Staat, um die Möglichkeit der Überwachung zu gewährleisten, einerseits in die Unsicherheit der am häufigsten verwendeten Computersysteme investierten muss, ist er andererseits verpflichtet, die Unverletzlichkeit der Individualkommunikation gegen Gefahren zu schützen.

    Die Vertreterin der Bundesregierung sieht keine positive Schutzpflicht verletzt. Bei der Überwachung der Kommunikation handle es sich um eine Ermittlungsmaßnahme, so die Argumentation. Außerdem müsse man sonst jegliche Kommunikation, die nicht sicher ist, verbieten. Das wäre ein massiver Eingriff in die Rechte, deshalb könne eine derartige positive Schutzpflicht nicht abgeleitet werden.

    Natürlich gebe es in dem Bereich der Überwachungssoftware Hersteller, mit denen man nicht zusammenarbeiten sollte, aber es gebe auch "seriöse Anbieter".

    Der Anwalt der Antragsteller beruft sich bei den Schutzpflichten auf Artikel 8 der Menschenrechtskonvention. Der Staat darf sich in bestimmten Situationen davon freispielen, das sei richtig, aber nur, wenn die Verhältnismäßigkeit gewahrt sei. Das sei der entscheidende Maßstab.

  • 06/25/2019, 10:20 AM

    Sektionschef wieder am Wort

    Der Sektionschef Pilnacek verteidigt den Bundestrojaner weiter. Die Voraussetzungen sind sehr eng, es gibt einen Richtervorbehalt. Ist die Maßnahme auch dann vertretbar, etwa bei leichteren Maßnahmen? In UK ist die Zurückhaltung eines Briefes als notwendig erachtet worden.

  • 06/25/2019, 10:07 AM

    "Nicht nur eine Sicherheitslücke"

    Es gibt nicht "die eine Sicherheitslücke", sagt der technische Experte der Bundesregierung. Es sei immer eine "Kombination aus Schwachstellen".

    Es werde zudem einen externen Audit geben. Nähere Ausführungen dazu gibt es keine.

  • 06/25/2019, 10:03 AM

    Technischer Experte der Bundesregierung

    Als Ergänzung zu Sicherheitslücken, die gleich tausende Geräte infizieren, bei denen Hersteller einen Patch liefern, merkt der Experte an: Diese Lücken wurden dann bereits an den Hersteller gemeldet. Bei der Überwachungssoftware, die man ankaufe, sei das in der Regel noch nicht passiert. Aus der Kombination von Schwachstellen kann man dann Geräte "aufmachen". Dazu müsse man sich aber jedes Zielgerät sehr genau ansehen: Welcher Hersteller, welches Betriebssystem, welche Version. Man müsse pro Zielgerät maßgeschneidert einen Lösungsweg suchen. Daher sei keine flächendeckende Überwachung von tausenden Geräten möglich.

    Zum Vorwurf, die österreichische Sicherheitsbehörde müsse selbst Sicherheitslücken einsetzen, sagt der Experte: Das mache nicht die Behörde, sondern der Auftragnehmer. Diese würden den ganzen Tag nichts anderes machen, als kleine Schwachstellen suchen. Diese Anbieter versuchen die Expertise im eigenen Haus aufbauen. Durch bloßes Zukaufen von Lücken würde man nicht weit kommen.

  • 06/25/2019, 9:57 AM

    Vertreter der Bundesregierung verteidigt Bundestrojaner

    Sektionschef Pilnacek verteidigt die Maßnahmen, Verschlüsselung von Kommunikation zu knacken. Man könne derzeit WhatsApp oder Skype nicht mitlesen. Die Überwachung scheitere hier an der Technik. Es gehe immer um die Frage Verhältnismäßigkeit von Recht und Technik. Gibt es den Bundestrojaner schon? Nein, das Programm gibt es derzeit noch nicht. Es ist derzeit noch nicht angekauft, sagt der Sektionschef.

  • 06/25/2019, 9:49 AM

    Michael Sonntag als technischer Experte

    Michael Sonntag, Experte der Johannes Kepler Universität, sagt, dass es ohne Sicherheitslücke nicht geht, verschlüsselte Kommunikation zu überwachen. Er erklärt verschiedene Methoden, wie man das machen könnte, wie etwa, jemanden über einen Phishing-Link auf eine bestimmte Seite zu locken und zu klicken. Aus der Entfernung gibt es ausschließlich die Möglichkeit, über Sicherheitslücken auf Systeme einzudrücken.

    Vorteile einer physikalischen Infiltration des Systems: Man kann das auch ohne Sicherheitslücke machen.

    Sicherheitslücken sind sehr teuer und es gibt keine Garantie dafür, dass das auch klappt. Geheimdienste haben hier andere Chancen. Außerdem ist es ein extremes Risiko. Niemand würde die Software mehr kaufen, wenn bekannt wird, dass es darin Sicherheitslücken gibt.

    Wie funktioniert das, wenn ein Schadprogramm nach dem Einsatz wieder deaktiviert werden muss? Es ist ein großer Aufwand. Außerdem gibt es Backups, mit denen die Software wieder draufgespielt werden kann. Es besteht damit das Risiko, ein System erneut damit zu infizieren.

    Mit Quantencomputer ist das Entschlüsseln von verschlüsselter Nachrichten bald möglich, doch das ist noch Zukunftsmusik.

  • 06/25/2019, 9:34 AM

    Anwalt der Antragssteller spricht

    Ausgangspunkt ist die Verschlüsselung von Daten.

    Erste Methode, Daten zu verschlüsseln: Kann man Anbieter dazu verpflichten, Hintertüren in ihre Programme einbauen? Apple, Facebook und Google - ist es möglich, diese zu verpflichten? Greift das zu tief in die Bürgerrechte ein? Wir halten es für unwahrscheinlich, dass Österreich auf diesem Weg einen Zugang schafft. Wenn es die Amerikaner nicht schaffen, werden wir es auch nicht schaffen.

    Die zweite Methode ist eine Überwachungsmethode, die die Daten schon vor der Verschlüsselung ausspäht. Um die Installation einer solcher Möglichkeit zu ermöglichen, muss der Staat mit der Brechstange herangehen, sagt der Anwalt der Antragsteller.

    Installation der Software vor Ort: Beamte schaffen sich physisch Zugang zur Kommunikation der zu Überwachenden. Behörden sind ermächtigt, in Wohnungen einzudringen, Alarmanlagen auszuschalten, zusätzliche Hardware- oder Software anzubringen - und zwar heimlich. Von einer Verpflichtung zu einer Verständigung des Betroffenen sagt das Gesetz nichts.

    Diese Art der Durchführung geht deutlich über das hinaus, was in einer Hausdurchsuchung erlaubt ist. Da hat der Betroffene nämlich das Recht, anwesend zu sein. Außerdem sind die Gründe für die Untersuchung vorab erläutert. Er hat die Möglichkeit der Kooperation. Der Gesetzesvorschlag sieht so etwas in diesem Fall nicht vor.

    Zweite Möglichkeit: Ferninstallation. Es gibt zwar keine Verletzung des Hausrechts, aber ein Problem technischer Natur. Die Wurzel ist die Cyberabwehr. Kriminelle spüren unbekannte Sicherheitslücken auf und nutzen diese aus. Um einzudringen, geht das nur durch das Ausnutzen von Sicherheitslücken. Dass die Behörden diese in der Schublade haben, kann ich mir technisch nicht vorstellen, sagt der Anwalt.

    Es gehe hierbei um globale Lücken. Realistischerweise sind die Behörden daher dazu gezwungen, sich am Markt einzudecken. Welcher Markt das ist, will ich gar nicht erst hinterfragen. Der Staat wäre gezwungen, Maßnahmen zu ergreifen, vor denen er den Bürger eigentlich schützen möchte: Das Ausnutzen von Sicherheitslücken in Computersystemen.

  • 06/25/2019, 9:06 AM

    Verhandlung wieder aufgenommen

    Im zweiten Teil der Verhandlung geht es jetzt um den Bundestrojaner, die Überwachung verschlüsselter Nachrichten. Die Maßnahme kommt laut den Antragsstellern einer Online-Durchsuchung gleich. Die Bedenken werden vom Verfassungsrichter verlesen. Danach kommt wieder der Anwalt der Antragssteller zu Wort. Er hat sich den Experten Michael Sonntag von der Johannes Kepler Universität Linz dazu geholt, mit dem er sich die Zeit teilen wird. Dieser könne mit seiner technischen Expertise die Probleme besser erklären, so der Anwalt.

  • 06/25/2019, 8:48 AM

    Kurze Pause

    Im Verhandlungssaal gibt es jetzt eine kurze Pause von 15 Minuten. Wir sind nachher wieder für euch da.

  • 06/25/2019, 8:38 AM

    Frage nach der Ausweitung

    Sehen Sie Anhaltspunkte, Schranken auszuweiten durch eine nächste Bundesregierung, fragt ein Verfassungsrichter. Kann es damit zu chinesischen Verhältnissen kommen? "Jeder Grundsatz der Verhältnismäßigkeit verbietet das." Kurze Antwort der Bundesregierung.

  • 06/25/2019, 8:34 AM

    Fragen zu Fahndung und Datenspeicherung

    Die Bundesregierung sagt, Daten werden nach Abschluss der Fahndung gelöscht. Wer entscheidet, wann eine Fahndung zu Ende ist, so die Frage einer Verfassungsrichterin. Eine Alarmfahndung sei "meistens eine Frage von Stunden", so die Antwort. Kennzeichen und Ort werden derzeit für 14 Tage gespeichert.
  • 06/25/2019, 8:29 AM

    Konkrete Fragen der Richter

    Das Interesse der Verfassungsrichter betrifft, auf welche Daten unter welchen Voraussetzungen zugegriffen werden darf. "Diese oder jene Sachen werden nur gemacht", oder erachten Sie das als zwingende Vorgabe, dass der Gesetzgeber nur innerhalb der Schranken etwas erlaubt?" lautet eine Frage. Man orientiere sich am "Grundsatz der Verhältnismäßigkeit", so die Antwort des Experten der Bundesregierung.

  • 06/25/2019, 8:24 AM

    Argumente der Bundesregierung

    Aus der Sicht der Bundesregierung sind es Ziele, die von einer demokratischen Gesellschaft als verfolgbare Ziele anerkannt werden, so der Experte der Bundesregierung. Aus dem Verhältnismäßigkeitsgrundsatzes ergeben sich deutliche Schranken.