Netzpolitik
04/11/2016

Sicherheitsexperte: "Ein Staatstrojaner ist zeitgemäß"

Der IT-Sicherheitsexperte Joe Pichlmayr regt im futurezone-Interview dazu an, über die Vor- und Nachteile eines Staatstrojaners in Österreich verstärkt zu diskutieren.

Österreich plant die Einführung einer staatlichen Überwachungssoftware, die eigens für den Zweck der Online-Durchsuchung angeschafft werden soll. Justizminister Wolfgang Brandstetter (ÖVP) hat dazu vor kurzem die Änderung der Strafprozessordnung (StPO) zur Überwachung von Online-Kommunikation in Begutachtung geschickt. Daran gab es in den letzten Tagen bereits ausführliche Kritik von Juristen, Experten und Aktivisten.

Der Tenor, der daraus hervor geht, ist relativ eindeutig: Diese Maßnahme ist ein schwerer Grundrechtseingriff und sollte daher gesellschaftlich breit diskutiert werden. Die futurezone hat sich daher zum Ziel gesetzt, weitere Experten und Stimmen zu dieser neuen Überwachungsmaßnahme zu befragen. Heute: Joe Pichlmayr, den Geschäftsführer von Ikarus Security Software.

Futurezone: Braucht man als Staat eine Überwachungssoftware?
Joe Pichlmayer: Das ist ein zweischneidiges Schwert . Auf der einen Seite braucht eine Gesellschaft eine Verwaltung, die in der Lage ist, die Gesellschaft zu schützen wie die Exekutive. Und diese muss man adäquat ausrüsten.

Ist der Staatstrojaner adäquat?
Wenn man jetzt nur vom Trojaner spricht – egal, ob das System am Einsatz vor Ort oder remote zum Einsatz kommt oder eine Kombination aus Endgerät oder Zielgerät plus überwachte Kommunikationswege ist – halte ich es für zeitgemäß. Der Umkehrschluss ist: Wie soll eine Ermittlungsbehörde sonst jemanden überwachen, der unter Umständen die Dienste und Kommunikationssysteme im Netz dazu nutzt, um der Gesellschaft nachhaltig und massiv zu schaden?

Gibt es Ihrer Ansicht nach keine gelinderen Mittel?
Nein, es gibt keine gelinderes Mittel.

Die Überwachung soll vor allem bei verschlüsselten Skype -und WhatsApp-Kommunikation zum Einsatz kommen, so das Argument. Das kann man doch jetzt schon überwachen?
Das ist genauso wie der Beschluss zur Telefonüberwachung. Wenn es eine richterliche Anordnung gibt, stößt sich in der Gesellschaft niemand mehr daran, dass das gemacht wird. Da gibt es ganz klare Regeln. Wenn es Gesprächsinhalte betrifft, die hochprivat sind oder nichts mit der Causa zu tun haben, dürfen sie nicht verwendet werden. Wenn es die gleichen Regeln für einen Trojaner gibt, dann sehe ich das Problem nicht.

Aber technisch geht doch viel mehr und wie kann man überhaupt sicherstellen, dass das Programm nicht viel mehr kann als im Gesetz festgeschrieben?
Natürlich kann ein Trojaner auf einem Endgerät potentiell alles – wie man potentiell alles von einem Gespräch verwerten könnte. Aber das ist ein gesellschaftliches Problem. Was will die Gesellschaft und mit welchen Rechten schützt sie sich vor Missbrauch und mit welchen Maßnahmen nimmt sie in Kauf, um den Schutz der Gesellschaft zu ermöglichen? Jede Form von Überwachung heißt, dass ich ein Recht aufgeben muss . Wenn es ein Grundrecht ist, wie in dem Fall, ist das natürlich sehr problematisch.

Braucht man die Überwachung Ihrer Ansicht nach denn jetzt wirklich?
Das hängt ganz davon ab, wonach ich suche. Es gilt immer das Große und Ganze im Auge zu behalten. Wenn man jede Überwachungsmaßnahme isoliert voneinander betrachtet, wäre das mit dem Hintergrund des Terrorismus gerechtfertigt. Die Frage ist nur: Wo hört es auf? Öffne ich die Büchse der Pandora damit und es ist der erste Schritt zu einer gesamtheitlichen Überwachung, oder ist es das, als das man es auch sehen kann - und zwar als Instrument, dass den Ermittlern im Verdachtsfall dabei helfen kann, Straftaten aufzuklären oder zu verhindern.

Was ist es Ihrer Einschätzung nach?
Das möchte ich nicht pauschal beurteilen. Es gibt viele unterschiedliche Ansichten dazu. Weniger gut finde ich, dass es nicht auf so breiter Basis diskutiert wird. Was so ein Gesetz in seiner Konsequenz bedeutet, wissen nur wenige.

Die Vorratsdatenspeicherung wurde auch für weit gelindere Delikte wie Terrorismus eingesetzt. Zum Beispiel für Drogen-Delikte oder Stalking. Ist das nicht auch zu befürchten, dass man beim Staatstrojaner Schlupflöcher bei der Auslegung des Gesetzes finden wird, wie etwa Albert Steinhauser von den Grünen befürchtet?
Zu befürchten ist es, weil sich die Technologien und das Empfinden der Menschen stark verändert. Es ist so, dass das, was wir heute als ok und rechtmäßig empfunden wird, morgen andere Auswirkungen und Dimensionen haben kann. Das kann man zum jetzigen Zeitpunkt nicht abschätzen.

Kann man tatsächlich Mechanismen einbauen, die ermöglichen, dass die Überwachungssoftware nur für den einen Zweck verwendet wird, oder ist das Humbug? Und wer garantiert einem, dass die Software dann nicht manipuliert wird?
Das ist eine Frage der Wirtschaftlichkeit. Natürlich kann man Prozesse definieren, dass es nicht ein Einzelner sehr einfach hat, sich missbräuchlich mit dem System Vorteile zu verschaffen. Aber die viel grundsätzlichere Frage ist: Was wird der nächste Schritt sein? Wie schnell wird man draufkommen, dass diese Systeme unter Umständen nicht ausreichend sind und die Behörden wieder erweiterte Befugnisse fordern? Schritte, die ebenfalls isoliert betrachtet, als notwendig und wirksam betrachtet werden können. Irgendwann wird es eine Dimension erreichen, wo wir sagen: Pfuh. Ziemlich mächtig.

Das heißt, der Trojaner ist für Sie der Beginn einer Überwachungsspirale?
Man muss sich klar sein, dass es damit zu einem massivem Eingriff in die Privatsphäre und Freiheit der Menschen kommen kann und zwar wirklich ganz massiv. Man muss sich auch vor Augen führen, dass die, die wirklich schwere Straftaten planen und die keine Dummköpfe sind, im Regelfall Maßnahmen ergreifen werden, um sich davor zu schützen. Sie werden ihr Verhalten ändern, wie sie kommunizieren. Man muss sich daher fragen: Reicht das, um drei bis vier Dumme aus dem Verkehr zu ziehen?

Gerade bei den jüngsten Terroranschlägen wurde bekannt, dass die Personen viel auf persönliche Kommunikation bei Treffen gesetzt haben und die autarken Zellen oft gar nicht miteinander verbunden sind.
Das stimmt natürlich. Bloß zu wissen, dass überwacht wird oder überwacht werden kann wird zu geändertem Verhalten seitens der potentiellen Straftäter führen.

Sind Ihrer Ansicht nach 450.000 Euro Lizenzgebühren für so eine Spyware gerechtfertigt?
Das hängt vom Gesamtpaket ab, was das System kann. Wenn die Kosten dafür ausschließlich dafür da wären, dass man ein einzelnes Betriebssystem damit überwachen kann, ist es zu viel. Wenn das viele verschiedene Systeme einschließt und entsprechende Updates und veränderte Gegebenheiten der Zielsysteme, dann ist es in einem vertretbaren Rahmen.

Was ich allerdings nicht weiß ist, inwieweit man berücksichtigt hat, dass man unter Umständen Leute überwachen muss, denen bewusst ist , dass sie sich in einem kriminellen Bereich bewegen und die entsprechende Maßnahmen ergriffen haben – da beißt sich ein wenig die Katze in den Schwanz.

Ergo – man müsste das System dann entsprechend nachrüsten.
Man kann davon ausgehen, dass derjenige, der Böses vor hat, weiß, dass sein lokales System das Primärziel allfälliger Ermittlungen ist und er Maßnahmen ergreifen wird, dieses System zu schützen. Da beginnt dann ein Katz- und Mausspiel, bei dem ich mir nicht sicher bin, ob man mit 450.000 Euro Lizenzgebühren das Auslangen finden wird. Dort ernsthaft in einen Wettstreit zu treten gegen Menschen, die Menschen und Know-How haben, ihre Systeme zu schützen, wird schwierig.

Wie z.B. bei Organisierter Kriminalität – auch eines der Anwendungsszenarien, die im Gesetzesentwurf angegeben sind…
Definitiv. Bei Organisierter Kriminalität ist das so. Die sind wesentlich arbeitsteiliger spezialisiert als in der freien Marktwirtschaft, haben Wettbewerb in dem Sinn wohl auch, aber da gelten andere Regeln. Da wird viel enger und intensiver kooperiert. Wenn der Druck auf solche Organisationen zu groß wird , weil Überwachung zum Einsatz kommt, entsteht Nachfrage nach Systemen, wie man sich vor entsprechenden Zugriffen schützt. Da wird man draufkommen, dass mit dem Spähtrojaner in der gleichen Spirale drinnen ist wie eine Firma, die sich vor solchen Angriffen schützen will. Das ist ein permanentes Hin –und Her. Der Staat wird relativ schnell draufkommen, dass eine lineare Hochrechnung von 450.000 Euro pro Jahr für Lizenzgebühren eine Fehlannahme sind. Man wird wesentlich mehr und wesentlich schneller Geld brauchen, wenn man seine Systeme adaptieren muss, um erfolgreich zum Ziel zu kommen.

Kommt dann daher die anvisierte Zahl von 12 Milliarden Euro (sic!) bis 2045?
Nein - da frage ich mich, was sie da überwachen wollen. Wenn man flächendeckend jeden User online überwachen will, lasse ich mir das einreden, aber einzelne Systeme zu überwachen, dafür kann ich mir so eine Summe nicht vorstellen.

Wie geht man als Anti-Viren-Hersteller mit einem Staatstrojaner um?
Ganz entspannt geht man damit um. Mir wird der Staat nicht sagen, mit welchem Systemen er wo überwacht. Zweitens wird es ein Zufall sein, dass der Scanner, wenn es sich um einen reinen Anti-Viren-Scanner handelt, was erkennt. Wenn, dann erkennt er bestenfalls einen Virus. Das wird nicht „Bundespolizeitrojaner Nr. 1“ heißen. Selbst wenn wir ihn finden, ist es egal. Bei den anderen Trojanern weiß man auch nicht, woher sie kommen.

Sind Staaten also nicht darauf angewiesen, dass IT-Sicherheitsfirmen bestimmte Software-Updates zurückhalten?
Die Wahrscheinlichkeit, dass eine Behörde auf eine Sicherheitsfirma angewiesen ist, nichts zu erkennen, ist bei Null. Der Trojaner ist nur das Werkzeug aus einer Werkzeugkiste, wo viele Werkzeuge drin liegen.

Ist es dann wirklich sinnvoll, sich als Staat überhaupt auf dieses Katz- und Maus-Spiel einzulassen?
Was ist die Alternative? Wenn ich einen besseren Ansatz wüsste, würde ich ihn vorschlagen. Natürlich: Versuche die Rahmenbedingungen zu ändern, dass so etwas wie Terrorismus gar nicht erst entsteht. Aber das ist nichts, was ein einzelner Staat beeinflussen kann. Man muss sich den Gegebenheiten stellen - und es gibt nun mal Tätergruppen und Menschen, die bewusst einen Schaden herbeiführen wollen und vor denen muss man sich schützen. Wenn sich tatsächlich einmal die politische Großwetterlage ändert und es zu repressiven Entwicklungen kommt, dann bauen sie sich so etwas sowieso. Das wird man nicht verhindern können.

Wie viele Firmen gibt es potentiell, die so eine Software zur Verfügung stellen könnten?
Leider gar nicht so wenig, weil der Markt dafür doch ein lukrativer ist. Da kann sich jeder selbst ein Bild machen, in dem man sich den Surveillance Industry Index anschaut. Der Markt ist riesig. Die Diskussion, die wir hier im Kleinen führen, wird überall auf der Welt geführt und es gibt viele Systeme, die wesentlich repressiver auftreten und viel größer sind. Da werden Milliarden ausgegeben und deswegen gibt es genug Anbieter.