Netzpolitik
08.04.2016

"Staatstrojaner ist ein Einfallstor für Kriminelle"

Warum die vom Justizminister geplante Online-Durchsuchung eine einzige große Sicherheitslücke ist und welche Fragen der Gesetzesentwurf aufwirft, erklären mehrere Experten.

„Beim aktuellen Gesetzesvorschlag von Justizminister Brandstetter handelt es sich um nichts anderes als einen Staatstrojaner, der sämtliche Aktivitäten am Handy, Computer ausspähen soll“, sagte der Justizsprecher der Grünen, Albert Steinhauser, am Freitag bei einer Pressekonferenz der Grünen in Wien. „Der Staatstrojaner ist aber ein Einfallstor für Kriminelle und Wirtschaftsspionage. Es entsteht dadurch ein staatliches Interesse an Sicherheitslücken“, so Steinhauser, der den Gesetzesentwurf bereits vergangene Woche kritisiert hat.

Österreich plant eine staatliche Überwachungssoftware, die eigens für den Zweck der Online-Durchsuchung angeschafft und für die der Bund jährlich hohe Lizenzgebühren von zumindest 450.000 Euro pro Jahr zahlen wird.

"Man fördert damit Sicherheitslücken"

Neben Steinhauser kritisierten auch mehrere IT-Sicherheits-, Datenschutz-, und Überwachungsexperten die geplante staatliche Spyware. „Auf der einen Seite macht man in Österreich ein eigenes Cybersecurity-Gesetz und ruft die Bevölkerung dazu auf, sich selbst mit Anti-Viren-Software und Firewalls zu schützen, auf der anderen Seite fördert man dann mit staatlicher Überwachungssoftware die Unsicherheit von Computersystemen“, kritisiert etwa Andreas Krisch, Vorstand vom Forum Datenschutz und Präsident von EDRi European Digital Rights.

„Die proprietäre Software wird bei Firmen angekauft, die auch Kooperationen mit zweifelhaften Regimen eingehen und die vielleicht auch über Funktionen verfügen, die vielleicht zwar deaktiviert sind, aber mit einem Mausklick aktiviert werden können“, so der Experte. Es sei nämlich höchst unwahrscheinlich, dass Firmen, die diese zugekaufte Software liefern werden, den Quellcode des Programmes offenlegen werden. Das sei aber, so Steinhauser, die einzige Form einer demokratischen Kontrolle.

Sicherheitsbumerang

„Selbst für den Staat ist ein Überprüfen der Software nicht möglich, wenn diese zugekauft wird“, so Krisch. Für Abhilfe könnten da höchstens Sicherheitsaudits sorgen, wie Christoph Tschohl, Jurist und Obmann des AK Vorrat, erklärt. Dies sei jedoch derzeit nicht im Gesetzesentwurf vorgesehen. „Doch genau dies müsste drin stehen.“

Auch Tschohl ortet beim Staatstrojaner einen sogenannten „Sicherheitsbumerang“ und erklärt auch, was er damit meint: „Es besteht eine große Chance, dass die Software entdeckt wird. Damit können Kriminelle Ermittler bewusst auf falsche Fährten locken. Außerdem hat so eine Software immer einen Rückkanal – dieser kann dann selbst zur Schwachstelle werden und dazu führen, dass die Behörden selbst ausspioniert oder gehackt werden“, so der Experte. Das sei in Deutschland etwa im Jahr 2012 bereits passiert.

Zudem sei im Gesetzesentwurf nämlich sehr wohl – anders als behauptet - ein Fernzugriff von außen vorgesehen – dieser sei festgeschrieben, um die Software auch wieder entfernen zu können. Damit widerlegten die Experten die Aussagen von Justizminister Wolfgang Brandstätter, der dies auch zur Argumentation herangezogen hatte, warum der Staatstrojaner eigentlich kein Staatstrojaner sei: „Der mit der SPÖ akkordierte Gesetzesentwurf enthält keine Überwachungsmöglichkeit durch Eindringen von Computersystemen von außen mittels Spionagesoftware und Internetüberwachung“, sagte der Justizminister. „Fakt ist: Das Gesetz ist so formuliert, dass auch eine Ferninstallation der Überwachungssoftware möglich ist“, so Steinhauser.

Alle Dateien werden überwacht

Abseits der Sicherheitsbedenken gibt es im Gesetzesentwurf selbst auch große Schwachstellen. Das Gesetz sieht zwar theoretisch betrachtet einen sehr engen Anwendungsbereich vor, wenn man sich die Begrifflichkeiten aber näher ansieht, kommt man rasch drauf: Die Behörden dürfen damit „fast alles“, was bei einer Online-Durchsuchung, wie sie bereits 2007 in Österreich schon einmal angedacht war und dann als grundrechtswidrig beurteilt wurde, vorgesehen ist. Schuld daran ist die Auslegung des Begriffs „Nachrichten“, wie Krisch erläutert.

„Unter Nachrichten kann man alles, was zwischen Computersystemen ausgetauscht wird, betrachten. Das sind neben E-Mails und Chat-Nachrichten aber auch Up- und Downloads aus und in die Cloud. Das kommt einer Online-Durchsuchung gleich“, sagt Krisch. „Weil es ist eine vollständige Überwachung der Dateien notwendig, um zu beurteilen, was relevant ist und was nicht. Der Begriff Nachricht ist daher mit Datei gleichzusetzen und dann ist die private Fotosammlung auf der externen Festplatte genauso von der Überwachung betroffen wie eine E-Mail“, erklärt der IT-Experte.

Computerforensik und Manipulierbarkeit

Das sei auch aus computerforensischer Sicht äußerst fragwürdig. Denn normalerweise werden in dem Feld nur Kopien angefertigt und die Originale nicht verändert, damit sie als Beweis dienen können. Wenn ein Staatstrojaner auf einem System installiert werde, ist der Originalzustand manipuliert. „Das werden äußerst zweifelhafte Beweise“, so der Experte.

Zudem könne „jeder Informatikstudent im ersten Semester leicht feststellen, ob sein System mit einem Staatstrojaner verseucht sei, oder nicht“, wie Krisch erklärt. „Das geht ganz einfach, in dem man nachsieht, ob Kommunikation nach außen übertragen wird.“ Tschohl fügt hinzu: „Bei Smartphones dürfte das allerdings derzeit noch etwas schwieriger sein, weil man dies nicht so einfach kontrollieren kann.“

Justiz als Zulieferer der Behörden

Auch für Reinhard Kreissl, Kriminalsoziologe und Geschäftsführer von VICESSE Vienna Centre For Societal Security, ist der Staatstrojaner ein heikles Unterfangen. „Die Justiz sieht sich hier als Zulieferer für die Behörden. Die Ermittler wollen die Maßnahme, also machen wir es. Da kann man sich den Rechtsstaat aber bald ganz sparen“, so der Überwachungsexperte. Statt „noch mehr Überwachung“ zu fordern, sollten Staaten vor allem nach Terroranschlägen die bereits vorhandenen Maßnahmen evaluieren.

Denn dass es sich bei dem Staatstrojaner um eine sogenannte „Anlassgesetzgebung“ handelt, steht für die Experten außer Frage. Die Pläne für den Staatstrojaner liegen seit Monaten fertig in der Schublade, wie Steinhauser betont. Man habe sie allerdings bewusst wenige Tage nach dem Terroranschlag in Brüssel aufs Tapet gebracht. Für Tschohl ist das „pietätlos“.

Evaluierung statt mehr Überwachung

Steinhauser, Tschohl und Kreissl sind sich einig: Statt noch mehr Überwachung nach einem Terroranschlag bräuchte es neben einer Evaluierung der Maßnahmen eine Verbesserung der Zusammenarbeit der Nachrichtendienste. „Dahin geht der aktuelle Trend und nicht in Richtung Polizeistaat“, so Kreissl.

Die Begutachtungsfrist zum Gesetzesentwurf ist auf sechs Wochen angelegt. Bis auf die Grünen hat sich noch keine Partei dazu öffentlich geäußert. Seitens des Justizministerium heißt es mehrfach, dass der Entwurf mit der SPÖ akkordiert sei. Nach dem Beschluss im Parlament soll das Gesetz mit 1. Jänner 2017 in Kraft treten.