Stellungnahme zum Staatstrojaner

Mit dem "Entwurf des Bundesministeriums für Justiz eines Bundesgesetzes, mit dem die Strafprozessordnung 1975 und das Staatsanwaltschaftsgesetz geändert werden sollen (192/ME XXV. GP)", soll in Österreich der Rechtsrahmen für einen Staatstrojaner geschaffen werden.

Der Chaos Computer Club Wien (C3W) hat in Zusammenarbeit mit dem Chaos Computer Club e.V. (CCC e.V.) dazu eine ausführliche Stellungnahme abgegeben.

Im Vorschlag des Ministerialentwurf finden sich unzulässige Grundrechtseingriffe und ein weder technisch noch legistisch ausreichend bestimmtes Vorhaben. Eine Wirkungsfolgenabschätzung, die über einen Kostenschätzung hinausgeht, fehlt. Mangels Problem- und Zieldefinition kann nicht beurteilt werden, ob die vorgeschlagenen Maßnahmen einen grundgesetzlich zulässigen Zweck erreichbar machen, auch eine zukünftige Evaluierung wird so nicht möglich sein. Daher lehnen wir diesen Gesetzesvorschlag ab.

Die gesamte Stellungnahme kann auf der Webseite des Österreichischen Parlaments unter https://www.parlament.gv.at/PAKT/VHG/XXV/SNME/SNME_06797/index.shtml abgerufen werden

Rechtsfiktion

Der Ministerialentwurf behauptet, sich auf Kommunikationsüberwachung zu beschränken und damit eine wesentlich geringere Eingriffstiefe als eine Online-Durchsuchung zu bewirken.
Dies ist reine Rechtsfiktion. Selbst wenn die Darstellung im juristischen Elfenbeinturm zulässig wäre, ist sie technisch mit den Vorgaben des Entwurfs nicht umsetzbar.

Zur Kommunikationsüberwachung müsste die beamtete Schadsoftware, so vielfältig sein wie die mögliche Anzahl der Übertragungsprogramme – E-Mail, Instant Messenger, eine Vielzahl von Internet-Browsern, etc.. Selbst Anwendungen für Fernwartung müssten einbezogen sein. So vielfältig, wie die Anwendungen zur Kommunikation, so groß ist die Fehleranfälligkeit einer entsprechenden Schadsoftware.

Technische Restriktionen

Computer sind hochkomplexe Systeme (Kombinationen von einer Vielzahl an Hardwareelementen, Betriebssystemen und Anwendungen mit benutzerspezifischen Anpassungen). Ein Einbringen von Überwachungssoftware setzt ausnutzbare Sicherheitslücken im Zielsystem voraus und stellt ein schwerwiegenden Eingriff dar. Daten, die von einem solcherart ungeschützten System ausgehen, können von Dritten wie auch von übereifrigen Behörden ge- oder verfälscht sein und sind dementsprechend von zweifelhafter Beweiswürdigkeit. Das Einbringen behördlicher Schadsoftware selbst beweist, dass das überwachte Gerät ungenügend gegen Zugriffe Dritter geschützt war.

Wie kann Schadsoftware in ein Computersystem eingebracht werden?

In der Erläuterung und Presseauftritten wird behauptet, der Gesetzesentwurf sehe die Einbringung der Schadsoftware ausschließlich durch Installation vor Ort vor. Im vorgeschlagenen Gestztestext fehlt diese Einschränkung. Tatsächlich kann die Schadsoftware ebenfalls unerkannt vom Besitzer des Gerätes über den entfernten Zugriff durch Sicherheitslücken aufgespielt werden. Dies wird vom Gesetzesentwurf – anders als behauptet – explizit nicht ausgeschlossen.

Telekommunikationsüberwachung – Trojaner – Spionagewerkzeug – Schadsoftware

Technisch besteht zwischen einer im Gesetzesvorschlag behaupteten "Quellen-TKÜ" und einer sogenannten „Online-Durchsuchung“ in Computersystemen kein Unterschied. Beide sind informationstechnisch als Schadprogramme klassifizierte Spionagewerkzeuge, die eine Kommunikation vor einer möglichen Verschlüsselung abgreifen.
Eine "Quellen-TKÜ" darf erst bei tatsächlicher Nachrichtenübermittlung durch den Benutzer eingesetzt werden. Da es bei Programmen nach aktuellem Stand der Sicherheitstechnik nur möglich ist, Nachrichten nach ihrer möglichen Verschlüsselung abzufangen, ist eine Überwachung damit einer "Online-Durchsuchung" gleich zu setzen.

Abgrenzung von Kommunikation gegenüber anderen Daten

Ein Entwurf einer E-Mail oder eines Beitrags in einem Web-Forum kann jederzeit vor dem Absenden abgelegt, verändert oder gelöscht werden, ohne dass eine Überwachungssoftware dies zuverlässig registrieren könnte. Damit führt die "Quellen-TKÜ" unausweichlich zu einer Überwachung von Notizen und festgehaltenen Gedanken, da nicht vorhergesagt werden kann, ob diese jemals zu Kommunikation werden.

Qualitätsanspruch bei der Gesetzwerdung

Die grundlegenden Ansprüche an ein qualitatives legistisches Verfahren – eine klare Problembeschreibung, eine klare Zieldefinition, Kriterien zur Erfolgsmessung und eine über die Kosten hinausgehende Folgenabschätzung, Plausibilität der Angaben zur Wesentlichkeit hinsichtlich der Abschätzung der Auswirkungen innerhalb der Wirkungsdimensionen – sind ebenso wenig erkennbar wie eine zwingend notwendige Eingrenzung auf informationstechnische Systeme, die nicht sicherheitsrelevant sind und keine Gefahr für Leib oder Leben (Kraftfahrzeuge, Gesundheitssysteme...) darstellen können.

Fazit

Wir halten den Gesetzesvorschlag für unausgereift und technisch undurchdacht. Denn Kommunikationsüberwachung durch Schadsoftware bringt eine Vielzahl gravierender sicherheitsrelevanter, beweistechnischer und rechtlicher Problemen mit sich.
Aufgrund technischer Einschränkungen ist eine alleinige Überwachung von Kommunikation durch eingebrachte Schadsoftware unrealistisch. Vielmehr führt diese dazu, dass das überwachte System kompromittiert und gefährdet ist. Wir sehen darin einen tiefgreifenden Grundrechtsbruch.