1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
|
title: Österreich: Stellungnahme zum Staatstrojaner
date: 2016-05-13 00:04:00
updated: 2016-05-13 17:58:54
author: 46halbe
tags: update, pressemitteilung
previewimage: /images/AT-trojaner.png
Auch in Österreich plant der Gesetzgeber die Infiltration von Computern mit Überwachungssoftware. Der Chaos Computer Club Wien (C3W) hat in Zusammenarbeit mit dem Chaos Computer Club e. V. (CCC) dazu eine ausführliche Stellungnahme an das österreichische Justizministerium abgegeben, die wir hiermit zur Verfügung stellen.
<!-- TEASER_END -->
Mit dem „Entwurf des Bundesministeriums für Justiz eines Bundesgesetzes,
mit dem die Strafprozessordnung 1975 und das Staatsanwaltschaftsgesetz
geändert werden sollen (192/ME XXV. GP)“, soll in Österreich der
Rechtsrahmen für einen Staatstrojaner geschaffen werden.
Im Vorschlag des Ministerialentwurfs finden sich unzulässige
Grundrechtseingriffe und ein weder technisch noch legalistisch
ausreichend bestimmtes Vorhaben. Eine Wirkungsfolgenabschätzung, die
über einen Kostenschätzung hinausgeht, fehlt.
Wir lehnen diesen Gesetzesvorschlag ab.
#### Rechtsfiktion
Der Ministerialentwurf behauptet, der Trojaner würde sich auf
Kommunikationsüberwachung beschränken und damit eine wesentlich
geringere Eingriffstiefe als eine „Online-Durchsuchung“ bewirken. Dies
ist reine Rechtsfiktion. Selbst wenn die Darstellung im juristischen
Elfenbeinturm zulässig wäre, ist sie technisch mit den Vorgaben des
Entwurfs nicht umsetzbar.
Zur Kommunikationsüberwachung müßte die beamtete Schadsoftware so
vielfältig sein wie die mögliche Anzahl der Übertragungsprogramme:
E-Mail, Instant Messenger, eine Vielzahl von Internet-Browsern etc.
Selbst Anwendungen für Fernwartung müßten einbezogen sein. So vielfältig
wie die Anwendungen zur Kommunikation, so groß ist die
Fehleranfälligkeit einer entsprechenden Schadsoftware.
#### Technische Restriktionen
Computer sind komplexe Systeme, deren Infiltration ausnutzbare
Sicherheitslücken für das Einbringen von Überwachungssoftware
voraussetzt. Das stellt einen schwerwiegenden Eingriff dar. Daten, die
von einem solcherart infiltrierten System ausgehen, können von Dritten
wie auch von übereifrigen Behörden ge- oder verfälscht werden und sind
dementsprechend von zweifelhafter Beweiswürdigkeit. Das Einbringen
behördlicher Schadsoftware selbst beweist, daß das überwachte Gerät
ungenügend gegen Zugriffe Dritter geschützt war.
#### Wie kann Schadsoftware in ein Computersystem eingebracht werden?
In der Erläuterung und in Presseauftritten wurde behauptet, der
Gesetzesentwurf sehe die Einbringung der Schadsoftware ausschließlich
durch Installation vor Ort vor. Im vorgeschlagenen Gesetzestext fehlt
diese Einschränkung. Tatsächlich kann die Schadsoftware ebenfalls
unerkannt vom Besitzer des Gerätes über den entfernten Zugriff durch
Sicherheitslücken aufgespielt werden. Dies wird vom Gesetzesentwurf –
anders als behauptet – explizit nicht ausgeschlossen.
#### Telekommunikationsüberwachung – Trojaner – Spionagewerkzeug – Schadsoftware
Technisch besteht zwischen einer im Gesetzesvorschlag behaupteten
„Quellen-TKÜ“ (Quellen-Telekommunikationsüberwachung) und einer
sogenannten „Online-Durchsuchung“ in Computersystemen kein Unterschied.
Beide sind informationstechnisch als Schadprogramme klassifizierte
Spionagewerkzeuge, die beispielsweise eine Kommunikation vor einer
möglichen Verschlüsselung abgreifen.
Eine „Quellen-TKÜ“ darf erst bei tatsächlicher Nachrichtenübermittlung
durch den Benutzer eingesetzt werden. Da vorgesehen ist, Nachrichten vor
ihrer möglichen Verschlüsselung abzufangen, ist der
Telekomminukationsüberwachungs-Trojaner damit einer
„Online-Durchsuchung“ gleichzusetzen.
#### Abgrenzung von Kommunikation gegenüber anderen Daten
Ein Entwurf einer E-Mail oder eines Beitrags in einem Web-Forum kann
jederzeit vor dem Absenden abgelegt, verändert oder gelöscht werden,
ohne daß eine Überwachungssoftware dies zuverlässig registrieren könnte.
Damit führt die „Quellen-TKÜ“ unausweichlich zu einer Überwachung von
Notizen und festgehaltenen Gedanken, da nicht vorhergesagt werden kann,
ob diese jemals zu Kommunikation werden.
#### Qualitätsanspruch bei der Gesetzwerdung
Die grundlegenden Ansprüche an ein qualitatives legalistisches Verfahren
– eine klare Problembeschreibung, eine klare Zieldefinition, Kriterien
zur Erfolgsmessung und eine über die Kosten hinausgehende
Folgenabschätzung, Plausibilität der Angaben zur Wesentlichkeit
hinsichtlich der Abschätzung der Auswirkungen innerhalb der
Wirkungsdimensionen – sind ebenso wenig erkennbar wie eine zwingend
notwendige Eingrenzung auf informationstechnische Systeme, die nicht
sicherheitsrelevant sind und keine Gefahr für Leib oder Leben (etwa
Kraftfahrzeuge, Gesundheitssysteme) darstellen können.
#### Fazit
Wir halten den Gesetzesvorschlag für unausgereift und technisch
undurchdacht. Denn Kommunikationsüberwachung durch Schadsoftware bringt
eine Vielzahl gravierender sicherheitsrelevanter, beweistechnischer und
rechtlicher Probleme mit sich.
Aufgrund technischer Einschränkungen ist eine alleinige Überwachung von
Kommunikation durch eingebrachte Schadsoftware unrealistisch. Vielmehr
führt diese dazu, daß das überwachte System kompromittiert und gefährdet
ist. Wir sehen darin einen tiefgreifenden Grundrechtsbruch.
#### Links:
- Die [Stellungnahme](/system/uploads/209/original/192_M_Stellungnahme_C3W_f.pdf "Stellungnahme des CCC zum österreichischen Staatstrojaner")
(pdf).
- Die gesamte Stellungnahme kann auf der Webseite des Österreichischen
Parlaments unter\
<https://www.parlament.gv.at/PAKT/VHG/XXV/ME/ME_00192/index.shtml>
abgerufen werden.
|