Langversion eines am 2. August im FALTER 31/17 erschienenen Gastkommentars des Autors.
Immer öfter lesen und hören wir, dass Trojaner und sonstige Schadsoftware enorme Schäden anrichten und sogar Krankenhäuser oder andere kritische Infrastrukturen lahmlegen. Den Verantwortlichen für das Überwachungspaket der Bundesregierung muss bewusst sein, dass ihre Pläne für das Abhören verschlüsselter Chats am Handy Teil dieser Erzählung sind.
Geht es nach den Vorstellungen des Justizministers, soll der Bundestrojaner gar keiner sein. Es ist ein legitimes Anliegen, verschlüsselte Chats Verdächtiger unter denselben Voraussetzungen wie SMS und Telefonate zu überwachen, wenn es der Prävention und Aufklärung schwerer Straftaten dient. Nicht legitim ist, dass auch die Überwachung beliebiger Dritter erlaubt werden soll, mit denen ein Verdächtiger kommunizieren könnte, wie das aktuell geplant ist. Das kann jede und jeden von uns treffen. Die Folgen der geplanten Lösung gehen aber noch viel weiter und treffen tatsächlich uns alle. Anstatt für mehr Sicherheit zu sorgen, gefährden die Pläne des Justizministers unsere Sicherheit, nämlich die Sicherheit von Computersystemen, die weltweit millionenfach genutzt werden – von Ihnen, von mir, in Krankenhäusern, auch in der Justiz und von der Polizei. Erst vergangene Woche wurde gemeldet, dass für die österreichische Polizei tausende iPhones und iPads beschafft werden.
Die Technologiebranche arbeitet seit Jahren daran, Software möglichst sicher und Verschlüsselung möglichst unknackbar zu machen. Das ist gut so. Immerhin sind vitale Funktionen von Wirtschaft und Gesellschaft davon abhängig. Zahlreiche Sicherheitsspezialistinnen und -spezialisten in aller Welt bestätigen: Die einzig denkbare Variante zur Überwachung von WhatsApp und ähnlichen Chatprogrammen ist, die Kommunikation vor der Verschlüsselung oder nach der Entschlüsselung abzufangen. Die Verschlüsselung selbst ist bei vertrauenswürdigen Produkten nicht zu knacken. Auch das ist gut so, sonst könnten das auch Kriminelle und Diktatoren.
Also müsste eine spezielle Software am Gerät installiert werden, die man aus technischer Sicht völlig zu Recht als Bundestrojaner bezeichnen kann. Unwahrscheinlich ist, dass die Polizei für die Installation vorübergehend das Smartphone des Verdächtigen in die Hände bekommt. Daher bleibt nur die Ferninstallation. Die Polizei könnte versuchen, Verdächtige mit gefälschten E-Mails dazu zu bringen, sich durch Klick auf einen interessant klingenden Link die Software unabsichtlich selbst zu installieren. Auch diese Variante ist in einem Rechtsstaat strikt abzulehnen. Wenn in jeder behördlichen Nachricht ein Bundestrojaner versteckt sein könnte, schadet das dem Vertrauen in die staatlichen Institutionen und Österreichs jahrzehntelangen Bemühungen, Vorreiter im E-Government zu sein.
Wenn die zu überwachende Person nichts von der Ferninstallation der Überwachungssoftware merken soll, kann diese nur über eine Sicherheitslücke eingeschleust werden. Damit beschreitet der Staat denselben Weg wie Cyberkriminelle. Diese infizieren Systeme mit Schadsoftware über ebensolche Lücken. Laut Studien werden allein die durch Erpressungssoftware weltweit verursachten Schäden im Jahr 2017 etwa 5 Milliarden US-Dollar ausmachen. Der Erpressungstrojaner „WannaCry“, der im Mai enorme Schäden anrichtete, auch in Krankenhäusern, nützte nachweislich eine Sicherheitslücke, die der US-Geheimdienst NSA mehr als fünf Jahre lang selbst ausnützte, anstatt sie Microsoft zu melden, damit sie in unser aller Windows-Systemen behoben wird. Wenn Staaten Wissen über Sicherheitslücken erwerben, horten und ausnutzen, anstatt sie an die Hersteller der betroffenen Systeme zu melden, werden sich die Berichte über durch Trojaner verursachte Schäden häufen.
Fraglich ist auch, ob das kleine Österreich in diesem Spiel überhaupt so mitspielen kann, wie sich das der Justizminister vorstellt. Sicherheitslücken in weit verbreiteten Systemen werden nicht alle Tage gefunden und zum Teil um Millionensummen gehandelt. Nur in Kooperation mit anderen Staaten oder einem großen Softwarehersteller als Lieferant des Bundestrojaners kann Österreich realistischerweise mitspielen. Der Staat fördert so letztlich mit Steuergeld die Aufrüstung im Cyberwar. Auch die vom Justizminister geplante Prüfung der Beschränkung des Programms auf die gesetzlich vorgesehenen Funktionen ist in dieser Konstellation Wunschdenken.
So legitim das Anliegen auch sein mag: Wer die Überwachung von end-to-end-verschlüsselter Kommunikation über WhatsApp oder ähnliche Dienste mit der Überwachung von SMS vergleicht, träumt leider von warmen Eislutschern. Die „Lösung“ des Justizministers ist und bleibt ein Bundestrojaner. Dieser ist auf Sicherheitslücken angewiesen, gefährdet so die Sicherheit aller und ist daher abzulehnen.
Der Bundestrojaner ist nur ein Teil des Überwachungspakets der Bundesregierung, zu dem die OCG bis zum Ende der offiziellen Begutachtungsfrist am 21. August noch ausführlich Stellung nehmen wird. Im Übrigen bedarf es dringend einer Überwachungsgesamtrechnung zur Evaluierung der Wirksamkeit und der Folgen bestehender Überwachungsgesetze und einer darauf basierenden evidenzbasierten Sicherheitspolitik.
Walter Hötzendorfer, Informatiker und Jurist, forscht mit den Schwerpunkten Datenschutz und Datensicherheit am „Research Institute – Zentrum für digitale Menschenrechte“ in Wien, ist OCG-Vorstandsmitglied und Co-Leiter des OCG Forum Privacy
EDU/days 2024
