Kein menschenrechtskonformer Einsatz einer Spionagesoftware möglich – Sicherheitslücken sind Bedrohung für alle

Der mittlerweile fünfte Anlauf, einen Bundestrojaner in Österreich einzuführen, ist nach Ansicht von Expert*innen erneut gescheitert. „Der Einsatz einer solchen Spionagesoftware, die bewusst offen gehaltene Sicherheitslücken in IT-Systemen nützt und auf das gesamte Gerät Zugriff hat, ist nicht mit unseren Grund- und Menschenrechten vereinbar“, stellt Thomas Lohninger von der Datenschutzorganisation epicenter.works unmissverständlich klar. Charlotte Deiss von Amnesty International ergänzt: „Wir kennen zahlreiche Beispiele, auch aus Europa, in denen die eingesetzte Überwachungssoftware missbräuchlich verwendet wurde. Es gibt keine Überwachungssysteme, die menschenrechtskonform sind.“ René Mayrhofer von der Johannes Kepler Universität Linz, der sich mit der Sicherheit und dem Einsatz solcher Spyware beschäftigt, warnt ebenfalls: „Um einen Bundestrojaner einsetzen zu können braucht es Sicherheitslücken, die quasi staatlich gefördert werden. Es wird damit in die IT-Unsicherheit aller Geräte investiert, anstatt diese laufend zu verbessern.“

Anlässlich des morgigen Endes der parlamentarischen Begutachtungsfrist ziehen die drei Expert*innen Bilanz über die breite Kritik am aktuellen Gesetzesentwurf: „Die allermeisten Stellungnahmen zeichnen ein einheitliches Bild: Der Einsatz von Überwachungssoftware ist menschenrechtswidrig, egal wie sehr sich die Regierung bemüht, ihn zu kontrollieren. Er birgt die immense Gefahr von missbräuchlicher Verwendung und darf in Österreich nicht zugelassen werden.“

Schon die Begrifflichkeit der Regierung ist irreführend: Es handle sich um viel mehr als eine „Gefährderüberwachung“, so die Expert*innen. Viele Beispiele aus anderen EU-Ländern belegen den Einsatz eines Bundestrojaners auch gegen Journalist*innen, Anwält*innen oder Aktivist*innen.  Auch der Begriff der „Messenger-Überwachung“ sei bewusst von der Regierung gewählt, als ob damit nur Chats mitgelesen werden. „So eine Spionagesoftware hat aber immer vollen Zugriff auf das gesamte Gerät ”, betonen die Expert*innen.

Der Gesetzesentwurf ist bereits der fünfte Versuch, einen Bundestrojaner zu legalisieren. 2016 scheiterte ein entsprechendes Vorhaben bereits in der Begutachtung, 2017 gab es einen zweiten Anlauf, der im Parlament abgelehnt wurde. 2018 wurde unter schwarz-blau ein entsprechendes Gesetz beschlossen, das allerdings ein Jahr später vom Verfassungsgerichtshof aufgehoben wurde, noch bevor es in Kraft getreten war. Vergangenen Sommer schickte Innenminister Gerhard Karner als Reaktion auf das verhinderte Attentat auf ein Taylor-Swift-Konzert erneut einen Gesetzesentwurf in Begutachtung, der auf massive Kritik stieß und letztlich nie im Parlament behandelt wurde.

Verfassungskonformer Einsatz von Spyware ist „rechtliche Fiktion“

Nun versucht es die Regierung erneut, scheitert dabei aber kläglich an der technischen Realität. „Dass der aktuelle Gesetzesentwurf vorsieht, nur solche Überwachungssoftware zuzulassen, die einen verfassungskonformen Einsatz ermöglicht, ist ein löblicher Ansatz“, so Amnesty-Juristin Charlotte Deiss, „aber letztlich ist es eine rechtliche Fiktion, der die technische Realität entgegensteht: Die Einschränkungen, die im Gesetz genannt werden, sind nicht realistisch. Es gibt keine Schadsoftware, die ausschließlich den Zugriff auf bestimmte Chats ermöglicht. Sobald die Sicherheitsmechanismen eines Geräts gebrochen wurden und die Überwachungssoftware im Gerät läuft, hat sie vollen Zugang zu allen Daten des Geräts – unter anderem Kalendereinträge, Fotos, Dateien und andere sensible Daten.“ Der IT-Experte René Mayrhofer warnt vor dem scheinbar offensichtlichen Vergleich mit einer Hausdurchsuchung: „Einerseits, sobald ich die Wohnungstür aufmache, kann ich durch alle Räume gehen – auch wenn ich eigentlich nur das Schlafzimmer durchsuchen sollte. Andererseits, die Schadsoftware bricht nicht nur die Wohnungstür auf, sondern auch alle Zugänge innerhalb, inklusive des Schließfaches mit den Bankdaten, dem Schloss auf dem Tagebuch, usw.“ Ein weiterer wesentlicher Unterschied: Bei einer Hausdurchsuchung kann kontrolliert werden, in welchen Zimmern man sich befindet – das geht bei einem Einsatz eines Bundestrojaners nicht. Das liegt daran, so Thomas Lohninger von epicenter.works, dass der Quellcode, der die genaue Funktionsweise der Software beschreibt, von den Herstellern nicht offengelegt wird. „Das ist ihr Geschäftsgeheimnis, weshalb eine effektive Kontrolle der Systeme nicht möglich ist. Die Regierung schlägt also vor, wir sollten internationalen Überwachungsfirmen blind vertrauen. Damit ist ein effektiver Rechtsschutz pure Fiktion.“

Keine Kontrolle möglich – Hersteller geben Quellcodes nicht preis

Entsprechend große Bedenken haben die Expert*innen hinsichtlich der Systeme selbst. „Solche Software wird bei Unternehmen gekauft, die in einem Graubereich arbeiten. Weder sind diese daran interessiert, ihre Quellcodes preiszugeben, noch ist garantiert, dass dieselbe Software, für die wir bewusst Sicherheitslücken offen lassen, nicht auch von anderen, nicht-staatlichen oder böswilligen Akteur*innen verwendet wird“, verweist Charlotte Deiss auf den missbräuchlichen Einsatz. Durch die fehlende Offenlegung der Quellcodes und weil nicht protokolliert wird, welche Befehle die Überwachungssoftware auf dem Zielgerät ausführt und welche Daten ausgeleitet werden, ist es den Behörden unmöglich, den wahren Funktionsumfang und die Eingriffstiefe der Software tatsächlich zu kontrollieren. Auch die vollständige Entfernung der Spyware nach dem behördlichen Eingriff kann nicht garantiert werden.

Geplante Prüfung durch Rechtsschutzbeauftragten: Seriöse Analyse würde Monate dauern

Der aktuelle Gesetzesentwurf versucht, solche Bedenken auszuräumen, indem die Entscheidung über den Einkauf und Einsatz einer konkreten Software erst nach Prüfung durch einen Rechtsschutzbeauftragten erfolgen darf. „Egal ob dieser Vorschlag tatsächlich ernst gemeint ist oder nur zu Beruhigung der kritischen Stimmen dient: Er ist völlig realitätsfern“, kritisiert Deiss von Amnesty International. Bei dem vorgesehenen Rechtsschutzbeauftragten handelt es sich um eine*n Jurist*in, der/die im Innenministerium angesiedelt ist – und für die Prüfung und Entscheidung, ob die konkrete Software verfassungskonform einsetzbar ist, zwei Wochen Zeit hätte. „Alle IT-Expert*innen sind sich einig, dass eine solche Prüfung – sofern sie überhaupt möglich ist – mehrere Monate dauern würde und durch ein Tech-Team erfolgen müsste.“ Und zwar, ergänzt René Mayrhofer, unter der Annahme der Mitwirkung des Herstellers und der vollständigen Offenlegung der Software – ein, wie bereits genannt, unrealistisches Szenario. Die Überprüfung würde zudem nur eine Stichprobe der einen Version sein – solche Angriffssoftware muss aber ständig aktualisiert und verändert werden. Man müsste also konstant die neuen Versionen prüfen lassen, was wiederum aus Ressourcensicht komplett unrealistisch scheint.

Massengefährdung: Sicherheitslücken sind Gefahr für jedes Handy

Zusätzlich warnt René Mayrhofer vor den Auswirkungen einer solchen Überwachungstechnologie „auch auf Personen, die gar nicht als so genannte Gefährder überwacht werden sollen.“ Denn aktuelle Systeme sind von Haus aus so gebaut, dass sie die Installation von Software, die andere Apps ausliest, gar nicht erlauben – auch nicht als Administrator oder ähnlichem. Um daher mittels einer Spyware in ein Endgerät eindringen zu können, braucht es Sicherheitslücken zum Knacken dieser Sicherheitsmechanismen, die letztlich jedes Gerät betreffen – und auch von kriminellen Hackern ausgenützt werden können. „Der Bundestrojaner ist wie ein gefährliches Virus, das uns alle infizieren kann. Statt eine Impfung zu entwickeln, baut der Staat das Virus aus und investiert in unsere Unsicherheit.“, so auch Thomas Lohninger.

Faktenbasierte Sicherheitspolitik: Bundestrojaner löst keine Probleme

Und das zu enorm hohen Kosten. „Bereits jetzt sind für diese Maßnahme rund 50 Millionen Euro budgetiert – bevor überhaupt klar ist, welche Software eingekauft werden soll.“ Lohninger plädiert für eine „faktenbasierte Sicherheitspolitik“ und der Verwendung der geplanten Ressourcen für Maßnahmen, die nicht nur „gut klingen, sondern auch erfolgversprechend sind.“ „Seit bald zehn Jahren wiederholt sich der Wunsch nach einer staatlichen Spionagesoftware durch unsere Innen- und Sicherheitspolitik“, so Lohninger.

Es gilt, dass „auch ein Bundestrojaner kein Allheilmittel ist und man sich mit IT-Kenntnis oder krimineller Energie leicht davor schützen kann.“ Das bestätigt René Mayrhofer: „Niemand kann garantieren, dass eine Software, die wir heute einkaufen, nicht allzu schnell wieder veraltet ist. Durch die Vielfalt und rasche Weiterentwicklung der Geräte ist es durchaus möglich, dass erst recht nicht ins Zielsystem eingebrochen werden kann. Es wird immer Möglichkeiten geben, Daten verschlüsselt und unlesbar zu halten.“

Zahlreiche Beispiele für missbräuchlichen Einsatz von Spyware 

Amnesty International betont zudem, dass es keinen Fall gibt, wo die Spyware letztlich nicht missbräuchlich eingesetzt wurde – gegen Journalist*innen, Menschenrechtsverteidiger*innen, Politiker*innen, „selbst wenn die Hersteller behaupten, ihre Produkte nur an Regierungen zu verkaufen.“ Auch in Europa gibt es dutzende Beispiele für die missbräuchliche Anwendung – so etwa kürzlich in Serbien, wo die Behörden mittels zweier Software-Systeme die Geräte von Aktivist*innen und Journalist*innen infizierten, die sie im Zuge von Befragungen oder Inhaftierungen ausgehändigt bekommen hatten. Damit hatten sie vollen Zugriff auf sämtliche Daten, konnten Mikrofon und Kamera von der Ferne kontrollieren bzw. die Daten extrahieren. 
Auch bei dem durch die Medien gegangenen Skandal der so genannten Predator Files im Jahr 2023 wurde die Software offiziell für den Kampf gegen organisierte Kriminalität eingesetzt. Amnesty gemeinsam mit anderen Expert*innen deckte jedoch schlussendlich auf, dass auch hochrangige Politiker*innen, Vertreter*innen von international Organisationen, Journalist*innen, Regierungskritiker*innen und Aktivist*innen überwacht wurden. 

Keine Verbesserung möglich: Gesetz darf nicht beschlossen werden

„Diese und dutzende weitere Beispiele, auch in unseren Nachbarländern, zeigen, dass solche Systeme immer missbräuchlich eingesetzt werden. Hochinvasive Spyware darf in Österreich nicht zugelassen und das Gesetz nicht beschlossen werden“, so Charlotte Deiss. Ihre Forderung richtet sich insbesondere an die SPÖ und NEOS, die sich in der Vergangenheit eindeutig gegen ähnliche Vorhaben positioniert hatten. „Sie haben eine Verpflichtung gegenüber der Verfassung. Ein verfassungskonformer Einsatz eines Bundestrojaners ist nicht möglich, egal wie oft Sie das in ein Gesetz schreiben.“