Verfassungskonformer Einsatz von Spyware ist „rechtliche Fiktion“
Nun versucht es die Regierung erneut, scheitert dabei aber kläglich an der technischen Realität. „Dass der aktuelle Gesetzesentwurf vorsieht, nur solche Überwachungssoftware zuzulassen, die einen verfassungskonformen Einsatz ermöglicht, ist ein löblicher Ansatz“, so Amnesty-Juristin Charlotte Deiss, „aber letztlich ist es eine rechtliche Fiktion, der die technische Realität entgegensteht: Die Einschränkungen, die im Gesetz genannt werden, sind nicht realistisch. Es gibt keine Schadsoftware, die ausschließlich den Zugriff auf bestimmte Chats ermöglicht. Sobald die Sicherheitsmechanismen eines Geräts gebrochen wurden und die Überwachungssoftware im Gerät läuft, hat sie vollen Zugang zu allen Daten des Geräts – unter anderem Kalendereinträge, Fotos, Dateien und andere sensible Daten.“ Der IT-Experte René Mayrhofer warnt vor dem scheinbar offensichtlichen Vergleich mit einer Hausdurchsuchung: „Einerseits, sobald ich die Wohnungstür aufmache, kann ich durch alle Räume gehen – auch wenn ich eigentlich nur das Schlafzimmer durchsuchen sollte. Andererseits, die Schadsoftware bricht nicht nur die Wohnungstür auf, sondern auch alle Zugänge innerhalb, inklusive des Schließfaches mit den Bankdaten, dem Schloss auf dem Tagebuch, usw.“ Ein weiterer wesentlicher Unterschied: Bei einer Hausdurchsuchung kann kontrolliert werden, in welchen Zimmern man sich befindet – das geht bei einem Einsatz eines Bundestrojaners nicht. Das liegt daran, so Thomas Lohninger von epicenter.works, dass der Quellcode, der die genaue Funktionsweise der Software beschreibt, von den Herstellern nicht offengelegt wird. „Das ist ihr Geschäftsgeheimnis, weshalb eine effektive Kontrolle der Systeme nicht möglich ist. Die Regierung schlägt also vor, wir sollten internationalen Überwachungsfirmen blind vertrauen. Damit ist ein effektiver Rechtsschutz pure Fiktion.“
Keine Kontrolle möglich – Hersteller geben Quellcodes nicht preis
Entsprechend große Bedenken haben die Expert*innen hinsichtlich der Systeme selbst. „Solche Software wird bei Unternehmen gekauft, die in einem Graubereich arbeiten. Weder sind diese daran interessiert, ihre Quellcodes preiszugeben, noch ist garantiert, dass dieselbe Software, für die wir bewusst Sicherheitslücken offen lassen, nicht auch von anderen, nicht-staatlichen oder böswilligen Akteur*innen verwendet wird“, verweist Charlotte Deiss auf den missbräuchlichen Einsatz. Durch die fehlende Offenlegung der Quellcodes und weil nicht protokolliert wird, welche Befehle die Überwachungssoftware auf dem Zielgerät ausführt und welche Daten ausgeleitet werden, ist es den Behörden unmöglich, den wahren Funktionsumfang und die Eingriffstiefe der Software tatsächlich zu kontrollieren. Auch die vollständige Entfernung der Spyware nach dem behördlichen Eingriff kann nicht garantiert werden.