Der Staat als Sicherheitsrisiko

Sie versuchen es wieder: Eines der zentralen Vorhaben der Bundesregierung ist die Einführung der Überwachung von Messenger-Diensten, also etwa TikTok, WhatsApp, Signal und andere Dienste. Im Regierungsprogramm wurde dieses Vorhaben eher versteckt verankert. Auf Seite 81 heißt es: "Schaffung einer verfassungskonformen Gefährder-Überwachung zum Zweck gezielter Terrorbekämpfung auf Basis des Begutachtungsentwurfs 350/ME XXVII.GP".

Juristische Bedenken

Bereits 2024 gab es dazu einen Entwurf, doch es gab verfassungsrechtliche Bedenken. Unter der ÖVP-FPÖ-Regierung hatte man 2018 diese Art von Überwachung erlaubt. Ein Jahr später befand der Verfassungsgerichtshof (VfGH), dass dieses Gesetz verfassungswidrig sei, es kam daher nie zum Einsatz. In der Begründung hieß es unter anderem, dass das Gesetz einen schwerwiegenden Eingriff in die Privatsphäre darstelle. Es sei schwammig formuliert, eine Überwachung ohne Anlass sei nicht auszuschließen und es würde viele unbeteiligte Personen treffen.

Nun macht man einen neuerlichen Versuch. Wiederum geht es (angeblich) nur darum, Terroranschläge zu verhindern und „Gefährder“, ein Begriff aus der Terrorbekämpfung, rechtzeitig zu identifizieren. In diesem Zusammenhang werden jüngste Terroranschläge oder geplante Anschläge in Österreich angeführt.

Unverständnis bei Technikern

Dass sich die Regierung den Zugriff auf verschlüsselte Kommunikation zur Priorität macht, stößt bei Technikern und Datenschützern auf Unverständnis. „Über die letzten Jahrzehnte hinweg wurden Überwachungsbestimmungen immer weiter ausgeweitet, anstatt sinnvolle Prävention sowie Strafverfolgung zu betreiben. Die Gründe dafür mögen je nach Regierung und Anlassfall unterschiedlich gewesen sein, prinzipiell lässt sich aber ein immer stärkeres Abweichen vom Grundsatz der offenen Strafverfolgung ausmachen. Dieser Grundsatz stammt aus der Geburtsstunde unserer demokratischen Republik und soll staatlicher Willkür und Massenüberwachung vorbeugen“, heißt es in einer Stellungnahme des „Chaos Computer Club Wien“ (C3W) zu dem Vorhaben.

Der C3W fördert nach Eigendefinition den kritischen Umgang mit elektronischen Medien sowie den Risiken und Nebenwirkungen der elektronischen Kommunikation und versteht sich als Vertreter der Zivilgesellschaft.

In Bayern wurde bereits 2007 gegen die Einführung des "Bundestrojaners" von IT-Experten protestiert. © CommonsWikimedia.

Unklar ist zunächst noch, über welchen Weg die Regierung verschlüsselte Nachrichten aufbrechen will. Technikexperten vermuten, dass dieser Zugriff über Spähsoftware erfolgen soll, die unter Ausnutzung von Sicherheitslücken auf die Endgeräte, wie Smartphones, Tablets oder Standcomputern kommt. "Eine Überwachung mittels Spähsoftware ist ein Eigentor für die österreichische IT-Sicherheit", sagt Bruno Tiefengraber vom Chaos Computer Club Wien im Gespräch mit dem Libratus Magazin. Damit würde der Staat einen Markt für Sicherheitslücken finanzieren. Und da er ein Interesse daran habe, dass ausgenutzte Sicherheitslücken offenbleiben, gefährde die Politik damit kritische Infrastruktur, meint Tiefengraber.

Stellungnahme eingebracht

In der Stellungnahme der IT-Experten zum Gesetzesentwurf heißt es: „Das Grundproblem der Überwachung verschlüsselter Nachrichten (§ 6 Z 9) mithilfe einer eingebrachten Software geht weit über die Überwachungsproblematik selbst hinweg. Es stellt sich die Frage, wie die Überwachungssoftware auf das zu überwachende Endgerät kommt. Hierzu finden sich im aktuellen Gesetz keine Einschränkungen. Daher ist davon auszugehen, dass die Überwachungssoftware nicht nur durch direkten physischen Zugriff, sondern (zumindest gelegentlich) auch remote eingebracht werden.“

Und weiter: „Eine solche Einbringung ist technisch nur mit Hilfe der Ausnutzung von Sicherheitslücken möglich, die man zuvor ausfindig gemacht hat. Damit übt der Staat gleich in mehrerer Hinsicht ein sicherheitsgefährdendes Verhalten aus. Einerseits erfolgt die Auffindung dieser Sicherheitslücken zumeist über den Markt für Sicherheitslücken. Dadurch werden aktiv Akteure unterstützt, die daran interessiert sind solche Lücken nicht zu schließen, sondern diese unter anderem auch an illegal handelnde Akteure oder Drittstaaten weiterverkaufen. Andererseits entwickelt der Staat damit ein Eigeninteresse am Offenhalten von Sicherheitslücken, die anstatt, dass diese den Betreibern gemeldet werden, bewusst offengehalten werden. Dies gefährdet damit nicht bloß die IT-Geräte der Überwachten, sondern die IT-Sicherheit aller.“

Markt für Sicherheitslücken

„Es gibt international einen Markt für IT-Sicherheitslücken“, berichtet Tiefengraber. Private Researcher suchen diese Lücken in den Systemen, manche für Behörden, manche lassen sich von privater Seite dafür bezahlen. „Dieses Wissen kann auch in die Illegalität wandern“, erklärt IT-Experte Tiefengraber. Dieses Wissen um Sicherheitslücken werde auch auf dem Schwarzmarkt gehandelt. Wer also diese Schwachstellen ausnütze, könne der Staat nicht beeinflussen oder gar entscheiden. Wenn es also etwa um Sicherheitslücken bei Smartphones gehe, dann wären zwei Drittel der Bevölkerung davon betroffen, warnt Tiefengraber. Und auch wenn man das Gesetz auf Einzelgeräte zuschneide, könne man es problemlos zu einer Massenüberwachung ausdehnen.

Personen, die Illegales vorhaben, wie etwa Terroristen, hätten technische Möglichkeiten, der Überwachung zu entgehen, die Fahnder hinken immer hinterher. „Es wären also dann vor allem Bürger, die nicht so technik-affin sind, davon betroffen“, warnt Tiefengraber.

Daraus resultiere eine zunehmende Massenüberwachung, aus der ein riesiger Berg an Daten entsteht, die dann nicht mehr nachhaltig und zielgerichtet in der nötigen Intensität ausgewertet werden können. „Die buchstäbliche Nadel im Heuhaufen: Eine Massenüberwachung der Messengerdienste scheitert nicht an den technischen Möglichkeiten, sondern an den Datenmengen“, sagt Tiefengraber. Selbst die US-Geheimdienste, die erhebliche Ressourcen reinsteckten, würden die meisten Attentäter durch Tipps aus dem Umfeld finden.

Politiker keine Ahnung von IT

Warum will dann die Politik ein derartiges Gesetz überhaupt machen? „Leider haben die meisten Politiker keine Ahnung von IT.“ Zur Verhinderung von Anschlägen käme es meist nicht wegen lückenloser Überwachung, sondern durch Tipps aus dem Milieu, weiß Tiefengraber. Dazu gibt es etliche Beispiele: So etwa wurden Anschläge auch mittels eines unverschlüsselten Chats auf Spielekonsolen geplant.

Neben dem Einsatz von Spähsoftware stehen auch andere Modelle wie die verpflichtende Kooperation mit Messengerdiensten oder technische Schnittstellen zur Überwachung verschlüsselter Nachrichten im Raum. Experten verweisen darauf, dass solche Maßnahmen bisher kaum praktische Wirkung entfalten konnten. Etwa weil Anbieter nicht kooperieren oder Verdächtige auf andere Dienste ausweichen.

Wirkungsvolle Alternativen

Anstatt neue Überwachungsmaßnahmen zu schaffen, sehen Fachleute wirkungsvollere Alternativen zur Terrorismusprävention. Aus kriminologischer Sicht bestünden bereits jetzt Möglichkeiten zur Auswertung beschlagnahmter Geräte oder zur verdeckten Ermittlung. "Für die gezielte Aufklärung braucht es keine neuen Werkzeuge. Vielmehr muss der bestehende Werkzeugkasten genutzt und mit sozialer Sicherheit ergänzt werden", so Tiefengraber.

In ihrem Kommentar zum Gesetzesentwurf zur Überwachung ziehen die IT-Experten folgendes Resumee: „Es könnte sich bei der Befugnis daher um ein Machtinstrument handeln, das von künftigen Regierungen gegen die eigene Bevölkerung missbraucht werden könnte“.