Der Staat sattelt das trojanische Pferd

Der Staat sattelt das trojanische Pferd
Online-Überwachung: Justiz plant, bei Terrorverdacht auch auf Spielkonsolen Spionagesoftware zu installieren.

Wenn die Datenschützer vom Arbeitskreis Vorratsdaten Österreich (AKVorrat) am kommenden Dienstag vor dem Justizministerium aus Protest ein eineinhalb Meter hohes Holzpferd zersägen, dann ist es längst beschlossene Sache: Die Justiz plant bei Terrorverdacht bzw. in Fällen organisierter Kriminalität die Überwachung der Online-Kommunikation mittels Software-Trojanern, seien es mit dem Internet verbundene Spielekonsolen oder Nachrichtendienste wie WhatsApp auf Smartphone, Tablet oder Notebook.

Die Frage ist nur noch: Wie schmuggeln die Ermittlungsbehörden die Überwachungssoftware gezielt in jenes Gerät, auf dem sie die damit gesetzten Aktivitäten unbemerkt verfolgen wollen?

Umstritten

Der Entwurf des Justizministerium zur Änderung der Strafprozessordnung, mit dem die Online-Überwachung ausgeweitet werden soll, ist heftig umstritten. Die Notwendigkeit der Maßnahmen wird damit begründet, dass die Kommunikation der Attentäter von Paris im November 2015 nicht über Telefonate oder SMS, sondern über Spielekonsolen erfolgte. Man wolle die Kommunikation mutmaßlicher Täter besser überwachen können.

Laut den Datenschützern von AKVorrat handelte es sich dabei jedoch um eine mediale Fehlinformation. Eine Zeitungsente führe nun also zum Bundestrojaner. Auch die Rechtsanwälte beklagen, dass die Regierung die Angst der Bevölkerung vor Terroranschlägen dazu nutze, unverhältnismäßige Eingriffe in Grundrechte durchzusetzen.

Den Staatsanwälten und Richtern gehen die geplanten Maßnahmen hingegen nicht weit genug. Das Justizministerium hatte die Absicht, die Installation einer Überwachungssoftware auf den Geräten verdächtiger Personen nur mit direktem physischem Zugriff zu erlauben. Der Ermittler müsste das Handy unbemerkt in die Hand bekommen, um den Trojaner installieren zu können. Eine Ferninstallation über das Internet – also der Einsatz von Hackern von außen – sollte ausgeschlossen sein.

Der Präsident des Obersten Gerichtshofes (OGH), Eckart Ratz, und andere Justizfunktionäre können im vorgeschlagenen Gesetzestext allerdings keinen solchen Ausschluss der sogenannten Remote-Installation erkennen. Sollte der Gesetzgeber diese "tatsächlich ausschließen wollen, wäre der Gesetzestext zu präzisieren", stellt Ratz fest. Allerdings gibt der OGH-Präsident zu bedenken, dass eine solche Einschränkung die praktische Durchführbarkeit der Maßnahme "weitgehend reduzieren würde." Welcher Terrorist lässt sein Smartphone schon so lange unbeobachtet liegen, bis ein Fahnder einen Überwachungstrojaner installiert hat?

Sektionschef Christian Pilnacek erkennt im Gespräch mit dem KURIER an, dass die Frage der Ferninstallation im Gesetzestext (noch) nicht präzisiert ist. Der Einwand des OGH-Präsidenten und anderer, die zur Reform Stellung genommen haben, spiele eine gewisse Rolle. Man denke in alle Richtungen. Soll heißen: Gut möglich, dass die Ferninstallation erlaubt wird.

Gefährdung

Pilnacek kündigt an, Computertechniker zu Rate zu ziehen, ob so ein Fernzugriff überhaupt ohne Gefährdung möglich ist. Es muss verhindert werden, dass etwa im öffentlichen WLAN-Bereich Hunderte oder Tausende Unbeteiligte die schadhafte Software (den Überwachungstrojaner) zugespielt bekommen.

Die Uniprofessoren Reinhard Pichler und Hannes Werthner von der Fakultät für Informatik der TU Wien sagen, dass die Entfernung einer solchen einmal empfangenen Software ohne Schädigung des Systems gar nicht mehr möglich ist. Und sie geben zu bedenken, dass der Staat die Bürger doch vor cyberkriminellen Angriffen zu schützen hat. Soll er nun wirklich – im Namen der Sicherheit – selbst Sicherheitslücken schaffen?

Spionagesoftware

Die Überwachungssoftware funktioniert, auch wenn sie aus staatlicher Hand kommt, genau wie eine herkömmliche Schadsoftware. Diese spielen sich Nutzer normalerweise irrtümlich auf ihren Computer rauf. In der Regel geschieht dies über einen falschen Klick in einer eMail, oder einen infizierten USB-Stick. Auf diesem Weg kann sich der Bundestrojaner, der in der Regel von der Polizei gezielt auf Rechnern und Smartphones installiert werden soll, auch von selbst weiterverbreiten und am Ende auch Rechner von Nutzern befallen, die gar nicht im Visier der Behörden stehen. Das ist eines der größten Probleme beim Bundestrojaner.

Die staatliche Überwachungssoftware schafft damit weitere Sicherheitslücken, anstatt diese zu verhindern. Diese können am Ende nicht nur von den Behörden, sondern auch von Kriminellen ausgenutzt und missbraucht werden. Dies lässt sich, technisch gesehen, gar nicht verhindern, wie Sicherheitsexperten dem KURIER erzählen. „Es besteht die Gefahr, dass ein solcher Staatstrojaner in die falschen Hände gerät“, heißt es etwa seitens des Sicherheitsunternehmens G-Data. Laien können den Staatstrojaner auf ihren Geräten zudem nur schwer selbst erkennen.

Über den Hersteller der Spionagesoftware herrscht derzeit im Bundesministerium für Inneres (BMI) noch Schweigen. Es gibt jedoch zahlreiche Firmen am Markt, die eine derartige Software anbieten und herstellen. Der Markt ist äußerst lukrativ.

Kommentare