Mit List und Lücken zur Messenger-Überwachung
„Laßt uns diesen Vogel zum Muster nehmen und Troja nicht fürder mit Gewalt zu erobern bestrebt sein, sondern es einmal mit der List versuchen.“
So sprach der Seher Kalchas in der griechischen Sage aus der Ilias. Wie die Geschichte ausgeht, ist bekannt. Griechische Soldaten ließen sich versteckt im Bauch eines Holzpferdes in Troja einschleusen, eroberten die Stadt und beendeten so einen zehnjährigen Krieg.
So ungefähr stellt sich die Regierung wohl ihren Kampf gegen Terroristen vor, die heute nicht mehr SMS schreiben und telefonieren, sondern ihren „Krieg“ gegen die westliche Welt über Messenger-Dienste planen. Und obwohl sie die geplante Software nicht mehr „Trojaner“ nennt, sondern „Gefährderüberwachung“, ist sie genau das.
Ein Faktum, das Daniel Gruss von der TU Graz Sorge bereitet. Der IT-Sicherheitsforscher sagt gleich vorweg: „Es ist nicht realistisch, was sich die Regierung da vorstellt.“
Daniel Gruss sucht Lücken und warnt Hersteller
Absichtliche Lücken
Gruss ist Teil einer Forschungsgruppe, die Sicherheitslücken in Computersystemen ausfindig macht und sie den Herstellern meldet, damit diese sie schließen können. Etwa durch Software-Updates, die jeder, der ein Smartphone oder einen PC hat, regelmäßig durchführen sollte.
Nun gibt es aber nicht nur IT-Leute wie Gruss, die Lücken im Interesse der Allgemeinheit melden, sondern auch IT-Leute, die man gemeinhin „Hacker“ nennt – und die ihr Wissen verkaufen. Ein lukratives, globales Geschäft. Für das Auffinden einer Lücke bei Android (das weltweit am häufigsten genutzte Smartphone-Betriebssystem) bieten Unternehmen, die sich auf den Kauf und Verkauf von Sicherheitslücken spezialisieren, bis zu 2,5 Millionen US-Dollar – am Schwarzmarkt auch mehr, sagt Gruss.
Wenn ÖVP-Innenminister Gerhard Karner nun sagt, die Exekutive brauche „Instrumente“, um verschlüsselte Kommunikation von Terroristen und verfassungsfeindlichen Gruppierungen überwachen zu können, dann würde das laut dem IT-Experten so aussehen:
Österreich würde einmalig eine Software kaufen, die aber ständig mit neuen Sicherheitslücken versorgt werden muss, damit sie weiter verwendet werden kann.
Das könnte auf Dauer teuer werden, wirft laut Gruss aber auch eine ethische Frage auf – können diese Lücken, solange sie offen sind, doch auch von Kriminellen genutzt werden. „Ist es aus Sicht des österreichischen Staates ok, eine Lücke, die potenziell neun Millionen Bürgern schaden könnte, zu kennen und nicht zu beheben, weil der Verfassungsschutz sie vielleicht brauchen könnte, um im Jahr 20 bis 30 Gefährder zu überwachen?“
Ganz abgesehen davon, dass Österreich das Wissen um die Sicherheitslücken wohl von Unternehmen am Rande des Schwarzmarkts kaufen und ein System unterstützen würde, das in autoritären Staaten genutzt wird, um Aktivisten und Journalisten auszuspähen.
Zur Erinnerung: Gruss ist kein Datenaktivist. Er ist Wissenschafter.
Neos-Abgeordneter Nikolaus Scherak benutzte vorvergangene Woche ein böses Wort: Als „Trojaner“ bezeichnete er jene Überwachungssoftware, die die Regierung (der neben ÖVP und SPÖ auch seine Partei angehört) einführen will. Scherak bezweifelt, ob diese verfassungskonform sei, und will vorher wissen, welche Software verwendet wird.
Einen Bundestrojaner gab es schon einmal. 2019 wurde dieser vom Verfassungsgerichtshof gekippt – nach Initiative von SPÖ und Neos. Und besonders bei den Neos ist die Skepsis immer noch groß – daran ändern auch die Nachbesserungen im Entwurf nichts.
Wie man hört, wird nun überlegt, „offen“ abzustimmen – also ohne Klubzwang – wenn das Gesetz in den Nationalrat kommt. Theoretisch kämen ÖVP und SPÖ auch gemeinsam auf eine Mehrheit.
Neos-Chefin Beate Meinl-Reisinger hat zuletzt gesagt, dass die Maßnahme im Regierungsprogramm stehe und man eine Lösung finden werde. Der Entwurf ist nun bis Anfang Juni in Begutachtung.
Aktivisten & Journalisten
Offen ist die Frage nach der Software. Sofern der Staat nicht selbst in der Lage ist, eine zu entwickeln, gebe es laut Gruss weltweit nur einige wenige Anbieter. Mehrere europäische mussten schließen oder wurden insolvent.
Die bekannteste Spyware kommt aus Israel: Pegasus kann Daten absaugen und platzieren, Mikrofon und Kamera aktivieren und alles live mitverfolgen. Aufs Handy gelangen kann es per eMail oder Nachricht in einem Messenger. Bei teureren Varianten reicht es schon, wenn die Nachricht ankommt – der Empfänger muss nicht einmal draufklicken.
In Spanien wurde die Spyware 2022 auf den Handys des Regierungschefs, des Innenministers und der Verteidigungsministerin entdeckt. In Deutschland soll Pegasus genutzt worden sein, um ein Reichsbürger-Netzwerk auszuspähen. Das Bundeskriminalamt äußerte sich nach Medienanfragen nicht dazu – aus „einsatztaktischen Gründen“.
Nun sagt ÖVP-Innenminister Karner, dass im österreichischen Modell nur Nachrichten abgefangen werden sollen. Auch da muss Gruss enttäuschen: „Natürlich kann man das in ein Gesetz schreiben, aber prinzipiell kann eine solche Software alles. Und wer kontrolliert, dass nur der gerichtlich genehmigte Teil ausgelesen wurde?“
Der digitale Trojaner kann spurlos gelöscht werden, als wäre er nie da gewesen. Von Troja blieben den Geschichtsforschern wenigstens Ruinen.
Kommentare