Trojaner-Überwachung viel umfassender als angekündіgt

Im Gesetzesentwurf steht kein Wort über eine Beschränkung auf WhatsApp und andere Chatprogramme, wie seitens des Justizministeriums wiederholt behauptet worden ist. Vielmehr soll jedes einzelne Datenpaket aus dem Netz erfasst werden bis hin zu maschinengenerierten Daten.

Von Erich Möchel

Die Überwachung verschlüsselter Kommunikation im „Sicherheitspaket“ geht weit über alles schon Dagewesene hinaus. Waren es bisher Telefonie, SMS und Standortdaten, so fallen nun grundsätzlich sämtliche Daten darunter, die zwischen dem überwachten Gerät und dem Netz ausgetauscht werden. Von einer Beschränkung auf die Überwachung von WhatsApp und anderen Kommunikationsprogrammen, wie sie Justizminister Wolfgang Brandstetter wiederholt behauptet hatte, ist im Gesetzentwurf überhaupt keine Rede.

Vielmehr wird bereits einleitend betont, dass jedes einzelne Datenpaket aus dem Internet erfasst werden soll und dass alle maschinengenerierten Daten darunter fallen. Damit sind auch die regelmäßigen Abgleiche des lokalen Datenspeichers mit dem externen Back-up eines Nutzers in der „Cloud“ dabei. Bei mobiler „Cloud“-Nutzung ist ein externer Speicher schon der Regelfall. Das führt die ohnehin fragwürdige Abgrenzung der „Kommunikationsüberwachung“ zur „Onlinedurchsuchung“ ad absurdum, denn dieselben Datensätze auf dem Speichermedium des Endgeräts zu durchsuchen ist bei „Kommunikationsüberwachung“ verboten.

Wie aus den Erläuterungen klar hervorgeht, wurde über die Grundrechte österreichischer Bürger nur unter dem Aspekt diskutiert, dass staatliche Zugriffe möglichst erleichtert werden sollen.

Zwei Drittel der Erläuterungen zum Gesetzestext sind - wie berichtet - nur dieser Abgrenzung gewidmet, weil „Kommunikationsüberwachung“ einfacher genehmigt werden kann. Obendrein sieht der neue Paragraf 135a (3) vor, dass auch in Wohnungen eingebrochen werden darf, um die zur Überwachung nötige Trojaner-Schadsoftware auf einem Gerät zu installieren.

gemeinfrei

Back-ups in der Cloud sind „Internetkommunikation“

„Jedes Senden, Übermitteln und Empfangen von Nachrichten und Informationen über eine internetbasierte App, die Chat-Funktionen erfüllt und dabei eine end-to-end- bzw. Transportverschlüsselung verwendet (z. B. WhatsApp, Telegram), ist daher ebenso von der Bestimmung umfasst wie das Übermitteln eines Datenpakets an einen Cloud-Server“, heißt es dazu in den Erläuterungen zum Gesetzestext.

In EU-Gremien wird hingegen über alternative Ermittlungsmöglichkeiten ohne Einsatz von Trojaner-Schadsoftware diskutiert.

Da eben auch Maschinenkommunikation erfasst wird, ist jeder Routineabgleich lokaler Adressbücher und sämtlicher anderer Daten mit einem Back-up-Konto in der Cloud dabei. Wird eine solche Routinesicherung lokaler Daten auf einem Server neu angelegt, wird auch der gesamte Inhalt des lokalen Speichermediums abgegriffen, ohne dass dabei der juristische Sachverhalt einer „Onlinedurchsuchung“ gegeben ist. Ein Back-up auf einer lokalen Disk oder einem USB-Stick ist für die Ermittler hingegen tabu, wenn es verschlüsselt wurde.

„Messwerte, Regelungs- und Alarmimpulse“

Weil jedes Datenpaket als „Internetkommunikation“ bewertet wird, fallen auch „Messwerte sowie Regelungs-, Steuerungs- und Alarmimpulse“ darunter, heißt es in den Erläuterungen. Daher sind „Smart Homes“ oder Anwendungen für den Steuerungs- und Produktionsbereich - bekannt als „Industrie 4.0“ - legitime Überwachungsziele, ohne dass es dafür eine richterliche Genehmigung für eine Hausdurchsuchung braucht.

Die im „Sicherheitspaket“ geplante neue Vorratsdatenspeicherung spießt sich insofern, als die Mobilfunker die geforderten IP-Adressen derzeit gar nicht haben.

Hier schließt sich das österreichische Justizministerium einfach der Rechtsmeinung des deutschen Bundesverfassungsgerichtshofs an. Auch wenn bei Internetüberwachung wesentlich mehr und andere Daten als bei Telefonüberwachung anfielen, so seien das „lediglich Einzelakte einer oft nur kurzen und oberflächlichen Telekommunikation“. Das führt zu dem Schluss, dass „die Internetüberwachung sogar weit weniger eingriffsintensiv als eine Hausdurchsuchung ist“.

"... in geschützte Räume einzudringen"

Ein Wohnungseinbruch, um in „durch das Hausrecht geschützte Räume einzudringen, Behältnisse zu durchsuchen und (...) Sicherheitsvorkehrungen zu überwinden“, ist laut Gesetzesentwurf jedoch ein legitimes Mittel, um Trojaner-Schadsoftware auf ein Gerät aufzubringen, wenn es dafür keine andere Möglichkeit gibt. Dafür braucht es dann allerdings eine weitere richterliche Genehmigung, heißt es in den Erläuterungen. Nicht näher ausgeführt wird, ob mit dieser Ermächtigung zum Einbruch und zum Durchsuchen von „Behältnissen“ auch die Lizenz für eine Durchsuchung einer Festplatte enthalten ist.

gemeinfrei

Dass eine einzige, zeitlich beschränkte Überwachung des Internetverkehrs einer Person die gesamte Kommunikation einer ganzen Gruppe von Personen in Wort, Bild und Video zutage fördern kann, wird nicht erwähnt. Das Abgreifen der Log-in-Daten einer Person öffnet zum Beispiel den Zugang zu einem Forum, das die gesamte Diskussion aller Beteiligten über einen längeren Zeitraum abbildet. Ebenso wenig wird ausgeführt, was mit den abgefangenen Passwörtern und Log-in-Daten passieren soll. Die fallen ja beim Aushebeln der Verschlüsselung ebenso an, weil eben jedes mit einem Server ausgetauschte Datenpaket mitgeschnitten werden soll.

Öffnungszeitbeschränkung für die Büchse der Pandora

Die Welle der Überwachungshysterie begann mit einer zu Jahresbeginn gestarteten Europol-Kampagne, die im „Sicherheitspaket“ bereits ihren Niederschlag fand.

Während sie sämtliche im Justizministerium geplanten Maßnahmen nach Kräften juristisch untermauert hatten, scheint den von Justizminister Brandstetter berufenen Experten - allesamt Juristen - dennoch geschwant zu haben, dass damit womöglich eine technische Büchse der Pandora geöffnet wird. „Die notwendige Manipulation am Endgerät und die Missbrauchsgefahr macht den Eingriff in internetbasierte Kommunikation in gewisser Weise heikler als herkömmliche Nachrichtenüberwachung“, heißt es in einer der Stellungnahmen. Daher kamen „Verwertungsverbote“ in den Gesetzestext, und der Strafrahmen für Delikte wurde mit fünf Jahren entsprechend hoch angesetzt.

gemeinfrei

Die enorme Ausweitung des Einsatzes von polizeilicher Trojaner-Schadsoftware in Deutschland und ihre Folgewirkung im „Sicherheitspaket“ in Österreich.

Deutsche „Roadmap“ für Österreich

Das entspricht der Regelung zum deutschen „Bundestrojaner“, die seit der Einführung dieses „Ermittlungsinstruments“ in Deutschland 2009 bis vor wenigen Wochen galt. Ende Mai wurde der bis dahin auf schwere Verbrechen mit einem Strafmaß von mindestens fünf Jahren beschränkte Einsatz von Trojanern in Deutschland auf insgesamt 38 Delikte bis hin zur Kleinkriminalität ausgedehnt. Statt ausgewählter Dienststellen erhalten nun sämtliche Bundes- wie Landespolizeibehörden und -kriminalämter, Verfassungsschützer und sogar Zollbehörden die Lizenz zum Einsatz von Trojaner-Schadsoftware.

Das zeigt, wohin auch hierzulande die Reise gehen soll. Der laufende Wahlkampf könnte diesen Prozess noch beschleunigen. Noch-Justizminister Brandstetter hatte wiederholt eine Art Überwachungsaufholjagd angekündigt, weil „andere Staaten hier schon viel weiter sind“.