Am Dienstag, 25. Juni 2019, hat sich der Verfassungsgerichtshof mit zwei von uns in der Vergangenheit heftig kritisierten Bausteinen des Überwachungspakets befasst: Es soll geklärt werden, inwieweit die KFZ-Überwachung als auch der Bundestrojaner zum Einsatz kommen dürfen - und ob überhaupt. Nach einer Drittelbeschwerde von SPÖ und NEOS ist das Thema jetzt dort angekommen, wo wir es gerne geklärt hätten, nämlich vor dem Höchstgericht. Auch wenn entschieden werden sollte, dass der Bundestrojaner "gerade noch geht", so ist sein Einsatz eine rein politische Entscheidung und kann jederzeit zurückgenommen werden.

Vor der Verhandlung haben wir natürlich eine kleine Aktion vorbereitet, um erneut auf der Straße auf das Problem mit dem Bundestrojaner hinzuweisen: Darf der Staat in Computersysteme einbrechen? Darf der Staat Sicherheitslücken kaufen, um damit nicht nur Verdächtige, sondern auch jene, die mit diesen kommunizieren, auszuspionieren? Darf der Staat Sicherheitslücken fördern, statt deren Schließung zu forcieren und inwieweit ist eine Einschränkung der Software überhaupt technisch möglich?

Weitere Bilder findest du in unserem Flickr Album. Alle Fotos von Karola Riegler.

Für die AntragstellerInnen ging Rechtsanwalt Michael Rohregger ins Rennen; Der Stellvertretende Institutsvorstand des Instituts für Netzwerke und Sicherheit an der Johannes-Kepler-Universität Linz, Michael Sonntag unterstützte als technischer Sachverständiger. Auf Seiten der Bundesregierung waren Sektionschef Christian Pilnacek, Stefanie Dörnhöfer, Carmen Prior vom Justizministerium und Walter Grosinger vom Innenministerium anwesend. Als technischer Sachverständiger kam für die Bundesregierung Markus D. Klemen, Geschäftsführer der SBA Research GmbH.

Der erste Teil der Verhandlung war für die KFZ-Überwachung anberaumt. Bei den polizeieigenen Videoüberwachungsanlagen sehen wir als epicenter.works eine gute Chance, dass dieses Gesetz zu Gunsten der Zivilbevölkerung wieder abgeschafft wird. Das Hauptargument der AntragstellerInnen ist, dass es sich hierbei um eine - bereits vom EuGH als grundrechtswidrig eingestufte - Vorratsdatenspeicherung handelt und somit so gut wie die gesamte Bevölkerung betrifft. Die Daten aus der Section Control heranzuziehen ist aber momentan technisch unmöglich.

Überwachung auf Autobahnen

Rohregger betonte in seinem Eingangsstatement noch einmal, worum es in der Verhandlung ginge, nämlich um die Verhältnismäßigkeit: „Wir haben einen Fall von grundlegender Bedeutung vor uns“, sagte der Jurist. Der Eingriff bleibe nicht auf ein Minimum beschränkt. Genau hier würden sich die technischen Ermittlungsmaßnahmen von den bisherigen unterscheiden. Sie erlauben eine nicht nur punktuelle, sondern ohne großen Aufwand „eine flächendeckende, anlasslose Vorratsdatenspeicherung“.

„An den technischen Spezifikationen wird noch gearbeitet“, entgegnete ein Vertreter der Bundesregierung. Nach und nach stellte sich in der Verhandlung heraus, dass gar nicht alle „gefährlichen Angriffe“ mit diesen Methoden verhindert werden sollen, sondern sie hauptsächlich auf Autodiebstahl abzielen. Ein Richter merkte an, dass es „für Fahrzeugdiebstahl eine intensive Maßnahme“ sei. Die Polizei erklärte außerdem, die Maßnahme gar nicht soweit anzuwenden, wie gesetzlich möglich sei, so habe der Rechtsschutzbeauftragte schon die Order gegeben, die Daten maximal 10, statt 14 Tage zu speichern und wolle dies noch weiter reduzieren. Gegen Ende fragte ein Richter: „Sie sagen, Sie wollen beschränkt vorgehen. Was, wen ein neuer Minister diese Beschränkungen nicht einhalten will? Warum sind diese Beschränkungen als Anhaltspunkte in den Bestimmungen nicht enthalten? Mich würde interessieren, wie Sie diese Diskrepanz auflösen.“ Bezeichnende Antwort der Bundesregierung: „Wie eine zukünftige politische Führung aussieht, weiß ich nicht. Ich werde darauf hinweisen, wenn anderes angedacht ist“.

Der Bundestrojaner

Nach einer kurzen Pause ging es dann um die staatliche Spionagesoftware, den sogenannten Bundestrojaner. In insgesamt drei Stellungnahmen haben wir dieses Vorhaben bereits kritisiert, eine Zusammenfassung könnt ihr auf unserer Themenseite lesen. Beim Verlesen der Beschwerde wurde schnell klar: Hier geht es nicht nur die Überwachung um „Nachrichten“ im klassischen Sinn, sondern auch um staatlichen Zugriff auf Notizen, Einstellungen und alles, was man so auf einer Festplatte speichern kann. Und zu allem Überfluss betrifft das nicht nur Verdächtige, sondern auch die Personen, die mit diesen in Kontakt stehen. Die Bundesregierung entgegnete, dass sie diese Daten gar nicht interessierten, im Gesetzestext gibt es dazu aber keinerlei Einschränkung. Den Staat träfen außerdem keine Schutzpflichten im Sinne der AntragstellerInnen (auf Infrastruktursicherheit) ergänzte sie.

Aus Sicht der AntragstellerInnen müsse der Staat hingegen die Schließung von Sicherheitslücken fördern, anstatt sie einzukaufen, um sie zurÜberwachung zu nutzen. Das Vorgehen unterscheide sich aber aus Sicht der Bundesregierung gar nicht von anderen Ermittlungsmethoden (wie Observation oder Abhören), diese Sicht der Dinge teilen wir nicht.

Bei den Fragen der Richterinnen und Richter wurde schnell deutlich, was den Verfassungsgerichtshof interessiert: Verfügen die zuständigen Organe über das Programm zur Überwachung, unter Beachtung der Vorkehrungen? Wie funktioniert die Installation aus der Ferne und wie unterscheidet sie sich von der Installation vor Ort? Bedarf es dazu einer verdeckt veranlassten Handlung wie z.B. Phishing? Ist zwingend eine Sicherheitslücke beim Endgerät notwendig? Wie wird diese Sicherheitslücke definiert? Ist sie auch zur Überwachung von verschlüsselten Nachrichten relevant und wie wird das Wissen um die Sicherheitslücke erworben? Wie funktioniert das Programm? Wird es gekauft oder selbst installiert? Wenn gekauft, wird vom Verkäufer zu 100% offengelegt, was es kann und wie es funktioniert? Ist es möglich, nur auf die Kommunikation zuzugreifen? Ist es technisch möglich, z.B.: bei WhatsApp, nur auf Kommunikation bestimmter KommunikationspartnerInnen zuzugreifen?

Interessant war vor allem, warum das Eindringen in eine Wohnung zwecks der physischen Installation des Bundestrojaners vor Ort anderen Regeln unterliegen sollte als eine gewöhnliche Hausdurchsuchung. Sprich: geheim und ohne Anwesenheit des oder der Durchsuchten. Rohregger sieht das sehr kritisch: "Der Gesetzestext gibt unverblümt an, dass es zulässig ist, in Wohnungen einzudringen und Sicherheitsvorkehrungen zu überwinden, um eine Installation zu ermöglichen. Das heißt, Ermittlungsbehörden müssen heimlich in Wohnungen dringen." Auch das Gericht schien dies kritisch zu sehen.

Für den Sicherheitsexperten Sonntag gibt es beim Einsatz des Bundestrojaners nur zwei Möglichkeiten: entweder über gekauftes Wissen über Sicherheitslücken oder über die Verpflichtung der Softwareherstellern zum Offenlassen bzw. Einbauen von Sicherheitslücken (sogenannteBackdoors). „Der Staat muss hier mit der Brechstange anrücken“, so Rohregger. "Es ist wie Postkartenüberwachung. Man gibt Stapel an Postkarten einem Polizisten und er sucht das Relevante und man muss drauf hoffen, dass er alles andere nicht liest", so Sonntag. Auch eine Protokollierung der Durchsuchung bringe nicht zwingend gute Ergebnisse. „Man kann die Protokollierung ja auch abdrehen“, führte Sonntag am Ende aus.

Der Sachverständige der Bundesregierung sagte zu Beginn seiner Fragenbeantwortung, er stimme zu 95% den Ausführungen von Sonntag zu. Er meinte aber, die Exploits (Softwareprogramme zum Einbrechen in Computersysteme) seien nur durch die Kombination vieler Sicherheitslücken möglich und nicht durch einzelne Sicherheitslücken. "Es ist immer sehr zielgerichtet und die Idee und Wahrscheinlichkeit, dass es von diesen Herstellern flächendeckende Lösungen gibt, halte ich für gering. In diesen Operationen geht es um einzelne Geräte, wo man Zugriffe ermöglichen kann.", argumentierte die Bundesregierung. "Nicht der Staat fördert Sicherheitslücken, sondern lediglich der Hersteller der Software“, so die Regierung weiter. Welche Vorteile bringt ein physischer Zugriff gegenüber Remote Access (Fernzugriff)? „Da fallen mir gar nicht so viele Vorteileein“, sagt der Sachverständige weiter, was wiederum die Notwendigkeit von Hausdurchsuchungen zur Installation in Frage stellt.

Beide Sachverständige stimmten zu, dass der Einsatz eines Bundestrojaners zwar in Bezug auf die ausgeleiteten Daten zielgerichtet, also z.B. nur in Bezug auf bestimmte Messengerdienste möglich ist, dass aber auch dazu das ganze Gerät vorher gescannt werden muss. Michael Sonntag betonte außerdem, dass sich die Software zwar vielleicht rückstandslos entfernen ließe, man das aber nicht mehr überprüfen könne und beim Einspielen eines Backups eine Reaktivierung möglich sei. „Es macht kaum jemand mehr Backups“, so das Gegenargument der Regierung. "Das Sicherheitsniveau aller wird eher reduziert, wenn der Staat Hersteller zu Sicherheitslücken zwingt“, sagt am Ende - wohlbemerkt - der Sachverständige der Bundesregierung.

Pilnacek entgegnete, dass der EGMR schon vor langem festgehalten habe, dass ein Ermessensspielraum vorhanden sein muss bei Ermittlungenwo es um nationale Sicherheit geht. Ein - aus unserer Sicht - schlechtes Argument für eine Software, die eben nicht nur dazu dient. 2014 und 2015, so Pilnacek weiter, hätte man sich schon den Bundestrojaner gewünscht, da habe man 71 Fälle gehabt, wo eine Überwachung verschlüsselter Nachrichten notwendig gewesen wäre.

Eine längere Debatte entspann sich über die von den AntragstellerInnen vorgebrachte Schutzpflicht des Staates, vertrauliche Kommunikation aktiv zu schützen, dieses Ziel würde durch den Einsatz von Bundestrojanern gefährdet. Dörnhöfer sagte dazu, sie teile diese Ansicht nicht: „Würde man diesen Gedanken weiterspinnen“, so Dörnhöfer, müsste man auch unverschlüsselte E-Mail-Kommunikation verbieten, weil diese unsicher sei. Die Schutzpflicht sollte jedoch laut Anwalt Rohregger so verstanden werden, dass der Staat nicht unsichere Kommunikation verbieten solle, sondern die Bürgerinnen und Bürger vor den Nachteilen selbiger zu schützen habe. "Wenn sich der Staat die Freiheit nimmt, etwas, dass er sonst verbietet, weil er es für nachteilig hält, anzuwenden, muss es verhältnismäßig sein. Insofern ist im Hinblick auf Bürgerinnen und Bürger als auch auf den Staat selbst diese Schutzpflicht gegeben", sagt Rohregger.

Der nächste Richter sagte dann: "Immerhin könnte man es so sehen, dass durch Verschlüsselung ein besonderes Interesse an der Privatheit der Daten gegeben ist. Vor dem Hintergrund hätte ich Fragen: Die Grenze zwischen Überwachungs- und Durchsuchungssoftware ist schwer zu ziehen. Ist das so?“ - Der Sachverständige antwortete für die Bundesregierung, dass es eben drauf ankomme, auf welche Werkzeuge man sich beschränke. Der Richter stellte noch weitere Fragen, nämlich, ob der Quellcode dieser Software offen ist und inwieweit ein Audit (eine qualitative Überprüfung) so einer Software möglich sei. Die Bundesregierung beantwortete die letzte Frage mit „ja“ und meinte hinsichtlich Quellcode: „Dass der Quellcode offen ist, halte ich für unwahrscheinlich. Immerhin ist das das Herzstück dieser Hersteller.“

Der Verhandlungstag ging also mit noch mehr Fragen zu Ende, als er begonnen hatte. Nicht behandelt blieben wichtige Fragen, wie ob sich Daten von virenverseuchten Systemen als Beweismittel eignen, und ob Daten, die keine Kommunikation darstellen, als "Nachrichten" gedeutet werden können (da ja nur die Überwachung von Nachrichten rechtlich gedeckt ist). Die Entscheidung des VfGH wird mündlich oder schriftlich verkündetwerden. Der Verfassungsgerichtshof behält sich vor, gegebenenfalls neue Verhandlungstermine anzuberaumen.

Wir halten dich auf dem Laufenden.