Erstellt am: 24. 10. 2011 - 06:00 Uhr
Trojaner im Sicherheitspolizeigesetz
Seit Ablauf der Begutachtungsfrist am vergangenen Freitag sind auf der Website des Nationalrats insgesamt 21 Stellungnahmen zur Novelle des Sicherheitspolizeigesetzes (SPG) veröffentlicht worden.
Diese Stellungnahmen betreffen die gar nicht wenigen, umstrittenen Passagen. Wie bei den vergangenen Sicherheitspolizeigesetz-Novellen ist auch diesmal ein Teil der neu eingefügten Passagen so breit und allgemein formuliert, dass sich beträchtliche Interpretationsspielräume daraus ergeben.
"Bereitstellung technischer Mittel"
Im Zuge der Diskussion um die SPG-Novelle 2011 ist der neue Zusatz zu §54 bis dato unter dem Radar aller Begutachter durchgeflogen:
"(2a) Zur Unterstützung der Observation ist der Einsatz technischer Mittel zur Feststellung des räumlichen Bereichs, in dem sich die beobachtete Person oder der beobachtete Gegenstand befindet, zulässig, wenn die Observation sonst aussichtslos oder erheblich erschwert wäre." (§ 54 Abs. 2a)
"Verlängertes Auge"
Und was bedeutet das konkret? In den beigefügten Erläuterungen wird ein Anwendungszweck für diese neue Passage recht weitschweifig geschildert.
Der Einsatz "technischer Mittel (wie eines Peilsenders) als 'verlängertes Auge' des Observanten" sei etwa bei Observationen in dichtem Stadtverkehr erforderlich, weil hier die "Gefahr des Verlierens naturgemäß gegeben" sei.
Auf wenig befahrenen Überlandstraßen wiederum müsse das Observationsfahrzeug große Abstände einhalten, um nicht auzufallen usw. Auf insgesamt 2.500 Zeichen wird ausschließlich dieser eine, spezielle Anwendungsfall im Einsatz "technischer Mittel" beschrieben.
Interpretationsspielraum
Der Wortlaut von §54 2a lässt freilich großen Spielraum für ganz andere Interpretationen und Anwendungen. Um zum Beispiel feststellen zu können, ob sich der Verdächtige vor seinem Computer befindet, kann die Kamera des Rechners als "verlängertes Auge" von ferne freigeschaltet werden. Ebenso können Screenshots angefertigt oder Tastaturanschläge mitgeschrieben werden.
Dazu bedarf es allerdings eines Trojaners, einer Schadsoftware, wie sie von Kriminellen benutzt wird, um die Rechner ihrer Opfer fernzusteuern oder Passwörter auszuspionieren.
Der DigiTask-Trojaner in Österreich
Wegen zweier exakt so gelagerter Fälle ist Österreichs Polizei in den vergangenen Tagen ins Schussfeld geraten, seit die Hacker des Chaos Computer Clubs den Quellcode des deutschen "Staatstrojaners" veröffentlicht hatten.
Der Hersteller, Polizei- und Geheimdienstausrüster DigiTask hatte in Folge angegeben, diese Software auch an Österreichs Behörden geliefert zu haben. Gegenüber der aktuellen Ausgabe des Nachrichtenmagazins profil bestätigte DigiTask diese Aussage nicht nur, sondern präzisierte sie.
"Verbotene Features"
Die Software sei auf die speziellen Bedürfnisse der österreichischen Bedarfsträger hin konfiguriert worden. Es seien nur Funktionen möglich, die auch der Gesetzeslage entsprächen.
In der Verkaufspräsentation der Firma DigiTask wird das Verfolgen "nomadischer Ziele" denn auch als wichtige Funktion ihrer "Remote Forensic Software" beschrieben. Die wiederum könne der jeweiligen Gesetzeslage entsprechend konfiguriert werden, "verbotene Features" würden deaktiviert.
Aus der Verkaufspräsentation des Digitask-Trojaners : "Verbotene Features" können entweder "aus dem Code entfernt werden oder deaktiviert werden". Nächster Punkt: "Nach der Installation ist ein Online-Update" möglich. Neben anderen Vorzügen wird die Erfassung des "Kernbereichs privater Lebensgestaltung" als besonderes Feature angeführt.
Die Hintertür im neuen SPG
Im Vergleich dazu die Kernaussage, die Karl-Heinz Grundböck, der Sprecher des Innenministeriums seit Tagen stereotyp wiederholt: "Wir machen, was erlaubt ist, und nicht, was technisch möglich ist."
Wenn §54 2a der SPG-Novelle im derzeitigen Wording durchgewunken wird, ändert sich dieser Rahmen des Erlaubten beträchtlich. Durch diese Hintertür wird ein mit bis zu sechs Monaten Haft geahndetes Delikt, nämlich das "In-Umlauf-Bringen von Schadsoftware", zum "technischen Mittel" für die Polizei. Der Trick dabei: Die technischen Mittel selbst werden nicht näher definiert, sondern nur die Aufgabenstellung.
Im benachbarten Deutschland hat das Verfassungsgericht sehr restriktive Auflagen für den Einsatz derartiger Software formuliert. Conditio sine qua non ist die Entscheidung eines Richters, hierzulande soll eine Information des innenministeriellen Rechtsschutzbeauftragten genügen.
Online-Durchsuchung
Damit wird legalisiert, was schon einmal gescheitert ist. Unter dem Schlagwort "Online-Durchsuchung" in Analogie zur herkömmlichen "Hausdurchsuchung" ist der Versuch, die Polizei zum Einsatz von Schadsoftware zu ermächtigen, bereits einmal gescheitert.
Man war dabei so weit gegangen, dies tatsachenwidrig als "forensische" Untersuchung auszugeben. Es dauerte eine ganze Weile, bis sich auch in diesen Behörden- und Politikerkreisen herumgesprochen hatte, dass damit sämtliche, bisherigen Inhalte des betreffenden Rechners vor Gericht nicht mehr als Beweise anerkannt werden.
Der Forensik-Schwindel
Mithin der oberste Grundsatz der Computer-Forensik ist, dass bei der Untersuchung kein Bit der Festplatte verändert werden darf.
Schon der bloße Neustart des Rechners würde eine Veränderung bewirken, für eine forenssiche Untersuchung müssen die Inhalte der Festplatte deshalb Bit für Bit auf ein anderes Speichermedium kopiert werden.
"Verirrte Tourengeher" haben ausgedient
Die letzte Novellierung des SPG ist in der letzten Sitzung des Nationalrats im Dezember 2007 als letzter Punkt der Tagesordnung um 23.50 durchgewunken worden. Am selben Tag noch waren zusätzliche Ermächtigungen in den Text eingefügt worden, die der Datenschutzrat nie zu Gesicht bekommen hatte.
Damit hatte sich eine "Legalisierung" derartiger Spionagesoftware vorerst erledigt. Nun wird versucht, den Einsatz von diesen Schadprogrammen eben als Observationsinstrument gesetzlich festzuschreiben.
Was 2011 die "technischen Mittel" für den Einsatz von Trojanern sind, waren bei der Novelle 2007 die "verirrten Tourengeher". Die hatten herhalten müssen, um die Beamten zu Handypeilungen ohne richterlichen Befehl grundsätzlich zu ermächtigen.
Die Erweiterung
2011 hat man es nicht mehr nötig, die Verirrungen der Tourengeher groß zu thematisieren, ganz in der SPG-Tradition werden die damals durchgebrachten Befugnisse nun schlagartig erweitert.
Die Analyse des Datenschutzrats listet insgesamt acht Hauptpunkte, in denen bisherige Polizei-Ermächtigungen erweitert werden.
In der Stellungnahme des Vereins der Internetbenutzer (VIBE) heißt es dazu: "Die jetzt vorgelegte Ausweitung der Befugnisse von Sicherheitsbehörden" müsse im "Kontext ihrer Entstehung und der vorhergegangenen Gesetzesänderungen" gesehen werden. "Diese geben ein klares Bild eines immer repressiver werdenden Staates."