Erstellt am: 4. 11. 2015 - 19:00 Uhr
Neue Pläne für "Bundestrojaner" in Österreich
In Österreich läuft ein neuer Vorstoß, die Polizeibehörden zum Einsatz von Trojaner-Schadsoftware zu ermächtigen. Diese Neuauflage eines bereits 2008 gescheiterten Versuchs findet sich nicht etwa im vielkritisierten Staatsschutzgesetz, sondern im Entwurf zu einer Gesetzesnovelle, mit der zwei EU-Richtlinien umgesetzt werden. Zwischen Maßnahmen zum Opferschutz und erweitertem Rechtsschutz bei Strafverfahren ist da eine "Anordnung der Überwachung von Nachrichten, die im Wege eines Computersystems übermittelt werden" versteckt.
Aus dem Justizministerium (BMJ) kam auf Anfrage von ORF.at dazu am Mittwoch eine indirekte Bestätigung und ein Dementi. Von den Beamten des Hauses würden für alle möglichen Gesetzesvorhaben laufend Entwürfe erstellt, die dann ausgearbeitet werden würden, hieß es aus der Pressestelle des BMJ. Die Arbeiten an der Novelle zur Umsetzung des Opferschutzes seien noch in Gange, eine solche Ermächtigung zum Einsatz von Schadsoftware sei aber in der aktuellen Novelle definitiv nicht enthalten und vom Justizministerium auch nicht vorgesehen. Das ist inѕofern überraschend, zumal der ORF.at vorliegende Gesetzestext samt den Erläuterungen keineswegs wie ein Rohentwurf, sondern ausgearbeitet wirkt.
Public Domain
Fortsetzung aus 2008
Die Wiederkehr des Bundestrojaners und das österreichische Staatsschutzgesetz sind Teil einer Welle von Überwachungsgesetzen, die fast gleichzeitig in England, Frankreich und Deutschland durchgewinkt worden sind.
Diese "neue Ermittlungsmaßnahme für den Bereich schwerster Kriminalität" bestehe in der "Anordnung der Überwachung von Nachrichten, die im Wege eines Computersystems übermittelt wurden", heißt es in den Erläuterungen zu Punkt 3. Die beginnen mit dem Verweis auf den ersten solchen Vorstoß im Jahre 2007 zur "Erweiterung des Instrumentariums zur Bekämpfung schwerer, organisierter und terroristischer Kriminalitätsformen", der auch als "Online-Durchsuchung" bekannt war.
Dieser damals neben "Computerforensik" kursierende Euphemismus für den Einsatz von Trojaner-Schadsoftware bei Ermittlungen hatte so heftige Diskussionen ausgelöst, dass die damalige Justizministerin Maria Berger eine interdisziplinäre Arbeitsgruppe unter dem Verfassungrechtler Bernd-Christian Funk einsetzte. Der Anfang April 2008 veröffentlichte Schlußbericht kam zur Erkenntnis, "dass eine derartige Ermittlungsmaßnahme nach geltendem Recht nicht zulässig" sei, wie im aktuellen Entwurf auch resümiert wird. Der Grund dafür ist technischer Natur, denn allein das Aufbringen von Schadsoftware verändert die Daten auf dem zu überwachenden Rechner, wodurch alle daraus gewonnenen Erkenntnisse ihre Beweiskraft vor Gericht verlieren.
Public Domain
"Geringer Anwendungsbereich"
Obwohl der Bericht der Rechtsexperten das Vorhaben im April 2008 als gesetzeswidrig erkannt hatte, blieb der damalige Innenminister Günther Platter optimistisch, die "Online-Durchsuchung" nach deutschem Vorbild auch hierzulande durchzusetzen
Diese Arbeitsgruppe habe 2008 auch Überlegungen zur gesetzlichen Grundlage sowie zu Sicherungs- und Rechtsschutzmaßnahmen angestellt, die nunmehr fortgeführt und erweitert würden, heißt es in den Erläuterungen. Da das aktuelle Vorhaben "einen weitaus geringeren Anwendungsbereich" umfasse, seien auch nicht die gesamten, für eine Online-Durchsuchung als notwendig angedachten Sicherungsmaßnahmen erforderlich. Die Ermittlung "von sonst auf dem Computersystem gespeicherten Daten" sei nämlich "im Gegensetz zu dem von der Arbeitsgruppe verfassten Schlussbericht ausdrücklich nicht Gegenstand dieses Gesetzesvorschlages."
Public Domain
Damit wird folgender Sachverhalt beschrieben: Die Behörden infizieren einen Rechner mit einem Trojaner-Schadprogramm und übernehmen damit die Kontrolle über den befallenen PC. Technisch ist damit Vollzugriff auf alle Komponenten des PCs gemeint, das Auslesen aller Speichermedien, wie etwa der Festplatte, ist dabei selbstverständlich inkludiert, obgleich es "ausdrücklich nicht Gegenstand dieses Gesetzesvorschlages" ist.
Nach dem Bericht der Rechtsexperten war bereits 2008 ganz klar, dass solche durch Trojaner gewonnen Daten keine Beweiskraft in Gerichtsverfahren haben
"Maßvoller Lauschangriff"
Aufgrund der Eingriffsintensität orientiere sich der neue Entwurf an den Voraussetzungen und Regelungen der optischen und akustischen Überwachung von Personen, dem sogenannten "Lauschangriff". Der wird in der Praxis nur äußerst selten angewendet, weil dafür fast immer ein Einbruch durch die Behörden notwendig ist, um die erforderlichen Wanzen und Kameras vor Ort zu installieren.
Public Domain
In Folge wird in den Erläuterungen aber suggeriert, dass die Überwachung von Verdächtigen mit Schadsoftware mit Einbrüchen etwa in Wohnungen zur verdeckten Installation des Trojaners auf einem PC kausal verbunden ist. Daraus erfolgt der Schluss "dass auch die Überwachung von Nachrichten, die im Wege eines Computersystems übermittelt werden, ebenso maßvoll angewendet werden wird" wie der Lauschangriff.
2011 fand sich die "Online-Durchsuchung" wieder im Regierungsprogramm für die betreffende Legislaturperiode vorgesehen, wurde aber in Folge nicht mnehr umgesetzt
Tatsächlich ist das Gegenteil der Fall, denn der größte Vorteil von Schadsoftware ist es ja, dass sie sich von Ferne selber auf dem Rechner des Verdächtigen installiert, wenn der dazu gebracht wird, etwa einen Mailanhang zu öffnen. Natürlich geht es bei der Fahndung nach Terroristen um neue Kommunikationsformen wie WhatsApp oder Dropbox, etwaige Verschlüsselung auf dem PC wird automatisch aufgehoben, wenn die Polizei über einen Trojaner den gesamten Rechner kontrolliert.
Public Domain
Sorgen um Grundrechtseingriffe
Davor war 2011 der erste Polizeitrojaner durch die Hacker des Chaos Computer Club "verhaftet" worden. Eine Tiefenanalyse dieses Programms brachte krasse Sicherheitslücken zu Tage, die offenbar für geheimdienstliche Parallelzugriffe dienten.
"Eine Überwachung dieser Kommunikationsformen wäre allenfalls möglich, wenn eine optische und akustische Überwachung im Rahmen der strengen Voraussetzungen der §§ 136 ff StPO angeordnet werden kann" heißt es weiter. Damit ist das akustische Abhören etwa von Skype-Telefonaten gemeint, wie auch eine Überwachung des Nachrichtenaustauschs über WhatsApp über eine Videoaufzeichnung des Bildschirms möglich ist.
Dass beides zusammen mit einem physischen Einbruch mühsam, unpraktisch und enorm teuer ist, wird nicht erwähnt. Vielmehr sorgen sich die Autoren des Entwurfs um die Betroffenen, brächte ein solcher Lauschangriff doch "einen weitaus schwereren Grundrechtseingriff für den Überwachten mit sich". Zum ebenfalls erklärten Ziel dieser Regelung, nämlich zur "Ermittlung des Aufenthalts" eines Beschuldigten, der verdächtigt wird, einer Gruppe organisierter Krimineller oder Terroristen anzugehören, trüge ein Lauschangriff nichts, wohl aber eine solche "Fernanwendung" mit Trojaner bei.
Public Domain
"Einschränkungen" und das Staatschutzgesetz
Die In Folge gelisteten Einschränkungen und Schutzmaßnahmen lesen sich tatsächlich umfassend. Neben der Beschränkung auf Straftaten, die mit mehr als zehn Jahren Gefängnis sanktioniert sind, bedarf es einer Anordnung der Staatsanwaltschaft, die von einem Richter genehmigt werden muss. Dazu kommen Kontrollen des Rechtsschutzbeauftragten, eine "Beschränkung der Verwertbarkeit von Zufallsfunden", "strenge Vernichtungsregeln" und "umfängliche Beschwerdemöglichkeiten" samt der Verständigung sämtlicher Betroffener. Das liest sich durchaus moderat, allerdings nur, solange man das nicht in Zusammenhang mit dem neuen Staatsschutzgesetz stellt, das vor seiner Verabschiedung steht.
Die aktuelle Version des österreichischen Staatsschutzgesetzes, das seiner Verabschiedung harrt.
Im Falle von Ermittlungen des neuen Bundesamts für Verfassungsschutz und Terrorbekämpfung sind nämlich überhaupt keine Einschränkungen vorgesehen. Statt "strenger Vernichtungsregeln" ist dort eine Speicherdauer von fünf Jahren für erhobene Daten angesagt, eine Informationspflicht der Betroffenen ist ebenfalls nicht enthalten. Damit sind also auch keine "umfänglichen Beschwerdemöglichkeiten" gegeben, wie auch keine Beschränkung der "Verwertbarkeit von Zufallsfunden" vorgesehen ist. Der weitaus wichtigste Unterschied: Für Ermittlungen des neuen BVT nach dem Staatsschutzgesetz entfiele auch der Richtervorbehalt, denn als einzige Kontrolle ist ein Rechtsschutzbeauftragter vorgesehen, der womöglich nicht einmal im Wiener Bundesamt, sondern in einem der neun neuen Landesämter für Verfassungsschutz tätig ist.
Vorläufiges Fazit
Die Aussagen aus dem Bundesministerium für Justiz, dass eine solche Trojanerregelung im aktuellen Novellenpaket nicht enthalten und vom BMJ auch nicht angestrebt werde, ist durchaus glaubhaft. Allein die Vorstellung, dass die Rechtsschutzbeauftragten - also ebenfalls Juristen - bei den neuen Landesämtern für Verfassungsschutz in Klagenfurt, Eisenstadt oder St. Pölten über die Rechtmäßigkeit von solchen Einsätzen entscheiden, hat einigermaßen abschreckenden Charakter. Sie wird vielleicht noch dadurch übertroffen, dass der Einsatz eines so heiklen und zweischneidigen Instruments wie Trojaner-Schadsoftware von Ermittlern unter die Obhoheit von Bezirkshauptleuten passieren soll.
Für die einigermaßen rätselhafte Stellungnahme des Justizministeriums, in der die Existenz solcher Pläne für die Polizei in Österreich nicht dementiert wird, wohl aber, dass sie in der aktuellen Novelle enthalten sind, gibt es nur eine schlüssige Erklärung. Da es zudem noch heißt, das BMJ habe auch keine Absicht, Trojanersoftware einzuführen, liegt es nahe, dass dieses Vorhaben aus einem anderen Ministerium kam und im Laufe der Gesetzeswerdung wieder aus der Novelle eliminiert wurde. Es ist also damit zu rechnen, dass dieser neue Bundestrojaner in einem anderen Gesetzesvorhaben wiederkehrt.