Nachlese Digitalk:
Gefährdet das Sicherheitspaket unsere Demokratie? (13.09.17)

Am Mittwoch den 13.09. fand unser erster Digitalk nach der Sommerpause statt. Der Digitalk beschäftigte sich mit dem heiß diskutierten Thema des Sicherheitspaketes. Die Vortragenden dieser Veranstaltungen waren Mag.a Angelika Adensamer, MsC, Juristin und Kriminologin, die als Policy Advisor für die Bürgerrechtsorganisation epicenter.works arbeitet, sowie Dipl.Ing. Roland Giersig, Sicherheitsexperte der Digital Society.

Der Vortrag beschäftigte sich mit den wichtigsten Neuerungen des Sicherheitspaketes, das nun vor den Wahlen nicht mehr Gesetz werden wird. Sicher scheint dennoch zu sein, dass diese Forderungen auch nach der Wahl im Oktober wieder auftauchen werden.

Bundestrojaner

Der “Bundestrojaner” soll ermöglichen, dass die Strafverfolgungsbehörden über Sicherheitslücken in bestehenden Betriebssystemen (iOS, Android, Windows) in Geräte eindringen können, und Kommunikation abfangen kann, bevor diese verschlüsselt wird. Moderne Kommunikationsdienste verwenden sogenannte End to End Verschlüsselung – bei der Kommunikation nicht mehr am Weg durchs Internet oder auf den Servern der Betreiber (WhatsApp, Telegram, etc.) abgefangen werden können, da eine Entschlüsselung zu aufwändig wäre. Um diese Kommunikation nun überwachen zu können, müsste eine Staatliche Schadsoftware entwickelt werden. Diese Software würde dann – natürlich ohne Wissen des Betroffenen – auf ein Gerät (Mobiltelefon oder PC) installiert werden. Diese Schadsoftware würde dann die Kommunikation des “verwanzten” Gerätes abfangen, bevor sie verschlüsselt auf den Weg durch das Netz gesendet werden würde. Damit wäre es den Behörden möglich auch diese Kommunikationskanäle mitzulauschen.

Um jedoch so in ein Gerät eindringen zu können, müsste sich der Staat aus zweifelhaften Quellen Sicherheitslücken in den betroffenen Systemen erkaufen. Diese Sicherheitslücken müssten dann ausgenutzt werden um diese Schadsoftware in die System einzubringen. Genau diese Betriebssystemlöcher stünden aber nicht nur dem Staat zur Verfügung, sondern auch kriminellen Organisationen. So wurde z.B. vom Crypto Trojaner Wannacry eine von der NSA gesammelte – und später entwendete Sicherheitslücke ausgenutzt um Computersysteme zu verschlüsseln und von deren Besitzern Lösegeld zu erpressen. Im Falle von Wannacry war dadurch unter anderem das englische Gesundheitssystem teilweise lahmgelegt, weil diese Erpressersoftware auch massenhaft PC’s in englischen Spitälern erwischt hat.

Hier sieht man dass diese Methode die verschlüsselte Kommunikation von potentiellen Verbrechern abhören zu können, einen Pferdefuß hat. Man unterstützt durch diese Vorgehensweise, dass Fehler und Löcher in Betriebssystemen nicht geschlossen werden, weil der Staat selbst Interesse an diesen Löchern hat. Er fördert demnach den Handel mit solchen Hintertüren, wissend – dass Erpresser die gleichen Sicherheitslöcher nutzen um eventuell die gesamte kritische Infrastruktur eines Landes lahm zu legen. Hier muss hinterfragt werden, ob der Nutzen hier für das Risiko steht.

Verkehrsüberwachungsdaten

Es werden derzeit schon über die Section Control, später auch über die neue e-Vignette Kennzeichendaten von der ASFINAG erfasst. Derzeit vernichtet die ASFINAG diese Daten sofort, wenn sie nicht mehr benötigt werden (wenn man z.B. die Section Control mit der richtigen Geschwindigkeit durchfahren hat). In Zukunft möchten die Strafverfolgungsbehörden aber Zugriff auf genau diese Daten erhalten. Der Zugriff soll zwar auf “Abwehr gefährlicher Angriffe” eingeschränkt werden. Allerdings wird nicht genau definiert, was darunter zu verstehen ist.

Die Gefahr die hier besteht, ist dass über den Zugriff auf diese Daten ein genaues Bewegungsprofil aller Österreicher erstellt werden kann. Genau das würde die Reisefreiheit und hier vor allem die Möglichkeit sich unbeobachtet zu bewegen einschränken.

Die Problematik hier ist, dass wenn den Strafverfolgungsbehörden ein derartiger Zugriff gewehrt werden würde, dass diese Daten wieder auf Vorrat gespeichert werden müssten. D.h. es müssten alle Daten aller unbescholtenen Österreichern auf eine bestimmte Dauer gespeichert werden. Genau diese Kennzeichenvorratsdatenspeicherung widerspricht jedoch der Notwendigkeit dass solche Zugriffe nur “Anlassbezogen” und auf Verdacht hin sein dürfen.

Quick Freeze

Der europäische und österreichische Verfassungsgerichtshof hat die Vorratsdatenspeicherung (also die anlasslose Speicherung von Metadaten – also wer, wann mit wem, wie lange telefoniert) als Verfassungswidrig erklärt. Seitdem versuchen die Strafverfolgungsbehörden einen verfassungskonformen Ersatz dafür zu finden. Der Grund war auch hier, dass die Daten von Millionen unbescholtener Österreicher “auf Vorrat” ohne Verdacht gespeichert würden. Gesetzlich ist vorgesehen dass Telekommunikationsdaten – weil sie eben sehr heikle Daten sind – sobald sie nicht mehr für die Verrechnung benötigt werden zu löschen sind.

Als mögliche Lösung wurde nun ein Quick Freeze Verfahren vorgeschlagen. Dabei sollen nun – im Anlassfall – also Verdachtsabhängig verfügt werden können, dass Daten für ein Jahr nicht gelöscht werden dürfen.

Grundsätzlich wäre der Quickfreeze eine akzeptable Vorgehensweise. Es werden nur Daten von Verdächtigen “eingefroren”. Ein Richter prüft dann den Verdacht und verfügt die Herausgabe der Daten.

Leider ist der Gesetzestext hier sehr ungenau formuliert. Aus dem Gesetzesentwurf ist nicht herauslesbar, welche Daten hier überhaupt eingefroren werden sollen Betrifft es tatsächlich nur die Kommunikation eines Verdächtigen, oder einer größeren Personengruppe? Auch sieht dar Gesetzesentwurf keine Informationspflicht bei einer erfolgten Überwachung vor. Im Normalfall wird ein Verdächtiger, sollte eine Überwachungsmaßnahme den Verdachtsfall nicht erhärtet haben nachträglich über die erfolgte Überwachung informiert. In diesem Falle wäre das aber nicht vorgesehen.

Identitätsfeststellung bei Handys

In Zukunft sollen alle Handy’s (SIM Karten) Personen eindeutig zuordenbar sein. Es würde dadurch in Österreich nicht mehr möglich sein, anonym SIM Karten zu kaufen. Bei solchen Karten müsste sich der Käufer in Zukunft ausweisen, und der Mobilfunker bzw. deren Händler (z.B. die Supermarktkasse) müssten in Zukunft nach einem Ausweis fragen. Da die Daten gespeichert werden müssen und es sich hier um personenbezogene Daten handelt, müssten auch die Vorgaben der EU Datenschutz Grundverordnung eingehalten werden. Dies würde zu einem erheblichen Mehraufwand bei den Mobilfunkern bzw. deren Händlern führen. Die Kosten dafür müssten auf jeden Fall auf den Konsumenten umgelegt werden.

Die Frage die sich hier stellt ist wie gut das System funktionieren würde. Wie würde hier die Qualität aussehen – wenn jemand mit einem beliebigen ausländischen Ausweis sich eine solche Karte beschafft. Wie soll also einer Supermarktkassierin die Echtheit eines Ausweisdokuments beurteilen können.  Zusätzlich könnten auch Wertkarten aus dem EU Ausland verwendet werden können. Aufgrund des kostenlosen Roamings innerhalb der EU wurde das auch deutlich vereinfacht. Kriminelle werden also ausreichend Möglichkeiten finden, diese Vorschriften zu umgehen. Getroffen werden wiederum nur die Mehrheit der Österreicher, die unbescholten sind.

Es gibt auch ein Beispiel in Mexiko – wo genau diese Maßnahme eingeführt wurde. Es hat sich dann ein schwunghafter Schwarzmarkt für nicht zuordenbare SIM Karten entwickelt. In Mexiko hat man daraus gelernt und diese Maßnahme nach einigen Jahren wieder aufgegeben.

Zugriff auf alle öffentlichen Videokameras

Zum Zwecke der “Vorbeugung wahrscheinlicher … Angriffe” (viel weicher kann man es wohl nicht formulieren) soll die Polizei Zugriff auf alle (auch private) Überwachungskameras im öffentlichen Raum bekommen. Bei der Installation einer Überwachungskamera soll dies in Zukunft der Behörde gemeldet werden müssen. Diese kann dann eine Speicherung des Videomaterials bis zu zwei Wochen verfügen. Für diese Maßnahme ist keinerlei richterliche Kontrolle vorgesehen.

In Österreich gab es 17 Standorte bei denen die Polizei Videoüberwachungen betrieben hat. An 15 Standorten wurde die Überwachung wieder eingestellt. Offensichtlich hat sich gezeigt, dass die Erfolge dadurch geringer als erhofft, und die Aufwände höher als gedacht waren.

Grundrechte

Grundrechte wurden eingeführt, um den Bürger vor Staatlichen Übergriffen zu schützen. Grundrechte dienen dazu die grundlegenden Freiheiten der Bürger zu regeln, wie das Recht auf Privatsphäre, oder das Recht auf freie unüberwachte Kommunikation. Grundrechte sind natürlich nicht absolut. Verbrechen sollen nicht unter dem Schutz der Grundrechte passieren dürfen. Sie dienen nur dem Schutz der unbescholtenen Bürger vor Repressalien des Staates. Darum muss abgewogen werden, welches Recht stärker ist, das des Staates ein Verbrechen zu verfolgen – oder das der Bürger zu ihrem Schutze.

Es heißt in Artikel 8 der Europäischen Menschenrechts Konvention dazu:

Art. 8
Recht auf Achtung des Privat- und Familienlebens

(1) Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz.

(2) Eine Behörde darf in die Ausübung dieses Rechts nur eingreifen, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist für die nationale oder öffentliche Sicherheit, für das wirtschaftliche Wohl des Landes, zur Aufrechterhaltung der Ordnung, zur Verhütung von Straftaten, zum Schutz der Gesundheit oder der Moral oder zum Schutz der Rechte und Freiheiten anderer.

In der Verhälniskeitsprüfung sind folgende Maßstäbe anzulegen:

  • Verfolgung eines legitimen Zieles
    (z.B. Verfolgung einer Straftat)
  • Verwendung eines geeigneten Mittels
    (ist das Mittel / Maßnahme geeignet?)
  • Das Mittel muss erforderlich sein, und es kann kein gelinderes verwendet werden
    (nicht mit Kanonen auf Spatzen schießen)
  • Die Maßnahme muss verhältnismäßig sein

Eigentlich müsste diese Überprüfung bereits bei der Erstellung der Gesetze durchgeführt werden, diese ist jedoch offensichtlich nicht erfolgt.

Die Aufzeichnung des gesamten Digitalks ist hier nachzusehen: