Bundestrojaner

Herausforderung der Ende-zu-Ende-Verschlüsselung

Bei den meisten Messenger-Diensten werden Nachrichten mittlerweile Ende-zu-Ende verschlüsselt, was bedeutet, dass sie auf dem sendenden Gerät verschlüsselt und erst beim Empfänger wieder entschlüsselt werden. Während des Transports und in den Rechenzentren der Betreiber liegen die Nachrichten daher nur in verschlüsselter Form vor. Diese Sicherheitsmaßnahme, die ursprünglich zum Schutz der Privatsphäre eingeführt wurde, stellt eine erhebliche Herausforderung für staatliche Überwachungsmaßnahmen dar. Es ist nicht mehr möglich, mit einem richterlichen Befehl einfach in das Rechenzentrum der Betreiber zu gehen und die Herausgabe der Informationen zu verlangen, wie es früher bei Telefonzentralen möglich war.

Ein konkretes Beispiel aus der Vergangenheit: Früher konnte die Polizei in Wählämtern, wo die Telefonverbindungen zentral verwaltet wurden, einfach die Telefonleitungen anzapfen und Gespräche mithören. Dies war eine direkte, unkomplizierte Methode der Überwachung. Im digitalen Zeitalter mit verschlüsselten Nachrichten ist dies jedoch nicht mehr möglich.

Lösungsansatz: Staatstrojaner/Bundestrojaner

Um auf den Endgeräten mithören zu können, wird eine Software auf dem Gerät – meist einem Smartphone – installiert, die von der Polizei oder dem Nachrichtendienst eingeschleust wird und einem Virus ähnelt. Diese Software wird durch Ausnutzung ungepatchter Sicherheitslücken im Betriebssystem installiert, sogenannten Zero-Day-Exploits. Diese Schwachstellen sind besonders gefährlich, da sie vom Hersteller noch nicht entdeckt und daher auch nicht behoben wurden. Sobald die Software installiert ist, kann sie die Kommunikation auf dem Gerät abfangen, noch bevor sie verschlüsselt wird.

Ein prominentes Beispiel für solche Überwachungssoftware ist “Pegasus”, das von mehreren Staaten weltweit nicht nur zur legalen Überwachung eingesetzt wurde, sondern auch um politische Gegner, Journalisten und Aktivisten auszuspionieren.

Verfassungswidrigkeit des Bundestrojaners

Der Verfassungsgerichtshof (VfGH) hat in seiner Entscheidung vom 11.12.2019 den Einsatz von Bundestrojanern als verfassungswidrig erklärt. Er sah in der geplanten Befugnis zur Überwachung verschlüsselter Nachrichten eine Verletzung des Rechts auf Achtung des Privatlebens nach Art. 8 EMRK (Europäische Menschenrechtskonvention). Da heutzutage ein Großteil der privaten Kommunikation über Smartphones läuft, ist dieser Kommunikationskanal besonders schützenswert. Die geplante Regelung hätte die Überwachung jeder Eingabe in ein elektronisches Endgerät ermöglicht, was der VfGH als unverhältnismäßig ansah.

Zudem stellte der VfGH fest, dass eine solche Überwachung dem unbemerkten Eindringen in eine Wohnung und deren Durchsuchung gleichzusetzen ist, wofür ein richterlicher Befehl erforderlich wäre. Diese Voraussetzung war jedoch im Gesetz nicht vorgesehen.

Ein neues Gesetz müsste daher enge Grenzen für den Einsatz von Bundestrojanern setzen und eine richterliche Anordnung zwingend vorschreiben, um die Privatsphäre der Bürgerinnen und Bürger bestmöglich zu schützen.

Problem der Sicherheitslücken und Missbrauchsrisiken

Wie bereits beschrieben, benötigen Sicherheitsbehörden für den Einsatz eines Bundestrojaners Sicherheitslücken in den gängigen Betriebssystemen. Der Staat wäre in einem Zwiespalt gefangen: einerseits hätte er zu Überwachungszwecken ein Interesse daran, dass diese Sicherheitslücken nicht geschlossen werden. Andererseits können solche Lücken eben nicht nur von staatlichen Stellen, sondern auch von weniger wohlmeinenden Akteuren wie Cyberkriminellen ausgenutzt werden. Diese Lücken würden dann großflächig existieren, was nicht nur Einzelpersonen, sondern auch kritische Infrastruktur betreffen würde. Ein prägnantes Beispiel dafür ist der Einsatz von Ransomware, also Schadsoftware, die Daten in Computersystemen quasi als Geiseln nimmt und die in der Vergangenheit bereits Krankenhäuser lahmgelegt hat. Man brauch wohl nicht näher auszuführen dass wenn ein Krankenhaus durch Schadsoftware angegriffen wird, Menschenleben in Gefahr sind.

Der Staat sollte, nein muss daher ein großes Interesse daran haben, diese Sicherheitslücken zu schließen, um nicht nur die Sicherheit der digitalen Infrastruktur, sondern auch das Vertrauen der Bürgerinnen und Bürger in die staatlichen Schutzaufgaben sicherzustellen.

Scheuklappen

Ein weiterer, kaum beachteter Punkt in der Diskussion rund um den Bundestrojaner ist die Vielfältigkeit der Kommunikationsmöglichkeiten, die eine gezielte Überwachung einzelner Kommunikationskanäle unmöglich macht. Dies ist jedoch eine wesentliche Voraussetzung für eine grundrechtskonforme Überwachung, wie der Verfassungsgerichtshof in seinem Urteil klargestellt hat. Somit müssten die Überwachungsbehörden den Bundestrojaner für jede Messenger-App anpassen, um nur Nachrichten zwischen Verdächtigen und nicht auch Komminikation mit Unbeteiligten aufzuzeichnen oder gar jegliche Art von Texteingaben, auch Passwörter auf Webseiten etc.

Die Möglichkeiten der Kommunikation zwischen Personen sind mittlerweile endlos. Fast jedes Online-Spiel erlaubt Gruppen-Chats, auf praktisch allen Zeitungs-Webseiten gibt es Foren, die teilweise auch private Nachrichten erlauben, jede Person mit ein wenig technischem Know-How kann einen privaten Voice-Chat-Server aufsetzen. Es ist schlichtweg unmöglich, all die möglichen Kommunikationswege auszuloten, über die kriminelle Elemente kommunizieren können. Flapsig gesagt: mit einem Bundestrojaner kann man nur die dummen, naiven Kriminellen überwachen, die sich keinerlei Gedanken über die sicherheit der Kommunikation machen. Und die erwischt man auch auf andere Weise. 

Fazit

Das Thema der Überwachung durch staatliche Behörden mittels Bundestrojaner ist hochkomplex und birgt erhebliche rechtliche, technische und ethische Herausforderungen. Einerseits ist die Forderung nach erweiterten Überwachungsmöglichkeiten durch Sicherheitsbehörden angesichts der zunehmenden Bedrohungen nachvollziehbar, zumal traditionelle Überwachungsmaßnahmen bereits lange etabliert sind. Andererseits stellt die Nutzung von Bundestrojanern eine erhebliche Gefahr für die Privatsphäre und die Grundrechte der Bürger dar. Die Verfassungswidrigkeit solcher Maßnahmen, wie sie vom Verfassungsgerichtshof festgestellt wurde, unterstreicht die Notwendigkeit strenger rechtlicher Rahmenbedingungen und richterlicher Kontrolle, um Missbrauch zu verhindern.

Zusätzlich stellt die Abhängigkeit von Sicherheitslücken in Betriebssystemen ein erhebliches Risiko dar, da diese Schwachstellen nicht nur von staatlichen Akteuren, sondern auch von Cyberkriminellen ausgenutzt werden können, was potenziell katastrophale Folgen haben könnte. Angesichts dieser Risiken muss der Staat sorgfältig abwägen, ob und wie solche Überwachungsmaßnahmen gerechtfertigt und umgesetzt werden können, ohne das Vertrauen der Bürger in die digitale Sicherheit und den Rechtsstaat zu gefährden. Ein ausgewogenes Verhältnis zwischen Sicherheitsbedürfnissen und Grundrechtsschutz ist hierbei entscheidend.

Anmerkung: Der Autor ist Ingenieur der Nachrichtentechnik und hat einen der ersten Internet-Provider Österreichs gegründet. Die Digital Society beschäftigt sich im Zuge der Arbeitsgruppe Infrastruktur mit diesen Themen.