Am Mittwoch den 13.09. fand unser erster Digitalk<\/a> nach der Sommerpause statt. Der Digitalk<\/a> besch\u00e4ftigte sich mit dem hei\u00df diskutierten Thema des Sicherheitspaketes. Die Vortragenden dieser Veranstaltungen<\/a> waren Mag.a Angelika Adensamer, MsC, <\/span><\/strong>Juristin und Kriminologin, die als Policy Advisor f\u00fcr die B\u00fcrgerrechtsorganisation epicenter.works arbeitet, sowie Dipl.Ing. Roland Giersig,<\/strong> Sicherheitsexperte\u00a0der\u00a0Digital Society. <\/span><\/p>\n Der Vortrag besch\u00e4ftigte sich mit den wichtigsten Neuerungen des Sicherheitspaketes, das nun vor den Wahlen nicht mehr Gesetz werden wird. Sicher scheint dennoch zu sein, dass diese Forderungen auch nach der Wahl im Oktober wieder auftauchen werden.<\/p>\n Der “Bundestrojaner” soll erm\u00f6glichen, dass die Strafverfolgungsbeh\u00f6rden \u00fcber Sicherheitsl\u00fccken in bestehenden Betriebssystemen (iOS, Android, Windows) in Ger\u00e4te eindringen k\u00f6nnen, und Kommunikation abfangen kann, bevor diese verschl\u00fcsselt wird. Moderne Kommunikationsdienste verwenden sogenannte End to End Verschl\u00fcsselung – bei der Kommunikation nicht mehr am Weg durchs Internet oder auf den Servern der Betreiber (WhatsApp, Telegram, etc.) abgefangen werden k\u00f6nnen, da eine Entschl\u00fcsselung zu aufw\u00e4ndig w\u00e4re. Um diese Kommunikation nun \u00fcberwachen zu k\u00f6nnen, m\u00fcsste\u00a0eine\u00a0Staatliche Schadsoftware entwickelt werden. Diese Software w\u00fcrde dann –\u00a0nat\u00fcrlich ohne Wissen des Betroffenen – auf ein Ger\u00e4t (Mobiltelefon oder PC) installiert werden.\u00a0Diese Schadsoftware w\u00fcrde dann die Kommunikation des “verwanzten” Ger\u00e4tes abfangen, bevor sie verschl\u00fcsselt\u00a0auf den Weg durch das Netz gesendet werden w\u00fcrde.\u00a0Damit w\u00e4re es den Beh\u00f6rden m\u00f6glich auch diese Kommunikationskan\u00e4le mitzulauschen.<\/p>\n Um jedoch\u00a0so in ein Ger\u00e4t eindringen zu k\u00f6nnen, m\u00fcsste sich der Staat aus zweifelhaften Quellen Sicherheitsl\u00fccken in den betroffenen Systemen erkaufen. Diese Sicherheitsl\u00fccken m\u00fcssten dann ausgenutzt werden um diese Schadsoftware in die System einzubringen. Genau diese Betriebssysteml\u00f6cher st\u00fcnden aber nicht nur dem Staat zur Verf\u00fcgung,\u00a0sondern auch kriminellen Organisationen. So wurde z.B. vom Crypto Trojaner Wannacry eine von der NSA gesammelte – und sp\u00e4ter entwendete Sicherheitsl\u00fccke ausgenutzt um Computersysteme zu verschl\u00fcsseln und von deren Besitzern L\u00f6segeld zu erpressen. Im Falle von Wannacry war dadurch unter anderem das englische Gesundheitssystem teilweise lahmgelegt, weil diese Erpressersoftware auch massenhaft PC’s in englischen Spit\u00e4lern erwischt hat.<\/p>\n Hier sieht man dass\u00a0diese Methode die verschl\u00fcsselte Kommunikation von\u00a0potentiellen Verbrechern abh\u00f6ren zu k\u00f6nnen, einen Pferdefu\u00df hat. Man unterst\u00fctzt durch diese Vorgehensweise, dass Fehler und L\u00f6cher in Betriebssystemen nicht geschlossen werden, weil der Staat selbst Interesse an diesen L\u00f6chern hat. Er f\u00f6rdert demnach den Handel mit solchen Hintert\u00fcren, wissend – dass Erpresser die gleichen Sicherheitsl\u00f6cher nutzen um eventuell die gesamte kritische Infrastruktur<\/a> eines Landes lahm zu legen. Hier muss hinterfragt werden, ob der Nutzen hier f\u00fcr das Risiko steht.<\/p>\n Es werden derzeit schon \u00fcber die Section Control, sp\u00e4ter auch \u00fcber die neue e-Vignette Kennzeichendaten von der ASFINAG erfasst. Derzeit vernichtet die ASFINAG diese Daten sofort, wenn sie nicht mehr ben\u00f6tigt werden (wenn man z.B. die Section Control mit der richtigen Geschwindigkeit durchfahren hat). In Zukunft m\u00f6chten die Strafverfolgungsbeh\u00f6rden aber Zugriff auf genau diese Daten erhalten. Der Zugriff soll zwar auf “Abwehr gef\u00e4hrlicher Angriffe” eingeschr\u00e4nkt werden. Allerdings wird nicht genau definiert, was darunter zu verstehen ist.<\/p>\n Die Gefahr die hier besteht, ist dass \u00fcber den Zugriff auf diese Daten ein genaues Bewegungsprofil aller \u00d6sterreicher erstellt werden kann. Genau das w\u00fcrde die Reisefreiheit und hier vor allem die M\u00f6glichkeit sich unbeobachtet zu bewegen einschr\u00e4nken.<\/p>\n Die Problematik hier ist, dass wenn\u00a0den Strafverfolgungsbeh\u00f6rden ein derartiger Zugriff gewehrt werden w\u00fcrde, dass diese Daten wieder auf Vorrat gespeichert werden m\u00fcssten. D.h. es m\u00fcssten alle Daten aller unbescholtenen \u00d6sterreichern auf eine bestimmte Dauer gespeichert werden. Genau diese Kennzeichenvorratsdatenspeicherung widerspricht jedoch der Notwendigkeit dass solche Zugriffe nur “Anlassbezogen” und auf Verdacht hin sein d\u00fcrfen.<\/p>\n Der europ\u00e4ische und \u00f6sterreichische Verfassungsgerichtshof hat die Vorratsdatenspeicherung (also die anlasslose Speicherung von Metadaten – also wer, wann mit wem, wie lange telefoniert) als Verfassungswidrig erkl\u00e4rt. Seitdem versuchen die Strafverfolgungsbeh\u00f6rden einen verfassungskonformen Ersatz daf\u00fcr zu finden. Der Grund war auch hier, dass die Daten von Millionen unbescholtener \u00d6sterreicher “auf Vorrat” ohne Verdacht gespeichert w\u00fcrden. Gesetzlich ist vorgesehen dass Telekommunikationsdaten – weil sie eben sehr heikle Daten sind – sobald sie nicht mehr f\u00fcr die Verrechnung ben\u00f6tigt werden zu l\u00f6schen sind.<\/p>\n Als m\u00f6gliche L\u00f6sung wurde nun ein Quick Freeze Verfahren vorgeschlagen. Dabei sollen nun – im Anlassfall – also Verdachtsabh\u00e4ngig verf\u00fcgt werden k\u00f6nnen, dass Daten f\u00fcr ein Jahr nicht gel\u00f6scht werden d\u00fcrfen.<\/p>\n Grunds\u00e4tzlich w\u00e4re der Quickfreeze eine akzeptable Vorgehensweise. Es werden nur Daten von Verd\u00e4chtigen “eingefroren”. Ein Richter pr\u00fcft dann den Verdacht und verf\u00fcgt die Herausgabe der Daten.<\/p>\n Leider ist der Gesetzestext hier sehr ungenau formuliert. Aus dem Gesetzesentwurf ist nicht herauslesbar, welche Daten hier \u00fcberhaupt eingefroren werden sollen Betrifft es tats\u00e4chlich nur die Kommunikation eines Verd\u00e4chtigen, oder einer gr\u00f6\u00dferen Personengruppe? Auch sieht dar Gesetzesentwurf keine Informationspflicht bei einer erfolgten \u00dcberwachung vor. Im Normalfall wird ein Verd\u00e4chtiger, sollte eine \u00dcberwachungsma\u00dfnahme den Verdachtsfall nicht erh\u00e4rtet haben nachtr\u00e4glich \u00fcber die erfolgte \u00dcberwachung informiert. In diesem Falle w\u00e4re das aber nicht vorgesehen.<\/p>\n In Zukunft sollen alle Handy’s (SIM Karten) Personen eindeutig zuordenbar sein. Es w\u00fcrde dadurch in \u00d6sterreich nicht mehr m\u00f6glich sein, anonym SIM Karten\u00a0zu kaufen. Bei\u00a0solchen Karten m\u00fcsste sich der K\u00e4ufer in Zukunft ausweisen, und der Mobilfunker bzw. deren H\u00e4ndler (z.B. die Supermarktkasse) m\u00fcssten in Zukunft nach einem Ausweis fragen. Da die Daten gespeichert werden m\u00fcssen und es\u00a0sich hier um personenbezogene Daten handelt, m\u00fcssten auch die Vorgaben der EU Datenschutz<\/a> Grundverordnung eingehalten werden. Dies w\u00fcrde zu einem erheblichen Mehraufwand bei den Mobilfunkern bzw. deren H\u00e4ndlern f\u00fchren. Die Kosten daf\u00fcr m\u00fcssten auf jeden Fall auf den Konsumenten umgelegt werden.<\/p>\n Die Frage die sich hier stellt ist wie gut das System funktionieren w\u00fcrde. Wie w\u00fcrde hier die\u00a0Qualit\u00e4t aussehen – wenn jemand mit einem beliebigen ausl\u00e4ndischen Ausweis sich eine solche Karte beschafft. Wie soll also einer Supermarktkassierin die Echtheit eines Ausweisdokuments beurteilen k\u00f6nnen. \u00a0Zus\u00e4tzlich k\u00f6nnten auch Wertkarten aus dem EU Ausland\u00a0verwendet werden k\u00f6nnen. Aufgrund des kostenlosen Roamings innerhalb der EU wurde das auch deutlich vereinfacht. Kriminelle werden also ausreichend M\u00f6glichkeiten finden, diese Vorschriften zu umgehen. Getroffen werden wiederum nur die Mehrheit der \u00d6sterreicher, die unbescholten sind.<\/p>\n Es gibt auch ein Beispiel in Mexiko – wo genau diese Ma\u00dfnahme eingef\u00fchrt wurde. Es hat sich dann ein schwunghafter Schwarzmarkt f\u00fcr nicht zuordenbare SIM Karten entwickelt. In Mexiko hat man daraus gelernt und diese Ma\u00dfnahme nach einigen Jahren wieder aufgegeben.<\/p>\n Zum Zwecke der “Vorbeugung wahrscheinlicher … Angriffe” (viel weicher kann man es wohl nicht formulieren)\u00a0soll die Polizei Zugriff auf alle (auch private) \u00dcberwachungskameras im \u00f6ffentlichen Raum bekommen. Bei der Installation einer \u00dcberwachungskamera soll dies in Zukunft der Beh\u00f6rde gemeldet werden m\u00fcssen. Diese kann dann eine Speicherung des Videomaterials bis zu zwei Wochen verf\u00fcgen. F\u00fcr diese Ma\u00dfnahme ist keinerlei richterliche Kontrolle vorgesehen.<\/p>\n In \u00d6sterreich gab es 17 Standorte bei denen die Polizei Video\u00fcberwachungen betrieben hat. An 15 Standorten wurde die \u00dcberwachung wieder eingestellt. Offensichtlich hat sich gezeigt, dass die Erfolge dadurch geringer als erhofft, und die Aufw\u00e4nde h\u00f6her als gedacht waren.<\/p>\n Grundrechte<\/a> wurden eingef\u00fchrt, um den B\u00fcrger vor Staatlichen \u00dcbergriffen zu sch\u00fctzen. Grundrechte<\/a> dienen dazu die grundlegenden Freiheiten der B\u00fcrger zu regeln, wie das Recht auf Privatsph\u00e4re, oder das Recht auf freie un\u00fcberwachte Kommunikation. Grundrechte<\/a> sind nat\u00fcrlich nicht absolut. Verbrechen sollen nicht unter dem Schutz der Grundrechte<\/a> passieren d\u00fcrfen. Sie dienen nur dem Schutz der unbescholtenen B\u00fcrger vor Repressalien des Staates. Darum muss abgewogen werden, welches Recht st\u00e4rker ist, das des Staates ein Verbrechen zu verfolgen – oder das der B\u00fcrger zu ihrem Schutze.<\/p>\n Es hei\u00dft in Artikel 8 der Europ\u00e4ischen Menschenrechts Konvention dazu:<\/p>\n Art. 8<\/em> (1) Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz.<\/em><\/p>\n (2) Eine Beh\u00f6rde darf in die Aus\u00fcbung dieses Rechts nur eingreifen, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist f\u00fcr die nationale oder \u00f6ffentliche Sicherheit, f\u00fcr das wirtschaftliche Wohl des Landes, zur Aufrechterhaltung der Ordnung, zur Verh\u00fctung von Straftaten, zum Schutz der Gesundheit oder der Moral oder zum Schutz der Rechte und Freiheiten anderer.<\/em><\/p>\n<\/div>\n In der Verh\u00e4lniskeitspr\u00fcfung sind folgende Ma\u00dfst\u00e4be anzulegen:<\/p>\n Eigentlich m\u00fcsste diese \u00dcberpr\u00fcfung bereits bei der Erstellung der Gesetze durchgef\u00fchrt werden, diese ist jedoch offensichtlich nicht erfolgt.<\/p>\n Die Aufzeichnung des gesamten Digitalks ist hier nachzusehen:<\/p>\nBundestrojaner<\/h2>\n
Verkehrs\u00fcberwachungsdaten<\/h2>\n
Quick Freeze<\/h2>\n
Identit\u00e4tsfeststellung bei Handys<\/h2>\n
Zugriff auf alle \u00f6ffentlichen Videokameras<\/h2>\n
Grundrechte<\/h1>\n
\nRecht auf Achtung des Privat- und Familienlebens<\/em><\/p>\n\n
\n(z.B. Verfolgung einer Straftat)<\/li>\n
\n(ist das Mittel \/ Ma\u00dfnahme geeignet?)<\/li>\n
\n(nicht mit Kanonen auf Spatzen schie\u00dfen)<\/li>\n