Im Sog der furchtbaren Ereignisse des Terroranschlags von Brüssel hat Justizminister Brandstetter seine neuen Überwachungspläne, einen staatlichen Bundestrojaner vorgestellt. Der Trojaner ist eine Spionagesoftware, die getarnt im Hintergrund aber ohne Wissen des Anwenders Informationen absaugt und an Behörden weiterleitet.

Laut diesem Gesetz sollen Nachrichten überwacht werden, die im Wege eines Computersystems (Computer, Handy, Spielkonsole, …) übermittelt und empfangen werden und jene Daten erfasst werden, die Rückschlüsse auf die Identität der an einer Kommunikation beteiligten Personen zulassen.

Das ist ein massiver Grundrechtseingriff.

Wir haben die Darstellungen von Minister Brandstetter einer genaueren Prüfung unterzogen:

Justizminister Brandstetter argumentiert, dass es sich bei seinem Vorschlag, um keine Trojaner handelt, weil die Software physisch durch die Polizei am Gerät installiert werden muss.

Dass ist falsch. Tatsächlich handelt es sich um einen Trojaner, weil nicht die Frage ob der Trojaner  physisch oder fern installiert wird, entscheidend ist, sondern ob getarnt ohne Wissen des Anwenders eine Fernsteuerungssoftware installiert wird. Das ist aber der Fall, sonst könnten die vom Gesetz erwünschten Daten nicht ausspioniert werden. Hintergrund des Etikettenschwindels sind PR-Überlegungen. Wer zugibt, dass er Trojaner-Spionagesoftware gesetzlich installieren will, hat mit mehr widerstand zu rechnen.

Justizminister Brandstetter argumentiert, dass der Trojaner physisch am Gerät installiert werden muss und Ferninstallationen weder beabsichtigt, noch gesetzlich möglich sind.

Diese Behauptung ist nicht durch den Gesetzestext gedeckt und findet sich ausschließlich in den unverbindlichen Erläuterungen wieder. Derzeit gibt es massive technische Hürden bei der Ferninstallation eines Trojaners. Auf Grund technischer Innovationen kann sich das ändern. Das Gesetz würde dann keinen Schutz gegen die Ferninstallation einer neuen Trojaner-Generation bieten. Nachdem Handys selten länger unbeaufsichtigt sind, wird der Druck steigen, staatliche Spionagesoftware fern zu installieren.

Justizminister Brandstetter argumentiert, dass der Trojaner mehr Sicherheit bringt.

Das Gegenteil könnte der Fall sein. Ein Trojaner setzt auf Sicherheitslücken in Computersystemen. Besonders bei Ferninstallation. Wenn für eine Überwachungsmethode Sicherheitslücken gebraucht werden, besteht ein staatliches Interesse an Sicherheitslücken. Es sinkt damit die staatliche Bereitschaft Sicherheitslücken von Software aufzudecken und zu beseitigen. Diese Sicherheitslücken sind aber auch Einfallstor für Kriminelle und Wirtschaftsspionage. Es besteht dann praktisch ein staatlicher Lenkungseffekt zu unsicherer Software, was Computersysteme allgemein angreifbarer macht.

Justizminister Brandstetter argumentiert, dass der Trojaner nur in wenigen Fällen schwerster Kriminalität – in der Regel bei den Delikten wie „Bildung einer kriminellen Organisation“ oder „terroristische Straftaten“ – überhaupt zum Einsatz kommen könnte.

Dabei denkt man automatisch an einige wenige Fälle schwerstem dschihadistischen Terrorismus a la Paris und Brüssel oder mafiose Strukturen. Tatsache ist, dass es aber eine Vielzahl an Verfahren in diesen Bereichen gibt, wo der Einsatz von Trojanern denkbar ist.

2002 bis 2012 hat es in Österreich 5129 Verfahren nach diesem Paragrafengegeben. Gerade 1027 Fälle wurden angeklagt. Das heißt, dass 80% der Ermittlungen im Sand verlaufen sind und eingestellt wurden. Was bleibt sind aber 21325 Grundrechtseingriffe im Rahmen dieser Ermittlungen. Zukünftig kommt mit dem Trojaner eine weitere massive Eingriffsmöglichkeit dazu.

Tatsächlich wurde auch gegen  „Uni brennt“-BildungsaktivistInnen, Anti-WKR-DemonstrantInnen oder Väterrechtsaktivisten nach den Antiterrorbestimmungen ermittelt.

Im Tierschützerverfahren (wegen Bildung einer kriminellen Organisation) – das als ein großer Justizskandal in die Geschichte eingegangen ist, wurde bereits ein Trojaner eingesetzt. Rechtlich wäre das auch jetzt wieder möglich. Das zeigt das Potential des Missbrauchs – warum sollte heute nicht in einem ähnlichen Fall, wieder mit einem Trojaner ermittelt werden?

Justizminister Brandstetter argumentiert, dass nur in einem eingeschränkten Umfang die Spionagesoftware  eingesetzt werden darf.

Das ist grundsätzlich nicht falsch. Es gibt tatsächlich Trojaner weit mehr könne als im Gesetz vorgesehen. Sie können über den Computer abhören und filmen oder die Inhalte der gesamten Festplatte ausspähen. Da beginnt aber das Problem. Niemand weiß welcher Trojaner zur Anwendung kommt und was er wirklich kann. Dafür müsste der Quellcode (Wie ein Programm funktioniert und was es kann) bekannt gegeben werden. Wenn der Quellcode nicht offengelegt wird, fehlt jede öffentliche und gesellschaftliche Kontrolle.

Noch schwerer wiegt aber, dass kein Trojaner technisch so spezifizierbar, dass es tatsächlich punktgenau nur jene Daten erfasst, wie vom Gesetz vorgesehen wird. Dazu kommt, dass die Technik alleine nicht feststellen kann, ob Daten geeignet sind beispielsweise Rückschlüsse auf die Identität eines Kommunikationspartners einer überwachten Person zu liefern. Dafür braucht es eine menschliche Bewertung. Zu diesem Zeitpunkt wurde aber das Versprechen des eingeschränkten Umfangs bereits gebrochen und wird den Ermittlungsbehörden mehr als im Gesetz erlaubt bekannt.

Das sagen Experten:

Andreas Krisch, Mitglied des Datenschutzrates, Vorstand vom Forum Datenschutz und Präsident von  EDRi European Digital Rights:

Der Trojaner ist eine falsche Weichenstellung von Sicherheit in Richtung Spionage. Da Entschlüsselung einer erhaltenen Nachricht ein eigener Vorgang ist, kann das Wochen später passieren. Daher ist nach den Überlegungen des Gesetzes die vollständige Überwachung des Systems – weit über das Gesetz vorgesehen – notwendig.

Reinhard Kreissl, Kriminalsoziologe und Geschäftsführer von VICESSE – Vienna Centre For Societal Security

Der Trojaner ist eine Anlassgesetzgebung – ein „Polizeistaat in der Schublade“. Justiz soll sich nicht als Zulieferer der Ermittlungsbehörden und Sicherheitspolitik verstehen, sondern auch Privatsphäre und Folgen im Auge haben. In Nachbetrachtung aller Terroranschläge kann man sagen, dass nie zu Wenig Daten und Informationen vorhanden waren. Es fehlte immer an korrekten Analysen. Den Heuhaufen zu vergrößern, um die Nadel zu suchen, wird wenig bringen.

Christof Tschohl, Jurist und Obmann der NGO AK Vorrat

Der Trojaner ist ein Boomerang für die Sicherheit. Sie können leicht erkannt werden. Dann werden sich Betroffene nicht nur schnell schützen, sondern versuchen durch Manipulation mit Fehlinformationen die Sicherheitsbehörden zu täuschen. Einschränkung des Gesetzes auf die “Kommunikation“ ist eine Farce. Es werden alle Daten am System überwachtwerden, sonst kommen Behörden zu keinen brauchbaren und verwertbaren Informationen.

Update 7.7.2016 – Der Fernsehsender Puls 4 berichtet, dass das Justizministerium möglicher Weise nach der massiven Kritik den Bundestrojaner vorläufig auf Eis legt. Dafür habe ich noch keine unmittelbare Bestätigung. Wenn es so wäre, ist das ein großartiger Erfolg zum Schutz unserer Freiheits- und Grundrechte.