Vor 7 Jahren habe ich schon einmal einen längeren Blogpost zu Gesetzesentwürfen geschrieben, mit denen damals die Möglichkeit einer Einbringung von Überwachungssoftware für polizeiliche Zwecke ermöglicht hätte werden sollen.

Jetzt sind wir wieder so weit, die ÖVP hat das Thema im Wahlkampf aufgegriffen und meint, dass aktuelle Vorfälle die Notwendigkeit hinreichend untermauern. Ich will hier jetzt keine Brandrede gegen jegliche Überwachungsideen halten, sondern ein paar Fakten klarstellen, die gerne übersehen werden.

Details zum aktuellen Gesetzesentwurf („Entwurf eines Bundesgesetzes, mit dem das Staatsschutz- und Nachrichtendienstgesetz geändert wird“ - 350/ME XXVII. GP) sind auf der Parlamentswebseite abrufbar. Mein Kollege Alexander Riepl hat dazu auch schon einen Blogpost geschrieben.

Dieses Dokument geht bewusst nicht auf alle Aspekte des Entwurfes ein.

Die Telefonüberwachung als Vorbild ist falsch

Dass der Staat gerne Einblicke in die Kommunikation seiner Bürger hätte, hat eine lange Tradition, die bis in die Habsburgerzeit (Metternich ist da nur das bekannteste Gesicht davon) zurück reicht. Zuerst ging es um Briefe, später auch um das Telefon. So eine Überwachung brauchte keinen direkten Zugang zum Überwachten, ein Eingriff im Postamt bzw. der Telefonvermittlung reichte aus, um einen Zugriff auf die Kommunikation zu erlangen.

Wie so oft in der Menschheitsgeschichte hat es eine Zeit gedauert, bis sich ein Konsens zu den rechtlichen Rahmenbedingungen dafür gebildet hat. Nach überschießender Überwachung kam die Aufnahme des Brief- und Fernmeldegeheimnisses in das Staatsgrundgesetz (Artikel 10, 10a), wo ein enger Rahmen für zulässige Eingriffe gesetzt wird.

Nach den Snowden-Enthüllungen wurde das Schützen der Vertraulichkeit von digitaler Kommunikation durch den Einsatz von Kryptografie umfassend umgesetzt. Ein Mitlauschen bzw. Mitlesen rein durch das Ausleiten der übertragenen Datenpakete durch den ISP an die Polizei ist damit nicht mehr möglich.

Eine Analogie dazu in der alten Telefoniewelt wäre der Einsatz einer Sprache, die von den Mithörern nicht verstanden wird. Daher kam es zu Episoden, in denen der Staat die zu verwendende Sprache bei Telefongesprächen vorgeschrieben hat. Im militärischen Bereich ist der Einsatz von den Navajo Codespeakern im 2. Weltkrieg ein sehr erfolgreiches Beispiel von „analoger Verschlüsselung“.

Ein Gedankenexperiment dazu: Hätte eine kriminelle Vereinigung in den 60er Jahren sich ein paar Codespeaker geleistet, dann wäre die Polizei damals bei der Telefonüberwachung genau dort angestanden, wo sie jetzt das große Problem hat: Die Kommunikation wird verschlüsselt bevor sie übertragen wird, daher kann ein Mitlauschen keinen Klartext mehr liefern. Die Analogie zur „Quellen-TKÜ“ wäre hier ein Mitlauschen der Kommunikation zwischen dem Kriminellen und seinem Codespeaker, etwa mit einer Wanze nahe am Telefon. Eine Aussage der Art „macht euch keine Sorge, die Wanze wird nur aktiv sein, wenn auch wirklich gerade telefoniert wird, zu allen anderen Zeitpunkten wird der überwachende Beamte weghören“ hätte auch damals schon unglaubwürdig geklungen.

Hier kommen wir aber mit dem Artikel 9 des Staatsgrundgesetzes in Konflikt, das lautet: „Das Hausrecht ist unverletzlich.“

Handy als Wohnung

Vor 10 Jahren gab es schon die ersten Urteile, die den Umfang der persönlichen Daten in Smartphones für derartig groß ansehen, dass eine Durchsuchung des Handys einer Wohnungsdurchsuchung gleichkommt. Inzwischen hat uns allen der Ibiza-Skandal und die folgenden Durchsuchungen von Handys klargemacht, wie sensitiv die Daten sind, die wir alle auf unseren Geräten mit uns führen. Das reicht vom Kommunikationsarchiv, Bildarchiv, Adressbuch, Gesundheitsdaten, Social Media Streams, Lesehistorie (was etwa sexuelle Orientierung und Religionsbekenntnis verraten kann), Finanzdaten bis hin zum zweiten Faktor unserer digitalen Identitäten wie etwa ID-Austria.

Rechtlich ist daher der Zugriff des Staates auf die Mobiltelefone seiner Bürger extrem heikel. Was etwa mit einem beschlagnahmten Telefon alles gemacht werden darf, und wer kontrolliert, wie die so gewonnen Informationen genutzt werden, wird gerade auch wieder kontroversiell diskutiert.

Wenn wir aber das Handy als genauso schützenswert sehen wie eine Wohnung, dann ist der virtuelle Einbruch dort zwecks Installation der Überwachungssoftware mit einem verdeckten Einstieg in eine Wohnung zum Einbringen einer Wanze gleichzusetzen.

Dass das Thema Hausrecht für sie schwierig ist, greifen auch die Autoren des vorliegenden Entwurfes auf, denn sie schreiben klar in den EBs: „Ein Eindringen in vom Hausrecht geschützte Räume oder Durchsuchen von Behältnissen zwecks Installation des Programms ist nicht zulässig.“ Ein Blick zu unseren deutschen Nachbarn zeigt, dass man dort schon weiter ist: Die Ministerin will genau dieses erlaubt sehen. Ein österreichisches „wir werden das nicht brauchen“ halte ich daher nicht für dauerhaft gültig.

Handys haben weiters die Eigenschaft, dass wir sie laufend mit uns mitführen. Die korrekte Analogie zur Wanze neben dem alten Analogtelefon zuhause ist daher folgendes: Das BMI will eine Drohne laufend dem Überwachungssubjekt um den Kopf schwirren lassen, diese darf aber nur dann filmen und Tonaufnahmen machen, wenn derjenige gerade chattet oder telefoniert.

Einschränkung auf Kommunikationsüberwachung

Die ganze Fiktion des „wir machen nur Kommunikationsüberwachung“ in dem Gesetzesentwurf basiert darauf, dass es technisch machbar ist, die Fähigkeiten der Software so einzuschränken, dass wirklich nur genau das geht, was auch explizit vom Gesetz erlaubt wird.

Aus technischer Sicht ist das nicht haltbar.

Vor 30 Jahren war das noch denkbar: die ersten GSM-Telefone konnten telefonieren und nutzten das SMS als Medium für schriftliche Nachrichten. Ein aktuelles Smartphone ist ein äußerst komplexer Computer, der nebenbei auch noch telefonieren kann. Heute dominieren Over-the-top (OTT) Dienste: der Mobilfunkanbieter stellt nur die IP-Connectivity bereit (wenn das Handy nicht gerade per WLAN online ist), die eigentliche Kommunikationsdienstleistung wird von Dritten bereitgestellt. Bekannte Beispiele sind iMessage, WhatsApp, Telegram, Signal, Slack, Skype, Discord, Teams, Zoom, WebEx oder Threema. Manche fokussieren auf Privatnutzer, andere auf Firmen und bieten Chat, Telefonie und auch Videokonferenzen; alles sowohl zwischen zwei Teilnehmern als auch in Gruppen. Neben diesen Dienstleistern gibt es auch eine Vielzahl an Software, die es sehr einfach macht, solche Services selbst zu betreiben. Bekannt sind hier etwa Mattermost, NextCloud, RocketChat, Jabber, IRC, BigBlueButton und jede Menge an Software für Webforen. Dazu kommen noch Social Media Apps wie Facebook, Twitter/X, Instagram, SnapChat, BlueSky und Mastodon, die auch in vielen Fällen Chat und Video-Conferencing eingebaut haben. Multiplayer Online-Spiele inkludieren auch meistens einen Chat. Zu vielen dieser Dienste gibt es dedizierte Apps, aber fast alle davon sind auch über den Webbrowser nutzbar.

Es mag noch denkbar sein, dass die Überwachungssoftware es schafft, die Telegram-App laut Wunsch des Gesetzgebers korrekt zu überwachen und sich auch bei der Exfiltration der Chat-Historie an das Timeboxing des Gerichtsbeschlusses zu halten. Aber die Fülle an Anwendungen inklusive der Nutzung des Browsers? Das ist völlig unrealistisch.

Die korrekte Analogie

Das Festhalten am „wir wollen nur das Mittel der Telefonüberwachung retten“ kann aus all diesen Gründen nicht funktionieren.

Die korrekte Analogie für Überwachungssoftware am Handy ist eine laufende, verdeckte Hausdurchsuchung inklusive der Installation von Wanzen und Kameras plus einem Live-Tracking des Standortes des Überwachungszieles.

Das ist die Ultima Ratio der Ermittlungsmöglichkeiten. Wenn der Gesetzesentwurf ehrlich wäre, dann würde er genau das klar kommunizieren: wir brauchen den großen Lauschangriff nicht nur in physischen Wohnungen, sondern auch in ihren virtuellen Äquivalenten, den Computern und Handys.

Ich würde diese Möglichkeit nicht kategorisch ausschließen, insbesondere nicht für die Nachrichtendienste. Das darf keinesfalls zur Routinemaßnahme werden, und braucht eine starke, unabhängige Aufsicht.

Ultimative Macht ist gefährlich

Die Überwachungssoftware für Handys, zum Beispiel Pegasus von der NSO Group, ist ein extrem mächtiges Instrument: man braucht nur eine Telefonnummer, und hat damit dann Vollzugriff auf das Handy, kann es orten, kann es als Wanze verwenden, kann den Bildschirm spiegeln und das komplette Kommunikationsarchiv einsehen. Das ist quasi der ultimative Telefon-Joker, den die Polizei ziehen kann, wenn sie bei Ermittlungen ansteht.

Es ist daher menschlich verständlich, und so auch schon in anderen Staaten passiert, dass die Verlockung der einfachen Lösung dazu führt, dass dieser Joker auch bei Fällen gezogen wird, bei denen das eigentlich nicht vorgesehen gewesen wäre. Pegasus & co sind wie ein Cheat-Code bei Computerspielen: immer, wenn es schwierig wird, kann man darauf zurückgreifen und damit kann auch ein harter Gegner im Spiel leicht bezwungen werden.

Und dann ist der Schritt nicht weit, dieses Werkzeug auch für politische Zwecke einzusetzen. Und da reden wir nicht nur von den Diktaturen in Südamerika, Afrika und Asien, bei denen wir nichts anderes erwarten, sondern auch innerhalb der EU wurden mehrere Missbrauchsfälle aufgedeckt.

Im EU-Parlament selber wurden schon Fälle gefunden, und in einem Untersuchungsausschuss wurde der Einsatz solcher Software bei einigen Mitgliedsstaaten untersucht. Der Endbericht führt im Detail an, wo in der EU Spionagesoftware gegen politische Gegner, Journalisten und die Zivilgesellschaft eingesetzt wurde. Konkret werden die Missbrauchsfälle durch Polen, Ungarn, Griechenland, Zypern und Spanien dokumentiert, sowie einige Fälle, in denen Akteure außerhalb der EU politische Ziele in der EU angegriffen haben.

In der Zusammenfassung finden sich folgende Aussagen:

Der Missbrauch von Spähsoftware verletzt nicht nur das Recht auf Privatsphäre natürlicher Personen. Er untergräbt auch heimlich die Demokratie und die demokratischen Institutionen. Er schaltet die Opposition und Kritiker stumm, verhindert Überprüfungen und hat eine abschreckende Wirkung auf die freie Presse und die Zivilgesellschaft. Er dient auch dazu, Wahlen zu manipulieren. Der Begriff „Söldner-Spähsoftware“ beschreibt sehr gut den Charakter des Produkts und der Industrie. Sogar gescheiterte Versuche, ein Smartphone mit Spähsoftware zu infizieren, haben politische Auswirkungen und können sowohl dem Einzelnen als auch der Demokratie Schaden zufügen. Die Teilnahme am öffentlichen Leben wird unmöglich, wenn die Gewissheit fehlt, frei und unbeobachtet zu sein.

Der Spähsoftware-Skandal ist keine Folge isolierter nationaler Missbrauchsfälle, sondern eine ausgewachsene europäische Angelegenheit. Regierungen von EU-Mitgliedstaaten haben Spähsoftware genutzt, um ihre Bürger zu politischen Zwecken auszuspionieren und Korruption und kriminelle Aktivitäten zu vertuschen. Einige gingen sogar noch weiter und haben Spähsoftware in ein System eingebaut, das gezielt für autoritäre Regierungsstrukturen entwickelt wurde. Regierungen anderer Mitgliedstaaten haben zwar keinen Missbrauch von Spähsoftware begangen, aber den verborgenen Handel mit Spähsoftware erleichtert. Europa ist zu einem attraktiven Ort für Söldner-Spähsoftware geworden. Es war Drehscheibe für Exporte in Diktaturen und Unterdrückungsregime wie Libyen, Ägypten und Bangladesch, wo die Spähsoftware gegen Menschenrechtsaktivisten, Journalisten und Regierungskritiker eingesetzt wurde.

Der Missbrauch von Spähsoftware bedeutet eine schwere Verletzung aller Werte der Europäischen Union und stellt die Widerstandsfähigkeit der Demokratie und Rechtsstaatlichkeit in Europa auf die Probe. In den letzten Jahren hat die EU ihre Kapazität zur Reaktion auf externe Bedrohungen unserer Demokratie, sei es Krieg, Desinformationskampagnen oder politische Einmischung, sehr schnell ausgebaut. Im Gegensatz dazu bleibt die Fähigkeit, auf interne Bedrohungen der Demokratie zu reagieren, bedauerlicherweise schwach.

Das Missbrauchspotential solcher Software ist daher klar dokumentiert. Bei der Einschätzung der Gefahr für einen gesetzeswidrigen Einsatz in Österreich darf man nicht nur von den aktuell handelnden Personen im BMI und der DSN ausgehen, man muss immer im Auge behalten, dass sich die Besetzungen nach den Wahlen ändern können.

Wir sollten das Risiko nicht eingehen, dass wir uns in zehn Jahren wundern müssen, was alles in Sachen Überwachungssoftware geht.

Um nochmal ein Bild dafür zu bringen: Diese Überwachungssoftware ist ein bisschen wie der „Ring der Macht“ aus Tolkiens „Herr der Ringe“. Dort lehnen auch starke, positive Figuren seinen Einsatz ab, weil sie um die korrumpierende Macht dieses Artefakts wissen.

Interessenskonflikt zu Schwachstellen

Bei der Debatte zur NIS2-Umsetzung im Parlament wurde auch der Interessenskonflikt innerhalb des BMI angesprochen: Einerseits wollen wir, dass das Handy eines Politikers, einer Geschäftsführerin, eines Anwaltes oder einer Journalistin so sicher sind, wie nur irgendwie möglich. Das inkludiert „Evil Maid“ Angriffe, d.h. auch der physische Zugriff auf das Handy sollte nicht das Auslesen der darauf gespeicherten Daten ermöglichen, und erst recht nicht die Installation von Überwachungssoftware.

Aber gleich neben den dafür zuständigen Aufgabenbereichen „Spionageabwehr“, „Cybersicherheit“, und „Schutz kritischer Infrastruktur“ soll es in der DSN die Bereiche geben, wo genau die gleichen Schwachstellen dafür genutzt werden, um Überwachungssoftware auf die Handys verdächtiger Personen einzubringen.

Aus technischer Sicht besteht kein Unterschied zwischen der Vorgehensweise der „Guten“ und der der „Bösen“, und wir haben schon oft genug erlebt, dass die Schwachstellen, die initial von westlichen Diensten für ihre Zwecke genutzt wurden, auch in andere Hände fallen und dort dann für eindeutig kriminelle Zwecke benutzt werden. Die großen Hersteller haben sich inzwischen klar dafür entschieden, alle Schwachstellen zu schließen, auch wenn das hier und da negative Seiteneffekte haben könnte.

Ein bekanntes Beispiel dafür ist der EternalBlue Exploit der NSA, der mit WannaCry, NotPetya and BadRabbit Schäden in der Milliardenhöhe verursacht hat. Aktuell meldet Google, dass russische APT-Akteure die gleichen Exploits nutzen, die sie von Anbietern von Spionagesoftware kennen. 

Mit diesem Gesetzesentwurf setzt die Politik die DSN in eine Zwickmühle. Was soll sie priorisieren? Das Schließen von Schwachstellen, um unsere kritischen Systeme zu schützen, oder das Offenhalten von Schwachstellen, damit sie ihre Überwachungssoftware platzieren kann?

Meiner Meinung nach kann das nur in Richtung CVD – der koordinierten Offenlegung von Schwachstellen – gehen.

Zusammenfassung

• Die Fiktion, dass wir mit dem aktuellen Gesetzesentwurf einfach nur die Telefonüberwachung fortschreiben, ist nicht haltbar. Wir lügen uns damit nur selbst an.
• Aktuelle Überwachungssoftware ist sehr mächtig und verleitet dadurch zu Missbrauch. Diese Gefahr ist nicht theoretisch, diese Fälle sind auch in der EU schon mehrfach dokumentiert. Der Bericht des EU-Parlament spricht hier sehr klare, warnende Worte.
• Der Interessenskonflikt im BMI ist real: Schützen wir die kritische Infrastruktur, die Politik, die Verwaltung und die Zivilgesellschaft vor Spionage, oder wollen wir die Instrumente der Angreifer auch selbst nutzen?