Note: The following blog post is also available in English here.

Nicht nur die Jahreszeiten oder meine Versuche doch mal in einem anderen Outfit als löchrigen Konferenzshirts, Shorts und Birkenstockschlapfen im Büro zu erscheinen sind zyklisch. Auch der Wunsch der Politik nach einem Bundestrojaner oder einer Messengerüberwachung folgt einem scheinbar gleichbleibenden Rhythmus  - und anscheinend ist es wieder einmal so weit: Bundeskanzler Karl Nehammer macht die Messengerüberwachung zur festen Bedingung einer zukünftigen politischen Koalition.

Und auch der Bundestrojaner war gerade erst wieder Thema. Die Vorstellungen der Politik ließen sich in einem medial kursierenden Gesetzesentwurf gut erkennen. Angeblich sollte dieser Gesetzesentwurf den durch den Verfassungsgerichthof bereits 2019 klar gesetzten Einschränkungen angepasst sein. Obwohl dieser schlussendlich (glücklicherweise) abgelehnt wurde möchte ich trotzdem darauf eingehen. Vor allem weil ich davon ausgehe, dass wir diese Unterhaltung in einigen Monaten wieder führen werden.

Konkret ging es in dem aktuellen Entwurf um die Überwachung von Nachrichten welche "verschlüsselt gesendet, übermittelt oder empfangen werden", durch "Einbringen eines Programms in ein Computersystem des Betroffenen". Besonders interessant finde ich die gegebene Notwendigkeit "technisch sicherzustellen, dass ausschließlich Nachrichten überwacht werden können, die innerhalb eines betstimmten Bewilligungszeitraums gesendet oder empfangen wurden".

Laut der Einschätzungen von Jurist:innen wäre so eine verfassungskonforme Überwachung möglich, weil die auf dem Markt erhältliche Überwachungssoftware bereits "viel zugespitzter auf Chatnachrichten" sei, und nicht mehr "auf das gesamte Mobiltelefon anwendbar". Was auch immer das heißen soll.

Ich würde mir persönlich wünschen, dass bei dem Thema nicht nur Jurist:innen befragt werden würden, sondern auch Sicherheitsexpert:innen und Techniker:innen einen Beitrag leisten dürften. Jurist:innen technische Urteile fällen zu lassen ist wie mich juristische Einschätzungen treffen zu lassen - suboptimal.

Denn als Techniker muss ich den Jurist:innen hier ganz klar widersprechen. Die gängigen Lösungen verschiedenster Anbieter kommerzieller Spyware (auf die wohl zurückgegriffen werden würde, ich gehe nicht davon aus, dass die verantwortlichen Stellen in Österreich eigene Lösungen entwickeln würden) sind allesamt nicht dafür ausgelegt nur bestimmte Applikationen zu überwachen. Es gibt, meines Wissens, keine Spyware, die (beispielsweise) nur Telegram oder nur Viber überwacht.

Natürlich wäre es für den Anbieter möglich sein System so zu konfigurieren, dass den Kund:innen nur Nachrichten aus (beispielsweise) Telegram oder Viber angezeigt werden. Das ist aber dann eine organisatorische Sicherstellung, keine technische Garantie dafür, dass nur relevante Nachrichten überwacht werden. Selbiges gilt für die Anforderung, dass nur Nachrichten innerhalb eines in einer Anordnung festgesetzten Beobachtungszeitraumes in's Visier genommen werden dürfen.

Die Kompromittierung eines Endgerätes mit kommerzieller Spyware bedeutet immer, dass die Privatsphäre der betroffenen Personen vollständig kompromittiert ist. Stichwort kompromittiert: Ich gehe davon aus, dass mit "Einbringen eines Programms in ein Computersystem des Betroffenen" nicht gemeint ist, dass die Betroffenen bei ihrer örtlichen Polizeiinspektion vorstellig werden, dort ihr Mobiltelefon oder ihren Computer (inklusive der notwendigen Zugangsdaten) abgeben und um die Ecke einen Kaffee trinken gehen, während die Beamt:innen das "Programm" "einbringen". Zumindest hoffe ich, dass das nicht gemeint ist.

Nein, wovon hier verklausuliert gesprochen wird ist, dass Sicherheitslücken ausgenutzt werden um Schadsoftware auf den Geräten zu installieren. Damit Sicherheitslücken ausgenutzt werden können müssen die Schwachstellen ungepatcht bleiben. Das bedeutet gleichzeitig aber auch, dass ein System im weitesten Sinne unsicher bleibt. Und auch andere Akteure mit (je nach Betrachtungsweise "noch") böseren Absichten diese missbrauchen können.

Diese Tatsache sorgt dafür, auch in Anbetracht der Anforderungen der NIS-2-Richtlinie, dass der Staat sich hier selbst in ein Dilemma befördert:

• Der Staat möchte, dass IT-Systeme so sicher sind, dass Bürger:innen, Organisationen, Unternehmen und Behörden mit diesen vertraulich kommunizieren und sicher Daten austauschen können. Dies setzt unter anderem voraus, dass die Systeme nach dem besten Stand der Technik geschützt werden. Wenn es Schwachstellen gibt so müssen diese schnellstmöglich gepatcht oder dem Hersteller gemeldet werden, damit dieser Patches zur Verfügung stellen kann.
• Der Staat möchte, zur Verhinderung und / oder Aufklärung von Verbrechen, Terrorismus oder Spionage Einblicke in die Kommunikation und die Daten von Verdächtigen bekommen. Dies setzt unter anderem voraus, dass die von den Verdächtigen eingesetzten Systeme Schwachstellen aufweisen die ausgenutzt werden können um Software auf den Geräten der Verdächtigen zu platzieren mittels derer die Einblicke ermöglicht werden.

Beide Ansprüche vollständig zu erfüllen wird nicht möglich sein. Auf diese Tatsache hat mein Kollege Otmar Lendl bereits vor sieben Jahren in einem Beitrag zu einem sehr ähnlichen Thema hingewiesen.

Grundsätzlich verstehe ich den Wunsch der Behörden Einblick in die Kommunikation von Verdächtigen zu bekommen (das FBI hat den Wunsch sogar so stark verspürt, dass sie den Kriminellen kurzerhand einfach gleich selbst den Messenger zur Verfügung gestellt hat). Aber so, wie sich das die Politik vorstellt - sauber, klar definiert, sicher, die Grundrechte wahrend - ist das schlichtweg nicht möglich. Auch wenn man es sich noch so oft wünscht.

Auch wenn ich kein Kriminalist, Ermittler oder Experte für Terrorismus bin, so fallen mir aus dem Stegreif Maßnahmen ein, die mit sehr hoher Wahrscheinlichkeit erfolgsversprechender sind und sich noch dazu deutlich einfacher mit dem Verfassungsrecht in Einklang bringen lassen.

Ich weiß von Kolleg:innen im Bundesdienst, die aufgrund veralteter Prozesse und den elendig langsam mahlenden Mühlen der Bürokratie mehrere Monate warten mussten um für die Arbeit notwendige Peripheriegeräte für ihre Dienstcomputer zu bekommen. Oder von Fällen, in denen eine Abteilung in der Menge der anfallenden Arbeit beinahe untergeht während sich ein anderes Team mit gleicher fachlicher Kompetenz in's "Boreout" langweilt, aus welchen Gründen auch immer aber nicht unterstützend tätig werden darf.

Im Kontakt mit CSIRTs und Strafverfolgungsbehörden aus anderen Ländern hören wir immer wieder, dass die Zusammenarbeit mit Institutionen aus Österreich super funktioniert - wenn sie denn mal zustande kommt, weil mit erschreckender Regelmäßigkeit motivierte Leute frustriert das Handtuch werfen. Wenn ich mit Bekannten sprechen, die in der Sozialarbeit und Bewährungshilfe tätig sind ist die massive Unterversorgung mit Ressourcen ein regelmäßiges Thema. Ich lehne mich aus dem Fenster und behaupte, dass man mit all den Ressourcen, mit all der Zeit und Energie (und sicherlich auch zu einem gewissen Maß Budget) die in die Thematik Messengerüberwachung und Bundestrojaner geflossen ist, viele andere Dinge verbessern hätte können, die einen nachhaltigeren positiven Effekt auf unsere Sicherheit gehabt hätten.

Um mit einem ganz aktuellen Beispiel zu schließen: Obwohl zeitliche Korrelation natürlich keinen Kausalzusammenhang bedingt kann ich mich des Verdachtes nicht erwehren, dass das Aufkochen des Themas in Zusammenhang mit den vereitelten Anschlagsversuchen rund um die Konzerte von Taylor Swift in Wien in Zusammenhang steht.

In meinen (noch) jüngeren Jahren habe ich einige Zeit als Sicherheitsmitarbeiter für Großveranstaltungen gearbeitet. Und schon damals war es so, dass die einzige Voraussetzung für eine Anstellung eine vorhandene Bereitschaft für Nachtdienste im strömenden Regen für 6,50€ pro Stunde war.

Was dazu geführt hat, dass ich den Hintereingang einer namhaften Kulturinstitution mit zwei Kollegen bewacht habe, von denen einer in seiner Freizeit im Kontext eines Wiener Fußballvereins Mannschaftskickboxen auf Feldwegen trainiert hat während mein zweiter Kollege zur Dienstversehung einige seiner Tätowierungen abkleben musste um nicht mit diversen Paragraphen des VbtG in Konflikt zu geraten. Das kam mir damals schon seltsam vor.

Noch mehr haben sich meine Augen vor einigen Jahren gehoben als bekannt wurde, dass während des Untersuchungsausschusses zur BVT-Affäre ein Sicherheitsmitarbeiter mit engen Verbindungen zu einem seit Jahrzehnten amtsbekannten Rechtsextremisten seinen Dienst im Parlament getan hat. Anscheinend war auch in diesem Fall nicht wirklich überprüft worden, wen man für (hoffentlich der Inflation angepasste) 6,50€ pro Stunde anstellte.

Immerhin hat dies dazu geführt, dass im türkis-grünen Regierungsprogramm aus dem Jahr 2020 "klare und verbindliche Sicherheitsstandards" für Sicherheitsunternehmen geschaffen werden sollten. Im Rahmen der Ermittlungen nach den Absagen der Konzerte von Taylor Swift in Wien vor einigen Wochen stellte sich heraus, dass acht bei den Konzerten eingesetzte Mitarbeiter des Sicherheitsdienstes bereits wegen Jihadismus aufgefallen waren. Scheint bisher nicht so ganz zu klappen, das mit den Sicherheitsstandards.

Der Punkt auf den ich hinaus möchte ist: Der Bundestrojaner ist nicht die Lösung. Er ist nicht einmal ein Lösungsansatz von mehreren, wie die in den vergangenen Absätzen von mir genannten Beispiele. Der Bundestrojaner ist ein Problem.

Die gezielte Überwachung einzelner Unterhaltungen oder nur bestimmter Chat-Applikationen bei gleichzeitiger Vermeidung eines übermäßigen Eingriffes in die Privatsphäre und Gewährleistung der technischen Sicherheit von überwachten Geräten ist so, wie sich das die Entscheidungsträger:innen das vorstellen nicht möglich. Ich wünschte, dass dies nicht alle paar Jahre auf's Neue erklärt werden müsste.