Stoppt die Online-Überwachung! Jetzt klicken & handeln! Willst du auch an der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien:

Der Bundestrojaner

 

Der Innenminister hat ein Lieblingstier: die Wanze. Günter Platter hat seinen Wanzen einen seltsamen Namen gegeben. Er nennt sie „Trojaner“. Mit ihnen bereitet er polizeiliche Computerkriminalität gegen eine persönlich aufgeblasene Gefahr vor.

Die Rechtfertigung für die Wanze heißt „GIMF“ – Globale Islamische Medienfront. Radikal-islamische Bastler stellen ihre teils obskuren, teils lächerlichen Drohungen seit mehr als einem Jahr ins Internet. Zwei Verdächtige sitzen in Untersuchungshaft. Das Gerichtsverfahren wird Klarheit schaffen, wie ernst ihre Drohungen zu nehmen sind.

Aber Platter wartet nicht ab. Er will so schnell wie möglich die österreichischen Computer verwanzen dürfen. Technische und rechtliche Details interessieren ihn nicht. Und genau da liegt das Problem.


Der Ministerratsbeschluss vom 16. Oktober 2007

Am 16.10.2007 hat der Ministerrat unter dem Titel „Online-Durchsuchung" die Vorbereitung der Einführung eines Bundestrojaners beschlossen. Im Beschluss wird ausgeführt: „Anlässlich des informellen Treffens der Innen- und Justizminister am 1./2. Oktober 2007 in Lissabon hat Vizepräsident Frattini eine Mitteilung der Europäischen Kommission über neue Ermittlungsmaßnahmen und Ermittlungstechniken angekündigt, deren Inhalt wohl auch für die österreichische Gesetzgebung Anhaltspunkte über die weitere Entwicklung der Angleichung nationaler Ermittlungsbefugnisse und ihre nähere Ausgestaltung geben wird. Gerade in diesem Gebiet kann Österreich durch die „Online-Durchsuchung" Vorbild für die anderen europäischen Staaten sein."

Ohne Not und ohne seriöse sachliche Prüfung soll Österreich daher bereits vor einer gemeinsamen europäischen Initiative Vorreiter bei der Ausdehnung der polizeilichen Überwachung auf Computer und ihre Festplatten sein.

 

 

Der Innenminister und die "black hats"

Der "Bundestrojaner" ist ein Programm, das auf dem Computer eines Verdächtigen installiert wird und dazu dienen soll, Daten zu sammeln und an die Polizei weiterzuleiten. Der Begriff „Trojaner" oder „Trojanisches Pferd" ist dabei eigentlich irreführend, da man normalerweise darunter ein Schadprogramm versteht, das seine eigentliche, bösartige Absicht hinter einer nützlichen Funktion versteckt. Solch eine Funktionalität ist für den Bundestrojaner jedoch nicht unbedingt notwendig, weswegen das Programm eher als „Spyware" bezeichnet werden müsste.

Um den Bundestrojaner sinnvoll einsetzen zu können, müssen eine Reihe technischer Fragen und Probleme gelöst werden. Zuerst muss das Programm auf dem Rechner eines Verdächtigen installiert und erfolgreich gestartet werden. Dann müssen die Art und der Umfang der zu sammelnden Daten festgelegt werden. Und schließlich muss der Trojaner die aufgezeichneten Daten an die Polizei übermitteln. Klarerweise muss all dies für den Betroffenen unbemerkt geschehen.

Die größte Schwierigkeit ist, den Bundestrojaner auf den Computer eines Verdächtigen zu bringen. Eine Variante wäre, auf die unbeabsichtigte Mithilfe des Betroffenen zu setzen und zum Beispiel das Programm im Anhang einer Mail zu verschicken. Ein anderes Beispiel wäre, wenn ein Internet Service Provider (ISP) die Daten manipuliert, die der Betroffene aus dem Internet lädt. Eine weitere Möglichkeit ist das Ausnützen einer Schwachstelle im Betriebssystem oder in einer Applikation, die der Verdächtige verwendet. In diesem Fall stellt sich natürlich die Frage, ob man die Schwachstelle von außen (also über das Netzwerk) überhaupt erreichen kann. Zum Beispiel könnte eine Firewall den entsprechenden Zugriff blockieren, oder der Computer führt keine Anwendung aus, die Netzwerkverbindungen akzeptiert. Als letzte Variante bietet sich der physische Zugang an, wo das Programm direkt auf dem Rechner installiert wird. Auch hier könnten verschlüsselte Datenträger und passwortgeschützter Zugriff die Arbeit erschweren.

Damit der Bundestrojaner korrekt funktioniert, ist es notwendig, dass das Programm auf dem Zielbetriebssystem läuft. Außerdem dürfen installierte Sicherheitsprogramme (z.B. Antivirensoftware, personal firewalls) den Trojaner nicht bemerken und an den Benutzer melden. Es ist also äußerst unwahrscheinlich, dass auf diesem Weg auf Computer, deren Besitzer derartige Angriffe befürchten und sich dagegen schützen, ein Bundestrojaner installiert werden kann.

Eine Möglichkeit, einen Trojaner zu installieren, besteht im Ausnützen von Schwachstellen in Anwendungen oder im Betriebssystem. Der Vorteil wäre klarerweise, dass es für den Betroffenen wenig gute Möglichkeiten gibt, sich gegen unbekannte Lücken („zero-day vulnerabilities") zu schützen. Allerdings sind das Aufspüren solcher Lücken und das Entwickeln entsprechender Exploits nicht einfach. Wenn man nicht die Zeit, die Ressourcen und das Wissen hat, solche Lücken zu finden, muss man sich der Hilfe Dritter bedienen. Üblicherweise werden Sicherheitslücken von Sicherheitsexperten („white hats") oder von Hackern mit kriminellem Hintergrund („black hats") gefunden. Wenn Schwachstellen von Sicherheitsexperten gefunden werden, informieren diese die Hersteller, bevor Informationen über die Schwachstellen publiziert werden. Das erlaubt dem Hersteller, auf das Problem zu reagieren und einen entsprechende Lösung (Patch) bereitzustellen, bevor das Wissen über die Lücke allgemein bekannt wird. Black hats haben diese Einschränkung nicht und verkaufen gefundene Schwachstellen an den Bestbieter. Allerdings fällt ein derartiges Verhalten unter die einschlägigen Bestimmungen des Strafrechts (Internetkriminalität).

Daher muss die Frage gestellt werden, wie man auf legalem Weg an Sicherheitslücken kommen will, die zum Einschleusen eines Trojaners dienen könnten. Das Innenministerium befindet sich hier in einem Dilemma. Wendet es sich an legale Sicherheitsexperten, erhält es Informationen über Sicherheitslücken in Betriebssystemen, die gerade geschlossen werden oder worden sind und daher keinen Nutzen bringen. Wendet es sich an „Black Hats", steht es in einer Bieterkonkurrenz mit kriminellen Organisationen, die aus anderen Interessen exklusives Wissen über derartige Angriffsmöglichkeiten erwerben wollen.

Ein effizientes Ausnützen von Sicherheitslücken zur Installierung von Bundestrojanern führt auf diesem Weg zur Unterstützung von Internetkriminalität.

 

Das amerikanische Lob

Die "Presse" begleitete den Innenminister auf seinem viertägigen USA-Besuch im Oktober 2007. "In Washington traf der Innenminister auch mit Vertretern von FBI und CIA zusammen, um über Terrorismusbekämpfung und organisierte Kriminalität zu reden. Die US-Behörden seien über die Vorgänge in Österreich bestens informiert gewesen und hätten unter anderem die Einführung der Online-Durchsuchung gelobt, berichtete Platter."

Das amerikanische Lob ist kein Zufall. Österreich und die USA sind derzeit die einzigen westlichen Demokratien, die um jeden Preis mit der Verwanzung von Computern beginnen wollen.

 

 

Gegen Verfassung und Strafrecht

Verfassungswidrig

Neben den Grundrechten, die stets mit zusätzlichen Ermittlungsbefugnissen in einem Spannungsfeld stehen - wie zB dem Recht auf Privatspähre (Art. 8 EMRK) oder dem Recht auf Datenschutz (§ 1 DSG) kann hier auch das Recht auf Unversehrtheit des Eigentums berührt werden (Art. 5 StGG bzw. Art. 1 des 1. Zusatzprotokolls zur EMRK).

Eine gesetzliche Grundlage für eine Online-Durchsuchung bzw. den Einsatz eines „Behördentrojaners" müsste vor allem einer verfassungsrechtlich gebotenen Verhältnismäßigkeitsprüfung standhalten. Zunächst müsste nach dem Zweck des Gesetzes gefragt werden und ob dieser Zweck legitim ist.

Eine Maßnahme muss sodann zur Erreichung eines legitimen Zweckes auch geeignet, erforderlich und verhältnismäßig sein, wobei viele der angedachten Maßnahmen schon beim ersten Kriterium („Eignung") scheitern dürfte.

Genau dazu hat die Justizministerin eine Arbeitsgruppe unter der Leitung von Univ.Prof. Bernd Christian Funk eingerichtet. Sie hatte zu klären, ob die polizeiliche Durchsuchung von Computern mit Trojanern verfassungswidrig ist.

 

Strafbar

Seit 2002 gibt es im österreichischen Srafgesetzbuch eine Reihe von Delikten im Zusammenhang mit Sicherheitslücken im Internet. Es handelt sich hierbei um:

  • § 118a StGB (Widerrechtlicher Zugriff auf ein Computersystem)
  • § 119a StGB (Missbräuchliches Abfangen von Daten)
  • § 126a StGB (Datenbeschädigung)
  • § 126b StGB (Störung der Funktionsfähigkeit eines Computersystems)
  • § 126c StGB (Missbrauch von Computerprogrammen oder Zugangsdaten)

Daraus ergibt sich eines: Erfolgversprechende Strategien zur Online-Durchsuchung sind illegal. Und legale Strategien versprechen keinen Erfolg.

Wer trotzdem leichtfertig Trojaner legalisiert, zeigt nur eines: dass ihm die Welt der Computer ebenso fremd ist wie die Welt des Rechtsstaats.


Das Funk-Gutachten

Der Ministerratsbeschluss sah vor, alle offenen Fragen bis Februar 2008 zu klären. Genau das war von Anfang an unmöglich. Daher ist es auch nicht geschehen.

Eine Klärung ist allerdings erfolgt: Der Wiener Verfassungsrechtler Univ.Prof. Bernd Christian Funk hat das Ergebnis seiner Arbeitsgruppe vorgelegt. Beamte und Experten aus Justiz, Verfassungsdienst, Datenschutzkommission und Universität sind zu einem Sdoppelten Schluss gekommen: Zum ersten soll der Trojaner nur das letzte Mittel der Justiz bei besonders schweren Delikten sein. Und zum zweiten sind fast alle wesentlichen Fragen offen.

Das Innenministerium geht einen anderen Weg. Ab Seite 45 des Berichts der interministeriellen Arbeitsgruppe ist ein "Exkurs" des Inneministeriums abgedruckt. Darin fordern Platters Vertreter ganz unverblümt die Online-Durchsuchung als Instrument der Polizei - zur "erweiterten Gefahrenerforschung". Ohne Justiz sollen Polizisten auf den bloßen Verdacht, es könnte sich wo etwas zusammenbrauchen. Computer verwanzen dürfen.

Bis zum Sommer will Platter die neuen Vollmachten durchsetzen. Zum ersten Mal soll es einen Eingriff, der mit dem großen Lauschangriff auf einer Stufe steht, als sicherheitspolizeiliches Instrumen geben.

Damit hat sich Platter endgültig entschieden: für die Rechtskultur der DDR und gegen den Verfassungsstaat, für Stasi und gegen das Recht.

Aber Platter hat noch lange nicht gewonnen. Das Parlament hat den Grundlagenvertrag der EU ratifiziert - und damit die Vergemeinschaftung von Justiz und Innerer Sicherheit beschlossen. Platter bekommt es damit nicht nur mit Justizministerium, Datenschutzkommission, einer wankenden SPÖ, dem grünen Widerstand und dem verfassungsgerichtshof, sondern auch mit Brüssel zu tun.