Bundesheer erhält weltweit kürzeste Cyberregelung
Von Erich Moechel
Neben Kontrollen von Zivilisten durch die Militärpolizei, Ermittlungen gegen „Beleidiger“ und ausgeweiteten Datenzugriff bei Providern enthält die Novelle zum Militärbefugnisgesetz auch die Befugnisse des Bundesheers im virtuellen Raum. Es ist die wohl kürzeste militärische Cyberregelung der Welt, denn sie besteht nur aus zwei Wörtern: „sowie Computersysteme“.
Computer wurden neben Dienstwaffen und -hunden einfach zum neuen „Mittel zur Ausübung unmittelbarer Zwangsgewalt“ erklärt. Erst aus den Erläuterungen geht hervor, dass damit de facto unbeschränkte Befugnisgewalt im Cyberraum gemeint ist, auch auf fremdem Territorium. Was die geplante Exekutivgewalt im Inneren angeht, so ist die laut Radio FM4 bereits wieder vom Tisch.
Public Domain
Computer als „Hilfsmittel der Körperlichen Gewalt“, das ist der gesamte Text der Cyberregelung für das Bundesheer, ohne dass der Gesetzestext das Wort „Cyber“ enthält. Es findet sich nur mehrfach in den Erläuterungen.
Bundesheer/Peter LECHNER
Oberst Michael Bauer
Dazu O-Töne von Radio FM4
Der Beitrag in Connected vom Montag
Die Reaktion des Bundesheers
„Ursprünglich war geplant, dass die Militärpolizei bei Veranstaltungen die Identitätsfeststellung durchführen kann, wenn der Verdacht besteht, dass eine öffentliche Beleidigung des Bundesheers stattfindet“, sagte Oberst Michael Bauer zu Radio FM4 am Montag. Dieser Paragraf werde in der Endfassung sicher nicht mehr enthalten sein. Das habe die Begutachtung bereits vor Ablauf der Begutachtungsfrist am Dienstag ergeben.
Beim geplanten Datenzugriff solle es jedoch bleiben, zumal das Heer „sozusagen nur auf den technischen Stand des 21. Jahrhunderts nachrücken“ wolle und deshalb eine Gleichstellung mit der Polizei verlange, so der Pressesprecher des Bundesheers zu FM4. Was für das Bundesheer im Bereich der Telefonie bisher schon möglich war, müsse auch auf Ebene des Internets gestattet sein. Der vorliegende Entwurf geht allerdings beträchtlich darüber hinaus, denn bis jetzt konnten Heeresstellen nur Namen, Adresse und Geburtsdatum eines Anschlussinhabers ermitteln.
Public Domain
Mit dem neuen Absatz (3) in § 3 werden nicht nur Cyberoperationen auf dem Territorium von Drittstaaten legalisiert. Bei in Österreich gesetzten Maßnahmen deren „allfällige Auswirkungen im Ausland auftreten, soll das ebenso gelten. Als praktische Beispiele werden neben der Abwehr von Cyberbedrohungen aus dem Ausland“ auch die „Informationsgewinnung durch die Nachrichtendienste“ in den Erläuterungen genannt. Es ist also auch eine „Lex Königswarte“, denn von dieser gemeinsam mit der NSA betriebenen Station werden in Österreich in großem Umfang Satelliten-Downlinks von Providern aus dem Ausland abgegriffen.
Künftig sollen Provider routinemäßig anhand temporärer IP-Adressen deren Inhaber sowie Urheber von Postings für Bundesheerstellen ausforschen.
„Die Nationale Sicherheit...“
Paragraf Acht (2b) des Militärbefugnisgesetzes sieht allerdings vor, dass die Provider auf Verlangen sämtliche vorhandene Daten eines Internetanschlusses herausgeben müssen, wenn gerade ein Einsatz des Bundesheers vorliegt. Dasselbe gilt, wenn das Zugriffsbegehren unter Berufung auf die „nationale Sicherheit“ an den Provider übermittelt wird. Nach derzeitigem Stand der Novelle sind Dauer und Umfang des Datenabzugs nicht begrenzt, Staatsanwälte bzw. Gerichte, die polizeiliche Überwachungsmaßnahmen auslösen und auch beenden, werden bekanntlich nicht eingeschaltet.
Wie sich in den Stellungnahmen bereits abzeichnet, werden vor allem unpräzise und zu allgemein gehaltene Formulierungen und fehlende Abgrenzungen kritisiert. Diese Kritik kommt unter anderen auch aus dem Justizministerium, wie „Der Standard“ berichtete. Besonders fragwürdig bei diesem Ansatz des „Ungefähr“ und „Irgendwie“ ist, wie mit der komplexen Materie Cyberabwehr und Gegenschlägen umgegangen wird. Das geschieht durch einfaches Umgehen des heiklen Themas.
Der juristische Rahmen für den Einsatz von Polizeitrojanern in Österreich kam unter ähnlichen Auspizien zustande: Verdeckt, versteckt, wenig Gesetzestext, aber viele Erläuterungen
"... sowie Computersysteme"
Computer werden einfach als „Mittel der Zwangsgewalt“, also als „Waffen“ deklariert und damit können sie beliebig eingesetzt werden, Punkt. Das ist die ganze Cyberregelung. Das wirklich Brandgefährliche an einem solchen Ansatz ist, dass damit Logik und Eskalationsstufen eines bewaffneten Konflikts eins zu eins über die Informationsebene gelegt wird. Der aber ist eine völlig andere (Un)Logik inhärent, gepaart mit kaum berechenbaren Unsicherheitsfaktoren.
Epicenter
Auszug aus der Stellungnahme der Bürgerrechtsorganisation Epicenter.works, in der vor unkontrollierbarer Eskalation gewarnt wird. Zentraler Kritikpunkt ist auch hier, dass unpräzise Begriffe, angenommene Analogien und fehlende Abgrenzungen so gut wie jede Möglichkeit der Interpretation des Textes offenlassen.
Nonchalante „Cybergegenschläge“
Die sogenannten „Cybergegenschläge“ sind schon einmal deswegen hochproblematisch, weil damit in erster Linie Rechner in völlig unbeteiligten Staaten angegriffen werden. Jeder solche Angriff wird operativ über gekidnappte Computer bzw. mit Kapazitäten durchgeführt, die unter falschen Prämissen in zivilen Rechenzentren angemietet worden sind. Und so nonchalant wird solch ein riskanter Akt gegenüber einem Drittstaat in den Erläuterungen abgeleitet.
Sachdienliche Informationen, Metakritiken et al. können hier sicher verschlüsselt und anonym beim Autor eingeworfen werden. Wer eine Antwort will, sollte eine Kontaktmöglichkeit angeben.
Wenn ein Staat „wissentlich“ zulasse, dass von seinem Hoheitsgebiet aus „zum Beispiel Cyberangriffe, unternommen werden, welche die Souveränität anderer Staaten verletzen“, dann liege „eine Verletzung dieser Sorgfaltspflichten“ vor, also „ein völkerrechtswidriges Verhalten“. Damit seien „in verhältnismäßigem Umfang Gegenmaßnahmen“ erlaubt. Wie das Bundeѕheer denn wissen könnte, was die Regierung eines Drittstaats oder der Betreiber eines Rechenzentrums wann darüber gewusst hat, wird nicht näher erläutert.
Publiziert am 26.02.2019
