Der „Bundestrojaner“ bleibt Amtsgeheimnis

Wer entwickelt die staatliche Schadsoftware, was kann sie und wie hoch sind die Kosten? Das Innenministerium lässt viele Fragen unbeantwortet.

Von Christoph „Burstup“ Weiss

Die Polizei in Österreich soll bald eigene Schadsoftware erhalten, mit der sie Smartphones und Computer österreichischer Bürger*innen infizieren und durchsuchen kann. Die Behörden nutzen also Sicherheitslücken der Endgeräte der Zielpersonen und kompromittieren diese. Staatliche Malware wird umgangssprachlich oft „Bundestrojaner“ genannt. Den österreichischen Behörden soll sie ab 1. April 2020 zur Verfügung stehen – und zwar für die Überwachung von verschlüsselten Messenger-Diensten wie WhatsApp.

Details über Ankauf, Entwicklung und Kosten sind nicht bekannt, weshalb Nikolaus Scherak (NEOS) eine parlamentarische Anfrage dazu gestellt hat.

Laut Antwort des neuen Innenministers Wolfgang Peschorn läuft für die Beschaffung bzw. Entwicklung der Software ein „europaweites wettbewerbliches Verfahren“, das aber der Amtsverschwiegenheit unterliege: „Die Durchführung des Beschaffungsvorhabens erfordert die strikte Wahrung von Vertraulichkeit, zumal die davon betroffene Software besonders sensiblen und klassifizierten Ermittlungsmaßnahmen zur Bekämpfung von Terrorismus und organisierter Schwerkriminalität dienen soll.“

Nikolaus Scherak sagt, dass wir aus Ländern, die bereits „Bundestrojaner“ einsetzen, ungefähr über die Kosten Bescheid wissen, die für das Ausnützen einzelner Schwachstellen anfallen. Veröffentlichungen der CIA zufolge würden Tools für einzelne Sicherheitlücken bis zu einer Million Dollar kosten. „Wenn eine einzelne Sicherheitslücke bereits solche unfassbaren Kosten verursacht, dann muss man die Frage stellen, ob das in einem sinnvollen Verhältnis zur Frage, was man damit überhaupt erreichen will, steht.“ Der Staat verhalte sich nicht anders als Kriminelle, die über Sicherheitslücken in einen Computer oder ein Smartphone einsteigen. „Ich halte diesen massiven Eingriff in die Privatsphäre und diesen massiven Angriff auf die Grundrechte für extrem gefährlich und für einen weiteren Schritt in Richtung absoluten Überwachungsstaat.“

Das Innenministerium schreibt in seiner Antwort auch, dass die beschaffte Schadsoftware vor der Inbetriebnahme noch im Rahmen eines „unabhängigen Experten-Audits“ überprüft und nötigenfalls modifiziert werde, um sie an die gesetzlichen Anforderungen anzupassen. Denn laut Gesetz soll sie ja für die Durchsuchung verschlüsselter Messenger-Nachrichten eingesetzt werden – tatsächlich kann ein Bundestrojaner aber viel mehr, denn er schafft kompletten Zugang zum Smartphone oder Computer. Gerade dazu läuft derzeit ein Verfahren beim Verfassungsgerichtshof, das ebenfalls NEOS gemeinsam mit der SPÖ angestrebt haben. Nikolaus Scherak: „Der Bundestrojaner greift immer auf das gesamte Endgerät zu. Dementsprechend bin ich überzeugt davon, dass der Verfassungsgerichtshof das Gesetz aufheben wird.“

Auch wenn die Antwort auf die parlamentarische Anfrage seitens des Innenministeriums nicht sehr ergiebig ist - die Verhandlung beim Verfassungsgerichtshof war bisher öffentlich. Auf die damalige Frage eines Verfassungsrichters im Juli, was im „Leistungskatalog der Anforderungen“ für die Software stehen werde, sagte der zuständige Sektionschef des Justizministeriums, Christian Pilnacek, dass das Überwachungsprogramm ausschließlich die Kommunikation überwachen dürfe, aber nicht die gesamten Inhalte des Geräts untersuchen dürfe. Diese Aussage wurde von Michael Sonntag, von den Beschwerdeführern als Experte geladen, scharf kritisiert: Man müsse den gesamten Computer vorher untersuchen, sonst könne man keine Überwachungssoftware darauf installieren.

Ob die Höchstrichterinnen und -richter den Bundestrojaner für verfassungskonform halten oder nicht, werden wir im Herbst erfahren.