summaryrefslogtreecommitdiff
path: root/updates/2016
diff options
context:
space:
mode:
Diffstat (limited to 'updates/2016')
-rw-r--r--updates/2016/trojanerat.md116
1 files changed, 116 insertions, 0 deletions
diff --git a/updates/2016/trojanerat.md b/updates/2016/trojanerat.md
new file mode 100644
index 00000000..c403dc57
--- /dev/null
+++ b/updates/2016/trojanerat.md
@@ -0,0 +1,116 @@
1title: Österreich: Stellungnahme zum Staatstrojaner
2date: 2016-05-13 00:04:00
3updated: 2016-05-13 11:53:52
4author: 46halbe
5tags: update, pressemitteilung
6previewimage: /images/AT-trojaner.png
7
8Auch in Österreich plant der Gesetzgeber die Infiltration von Computern mit Überwachungssoftware. Der Chaos Computer Club Wien (C3W) hat in Zusammenarbeit mit dem Chaos Computer Club e. V. (CCC) dazu eine ausführliche Stellungnahme an das österreichische Justizministerium abgegeben, die wir hiermit zur Verfügung stellen.
9
10<!-- TEASER_END -->
11
12Mit dem „Entwurf des Bundesministeriums für Justiz eines Bundesgesetzes,
13mit dem die Strafprozessordnung 1975 und das Staatsanwaltschaftsgesetz
14geändert werden sollen (192/ME XXV. GP)“ soll in Österreich der
15Rechtsrahmen für einen Staatstrojaner geschaffen werden.
16
17Im Vorschlag des Ministerialentwurfs finden sich unzulässige
18Grundrechtseingriffe und ein weder technisch noch legalistisch
19ausreichend bestimmtes Vorhaben. Eine Wirkungsfolgenabschätzung, die
20über einen Kostenschätzung hinausgeht, fehlt.
21
22Wir lehnen diesen Gesetzesvorschlag ab.
23
24#### Rechtsfiktion
25
26Der Ministerialentwurf behauptet, der Trojaner würde sich auf
27Kommunikationsüberwachung beschränken und damit eine wesentlich
28geringere Eingriffstiefe als eine „Online-Durchsuchung“ bewirken. Dies
29ist reine Rechtsfiktion. Selbst wenn die Darstellung im juristischen
30Elfenbeinturm zulässig wäre, ist sie technisch mit den Vorgaben des
31Entwurfs nicht umsetzbar.
32
33Zur Kommunikationsüberwachung müßte die beamtete Schadsoftware so
34vielfältig sein wie die mögliche Anzahl der Übertragungsprogramme:
35E-Mail, Instant Messenger, eine Vielzahl von Internet-Browsern etc.
36Selbst Anwendungen für Fernwartung müßten einbezogen sein. So vielfältig
37wie die Anwendungen zur Kommunikation, so groß ist die
38Fehleranfälligkeit einer entsprechenden Schadsoftware.
39
40#### Technische Restriktionen
41
42Computer sind komplexe Systeme, deren Infiltration ausnutzbare
43Sicherheitslücken für das Einbringen von Überwachungssoftware
44voraussetzt. Das stellt einen schwerwiegenden Eingriff dar. Daten, die
45von einem solcherart infiltrierten System ausgehen, können von Dritten
46wie auch von übereifrigen Behörden ge- oder verfälscht werden und sind
47dementsprechend von zweifelhafter Beweiswürdigkeit. Das Einbringen
48behördlicher Schadsoftware selbst beweist, daß das überwachte Gerät
49ungenügend gegen Zugriffe Dritter geschützt war.
50
51#### Wie kann Schadsoftware in ein Computersystem eingebracht werden?
52
53In der Erläuterung und in Presseauftritten wurde behauptet, der
54Gesetzesentwurf sehe die Einbringung der Schadsoftware ausschließlich
55durch Installation vor Ort vor. Im vorgeschlagenen Gesetzestext fehlt
56diese Einschränkung. Tatsächlich kann die Schadsoftware ebenfalls
57unerkannt vom Besitzer des Gerätes über den entfernten Zugriff durch
58Sicherheitslücken aufgespielt werden. Dies wird vom Gesetzesentwurf –
59anders als behauptet – explizit nicht ausgeschlossen.
60
61#### Telekommunikationsüberwachung – Trojaner – Spionagewerkzeug – Schadsoftware
62
63Technisch besteht zwischen einer im Gesetzesvorschlag behaupteten
64„Quellen-TKÜ“ (Quellen-Telekommunikationsüberwachung) und einer
65sogenannten „Online-Durchsuchung“ in Computersystemen kein Unterschied.
66Beide sind informationstechnisch als Schadprogramme klassifizierte
67Spionagewerkzeuge, die beispielsweise eine Kommunikation vor einer
68möglichen Verschlüsselung abgreifen.
69
70Eine „Quellen-TKÜ“ darf erst bei tatsächlicher Nachrichtenübermittlung
71durch den Benutzer eingesetzt werden. Da vorgesehen ist, Nachrichten
72nach ihrer möglichen Verschlüsselung abzufangen, ist der
73Telekomminukationsüberwachungs-Trojaner damit einer
74„Online-Durchsuchung“ gleichzusetzen.
75
76#### Abgrenzung von Kommunikation gegenüber anderen Daten
77
78Ein Entwurf einer E-Mail oder eines Beitrags in einem Web-Forum kann
79jederzeit vor dem Absenden abgelegt, verändert oder gelöscht werden,
80ohne daß eine Überwachungssoftware dies zuverlässig registrieren könnte.
81Damit führt die „Quellen-TKÜ“ unausweichlich zu einer Überwachung von
82Notizen und festgehaltenen Gedanken, da nicht vorhergesagt werden kann,
83ob diese jemals zu Kommunikation werden.
84
85#### Qualitätsanspruch bei der Gesetzwerdung
86
87Die grundlegenden Ansprüche an ein qualitatives legalistisches Verfahren
88– eine klare Problembeschreibung, eine klare Zieldefinition, Kriterien
89zur Erfolgsmessung und eine über die Kosten hinausgehende
90Folgenabschätzung, Plausibilität der Angaben zur Wesentlichkeit
91hinsichtlich der Abschätzung der Auswirkungen innerhalb der
92Wirkungsdimensionen – sind ebenso wenig erkennbar wie eine zwingend
93notwendige Eingrenzung auf informationstechnische Systeme, die nicht
94sicherheitsrelevant sind und keine Gefahr für Leib oder Leben (etwa
95Kraftfahrzeuge, Gesundheitssysteme) darstellen können.
96
97#### Fazit
98
99Wir halten den Gesetzesvorschlag für unausgereift und technisch
100undurchdacht. Denn Kommunikationsüberwachung durch Schadsoftware bringt
101eine Vielzahl gravierender sicherheitsrelevanter, beweistechnischer und
102rechtlicher Probleme mit sich.
103
104Aufgrund technischer Einschränkungen ist eine alleinige Überwachung von
105Kommunikation durch eingebrachte Schadsoftware unrealistisch. Vielmehr
106führt diese dazu, daß das überwachte System kompromittiert und gefährdet
107ist. Wir sehen darin einen tiefgreifenden Grundrechtsbruch.
108
109#### Links:
110
111- Die [Stellungnahme](/system/uploads/209/original/192_M_Stellungnahme_C3W_f.pdf "Stellungnahme des CCC zum österreichischen Staatstrojaner")
112 (pdf).
113- Die gesamte Stellungnahme kann auf der Webseite des Österreichischen
114 Parlaments unter\
115 <https://www.parlament.gv.at/PAKT/VHG/XXV/ME/ME_00192/index.shtml>
116 abgerufen werden.