diff options
Diffstat (limited to 'updates/2016')
-rw-r--r-- | updates/2016/trojanerat.md | 116 |
1 files changed, 116 insertions, 0 deletions
diff --git a/updates/2016/trojanerat.md b/updates/2016/trojanerat.md new file mode 100644 index 00000000..c403dc57 --- /dev/null +++ b/updates/2016/trojanerat.md | |||
@@ -0,0 +1,116 @@ | |||
1 | title: Österreich: Stellungnahme zum Staatstrojaner | ||
2 | date: 2016-05-13 00:04:00 | ||
3 | updated: 2016-05-13 11:53:52 | ||
4 | author: 46halbe | ||
5 | tags: update, pressemitteilung | ||
6 | previewimage: /images/AT-trojaner.png | ||
7 | |||
8 | Auch in Österreich plant der Gesetzgeber die Infiltration von Computern mit Überwachungssoftware. Der Chaos Computer Club Wien (C3W) hat in Zusammenarbeit mit dem Chaos Computer Club e. V. (CCC) dazu eine ausführliche Stellungnahme an das österreichische Justizministerium abgegeben, die wir hiermit zur Verfügung stellen. | ||
9 | |||
10 | <!-- TEASER_END --> | ||
11 | |||
12 | Mit dem „Entwurf des Bundesministeriums für Justiz eines Bundesgesetzes, | ||
13 | mit dem die Strafprozessordnung 1975 und das Staatsanwaltschaftsgesetz | ||
14 | geändert werden sollen (192/ME XXV. GP)“ soll in Österreich der | ||
15 | Rechtsrahmen für einen Staatstrojaner geschaffen werden. | ||
16 | |||
17 | Im Vorschlag des Ministerialentwurfs finden sich unzulässige | ||
18 | Grundrechtseingriffe und ein weder technisch noch legalistisch | ||
19 | ausreichend bestimmtes Vorhaben. Eine Wirkungsfolgenabschätzung, die | ||
20 | über einen Kostenschätzung hinausgeht, fehlt. | ||
21 | |||
22 | Wir lehnen diesen Gesetzesvorschlag ab. | ||
23 | |||
24 | #### Rechtsfiktion | ||
25 | |||
26 | Der Ministerialentwurf behauptet, der Trojaner würde sich auf | ||
27 | Kommunikationsüberwachung beschränken und damit eine wesentlich | ||
28 | geringere Eingriffstiefe als eine „Online-Durchsuchung“ bewirken. Dies | ||
29 | ist reine Rechtsfiktion. Selbst wenn die Darstellung im juristischen | ||
30 | Elfenbeinturm zulässig wäre, ist sie technisch mit den Vorgaben des | ||
31 | Entwurfs nicht umsetzbar. | ||
32 | |||
33 | Zur Kommunikationsüberwachung müßte die beamtete Schadsoftware so | ||
34 | vielfältig sein wie die mögliche Anzahl der Übertragungsprogramme: | ||
35 | E-Mail, Instant Messenger, eine Vielzahl von Internet-Browsern etc. | ||
36 | Selbst Anwendungen für Fernwartung müßten einbezogen sein. So vielfältig | ||
37 | wie die Anwendungen zur Kommunikation, so groß ist die | ||
38 | Fehleranfälligkeit einer entsprechenden Schadsoftware. | ||
39 | |||
40 | #### Technische Restriktionen | ||
41 | |||
42 | Computer sind komplexe Systeme, deren Infiltration ausnutzbare | ||
43 | Sicherheitslücken für das Einbringen von Überwachungssoftware | ||
44 | voraussetzt. Das stellt einen schwerwiegenden Eingriff dar. Daten, die | ||
45 | von einem solcherart infiltrierten System ausgehen, können von Dritten | ||
46 | wie auch von übereifrigen Behörden ge- oder verfälscht werden und sind | ||
47 | dementsprechend von zweifelhafter Beweiswürdigkeit. Das Einbringen | ||
48 | behördlicher Schadsoftware selbst beweist, daß das überwachte Gerät | ||
49 | ungenügend gegen Zugriffe Dritter geschützt war. | ||
50 | |||
51 | #### Wie kann Schadsoftware in ein Computersystem eingebracht werden? | ||
52 | |||
53 | In der Erläuterung und in Presseauftritten wurde behauptet, der | ||
54 | Gesetzesentwurf sehe die Einbringung der Schadsoftware ausschließlich | ||
55 | durch Installation vor Ort vor. Im vorgeschlagenen Gesetzestext fehlt | ||
56 | diese Einschränkung. Tatsächlich kann die Schadsoftware ebenfalls | ||
57 | unerkannt vom Besitzer des Gerätes über den entfernten Zugriff durch | ||
58 | Sicherheitslücken aufgespielt werden. Dies wird vom Gesetzesentwurf – | ||
59 | anders als behauptet – explizit nicht ausgeschlossen. | ||
60 | |||
61 | #### Telekommunikationsüberwachung – Trojaner – Spionagewerkzeug – Schadsoftware | ||
62 | |||
63 | Technisch besteht zwischen einer im Gesetzesvorschlag behaupteten | ||
64 | „Quellen-TKÜ“ (Quellen-Telekommunikationsüberwachung) und einer | ||
65 | sogenannten „Online-Durchsuchung“ in Computersystemen kein Unterschied. | ||
66 | Beide sind informationstechnisch als Schadprogramme klassifizierte | ||
67 | Spionagewerkzeuge, die beispielsweise eine Kommunikation vor einer | ||
68 | möglichen Verschlüsselung abgreifen. | ||
69 | |||
70 | Eine „Quellen-TKÜ“ darf erst bei tatsächlicher Nachrichtenübermittlung | ||
71 | durch den Benutzer eingesetzt werden. Da vorgesehen ist, Nachrichten | ||
72 | nach ihrer möglichen Verschlüsselung abzufangen, ist der | ||
73 | Telekomminukationsüberwachungs-Trojaner damit einer | ||
74 | „Online-Durchsuchung“ gleichzusetzen. | ||
75 | |||
76 | #### Abgrenzung von Kommunikation gegenüber anderen Daten | ||
77 | |||
78 | Ein Entwurf einer E-Mail oder eines Beitrags in einem Web-Forum kann | ||
79 | jederzeit vor dem Absenden abgelegt, verändert oder gelöscht werden, | ||
80 | ohne daß eine Überwachungssoftware dies zuverlässig registrieren könnte. | ||
81 | Damit führt die „Quellen-TKÜ“ unausweichlich zu einer Überwachung von | ||
82 | Notizen und festgehaltenen Gedanken, da nicht vorhergesagt werden kann, | ||
83 | ob diese jemals zu Kommunikation werden. | ||
84 | |||
85 | #### Qualitätsanspruch bei der Gesetzwerdung | ||
86 | |||
87 | Die grundlegenden Ansprüche an ein qualitatives legalistisches Verfahren | ||
88 | – eine klare Problembeschreibung, eine klare Zieldefinition, Kriterien | ||
89 | zur Erfolgsmessung und eine über die Kosten hinausgehende | ||
90 | Folgenabschätzung, Plausibilität der Angaben zur Wesentlichkeit | ||
91 | hinsichtlich der Abschätzung der Auswirkungen innerhalb der | ||
92 | Wirkungsdimensionen – sind ebenso wenig erkennbar wie eine zwingend | ||
93 | notwendige Eingrenzung auf informationstechnische Systeme, die nicht | ||
94 | sicherheitsrelevant sind und keine Gefahr für Leib oder Leben (etwa | ||
95 | Kraftfahrzeuge, Gesundheitssysteme) darstellen können. | ||
96 | |||
97 | #### Fazit | ||
98 | |||
99 | Wir halten den Gesetzesvorschlag für unausgereift und technisch | ||
100 | undurchdacht. Denn Kommunikationsüberwachung durch Schadsoftware bringt | ||
101 | eine Vielzahl gravierender sicherheitsrelevanter, beweistechnischer und | ||
102 | rechtlicher Probleme mit sich. | ||
103 | |||
104 | Aufgrund technischer Einschränkungen ist eine alleinige Überwachung von | ||
105 | Kommunikation durch eingebrachte Schadsoftware unrealistisch. Vielmehr | ||
106 | führt diese dazu, daß das überwachte System kompromittiert und gefährdet | ||
107 | ist. Wir sehen darin einen tiefgreifenden Grundrechtsbruch. | ||
108 | |||
109 | #### Links: | ||
110 | |||
111 | - Die [Stellungnahme](/system/uploads/209/original/192_M_Stellungnahme_C3W_f.pdf "Stellungnahme des CCC zum österreichischen Staatstrojaner") | ||
112 | (pdf). | ||
113 | - Die gesamte Stellungnahme kann auf der Webseite des Österreichischen | ||
114 | Parlaments unter\ | ||
115 | <https://www.parlament.gv.at/PAKT/VHG/XXV/ME/ME_00192/index.shtml> | ||
116 | abgerufen werden. | ||