Seit der Whistleblower Edward Snowden die unterschiedlichsten Programme der großen Geheimdienste ins Rampenlicht gerückt hat, hat sich die Debatte über behördliche Überwachungsbefugnisse substanziell verändert. Immer weniger Menschen glauben an das staatliche Versprechen, durch Eingriffe in die Privatsphäre mehr Schutz vor terroristischen Anschlägen zu bieten. Das zeigt auch die jüngste Diskussion über das sogenannte Sicherheitspaket der österreichischen Ministerien für Justiz und Inneres. Letztendlich scheiterte das gemeinsame Regierungsvorhaben – offiziell – an grundrechtlichen Bedenken der SPÖ und an einer Welle der Kritik aus der Zivilgesellschaft.
Meistdiskutiertes Kernstück der geplanten Maßnahmen war, vereinfacht formuliert, die Ermöglichung der Überwachung von verschlüsselten Messenger-Diensten wie WhatsApp mithilfe von Spezialsoftware. Software, die in der öffentlichen Wahrnehmung meistens – und nicht ganz präzise – als „Staats-“ oder „Bundestrojaner“ bezeichnet wird. ÖVP-Innenminister Wolfgang Sobotka bezeichnete das vorläufige Aus des Projekts als „schweren Schlag“ für die Sicherheit Österreichs. Wahlkampf eben.
Aber was bedeuten die politischen Ränkespiele für die tägliche Arbeit jener Beamten, die Schwerstkriminellen und Terroristen auf der Spur sind? Würde ein Staatstrojaner tatsächlich alle Probleme lösen? Warum ist eine solche Software ausgerechnet in Österreich eine Gefahr für die Grundrechte, in mindestens elf anderen EU-Staaten jedoch nicht?
Ein Staats- oder Bundestrojaner im Sinne der aktuellen österreichischen Debatte ist eine Software, die die faktische Abhörsicherheit von Messengern wie WhatsApp umgeht, nicht aber bricht. Der Begriff ist jedoch irreführend. Unter einem „echten“ Staatstrojaner wäre eigentlich eine Software zu verstehen, die den gesamten Computer des Überwachten online – also ferngesteuert – durchsuchbar macht. Das jedoch sollte dem österreichischen Staatstrojaner ausdrücklich nicht erlaubt werden. Dennoch fand der Begriff Eingang in den allgemeinen österreichischen Sprachgebrauch.
Prinzipiell ist der Grundrechtseingriff in das Telekommunikationsgeheimnis zur Aufklärung oder Verhinderung schwerer Straftaten mittels richterlicher Genehmigung schon lange möglich, praktisch scheitern die Behörden dabei jedoch an der Technologie der Programme.
Die meisten von ihnen nutzen inzwischen sogenannte End-to-End-Verschlüsselung. Diese Verschlüsselung ist so stark, dass sie in aller Regel zeitnah – und darauf kommt es bei Ermittlungen oft an – nicht entschlüsselt werden kann. Sinnbildlich kann man den Kommunikationskanal eines Messengers mit einer massiven Betonröhre vergleichen, die die Nachrichten – oder Telefongespräche – im Inneren schützt. Bei normalen Telefongesprächen über Festnetz- oder Mobiltelefon lassen die Behörden den Gesprächsinhalt direkt beim Provider aufzeichnen. Tut man das bei verschlüsselten Diensten, fällt nur unverständlicher Datenmüll an.
Eine Software nach dem Prinzip Staatstrojaner (abgeleitet vom Trojanischen Pferd) greift die Kommunikationsinhalte unbemerkt auf den eingesetzten Endgeräten ab, bevor sie verschlüsselt werden und in die beschriebene „Betonröhre“ gelangen. Eine solche Software muss jedoch installiert werden. Dafür wollen Justiz- und Innenministerium einerseits der Polizei erlauben, in die Wohnung der Zielperson und ihre Computersysteme (PC, Tablet, Smartphone etc.) einzudringen wie bei einer Hausdurchsuchung. Andererseits soll auch die unbemerkte Ferninstallation via Internet möglich sein. Hierfür braucht es jedoch das Wissen um öffentlich unbekannte Sicherheitslücken (Exploits) auf den Zielsystemen.
„Wir sind praktisch blind“, berichtet nun eine Quelle aus dem Staatsschutz, die mit der Observation von Verdächtigen zu tun hat. Die Person erzählt davon, dass die digitale Kommunikation sogenannter Gefährder inzwischen fast ausschließlich über Messenger-Dienste geführt wird, über verschlüsselte Telefonate oder Textnachrichten.
Das Wissen über die faktische Abhörsicherheit von Diensten wie WhatsApp, Skype, Telegram, Signal oder Threema sei in der Zielgruppe weit verbreitet, „auch unter jenen, die von Informationstechnologie und Sicherheit eigentlich kaum Ahnung haben“. Innerhalb der Teams, die versuchen, die Planung schwerer Straftaten bis hin zu Anschlägen zu verhindern, habe diese Entwicklung im Lauf der vergangenen Jahre zu einem durchaus fragilen Nervenkostüm geführt: „Man erwartet von uns, das Schlimmste zu verhindern. Die dafür notwendigen Werkzeuge enthält man uns aber vor.“
Dabei räumt die Quelle beim Treffen im belebten Zentrum einer größeren österreichischen Stadt ein, dass diese Argumentation in den Ohren mancher Leute durchaus so klingen mag, als ob hier ein Politiker mit dem Verbreiten von Angst um öffentliche Zustimmung werbe. Aber: „Ich rede hier von Fakten. Ich habe keine politische Agenda.“
Neben der zu schützenden Quelle weist ein echtes Schwergewicht der österreichischen Exekutiv-Gemeinde offen auf die Schwächen des Staates im Bereich Messenger-Überwachung hin. Bernhard Treibenreif führte jahrelang operativ die Antiterroreinheit Cobra, ehe ihm 2013 die Leitung der Direktion für Spezialeinheiten (DSE) übertragen wurde. Neben der Cobra sind ihm damit auch jene Observationsdienste unterstellt, die Terrorverdächtige und Schwerstkriminelle für die Ermittlungen von Verfassungsschutz und Bundeskriminalamt überwachen. „Wir brauchen dringend eine Entscheidung“, sagt Treibenreif im Interview.
Und meint damit eine positive Abstimmung im Parlament in Sachen Staatstrojaner. Viele Jahre lang sei die gute, alte Telefonüberwachung eine der schärfsten Waffen bei der Aufklärung und Verhinderung schwerer Straftaten gewesen. Mit dem Ausweichen vom Telefon auf den verschlüsselten Messenger-Kanal habe sich das geändert. Die Waffe sei dadurch stumpf geworden, ein wichtiger Teil der Strafverfolgung zahnlos.
„Die kritische öffentliche Debatte über den Einsatz dieser Überwachungssoftware war gut und wichtig“, stellt Treibenreif fest. Aber die vorgesehenen rechtlichen Hürden und der Ressourceneinsatz in der Umsetzung seien derart hoch, dass Missbrauch praktisch ausgeschlossen sei.
Tatsächlich? Die öffentliche – das heißt vor allem mediale – Diskussion zum Thema ging jedenfalls stark in eine andere Richtung.
Österreichs Bürgern war es im Lauf der Debatte zum Sicherheitspaket während des Vorwahlkampfs nur schwer möglich, sich sachlich und unaufgeregt zu informieren. Grünen-Klubchef Albert Steinhauser bezeichnete das Paket laut Austria Presse Agentur als „Einstieg in die Massenüberwachung“. Auch die Datenschutz-NGO epicenter.works war gegen Staatstrojaner und das Gesamtpaket hochaktiv und holte für eine Pressekonferenz den ehemaligen technischen Direktor der NSA, Bill Binney, nach Wien. Der sagte: „Es gibt keinen Beleg dafür, dass das massenweise Sammeln und Auswerten von Daten tatsächlich für mehr Sicherheit sorgt oder bei der Aufklärung schwerer Straftaten helfen kann.“
Und epicenter.works-Geschäftsführer Thomas Lohninger vermischte bei derselben Pressekonferenz im Zusammenhang mit der geplanten Gesetzesänderung mehrere unterschiedliche Vorhaben miteinander (Staatstrojaner, zweiwöchige Speicherung öffentlicher Videoüberwachung) und sprach ebenfalls von „anlassloser Massenüberwachung“.
Dabei findet sich davon im Gesetzesentwurf zur Strafprozessordnung zumindest in Bezug auf die Überwachung von Messengerdiensten kein Wort. Egal ob beim sogenannten Staatstrojaner oder der punktuellen Speicherung von Verbindungs- und Standortdaten von Verdächtigen („quick freeze“-Methode): Immer braucht es erstens einen konkreten Anlass oder Tatverdacht und zweitens die von von einem Richter genehmigte Anordnung eines Staatsanwalts, um die Verfahren überhaupt einsetzen zu dürfen.
Auf der technischen Seite bemängelten Kritiker, dass der Plan der Behörden, Nachrichten auf von einem mit Trojanersoftware überwachten Gerät bereits abzufangen und weiterzuleiten, bevor diese verschlüsselt werden, gar nicht funktioniere. Besonders deutlich äußerte sich der sozialdemokratische Justizsprecher Johannes Jarolim, er behauptete, dass das Projekt Staatstrojaner „aktuell technisch nicht umsetzbar“ sei.
SPÖ-Justizsprecher Johannes Jarolim am 23. August 2017 in einem Bericht der Austria Presse Agentur:
[…]
Einem „Blankoscheck für die Zukunft“ käme (Justizminister; Anmerkung der Redaktion) Brandstetters Vorschlag zur Überwachung von WhatsApp oder Skype – mittels einzuschleusender Software – gleich, kritisierte Jarolim: Es sei „grotesk, ein völlig unausgegorenes und aktuell technisch nicht umsetzbares Projekt zwei Monate vor der Wahl mit einem Inkrafttreten von zwei Jahren nach der Wahl zu fordern“. Die Überwachung der Internet-Kommunikation sei nötig, betonte der SPÖ-Justizsprecher. Aber solch ein „international dringendes Problem“ müsste in Zusammenarbeit mit europäischen und internationalen Instanzen angegangen werden und nicht „in etwas provinziell anmutender Eigenregie“.)
Unter einem Exploit versteht man in der IT-Welt einen Programmierfehler in einem System, der Nichtberechtigten von außen als Einfallstor dienen kann, in einen Computer oder in ein Netzwerk einzudringen. Wird dem Softwarehersteller eine solche Lücke bekannt, stellt er in aller Regel ein Sicherheitsupdate dafür (einen sogenannten Patch) zur Verfügung. Deshalb gilt grundsätzlich die Regel: Systeme, die regelmäßig mit Updates versorgt werden, sind sicherer.
Ein Zero Day Exploit ist eine Sicherheitslücke, die bisher nicht entdeckt worden ist. Für Nachrichtendienste und auch Kriminelle stellen sie gewissermaßen die Dietriche zu sonst verschlossenen Systemen dar. Das Wissen um Zero Day Exploits ist viel Geld wert und wird auf dem Schwarzmarkt genauso gehandelt wie unter seriösen Sicherheitsfirmen. Je mehr Rechte das Sicherheitsleck dem Angreifer zugesteht, desto wertvoller ist es für Hacker.
Es gibt jedoch Tatsachen und Fachleute, die dieser Ansicht widersprechen. Eine Expertengruppe des Justizministeriums hat in 21 Ländern der Europäischen Union nachgefragt. In elf von ihnen (Bulgarien, Tschechien, Estland, Spanien, Frankreich, Italien, Polen, Portugal, Rumänien, Großbritannien und Kroatien) und mehreren Bundesländern Deutschlands ist man der Meinung, dass ein Staatstrojaner sehr wohl via Ferninstallation durch Sicherheitslücken in der Software auf – zum Beispiel – Smartphones überspielt werden kann. In ebendiesen Ländern existieren folglich auch die rechtlichen Grundlagen dafür. Eigene Recherchen im staatlichen Sicherheitsapparat ergaben: Aus dem Informationsaustausch im Bereich der Schwerstkriminalität wissen österreichische Ermittler, dass ebendiese Software auch „funktioniert“, also Inhalte von Messenger-Nachrichten abgreift und vor ihrer Verschlüsselung unbemerkt an die Behörden schickt.
Damit bleibt von der nicht immer präzise geführten Debatte vor allem eines übrig: Soll der Staat zur Terrorabwehr kritische Sicherheitslücken von Betriebssystemen kaufen? Denn genau solche sind zur Ferninstallation eines Staatstrojaners notwendig. Das bedeutet aber auch, dass dieselben Lücken – in der Fachwelt spricht man von sogenannten „Zero Day Exploits“ – auch von Kriminellen genutzt werden können, wenn sie um die Schwächen im System wissen.
Für Schwachstellen, die der Öffentlichkeit nicht bekannt sind, gibt es einen Markt. Einen zwielichtigen in den Tiefen des Webs und einen seriösen, auf dem Sicherheitsfirmen im Auftrag ihrer Kunden nach ihnen suchen und dafür Lösungen anbieten. Auf einem dieser Märkte müsste sich auch die Republik Österreich nach den Lücken im System umsehen.
Das kann bei Exploits, die dem Eindringling weitreichende Rechte am anzugreifenden System zugestehen (und ein Trojaner bräuchte genau solche), eine beträchtliche Summe ausmachen. Als einer der wenigen Sicherheitsanbieter führt das US-Unternehmen Zerodium eine öffentliche Preisliste, an der sich „Lieferanten“, also Forscher, Softwareingenieure und Hacker orientieren können, was ihre Entdeckung bei einem Verkauf an Zerodium wert ist. Abhängig vom Ausmaß der Lücke zahlt die Firma zwischen 5.000 und 1,5 Millionen US-Dollar für die exklusiven Nutzungsrechte. Das Wissen um unbekannte Lücken gibt Zerodium dann nach eigenen Angaben an seine Kunden weiter. Laut Selbstbeschreibung sind das „hauptsächlich Regierungsorganisationen, die spezifische und maßgeschneiderte Cybersecurity-Fähigkeiten benötigen“.
Die zentrale Frage scheint nun zu sein: Erhöht das durch den Bundestrojaner geweckte staatliche Interesse am Fortbestehen kritischer Sicherheitslücken das Risiko, dass diese Exploits auch von Kriminellen oder Terroristen auf den betroffenen Systemen ausgenutzt werden? Und zwar weil der Staat – zum Beispiel einem Betriebssystemhersteller – das Wissen um die Schwachstelle vorenthält, weil er ebendiese Schwachstelle selbst zum Funktionieren des Überwachungstrojaners braucht.
Die IT-Experten im Staatsschutz argumentieren, dass dadurch keine zusätzlichen Risiken entstünden, weil die Lücken ohnedies da wären, und der Staat nur ein weiterer Nutzer sei, der diese zum Zweck der Strafverfolgung nutze.
Andererseits: Im Mai 2017 suchte der Cryptolocker „WannaCry“ weltweit hunderttausende Windows-Systeme heim, verschlüsselte sie, machte sie unbrauchbar. Nach heutigem Wissensstand nutzten die Programmierer der Software Sicherheitslücken im Microsoft-System, die zuvor aus dem digitalen Waffenarsenal des US-Militärgeheimdiensts NSA gestohlen worden sein sollen. Zu diesem Ergebnis kam jedenfalls Microsoft selbst.
Was also tun? Sind die Interessen der Sicherheitsbehörden im Zusammenhang mit Sicherheitslücken überhaupt mit jenen von Betreibern wichtiger Infrastrukturen kompatibel?
Auf den ersten Blick sieht es nicht so aus. Auf den zweiten gibt es jedoch zumindest in Übersee erste Bemühungen, auf eine Art kleinsten gemeinsamen Nenner zu kommen. Das erzählt Markus Robin, der als gelernter Softwareingenieur und General Manager der österreichischen Firma SEC Consult selbst davon lebt, die Lücken in fremden Computersystemen zu finden und zu stopfen.
Im März 2017 nahm er in Texas am „South by Southwest“-Festival teil, das inzwischen Jahr für Jahr eine Unzahl an Kreativen aus der Softwareindustrie anlockt. „In den USA denkt man das Thema inzwischen neu“, erinnert sich Robin an eine Expertendiskussion zum Thema Sicherheitslücken. Die Idee ist, kritische Sicherheitslücken in vertraulichen Runden zu diskutieren, in denen alle, also Nachrichtendienste, Behörden, Wirtschaft und auch Infrastrukturbetreiber ihre Einschätzung zu diesem oder jenem Exploit abgeben. Auf Basis so eines Prozederes werde dann abgewogen, ob das Risiko des Bestehenbleibens einer Lücke – zum Beispiel im Sinne der Terrorbekämpfung – vertretbar ist oder nicht. Beispielsweise dann, wenn dadurch die Ausfallsicherheit eines Stromnetzbetreibers gefährdet wäre. „Das Gesamtrisiko für einen Staat“, glaubt Robin, „könnte so wohl reduziert werden.“
Unabhängig von allen technischen Details können Sicherheitsdienste jedoch kaum durchgängig nachweisen, welchen Nutzen Massen- oder auch Einzelüberwachung bisher in der Terrorabwehr hatte. Einer der wenigen bestätigten Fälle war jener der deutschen „Sauerlandgruppe“. Der entscheidende Hinweis, der zur Festnahme und womöglich Verhinderung eines größeren Bombenanschlags führte, soll vom amerikanischen Abhörgeheimdienst NSA gekommen sein. Und sonst?
Für seinen aktuellen Dokumentarfilm „Terrorjagd im Netz“ untersuchte der österreichische Regisseur und Journalist Friedrich Moser eine Auswahl spektakulärer islamistischer Anschläge in Europa und in den USA. Bei den 14 Attentaten (darunter Paris, Brüssel, Nizza, Berlin und Manchester) starben 429 Menschen, 2.472 weitere wurden verletzt. Von den 32 Attentätern waren ausnahmslos alle polizeibekannt, und alle nutzten elektronische Endgeräte zur Kommunikation. Moser orientiert sich im Film gemeinsam mit dem ehemaligen NSA-Technikdirektor Bill Binney an der These, dass Massenüberwachung keinen Nutzen hat, im besten Fall nur Zufallsfunde liefert.
Eine These, der Mitarbeiter aus der Welt der Dienste naturgemäß widersprechen. Ein Mitglied des Rechercheteams von Addendum sprach im Rahmen einer Tagung mit einem ranghohen Offizier eines der zwei militärischen Nachrichtendienste Österreichs.
Die Veranstaltung fand unter dem Regime der Chatham-House-Regel statt, weshalb die Identität der Quelle geschützt bleibt. In dieser Konstellation sprach die Quelle davon, dass das große Dilemma der Dienste die geschäftsbedingte Intransparenz sei. Verhinderte Anschläge, behauptete die Person, gebe es mehrere. Um den Fortbestand der Quellen und Überwachungsmethoden zu sichern, würde das jedoch praktisch nie bekannt gemacht. „Passiert dann aber doch ein Anschlag, dann lautet die erste Reaktion der Medien: Die Geheimdienste haben versagt.“
Gerald Gartner (Team Daten) 
Christoph Hanslik (Team Investigative Recherche) 
Ralph Janik (Team Experten) 
Dennis Meyer (Team TV) 
Alexander Millecker (Team TV) 
Sebastian Reinhart (Projektleitung) 
Stefan Schett (Team Social Media) 
Lukas Schmoigl (Team Experten) 
Anna Schneider (Team Experten) 
Max Thomasberger (Team Daten) 
Andreas Wetz (Team Investigative Recherche)
