Österreichs "Bundestrojaner" strauchelt
Während das deutsche Verfassungsgericht den Behörden bei der Online-Durchsuchung enge Grenzen gesteckt hat, ist die österreichische interministerielle Arbeitsgruppe dabei, ihren Bericht für Innen- und Justizministerium zu finalisieren. Laut Vorsitzendem Bernd-Christian Funk ist nicht einmal erwiesen, ob die Methode überhaupt tauglich ist.
Die Entscheidung des deutschen Bundesverfassungsgerichts zur verdeckten Online-Durchsuchung vom Mittwoch bestätige die Linie des Wiener Innenministeriums, hieß es ebendort am Mittwoch auf Anfrage von ORF.at.
"Es bestätigt unseren Weg, dass Auflagen für die Online-Durchsuchung nötig sind und dass es klare Regelungen braucht", sagte die Sprecherin von Innenminister Günther Platter [ÖVP], Iris Müller-Gutenbrunn, in einer ersten Reaktion auf das deutsche Urteil am Mittwoch zu ORF.at.
Zum Behufe dieser "klaren Regelungen" habe man eine interministerielle Arbeitsgruppe eingerichtet, deren Bericht in Bälde zu erwarten sei.
Einsatzbereich eng definiert
Die deutschen Verfassungsrichter hatten entschieden, dass dieses von der Polizei geforderte Ermittlungsinstrument nur in Fällen von Schwerstkriminalität zuzulassen sei: bei Bedrohungen von Leib, Leben und Freiheit und solchen, die den Bestand des Staates oder die Grundlagen der menschlichen Existenz berühren.
Ein neues Landesgesetz des Bundeslands Nordrhein-Westfalen, das der Polizei weiter reichende Befugnisse eingeräumt hatte, wurde von den deutschen Verfassungsrichtern gekippt.
Österreichischer Bericht folgt
Das Urteil sei nicht eins zu eins auf Österreich übertragbar, auch wenn die Rechtssysteme ähnlich seien, meinte Funk, Professor für Verfassungs- und Verwaltungsrecht an der Uni Wien, am Mittwoch zu ORF.at.
Der Leiter der interministeriellen Arbeitsgruppe bestätigte, dass deren Bericht über den möglichen Einsatz von Trojaner-Software Ende der ersten Märzwoche vorgelegt werde. Zum jetzigen Zeitpunkt könne man dezidiert sagen, "eine Hauruck-Aktion wird das nicht".
Grundrecht auf Privatsphäre
Hierzulande sei nämlich längst noch nicht entschieden, ob mit der Online-Durchsuchung nicht "Kernbereiche des Grundrechts auf Privatsphäre verletzt werden". Damit wäre das Vorhaben einer Online-Durchsuchung an sich nicht zulässig.
Auch das Einbringen von "Remote Forensic Software" - der populäre Begriff dafür ist "Bundestrojaner" - sei nach der bestehenden Gesetzeslage nicht erlaubt, sagte Funk. "Dazu kommt eine Reihe von technischen wie rechtlichen Fragen, die ebenso vielfältig wie kontrovers" in der Arbeitsgruppe abgehandelt worden seien.
Wirksamkeit nicht erwiesen
So sei die Frage nach der Wirksamkeit der Maßnahme nicht geklärt, da es gegen Trojaner einfache technische Schutzmaßnahmen gebe, so der Verfassungsrechtler, der sich auch über "Zero Day Exploits" umfassend informiert zeigte.
Sei die Wirksamkeit der Maßnahme nicht gegeben, dann sei das auch juristisch relevant: Die Maßnahme sei dann nämlich nicht ausgewogen.
Gezielte Angriffe
Gemeint ist damit, dass die überwiegende Zahl bisher bekanntgewordener "gezielter Angriffe" ["Targeted Attacks"] über tagesaktuelle Sicherheitslücken mit Trojaner-verseuchten Microsoft-Office-Dokumenten durchgeführt wurde.
Diese Angriffe fliegen in der Regel unter dem Radar der Virenscanner durch und fallen auch insgesamt in den Statistiken nicht auf, da bestimmte Gruppen oder auch Einzelpersonen gezielt angegriffen werden.
Unter Linux oder MAC OS funktioniert dasselbe Schema eben nicht.
Unveröffentlichte Sicherheitslücken
Es geht also dezidiert um Microsoft-Betriebssysteme und die Zulieferung von "Less Than Zero Day Exploits", die auf unveröffentlichten Sicherheitslücken aufsetzen. Mittlerweile sind damit vazierende "Vertragshacker" beschäftigt, die von großen Internet-Firmen bezahlt werden, Hauptabnehmer aber sind Kriminelle sowie "staatsnahe Agenturen" in aller Welt.
Die seriös arbeitende Security-Szene veröffentlicht Sicherheitslücken erst, nachdem die betroffene Firma oder Open-Source-Community - denn das muss fairerweise dazugesagt werden - darüber informiert ist.
Der maßgeschneiderte Angriff
Nur: Exploits werden überwiegend gegen Windows-Sicherheitslücken geschrieben und für entsprechende Summen verkauft.
Von Ablauf und Technik her entspricht "das Einbringen von Remote Forensic Software" der Definition einer "Targeted Attack". Diese Methode könnte man unter "CyberCrime 2.0" subsumieren, erstmals in größerem Umfang "in the wild" beobachtet wurde sie bei Trojaner-Angriffen auf Dissidentengruppen aus China und Tibet.
China
Das begann zwar bereits 2003, wurde aber erst Anfang 2008 in einer Untersuchung nachgewiesen.
Die von der deutschen Bundeskanzlerin Angela Merkel 2007 öffentlich kritisierten Angriffe aus der Volksrepublik China auf deutsche Ministerien entsprachen ebenfalls dem "Einbringen von Remote Forensic Software auf computergestützte Informationssysteme", wie es im internationalen Fachchinesisch für "Bundestrojaner" auf Windows-Basis heißt.
Vertrauen in E-Government
Dass genau eine solche Diskussion ausgerechnet zu einer Zeit passiere, in der seitens der Regierung "von E-Voting bis Bürgercard" Initiativen gesetzt würden, um E-Goverment und E-Commerce voranzubringen, sei "kontraproduktiv", sagt der Verfassungsrechtler Funk, der auch einen Abschluss in Wirtschaftspädagogik hat und von 1997 bis 2003 als Rechtsschutzbeauftragter für das Innenministerium tätig war.
Schaden und Nutzen
Als persönliche Einschätzung bezeichnete der Rechtsexperte, dass angesichts der politischen Diskussionen über Ermittlungspraktiken im Innenministerium ein "gewisses Misstrauen" bemerkbar sei.
Es sei "recht genau zu überlegen, ob man so [mit der verdeckten Online-Durchsuchung, Anm.] nicht mehr Schaden anrichtet als Nutzen stiftet", so Funk abschließend.
(futurezone | Erich Moechel)