Der Wiener Verfassungsrechtler Bernd-Christian Funk hat Bedenken bezüglich einer Einführung des Bundestrojaners. "Aus verfassungsrechtlicher Sicht" seien die entsprechenden Pläne der Regierung zwar "kaum angreifbar", aber der Einsatz von staatlicher Überwachungssoftware berge Gefahren. "Kann man diese Programme domestizieren?", fragte Funk am Montag bei einem Pressegespräch des Vereins Epicenter Works. Er hat Zweifel daran und verweist auf mögliche technische Probleme. So erhielten Ermittler zu umfangreiche, schwer einzuschränkende Möglichkeiten mit Missbrauchsgefahr. Funk geht davon aus, dass Behörden derzeit nicht über geeignetes Personal verfügen, den Trojaner technisch zu kontrollieren.

"Nicht mehr gesetzeswidrig"

Nach mehreren Rückziehern habe die Regierung im jüngsten Entwurf versucht, den Einsatz des Bundestrojaners einzugrenzen, lautet Funks Expertise. Anders gesagt: "Wenn man die entsprechende rechtliche Grundlage schafft, ist es nicht mehr gesetzeswidrig." Was für den Verfassungsrechtler offenbleibt, sind allerdings Fragen der technischen Kommunikation.

"Der Staat nimmt ein großes Schweizer Messer"

IT-Experte Otmar Lendl befürchtet, dass die Möglichkeiten bei der Fernüberwachung von Computersystemen kaum einschränkbar seien, was in einzelnen Fällen auch zu Missbrauch führen könnte: "Der Staat nimmt ein großes Schweizer Messer und sagt, du darfst aber nur die kleine Klinge nutzen." In der Praxis sei das nur schwer nachvollziehbar. Die vorgesehenen Rechtsschutzbeauftragten seien nur für juristische Fragen, nicht aber für technische zuständig.

Zudem gebe es, sei die Spionagesoftware installiert und in Betrieb, ein weiteres Problem: Wenn Polizisten unbemerkt in das Handy eindringen konnten, dann könnten die gefundenen Daten bereits von anderer Seite manipuliert worden sein.

Zero Day Exploits

Ein weiteres Problem ist die verwendete Software. Um Schutzbarrieren von Handys oder PCs zu umgehen, müssen auch Schwachstellen in Apps oder im Betriebssystem ausgenutzt werden. Das Aufspüren solcher Lücken (Zero Day Exploits) und das Entwickeln entsprechender Software ist allerdings alles andere als trivial. Üblicherweise werden Sicherheitslücken von Sicherheitsexperten oder von Hackern mit kriminellem Hintergrund gefunden. Geschäftsmodell: Verkauf von Lücken.

Seit einigen Jahren bieten aber auch Firmen Programme an, die derartige Lücken ausnutzen. Deren Geschäftsmodell verbietet es, betroffene Firmen oder die Öffentlichkeit über Lecks zu informieren. Zu ihren Kunden zählen neben europäischen Behörden auch Diktaturen in Afrika und dem Nahen Osten.

"Staat muss sich entscheiden"

Lendl schlägt vor, den Kreis der Überwachten lieber einzuschränken und nur Systeme mit fehlenden Updates zu infiltrieren. Das wäre zudem günstiger. "Der Staat muss sich entscheiden, ob er seine Bürger vor IT-Lücken schützen will oder Kriminelle überwachen will". (sum, APA, 19.3.2018)