"Ich erwarte mir als Staatsbürger, dass der Staat mich vor solchen Softwarefehlern schützt – und nicht, dass er diese ausnützt", sagte der Strafverteidiger Bernd Wiesinger.
Getty Images

Wer Innenminister Gerhard Karner (ÖVP) oder anderen Akteuren aus dem Umfeld des Innenministeriums in den letzten Monaten zugehört hat, wird regelmäßig den Ruf nach mehr Befugnissen für Ermittlungsbehörden wahrgenommen haben. Immer wieder im Gespräch: der Bundestrojaner, eine Spionagesoftware, die es ermöglichen soll, verschlüsselte Kommunikation auszulesen. So sprach sich etwa Omar Haijawi-Pirchner, Chef der Direktion Staatsschutz und Nachrichtendienst, mehrfach für eine solche Überwachung aus.

Kritik ernten sie dafür laufend von Datenschützern. Thomas Lohninger, Geschäftsführer der Grundrechts-NGO Epicenter Works, warf der ÖVP bei einer Pressekonferenz am Montag vor, stetig Verfassungsbruch zu fordern – denn der Verfassungsgerichtshof (VfGH) hat 2019 ein Gesetz, das eine solche Überwachungssoftware vorsah, gekippt.

Vergangene Skandale wie jener rund um die Spionagesoftware Pegasus hätten bereits gezeigt, welches Risiko derartige Programme bergen, sagte Daniela Kraus vom Presseclub Concordia. Pegasus war in den vergangenen Jahren in Verruf geraten, weil die Software teils gegen Journalistinnen und Journalisten und Dissidenten eingesetzt wurde. Ein Bundestrojaner sei eine massive Gefahr "für alle Berufsgruppen, die Geheimnisträger sind" – etwa Journalisten, aber auch Anwältinnen und Ärzte. "Jede Aushebelung des Redaktionsgeheimnisses untergräbt das Vertrauen in den Journalismus."

Kette an Sicherheitslücken

Auch sei eine solche Software eine erhebliche Gefahr für die IT-Sicherheit, fügte René Mayrhofer, Sicherheitsforscher an der Johannes-Kepler-Universität, hinzu. Man möge sich vorstellen, eine Sicherheitslücke erlaubte es, Autotüren zu öffnen. Für Ermittlungsbehörden sei dies zwar praktisch, wenn sie eine Straftat aufklären wollen und deswegen das Fahrzeug durchsuchen. "Aber auf der Autobahn bei 130 km/h ist es nicht ungefährlich." Ähnlich sei das beim Bundestrojaner zu sehen: Dieser erforderte gleich eine "Kette von Sicherheitslücken, die geheim gehalten werden müssen".

Um den Verkauf derartiger Software hat sich in den vergangenen Jahren ein reges Geschäft entwickelt. Schließlich sind die Abnehmer kaufkräftige Staaten, die Beträge in Millionenhöhe zahlen. Wie teuer Überwachungssoftware aktuell sei, sei schwer abzuschätzen, sagt Mayrhofer – doch wer legal eine Sicherheitslücke meldet, könne schon jetzt Geld in Höhe von über einer Million Euro erhalten. Hinzu käme die Anerkennung innerhalb der Community, die für Sicherheitsforschende oft noch viel wichtiger sei. Auf diese zu verzichten bedeute, dass der Schwarzmarkt besonders lukrativ sein muss – und damit enorm teuer für den Staat.

Bundestrojaner sei für Verfolgung, nicht Abwehr

"Ich erwarte mir als Staatsbürger, dass der Staat mich vor solchen Softwarefehlern schützt – und nicht, dass er diese ausnützt", sagte der Strafverteidiger Bernd Wiesinger dazu. Auch kritisiert er, dass das Innenministerium die Software mit dem Argument der Terrorabwehr fordere – denn das Ziel eines Bundestrojaners sei nicht die Abwehr, sondern die Verfolgung und Aufklärung von Straftaten. Gegen jenen jungen Mann, der Anfang September erwog, ein Attentat am Wiener Hauptbahnhof durchzuführen, hätte er demnach etwa nichts genützt. "Solange eine Straftat nur im Kopf ist, greift die Strafprozessordnung nicht. Gedankenverbrechen sind nicht strafbar – das würde nur in einer Science-Fiction-Dystopie funktionieren", sagt er. Demnach würde der Einsatz eines Bundestrojaners fast nie zustande kommen, wenn noch nichts passiert ist.

Eine Ausnahme bilde der Straftatenbestand der Bildung einer kriminellen Vereinigung, sagt Wiesinger – wie eben bei einer Gruppe von Terroristen. Doch auch da hatte der VfGH 2019 eine klare Schranken vorgegeben. Es bedürfe einer klaren Definition des Gefährderbegriffs und der Bewertung der Wahrscheinlichkeit eines gefährdenden Angriffs. "Schwammige Formulierungen öffnen das Tor für einen extensiven Gebrauch des Bundestrojaners", warnt er. "Denn die Behörden müssen dann die Instrumente anwenden – tun sie das nicht, wäre das Amtsmissbrauch."

Es sei demnach unklar, wofür es einen Bundestrojaner brauche – denn schon jetzt habe die Polizei ein Sammelsurium an Eingriffsmöglichkeiten. "Ich kann etwa eine Hausdurchsuchung durchführen, Geräte sicherstellen, eine Wohnung belauschen und so weiter."

Mayrhofer: Als würde man Sklaverei befürworten

Dass Hinweise oft von ausländischen Partnerdiensten kämen, liege nicht zwingend an dem Einsatz von Bundestrojanern, argumentiert Mayrhofer – sondern womöglich an anderen Mitteln. So würden etwa in den USA bereits Handys an mutmaßliche Kriminelle verkauft, die bereits im Vorfeld gehackt wurden.

Das Argument, andere Staaten würden ja bereits Überwachungssoftware einsetzen, weswegen Sicherheitslücken etwa sowieso schon im Umlauf seien, will Mayrhofer nicht stehen lassen. "Man würde ja auch nicht, wenn alle anderen Sklaverei befürworten, sagen: Alle finden sie gut, warum machen wir das nicht." (Muzayen Al-Youssef, 20.11.2023)