Infolge der Spionageaffäre Egisto Ott fordert Österreichs Staatsschutz erneut mehr Befugnisse. Er will verschlüsselte Kommunikation überwachen können. Was spricht dafür, was dagegen?
Pro: Gegen Terror braucht es Gegenmittel
Im Kampf gegen Terrorismus und Spionage ist es das stärkste Instrument des österreichischen Staatsschutzes: das Fernglas. Heutzutage ist das zwar anachronistisch. Doch viel mehr Befugnisse hat die Direktion Staatsschutz und Nachrichtendienst (DSN) nun einmal nicht.
So lassen sich aus der Ferne zwar Verdächtige beobachten. Worüber diese aber reden, mit wem sie sich am Handy austauschen und was sie planen: Das ist für die DSN nicht zu erfahren. Die Forderung der Behörde, ihr das Abhören und Mitlesen verschlüsselter Kommunikation auf Signal, WhatsApp und Co. zu ermöglichen, ist daher verständlich. Denn das sind nun einmal die Kanäle, auf denen Terroristen heutzutage kommunizieren.
Europaweit ist das den Diensten fast aller anderen Staaten auch möglich. Regelmäßig wird die DSN von ihnen vor Gefahren gewarnt. Warum soll also in Österreich nicht gehen, was in zahlreichen anderen demokratischen Staaten möglich ist? So ernst Bedenken vor einer Massenüberwachung oder datenschutzrechtliche Fragen genommen werden müssen, den Sicherheitsbehörden muss es möglich sein, das Land vor Terroranschlägen, extremistischer Unterwanderung und Spionen zu schützen.
»Den Behörden muss es möglich sein, das Land vor Anschlägen und Spionen zu schützen.«
Fraglich ist eher die Ausgestaltung der Befugnis. Ein erster Gesetzesentwurf samt Alternativmodell kursiert bereits, der Vorschlag wirkt vernünftig und nachvollziehbar. Ein „Bundestrojaner“ mit Komplettzugriff auf das Handy ist nach den Vorstellungen der DSN offenbar gar nicht mehr zwingend notwendig.
Zunächst soll die DSN eine Überwachungssoftware auf das Gerät von mutmaßlichen Terroristen und Spionen spielen können. Das könnte über verschiedene Wege passieren. Die bevorzugte Methode wäre über Zero-Click-Lösungen. Dafür braucht es die Zusammenarbeit mit den Mobilfunkbetreibern: Denn nur diese können die Updates, die die Software enthalten, ohne weiteres Zutun des Nutzers auf dessen Handy spielen.
Anders wäre es bei One-Click-Lösungen. Hierfür brauchte es das Zutun der Zielperson. Sie müsste etwa auf eine präparierte E-Mail mit einem Link, der die Schadsoftware installiert, klicken. Ein klassischer Phishing-Angriff, wie ihn Hacker und Kriminelle gern nutzen. Vor dem Einsatz soll geklärt sein, bei welchem verschlüsselten Nachrichtendienst mitgelesen werden darf. Die DSN kann also nicht auf das gesamte Gerät zugreifen.
Wenn all dies streng kontrolliert wird und gerichtlich genehmigt werden muss: Warum soll das nicht möglich sein? Über Details mag noch zu streiten sein, allgemein aber ist der Vorschlag ausgewogen. Viel Zeit für seine Umsetzung bleibt in dieser Legislaturperiode aber nicht mehr.