Samstag, 24. Januar 2009
 
Populistischer Datenangriff PDF Drucken E-Mail
Geschrieben von Hans Zeger, ARGE Daten   
Dienstag, 23. Oktober 2007

Innenminister Günther Platter preist Polizeitrojaner als notwendiges Mittel gegen Kriminalität an. Doch das populistische Projekt soll offenbar von tiefgreifenden, weniger spektakulären Überwachungsmaßnahmen ablenken. Laut Datenschutzexperten ist das Projekt weder grundrechtlich, noch operativ machbar. Die Polizei würde sich auf dieselbe Stufe wie Verbrecher stellen.


"Moderne Zeiten benötigen moderne Mittel", mag sich wohl ein reichlich erfolgloser Innenminister Platter gedacht haben. Die Aufklärungsrate im Segment Verbrechen grundelt seit Jahren bei 20%, trotz drastisch ausgeweiteter Polizeibefugnisse, bei gleichzeitig grassierender polizeilicher Korruption und Polizeiübergriffen.

Mit der Onlineüberwachung von Computern wurde eine neue Überwachungsdiskussion eröffnet. Was Metternichs Spitzelleute und Agent Provocateurs mehr schlecht als recht zustande brachten, soll jetzt ein Computerprogramm, populär "Polizeitrojaner" genannt, übernehmen. Dass das Projekt, wie so viele Überwachungsprojekte der letzten Jahre, in der Sache selbst zum Scheitern verurteilt ist, tut nichts zur Sache. Seine wichtigste Aufgabe dürfte sein, gegenüber verunsicherten Bürgern Flagge zu zeigen, Aktionismus und Handlungsfähigkeit vorzugaukeln. Oder wie es ein hoher Polizeioffizier nannte "Überwachungsdruck aufzubauen". Gegen wen wohl? Kriminelle, die wissen dass sie etwas zu verbergen haben, werden unbeeindruckt sein, da es ihnen leicht fällt, sich vor diesen Überwachungsmaßnahmen zu schützen. Und Hinz und Kunz, die von Videoüberwachung, DNA-Register und Polizeitrojaner beeindruckt und eingeschüchtert sind? Sie waren schon vorher keine Täter.

Massive Grundrechtseingriffe

Vieles und Vernünftiges wurde in den letzten Tagen zur Grundrechtsproblematik des Polizeitrojaners gesagt. Einer Durchsuchung der Computer dringend Tatverdächtiger wird niemand entgegen treten. Diese Möglichkeit besteht heute schon im Rahmen der Hausdurchsuchung. Dieses seit langem verwendete Instrument der Strafverfolgung stellt als ultimo ratio, als letztes Mittel, einen massiven Grundrechtseingriff dar und unterliegt daher besonderen Regeln. Sie ist gerichtlich anzuordnen, sie hat nur Bereiche zu umfassen, die tatsächlich dem Tatverdächtigen zu zuordnen sind und sie hat konkrete Personen oder Gegenstände zu bezeichnen, nach denen gesucht wird (§ 139 StPO). Eine Stöberdurchsuchung einer Person, Örtlichkeit oder Wohnung in der Hoffnung "irgend etwas Belastendes" zu finden ist unzulässig. Weiters findet die Hausdurchsuchung in der Regel mit Kenntnis des Beschuldigten statt und sie kann auch abgewendet werden, indem die gesuchten Gegenstände freiwillig herausgegeben werden.

Trotz dieser Regeln gibt es immer wieder ungerechtfertigte Durchsuchungen, daher wurde mit §303 StGB auch eine spezielle Strafdrohung gegen Beamte geschaffen, die widerrechtliche Durchsuchungen machen.

Alle diese Voraussetzungen würden auf einen Polizeitrojaner nicht zutreffen. Dieser würde ohne Kenntnis des Verdächtigen erfolgen. Der Verdächtige hätte auch keine Rechtsmittel gegen die Durchsuchung und könnte auch nicht durch Kooperation die Durchsuchung abwenden. Die Polizei wüßte nicht einmal genau, ob der mit Trojaner infizierte Computer tatsächlich vom Verdächtigen genutzt wird, es würden nicht konkrete Sachverhalte ermittelt, sondern zwangsläufig zuerst einmal der gesamte Datenbestand beschafft. Weiters wird im Regelfall massiv in Grundrechte Dritter eingegriffen, nicht nur in die Rechte, derer die mit dem Verdächtigen direkt kommuniziert haben, sondern auch in die Rechte aller Personen, die zufälligerweise den durchsuchten Computer als Kommunikationswerkzeug benutzt haben und Briefe oder andere Informationen abgespeichert haben, die in keinem Zusammenhang mit dem Tatverdacht stehen.

Das eigentliche KO-Argument ist jedoch die Frage der Verhältnismäßigkeit. Egal welche Maßnahme ein Staat aus welchen - guten - Gründen auch immer beschließt, die Maßnahme muss konform mit der Europäischen Menschenrechtskonvention, Art. 8 sein, sie muss daher wesentlich für die Sicherheit des Landes sein und der Eingriff in die Menschenrechte verhältnismäßig sein, das heißt es ist der gelindeste zum Ziel führende Eingriff erforderlich.

Nicht praktikables System

- Schutzmaßnahmen: Im Gegensatz zur Telefonie, bei der praktisch niemand Sicherungsmaßnahmen gegen Abhören trifft, gehört der Schutz gegen unerwünschte Eindringlinge zum Standardrepertoire jedes Computerbenutzers. Viren- und Wurmscanner, PopUp-Blocker, Website-Filter, Firewalls werden routinemäßig installiert und sind bei Nutzung für Onlinebanking sogar vertraglich verpflichtend vorgeschrieben. Die Überwachungshürden sind ungleich höher als bei der Telefonie.

- Verortung: Im Gegensatz zu Telefonanschlüssen lassen sich am Internet angeschlossene Computer nur sehr bedingt räumlich lokalisieren. Die verwendete IP-Adresse gibt zwar Hinweise, über welchen Provider ein Computer angeschlossen sein kann, aber wo er tatsächlich steht, kann nicht zuverlässig festgestellt werden. Beginnt die österreichische Polizei Trojaner zu verbreiten, läuft sie sehr rasch Gefahr, in Hoheitsrechte anderer Staaten einzugreifen. Die Wahrscheinlichkeit in diesen Fällen einen Computer anzugreifen, der gar nicht auf dem Hoheitsgebiet Österreichs steht ist extrem hoch. Die österreichische Polizei könnte damit schnell in einen Cyberwar mit anderen Staaten und deren Sicherheitsstellen verwickelt werden, dem sie sicher nicht gewachsen wäre.

- Unternehmerhaftung: Der Polizeitrojaner könnte nur über geheim gehalteneSicherheitslücken der Betriebssysteme, Mailprogramme oder Webbrowser eingeschleust werden. Eine derartige Geheimhaltung ist jedoch den Herstellern schon aus Gründen der Produkthaftung verboten. Sie haben eine Aufklärungspflicht gegenüber ihren Kunden und müssen diese über bekannte Sicherheitslücken informieren. Wird diese Warnung unterlassen drohen gigantische Regressforderungen und ein Vertrauensverlust der bis zum Ruin des Herstellers führen kann.

- Strafrecht: Die Entwicklung eines Polizeitrojaners könnte nur mit Bruch des Strafrechts erfolgen. Unter §126c StGB wird nämlich jede Verwendung eines Programms zum Ausspähen und Nutzung von Sicherheitslücken unter Strafe gestellt. Würde man die Programmentwicklung durch einen Ausnahmetatbestand für die Polizei legalisieren, dann entstünde rasch ein Schwarzmarkt mit genau diesem Trojaner, der ja auch ideal für das Ausspähen von Mitbewerbern wäre.

- Datenschutzrecht: §14 DSG verpflichtet alle Verarbeiter personenbezogener Daten zu dem Stand der Technik entsprechende Sicherheitsmaßnahmen. Das betrifft auch Internet-Service-Provider, die Mailboxen oder Webserver bereitstellen. Ein vorbeugendes gezieltes Freihalten bestimmter Hintertüren für den Polizeitrojaner würde zwangsläufig auch tausende völlig unverdächtige Kunden betreffen. Diese könnten unter Berufung auf diese fehlende Sicherheitsbestimmungen Strafverfahren einleiten.

- Erfolgsaussicht: Bei geordnetem Computerbetrieb sind die Erfolgsaussichten für einen Trojanerangriff gleich Null. Dabei würden die zu treffenden Sicherheitsmaßnahmen, entgegen der durch die Polizei verbreiteten Meinung, den Benutzer nicht belasten. Sowohl für ihre Installation, als auch den Betrieb existieren genügend Tools, die sicherstellen, dass die Computerdaten zuverlässig geschützt sind, der Benutzer jedoch wie gewohnt arbeiten kann.


Polizei versucht sich auf dieselbe Stufe wie Verbrecher zu stellen

Warum, wird sich der naive Bürger fragen, sollte die Polizei im Cyberangriff nicht erfolgreich sein, wenn dem Bürger doch durch Phisher, Pharmer, Spammer, Viren- und Wurmschreiber täglich die Nutzung seines Computers schwer gemacht wird. Wenn es Hackern gelingt, die Website einer Bank, von Microsoft oder des FBI zu knacken, dann muss es doch der Polizei gelingen den "Pimperlcomputer" eines Islamisten auszuspähen.

Eine zwar berechtigte, aber trotzdem völlig falsche Fragestellung. Tatsächlich gibt es im Internet Millionen ungeschützter Computer, die zum Teil als Zombierechner von Kriminellen übernommen wurden und von diesen ferngesteuert für kriminelle Aktivitäten genutzt werden. Es gibt aber auch gleichzeitig Abermillionen sicherer Computer, die noch nie in ihrem Leben gehackt wurden.

Analog zu einem gewerblichen Villen- oder Autoeinbrecher sucht sich der Cyberkrieger nicht bestimmte, besonders geschützte Computer als Angriffsziele aus, sondern er klappert Millionen Rechner ab und testet sie auf Sicherheitslücken. Er nimmt dann jene, die nicht ausreichend geschützt sind. Es gibt dazu im Internet frei verfügbare Programme, die automatisiert und sehr effizient Computer abklopfen, Sicherheitslücken aufspüren, protokollieren und sowohl Vorschläge für ihre Behebung, aber auch ihre - illegale - Nutzung machen. Jeder sorgsame IT-Betreiber wird in seinen Logfiles regelmäßig Einträge zu derartigen Abklopfversuchen finden. Nach einem derartigen Fischzug werden dann die geeigneten Computer geknackt und für eigene kriminelle Taten genutzt.

Genau diese Vorgangsweise ist jedoch der Polizei, sofern sie noch einen Funken rechtsstaatlicher Grundlage hat, verwehrt. Sie kann eben nicht auf gut Glück Millionen Computer mit einem Trojaner infizieren und auf einen Verbrechenshinweis hoffen, sondern sie darf nur die eine verdächtige Person oder den einen verdächtigen Computer angreifen oder belauschen. Werden dort übliche Sicherheitsmaßnahmen verwendet, scheitert der Polizeiangriff, im übrigen genauso, wie der Angriff des Cyberkriegers. Der Cyberkrieger kann es beim nächsten Computer versuchen, die Polizei - arbeitet sie mit rechtsstaatlichen Methoden - nicht, damit wird die Polizei immer im Hintertreffen bleiben, zumindest solange rechtsstaatliche Prinzipien gelten.

Sicherheitsbehörden im Techno- und Cyberwar gescheitert

Die Liste des Scheiterns im Bereich moderner Überwachungsmethoden ist lang:

- Es gelingt der Polizei derzeit nicht rechtswidrige öffentliche Internetauftritte zu identifizieren oder auch nur zu ahnden (diese werden regelmäßig über ausländische Plattformen organisiert).

- Es gelingt ihr nicht Urheber von Phishingattacken zu identifizieren, geschweige zu verfolgen (hier wären nationale Online-Angriffe wirkungslos, da diese über ausländische Computer erfolgen).

- Im Bereich der Banken steigt trotz 100%iger Videoüberwachung die Überfallsrate an, gleichzeitig sinkt die Aufklärungsquote dramatisch.

- Der Schwedenplatz ist nach der Videoüberwachung in den Abendstunden ungemütlicher den je, selbst die angeblich vom Platz verdrängte Drogenkriminalität wächst weiterhin an.

- Tatort Karlsplatz: mit Wegweisebefugnissen, Überwachungskameras und "Schutzzonen" sollte der beliebte Treffpunkt der Wiener Außenseitergesellschaft ungemütlich gemacht werden. Was machen die bösen Drogendealer? Sie wandern in den noch unübersichtlicheren Stadtpark ab, organisieren sich und warnen sich gegenseitig per Handy vor Polizeirazzien. Und am Karlsplatz? Hier bleiben alle, die überhaupt nichts mehr zu verlieren haben und bei denen ein mehrtägiger Polizeiarrest schon als Erholungsaufenthalt erscheint.

- In der SCS sanken zwar nach Installation der Videoüberwachung Delikte gegen PKWs, sonstige Sachbeschädigungen stiegen sogar an.

- Selbst die viel gepriesene und mittlerweile in die Jahre gekommene Fingerabdrucksammlung erweist sich immer wirkungsloser. Bei der in der EKIS-Fingerabdruckdatei knapp einer Million erfassten Personen konnten zuletzt nur wenig mehr als 400 Straftaten mittels dieser Datei aufgeklärt werden. Bei knapp 150.000 Verbrechen pro Jahr. Ein Aufklärungsbeitrag von 0.27% muss als mehr als dürftig angesehen werden.

- Selbst in der Wiege der Videoüberwachung, in Newham/London, wird das Scheitern immer deutlicher. Newham ist der Stadtteil mit der höchsten Überwachungsdichte, jedoch auch gleichzeitig der Stadtteil mit der höchsten Jugendkriminalität.

Der Rückzug der Polizei von der Straße hinter Monitore wird von jenen Personen, "die etwas zu verbergen haben" beinhart bestraft, technische Überwachungsmaßnahmen lassen sich leicht unterlaufen.

Missbrauchspotential

Abgesehen von der grundrechtlichen und operativen Problematik, birgt der Polizeitrojaner zusätzliches Missbrauchspotential. Wir müssen gar nicht an seine Einsatzmöglichkeiten zum Ausspähen von Konkurrenten denken. Ein damit befasster Polizist könnte den Trojaner leicht für private Lauschangriffe zum eigenen Nutzen, aber auch für Freundschaftsdienste verwenden.

Politik verabschiedet sich von gesellschaftspolitischer Gestaltung

Während mit der Diskussion um den Polizeitrojaner nur dem Law&Order-Druck Der Straße nachgegeben wird, werden schon die nächsten Grundrechtseingriffe gefordert und vorbereitet. Massen-DNA-Tests sollen ab 1.1.2008 stattfinden, Telekomdaten sollen vorbeugend gesammelt werden, KFZ-Fahrer flächendeckend überwacht werden.


mehr Online:

www2.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDATEN&s=91782erl
www2.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDATEN&s=00072eaa
www2.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDATEN&s=78115gwe
www2.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDATEN&s=05196rag


< zurück   weiter >