2007/10/23 Hysterie, Versagen und Polizeitrojaner
Polizeitrojaner beunruhigt Öffentlichkeit - populistisches Projekt soll offenbar von tiefgreifenden, weniger spektakulären Überwachungsmaßnahmen ablenken - Projekt weder grundrechtlich, noch operativ machbar - Polizei stellt sich auf dieselbe Stufe wie Verbrecher
Polizeitrojaner beunruhigt Öffentlichkeit
"Moderne Zeiten benötigen moderne Mittel", mag sich wohl ein reichlich erfolgloser Innenminister Platter gedacht haben. Die Aufklärungsrate im Segment Verbrechen grundelt seit Jahren bei 20%, trotz drastisch ausgeweiteter Polizeibefugnisse, bei gleichzeitig grassierender polizeilicher Korruption und Polizeiübergriffen.
Mit der Onlineüberwachung von Computern wurde eine neue Überwachungsdiskussion eröffnet. Was Metternichs Spitzelleute und Agent Provocateurs mehr schlecht als recht zustande brachten, soll jetzt ein Computerprogramm, populär "Polizeitrojaner" genannt, übernehmen. Dass das Projekt, wie so viele Überwachungsprojekte der letzten Jahre, in der Sache selbst zum Scheitern verurteilt ist, tut nichts zur Sache. Seine wichtigste Aufgabe dürfte sein, gegenüber verunsicherten Bürgern Flagge zu zeigen, Aktionismus und Handlungsfähigkeit vorzugaukeln. Oder wie es ein hoher Polizeioffizier nannte "Überwachungsdruck aufzubauen". Gegen wen wohl? Kriminelle, die wissen dass sie etwas zu verbergen haben, werden unbeeindruckt sein, da es ihnen leicht fällt, sich vor diesen Übrwachungsmaßnahmen zu schützen. Und Hinz und Kunz, die von Videoüberwachung, DNA-Register und Polizeitrojaner beeindruckt und eingeschüchtert sind? Sie waren schon vorher keine Täter.
Massive Grundrechtseingriffe
Vieles und vernünftiges wurde in den letzten Tagen zur Grundrechtsproblematik des Polizeitrojaners gesagt. Einer Durchsuchung der Computer dringend Tatverdächtiger wird niemand entgegen treten. Diese Möglichkeit besteht heute schon im Rahmen der Hausdurchsuchung. Dieses seit langem verwendete Instrument der Strafverfolgung stellt als ultimo ratio, als letztes Mittel, einen massiven Grundrechtseingriff dar und unterliegt daher besonderen Regeln. Sie ist gerichtlich anzuordnen, sie hat nur Bereiche zu umfassen, die tatsächlich dem Tatverdächtigen zu zuordnen sind und sie hat konkrete Personen oder Gegenstände zu bezeichnen, nach denen gesucht wird (§ 139 StPO). Eine Stöberdurchsuchung einer Person, Örtlichkeit oder Wohnung in der Hoffnung "irgend etwas Belastendes" zu finden ist unzulässig. Weiters findet die Hausdruchsuchung in der Regel mit Kenntnis des Beschuldigten statt und sie kann auch abgewendet werden, indem die gesuchten Gegenstände freiwillig herausgegeben werden.
Trotz dieser Regeln gibt es immer wieder ungerechtfertigte Durchsuchungen, daher wurde mit §303 StGB auch eine spezielle Strafdrohung gegen Beamte geschaffen, die widerrechtliche Durchsuchungen machen.
Alle diese Voraussetzungen würden auf einen Polizeitrojaner nicht zutreffen. Dieser würde ohne Kenntnis des Verdächtigen erfolgen. Der Verdächtige hätte auch keine Rechtsmittel gegen die Durchsuchung und könnte auch nicht durch Kooperation die Durchsuchung abwenden. Die Polizei wüßte nicht einmal genau, ob der mit Trojaner infizierte Computer tatsächlich vom Verdächtigen genutzt wird, es würden nicht konkrete Sachverhalte ermittelt, sondern zwangsläufig zuerst einmal der gesamte Datenbestand beschafft. Weiters wird im Regelfall massivst in Grundrechte Dritter eingegriffen, nicht nur in die Rechte, derer die mit dem Verdächtigen direkt kommuniziert haben, sondern auch in die Rechte aller Personen, die zufälligerweise den durchsuchten Computer als Kommunikationswerkzeug benutzt haben und Briefe oder andere Informationen abgespeichert haben, die in keinem Zusammenhang mit dem Tatverdacht stehen.
Das eigentliche KO-Argument ist jedoch die Frage der Verhältnismäßigkeit. Egal welche Maßnahme ein Staat aus welchen - guten - Gründen auch immer beschließt, die Maßnahme muss konform mit der Europäischen Menschenrechtskonvention, Art. 8 sein, sie muss daher wesentlich für die Sicherheit des Landes sein und der Eingriff in die Menschenrechte verhältnismäßig sein, das heißt es ist der gelindeste zum Ziel führende Eingriff erforderlich.
Genau diese Bedingungen kann jedoch der Polizeitrojaner nicht erfüllen, dies auf Grund einer Reihe technischer Besonderheiten.
Nicht praktikables System
- Schutzmaßnahmen: Im Gegensatz zur Telefonie, bei der praktisch niemand Sicherungsmaßnahmen gegen Abhören trifft, gehört der Schutz gegen unerwünschte Eindringlinge zum Standardreportoire jedes Computerbenutzers. Viren- und Wurmscanner, PopUp-Blocker, Website-Filter, Firewalls werden routinemäßig installiert und sind bei Nutzung für Onlinebanking sogar vertraglich verpflichtend vorgeschrieben. Die Überwachungshürden sind ungleich höher als bei der Telefonie.
- Verortung: Im Gegensatz zu Telefonanschlüssen lassen sich am Internet angeschlossene Computer nur sehr bedingt räumlich lokalisieren. Die verwendete IP-Adresse gibt zwar Hinweise, über welchen Provider ein Computer angeschlossen sein kann, aber wo er tatsächlich steht, kann nicht zuverlässig festgestellt werden. Beginnt die österreichische Polizei Trojaner zu verbreiten, läuft sie sehr rasch Gefahr, in Hoheitsrechte anderer Staaten einzugreifen. Die Wahrscheinlichkeit in diesen Fällen einen Computer anzugreifen, der gar nicht auf dem Hoheitsgebiet Österreichs steht ist extrem hoch. Die österreichische Polizei könnte damit schnell in einen Cyberwar mit anderen Staaten und deren Sicherheitsstellen verwickelt werden, dem sie sicher nicht gewachsen wäre.
- Unternehmerhaftung: Der Polizeitrojaner könnte nur über geheim gehaltene Sicherheitslücken der Betriebssysteme, Mailprogramme oder Webbrowser eingeschleust werden. Eine derartige Geheimhaltung ist jedoch den Herstellern schon aus Gründen der Produkthaftung verboten. Sie haben eine Aufklärungspflicht gegenüber ihren Kunden und müssen diese über bekannte Sicherheitslücken informieren. Wird diese Warnung unterlassen drohen gigantische Regressforderungen und ein Vertrauensverlust der bis zum Ruin des Herstellers führen kann.
- Strafrecht: Die Entwicklung eines Polizeitrojaners könnte nur mit Bruch des Strafrechts erfolgen. Unter §126c StGB wird nämlich jede Verwendung eines Programms zum Ausspähen und Nutzung von Sicherheitslücken unter Strafe gestellt. Würde man die Programmentwicklung durch einen Ausnahmetatbestand für die Polizei legalisieren, dann entstünde rasch ein Schwarzmarkt mit genau diesem Trojaner, der ja auch ideal für das Ausspähen von Mitbewerbern wäre.
- Datenschutzrecht: §14 DSG verpflichtet alle Verarbeiter personenbezogener Daten zu dem Stand der Technik entsprechende Sicherheitsmaßnahmen. Das betrifft auch Internet-Service-Provider, die Mailboxen oder Webserver bereit stellen. Ein vorbeugendes gezieltes frei halten bestimmter Hintertüren für den Polizeitrojaner würde zwangsläufig auch tausende völlig unverdächtige Kunden betreffen. Diese könnten unter Berufung auf diese fehlende Sicherheitsbestimmungen Strafverfahren einleiten.
- Erfolgsaussicht: Bei geordnetem Computerbetrieb sind die Erfolgsaussichten für einen Trojanerangriff gleich Null. Dabei würden die zu treffenden Sicherheitsmaßnahmen, entgegen der durch die Polizei verbreiteten Meinung, den Benutzer nicht belasten. Sowohl für ihre Installation, als auch den Betrieb existieren genügend Tools, die sicherstellen, dass die Computerdaten zuverlässig geschützt sind, der Benutzer jedoch wie gewohnt arbeiten kann.
Polizei versucht sich auf dieselbe Stufe wie Verbrecher zu stellen
Warum, wird sich der naive Bürger fragen, sollte die Polizei im Cyberangriff nicht erfolreich sein, wenn dem Bürger doch durch Phisher, Pharmer, Spammer, Viren- und Wurmschreiber täglich die Nutzung seines Computers schwer gemacht wird. Wenn es Hackern gelingt, die Website einer Bank, von Microsoft oder des FBI zu knacken, dann muss es doch der Polizei gelingen den "Pimperlcomputer" eines Islamisten auszuspähen.
Eine zwar berechtigte, aber trotzdem völlig falsche Fragestellung. Tatsächlich gibt es im Internet Millionen ungeschützter Computer, die zum Teil als Zombirechner von Kriminellen übernommen wurden und von diesen ferngesteuert für kriminelle Aktivitäten genutzt werden. Es gibt aber auch gleichzeitig Abermillionen sicherer Computer, die noch nie in ihrem Leben gehackt wurden.
Analog zu einem gewerblichen Villen- oder Autoeinbrecher sucht sich der Cyberkrieger nicht bestimmte, besonders geschützte Computer als Angriffsziele aus, sondern er klappert Millionen Rechner ab und testet sie auf Sicherheitslücken. Er nimmt dann jene, die nicht ausreichend geschützt sind. Es gibt dazu im Internet frei verfügbare Programme, die automatisiert und sehr effizient Computer abklopfen, Sicherheitslücken aufspüren, protokollieren und sowohl Vorschläge für ihre Behebung, aber auch ihre - illegale - Nutzung machen. Jeder sorgsame IT-Betreiber wird in seinen Logfiles regelmäßig Einträge zu derartigen Abklopfversuchen finden. Nach einem derartigen Fischzug werden dann die geeigneten Computer geknackt und für eigene kriminelle Taten genutzt.
Genau diese Vorgangsweise ist jedoch der Polizei, sofern sie noch einen Funken rechtsstaatlicher Grundlage hat, verwehrt. Sie kann eben nicht auf gut Glück Millionen Computer mit einem Trojaner infizieren und auf einen Verbrechenshinweis hoffen, sondern sie darf nur die eine verdächtige Person oder den einen verdächtigen Computer angreifen oder belauschen. Werden dort übliche Sicherheitsmaßnahmen verwendet, scheitert der Polizeiangriff, im übrigen genauso, wie der Angriff des Cyberkriegers. Der Cyberkireger kann es beim nächsten Computer versuchen, die Polizei - arbeitet sie mit rechtsstaatlichen Methoden - nicht, damit wird die Polizei immer im Hintertreffen bleiben, zumindest solange rechtsstaatliche Prinzipien gelten.
Selbst mit den heute schon verfügbaren Internet-Überwachungsmöglichkeiten, etwa öffentlicher Diskussionen in Blogs und Chatrooms ist die österreichische Polizei regelmäßig überfordert, wie die Geschichte um das "islamistische Drohvideo" von März 2007 zeigte.
Stichwort "islamistisches Drohvideo"
Das Drohvideo, das angeblich ganz Österreich in Angst und Schrecken vorsetzte, wurde schon Stunden vorher in österreichischen Benutzerforen öffentlich angekündigt.
Aufmerksame Web2.0-Nutzer waren schon vor dem 11. März 2007 hellhörig. Stunden vor der offiziellen Veröffentlichung war das Video angekündigt. Es handelte sich offensichtlich um österreichische Nutzer der Blog-Plattform sms.at
Eine Polizei, die das Handwerk verstehen würde, hätte mit den jetzt verfügbaren legalen Mitteln spätestens am Dienstag den 12. März, beim verantwortlichen Blogger nachfragen können. Das Sicherheitspolizeigesetz (SPG) erlaubt der Polizei mit der §53 Abs. 4 schon seit Jahren die Überwachung veröffentlichter Daten auch ohne konkreten Tatverdacht.
Sicherheitsbehörden im Techno- und Cyberwar gescheitert
Die Liste des Scheiterns im Bereich moderner Überwachungsmethoden ist lang:
- Es gelingt der Polizei derzeit nicht rechtswidrige öffentliche Internetauftritte zu identifizieren oder auch nur zu ahnden (diese werden regelmäßig über ausländische Plattformen organisiert).
- Es gelingt ihr nicht Urheber von Phishingattacken zu identifizieren, geschweige zu verfolgen (hier wären nationale Online-Angriffe wirkungslos, da diese über ausländische Computer erfolgen).
- Im Bereich der Banken steigt trotz 100%iger Videoüberwachung die Überfallsrate an, gleichzeitig sinkt die Aufklärungsquote dramatisch.
- Der Schwedenplatz ist nach der Videoüberwachung in den Abendstunden ungemütlicher den je, selbst die angeblich vom Platz verdrängte Drogenkriminalität wächst weiterhin an.
- Tatort Karlsplatz: mit Wegweisebefugnissen, Überwachungskameras und "Schutzzonen" sollte der beliebte Treffpunkt der Wiener Außenseitergesellschaft ungemütlich gemacht werden. Was machen die bösen Drogendealer? Sie wandern in den noch unübersichtlicheren Stadtpark ab, organisieren sich und warnen sich gegenseitig per Handy vor Polizeirazzien. Und am Karlsplatz? Hier bleiben alle, die überhaupt nichts mehr zu verlieren haben und bei denen ein mehrtägiger Polizeiarrest schon als Erholungsaufenthalt erscheint.
- In der SCS sanken zwar nach Installation der Videoüberwachung Delikte gegen PKWs, sonstige Sachbeschädigungen stiegen sogar an.
- Selbst die viel gepriesene und mittlerweile in die Jahre gekommene Fingerabdrucksammlung erweist sich immer wirkungsloser. Bei der in der EKIS-Fingerabdruckdatei knapp einer Million erfassten Personen konnten zuletzt nur wenig mehr als 400 Straftaten mittels dieser Datei aufgeklärt werden. Bei knapp 150.000 Verbrechen pro Jahr. Ein Aufklärungsbeitrag von 0.27% muss als mehr als dürftig angesehen werden.
- Selbst in der Wiege der Videoüberwachung, in Newham/London, wird das Scheitern immer deutlicher. Newham ist der Stadtteil mit der höchsten Überwachungsdichte, jedoch auch gleichzeitig der Stadtteil mit der höchsten Jugendkriminalität.
Der Rückzug der Polizei von der Straße hinter Monitore wird von jenen Personen, "die etwas zu verbergen haben" beinhart bestraft, technische Überwachungsmaßnahmen lassen sich leicht unterlaufen.
Österreichische Polizei läuft Gefahr einen Cyberkrieg anzuzetteln
Selbstverständlich kann mit massenhafter Durchsuchung von Computern auch die eine oder andere Straftat aufgedeckt werden. Doch welcher Personen wird man auf diesem Weg habhaft werden? Eher kleingestrickte Täter, die illegale Porno- oder Musikdateien horten, denen entweder die Unrechtmäßigkeit ihrer Taten nicht bewusst ist oder die schlicht zu wenig Basiswissen über Computer haben. Organisierte Kriminalität, deren wesentliches Merkmal ist, sich als "ordentliche" Geschäftstätigkeit zu tarnen, wird in den meisten Fällen gar nicht über Computer abgewickelt, oder eben über professionell abgesicherte IT-Systeme, denen die österreichische Polizei nicht gewachsen ist.
Eher ist zu erwarten, dass die Lauschversuche in Konflikt mit anderen Staaten kommen und diese motiviert sein könnten sich die Computersysteme der österreichischen Behörden und Unternehmen "näher anzusehen". Ein Cyberkrieg wäre die Folge, dem die Polizei-Computer-Truppe des Bundeskriminalamts - bei aller Wertschätzung - nicht gewachsen wäre.
Missbrauchspotential
Abgesehen von der grundrechtlichen und operativen Problematik, birgt der Polizeitrojaner zusätzliches Missbrauchspotential. Wir müssen gar nicht an seine Einsatzmöglichkeiten zur Betriebsspionage denken. Ein damit befasster Polizist könnte den Trojaner leicht für private Lauschangriffe zum eigenen Nutzen, aber auch für Freundschaftsdienste verwenden.
Ist der Polizeitrojaner tatsächlich so gut, wie uns jetzt der Innenminister weiß machen will, dann wäre er ja praktisch unsichtbar und ein Polizist vor allfälliger Strafverfolgung sicher.
Politik verabschiedet sich von gesellschaftspolitischer Gestaltung
Während mit der Diskussion um den Polizeitrojaner nur dem Law&Order-Druck der Straße nachgegeben wird, werden schon die nächsten Grundrechtseingriffe gefordert und vorbereitet. Massen-DNA-Tests sollen ab 1.1.2008 stattfinden, Telekomdaten sollen vorbeugend gesammelt werden, KFZ-Fahrer flächendeckend überwacht werden.
Asylwerber sollen ihre Strafregisterbescheinigungen offen legen, eine ganz besonders perfide Forderung. War es doch bisher schon gang und gebe, dass die Polizei zur Verteidigung von Übergriffen und unmenschlichen Abschiebungen, den betroffenen Personen ihre Straftaten öffentlich vorhält und über die Medien um Sympathie für Grundrechtseingriffe wirbt. Mit der neuen Forderung die Strafregisterbescheinigungen aller Fremden/Asylwerber offen zu legen, schafft man jedoch locker auch die Ächtung unbescholtener Fremder. Weigert sich jemand - völlig zu Recht und verfassungskonform - seine Strafregisterbescheinigung offen zu legen, kann man mit der Unterstellung, dieser "hätte etwas zu verbergen", erst recht einen Pranger schaffen.
Große gesellschaftspolitische Fragestellungen, wie die Erhaltung der sozialen Sicherheit, die Integration ausländischer Qualifikationen oder der Abbau kultureller Schranken werden auf diesem Weg nicht gelöst werden. Personelle und finanzielle Ressourcen werden bloß in einem Post-Metternichschen Überwachungsstaat vergeudet.
|
