Eingebracht am 24.04.2025
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.

ENTSCHLIESSUNGSANTRAG

 

der Abgeordneten Süleyman Zorba, Agnes-Sirkka Prammer, Freundinnen und Freunde

 

betreffend Nein zu Bundestrojaner und Messenger-Überwachung

 

 

 

 

BEGRÜNDUNG

 

Am 8. April wurde vom Innenminister ein neuer Entwurf für eine Messenger-Überwachung in Begutachtung geschickt und damit eine langjährige ÖVP-Forderung umgesetzt.[1] Die Idee einer Überwachung von Messenger-Diensten zur Kriminalitätsbekämpfung erscheint vielleicht auf den ersten Blick plausibel – Fakt ist aber, dass die angekündigten durchschlagenden Ermittlungserfolge nicht zu erwarten sind und die behauptete technische Umsetzung zahlreiche und eklatante Sicherheitsprobleme und rechtliche Probleme aufwirft.

 

1.    Missbrauch von Spyware

 

Die Erfahrungen mit Spyware zur Überwachung verschlüsselter Kommunikation zeigen: Wird Spyware verwendet, ist vorprogrammiert, dass diese Systeme regelwidrig eingesetzt werden. So wurden in den vergangenen Jahren unzählige Skandale aufgedeckt, in denen derartige Systeme gegen Opposition, Journalist:innen und Zivilgesellschaft zum Einsatz gebracht wurden:

 

-      Im Jahr 2021 haben mehrere Organisationen der Zivilgesellschaft und investigative Journalist:innen nach und nach aufgedeckt, dass staatliche Stellen in mehreren Ländern, sowohl in EU-Mitgliedstaaten als auch in Drittländern, Pegasus und ähnliche Überwachungs- und Spähsoftware gegen Journalist:innen, Politiker:innen, Strafverfolgungsbeamt:innen, Diplomat:innen, Rechtsanwält:innen, Geschäftsleute, Akteure der Zivilgesellschaft und andere Personen zu politischen und sogar kriminellen Zwecken eingesetzt hatten. Der Missbrauch erfolgte sowohl von autoritären als auch demokratischen Regierungen. Spuren führten nach Polen, Ungarn, Griechenland, Zypern, Spanien, Niederlande, Belgien, Deutschland, Malta, Frankreich, Irland, Luxemburg, Italien und auch nach Österreich. So nutzten im Juli 2022 Betreiber Spähsoftware des damals in Österreich ansässigen Unternehmens DSIRF, um sich in Anwaltskanzleien, Banken und Beratungsunternehmen in Österreich, Panama und Großbritannien einzuhacken. Das ist das Ergebnis des EU-Untersuchungsausschusses zu der Affäre.[2]

 

-      Die nationalkonservative PiS hat in Polen von 2017 bis 2022 Pegasus eingesetzt, um 578 Personen, darunter Oppositionspolitiker:innen zu überwachen. [3]

 

-      2022 informierte Citizen Lab, dass mit den Spyware-Produkten Candiru und Pegasus Mitglieder des europäischen Parlaments, Jurist:innen, Aktivist:innen und Catalanische Politiker:innen überwacht wurden. Betroffen waren teilweise auch Familienmitglieder der eigentlichen Zielpersonen.[4]

 

-      2022 wurden in Griechenland 92 Personen darunter Politiker:innen, Minister:innen und Journalist:innen mit der Predator Software angegriffen.[5]

 

-      2023 wurden Vertreter:innen der Zivilgesellschaft, Journalist:innen, Vertreter:innen der Vereinten Nationen, die deutsche Botschafterin in den USA sowie Politiker:innen in der Europäischen Union (darunter die Präsidentin des Europäischen Parlaments), den USA und Asien mit der Predator-Spionagesoftware angegriffen.[6]

 

-      Im Februar 2024 wurde bei Mitgliedern und Mitarbeiter:innen des EU-Unterausschusses für Sicherheit und Verteidigung auf Smartphones Überwachungssoftware gefunden.[7]

 

-      von 2023 bis 2025 wurde in Serbien die Spionagesoftware Pegasus gegen Journalist:innen, Umweltaktivist:innen und andere Personen wiederholt eingesetzt.[8]

 

Das sind nur ein paar der bekannt gewordenen Skandale rund um den Einsatz von Überwachungs-Software, die zeigen: Der Missbrauch ist Überwachungssystemen immanent.

 

2.    Technische Machbarkeit nicht gegeben

 

In § 15a Abs 3 des Ministerialentwurfs wird geregelt, dass eine Bewilligung nur in jenem Umfang und für jenen künftigen Zeitraum erteilt werden darf, der zur Erfüllung der Aufgabe voraussichtlich erforderlich ist.

 

§ 15b Abs 1 regelt weiters:

§ 15b. (1) Bei der Durchführung einer Ermittlungsmaßnahme gemäß § 11 Abs. 1 Z 9 ist technisch sicherzustellen, dass

           1. ausschließlich innerhalb des Bewilligungsumfangs und -zeitraums (§ 15a Abs. 3) gesendete, übermittelte oder empfangene Nachrichten überwacht werden können,

           2. an dem zu überwachenden Computersystem nur Veränderungen vorgenommen werden, die für die Nachrichtenüberwachung unerlässlich sind, und

           3. das eingebrachte Programm nach Beendigung der Ermittlungsmaßnahme entfernt oder funktionsunfähig wird.

 

Insofern deckt sich der Entwurf mit jenem aus August 2024, zu dem es bereits eine Begutachtung gab. In diesem Begutachtungsprozess gab es klare Stellungnahmen von Expert:innen, die offenlegten, dass derartige Beschränkungen technisch nicht umsetzbar sind.

 

So wird in der Stellungnahme des Instituts für Netzwerke und Sicherheit und des Instituts für Strafrechtswissenschaften an der Johannes Kepler Universität Linz festgehalten, dass es „zutiefst unrealistisch“ sei, dass diese Vorgaben kontrollierbar gehalten werden könnten. Konkret wird ausgeführt: „Aufgrund der erwähnten Komplexität zur Einbringung des Trojaners und Durchführung der Überwachungsmaßnahmen ist unwahrscheinlich, dass die entsprechenden Filter direkt im eingebrachten Programm implementiert werden. Die realistische Variante ist eine Exfiltration bzw. Ausleitung aller Daten der betroffen Ziel-Anwendungen (z.B. Messenger-Dienste), um diese dann am Auswertungssystem entsprechend filtern zu können.“[9]

 

Auch auf der Website des österreichischen nationalen CERT (Computer Emergency Response Team) wird ausgeführt wird, dass die technischen Lösungen verschiedenster Anbieter kommerzieller Spyware (auf die wohl zurückgegriffen werden würde, siehe auch Punkt 3) allesamt nicht dafür ausgelegt sind, nur bestimmte Applikationen zu überwachen. Dasselbe gilt für die Anforderung, dass nur Nachrichten innerhalb eines in einer Anordnung festgesetzten Beobachtungszeitraumes überwacht werden dürfen. Auf cert.at wird festgehalten: „Die Kompromittierung eines Endgerätes mit kommerzieller Spyware bedeutet immer, dass die Privatsphäre der betroffenen Personen vollständig kompromittiert ist.“[10]

 

Auch dass das Programm nach Beendigung der Überwachung entfernt oder funktionsunfähig wird, ist aus technischer Sicht nicht anzunehmen. So hält die TU Wien fest: „Die Installation einer solchen Software ist in Systemen mit heute üblicher technischer Komplexität nicht reversibel verwirklichbar.“[11]

 

3.    Woher kommt die Software?

 

§ 11 Abs 1 Z 9 spricht sehr kursorisch vom „Einbringen eines Programms in ein Computersystem (§ 74 Abs. 1 Z 8 StGB) eines Betroffenen […] unter Einsatz technischer Mittel“.

 

Diese völlig unbestimmte Formulierung lässt offen, wie dieses „Einbringen“ tatsächlich erfolgen soll. Voraussetzung wäre eine vorsätzliche Umgehung von Betriebssystem-Sicherheitsmaßnahmen, die ja gerade darauf abzielen, Endgeräte vor Zugriffen von außen zu schützen. Das bedeutet, dass sowohl beim „Einbringen“ als auch beim Betrieb der Überwachungsmaßnahmen (noch) offene Sicherheitslücken aktiv ausgenützt werden müssten. Da es sich hier um ein sich ständig veränderndes System handelt, ist die Komplexität so eines Angriffs gegen Sicherheitsmaßnahmen sehr hoch.

 

Insofern ist es völlig unwahrscheinlich, dass österreichische Sicherheitsbehörden die Ressourcen haben, um selbst die sich stetig ändernden Sicherheitslücken zu identifizieren. Vielmehr wird hier ein Zukauf existierender Spyware erfolgen. Derartige Spyware sieht aber wiederum keine Beschränkungen vor, wie sie das Gesetz in seinen §§ 15a und 15b regelt bzw würde man sich dann auf freundliche „Zusicherungen“ von Spyware-Herstellern verlassen müssen. Nicht zuletzt wäre der Einsatz so einer zugekauften Spyware auch aus datenschutzrechtlicher Sicht in höchstem Maß bedenklich und würde den in Sonntagsreden propagierten Plänen, eine digitale Souveränität herzustellen, diametral zuwiderlaufen.

 

Generell widerspricht der Zukauf von Spyware auch den allgemeinen Zielen, die IT-Sicherheit zu stärken. Im soeben präsentierten Deloitte Cyber Security Report 2025 zeigt sich, dass Cyber-Angreifer immer aggressiver und erfolgreicher werden.[12] Bestehende Sicherheitslücken sind somit ein enormes Sicherheitsrisiko – und keine Anstrengungen zu unternehmen, sie zu schließen ist ein klarer Widerspruch zu den Anforderungen der NIS2-Richtlinie.[13]  So wird Kriminalitätsbekämpfung zur Kriminalitätsbeförderung.

 

4.    Problematisches Ausnützen von Sicherheitsschwachstellen

 

Schon zum Bundestrojaner 1 hat der Fakultätsrat der TU Wien festgehalten, dass die Ausnutzung von Sicherheitsschwachstellen am Zielsystem den Staat in einen Interessenkonflikt bringt: „Der Staat muss als Folge dieses Gesetzes an der Geheimhaltung der Sicherheits-Schwachstellen in Computersystemen interessiert sein, während er gleichzeitig, beispielsweise in der »Österreichischen Strategie für Cyber Sicherheit«, explizit ein gegenteiliges Interesse verfolgt.“[14]

 

Auch im neuen Bundestrojaner-Entwurf stellt sich dasselbe Problem. Grundsätzlich trifft den Staat eine Schutzpflicht: Sowohl Art 8 EMRK als auch Art 10a StGG verpflichten den Staat, die Unverletzlichkeit der Individualkommunikation gegen Gefahren zu schützen.

 

Das bewusste In-Kauf-Nehmen von Sicherheitslücken, ohne die eine Überwachung im Rahmen eines Bundestrojaners unmöglich wäre, steht in diametralem Widerspruch zu dieser positiven Schutzpflicht.

 

Derartige Sicherheitslücken existieren nicht nur in den Endgeräten Verdächtiger sondern in den Endgeräten aller Bürger:innen, in den Endgeräten von Unternehmen, Gebietskörperschaften und öffentlichen Einrichtungen.

 

Und: Derartige Sicherheitslücken werden auch nicht nur von Staatsschutz und Nachrichtendienst zur Terrorbekämpfung genutzt – sie sind ein Einfallstor für Kriminelle.

 

 

 

5.    Mangelnder Rechtsschutz

 

Schließlich stellt sich – auch in Anbetracht der unzähligen Spyware-Skandale – die Frage: Wer überwacht die Überwacher und wie soll ein Missbrauch verhindert werden? Auch darauf liefert der vorliegende Gesetzesentwurf nur unzureichende Antworten und jedenfalls keinen ausreichenden Rechtsschutz.

 

In § 14 Abs 6 SNG wird geregelt, der Bundesminister für Inneres hat vor der erstmaligen Inbetriebnahme eines Programms zur Überwachung von Nachrichten und Informationen, die verschlüsselt gesendet, übermittelt oder empfangen werden, „dem Rechtsschutzbeauftragten Gelegenheit zur Äußerung, ob das Programm den Anforderungen gemäß § 15b Abs. 1 entspricht, binnen zwei Wochen zu geben. Der tatsächliche Einsatz des Programms darf erst nach Ablauf dieser Frist oder Vorliegen einer entsprechenden Äußerung des Rechtsschutzbeauftragten erfolgen.“

 

Der Rechtsschutzbeauftragte im Innenministerium ist ein Jurist. Dieser Jurist wird somit mit der technischen Beurteilung einer Software beauftragt, die enorm hohe Komplexität aufweist und deren Hersteller mit Sicherheit die volle Funktionsweise nicht offenlegen wird. Tatsächlich ist so eine Spyware im ständigen Schlagabtausch von Ausnutzung von Sicherheitslücken und deren Behebung unablässigen Änderungen unterworfen. Eine Vorab-Kontrolle könnte somit – selbst bei hinreichender technischer Versiertheit – immer nur für den Moment und keinesfalls als dauerhafte „Zertifizierung“ gelten.

 

Äußert sich der Rechtsschutzbeauftragte nicht binnen 14 Tagen, so geht die Software auch ohne dessen Freigabe in Betrieb.

 

Doch nicht nur an dieser initialen Freigabe krankt der Rechtsschutz. Auch während einer laufenden Überwachung wird der Rechtsschutzbeauftragte die technischen Gegebenheiten des Zugriffs und das technische Missbrauchspotenzial kaum beurteilen können. Das Wesen derartiger Spyware-Produkte ist, dass sie ihre Funktionsweise ja gerade nicht offenlegen.

 

Schon im von ÖVP und FPÖ beschlossenen Bundestrojaner war dieser mangelhafte Rechtsschutz eines der Hauptargumente des VfGH für die Aufhebung. Der VfGH hat in seiner Bundestrojaner-Entscheidung ausgeführt: „In Anbetracht der Intensität des Eingriffes in die Privatsphäre sämtlicher von einer Überwachung nach § 135a StPO betroffener Personen ist es unter dem Blickwinkel des Art 8 EMRK geboten, dass der Gesetzgeber eine begleitende, effektive – mit entsprechenden technischen Mitteln und personellen Ressourcen ausgestattete – und unabhängige Aufsicht über die laufende Durchführung der Maßnahme (durch einen Richter oder eine mit gleichwertigen Unabhängigkeitsgarantien ausgestattete Stelle) in jedem Fall sicherstellt.“

 

Wie schon beim Bundestrojaner 1 wird auch beim neuen Bundestrojaner der Rechtsschutz nicht hinreichend gewährleistet.

 

Somit gilt noch immer die Entscheidung des VfGH, dass eine solche Überwachung dem Grundrecht auf Privatsphäre widerspricht (VfGH 11.12.2019, G72/2019 ua)[15]. 

 

6.    Verfassungswidrigkeit des Entwurfs

 

Der vorliegende Gesetzesentwurf ist somit aus mehreren Gründen verfassungswidrig:

-      Der Entwurf baut darauf auf, dass der Staat bestehende Sicherheitslücken aktiv nutzt. Damit steht ein staatliches Interesse am Bestehen von Sicherheits-Schwachstellen in Computersystemen in diametralem Widerspruch zu einem staatlichen Auftrag, Netz- und Informationssystemsicherheit, aber auch die Privatsphäre seiner Bürger:innen zu schützen. Diese Verletzung positiver Schutzpflichten nach Art 8 EMRK, aber auch Art 10a StGG führt zur Verfassungswidrigkeit.

-      Die behaupteten Beschränkungen der Überwachung nur auf Messenger-Kommunikation während des Überwachungszeitraums sind technisch nicht umsetzbar. Zudem ist die Installation der Spionage-Software nicht reversibel verwirklichbar.[16]

-      Der Rechtsschutz ist nicht hinreichend gewährleistet – das betrifft sowohl die einmalige, nicht zwingende Vorab-Freigabe einer Spionage-Software als auch den Rechtsschutz, insbesondere vor und während der Überwachung.

 

7.    Fazit

 

Der neue Gesetzesentwurf entspricht über weite Teile dem ihm zugrunde liegenden Ministerialentwurf 350/ME XXVII.GP, der bereits in Begutachtung war. Die Stellungnahmen zu diesem Entwurf waren vernichtend:

 

Technisch unausgereift bis technisch unmöglich, ein enormes Sicherheitsrisiko für unbescholtene Bürger:innen, Unternehmen und staatliche Institutionen, verfassungswidrig. Verwiesen wird auf die zahlreichen Stellungnahmen, von Universitäten, aber auch vom Rechtsanwaltskammertag, ÖGB, Bürgerrechtsorganisationen und der Vereinigung österreichischer Richterinnen und Richter, die die Ansicht der Grünen, dass hier massive Bedenken und klare Sicherheitsrisken bestehen, bestätigen.[17]

 

Diese Stellungnahmen – insbesondere jene, die die technischen Risken und Schwachstellen thematisieren – betreffen den neuen Gesetzesentwurf genauso wie den vorherigen.

 

Die unterfertigenden Abgeordneten stellen daher folgenden

 

 

ENTSCHLIESSUNGSANTRAG

 

 

Der Nationalrat wolle beschließen:

 

„Die österreichische Bundesregierung wird aufgefordert, die Pläne einer Überwachung von Messenger-Diensten umgehend einzustellen und Maßnahmen zu ergreifen, damit österreichische Staatsbürger:innen nicht Opfer von Spionage-Software werden. Weiters wird die österreichische Bundesregierung aufgefordert, sinnvolle Maßnahmen zur Terrorbekämpfung zu erarbeiten. Schließlich wird die österreichische Bundesregierung aufgefordert, sich auf europäischer Ebene für ein Verbot von Spionage-Software einzusetzen und aktiv auf europäischer Ebene für den Schutz der digitalen Sicherheit, Kommunikation und Infrastruktur einzutreten.“

 

 

In formeller Hinsicht wird die Zuweisung an den Ausschuss für Wissenschaft, Forschung und Digitalisierung vorgeschlagen.