Eingelangt am 03.10.2025
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.

Anfrage

 

der Abgeordneten Süleyman Zorba, Freundinnen und Freunde

an den Bundesminister für Inneres

betreffend Beschaffung von Spionagesoftware für Messenger-Überwachung

BEGRÜNDUNG

 

Im Juli hat die Bundesregierung aus ÖVP, SPÖ und NEOS mit einer Novellierung des Staatsschutz- und Nachrichtendienst-Gesetzes eine Messenger-Überwachung beschlossen.[1] Unbekannt ist dabei noch, welche Spionagesoftware für diesen Bundestrojaner Neu zum Einsatz kommen soll.

Gem § 11 Abs 1 Z 9 SNG neu soll die „Überwachung von Nachrichten und Informationen, die verschlüsselt gesendet, übermittelt oder empfangen werden, durch Einbringen eines Programms in ein Computersystem eines Betroffenen unter Einsatz technischer Mittel […]“ erfolgen. Dabei findet die Messenger-Überwachung nach dem neuen § 18 Abs 11 SNG „erst Anwendung, wenn die technischen Voraussetzungen nach § 15b Abs. 1 und 2 für den Einsatz des Programms gemäß §11 Abs.1 Z 9 vorliegen“, mit anderen Worten, wenn eine den gesetzlichen Vorgaben entsprechende Spionagesoftware beschafft wurde.

Da das Innenministerium nicht über die Ressourcen für die Programmierung derartiger Software verfügt, ist von einer Beschaffung von Drittunternehmen auszugehen. Dabei arbeiten Unternehmen, die derartige Spionagesoftware anbieten, mit zahlreichen, oft zwielichtigen Akteuren zusammen, oft auch mit autoritären Regimen, die deren Angebot zur Unterdrückung von kritischem Journalismus, Zivilbevölkerung und Opposition nutzen.

Vor diesem Hintergrund ist es wesentlich, detaillierte Informationen darüber zu erhalten, welche Anbieter in Betracht gezogen werden und welche Sicherheits- und Kontrollmechanismen geplant sind, um einen Missbrauch der Spionagesoftware zu verhindern.

Die unterfertigenden Abgeordneten stellen daher folgende

ANFRAGE

 

1)    Wie ist der Beschaffungsvorgang für das Programm iSd § 11 Abs 1 Z 9 SNG geplant?

a.    Gibt es eine Shortlist von Unternehmen, die kontaktiert werden? Wenn ja, welche Unternehmen werden hier angeführt?

b.    Werden externe Berater / Dienstleister für die Beschaffung eingesetzt?

                                  i.    Wenn ja, um welche Personen oder Unternehmen handelt es sich?

                                ii.    Wie hoch sind die dafür budgetierten Kosten?

                               iii.    Anhand welcher Kriterien wurden externe Berater / Dienstleister ausgewählt?

c.    Gibt es bereits konkrete Kontaktaufnahmen mit Anbietern?

 

2)    Wird es eine öffentliche europäische Ausschreibung geben oder läuft bereits eine Ausschreibung?

a.    Wenn ja, wo wurde die Ausschreibung veröffentlicht und wie lauten die konkreten Ausschreibungskriterien?

b.    Wenn nein, in welcher Form findet das Auswahlverfahren statt und wurde es bereits gestartet?

 

3)    Wer wird in die Erstellung der standardisierten Leistungsbeschreibung, die allgemeine Angaben hinsichtlich der Softwarearchitektur beinhalten soll, eingebunden?

a.    Welche Aspekte soll diese Leistungsbeschreibung beinhalten?

b.    Werden in die Erstellung der Leistungsbeschreibung externe Expert:innen aus Wissenschaft und Forschung eingebunden? Wenn ja, welche?

c.    Werden in die Erstellung der Leistungsbeschreibung Expert:innen der Privatwirtschaft eingebunden? Wenn ja, welche?

d.    Wann kann mit der Übermittlung der standardisierten Leistungsbeschreibung an den ständigen Unterausschuss des Ausschusses für innere Angelegenheiten gerechnet werden?

 

4)    Gem § 15b SNG ist technisch sicher zu stellen, dass 1. ausschließlich innerhalb des Bewilligungsumfangs und -zeitraums gesendete, übermittelte oder empfangene Nachrichten und Informationen aus den in der Bewilligung festgelegten Applikationen überwacht werden können, 2. an dem zu überwachenden Computersystem keine dauerhaften Beschädigungen eintreten und nur Veränderungen vorgenommen werden, die für die Nachrichtenüberwachung unerlässlich sind, und 3. das eingebrachte Programm nach Beendigung der Ermittlungsmaßnahme entfernt oder funktionsunfähig wird. Gibt es bereits konkrete Angebote, die diese Anforderungen erfüllen?

a.    Wenn ja, wer hat diese Angebote gestellt? Was wird diese Software und deren Wartung kosten?

b.    Gibt es zu den Beschränkungen des § 15b SNG konkrete Machbarkeits-Analysen?

                                  i.    Wenn ja, wer hat diese Analysen durchgeführt?

                                ii.    Wenn nein, warum nicht?

 

5)    Finden bereits Gespräche mit Anbietern statt?

a.    Wenn ja, wie wurden die Anbieter ermittelt und ausgewählt?

b.    Welche Anbieter wurden zur Legung von Angeboten eingeladen?

c.    Welchen Sicherheitskriterien und/oder Richtlinien unterliegen die eingeladenen Anbieter?

d.    Wie wird deren Hintergrund geprüft?

e.    Gibt es eine Eignungsprüfung?

f.     Wie sieht der Ablauf der Beschaffung konkret aus?

 

6)    Gibt es besondere Richtlinien oder dergleichen in Zusammenarbeit mit Unternehmen in diesem besonders grundrechtsrelevanten und sicherheitskritischen Bereich?

a.    Wenn ja, wie lauten diese Richtlinien?

                                  i.    Werden Verbindungen zu Russland, China, dem Iran überprüft?

                                ii.    Wie sieht eine Eignungsprüfung aus bzw welche Voraussetzungen muss ein Anbieter erfüllen?

                               iii.    Wird der Hintergrund von Anbietern überprüft?

                               iv.    Findet eine Sicherheitsüberprüfung gem. SPG statt?

b.    Wenn nein, warum nicht? Ist die Ausarbeitung derartiger Richtlinien geplant?

 

7)    Welche Mittel sind für die Beschaffung geplant?

a.    Mit welchen Kosten rechnen Sie für die Anschaffung der Software?

b.    Mit welchen Kosten rechnen Sie für den laufenden Betrieb?

c.    Mit welchen Wartungs-Kosten rechnen Sie?

d.    Mit welchen sonstigen Kosten rechnen Sie für externe politische oder branchenrelevante Beratung oder Vermittlung?

 

8)    Wird im Beschaffungsverfahren die Offenlegung des Quellcodes gefordert, um eine Vorab-Überprüfung gem § 14 Abs 6 SNG durch den Rechtsschutzbeauftragten zu ermöglichen?

a.    Wenn ja, wie ist die konkrete Qualifikation der Mitarbeiter:innen, die diese Überprüfung gem § 14 Abs 6 SNG durchführen werden?

                                  i.    Sofern diese Mitarbeiter:innen noch nicht angeworben wurden, wie lauten die Ausschreibungskriterien für diese Position?

b.    Wenn nein, warum nicht?

c.    Wie konkret soll die Überprüfung gem § 14 Abs 6 SNG erfolgen und durch welche Personen?

 

9)    Wie werden die Software und ihre Quellcodes für externe Prüfer:innen (z.B. Rechtsschutz- oder Datenschutzbeauftragte) nachvollziehbar gemacht?

 

10) Wird die Überprüfung gem § 14 Abs 6 SNG vor Vertragsabschluss durchgeführt, um Fehlkäufe zu vermeiden oder ist geplant, einen Vertrag unter auflösender oder aufschiebender Bedingung einer positiven Überprüfung gem § 14 Abs 6 SNG abzuschließen?

 

11) Welche Rechtsfolgen sind an den Fall eines negativen Ergebnisses der Überprüfung gem § 14 Abs 6 SNG geknüpft? Kann die Software dennoch zum Einsatz gebracht werden?

 

12) Wann liegen so tiefgreifende Software-Änderungen vor, dass von einer neuen Software zur Durchführung der Überwachung gem § 11 Abs 1 Z 9 auszugehen ist und somit eine erneute Überprüfung gem § 14 Abs 6 SNG durchgeführt werden muss?

 

13) Mit den Erfahrungswerten rund um die Überwachung von Journalist:innen, An-wält:innen und Oppositionellen durch die Spionage-Software Pegasus: Werden Sie besondere Vorkehrungen in einer zukünftigen Software verlangen, damit keine rechtswidrige Überwachung möglich ist?

 

14) Wie soll sichergestellt werden, dass Sicherheitslücken in Endgeräten, die für die Einbringung der Überwachungssoftware genutzt werden sollen, nicht von ausländischen Geheimdiensten, ausländischen Regierungen oder kriminellen Organisationen genutzt werden können? Schließlich regelt § 15b Abs 1 SNG: „Das eingebrachte Programm ist nach dem Stand der Technik gegen unbefugte Nutzung zu schützen“.

a.    Gibt es ein Software-Angebot, das hier eine technisch nachvollziehbare Lösung beinhaltet?

                                  i.    Wenn ja, wer hat dieses Angebot gestellt?

b.    Ist die angeführte Regelung des § 15b Abs 1 SNG betreffend den Schutz vor unbefugter Nutzung ein Knock-Out-Kriterium im Auswahl-Prozess?

                                  i.    Wenn ja, wie wird das überprüft?

 

15) Von welchen EU-Staaten wurden Erfahrungswerte mit Spionagesoftware eingeholt?

a.    Welche Erfahrungen wurden geteilt und als relevant für Österreich bewertet?

b.    Wie wurde mit Missbrauchsvorwürfen bzw. Missbrauchsfällen umgegangen?

 

16) Von welchen Ländern außerhalb der EU wurden Erfahrungsberichte über Spionagesoftware eingeholt?

a.    Welche Erfahrungen wurden dabei als relevant für Österreich bewertet?

b.    Wie wurde mit Missbrauchsvorwürfen bzw. Missbrauchsfällen umgegangen?

 

17) Gibt es Pläne oder Absprachen mit anderen EU-Staaten zur gemeinsamen Entwicklung von Spionagesoftware?

 

18) Wie viele Fälle sind Ihnen in Österreich bekannt, bei denen Bürger:innen oder Personen, die hier leben, mit Spionagesoftware ausgespäht wurden?