Die Überwachungspläne der Regierung und ihre IT-Schwachstellen
Innenminister Herbert Kickl (FPÖ) nannte es das „Papier der Grässlichkeiten“, „DDR 4.0“ oder eine „gefährliche Drohung“. Ein halbes Jahr später sitzt Kickl nicht mehr auf der Oppositionsbank, sondern ist als Innenminister für die staatliche Überwachung ressortzuständig und verkauft das sogenannte „Sicherheitspaket“ als „Firewall“ für die Bürger – als eine Art „Schutzschirm“ über die gesamte Republik.
Die rot-schwarze Regierung hatte das Paket mit weitreichenden Überwachungsmaßnahmen vergangenes Jahr ausgearbeitet; die ÖVP wollte es im Schnelldurchgang umsetzen, scheiterte aber letztlich am Widerstand der SPÖ. Auch die FPÖ sprach sich vehement dagegen aus. Nachdem das an einigen Stellen leicht überarbeitete „Sicherheitspaket“ am vergangenen Mittwoch im Ministerrat beschlossen wurde, sagte Kickl: „Ich glaube, es ist nichts Verbotenes, gescheiter zu werden.“
Das größte Überwachungspaket der Zweiten Republik nach einer Woche der IT-Pannen im Innenministerium (BMI) zu verkünden, erscheint verwegen. Im Zuge der Volksbegehren war es tagelang zu Systemabstürzen und langen Wartezeiten gekommen. Zuerst sprach man von Server-Pannen, später von Problemen beim Zentralen Wählerregister aufgrund der hohen Zugriffsraten (allein das Rauchverbot-Volksbegehren wurde bis Ende der Woche mehr als 315.000 Mal unterschrieben). Kickl sagte, er wisse nicht, worin das Problem bestehe. Eine Kommission kümmere sich nun darum.
Die Hüter der sensibelsten Daten des Landes hatten von Anfang an keinen allzu großen Vertrauensvorschuss.
Aber auch in grundlegenden Sicherheitsfragen hat das BMI Nachholbedarf. Bis vergangenen Freitag konnte ihre Website nicht über ein verschlüsseltes „https“-Protokoll abgerufen werden. Eine sichere Verbindung, um Nutzer vor Lauschangriffen und Manipulation zu schützen, sollte für die Behörde selbstverständlich sein. „Das einzurichten geht auch kostengünstig und vergleichsweise einfach“, sagt IT-Experte Otmar Lendl von CERT.at (Computer Emergency Response Team).
In den sozialen Medien steigt die Sorge der Bürger über die EDV-Kompetenz des Ministeriums. Die Hüter der sensibelsten Daten des Landes hatten von Anfang an keinen allzu großen Vertrauensvorschuss. Schon bei der Bekanntgabe der Minister wurden kritische Stimmen laut, weil mit dem Innen- und Verteidigungsministerium zwei neuralgische Ressorts mit direktem Zugriff auf Verfassungsschutzdaten, auf alle Nachrichtendienste, Melde-, Fremdenrechts-, Personenstands- und Polizeiregister in FPÖ-Hand sind. Selbst der sonst übervorsichtige Ex-Bundespräsident Heinz Fischer äußerte Anfang Jänner im profil-Interview Bedenken: „Wenn die FPÖ über brisante geheime Daten verfügte, wurden solche in der politischen Auseinandersetzung auch verwendet. Das betraf vertrauliche Aktenstücke, aber auch gelegentlich Daten aus dem Elektronischen Kriminalpolizeilichen Informationssystem (EKIS).“
Beim Thema sicherer IT-Betrieb erlebe ich leider auch bei Behörden zu oft ungläubiges Staunen (Arge Daten-Obmann Hans Zege)
Für die IT-Probleme im BMI zeigt Otmar Lendl jedoch Verständnis. CERT.at beobachtet die IT-Sicherheit in Österreich, gibt Warnungen an betroffene Stellen weiter und arbeitet eng mit den Behörden zusammen. Genauen Einblick in das EDV-System des BMI hat zwar auch Lendl nicht. „Wenn es aber darum geht, sensible Daten wie das Melderegister in einem Netzwerk bereitzustellen, kann man aufgrund von Sicherheitsanforderungen nicht einfach auf externe Cloud-Lösungen zurückgreifen. Hier Optimierungen vorzunehmen, kann sehr komplex sein“, sagt er. Die Sicherheit der Daten sei durch die IT-Probleme jedenfalls nicht gefährdet gewesen. „Die meisten Leute, mit denen ich in den Behörden zu tun habe, wissen, was sie tun, und sind im Begriff, das System sicher zu machen“, sagt Lendl: „In manchen Bereichen ist es aber bestimmt zu wenig.“ Mit dem derzeitigen Budget sei es nicht machbar, immer und überall komplett geschützt zu sein. „Es hat Vorfälle gegeben – und es wird wieder welche geben.“
Details über Hackerangriffe gibt Lendl nicht preis.
Den Stand der IT-Sicherheit in der Verwaltung sieht „Arge Daten“-Obmann Hans Zeger, der im Datenschutzrat und im Informationsbeirat des Bundeskanzleramts saß, deutlich kritischer: „Beim Thema sicherer IT-Betrieb erlebe ich leider auch bei Behörden zu oft ungläubiges Staunen.“ Das BMI sehe beim Betrieb der eigenen Systeme „recht alt aus“ und sei auch im Kampf gegen Cyberattacken „ziemlich erfolglos“. „Nach der Sicherheitskonferenz in München verkündete der Generalsekretär im Innenministerium, dass sich staatliche Stellen mit regelmäßigen Sicherheitsupdates gegen 95 Prozent der Angriffe auf die IT-Infrastruktur absichern könnten. Da wäre mir glatt die Rührung gekommen, wäre das Thema nicht so ernst“, ätzt Zeger: „Ich habe mich in die beschauliche EDV-Administrationszeit vor 25 Jahren zurückversetzt gefühlt.“ Sicherheitsupdates allein seien nicht ausreichend, sagt der Datenschutzexperte. Gegen sogenannte Zero-Day-Attacken etwa (Hackerangriffe, die unbekannte Schwachstellen in Software-Programmen ausnutzen und für Hochsicherheitsbereiche besonders gefährlich sind) „helfen Updates nichts“.
Trotzdem will die Regierung das Überwachungspaket so schnell wie möglich auf den Weg bringen – und zwar ohne weitere Begutachtung. Datenschützer, Rechtsanwaltskammer und Opposition sind alarmiert: Eine so heikle Materie überfallsartig zu beschließen, sei demokratiepolitisch äußerst bedenklich. Tritt das Gesetz in Kraft, wird es das Land grundlegend verändern: Geplant sind eine Ausweitung der Video- und Tonüberwachung im öffentlichen Raum, Registrierungspflicht für Wertkartenhandys und eine Lockerung des Briefgeheimnisses. Statt der vom EuGH aufgehobenen Vorratsdatenspeicherung soll eine anlassbezogene Datenspeicherung in Verdachtsfällen kommen, die es ermöglicht, Kommunikationsdaten bis zu zwölf Monate zu speichern. Datenschützer bezeichnen dies als „Vorratsdatenspeicherung durch die Hintertür“. Kernstück des Sicherheitspakets ist der sogenannte Bundestrojaner – eine Spionagesoftware, mit der sich Ermittler geheim auf einem digitalen Gerät einnisten und etwa verschlüsselte Nachrichten auf WhatsApp auslesen können. In Deutschland ist eine solche Software bereits im Einsatz – allerdings ist dies höchst umstritten.
Einer der zentralen Kritikpunkte: Der Staat nutzt Sicherheitslücken digitaler Geräte, um sich einzunisten.
Kickl erklärte, das „Sicherheitspaket“ sei zum einen im Kampf gegen schwere Kriminalität und staatsfeindlichen Terrorismus notwendig und zum anderen, um das „subjektive Sicherheitsgefühl“ zu stärken. Neben dem Kampf gegen Terror hat die Bundesregierung den Ausbau der „Cyber-Sicherheit“ zu einem ihrer obersten Ziele erklärt. Es soll auch ein Schwerpunktthema bei Österreichs EU-Ratsvorsitz sein. Im Bereich der Cyberkriminalität wird es laut der Generaldirektorin für die Öffentliche Sicherheit, Michaela Kardeis, die „einzigen negative Ausreißer“ in der Kriminalstatistik 2017 geben: „Die Zahl der Strafanzeigen sinkt, die Aufklärungsquote steigt.“ Damit steht die Regierung vor einem Dilemma, denn gerade das Kernstück des Sicherheitspakets, der Einsatz eines Bundestrojaners, droht das Ziel einer sicheren IT-Infrastruktur zu konterkarieren.
Einer der zentralen Kritikpunkte: Der Staat nutzt Sicherheitslücken digitaler Geräte, um sich einzunisten. Die Behörden lassen diese Lücken absichtlich offen, anstatt sie zu melden und für die Sicherheit ihrer Bürger zu sorgen. „Gleichzeitig sollen die Bürger aber online die Handysignatur nützen“, sagt Andreas Krisch, Geschäftsführer der Datenschutzagentur. Die Lücken müsse der Staat außerdem auf einem „grauen Markt“ einkaufen, dabei befinde er sich auch im Wettbewerb mit Kriminellen. „Dort werden Leute befeuert, entdeckte Lücken nicht zu schließen, sondern an den Meistbietenden zu verkaufen.“
„Sicherheitssysteme bewusst so zu schwächen, dass nur ‚die Guten‘ die Lücken nutzen können, funktioniert nicht“, sagt IT-Experte Lendl. Jeder Staat müsse für sich entscheiden, welches Ziel Priorität hat: die Schaffung einer sicheren Infrastruktur, damit Bürger und Firmen vertraulich kommunizieren können, oder Überwachung zur Verhinderung und Aufklärung von Verbrechen. „Beide Ziele voll zu erfüllen, geht schlicht nicht.“