Absichtliche Lücken
Gruss ist Teil einer Forschungsgruppe, die Sicherheitslücken in Computersystemen ausfindig macht und sie den Herstellern meldet, damit diese sie schließen können. Etwa durch Software-Updates, die jeder, der ein Smartphone oder einen PC hat, regelmäßig durchführen sollte.
Nun gibt es aber nicht nur IT-Leute wie Gruss, die Lücken im Interesse der Allgemeinheit melden, sondern auch IT-Leute, die man gemeinhin „Hacker“ nennt – und die ihr Wissen verkaufen. Ein lukratives, globales Geschäft. Für das Auffinden einer Lücke bei Android (das weltweit am häufigsten genutzte Smartphone-Betriebssystem) bieten Unternehmen, die sich auf den Kauf und Verkauf von Sicherheitslücken spezialisieren, bis zu 2,5 Millionen US-Dollar – am Schwarzmarkt auch mehr, sagt Gruss.
Wenn ÖVP-Innenminister Gerhard Karner nun sagt, die Exekutive brauche „Instrumente“, um verschlüsselte Kommunikation von Terroristen und verfassungsfeindlichen Gruppierungen überwachen zu können, dann würde das laut dem IT-Experten so aussehen:
Österreich würde einmalig eine Software kaufen, die aber ständig mit neuen Sicherheitslücken versorgt werden muss, damit sie weiter verwendet werden kann.
Das könnte auf Dauer teuer werden, wirft laut Gruss aber auch eine ethische Frage auf – können diese Lücken, solange sie offen sind, doch auch von Kriminellen genutzt werden. „Ist es aus Sicht des österreichischen Staates ok, eine Lücke, die potenziell neun Millionen Bürgern schaden könnte, zu kennen und nicht zu beheben, weil der Verfassungsschutz sie vielleicht brauchen könnte, um im Jahr 20 bis 30 Gefährder zu überwachen?“
Ganz abgesehen davon, dass Österreich das Wissen um die Sicherheitslücken wohl von Unternehmen am Rande des Schwarzmarkts kaufen und ein System unterstützen würde, das in autoritären Staaten genutzt wird, um Aktivisten und Journalisten auszuspähen.
Zur Erinnerung: Gruss ist kein Datenaktivist. Er ist Wissenschafter.
Aktivisten & Journalisten
Offen ist die Frage nach der Software. Sofern der Staat nicht selbst in der Lage ist, eine zu entwickeln, gebe es laut Gruss weltweit nur einige wenige Anbieter. Mehrere europäische mussten schließen oder wurden insolvent.
Die bekannteste Spyware kommt aus Israel: Pegasus kann Daten absaugen und platzieren, Mikrofon und Kamera aktivieren und alles live mitverfolgen. Aufs Handy gelangen kann es per eMail oder Nachricht in einem Messenger. Bei teureren Varianten reicht es schon, wenn die Nachricht ankommt – der Empfänger muss nicht einmal draufklicken.
In Spanien wurde die Spyware 2022 auf den Handys des Regierungschefs, des Innenministers und der Verteidigungsministerin entdeckt. In Deutschland soll Pegasus genutzt worden sein, um ein Reichsbürger-Netzwerk auszuspähen. Das Bundeskriminalamt äußerte sich nach Medienanfragen nicht dazu – aus „einsatztaktischen Gründen“.
Nun sagt ÖVP-Innenminister Karner, dass im österreichischen Modell nur Nachrichten abgefangen werden sollen. Auch da muss Gruss enttäuschen: „Natürlich kann man das in ein Gesetz schreiben, aber prinzipiell kann eine solche Software alles. Und wer kontrolliert, dass nur der gerichtlich genehmigte Teil ausgelesen wurde?“
Der digitale Trojaner kann spurlos gelöscht werden, als wäre er nie da gewesen. Von Troja blieben den Geschichtsforschern wenigstens Ruinen.