Informatik, TU Wien

Stellungnahme des Fakultätsrats

Zum Entwurf des Bundesgesetzes, mit dem die Strafprozessordnung 1975 und das Staatsanwaltschaftsgesetz geändert werden

Die Stellungnahme basiert auf einem mehrheitlichen Beschluss des Fakultätsrats vom 11.5.2016.
Der Fakultätsrat der Fakultät für Informatik der TU Wien bringt zum geplanten Bundesgesetz zur Änderung der Strafprozessordnung 1975 und des Staatsanwaltschaftsgesetzes folgende schwerwiegende Bedenken ein:

  1. Die in §136a (2) angeführte »Überwindung von spezifischen Sicherheitsvorkehrungen« setzt bei realistischer Betrachtung voraus, dass zur Einbringung der im Gesetzesentwurf beschriebenen Software Sicherheitsschwachstellen am Zielsystem ausgenutzt werden müssen. Damit bringt sich der Staat in mehrere Interessenskonflikte.

    - Der Staat muss als Folge dieses Gesetzes an der Geheimhaltung der Sicherheits-Schwachstellen in Computersystemen interessiert sein, während er gleichzeitig, beispielsweise in der »Österreichischen Strategie für Cyber Sicherheit«, explizit eingegenteiliges Interesse verfolgt.

    -Während davon auszugehen ist, dass selbst aktuell gehaltene und gut geschützte technische Systeme Schwachstellen besitzen, werden solche Schwachstellen üblicherweise über einen eigenen Markt vertrieben bzw. erworben. Ein im Rahmen der Anwendung dieses Gesetztes voraussichtlich notwendiger Erwerb von sogenannten »Zero-Day Exploits« – also Fehler in Computersystemen, für die es noch keine Reparatur gibt – auf einem solchen Markt bedeutet, dass nichtgesetzeskonforme Aktivitäten mit Steuergeldern direkt finanziert werden. Zum Schutz dieser Investition muss der Staat wiederum ein Interesse daran entwickeln, dass die dort erworbene Sicherheitslücke weder bekannt noch vom Hersteller behoben wird. Damit wird ein Risiko für alle Betreiber eines betroffenen Systems geschaffen.

    Dadurch entsteht schlussendlich eine Situation, in der der Staat, im Namen der Sicherheit, die Sicherheit seiner Bürger/innen gegenüber cyberkriminellen Angriffen de facto verringert.
     
  2. Die ephemere Natur digitaler Information macht es äußerst schwer, aus einem durch den vorliegenden Gesetzesentwurf ermöglichten Eingriff gewonnenes Wissen als faktischen Beweis anzusehen. Die Tatsache, dass es gelungen ist, die Überwachungssoftware in das System einzuspielen, kann ja bereits als Nachweis gesehen werden, dass dieses System als Quelle von Beweismaterial nicht mehr glaubwürdig ist.

    Zudem könnte von einem solcherart kompromittierten System gewonnene Informationen durch Dritte gefälscht worden sein, und gelten damit als zweifelhaftes Beweismittel. Zudem könnte ein derart unsicheres System könnte auch vorsätzlich manipuliert werden. So ist es vorstellbar, dass durch gezielte Manipulation eine Situation geschaffen wird, in der sich ein der Überwachung bewusster Krimineller durch geschickte Manipulation den Verdacht auf andere lenken kann, ohne dabei irgendwelche Spuren zu hinterlassen.
     
  3. §136a (3) Z. 2 schreibt vor, dass die Software nach Beendigung der Ermittlungsmaßnahme ohne dauerhafte Schädigung oder Beeinträchtigung des Computersystems entfernt werden kann. Aus unserer Sicht ist das in der Praxis unmöglich. Die Installation einer solchen Software ist in Systemen mit heute üblicher technischer Komplexität nicht reversibel verwirklichbar.

Aus den genannten Gründen spricht sich der Fakultätsrat der Fakultät für Informatik gegen diesen Gesetzesvorschlag aus.