So lauteten nämlich die Bedenken des Datenschutzexperten Thomas Lohninger von epicenter.works. "Der Staat hält bewusst Sicherheitslücken offen", kritisierte er bei der Veranstaltung des Verbandes der Internet Service Provider (ISPA). Denn damit Gefährder im Einzelfall überwacht werden können, müsse der Staat auf Sicherheitslücken zugreifen. Das Wissen über solche Lücken müsste zuvor teuer zugekauft werden, am Schwarzmarkt würden für entsprechende Lücken sechs- oder gar siebenstellige Summen bezahlt werden, auch von Staaten. "Hier wird Steuergeld investiert, in die massive Unsicherheit der Bevölkerung." Diese Lücken könnte man auch den Herstellern melden, damit diese geschlossen werden. "Ein Bundestrojaner ist daher auch immer eine Massengefährdung", so Lohninger.
Haijawi-Pirchner: "Die Sicherheitslücken bestehen"
"Am Schwarzmarkt werden wir uns als Staat nicht beteiligen", stellte Haijawi-Pirchner klar. Auch sonst verwehrte er sich der Kritik, man gefährde dadurch die Gesamtbevölkerung: "Wir gefährden dadurch niemanden, weil diese Sicherheitslücken ja bestehen. Wir machen keine Sicherheitslücken". Bisher habe man lediglich mit "hochseriösen" Anbietern für die technische Umsetzung der Überwachungssoftware gesprochen, versicherte er. Einmal mehr betonte er auch, dass diese in maximal 30 Fällen pro Jahr zum Einsatz kommen soll. "Die DSN (Direktion Staatsschutz Nachrichtendienst) steht für den Datenschutz. Aber der Datenschutz kann nicht wichtiger sein, als das Leben einzelner Menschen".
Im konkreten Fall rund um einen mutmaßlich geplanten Anschlag auf das Konzert von Taylor Swift im Wiener Ernst-Happel-Stadion vor etwas mehr als einem Jahr bekam die Behörde bekanntlich Warnungen aus dem Ausland. "Ja es stimmt, dass wir auf Infos ausländischer Dienste angewiesen sind. Aber nicht nur wir." Auch andere Staaten seien auf Kooperationen angewiesen. Heute sehe man, dass es im Vorfeld des Konzerts "umfangreiche Absprachen zur Ermordung Tausender" gegeben habe, das würden die immer noch laufenden Auswertungen zeigen, wusste man damals aber noch nicht. "Einen Einzelnen zu überwachen, bedeutet keine zusätzliche Gefahr", plädierte er für mehr Befugnisse.
Können ausländische Dienste mitlesen?
Dem widersprach auch René Mayrhofer vom Institut für Netzwerke und Sicherheit an der Linzer JKU. Dass Sicherheitslücken nur von gewissen Geheimdiensten ausgenützt würden, sei eine "legistische Illusion". Diese offen zu halten führe demnach dazu, "dass alle Handys offen für Angreifer sind." Außerdem stelle sich ihm die Frage, wie man bei der Software garantieren wolle, dass nicht auch ausländische Dienste mitlesen. Oft würden sich Extremisten, ob Islamisten oder Rechtsextreme, aber auch in Großgruppen auf Messenger-Diensten austauschen. In diesen Fällen brauche man gar keine Überwachungssoftware, sondern müsse lediglich einen Account in die Gruppe einschleusen.
Klar sei jedenfalls: Auch mutmaßliche Täter wissen um die momentane Lage. "Wir sehen in Strafverfahren: irgendwann sagt Täter A zu Täter B: 'Wechseln wir auf eine verschlüsselte Software'", betonte Thomas Korntheuer von der Vereinigung österreichischer Staatsanwältinnen und Staatsanwälte. "Wo liegt der Unterschied?", fragt er sich, da es derzeit den Behörden möglich sei, bei SMS mitzulesen und Anrufe über das Telefonnetz mitzuhören, nicht aber bei Nachrichten oder Anrufen über einen Messenger-Dienst.
Regierung einigte sich im Sommer
Die ÖVP/SPÖ/NEOS-Bundesregierung einigte sich Anfang des Sommers auf die Gefährder-Überwachung im Anlassfall. Dem zuvor gegangen waren lange Verhandlungen. Es ist dies nicht der erste Anlauf für eine Messenger-Überwachung. Die von der damaligen türkis-blauen Regierung geplante Überwachung von Computersystemen per "Bundestrojaner" hatte der Verfassungsgerichtshof (VfGH) Ende 2019 noch vor Inkrafttreten gekippt. Tatsächlich zum Einsatz kommen soll die Software ab 2027, sofern der VfGH diesmal nichts dagegen hat.