So kurz vor der geplanten Einführung der Messengerüberwachung und dem Fehlen jeglicher kritischer Auseinandersetzung damit im „veröffentlichten“ Raum ist es nun, so denke ich, an der Zeit für heterodoxe Aufklärungsarbeit. Das damit Evangelisten von „mehr Sicherheit durch digitale Überwachung“ und „technischen Kontrollvorgaben“ deshalb von ihrem Glauben abfallen wage ich zwar zu bezweifeln, vielleicht gelingt es aber, politische Entscheidungsträger aus ihrer mutmasslich unverschuldeten themenspezifischen Unmündigkeit zu erlösen.
Das in diesem Kontext auch die, für den „Pöbel“ als heilig zu geltende, DSGVO auf dem Altar der Digital-Evangelikalen geopfert werden soll, sei hier nur als Bonmot für diesen pseudo-religiösen Kult angeführt.
Ist der Staatstrojaner eine “Schadsoftware”?
Software, welche die sogenannte Messengerüberwachung ermöglichen soll, funktioniert nach dem selben Prinzip wie Schadsoftware (u.a. Trojaner, Ransomware, Wiper), sie ist ja auch eine. Als besonderes Feature kommt im Fall der geplanten Messengerüberwachung zudem ein sogenannter Rootkit zum Einsatz, welcher „gefinkelter“ agiert. Ein Rootkit macht sich selbst nämlich zum Teil des Betriebssystems. Man kann also möglicher Weise von einem staatlichen Einsatz von Schadsoftware (für den „Pöbel“ ein Cybercrime Delikt) in diesem Zusammenhang sprechen. Auch wenn im Markting-NLP-Sprech von den „Verantwortlichen“ mantraartig betont wird, dass nur auf ausgewählte Dateien oder Chat-Verläufe in bestimmten Apps, unter Einhaltung von „technischen Kontrollvorgaben“ und nur maximal 15mal pro Jahr zugegriffen werden soll, so will ich hier Aufklärung über die Funktionsweise und das Potential einer solchen Software anbieten.
Die Einfallstore für einen Staatstrojaner
Am Anfang war. „Der Schadcode“, welcher über verschiedene Angriffsvektoren/Einfallstore in das Gerät eingebracht werden kann. Und zwar durch:
- physischen Zugriff auf das Gerät.
- Remote Infektion als (Spear)Phishing-Angriff (Email, SMS) oder Drive-By-Infection beim Besuch einer
- Übertragung von bösartigen Datenpaketen über Kommunikationsschnittstellen WLAN, Bluetooth, #
- Gezieltes einbringen über eine App (da es sich um einen „staatlichen“ Einsatz des Bundes- Rootkits handelt, wäre eine Implementierung etwa in die ID-Austria App durchaus denkbar (im Sinne einer präventiven Maßnahme um bei „Bedarf“ staatlicherseits zugreifen zu können (etwa vor geplanten oder gemutmaßten Demonstrationen gegen die Regierung – siehe dazu letzter Absatz).
- Befehle/Programmcode in Textform via einer Email oder SMS an die KI (Künstliche Intelligenz) welche auf vielen Geräten bereits im Hintergrund läuft (u.a. Microsoft copilot, KI in Webbrowsern (z.B. bing) und Händys) und, weil es so praktisch ist eine Zusammenfassung liefert, den Textinhalt der Nachricht beim Eintreffen liest, den Code ausführt und die Nachricht daraufhin auch gleich löscht.
- Ultraschall-Angriffe (quasi Hundepfeife). Dokumentiert a. beim „Smarten Assistenten“ (Alexa). Dieser Vektor ist aber eher unwahrscheinlich und kommt somit auch Trägern von Smartwatches entgegen.
So kommt „der Geist aus Pandora’s Büchse“ und beginnt sein Werk mit der Infektion über einen oben beschriebenen Angriffsvektor sein Werk:
In einer App (Email, Signal, Webbrowser etc.) oder gleich direkt in das Betriebssystem (iOS, Android, Windows) durch „bösartige“ Netzwerkpakte. Es kommt zur Ausführung des Schadcodes mit Unterstützung des Users (anklicken eines Links, öffnen der Nachricht, ansehen eines Bildes oder Webseite etc., oder ohne User-Interaktion (z.B. bösartiges Bluetooth- oder WLAN-Datenpaket).
Der Schadcode läuft nun in der entsprechenden App (Email-Programm, news-app, chat- Programm, sms-app etc.) oder gleich als Teil des Betriebssystems. Die Apps auf mobilen Geräten laufen jedoch grundsätzlich in einer sog. „Sandbox“. Jede App sieht dadurch grundsätzlich nur sich selbst und kann normalerweise nur sehr eingeschränkt auf andere Systemressourcen zugreifen (Kontakte, Kamera, Fotos, Email etc., meist erst durch Freigabe einer entsprechenden Berechtigung durch den User), und dies mit eingeschränkten Rechten als User. Aber jede Software hat immer Fehler (Stichwort: permanente Updates!). Manche Fehler/Lücken werden bekannt und mit Patches geflickt, was durch eben diese ständigen Updates erfolgt.
Die Zero-Day-Exploits
Einige Lücke bleiben (für den Pöbel) unbekannt und werden durch bestimmte Akteure gehandelt bzw. genutzt. Man spricht dann von Zero-Days; bekanntester ist sicher Stuxnet oder notpetya.
Für diese Zero-Days wird spezieller Programmcode programmiert und dieser als Zero-Day-Exploit bezeichnet. Eingebaut in den Programmcode der Messengerüberwachungssoftware nützt dieser den nicht öffentlich bekannten Fehler im Programmcode der App aus, um aus dieser Sandbox auszubrechen und um sich mit den höchsten Rechten (Admin, Root) am Gerät auszustatten. Diese sogenannten Zero-Day-Exploits werden durch diverse Schutzprogramme (Antivirus etc.) nicht erkannt – sie sind der „Öffentlichkeit“ ja nicht bekannt – die Infektion erfolgt unerkannt. Es ist auch keine User-Interaktion notwendig – der User bekommt nichts mit.
Mittels dieser Admin-Rechte wird der eigentliche Spionagecode (Programm) nachgeladen und als Rootkit installiert – ebenfalls unerkannt durch User und eventuell vorhandene Schutzsoftware. Dieser Rootkit hat natürlich ebenfalls die höchsten Admin-Rechte und somit Zugriff auf ALLE Systemressourcen, er kann seine Arbeit beginnen. Diese speziellen Rootkits werden zur Cyberspionage/Cybercrime eingesetzt und oft auch als APT (Advanced Persistent Threat) bezeichnet wenn vermutet wird, dass sie von (halb)staatlichen Akteuren eingesetzt werden (siehe Cyberangriff auf das BMEIA im Jahr 2020). „Frameing“ ist eben alles.
Die für Österreich noch über geheime Ausschreibungen zu beschaffende Software soll so programmiert sein, dass sie nur auf Messengerdienste zugreift. Laut ÖVP Innenminister soll es so eine Software geben. Das BMI hält sich dazu bedeckt.
Was kann nun ein Rootkit
- Er kann alle Systembereiche, nach Vorgaben/Filtern Sowohl bereits gespeicherte als auch in Bewegung befindliche Daten (z.B. beim Tippen, Sprechen und vor der Verschlüsselung bzw. nach Entschlüsselung in einer entsprechenden App wie Signal, Threema, Telegram, WhatsApp (dieses Feature ermöglicht das eigentliche offizielle Ziel der Initiative zur Messengerüberwachung) etc.). Zudem auch Daten, welche der „normale“ User nicht sehen kann.
- Er kann alle oder selektiv per Filter gesammelten Daten vom Gerät über eine Datenverbindung ausleiten. Der Rootkit kann eine solche Verbindung jederzeit selbst herstellen, ohne das der User davon Kenntnis erlangt. WLAN, Bluetooth, NFC aktivieren oder den Flugmodus deaktivieren ohne Anzeige des entsprechenden
- Der Rootkit wartet auch auf weitere (Steuer)Befehle seiner „Meister“. Dieser Meister sollte grundsätzlich bei der hier Orts geplanten Messengerüberwachung nur das BMI sein. Bekannt gewordene Ereignisse beispielsweise aus Italien oder dem arabischen Raum mit Pegasus der NSO Group zeigen jedoch, dass der Hersteller der Spionagesoftware ebenfalls Aktionen als Administrator ausführen und Daten an seine eigenen Server ausleiten kann, ohne das der staatliche Anwender (das BMI) davon Kenntnis
- Ein Neustart des Geräts ändert nichts, da der Rootkit mit dem Betriebssystem und Admin- Rechten beim Systemstart automatisch wieder geladen und ausgeführt
- Ein entfernen der App, über welche sich der Rootkit ins Gerät geschlichen hat, ändert ebenfalls nichts – der Schadcode läuft nicht in der Sandbox der App, sondern auf der Ebene des
- Der Rootkit „überlebt“ höchstwahrscheinlich ein Rücksetzen auf Werkseinstellungen ein Update des Betriebssystems am Gerät.
Rechtliche Problemstellungen im Zusammenhang mit dem Evangelium der Messengerüberwachung
- der Rootkit durchforstet alle Daten am Gerät bevor er definierte Filter, in diesem Fall gesetzt mutmaßlich durch das BMI, darauf anwendet – muss ja so sein, sonst würde die Software ja nicht „wissen“, wo sie die „gesuchten“, per Filter durch das BMI definierten, Informationen findet. Somit könnte der Hersteller auch Daten einsehen und ausleiten welche durch die Behörde/BMI rechtlich nicht eingesehen werden dürfen (siehe Gesetzespaket zur Handyauswertung, Juni 2024), da der Hersteller ebenfalls Admin-Rechte mit Vollzugriff hat – unter Umständen sogar höhere als das BMI (das BMI ist eigentlich auch nur Anwender). Es erfolgt durch die Software eine „Online/Echtzeit-Durchsuchung“ des Geräts.
- ob es ein Logfile gibt, in welchem die gesetzten Aktivitäten und Aktionen durch die „Meister“ protokolliert werden um später in einem möglichen Verfahren als Dokumentation und Beleg eines rechtskonformen Einsatzes des Rootkits zu dienen ist nicht belegt. Zudem kann zumindest der Hersteller Einträge im Logbuch entfernen, einbringen oder auch Somit kann sich für das BMI ein Problem bei der Einhaltung der „technischen Kontrollvorgaben“ ergeben. Es ist dem Betreiber/ Hersteller möglich, nicht nur Daten auszuleiten, sondern auch Daten/Dateien auf ein Gerät aufzuspielen. So wäre es möglich, kompromittierendes Material (Dokumente, Fotos, Emails, Browserhistory etc.) zu unterschieben. Ebenfalls unerkannt, und durch Manipulation von Logfiles nicht nachvollziehbar, zum Nachteil des Eigentümers des Geräts.
- Es ist zudem nicht auszuschliessen, dass Artefakte/Rückstände des Rootkits zur Störung/ Zerstörung des Geräts führen können. Auch bei der Entfernung der Software durch den Betreiber selbst können Artefakte übrig leiben.
- Es ist dem BMI rechtlich und – vermutlich auch technisch – nicht möglich den Quellcode der Spionagesoftware selbst einzusehen (reverse engineering proprietärer Software) um die Funktionsweise zu überprüfen und damit die Einhaltung der, durch das BMI zugesicherten, „technischen Kontrollvorgaben“ auch zu gewährleisten. Das BMI muss den Angaben des Herstellers über die rechtskonforme Funktionalität blind vertrauen, also dem Marketing-Sprech.
- Da die DSGVO sicher auch für die geplante Messengerüberwachung gilt, ist vor Inbetriebnahme der Software eine Datenschutzfolgeabschätzung (durch den Datenschutzbeauftragten des BMI?) durchzuführen und die Implementierung von „technischen und organisatorischen Maßnahmen (TOM)“ zu gewährleisten. Diese Folgenabschätzung und die TOM werden aber praktischerweise erst nach erfolgtem Zuschlag nach einer „öffentlichen“ Ausschreibung erfolgen – eben nur für ein konkretes Produkt dessen Funktionsweise man selbst überprüft sollte. Eine Ausschreibung und späterer Zuschlag für den Ankauf eines konkreten Produktes wiederum ist erst nach in Kraft treten des entsprechenden Gesetzes zur Messengerüberwachung möglich.
- Die Funktionsweise entspricht einer Quellen-Telefon-Überwachung (bekannt als Qellen- TKÜ) welche bereits rechtlich in Ö geregelt ist.
- Wie sieht es eigentlich bei Geräten aus, die auf eine andere Person als den späteren Nutzer angemeldet sind oder wenn in der Familie der Zielperson das große Handytauschen beginnt? Ich denke, dass die vordergründig zu überwachende Klientel solche Maßnahmen zum Eigenschutz vornimmt bzw. die „falsche“ Person sicherheitspolizeilichen Zwangsmaßnahmen ausgeliefert wird. Wie soll der Rechtschutzbeauftragte des BMI dann die Einhaltung der „Rechte“ des Ausgespähten stellvertretend wahren? Damit wird aber der kommunizierte Grundgedanke der Messengerüberwachung ad absurdum geführt.
Wir sehen uns vor dem Verfassungsgerichtshof!
Sagt wer? Epicenter.Works
Zum Schluss ein Zitat von Jean-Claude Juncker:
„Wir beschließen etwas, stellen das dann in den Raum und warten einige Zeit ab, was passiert. Wenn es dann kein großes Geschrei gibt und keine Aufstände, weil die meisten gar nicht begreifen, was da beschlossen wurde, dann machen wir weiter –
Schritt für Schritt, bis es kein Zurück mehr gibt.“
(Quelle: https://beruhmte-zitate.de/autoren/jean-claude-juncker/)
Einfach zum Nachdenken
Es gibt bereits öffentlich kommunizierte „Ideen“, die Spionagesoftware der geplante „Messengerüberwachung“ auch bei „Kriminalfällen“ einzusetzen und es soll damit der DSN die Möglichkeit gegeben werden „Gefährder“ zu überwachen. Wie „Kriminalfälle“ im Zusammenhang mit dem Einsatz des Bundes-Rootkits letztendlich durch das BMI definiert werden und wer „Gefährder“ ist bleibt dem BMI überlassen.
So wie bei der Festlegung, welche Terrorwarnstufe gerade opportun ist, aber dieser Stufe keine gesetzliche Definition zugrunde liegt. Laut Verfassungschutzbericht 2024 wird das neue Phänomen des „heterodoxen Extremismus“ (VSB ´24, p.40f) durch die Behörde bereits bearbeitet. Personen, welche also eine andere Ansicht oder Meinung vertreten als die vorherrschende Lehre, der vorherrschende „Glaube“ oder das scheinbar vorherrschende veröffentlichte Narrativ vorgibt, sind also auch „Gefährder“ im Sinne des „Staatsschutzes“ und könnten somit zukünftig Ziel eines „staatlichen“ Spionageangriffs werden. Und sollte man sich nun zum Schluss auch noch fragen „ja wohin gelangen nun alle erspähten Daten?“, so kann man getrost davon ausgehen, dass beispielhaft die sehenden Steine ihr Tool aus der Stadt von Batman oder vielleicht – sogar mit dem Segen des Werk Gottes – auch eine „Traumhafte“ Sicherheit bereitwillig ihre Cyber-Alchemiebaukästen dafür zur Verfügung stellen werden.
Was kostet das Überwachungspaket?
Eine öffentlich vorliegende Kostenschätzung des Rechnungshofes sieht für 2025 – 2029 48 Millionen Euro und einen Personalaufwand von ca. 50 Personen DSN und Büro Rechtschutzbeauftragten vor. Die Überwachungssoftware wird mit 10 Millionen Euro und jährlichen Lizenzkosten von 2 Millionen Euro kalkuliert. Der beim Innenministerium anfallende Sachaufwand für die benötigte Hard- und Software wird in den Erläuterungen – unter Hinweis auf die im hochsensiblen Bereich Verfassungsschutz unter Sicherheitsüberlegungen erfolgenden Marktforschungen und Ankauf – (derzeit) nicht näher begründet.Vergleichbares gilt für den Adaptierungsaufwand in Höhe von 500.000 EUR in der Fachanwendung des Bundesverwaltungsgerichts durch das Justizministerium.
Quelle der Kostenschätzung RH: Wien, 14. Mai 2025 – GZ 2025-0.274.319
Gott schütze dieses Österreich und es gilt natürlich pauschal die Unschuldsvermutung.
Quellennachweise:
https://www.dsn.gv.at/501/files/VSB/180_2024_VSB_2023_V20240517_BF.pdf
https://www.parlament.gv.at/aktuelles/pk/jahr_2025/pk0362#XXVIII_A_00208
https://bkftv.at/2025/06/16/aut-der-digitale-ueberwachungsstaat-nimmt-formen-an
https://www.parlament.gv.at/gegenstand/XXVIII/ME/8?selectedStage=101
https://bkftv.at/2025/05/23/alle-buergerregisterdaten-ab-1-juli-2026-bei-austrian-micro-data-center/
https://www.statistik.at/services/tools/services/center-wissenschaft/austrian-micro-data-center-amdc
https://www.digitalaustria.gv.at/Services/Bundesregister-Oesterreich.html
https://www.diepresse.com/19617854/spione-des-bundesheers-sollen-mehr-befugnisse-bekommen
https://www.puls24.at/video/puls-24/experte-messenger-ueberwachung-ist-notwendigkeit/vt5b5semf38yb
https://epicenter.works/content/bundestrojaner-fuehrt-zur-massengefaehrdung-der-bevoelkerung
https://epicenter.works/thema/bundestrojaner
https://epicenter.works/content/stellungnahme-bundestrojaner-2025
Für alle betroffenen Firmen, Institutionen, Personen, Verantwortlichen sowie für die Zuständigen gilt die Unschuldsvermutung. (hu) ++ende++
 |
Herbert Unger – freier Journalist bei bkftv.at herbert.unger@bkftv.at oder 06645344908 Meine Artikel: https://bkftv.at/author/hu/ Schreiben Sie mir zum Thema Vertraulich: Threema ID: DBZ2S7ET |
