Verschlüsselung und Ermittlungsverfahren

Dr. Michael Rohregger

Vizepräsident der Rechtsanwaltskammer Wien

Ob die Überwachung verschlüsselter Nachrichten („WhatsApp-Überwachung“) wirklich kommt, ist noch unklar. Zu umstritten ist ihre Einführung. Nach dem Ministerialentwurf sieht nunmehr allerdings auch die RV zum StPRÄG 2018, 17 BlgNR 26. GP, diese Maßnahme vor.

 

Sie ist so umstritten, weil ihr Eingriff in Grundrechte als besonders gravierend empfunden wird. Um bei Bedarf die Verschlüsselung knacken zu können, muss man nämlich schon ex ante die Voraussetzungen dafür schaffen.

 

Denn allmählich wird erkannt, dass starke Verschlüsselung ex post auch durch exzessiven technischen Aufwand in vernünftiger Zeit nicht knackbar ist. Man muss ein Verschlüsselungssystem vielmehr schon vor Abschluss des Ver- schlüsselungsvorganges kompromittieren, um den Klartext der Nachricht oder den Schlüssel rechtzeitig abfangen zu können.

 

Vor diesem Problem stehen derzeit nicht nur die österreichischen Ermittlungsbehörden, sondern dies ist ein global diskutiertes Problem von Verschlüsselungstechnologien. Die möglichen – sehr kontroversiellen – Lösungen setzen auf ganz unterschiedlicher Ebene an:

 

Da wäre zum einen die Möglichkeit, Technologieunternehmen zu verpflichten, in jedes Verschlüsselungsprogramm eine Hintertür („backdoor“) einzubauen, sodass den Ermittlungsbehörden – durch Verwendung einer Art Generalschlüssel – ex post die Entschlüsselung jeder Nachricht möglich ist. US-Ermittlungsbehörden haben dies etwa von Apple gefordert, um Zugang zu einem beim Terroranschlag von San Bernadino sichergestellten iPhone zu bekommen.

 

Recht kategorisch ist die Methode, Verschlüsselung überhaupt zu verbieten. Das gewährt im Bedarfsfalle zwar noch keinen Zugang, aber wenn der Verstoß gegen das Verbot ausreichend streng pönalisiert ist, wirkt das schon recht präventiv. Und wenn auch das Anbieten von Verschlüsselungstechnologien verboten wird, dann sinkt zudem die Möglichkeit, Verschlüsselung überhaupt zu nutzen. Nicht jeder ist ein scriptkiddie.

 

Dagegen wirkt die österreichische Methode fast zahm. Sie verbietet Verschlüsselung nicht, und setzt auch erst bei Vorliegen eines Verdachtes ein. Dann allerdings recht heftig: Der Zugang muss entweder durch online-Einschleusung eines Trojaners oder durch physischen Zugang zum Endgerät geschaffen werden. Dafür kann sogar ein verdecktes Eindringen in Wohnräume notwendig sein. Das sind schon recht weitgehende Grundrechtseingriffe. Und erst bei der verschlüsselten „Nachricht“ anzusetzen, wäre zuwenig: Ein per mail verschicktes Dokument, das in Word oder Acrobat verschlüsselt wurde, kann man nur lesen, wenn man schon in diesen Programmen den Klartext oder Schlüssel abgefangen hat. In outlook oder beim Versenden des mails ist es längst zu spät. In Wahrheit muss daher laufend und flächendeckend mitprotokolliert werden, um im Bedarfsfall an den Klartext zu gelangen. Im Ergebnis ist der Eingriff daher schon sehr gewichtig, wenn das Instrument funktionieren soll.