18.08.2017

Mehr Überwachung: Das umstrittene Sicherheitspaket im Überblick

Letzte Woche war Ex-NSA Direktor William Binney in Österreich, um vor dem Sicherheitspaket zu warnen, das sich momentan in Begutachtung befindet. Auch Vertreter der Internetwirtschaft wie Austrian Startups und der WKO Fachverband UBIT haben sich in einem offenen Brief kritisch zum Sicherheitspaket geäußert. Ein Überblick über den Inhalt des Sicherheitspakets.

/artikel/ueberwachung-sicherheitspaket-oesterreich

✨ AI Kontextualisierung

Seit Anfang Juli befindet sich das von der ÖVP vorangetriebene “Sicherheitspaket” in einer sechswöchigen Begutachtungsphase. Konkret geht es hier um Vorschläge für Gesetzesänderungen und Novellen zum Sicherheitspolizeigesetz, zur Strafprozessordnung und auch um Änderungen des Telekommunikationsgesetzes.

Sicherheitspaket in der Kritik

Der Lärm um das “Überwachungspaket”, wie es nun schon des Öfteren genannt wurde, nimmt seitdem stetig zu. Erst letzte Woche gab der ehemalige Direktor der NSA, William Binney, in einem Wiener Kaffeehaus eine Pressekonferenz und warnte vor den Auswirkungen. “Die Grundfeste einer Demokratie können auf diese Art zerstört werden”, meinte Binney.

Ein offener Brief, den Vertreter der Internetwirtschaft wie der Verein Austrian Startups und der WKO Fachverband UBIT zusammen unterzeichneten, fordern ebenfalls ein Umdenken der Abgeordneten im Nationalrat, sie sehen die Cybersicherheit in Gefahr und damit auch die österreichische Startup-Szene.

Die kritischen Punkte des Sicherheitspakets

Worum geht es eigentlich konkret beim Sicherheitspaket? Der Brutkasten hat einen Blick auf die weitreichendsten Änderungen und den Gesetzestextvorschlag geworfen und zusammengefasst: (Alle Links zu den Gesetzesentwürfen und Änderungen am Ende des Artikels.)

Überwachung von WhatsApp&Co

Diese Änderung des aktuell geltenden Gesetzes soll die Überwachung von internetbasierter Kommunikation ermöglichen. Personen, Unternehmen oder Vereine können – sofern ein Verdacht besteht – hier betroffen sein. Denn in §135a Abs 1 (3) der StPO lautet es wie folgt:

”Soweit dies zur Durchführung der Ermittlungsmaßnahme unumgänglich ist, ist es zulässig, in eine bestimmte Wohnung oder in andere durch das Hausrecht geschützte Räume einzudringen, Behältnisse zu durchsuchen und spezifische Sicherheitsvorkehrungen zu überwinden, um die Installation des Programms zur Überwachung verschlüsselter Nachrichten in dem Computersystem zu ermöglichen.”

Die Installation per “remote hacking”, also der Zugriff auf Smartphone&Co, ist somit anscheinend überdies zulässig. In § 135a (2) heißt es außerdem, dass eine Überwachung verschlüsselter Nachrichten nur zulässig ist, wenn das Programm “nach Beendigung der Ermittlungsmaßnahme funktionsunfähig ist oder ohne dauerhafte Schädigung oder Beeinträchtigung des Computersystems, in dem es installiert wurde, und der in ihm gespeicherten Daten entfernt werden kann”. Kritische Stimmen bezweifeln, dass dies technisch überhaupt umsetzbar ist.

Ebenfalls bezweifelt wird die Machbarkeit der Überwachung von WhatsApp und anderen Messengerdiensten wie zB Facebook, die von Justizminister Brandstetter gefordert wird. Eine Erklärung, wie dies technisch umsetzbar sein sollte (Installation einer Software direkt auf dem Smartphone auf Verdacht?), gab er in den betreffenden Medienberichten nicht ab.

Ein Gesetzesvorschlag mit solchem Inhalt – umgangssprachlich bekannt als “Bundestrojaner” – wurde laut dem Verein epicenter.works bereits im Jahr 2016 vom Justizministerium vorgelegt. Damals zog Justizminister Brandstetter nach lauter Kritik den Gesetzesvorschlag jedoch zurück. Der aktuelle Vorschlag, der sich in Begutachtung befindet, nimmt Teile hiervon wieder auf.

Überwachung im Auto

Ab sofort soll es im Paragraf § 136 StPO heißen: “Eine akustische Überwachung von Personen in Fahrzeugen ist überdies unter den Voraussetzungen des § 135 Abs. 3 StPO zulässig.“ Spezifiziert wird nicht, ob dies auch die Installation von Überwachungsprogrammen in smarten Autosystemen bedeutet. Jedenfalls soll ermöglicht werden, Gespräche im Auto abzuhören. Laut epicenter.works soll dies auch bei Verdacht von “niederschwelligeren Delikten” zum Einsatz kommen. Außerdem soll “mittels Einsatz von bildverarbeitenden technischen Einrichtungen” (§ 54 Abs. 4b, SPG) auf österreichischen Straßen von Autos der Lenker selbst, Kennzeichen, Marke, Typ und Farbe erfasst werden. Im selben Paragrafen heißt es: “Soweit sie nicht zur weiteren Verfolgung aufgrund eines Verdachts gerichtlich strafbarer Handlungen erforderlich sind, sind sie nach längstens 48 Stunden zu löschen.”

Netzsperren

Damit soll es Providern (Unternehmen, die Kunden Zugang zum Internet anbieten) ermöglicht werden, Internetseiten (Bei Verdacht auf Computerkriminalität, pornografische Inhalte, Urheberrechtsverletzungen oder gewaltverherrlichende Darstellungen) auf eigenes Gutdünken zu sperren. Laut dem Verein epicenter.works war dies nicht im Arbeitsprogramm der Bundesregierung vorgesehen und ging sodann ohne öffentliche Debatte in Begutachtung. Das bedeute laut dem Verein, dass es “dem Provider überlassen wäre, ob, wann, wie, warum und wie lange solche Inhalte zensiert werden. Für betroffene Inhalteanbieter und Nutzer sind keinerlei Rechtsschutz oder Beschwerdemöglichkeiten vorgesehen”. Angemerkt wird auch, dass der Vorschlag in dieser Art — die Sperre basierend auf Entscheidung der Provider — mit der EU-Verordnung der Netzneutralität mit großer Wahrscheinlichkeit nicht vereinbar ist.

Videoüberwachung

Für die Überwachung des öffentlichen Raums soll der Zugriff auf Video- und Tonbandüberwachung von öffentlichen und privaten Einrichtungen mit öffentlichem Versorgungsauftrag ermöglicht werden, sowie “die Möglichkeit des Echtzeitstreaming” umgesetzt werden (§53 Abs. 5, SPG) Weiter heißt es im § 93a, SPG: “‘Für Österreich’ ist unter dem Punkt „Videoüberwachung“ festgehalten, dass für öffentliche Betreiber eine Speicherverpflichtung sowie eine Mindestspeicherdauer normiert werden soll und dass für Kooperationen mit Unternehmen im Nahebereich der öffentlichen Hand (z.B. ÖBB, ASFINAG, regionale Verkehrsbetriebe) eine entsprechende Regelung gefunden werden soll”. Die Vorratsdatenspeicherung kann auf bis zu 2 Wochen ausgeweitet werden. Davon ist jeder betroffen, der im öffentlichen Raum unterwegs ist. Dabei ist es zweifelhaft, ob eine Videoüberwachung tatsächlich ein geeignetes Hilfsmittel zur Prävention von Straftaten ist. (Z.B.: Öffentliche Räume mit flächendeckender Videoüberwachung waren bereits Ziel terroristischer Aktivitäten oder von Kriminalität- trotz Videoüberwachung.)

Datenspeicherung

Zum „Ausbau der technischen Ermittlungsmöglichkeiten“ soll außerdem “Quick freeze” — die “Anlassspeicherung von Telekommunikationsdaten“ — umgesetzt werden, ein Gesetz, das schon mehrmals von Gerichten in Europa wieder aufgehoben wurde. Damit wird es ermöglicht, Daten längerfristig abzuspeichern. Kritisiert wird dies etwa von Arjen Kamphuis, dem Datenexperten aus den Niederlanden. Kamphuis meint: ”Wenn es nicht einmal die NSA schafft, Datenbanken zu beschützten, glauben Sie wirklich, dass es der österreichische Staat schafft?” Eine Einladung für Hacker, die auf die Beschaffung von Daten aus sind. Die einzige Vorkehrung, die man treffen könnte, um Hackern gar keine Chance zu geben, kennt Kamphuis nur zu gut: “Man darf solche Datenansammlungen gar nicht erst einmal aufbauen!”

Keine Anonymität bei Prepaid-Karten

Während man bisher Prepaid-Karten einfach beim Diskonter kaufen und benutzen und damit eine gewisse Anonymität beibehalten konnte, soll dies durch eine Änderung im Telekommunikationsgesetz in § 97 abgeschafft werden: “Sicherheits- und kriminalpolizeiliche Zwecke erfordern es, dass Personen, die mit einem Anbieter einen Vertrag über die Bereitstellung eines Kommunikationsdienstes geschlossen haben, wovon auch der Erwerb von Prepaid-Karten bzw. entsprechendem Guthaben umfasst ist, im Anlassfall identifizierbar sind.” Daher sei künftig die Registrierung der Stammdaten des Käufers erforderlich. Kriminelle können dies einfach umgehen, indem sie Prepaid-Karten andernorts erwerben. Bürger, die auf ihre Privatsphäre und Anonymität wert legen, wird diese Möglichkeit der sicheren Kommunikation genommen.

Eigene Meinung auf Website des Parlaments veröffentlichen

Als Bürger kann man seine Meinung zum geplanten Sicherheitspaket abgeben. Die Statements werden dann auf der Website des Parlaments veröffentlicht. Über 8.500 Bürger haben dies via überwachungspaket.at bereits gemacht. Die Seite wurde von epicenter.works ins Leben gerufen, ein Verein, der unter anderem für Datenschutz eintritt. Dort finden sich auch Materialien und Informationen zum geplanten Sicherheitspaket.

Bis 21. August kann man noch Stellungnahmen einreichen, solange ist der Gesetzesentwurf noch in Begutachtung. Aktuell kann es allerdings zu Verzögerungen der Veröffentlichung der Statements auf der Parlamentsseite kommen, heißt es in einer Aussendung von Ende Juli: “Aufgrund der großen Anzahl an Stellungnahmen zu den genannten Ministerialentwürfen, aber auch wegen der laufenden Übersiedlung in die Ausweichquartiere auf den Heldenplatz können diese jedoch nur nach und nach bearbeitet werden.”

Weiterführende Links: überwachungspaket.at, epicenter.works, Ministerialentwurf – Vorblatt und Wirkungsorientierte Folgenabschätzung (zur StPO, ua.), Ministerialentwurf – Gesetzestext, Ministerialentwurf – Vorblatt und Wirkungsorientierte Folgenabschätzung (zur SPg, ua.), Ministerialentwurf – Erläuterungen, Ministerialentwurf – Gesetzestext

Unter dem Motto “nachhaltig und intuitiv” produziert der Oberösterreicher Aaron Jakob nicht nur Olivenöl, sondern hat nach diesem Credo vor gut eineinhalb Jahren auch das Startup neXus gegründet.

Mit seiner eigens entwickelten B2B-SaaS-Plattform soll es Unternehmen möglich sein, ihre Wertschöpfungskette zu visualisieren, Stakeholder zu managen und “einen effektiven Dialog zu führen”, wie Gründer und CEO Aaron Jakob im brutkasten-Gespräch verrät.

Olivenöl und CSRD-Reporting

Die Plattform zielt darauf ab, CSRD- und ESRS-konforme Nachhaltigkeitsberichterstattung durchzuführen. Bei CSRD handelt es sich um die am 5. Jänner 2023 in Kraft getretene EU-Richtlinie Corporate Sustainability Reporting Directive.

Die Richtlinie soll Regeln für soziale und ökologische Informationen, die von Unternehmen bereitgestellt werden müssen, modernisieren und verschärfen – und weitet die Informationspflicht auf Großunternehmen sowie börsenorientierte Klein- und Mittelunternehmen aus.

Konkret legt die CSRD-Richtlinie der Europäischen Union fest, dass alle Unternehmen Berichterstattung zu den festgelegten ESRS-Standards führen müssen. ESRS steht für European Sustainability Reporting Standards und definiert unternehmensbezogene Informationen über Auswirkungen, Risiken und Chancen in Bezug auf Nachhaltigkeit. Die Standards umfassen unter anderem Klimawandel (ESRS E1), eigene Arbeitskräfte (ESRS S1) sowie Governance, Umwelt und Soziales.

Nachhaltigkeitsberichte werden zum “Kinderspiel”

Das Software-Startup neXus will es Unternehmen in Hinblick darauf vereinfachen, Nachhaltigkeitsaspekte zu verwalten und Materialitätsanalysen intuitiv durchzuführen. “Unser Ziel war es, eine effiziente, leicht bedienbare und bezahlbare Lösung zu schaffen, die Unternehmen dabei unterstützt, ihre Nachhaltigkeitsziele zu erreichen und darüber zu berichten”, sagt Gründer und CEO Jakob.

“Mit unserer App können nun die notwendigen Datenpunkte aus der ESRS abgeleitet und das Reporting erstellt werden.” Der Entwurf eines EU-konformen Nachhaltigkeitsberichtes sei damit “ein Kinderspiel” – unter anderem dank einem integrierten XBRL-Label (Extensible Business Reporting Language), das Datenanalysen und -freigaben erleichtern soll.

Sechsstelliges Investment und anonymer Business Angel

Nach Angaben des Gründers befindet sich ein Business Angel an Bord. Dieser habe ein Investment im sechsstelligen Bereich getätigt, wie Gründer Jakob gegenüber brutkasten bestätigte. Die vor eineinhalb Jahren gestartete Plattform sieht sich als “Projekt” der JAKOB Management Training & Consulting GmbH, mit der Inhaber und CEO Aaron Jakob Business-Simulationen für Unternehmen vornimmt – schon seit dem Jahr 1998. Das Startup erhalte sich außerdem aus “dem eigenen Cash Flow”, wie Jakob gegenüber brutkasten preisgibt.

NeXus zähle bereits erste Kunden “aus verschiedensten Branchen” im Kundenportfolio. Die Anzahl an Businesskunden sei zweistellig, so Gründer Jakob. Die Kundenunternehmen des Startups haben “in der Regel zwischen 1.000 und 10.000 Mitarbeiter”.

Und das Olivenöl?

Der Anbau von Olivenöl korreliert zwar nicht direkt mit seinem SaaS-Startup, aber hält zumindest denselben Bezug zur Nachhaltigkeit: Der vierfache Familienvater erwarb vor gut 25 Jahren seine eigens betitelte casa rustica im südlichen Mittelitalien, wie er brutkasten erzählt.

Das italienische Familienhaus zieren seither Olivenbäume, deren Früchte von Familie Jakob mit einer eigenen Ölmühle vor Ort verarbeitet werden: “Das Öl füllen wir dann in Pfaffstätt in Oberösterreich ab und verkaufen es auch hier”, meint der Gründer. Auf Nachhaltigkeit wird auch hier geachtet, denn Jakob produziert Olivenöl ohne jegliche Zusatzmittel.