In Österreich regiert ein Dreierbündnis aus der konservativen ÖVP, der sozialdemokratischen SPÖ und den liberalen NEOS. In ihrem Regierungsprogramm haben die drei Parteien im Februar klargemacht, dass allerhand neue Überwachungsbefugnisse auf das Land zukommen. Nun, rund eine Woche nach einem Amoklauf an einer Schule in Graz, geht es schnell: Die österreichische Regierung hat eine Gesetzesvorlage für Staatstrojaner vorgelegt und zudem Alterskontrollen in sozialen Medien mit Registrierungspflicht der Nutzer:innen in den Raum gestellt.

Auf Staatstrojaner zur Messengerüberwachung durch die Direktion Staatsschutz und Nachrichtendienst (DSN), einigte sich am Mittwoch der österreichische Ministerrat. Die DSN ist gleichzeitig polizeiliche Staatsschutzbehörde als auch Inlandsgeheimdienst. Zuvor lagen die Regierungspartner im Clinch, vor allem die NEOS zweifelten die Verfassungsmäßigkeit der heimlichen, invasiven Überwachung an. Inzwischen ist dies der fünfte Anlauf, um die umstrittene Ermittlungsmethode gesetzlich zu verankern. Rechtlich sind ihr nach einem Grundsatzurteil des Verfassungsgerichtshofs aus dem Jahr 2019 enge Grenzen gesetzt.

Staatstrojaner gegen „verfassungsgefährdende Angriffe“

Nun soll Schadsoftware auf Geräten von Verdächtigen installiert werden dürfen, wenn „verfassungsgefährdende Angriffe“ vermutet werden, die mit mindestens zehn Jahren Freiheitsstrafe bedroht werden und andere Ermittlungsmaßnahmen aussichtslos scheinen. Ziel der Überwachung sollen dabei vor allem verschlüsselte und unverschlüsselte Nachrichten sein sowie „Informationen, die über internetbasierte Apps wie WhatsApp, Telegram etc. übermittelt werden, als auch über einen Cloud-Diensteanbieter an einen Cloud-Server übermittelte Datenpakete“.

Lokal gespeicherte Dateien sollen laut der Gesetzesvorlage nicht betroffen sein. Fachleute etwa vom Chaos Computer Club weisen jedoch seit Jahren darauf hin, dass diese Abgrenzung technisch eine eher kosmetische Bedeutung hat und durch Nachladen neuer Module des Staatstrojaners schnell aufgehoben werden kann.

Zur rechtlichen Absicherung soll jeder Staatstrojanereinsatz zuvor durch das österreichische Bundesverwaltungsgericht genehmigt und vom Rechtsschutzbeauftragten im Innenministerium begleitet werden müssen. Betroffene sollen im Nachhinein informiert werden. Eine solche Informationspflicht für Überwachungsmaßnahmen besteht regelmäßig auch in Deutschland, in der Praxis unterbleibt sie jedoch aufgrund zahlreicher Ausnahmen.

Kritik von Bürgerrechtler:innen

Kritik an der geplanten Messenger-Überwachung kommt von IT-Sicherheitsfachleuten und Bürgerrechtsorganisationen. Die Österreichische Liga für Menschenrechte schrieb in einer Stellungnahme zum Gesetzentwurf, dass die geplante Maßnahme „mit den in Österreich geltenden Grund-, Freiheits- und Menschenrechten nicht vereinbar ist“. Die Vereinigung der österreichischen Rechtsanwältinnen und Rechtsanwälte weist darauf hin, dass für Staatstrojaner IT-Sicherheitslücken offengehalten und so gleichsam „die österreichische Gesellschaft und Wirtschaft verletzlich“ würden.

Besonders aktiv im Kampf gegen diesen und vormalige Versuche zur Einführung von Staatstrojanern in Österreich ist seit mehreren Jahren die NGO epicenter.works mit ihrer Kampagne bundestrojaner.at. In einer Stellungnahme weist epicenter.works auf die durch Staatstrojaner entstehende Gefahr für liberale Demokratien hin, die aus den Staatstrojaner-Skandalen rund um Pegasus, Predator und andere deutlich geworden seien: „Die gezielte Überwachung politischer Opposition, die systematische Einschüchterung unabhängiger Medien und die Manipulation öffentlicher Diskurse mittels verdeckter staatlicher Überwachung unterminieren zentrale Elemente liberaler Demokratien – darunter politische Pluralität, Meinungsfreiheit, faire Wahlen und rechtsstaatliche Gewaltenteilung.“

Widerstand gegen die Messenger-Überwachung könnte im weiteren Prozess auch von Regierungsparteien selbst kommen. Die müssen im parlamentarischen Verfahren weitere Details klären, damit das Gesetz wie geplant Anfang 2027 in Kraft treten kann. Laut Medienberichten sollen trotz der Einigung die NEOS weiterhin nicht glücklich mit dem Vorstoß sein. „Ich bin tief davon überzeugt, dass NEOS als liberale Partei solche staatliche Überwachungssoftware nicht unterstützen kann“, zitiert Der Standard deren Vizeklubchef Nikolaus Scherak. Die österreichischen Grünen warfen der liberalen Partei indes vor, umgefallen zu sein und die Überwachungsfantasien der ÖVP zu erfüllen.

Alterskontrollen und Registrierungspflicht

Weniger konkret als die Staatstrojaner-Pläne der Regierung sind Ankündigungen zu Registrierungspflicht und Alterskontrollen im Netz, die ÖVP-Staatssekretär Alexander Pröll machte. Er brachte ins Spiel, dass sich Nutzer:innen sozialer Medien vorher registrieren müssen. Erfolgen könnte dies etwa mit der digitalen Identität „ID Austria“, mit der sich Bürger:innen bislang Behörden gegenüber ausweisen. Im Raum steht eine Altersgrenze von 14 Jahren, was zum einen Kinder und Jugendliche von einer Nutzung ausschließen würde. Zum anderen könnten Behörden dann potenziell bei den Dienste-Anbietern die bürgerliche Identität hinter gewählten pseudonymen Account-Namen abfragen.

Mit einem solchen Vorstoß würde Österreich die Anonymität im Netz torpedieren. Gleichzeitig ist ein solches Vorhaben europarechtlich fragwürdig. Ein nationaler Alleingang hätte wahrscheinlich keinen Bestand vor dem Europäischen Gerichtshof, wie Thomas Lohninger von epicenter.works gegenüber Der Standard sagte. Die EU arbeitet mittlerweile selbst an Leitlinien für mögliche Alterskontrollen im Netz.

Eine Alterskontrolle gepaart mit einer Registrierungspflicht würde außer europarechtlichen noch viele weitere Probleme schaffen und stellt durch Abschreckung eine Gefahr für die freie Meinungsäußerung und persönliche Entwicklung dar, sei es für queere Jugendliche, Whistleblower:innen oder Demokratie-Aktivist:innen.

Sowohl die Diskussion um Registrierungspflicht als auch Messengerüberwachung steht in Österreich derzeit unter dem Eindruck des Grazer Amoklaufs. Dabei haben beide eines gemeinsam: Geändert hätten die Maßnahmen an der Tat des volljährigen und zuvor unbescholtenen, mutmaßlichen Einzeltäters wohl nichts.

Im WordPress-Plug-in AI Engine können Angreifer eine Sicherheitslücke missbrauchen, um ihre Rechte auszuweiten und so die volle Kontrolle über die Webseite zu übernehmen. Das Plug-in ist auf mehr als 100.000 WordPress-Webseiten installiert. Ein Update zum Schließen des Sicherheitslecks steht seit kurzem zur Verfügung.

Die IT-Forscher von Wordfence haben die Sicherheitslücke entdeckt. Laut der Sicherheitsmitteilung von Wordfence geht das Problem auf eine unzureichende Autorisierung zurück, die die Ausweitung der Nutzerrechte über eine Schwachstelle in MCP (Model Context Protocol) im Plug-in AI Engine ermöglicht. „Die Schwachstelle können authentifizierte Angreifer ausnutzen, die Zugriffsrechte auf Subscriber-Level oder höher haben, um vollen Zugriff auf das MCP zu erlangen und diverse Befehle wie ‚wp_update_user‘ auszuführen und so ihre Zugriffsrechte auf Administrator durch die Aktualisierung ihrer User-Role auszuweiten“, erklären die IT-Sicherheitsforscher (CVE-2025-5071 / noch kein EUVD, CVSS 8.8, Risiko „hoch„).

Ausnutzbarkeit eingeschränkt

Die Schwachstelle lasse sich dann missbrauchen, wenn die Dev-Tools und das MCP in den Einstellungen aktiviert wurden. Standardmäßig sind diese abgeschaltet.

Die seit Mittwoch der Woche verfügbare Version 2.8.4 von AI Engine dichtet das Sicherheitsleck ab. Wer das Plug-in auf WordPress-Instanzen einsetzt, sollte die Aktualisierung nicht lange aufschieben, sondern zeitnah durchführen.

Mitte Mai wurden Sicherheitslücken in dem Plug-in TheGem bekannt, die mehr als 82.000 WordPress-Seiten gefährdet haben, sodass Angreifer hätten Schadcode einschleusen können. Ein Update steht dafür zur Verfügung. Für eine Sicherheitslücke in TI WooCommerce Wishlist von Ende Mai war das zunächst nicht der Fall, auch sie ermöglichte bösartigen Akteuren das Hochladen von Schadcode. Die mit CVSS-Höchstwert 10.0 von 10 möglichen Punkten als „kritisch“ eingestufte Lücke klaffte bis in Version 2.9.2 des WordPress-Plug-ins. Inzwischen steht dort die Version 2.10.0 des Plug-ins zur Verfügung – laut Patchstack soll sie die Schwachstelle ausbessern.

(dmk)

Das Prinzip „Löschen statt Sperren“ bei Missbrauchsdarstellungen und sogenannter Kinderpornografie (CSAM) funktioniert weiterhin gut. Das geht aus dem Jahresbericht des Bundesjustizministeriums (PDF) hervor, der am Mittwoch veröffentlicht wurde. Der Bericht erhebt eine Statistik, wie schnell CSAM-Inhalte nach einer Meldung bei den Host-Povidern im In- und Ausland gelöscht werden.

Laut dem Bericht wurden im vergangenen Jahr 55,98 Prozent (10 802 URLs) aller Inhalte im Inland spätestens zwei Tage nach der Meldung gelöscht. Eine Woche nach Hinweiseingang ist die Verfügbarkeit der Inhalte nochmals deutlich reduziert – mit 99,11 Prozent sind nahezu alle Inhalte gelöscht. Von den insgesamt 19.296 gemeldeten URLs waren nur noch 171 weiterhin verfügbar. Gegenüber den Vorjahren ist die Löschrate nach zwei Tagen etwas abgefallen, die Löschrate nach sieben Tage allerdings gleich hoch geblieben.

Bei Löschungen im Ausland geht es traditionell etwas langsamer, weil hier mehr Behördenstellen im Spiel sind und das Verfahren komplexer ist. Hier waren 38,7 Prozent (4 733 URLs) aller Inhalte nach einer Woche gelöscht; nach vier Wochen waren es bereits 84,17 Prozent (10.303 URLs) der Inhalte (2023: 88,2 Prozent bzw. 9 772 URLs). Auch im Ausland war die Erfolgsquote bei der kurzfristigen Löschung geringer als in den Vorjahren, nach vier Wochen lag sie aber etwa genauso hoch wie in den Vorjahren.

Der Bericht zeigt, dass Löschen statt Sperren ein erfolgreiches Prinzip ist, wenn Behörden denn Meldungen machen.

BKA forcierte Löschung nicht

Doch lange nicht alle kriminellen Inhalte werden von der Polizei auch gemeldet und gelöscht. Und das hat Prinzip. In einer ersten Recherche im Jahr 2021 fanden Journalisten heraus, dass das BKA die Löschung von Bildern nicht forcierte. Einige Monate später kam durch eine kleine Anfrage heraus, dass das BKA weiterhin keine Priorität auf das Löschen setzte und sich außerdem nicht für Löschmeldungen zuständig erklärte. Im Februar dieses Jahres deckte dann eine gemeinsame Recherche des ARD-Magazins Panorama und von STRG_F auf, dass es einen geheimen Beschluss der Innenministerkonferenz aus dem Jahr 2023 gibt, der diese Praxis absegnet.

Dass die Löschung gar nicht so personalintensiv ist, konnten die Journalist:innen in der Recherche beweisen. So reichten schon zwei Personen aus, um über Monate hinweg in den großen pädokriminellen Darknet-Foren die dort verlinkten Fotos und Videos zu erfassen und zu melden: „Insgesamt deaktivierten die Speicherdienste Links zu über 300.000 Aufnahmen mit einer Datenmenge von 21.600 Gigabyte und löschten die Daten von ihren Servern“, so die Journalist:innen damals.

Hauptsache überwachen

In der Pressemitteilung zum Jahresbericht verknüpfen sowohl Innenminister Alexander Dobrindt (CSU) als auch Justizministerin Stefanie Hubig (SPD) das Thema Löschen statt Sperren mit der Vorratsdatenspeicherung, obwohl die beiden Themen technisch wenig bis nichts miteinander zu tun haben. Die Minister:innen fordern die schnelle Einführung der anlasslosen Massenüberwachung, Hubig preist diese gar als „oft einzigen Ermittlungsansatz“ an.

Elina Eickstädt, Sprecherin des Chaos Computer Clubs, sagt gegenüber netzpolitik.org: „Der Bericht zeigt, dass Löschen wirkt und weiter verfolgt werden muss. Maßnahmen wie die Vorratsdatenspeicherung oder die vorgeschlagene Chatkontrolle führen lediglich zu grundrechtsgefährdender Überwachungsinfrastruktur, statt sich auf den Ausbau effektiver Maßnahmen zu konzentrieren.“

Das Prinzip Löschen statt Sperren wie auch der aktuelle Jahresbericht sind eine Errungenschaft der Protestbewegung gegen Netzsperren. Im Jahr 2009 plante die damalige Bundesfamilienministerin Ursula von der Leyen, Netzsperren gegen CSAM-Inhalte einzuführen. Sie löste damit eine breite Protestwelle aus und erhielt den Spitznamen „Zensursula“. Das sogenannte Zugangserschwerungsgesetz wurde zwar von der Regierung verabschiedet, aber nie umgesetzt und schon 2012 außer Kraft gesetzt. Eine der Kernforderungen der erfolgreichen Protestbewegung lautete „Löschen statt Sperren“.