Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

08.09.2000 - 

Thema der Woche

Staaten rüsten zum großen Lauschangriff

Die Angst vor dem Überwachungsstaat geht um. Während Gesetzeshüter in den USA mit dem E-Mail-Abfangsystem "Carnivore" die Bürgerrechtler auf die Barrikaden treiben, legt Großbritannien eine härtere Gangart ein. Mit einem neuen Gesetz schafft die Blair-Regierung die Grundlage für dengroßen Lauschangriff. Hierzulande hatten solche drastischen Vorhaben bislang keine Chance.

"Fleischfresser" - das ist die Bedeutung von Carnivore - nennt das Federal Bureau of Investigation (FBI) in den Vereinigten Staaten sein E-Mail-Überwachungsprogramm, das es seit einiger Zeit benutzt, um bei amerikanischen Internet-Service-Providern (ISPs) E-Mails von Verdächtigen mitzulesen. Die Gesetzeshüter wollen damit der Entwicklung Rechnung tragen, dass sich in Zeiten des Internet auch Kriminelle moderner Kommunikationsformen bedienen. Ob die Namensgebung nun Absicht oder Zufall war - die US-Justizministerin Janet Reno hat die Wahl dieses nicht gerade harmlos klingenden Begriffs bereits bedauert und angekündigt, eine freundlichere Bezeichnung für das Tool zu suchen - an der um Carnivore entbrannten Diskussion ändert dies freilich nichts.

Die Existenz des E-Mail-Überwachungsprogramms wurde im April 2000 bei einer Anhörung in einem Unterausschuss des Kongresses publik. Der ISP Earthlink Inc. hatte sich geweigert, das System bei sich zu installieren, weil er gerichtliche Klagen seiner Kunden fürchtete. Das FBI sah sich in Erklärungsnöten und beeilte sich, die Fertigkeiten des Programms zu verharmlosen: Es handle sich dabei um ein selbst entwickeltes "Diagnose-Tool", das die geradezu "chirurgische" Möglichkeit biete, mit extremer Präzision nur solche Nachrichten abzufangen und zu sammeln, die für die Ermittler von Rechts wegen von Interesse sind (etwa um einen speziellen Kriminellen zu überführen). Alle anderen Mitteilungen ignoriere es. Dabei soll Carnivore wie ein kommerzieller Paket-Sniffer und ähnliche diagnostische Werkzeuge arbeiten, wie ISPs sie täglich einsetzen. Das System sei beispielsweise in der Lage, nur solche E-Mails abzufangen, die von einer bestimmten Person versendet oder empfangen werden.

Um Carnivore einsetzen zu können, braucht der ermittelnde Staatsanwalt grünes Licht vom amerikanischen Justizministerium. Dazu muss allerdings ein begründeter Verdacht vorliegen, dass eine gesetzeswidrige Handlung vorliegt. Außerdem müssen die zu beschattende Person sowie der in Frage kommende ISP benannt und der Gesetzesverstoß spezifiziert werden. Ein Gerichtsbeschluss soll dafür sorgen, dass nur die tatsächlich benötigten Daten gesammelt werden.

Es mag an der Art und Weise gelegen haben, wie die Öffentlichkeit von Carnivore erfuhr, dass sich ein Sturm des Protestes erhob. Das Misstrauen der Bevölkerung dürften aber auch die zum Teil widersprüchlichen Angaben des FBI erregt haben. Während einerseits von einer proprietären Lösung die Rede ist, die die Bundespolizei selbst entwickelt habe, ist an anderer Stelle zu vernehmen, es handle sich um ein "kommerziell verfügbares" System, das lediglich für die Dauer einer gegen eine konkrete Person gerichteten Ermittlung am Zugangspunkt eines ISP installiert werde. Fest steht, dass das Tool zumindest theoretisch auch andere Informationen als die per Gesetz abgesegneten erfassen kann. Wie das FBI bestätigte, fließen alle Daten aus dem ISP-Netz durch das Gerät, wobei jedoch nur jene gesammelt würden, die einem vordefinierten Filter entsprechen. Auf diese Weise sei Carnivore innerhalb des letzten Jahres 25-mal eingesetzt worden, und das nur innerhalb des gesetzlich erlaubten Rahmens.

Amerikanische Bürgerrechtsorganisationen wie die American Civil Liberties Union (ACLU) und das Electronic Privacy Information Center (Epic) mochten dies nicht so recht glauben - sie liefen Sturm gegen das E-Mail-Überwachungsprodukt und warfen dem FBI vor, Carnivore ließe sich dazu missbrauchen, die Privatsphäre der Bürger zu verletzen. Ein ACLU-Sprecher wies zudem darauf hin, es gebe "kein Gesetz, das es dem FBI erlaubt, ein Gerät an das Netz eines ISP zu hängen, um alle Nachrichten zu filtern". Die ACLU reichte eine Klage ein, um die Offenlegung des Sourcecodes zu erzwingen.

US-Justizministerin Janet Reno beugte sich dem allgemeinen Druck Mitte Juli und kündigte eine Untersuchung an, die zeigen soll, ob Carnivore den in der Konstitution verankerten Schutz der Privatsphäre des Einzelnen verletzt. Als unabhängige Gutachter sollen amerikanische Universitäten das FBI-System unter die Lupe nehmen. Einen ausführlichen Bericht über die Möglichkeiten des Systems erwartet das Department of Justice im Dezember.

Bis dahin ist in Großbritannien bereits ein Gesetz in Kraft, das die Auswirkungen von Carnivore weit in den Schatten stellen dürfte. Die Regulation of Investigatory Powers (RIP) wird zum Oktober rechtskräftig und gestattet es den britischen Ermittlungsbehörden sowie dem Geheimdienst MI5, E-Mails und Internet-Datenkommunikationen im großen Stil mitzuverfolgen. Gründe für diese Form des Abhörens können das Verhindern beziehungsweise die Aufklärung von Verbrechen sein, das Aufspüren der nichtautorisierten Verwendung von Telekommunikationssystemen, Ermittlungen wegen des Verdachts auf Betrug oder Korruption sowie der Schutz von Netzen vor Viren oder Hackern. Im Zweifelsfall können die Fahnder auch den Schutz der nationalen Sicherheit bemühen, der einen Einsatz von RIP allemal rechtfertigt.

Vor dieser Art des umfassenden staatlichen Zugriffs auf die digitale Kommunikation bietet selbst Verschlüsselung keinen Schutz: RIP sieht vor, dass Privatpersonen und Firmen benutzte Chiffriercodes auf Verlangen herausgegeben müssen. Wer sich weigert, muss mit einer Gefängnisstrafe von bis zu zwei Jahren rechnen. Wer einen Schlüssel herausgeben muss, darf niemanden darüber informieren, sonst drohen bis zu fünf Jahre Haft.

Unter RIP sollen Black Boxes bei den britischen Providern installiert werden, die von einem Spionagezentrum im Hauptquartier des MI5 aus kontrolliert werden. Nach Schätzungen der British Broadcast Corp. (BBC) wird die Inbetriebnahme der RIP-Technik in den kommenden fünf Jahren rund 70 Milliarden Dollar kosten. Das Gesetz gilt als der bislang schärfste Eingriff in die Freiheit des Internet.

Während die Regierung sich darauf beruft, dass nur in gesetzlich genau festgelegten Fällen im Internet ermittelt werde, reagierte die britische Öffentlichkeit entrüstet auf diese Vorhaben. Bereits im Juni protestierten insgesamt 50 Organisationen in einem offenen Brief an das House of Lords gegen das Gesetz. Zeitungen wie die "Financial Times", der "Guardian" oder "The Independent" liefen gegen die Verordnung Sturm. Sie befürchteten, RIP werde E-Business, E-Government und andere Internet-Aktivitäten im Keim ersticken, und forderten Nachbesserungen beziehungsweise das komplette Abrücken von dem Gesetz. Einige ISPs, darunter Psinet, Poptel oder Claranet, haben bereits angedroht, ihre britischen Niederlassungen aufzulösen und nach Irland oder Frankreich auszuweichen. Privacy International, eine Organisation zum Schutz der Privatsphäre, will eine internationale Kampagne gegen RIP ins Leben rufen.

Doch nicht nur westliche Staaten versuchen, sich im Rahmen der Strafverfolgung Zugang zur Datenkommunikation zu verschaffen. Auch in Japan ist im Juli ein Gesetz verabschiedet worden, das der Polizei das Abhören von Telefonaten, Faxnachrichten und E-Mails erlaubt, wenn es um die Bekämpfung von Schwerverbrechen wie Drogen- oder Waffenhandel, Mord oder um illegale Einwanderung geht. Auch im Land der aufgehenden Sonne regte sich Widerstand - die Mehrheit der Japaner sieht diese Maßnahme aber wohl als notwendig an, um der organisierten Kriminalität das Handwerk zu legen.

Auch hierzulande hat man sich bereits Gedanken gemacht, wie man in Zeiten des Internet die Verbrechensbekämpfung verbessern und an die veränderten Gegebenheiten anpassen könnte. So versuchte 1997 der damalige Innenminister, Manfred Kanther, ein Gesetz durchzubringen, das den Einsatz von Kryptografieprodukten regeln sollte. Er vertrat die Ansicht, die Strafverfolgungsbehörden müssten die Möglichkeit haben, Datentransfers mit kriminellen Inhalten oder Zielen mitzulesen. Zu diesem Zweck sollten etwa Decodierschlüssel von Krypto-Software bei einer staatlichen Institution hinterlegt werden. Allerdings hatte Kanther mit seinem Vorstoß kein Glück: Das Projekt scheiterte an heftigem Widerstand - nicht zuletzt seitens der Industrie.

Grundsätzlich gilt in Deutschland, dass das Brief-, Post- und Fernmeldegeheimnis unverletzlich ist. Dies garantiert Paragraph 10 des Grundgesetzes. Lediglich in Fällen besonders schwerer Kriminalität ist eine Einschränkung dieses Grundrechts möglich. Im Telekommunikationsgesetz (TKG) ist eindeutig geregelt, dass bei Vorliegen einer hierzu notwendigen schriftlichen Anordnung den ermittelnden Stellen (das können unter anderem Richter, Polizei, der Grenzschutz oder der Bundesnachrichtendienst sein) die Überwachung und Aufzeichnung der Telekommunikation zu ermöglichen ist. Der Betreiber der TK-Anlage muss den Fahndern einen technischen Zugriffspunkt bereitstellen, von wo aus das Abhören erfolgen kann.

Bislang erstreckt sich diese Regelung noch nicht auf die paketorientierte Datenübertragung. Nach Angaben von Harald Summa, Geschäftsführer des deutschen Provider-Verbands Eco (Electronic Commerce Forum), wird das Abhören elektronischer Kommunikation im Zusammenhang mit der Telekommunikations-Überwachungsverordnung (TKÜV) immer wieder hochgekocht. Bislang sei es den deutschen ISPs aber gelungen, sich gegen eine konkrete Regelung zu wehren.

Summa kann sich eine Erweiterung des Gesetzes dahingehend vorstellen, dass auch Provider dazu verpflichtet werden, eine Schnittstelle für die polizeilichen Behörden einzurichten. Dabei gehe es darum, Übertragungsdaten zu speichern, um sie gegebenenfalls zur Auswertung vorlegen zu können. Ein solches Vorhaben wollte auch die Europäische Kommission unter dem Schlagwort "Enfopol" umsetzen (siehe Kasten). Die deutschen Provider halten von dem Thema nichts, weil unter anderem technische Probleme gegen solche Pläne sprechen. Bei derzeit rund 800 MB an Datenvolumen, die laut Summa pro Sekunde durch die Netze der Provider rauschen, müssten riesige Speicher vorgehalten werden, um die kompletten Daten nur eines einzigen Tages zu sichern. Doch Summa sieht auch andere Schwierigkeiten: Im Gegensatz zum Anzapfen von Festnetz- und Mobilfunkleitungen ist es in paketvermittelten Netzen nicht möglich, nur eine konkrete Verbindung abzuhören. "Es müsste der gesamte Verkehr kontrolliert werden, und das halten wir verfassungsrechtlich für bedenklich", kommentiert der Manager.

Die deutschen Provider erhalten Rückendeckung von den europäischen Datenschutzbeauftragten, die ebenfalls Bedenken gegen derartige Überwachungsmaßnahmen angemeldet haben. Auf ihrer Jahreskonferenz in Stockholm im April dieses Jahres wiesen sie darauf hin, dass es "mit der Europäischen Menschenrechtskonvention nicht vereinbar ist, von ISPs zu verlangen, Nutzungsdaten präventiv festzuhalten, um mögliche spätere Anfragen der Sicherheitsbehörden beantworten zu können". Es handle sich dabei um eine unrechtmäßige Verletzung der fundamentalen Rechte, die Individuen durch Artikel 8 der Europäischen Menschenrechtskonvention zugesichert werden.

Dem Abhören von E-Mails und Internet-Kommunikation erteilt auch Joachim Jacob, Bundesbeauftragter für den Datenschutz, eine klare Absage. Obwohl auch aus seiner Sicht der Einsatz von E-Mail-Überwachungsprogrammen à la Carnivore im Rahmen der Strafverfolgung durchaus sinnvoll sein könnte, sei dies nach deutschem Recht so nicht zulässig. Jacob warnt: "Sollten die Vorschriften zur Telekommunikationsüberwachung hier entsprechend erweitert werden, muss sichergestellt sein, dass ein entsprechendes Programm wirklich nur solche Mails abhört und aufzeichnet, die zu der Mail-Adresse gehören, auf die sich die richterliche Anordnung bezieht." Außerdem solle eine unabhängige Stelle derartige Programme auf ihre Funktionsweise überprüfen, damit garantiert ist, dass damit auch nur das getan wird, was rechtlich zulässig ist.

Von einer Lauschangriff-Hysterie, wie sie in den USA um Carnivore entbrannt ist, scheinen wir in Deutschland derzeit noch weit entfernt zu sein. Es dürfte jedoch nur noch eine Frage der Zeit sein, bis die Legislative dem internationalen Trend folgt und aktuelle Gesetze dahingehend erweitert, dass auch das Abhören von E-Mails und Datenkommunikation für die Strafverfolgung hierzulande aus rechtlicher Sicht möglich sein wird. Politik, Interessenverbände, die Industrie und die Öffentlichkeit sollten nun die Chance nutzen, gemeinsam einen besseren Lösungsansatz zu finden, als der, der im nächsten Monat in Großbritannien per Gesetz eingeführt wird.

Martin Seiler

mseiler@computerwoche.de

EnfopolEnde 1998 kam eher zufällig die "Enfopol"-Initiative der Justiz- und Innenminister der Europäischen Union (EU) ans Tageslicht, die auf eine weitgehende Überwachung der europäischen TK- und Internet-Kommunikation zielte. Gemäß einer EU-Rats-Vorlage sollten "gesetzlich ermächtigte Behörden" Zugriff auf den gesamten Fernmeldeverkehr und die Internet-Kommunikation in entschlüsselter Form sowie in Echtzeit erhalten. Neben den reinen Inhalten wollten die Euro-Überwacher sogar einen ungehinderten Blick auf Dauer, Zeit, Gesprächspartner und Standort der überwachten Person sowie auf Kontoverbindungsdaten und Gebührenabrechnung werfen. Nachdem sich unter Datenschützern, Diensteanbietern und Interessenverbänden ein Sturm der Entrüstung erhob, legte der EU-Rat seine Überwachungspläne zunächst auf Eis.