2005: Top 5

Geheimdienste überwachen unkontrolliert die digitale Kommunikation in Europa

Polizei und Geheimdienste können in der Europäischen Union jederzeit für präventive Zwecke die digitale Kommunikation abhören und speichern. Möglich macht dies eine Schnittstelle, die Kommunikationsanbieter auf eigene Kosten einrichten und betreiben müssen. Allerdings haben sie darüber keine Kontrollmöglichkeiten, Missbrauch ist möglich. Die Überwachungsschnittstelle wurde als technische Möglichkeit ohne rechtliche Grundlage von Geheimdiensten, Strafverfolgern und Telekommunikationsunternehmen entworfen. Parlamente waren an Planung und Umsetzung nicht beteiligt.

Sachverhalt und Richtigkeit

Der seit den Neunziger Jahren von Polizei, Geheimdiensten und Telekommunikationsindustrie entwickelte ETSI Meta-Standard ES 201 671 beschreibt die technische Beschaffenheit einer elektronischen Schnittstelle zur Übergabe von Verbindungsdaten digitaler Kommunikation, auch „Handover Interface“ genannt. Absender der Daten sind die Telekommunikations-betreiber, Empfänger die Polizeibehörden und Geheimdienste.

Angesichts der derzeitigen Diskussion über Vorratsspeicherung von Telekommunikationsdaten ist die Existenz eines technischen Standards zur Übergabe von Verbindungsdaten an die zuständigen Behörden kaum überraschend. Dass die planerischen Voraussetzungen dieser Standards allerdings auf Abkommen von 1993 zurückführen sind, die zwischen den Geheimdiensten der USA, Kanada und Australien sowie den wichtigsten europäischen Mitgliedsstaaten getroffen wurden, ist medial kaum berücksichtigt worden.

Einigkeit bestand schon damals darüber, Standards schaffen zu wollen, die die Überwachung des weltweiten digitalen Datenverkehrs möglichst in Echtzeit zulassen würden. Begleitend zur Diskussion um die Vorratsspeicherung, im Jahre 2005, hätte dieser Umstand nochmals medial behandelt werden müssen.

Festgeschrieben ist ES 201 671 in zwei Dokumenten aus den Jahren 1999 und 2001, beide mit dem Titel „Telecommunications security; Lawful Interception (LI); Handover interface for the lawful interception of telecommunications traffic“.

Die darin enthaltene Funktionsbeschreibung weist darauf hin, dass die Schnittstelle merklich mehr Aufgaben erfüllen kann als die gezielte Überwachung von Personen. So fordern die „General Requirements“, das mit der Schnittstelle gleichzeitig mehrere, strikt voneinander getrennte Überwachungsmaßnahmen durchgeführt werden sollen.

Ferner wurde ein Übertragungsprotokoll gewählt, das im Allgemeinen zur Übergabe großer Datenmengen dient. Bei gezielten Überwachungsaktionen hingegen fallen in der Regel nur geringe Datenmengen an. Dies ist ein Hinweis darauf, dass der Standard nicht nur zur Übertragung von einfachen Verbindungsdaten, sondern auch zum Durchforsten der Betreiber-Logfiles entwickelt wurde.

Zusätzlich sieht die „Technische Richtlinie zur Beschreibung der Anforderungen an die Umsetzung gesetzlicher Maßnahmen zur Überwachung der Telekommunikation“ der Bundesnetzagentur (TR TKÜV) vor, dass die Schnittstelle keinerlei Kontrollmöglichkeiten seitens des Providers oder sonstiger Instanzen enthalten darf.

Erich Moechel, Chefredakteur des ORF Magazins „Future Zone“ und Gründer von „Quintessenz – Initiative zur Wiederherstellung der Bürgerrechte im Informationszeitalter“ folgert daraus, dass den Geheimdiensten mittels einer ES 201 671-konformen Schnittstelle ein gänzlich unkontrollierter Zugang zu allen digitalen Kommunikationsströmen Europas garantiert wird.

In Deutschland werden Anordnungen zur Überwachung von Telekommunikation nach §100b der Strafprozessordnung, §10 des Artikel 10-Gesetzes, §23b des Zollfahndungsdienstgesetzes oder nach Landesrecht geregelt. Den Zugriff des Geheimdienstes regelt dabei die seit November 2005 in Kraft getretene Telekommunikations-Überwachungsverordnung (TKÜV) in §27. Dort heißt es in Artikel 3: „Der Verpflichtete (Anm.: TK-Betreiber) hat in seinen Räumen die Aufstellung und den Betrieb von Geräten des Bundesnachrichtendienstes zu dulden, die nur von hierzu besonders ermächtigten Bediensteten des Bundesnachrichtendienstes eingestellt und gewartet werden dürfen […]“.

Auch wenn der Zugriff auf Telekommunikationsdaten gesetzlich limitiert wird, und Überwachung nur mit begründetem Verdacht durchgeführt werden darf, so bietet die TKÜV den Geheimdiensten einen unkontrollierten Zugriff auf Telekommunikationsdaten, sofern in den Rechenzentren der TK-Betreiber ES 201 671-konforme Geräte eingesetzt werden.

Die Bundesnetzagentur hat auf Anfrage nicht bestätigt, dass die Geheimdienste theoretisch auch ohne richterliche Anordnung und ohne Kenntnis der TK-Anbieter auf die Daten des Telekommunikationsverkehrs zugreifen können.

Allerdings wurde der konkreten Frage auch nicht widersprochen. In der Antwort verwies Herr Boll, Leiter der Pressestelle der Bundesnetzagentur, nur auf die gültigen Gesetze zur Überwachung von Telekommunikation. Insgesamt bieten diese Informationen genügend Anhalt für das starke Interesse der Geheimdienste an einer lückenlosen Überwachung der digitalen Kommunikation.

Der neueste Skandal der National Security Agency (NSA) bestärkt diese Hinweise zusätzlich. Dabei verwendete die NSA ihre elektronische Präsenz in den US-Auslandswahlämtern und Datawarehouses dafür, eigene Staatsbürger auszuspähen. Das bedeutet: Die NSA hat die US-Schnittstellen – die ganz ähnlich aussehen wie die nach dem ETSI-Standard aufgebauten – dazu verwendet, nach Belieben Daten und Sprache abzuhören.

Weiterhin bekräftigt wird das Interesse der Geheimdienste durch den Umstand, dass alle Anstrengungen der internationalen Geheimdienste zu Beginn rechtlich unlegitimiert und nahezu unbemerkt von der Öffentlichkeit stattfanden. Erste Planungen für die heutigen umfassenden Überwachungsmaßnahmen wurden – wie bereits erwähnt – bereits im Jahre 1993 auf dem Law Enforcement Telecom Seminar“ beschlossen.

Damals einigten sich die USA, Kanada und Australien mit den wichtigsten EU-Staaten in den „International Requirements for Interception“ (=Internationale Abhöranforderungen) auf die gemeinsame Entwicklung eines Systems zur Überwachung des Telekommunikationsverkehrs in Echtzeit und rund um die Uhr.

Bei weiteren Treffen wurde das Vorgehen mit Vertretern aller EU-Staaten abgesprochen. Die „Abhöranforderungen“ wurden jedoch in „Benutzeranforderungen“ (International User Requirements, IUR) umbenannt. 1994 gingen die IUR nach heftigen Diskussionen durch den US-Kongress.

Zum EU-Ratsbeschluss kam es 1995. Tony Bunyan von Statewatch [UK] deckte damals auf, dass die IUR in einer Nacht- und Nebelaktion fast unverändert und als beschlossene Sache am EU-Parlament vorbei – durch den Fischereiausschuss gingen.

1997 kam es zur Aufdeckung des Ratbeschlusses unter widrigen Umständen und damit zum Eklat. Der Druck der Öffentlichkeit verhinderte somit die Ausweitung der IUR auch auf das Internet-Protokoll und GSM. Dennoch wurde im Mai 2000 das EU-Rechtshilfe-Übereinkommen unterzeichnet, dass den Informationsaustausch und die Vernetzung bei Ermittlungen vereinfachen soll und im Detail auch die Möglichkeit zum grenzenlosen Abhören digitaler Kommunikation in §18 regelt.

Das EU-Parlament verlangte mehrheitlich die Streichung des §18. Dem wurde aber nicht Rechnung getragen. Die endgültige Fassung wurde dem EU-Parlament nicht einmal mehr vorgelegt. In der Praxis ermächtigt das Gesetz die Behörden, eine Zielperson auf fremdem Hoheitsgebiet bis zu zwölf Tage lang legal abzuhören, ohne dass ein ordentliches Gericht im Zielland das genehmigt hätte. Damit öffnet sich nach Moechel den Ermittlern der dauerhafte Zugang zu den „wichtigsten Knotenpunkten der zivilen Kommunikation in Europa“ solange, bis ein Gericht im Zielland dies verbietet.

Relevanz

Die Datensicherheit von digitaler Kommunikation betrifft all diejenigen, die das Festnetz, den Mobilfunk (GSM, GPRS oder UMTS) oder das Internet nutzen. In Deutschland gibt es 54,55 Millionen Telefonanschlüsse (und Dial-Up-Internetanschlüsse), 71,3 Millionen Menschen nutzen den Mobilfunk. Darüber hinaus nutzen derzeit 6,7 Millionen einen Breitband Internetzugang. Angesichts der hohen Teilnehmerzahlen ist das Thema von bundesweitem Interesse.

Vernachlässigung

In deutschen Medien wurde dieses Thema unzureichend behandelt. Zwar gab es einige Artikel in Fachzeitschriften, in überregionalen Zeitungen und Magazinen wurde das Thema jedoch nur selten aufgegriffen. Unter den Stichworten ETSI oder ES 201 671 enthielt eine Lexis/Nexis-Recherche keine bedeutenden Treffer. Darüber hinaus sind sich alle befragten Experten darin einig, dass dieses Thema unzureichend von den deutschen Medien behandelt wurde.

________________________________________________________

Quellen

Moechel, Erich: „Die ETSI-Dossiers“, vom 26.03.2001, http://www.heise.de/tp/r4/artikel/7/7220/1.html

Moechel, Erich: „Freund hört mit – Das FBI in Europas UMTS-Netzen“, c’t 20/02, Seite 114

Moechel, Erich und Zwerger, Ina: „Ein Cybercop im Dienst von Interpol – Die internationale Polizeiorganisation und …“, c’t 12/02, Seite 88

Moechel, Erich: „Lauscher am Netz – Die ETSI-Dossiers, Teil 4“, c’t 4/02, Seite 80

Moechel, Erich: „Die ETSI-Dossiers, Teil 3 – Abhörstandards für digitale Netze vor der Verabschiedung“, 17/01, Seite 78

Moechel, Erich: „Späte Bedenken – In letzter Minute finden Bürgerrechte Eingang in das Cybercrime-Abkommen“, c’t 14/01, Seite 32

Moechel, Erich: “Die ETSI-Dossiers II – Der Griff der Geheimdienste nach dem Internet“, c’t 9/01, Seite 54 kostenpflichtiger Download

Moechel, Erich: „Die ETSI-Dossiers – Europäische Standards für das Abhören digitaler Netze“, c’t 7/01, Seite 58

Gesetzestext EU-Rechtshilfe-Übereinkommen

http://europa.eu.int/eur-lex/lex/LexUriServ/LexUriServ.do?uri=CELEX:42000A0712(01):de:HTML

Verordnung über die technische und organisatorische Umsetzung von Maßnahmen zur Überwachung der Telekommunikation (TKÜV)

http://bundesrecht.juris.de/tk_v_2005/BJNR313600005.html

Technische Richtlinie zur Beschreibung der Anforderungen an die Umsetzung gesetzlicher Maßnahmen zur Überwachung der Telekommunikation (TR TKÜV)

http://www.bundesnetzagentur.de/media/archive/3593.pdf

Telekommunikationsgesetz (TKG)

http://bundesrecht.juris.de/tkg_2004/index.html

ES 201 671 von 1999 und 2001

www.ETSI.org

________________________________________________________

Kommentare

Erich Moechel, leitender

Redakteur von futurezone.orf.at und Mitgründer der Initiative „Quintessenz – Initiative zur Wiederherstellung der Bürgerrechte im Informationszeitalter“:

„Rein technisch lässt das Design von ES 201 671 und der dazu gehörigen Standards alle Möglichkeiten offen, solange es keine gesellschaftliche Kontrolle über die Schnittstellen und „Handover Interfaces“ gibt, an denen es den Diensten erstmals möglich sein wird, praktisch alle Datenflüsse der Informationsgesellschaft nahezu in Echtzeit zu kontrollieren.“

„Ich bin mir sicher, dass an der Schnittstelle keinerlei echte Kontrollmöglichkeiten der Transfers hoch sensibler, personenbezogener Datensätze für die Zivilgesellschaft bestehen.“

„Ob dieses Verbot (Anm.: EU-Rechtshilfe-Übereinkommen: Verbot der Abhörung nach richterlicher Verfügung des Ziel-Landes) auch jene Behörden tangiert, die – für Netzbetreiber und sonstige Parteien unsichtbar – an den Schnittstellen Daten zapfen, muss wohl bezweifelt werden.“

Andy Mueller-Maguhn, ist seit 1986 Mitglied im Chaos Computer Club und beschäftigt sich mit den verschiedenen technischen und gesellschaftlichen Aspekten von Informations- und Kommunikationstechnologie, insbesondere den Auswirkungen von Netzarchitekturparametern auf die Kommunikationsräume:

„Das neue ETSI Paradigma […] verhält sich hingegen kompatibel zum (US-) CALEA Standard, bei dem nicht mehr die Betreiber von Telekommunikationsanlagen verpflichtet werden, einzelne Maßnahmen durchzuführen, sondern Anlagen bereithalten müssen, bei denen die Bedarfsträger automatisiert Abhörvorgänge einrichten können, von denen Sie selbst ***KEINE*** Kenntnis mehr haben ***DUERFEN***. ES 201 671 ist in diesem Kontext die Beschreibung einer der Übergabeschnittstellen (Handover-Interface), die den Anspruch hat, so abgesichert zu sein, dass keine unbefugten fünften die Schnittstellen bedienen können. Ob das gelungen ist, ist fast nebensächlich, angesichts der mangelnden Definition, was „Lawful“ hier überhaupt noch heißt, vor allem aber angesichts der mangelnden Transparenz (Überschaubarkeit) über die durchgeführten Maßnahmen. Etwaige Statistiken werden von den Bedarfsträgern selbst erstellt.“

Alvar Freude, Mitglied des Vorstands des Fördervereins Informationstechnik und Gesellschaft (FITUG e.V.):

* „die (Anm.: Äußerungen dieses Reports) kann ich Ihnen – nachdem was ich zu dem Thema weiß – durchaus bestätigen.“
* „Ich möchte mich ausdrücklich dafür bedanken, dass Sie sich mit dem Thema beschäftigen, (staatliche) Überwachung und Kontrolle gehört mit Sicherheit zu den stark vernachlässigten Themen.“
* „[…] die Thematik wird von den Medien leider größtenteils ignoriert.
Dies betrifft auch den gesamten Bereich der Bürgerrechte im digitalen
Zeitalter. Was früher mit einem Blick über die Mauer zu einem Aufschrei
geführt hätte, wird heutzutage mehr und mehr stillschweigend
akzeptiert. Eine öffentliche Diskussion findet kaum statt.“