<< zurück

2005: Geheimdienste überwachen unkontrolliert die digitale Kommunikation in Europa

Abstract

Polizei und Geheimdienste können in der Europäischen Union jederzeit für präventive Zwecke die digitale Kommunikation abhören und speichern. Möglich macht dies eine Schnittstelle, die Kommunikationsanbieter auf eigene Kosten einrichten und betreiben müssen. Allerdings haben sie darüber keine Kontrollmöglichkeiten, Missbrauch ist möglich. Die Überwachungsschnittstelle wurde als technische Möglichkeit ohne rechtliche Grundlage von Geheimdiensten, Strafverfolgern und Telekommunikationsunternehmen entworfen. Parlamente waren an Planung und Umsetzung nicht beteiligt.

Sachverhalt & Richtigkeit

In der Europäischen Union sollen Telekommunikationsdaten mindestens zwölf Monate lang gespeichert werden. Hauptbeweggrund hierfür ist das Ziel, Straftaten und Terrorakte verhindern zu können, wenn nur genügend Daten über Verdächtige zur Verfügung stehen. An der technischen Voraussetzung hierfür, einem technischen Standard des Europäischen Instituts für Telekommunikationsnormen (ETSI), arbeiteten Strafverfolger, Geheimdiensmitarbeiter und Telekommunikationsexperten schon seit den 90er Jahren. So beschreibt der ETSI-Meta-Standard ES 201 671 die technische Beschaffenheit einer elektronischen Schnittstelle zur Übergabe von Verbindungsdaten digitaler Kommunikation – im technischen Jargon das so genannte „Handover Interface“. Absender der Daten sind die Telekommunikationsbetreiber, Empfänger die Polizeibehörden und Geheimdienste.

Der Abhörskandal um den griechischen Ministerpräsidenten zeigt, dass diese Schnittstellen missbrauchsanfällig sind. So hatte der Telekommunikationskonzern Vodafone bei internen Untersuchungen feststellen können, dass Unbekannte über diese Schnittstelle eingebrochen und über 100 Telefonanschlüsse von Regierungsangehörigen, führenden Polizei- und Armeeangehörigen, Journalisten, Rechtsanwälten und Nichtregierungsorganisationen illegal abgehört hatten. Ebenfalls erst kürzlich wurde bekannt, dass der US-Geheimdienst NSA (National Security Agency) ähnliche Schnittstellen nutzte, um eigene Staatsbürger auszuspähen.

Die Bemühungen der internationalen Geheimdienste, einen einheitlichen Überwachungsstandard zu kreieren, waren von Beginn an rechtlich nicht legitimiert und fanden nahezu unbemerkt von der Öffentlichkeit statt. Er geht auf ein Abkommen von 1993 zurück, das zwischen den Geheimdiensten der USA, Kanada und Australien sowie den wichtigsten europäischen Mitgliedsstaaten getroffen wurde. Ziel war es, Standards für eine möglichst in Echtzeit stattfindende Überwachung des weltweiten digitalen Datenverkehrs zu entwickeln. Die Medien haben diesen Hintergrund während der Diskussion um die Vorratsspeicherung im Jahre 2005 nicht berücksichtigt.

1993 hatten sich die USA, Kanada und Australien mit den wichtigsten EU-Staaten in den „International Requirements for Interception“ (Internationale Abhöranforderungen) darauf geeinigt, gemeinsam ein System zur Überwachung des Telekommunikationsverkehrs in Echtzeit zu entwickeln. Bei weiteren Treffen wurde das Vorgehen mit Vertretern aller EU-Staaten abgesprochen. Die „Abhöranforderungen“ wurden in „Benutzeranforderungen“ (International User Requirements, IUR) umbenannt.

1994 gingen die „Benutzeranforderungen“ nach heftigen Diskussionen durch den US-Kongress. Zum EU-Ratsbeschluss kam es 1995. Tony Bunyan von Statewatch [UK] deckte damals auf, dass die IUR in einer Nacht- und Nebelaktion fast unverändert und als beschlossene Sache am EU-Parlament vorbei – durch den Fischereiausschuß gingen. Als dies im Jahre 1997 bekannt wurde, kam es zum Eklat.

Dennoch wurde im Mai 2000 das EU-Rechtshilfe-Übereinkommen unterzeichnet, das den Informationsaustausch und die Vernetzung bei Ermittlungen vereinfachen soll und im Detail auch die Möglichkeit zum grenzenlosen Abhören digitaler Kommunikation in §18 regelt. Das EU-Parlament verlangte mehrheitlich die Streichung des §18. Dem wurde aber nicht Rechnung getragen. Die endgültige Fassung wurde dem EU-Parlament nicht einmal mehr vorgelegt.

In der Praxis ermächtigt das das Übereinkommen die Behörden eine Zielperson auf fremdem Hoheitsgebiet bis zu zwölf Tage lang legal abzuhören, ohne dass ein ordentliches Gericht im Zielland das genehmigt hätte. Damit öffnet sich nach Auffassung des Journalisten Erich Moechel den Ermittlern der dauerhafte Zugang zu den „wichtigsten Knotenpunkten der zivilen Kommunikation in Europa“ solange bis ein Gericht im Zielland dies verbietet.

Festgeschrieben ist ES 201 671 in zwei Dokumenten aus den Jahren 1999 und 2001, beide mit dem Titel „Telecommunications security; Lawful Interception (LI); Handover interface for the lawful interception of telecommunications traffic“. Die darin enthaltene Funktionsbeschreibung weist darauf hin, dass die Schnittstelle wesentlich mehr Aufgaben erfüllen kann als lediglich die gezielte Überwachung von Personen. So können mit der Schnittstelle gleichzeitig mehrere, strikt voneinander getrennte Überwachungsmaßnahmen durchgeführt werden. Ferner wurde ein Übertragungsprotokoll zur Übergabe großer Datenmengen gewählt. Bei gezielten Überwachungsaktionen hingegen fallen in der Regel nur geringe Datenmengen an. Dies ist ein Hinweis darauf, dass der Standard nicht nur zur Übertragung von einfachen Verbindungsdaten, sondern auch zum Durchforsten von Betreiber-Logfiles, also von Verbindungsdaten entwickelt wurde.

Zusätzlich sieht die in Deutschland geltende „Technische Richtlinie zur Beschreibung der Anforderungen an die Umsetzung gesetzlicher Maßnahmen zur Überwachung der Telekommunikation“ der Bundesnetzagentur (TR TKÜV) vor, dass die Schnittstelle keinerlei Kontrollmöglichkeiten Seitens des Providers oder sonstiger Instanzen enthalten darf.

In Deutschland werden Anordnungen zur Überwachung von Telekommunikation nach §100b der Strafprozessordnung, §10 des Artikel 10-Gesetzes, §23b des Zollfahndungsdienstgesetzes oder nach Landesrecht geregelt. Den Zugriff des Geheimdienstes regelt dabei die seit November 2005 in Kraft getretene Telekommunikations-Überwachungsverordnung (TKÜV) in §27. Dort heißt es in Artikel 3: „Der Verpflichtete (Anm.: TK-Betreiber) hat in seinen Räumen die Aufstellung und den Betrieb von Geräten des Bundesnachrichtendienstes zu dulden, die nur von hierzu besonders ermächtigten Bediensteten des Bundesnachrichtendienstes eingestellt und gewartet werden dürfen“.

Auch wenn der Zugriff auf Telekommunikationsdaten gesetzlich beschränkt wird, und eine Überwachung nur mit begründetem Verdacht durchgeführt werden darf, so bietet die TKÜV den Geheimdiensten einen unkontrollierten Zugriff auf Telekommunikationsdaten, sofern in den Rechenzentren der TK-Betreiber ES 201 671-konforme Geräte eingesetzt werden. Die Bundesnetzagentur hat auf Anfrage nicht bestätigt, dass die Geheimdienste theoretisch auch ohne richterliche Anordnung und ohne Kenntnis der TK-Anbieter auf die Daten des Telekommunikationsverkehrs zugreifen können.

Relevanz

Die Datensicherheit von digitaler Kommunikation betrifft all diejenigen, die das Festnetz, den Mobilfunk (GSM, GPRS oder UMTS) oder das Internet nutzen. In Deutschland gibt es 54,55 Mio. Telefonanschlüsse (und Dial-Up-Internetanschlüsse), 71,3 Mio. Menschen nutzen den Mobilfunk. Darüber hinaus nutzen derzeit 6,7 Mio. einen Breitband Internetzugang. Angesichts der hohen Teilnehmerzahlen ist das Thema von bundesweitem Interesse.

Vernachlässigung

In deutschen Medien wurde dieses Thema unzureichend behandelt. Zwar gab es einige Artikel in Fachzeitschriften, in überregionalen Zeitungen und Magazinen wurde das Thema jedoch nur selten aufgegriffen.

Expertenstatements

Erich Moechel, leitender Redakteur von futurezone.orf.at und Mitgründer der Initiative „Quintessenz – Initiative zur Wiederherstellung der Bürgerrechte im Informationszeitalter“:
„Rein technisch lässt das Design von ES 201 671 und der dazu gehörigen Standards alle Möglichkeiten offen, solange es keine gesellschaftliche Kontrolle über die Schnittstellen und „Handover Interfaces“ gibt, an denen es den Diensten erstmals möglich sein wird, praktisch alle Datenflüsse der Informationsgesellschaft nahezu in Echtzeit zu kontrollieren. Ich bin mir sicher, dass an der Schnittstelle keinerlei echte Kontrollmöglichkeiten der Transfers hochsensibler, personenbezogener Datensätze für die Zivilgesellschaft bestehen.“

Andy Mueller-Maguhn, Pressepsprecher des Chaos Computer Clubs (CCC):
„Das neue ETSI Paradigma verhält sich hingegen kompatibel zum (US-) CALEA Standard, bei dem nicht mehr die Betreiber von Telekommunikationsanlagen verpflichtet werden, einzelne Maßnahmen durchzuführen, sondern Anlagen bereithalten müssen, bei denen die Bedarfsträger automatisiert Abhörvorgänge einrichten können, von denen Sie selbst ***KEINE*** Kenntnis mehr haben ***DUERFEN***. ES 201 671 ist in diesem Kontext die Beschreibung einer der Übergabeschnittstellen (Handover-Interface), die den Anspruch hat, so abgesichert zu sein, dass keine unbefugten fünften die Schnittstellen bedienen können. Ob das gelungen ist, ist fast nebensächlich, angesichts der mangelnden Definition, was den "Lawful" hier überhaupt noch heißt, vor allem aber angesichts der mangelnden Transparenz (Überschaubarkeit) über die durchgeführten Maßnahmen. Etwaige Statistiken werden von den Bedarfsträgern selbst erstellt“

Alvar Freude, Mitglied des Vorstands des Fördervereins Informationstechnik und Gesellschaft (FITUG e.V.):
„Die Thematik wird von den Medien leider größtenteils ignoriert. Dies betrifft auch den gesamten Bereich der Bürgerrechte im digitalen Zeitalter. Was früher mit einem Blick über die Mauer zu einem Aufschrei geführt hätte, wird heutzutage mehr und mehr stillschweigend akzeptiert. Eine öffentliche Diskussion findet kaum statt.“

Bearbeitet von Alexander Zwierzynski
Betreut von Christiane Schulzki-Haddouti, Institut für Kommunikationswissenschaften, Universität Bonn

Quellen:

<< zurück