Terrorbekämpfung
Zweckfreie Überwachung?

SicherheitSicherheitsmanagement

Seit Anfang Januar können Ermittlungsbehörden wie Polizei und BND beliebige E-Mail-Konten aus der Ferne belauschen. Die Provider müssen dafür tief in die Tasche greifen und zweifeln am Sinn der Maßnahme.

Der Überwachungsstaat ist da

Terrorbekämpfung

Nach Belieben lesen Staatsanwälte, Polizisten und Verfassungsschützer jede einzelne E-Mail, die durch die Mail-Server der deutschen Provider wandert unbemerkt vom Provider und natürlich auch vom Mail-Schreiber. Solch düstere Befürchtungen hegen Datenschützer und Bürgerrechtler anlässlich der zum 1. Januar 2005 erweiterten Telekommunikations-Überwachungsverordnung, kurz: TKÜV.

Ursprünglich wurde die TKÜV im Jahr 2002 als Reaktion auf die Terroranschläge vom 11. September 2001 in den USA aus der Taufe gehoben. Sie sollte die deutsche Überwachungsverordnung auf den neuesten Stand bringen. Die neue Version TKÜV 4.1 beschäftigt sich mit dem Belauschen von E-Mail-Accounts, die bei großen Providern wie AOL, GMX, Freenet oder T-Online millionenfach vorhanden sind. Aber auch kleinere Provider müssen mitziehen und auf eigene Kosten Abhörtechnik anschaffen.

Mit Hilfe dieser Abhör-Hard- und Software können die Staatsschützer über das Internet ein verdächtiges Postfach überwachen. Fein heraus sind Firmen und Organisationen wie Universitäten: Da ihre Mail-Server einzig intern von Mitarbeitern genutzt werden, müssen hier keine Überwachungs-Maßnahmen getroffen werden. Lediglich öffentlich zugängliche Mail-Server werden überwacht und das auch nur, wenn der Provider mehr als 1000 Kunden hat. Das trifft aber selbst auf kleine Stadtnetz-Anbieter zu, da sie mit weniger Usern gar nicht rentabel arbeiten könnten. Neben klassischen E-Mail-Providern müssen auch Internet-Hosting-Firmen wie das kürzlich von Freenet übernommene Strato oder die Firma Intergenia mitziehen. Denn sie bieten zu jedem Web-Hosting-Paket immer auch E-Mail-Adressen an


Big Brother? Fehlanzeige

Terrorbekämpfung

Allumfassende Lauschexzesse werden weder durch die neue TKÜV noch durch die neuen technischen Gegebenheiten möglich. Denn nach wie vor ist eine richterliche Anordnung nötig und die erfolgt nur bei der Verfolgung schwerer Straftaten. Ohne Anordnung müssen die Provider keine einzige E-Mail herausrücken. Ein heimliches Einklinken durch neugierige Staatsschützer in die Netze der Provider ist demnach ausgeschlossen. Ohne aktives Zutun des Providers ist keine Überwachung möglich: Erst nach Eingang der Anordnung beim Provider wird die betreffende Mailbox überwacht. Von da an können die Ermittler freilich alle Bewegungen innerhalb des Postfaches erfassen und speichern. Dazu gehören alle ein- und ausgehenden Mails samt Attachment. Auch das Löschen von Mails oder das Verschieben einer empfangenen Mail in einen Unterordner der Inbox wird registriert.

Da die gesetzlichen Vorgaben fürs Lauschen streng sind, treten auch die Datenschützer nicht auf den Plan. Aus dem Büro des Bundesdatenschutzbeauftragten Peter Schaar ist zu hören, dass keine Bedenken gegen die Providerüberwachung bestehen.

Um die Erfassung des Postfachs kümmert sich eine Software (siehe Absatz »Mehrwege-Lauschangriff«). Welche Software das ist, bleibt den Providern überlassen genau wie sie auch die Kosten dafür selbst tragen. Und die können immens hoch sein. Über 100 000 Euro hat beispielsweise QSC in die notwendige Infrastruktur investiert. Pro Jahr rechnet der DSL-Provider mit weiteren 15 000 Euro an Unterhaltskosten. Die Firma 1&1 hat ähnlich viel investiert, rechnet aber mit niedrigen Folgekosten, da alle nötigen Programme und Software-Schnittstellen selbst entwickelt wurden. Allein dafür wurden jedoch 70 000 Euro aufgewendet.

Ein Versprechen ist trotz der unterschiedlichen Lösungen unisono von allen Providern zu hören: Keinesfalls sollen die immensen Kosten auf die Kunden abgewälzt werden.

Bei kleineren Providern und davon gibt es etliche Tausend in Deutschland sind solche Rieseninvestitionen aufgrund der einfacheren Infrastruktur nicht nötig. Gratis kommen die Kleinen trotzdem nicht davon, da sie zumindest die Sina-Box (siehe nächster Absatz) anschaffen müssen. Kritiker befürchten, dass viele kleine Provider durch die Investitionen in den Ruin getrieben werden.


Monopol bei VPN-Gateways

Terrorbekämpfung

Egal, welche Software zum Einsatz kommt, die eigentliche Verbindung zwischen Providern und lauschberechtigten Staatsdienern kommt immer über das gleiche Stück Hardware zustande: die so genannte Sina-Box (Sichere Inter-Netzwerk-Architektur) der Firma
Secunet
. Die Box ist nichts anderes als ein IPSec-basiertes VPN-Gateway. Nachdem sie aber als bisher einziges VPN-Gerät die nötigen Sicherheitsprädikate wie »VS-Vertraulich« oder »Streng Geheim« vom Bundesamt für Sicherheit in der Informationstechnologie trägt, können die Provider momentan einzig die knapp 5000 Euro teure Box kaufen ein staatlich durch die
Regulierungsbehörde für Post und Telekommunikation (RegTP)
verordnetes Monopol. Denn die RegTP ist mit der Umsetzung der Providerüberwachung betraut und hat alle technischen Details erdacht.

Außerdem muss die RegTP auch bei jeder einzelnen Abhöraktion mit eingeschaltet werden, da der Verbindungsaufbau zwischen den Sina-Boxen von Provider und Strafverfolger nur nach Vermittlung durch die Datenbank der Regulierungsbehörde zustande kommt. Ein weiterer Schritt, um willkürliches Abhören zu erschweren.


Mehrwege-Lauschangriff

Terrorbekämpfung

Mit der eigentlichen Überwachung haben die Boxen nichts zu tun, stellen sie doch lediglich eine sichere Verbindung her, um abgehörte Mails vom Provider weg zu transferieren. Ums Auslesen kümmert sich zum Beispiel im Fall von QSC eine Sniffer-Software, die den vollständigen Mail-Verkehr direkt am Ethernet-Switch mitschneidet. So umgeht QSC einen Proxy-Server, der dem Mail-Server vorgeschaltet werden müsste und so Probleme verursachen kann: Fällt der Proxy aus, kommt der komplette Mail-Verkehr zum Erliegen. Ebenso unpraktisch sind Plug-ins für den Mail-Server, da diese aufgrund der vielen eigens entwickelten Mail-Server nicht von der Stange zu haben sind. Von daher hat 1&1 auch sämtliche Software selbst entwickelt. Zusätzlich setzt der Provider auf eine Reihe von Proxy-Servern, die den Mail-Verkehr auslesen können.

Sehr bedeckt hält sich Freenet. Die Hamburger wollten auf Nachfrage keinerlei Details über die notwendigen Neuerungen mitteilen. Einzig verraten wurde, dass alles rechtzeitig zum 1. Januar am Start war und das komplette Projekt »TKÜV« weit mehr als 100 000 Euro gekostet hat.

Das ist immer noch deutlich mehr, als vom DSL-Primus T-Online zu erfahren war. Denn die Telekom-Tochter war trotz wiederholter Anfragen nicht zu erreichen.


Und wozu das Ganze?

Terrorbekämpfung

Den Sinn von Terror- und Straftatbekämpfung stellt kein Provider in Frage. Doch viele bezweifeln, ob die Überwachungstechnik der richtige Weg ist. Denn trotz sündhaft teurer Software bleibt der Staat außen vor, wenn Straftäter ihre Mails mit Tools wie PGP verschlüsseln. Dann belauscht der Strafverfolger lediglich unlesbaren Datenmüll. Die Straftäter müssten schon sehr ungeschickt sein, um den Ermittlern unverschlüsselte E-Mails etwa mit dem Einsatzplan für einen Terroranschlag auf dem Silbertablett zu servieren. Der RegTP ist dieses Problem natürlich bewusst. Auf Nachfrage von PC Professionell konnte ein Sprecher aber auch keine konkrete Antwort liefern, wie sich das Bundesinnenministerium das Überwachen von E-Mails in diesem Fall vorstellt.

Ebenso stumpf ist das TKÜV-Schwert bei ausländischen E-Mail-Providern. Selbst wenn ein Terrorist in Deutschland beheimatet ist: Verschickt er seine Mails beispielsweise über
www.hotmail.com
oder
www.yahoo.com
, bleibt er hierzulande unbehelligt.

Zudem meinen Branchengrößen wie 1&1, dass der ganze Aufwand überzogen ist. Denn im ganzen Jahr 2004 wurden lediglich 70 Überwachungsanfragen an den Provider herangetragen. Angesichts der über 1,2 Millionen Kunden eine lächerlich geringe Anzahl, die auch ohne aufwändige Technik leicht zu handhaben wäre. Deutschlandweit gab es im Jahr 2003 laut RegTP übrigens insgesamt nur knapp 120 Überwachungen von Mail-Postfächern.

QSC-Sprecherin Claudia Zimmermann rechnet aber aufgrund des nunmehr einfacheren Zugriffs auf die Postfächer mit einem starken Anstieg der Überwachungen. Sie verweist auf das ebenfalls durch die TKÜV geregelte Überwachen von Mobiltelefonen. Hier stieg die Zahl der jährlichen Lausch-Anordnungen binnen weniger Jahre von Null auf über 20 000. Zimmermann erwartet, dass diese Zahl bei den E-Mail-Postfächern in den kommenden Jahren noch weit überschritten wird. Diese Bedenken teilen auch die Datenschützer. Trotz der prinzipiellen Zustimmung zur TKÜV fürchten sie, dass durch die neuen technischen Möglichkeiten bislang unbekannte Begehrlichkeiten geweckt werden und die Nachfrage nach richterlichen Anordnungen immens zunimmt.


Absurde Ideen

Terrorbekämpfung

Innerhalb der EU wird derzeit über eine Vorratsdatenspeicherung diskutiert. Das bedeutet, dass Provider alle Verbindungsdaten über einen längeren Zeitraum im Gespräch sind bis zu drei Jahre speichern müssen. Neben einem irrsinnig großen Datenaufkommen, das wiederum die Provider allein zu bewältigen hätten, brächte dies datenschutzrechtliche Probleme mit sich, da laut Bundesverfassungsgericht eine zweckfreie Speicherung von Daten nicht zulässig ist. Datenschützer befürchten, dass so das Recht auf informelle Selbstbestimmung ausgehöhlt wird.

Vollends absurd ist nach Meinung von Experten die in der TKÜV angedeutete Idee, auf Verdacht VoIP-Telefonate mitzuschneiden. Pro Gesprächs-Minute fallen hier nämlich rund 1,2 MByte Daten an. Angesichts des VoIP-Booms ist in Kürze mit etlichen hundertausend Gesprächen ins Festnetz pro Monat zu rechnen und ein Provider muss Terabytes an Daten speichern.

Selbst wenn VoIP-Gespräche analog der jetzigen E-Mail-Regelung nur im Einzelfall belauscht werden sollen, tut sich ein immenses technisches Problem auf, da die Teilnehmer nur zum Verbindungsaufbau den zentralen Provider-Server benötigen. Das eigentliche Gespräch führen sie direkt. Wie dann belauscht werden soll, ist keinem klar und auch die RegTP hat keine Antwort.