2007-05-17

Lauschverhalten unter der Lupe

Dabei geht es nicht “nur³, wie bei der gerade von der EU beschlossenen Vorratsdatenspeicherung
(siehe Seite 18 dieser Ausgabe der c’t), um die Verbindungsdaten wie Mail-Header oder IP-Adressen, sondern um die Inhalte der einzelnen Nachrichten.

Liegt eine Überwachungsanforderung durch Strafver- folgungsbehörden vor, ist der E-Mail-Provider verpflichtet, die betroffenen E-Mails über das VPN
der Sinabox weiterzuleiten.

Laut TKG mussten alle Provider mit über 1000 E-Mail-Accounts eine standardisierte Schnittstelle für die so genannte “Ausleitung von E-Mail³ an
die Bedarfsträger, das sind Strafverfolgungsbehörden und Polizeidienststellen, einrichten. Seit kurzem wurde immerhin die Untergrenze für die Firmen, die zur Überwachung verpflichtet sind, auf 10 000
E-Mail-Accounts heraufgesetzt. Für die Überwachung müssen die Dienstleister von der Bundesnetzagentur vorgeschriebene Hardware anschaffen, die so
genannte Sinabox – diese soll sicherstellen, dass kein Unbefugter das Abgehörte abhört; für die Übertragung der mitgelauschten E-Mails wird ein
VPN zu den abhörenden Behörden aufgebaut. Mittlerweile gibt es externe Dienstleister, die solche Boxen im Rahmen einer Komplettlösung für die
Überwachungsanforderungen nach dem Telekommuni- kationsgesetz anbieten. Die Provider müssen über die Einrichtung der Schnittstelle hinaus innerhalb ganz
kurzer Fristen und “im Bedarfsfall³ auch rund um die Uhr den Schalter für die Ausleitung der E-Mails umlegen können.

Nachdem die Investitionen getätigt und die Waffen- schränke gefüllt sind, mehren sich die Fragen nach der Verhältnismäßigkeit der Maßnahme. Nach
Angaben von E-Mail-Dienstleistern gegenüber c’t stehen der Aufwand für die einzurichtende Technik und deren Betriebskosten in keinem Verhältnis zum
Bedarf, den die Strafverfolger bislang angemeldet haben. Für den Gesetzgeber scheint dies aber keine Rolle zu spielen, nachdem das Gesetz einmal gemacht
ist; mit einer deutschen Übergangslösung zum Abhören von Voice-over-IP und der Umsetzung der EU- Richtlinie zur Vorratsdatenspeicherung verordnet er
bereits die nächsten Überwachungsinvestitionen.

Absurdes Verhältnis

Keine einzige Anfrage zur E-Mail-Überwachung verzeichnet beispielsweise der Provider Claranet bislang für das Jahr 2005. Markus Bach, deren Leiter IT Systems, weiß nicht so recht, ob er darüber lachen oder weinen soll:
“Natürlich ist es gut. Aber man fragt sich schon auch, wofür man das System für so viel Geld eingerichtet hat.³ Obwohl Claranet sich mit anderen
Providern zusammengetan hat, um die Bedingungen zu erfüllen und so nur einmal die geforderte Hardware aufstellen zu müssen, hat man rund 100 000 Euro investiert. “Man hat die große Keule ausgepackt, aber der Aufwand steht in keinem Verhältnis mehr zu dem, was man zu erreichen hofft.³

Eine einzige Testanfrage erhielt etwa Strato, einer der größten Webhoster in Deutschland, nach Implementierung eines immerhin 200 000 Euro teuren
Systems. Und dabei gab es noch Schwierigkeiten mit der Gegenstelle. Ein Anbieter einer der vielen kommerziellen Lösungen zur Einrichtung und
Durchführung der E-Mail-Überwachung nennt ähnliche Zahlen für seine Kunden:
ein bis drei Anfragen im vergangenen Jahr. MCI wiederum berichtet für 2005 ebenfalls von keiner einzigen Anfrage.

Besonders im Bereich der E-Mail-Dienstleister, die sich auf Firmen als Kunden spezialisiert haben, wartet man noch auf die erste Anordnung zum
E-Mail-Mitlesen. “Ein Terrorist kauft sich eben kein Businesspaket³, kommentiert Bach von Claranet leicht sarkastisch. Manch kleiner Provider hat aus der Erfahrung der vergangenen Jahre daher erst einmal den Schluss gezogen:
“Bevor ich nicht die erste Anordnung bekomme, investiere ich nicht.³ Eine Strategie, die nicht ganz ohne Risiko ist, drohen doch saftige Bußgelder bis zu einer Höhe von 500 000 Euro.

Lorenz Kappei, Jurist beim Webhoster und Internet-Dienstleister 1&1, sieht das Dilemma für die kleineren Firmen: “Für die ist der Aufwand kaum geringer als für uns.³ Rund 60 000 Euro hat man bei 1&1 investiert, je zur Hälfte für Hardware und Personal. Zur Anpassung der selbst entwickelten
Softwarelösungen für die angebotenen Dienst- leistungen an die Abhörbedürfnisse musste allerdings die 1&1-Entwicklerabteilung zwei Monate bei der Programmierung von Kundenprojekten kürzer treten.

Verpflichtete und Bedarfsträger

Bei 1&1 bemängelt man weniger das Missverhältnis zwischen stillschweigend vom Staat geforderten Investitionen und tatsächlichem Bedarf, auch wenn man nicht restlos überzeugt davon ist, dass das per “Technische Richtlinie Telekommunikations- überwachung³ (TRTKÜ) festgezurrte System zur Erfüllung der Überwachungsanforderungen wirklich so viel besser funktioniert als die frühere Vorgehensweise. Man habe durchaus auch schon vorher
Überwachungsanfragen beantwortet. Was Kappei mehr stört, ist, dass die Verpflichteten auf allerlei Fristen festgelegt sind und selbst dann zur
Verantwortung gezogen werden, wenn es einmal bei der Gegenstelle auf Strafverfolgungsseite hakt. Früher sei zur Not improvisiert worden, “heute müssen die Verpflichteten dafür sorgen, dass alles klappt. Wir müssen selbst den zwingend notwendigen Originalbe- schlüssen, die spätestens zwei Tage nach einem Fax auch bei uns vorliegen müssen, nachlaufen³. Insgesamt eine Arbeitsstelle, so rechnet man bei 1&1, braucht man für die Abwicklung. Bei 1&1 ist die Arbeit jedoch auf Operatoren und Juristen verteilt.

Entgegen den Auskünften von anderen Providern geht Kappei allerdings davon aus, “dass die Begehrlich- keiten wachsen werden³. Da man jetzt so ein tolles
System habe und die berechtigten Stellen schöne Ablaufpläne bekommen hätten, brauche man schließlich nur noch zuzugreifen. Gegen den Trend bei anderen
Providern verzeichnete man bei 1&1 daher auch einen Zuwachs der Anordnungen um 50 Prozent, die Zahl der Anfragen ist damit dreistellig. Damit dürfte 1&1
den größten Batzen der Anordnungen zur E-Mail- Überwachung erhalten. Die Statistiken der Bundes- netzagentur weisen – nach einem Rückgang seit dem Jahr 2003 um die Hälfte – für 2004 gerade einmal 78 gemeldete E-Mail-Überwachungen aus. Für das Jahr 2005 wertet man bei der Bundesnetzagentur die gemeldeten Zahlen noch aus.

Derweil haben sich bei der Bundesnetzagentur zehn Voice-over-IP-Anbieter gemeldet, die pflichtgemäß zum Ende des Jahres die nächste Überwachungsmaßnahme umsetzen: die Übergangslösung für Internet- Telefonie.
Noch bis Mitte nächsten Jahres genügt es, schlicht die am Server für das Session Initiation Protocol (SIP) relativ leicht auslesbare Signalisierung
an die Strafverfolger zu übergeben. Bis Mitte 2006 sollen dann auch noch die Gesprächsinhalte von VoIP-Telefonanten für die Strafverfolger zugänglich
gemacht werden. Bei einigen Dienstleistern, die Überwachungslösungen für E-Mail angeboten haben, gibt es das Modul für VoIP zum Teil schon länger,
andere haben nun nachgerüstet.

Bei der Kieler Firma Netuse, die mittelständischen Providern eine selbst entwickelte Lösung zum Preis von 50 000 bis 250 000 Euro angeboten hat, ist
man nach eigenen Angaben auch schon für die Gesprächsübergabe bei VoIP gerüstet; der Standard der europäischen Normierungsbehörde ETSI liege vor.
Claranet-Manager Bach sagt mit Blick auf die VoIP-Überwachung, die auch sein Unternehmen umsetzten muss: “Natürlich kann man alle SIP- Gespräche über einen speziellen Proxyserver zwingen, doch hat man dann einen der Hauptvorteile zunichte gemacht, das paketvermitteltes Telefonieren im
Vergleich zu leitungsvermittelten Gesprächen bietet.³ Beim Provider 1&1, wo man sich über Wachstumsraten bei VoIP freut, rauft man sich mit Blick auf das Datenvolumen, das dann über dedizierte Server gehen müsste, schon einmal die Haare.

Ende der Debatte

In all den Diskussionen um die Überwachung von E-Mail und Voice-over-IP haben die Provider allerdings keinen leichten Stand, wenn sie mit
Machbarkeit, Praktikabilität oder gar Wirtschaft- lichkeit argumentieren. Ganz schnell bekomme man das Totschlagargument präsentiert: “Wollen Sie
verantworten, dass ein Terroranschlag nicht verhindert oder aufgeklärt wird?³ Jede weitere Auseinandersetzung wird damit von vornherein beendet.
Den Nachweis, dass feste Überwachungseinrichtungen tatsächlich für die Ermittler notwendig sind, können Strafverfolger und Politiker dann anscheinend schuldig bleiben.

Genauso ist man übrigens auch bei der EU-Richtlinie zur Vorratsdatenspeicherung verfahren, die große Provider wie 1&1 hohe sechsstellige Beträge, Netzwerkbetreiber wie MCI zweistellige
Millionenbeträge kosten könnte. Noch am Tag der Abstimmung in Straßburg konnte – oder wollte – man beim Bundeskriminalamt in Wiesbaden nichts zu den
Ergebnissen einer von der Behörde durchgeführten Umfrage unter deutschen Dienststellen zur Notwendigkeit der Speicherung der Verbindungsdaten sagen.
Das war ja auch nicht erforderlich: Die EU-Gremien haben die Richtlinie zur Datenspeicherung einfach einmal auf Vorrat verabschiedet. (jk)
Text von www.heise.de:

Monika Ermert

Literatur

¹ Telekommunikationsgesetz

² Technische Umsetzung von Überwachungsmaßnahmen, Informationen der
Bundesnetzagentur zur “Technischen Richtlinie Telekommunikationsüberwachung³

³ Zusätzliche Informationen der Bundesnetzagentur für die Betreiber von
E-Mail-Servern zur “Technischen Richtlinie Telekommunikationsüberwachung³

[http://www.heise.de/ct/06/01/044/]