Das Originaldokument, 1: ENFOPOL 98, vom 3. September 1998

Seite 14: Teil 2: Ergänzende Anforderungen

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

A. ANFORDERUNGEN IN BEZUG AUF DIE BEREITSTELLUNG VON TEILNEHMER- UND VERBINDUNGSRELEVANTEN DATEN

Allgemeines

Die nachfolgend angeführten Anforderungen der gesetzlich ermächtigten Behörden beziehen sich auf Informationen über:

  1. die Identität von Teilnehmern;
  2. die von den Teilnehmern verwendeten Dienste, Geräte und Leistungsmerkmale; und
  3. die Verwendung von Telekommunikationsdiensten (Gehürenaufzeichnungen, Internet-Footprints etc.) durch Teilnehmer.

Anwendbare Dienste

Die gesetzlich ermächtigten Behörden fordern Zugriff auf Informationen über nachfolgend demonstrativ angeführte Telekommunikationsdienste:

  1. Leitungsvermittelte Telefondienste, z.B. PSTN, ISDN;
  2. Terrestrische mobile Dienste, z.B. GSM, AMPS, D-AMPS, CDMA, DCS 1800;
  3. Satellitengestützte mobile Dienste, z.B. Iridium, Globalstar, ICO;
  4. Gebündelte mobile Dienste, z.B. TETRA;
  5. Internet-Dienste sowohl mit Wähl- als auch mit fixem Zugriff;
  6. Wertkartendienste, sowohl vorausbezahlt als auch kontogestützt;
  7. Rückrufdienste Fernverkehrs- und internationale Dienste;
  8. Paging-Dienste,
  9. Datendienste z.B. X.25, X.400, ATM, Frame Relay; und
  10. Voice Mail-Dienste.

Die gesetzlich ermächtigten Behörden benötigen auch die Mittel für den Zugriff auf Informationen über Teilnehmer in anderen Ländern in Situationen, in denen diese Teilnehmer vielleicht innerhalb der Zuständigkeit der Behörde operieren. Beispiele, die diese Situationen umfassen, sind aber nicht auf folgendes beschränkt:

  1. Internationale mobile Roaming-Teilnehmer;
  2. Teilnehmer von S-PCS, beispielsweise lridium; und
  3. Teilnehmer von internationalen Betreibern, wo sich die Teilnehmerdatenbank in einem anderen Land befindet.

Anforderungen

Basierend auf der Ratsentschließung vom 17.1.1995, sind in Ergänzung zu den bestehenden Anforderungen im Pkt. 6, die folgenden Punkte 6.1. - 6.7. als Ergänzung anzuhängen.

6. Vor Durchführung der Überwachung fordern die gesetzlich ermächtigten Behörden beim Netzbetreiber/Diensteanbieter im Rahmen einer rechtmäßigen Anfrage folgende Informationen an: (1) Angaben zur ldentität der überwachten Person, die Rufnummer oder eine andere Kennung; (2) Informationen über die Dienste und Leistungsmerkmale des Telekommunikationssystems, welche die überwachte Person in Anspruch nimmt und die von Netzbetreibern/Diensteanbietern bereitgestellt werden; (3) Informationen über die technischen Parameter für die Übertragung an die Überwachungseinrichtung der gesetzlich ermächtigten Behörden (Anforderungen Pkt. 6. - Abl. 96/C 329/01)

ERGÄNZENDE ANFORDERUNGEN zu Pkt. 6.

6.1.Die gesetzlich ermächtigten Behörden fordern den Zugriff auf Informationen über die Identität des Subjektes im Besitz von Betreibern/Anbietern von Telekommunikationsnetzen, Telekommunikationsdiensten und Internet-Diensten. Beispiele, die diese Informationen umfassen, sind aber nicht auf folgendes beschränkt:

  1. den vollständigen Namen und die vollständige Adresse des Überwachten, einschließlich Postleitzahl;
  2. den vollständigen Namen und die vollständige Adresse (einschließlich Postleitzahl) der Person, die die Rechnung für die dem Überwachten bereitgestellten Dienste bezahlt;
  3. ausreichende Kreditkartendetails, um das Kundenkonto zu identifizieren, wenn der Überwachte mit Kreditkarte bezahlt; und
  4. den Namen und die Adresse, wie sie im Verzeichnis angegeben sind.

Die gesetzlich ermächtigten Behörden fordern das Mittel für den Zugriff auf Informationen über Numerierungspläne oder Identifizierungsnummern für Telekommunikationsdienste, um bei der Idenitifizierung des Betreibers eines Überwachungssubjekts zu helfen. Zu den typischen Diensten, die vielleicht identifiziert werden müssen, zählen folgende, sind aber nicht darauf beschränkt:

  1. ISDN-Dienste;
  2. Paketvermittelte und leitungsvermittelte Dienste,
  3. Telex-Dienste;
  4. Internet-Domain-Namen.

6.3. Die gesetzlich ermächtigten Behörden fordern Zugriff auf Informationen im Besitz von Betreibern/Anbietern von Telekommunikationsnetzen, Telekommunikationsdiensten und Internet-Diensten über die Dienstnummer oder eine andere eindeutige Kennung des Überwachten. Beispiele, die diese Informationen umfassen, sind aber nicht auf folgendes beschränkt:

  1. Vom Überwachten verwendete Dienst- und Leistungsmerkmaltypen; Drahtgebundene Rufnummern;
  2. Technische Kennungen und Codes von Telekommunikationsgeräten, z.B. MSISDN, IMSI und IMEI bei GSM, die der Überwachte vom Betreiber erhält;
  3. Das Mittel, mit dem ein Betreiber einen Internet-Teilnehmer auf einer Kabel-TV-Leitung identifiziert;
  4. Benutzerkennung oder -code, die vom Anrufer angegeben und von einem Internet-Anbieter verwendet werden, um den Benutzer zu authentifizieren und zu vergebühren;
  5. Kabel- oder Kanalkennungen für Festpunktdienste;
  6. IP-Adresse für Benutzer von fixen Internet-Diensten,
  7. Zugehörige Rufnummer für einen Voice Mail-Dienst;
  8. e-mail-Adresse;
  9. PIN oder Code, die vom Anrufer angegeben und von einem Anbieter verwendet werden, um den Benutzer von Wertkartendiensten zu authentifizieren und zu vergebühren; und Das Mittel, mit dem ein internationaler oder Fernverkehrsbetreiber einen Anrufer authentifiziert.

6.4.Die gesetzlich ermächtigten Behörden fordern Zugriff auf Informationen im Besitz von Betreibern/Anbietern von Telekommunikationsnetzen, Telekommunikations- und Internet-Diensten über die optionalen Dienste und Merkmale des Überwachten. Beispiele für diese Informationen umfassen, sind aber nicht auf folgendes beschränkt:

  1. In drahtgebundenen öffentlichen Telefonnetzen gehören zu diesen Leistungsmerkmalen Anrufumleitung, Anklopfen, Anrufübergabe, Vorauswahl eines Fernverkehrsbetreibers, Voice Mail und Kurzwahl;
  2. In GSM-Netzen umfassen diese Leistungsmerkmale zusätzlich MSISDN für Fax und Daten, Voice Mail, SMS, spezielle Roaming-Genehmigung und Hochgeschwindigkeitsdaten; und
  3. Bei Internet-Diensten können sie sowohl e-mail als auch e-mail-Umleitung umfassen.

Diese Anforderung gilt auch für jene Dienste, die die Verwendung von vorausbezahlten Wertkarten beinhalten.

6.5. Die gesetzlich ermächtigten Behörden fordern Zugriff auf Verkehrs- und Vergebührungsaufzeichnungen eines Überwachten.

6.6. Die gesetzlich ermächtigten Behörden fordern von den Betreibern/Anbietern von Telekommunikationsnetzen, Telekommunikationsdiensten und Internet-Diensten das Gebühren eines aktuellen Verzeichnisses der IMEI-Codes der mobilen Kommunikationsgeräte, die von diesen Betreibern an ihre Kunden verkauft werden.

6.7. Die gesetzlich ermächtigten Behörden fordern, daß die gesamte Teilnehmerinformation in einer Suche erhalten wird, die mit folgendem beginnt:

der Dienstnummer oder einer anderen eindeutigen Kennung oder
einem der Elemente der vorstehend angegebenen Teilnehmeridentität, d.h. Name oder Adresse oder Kreditkartendienst.

A. ANFORDERUNGEN FÜR SICHERHEITSMASSNAHMEN BEI NETZBETREIBERN/DIENSTEANBIETERN

Einführung Es werden die Anforderungen für Sicherheitsmaßnahmen spezifiziert, die Netzbetreiber/Diensteanbieter erfüllen müssen. Diese Anforderungen werden zur Wahrung der Interessen der zur Durchführung von Telekommunikationsüberwachungen ermächtigten gesetzlich ermächtigten Behörden festgelegt. Diese Anforderungen sind Erweiterungen der Anforderungen der Ratsentschließung vom 17.1.1995 Punkte 3.5, 5., 5.1, 5.2, 5.3), (Abl. 96/C 329/01). Die Einhaltung dieser Anforderungen soll folgendes sicherstellen: Schutz der Interessen der von einer Überwachung betroffenen Personen vor Offenbarung ihres Telekommunikationsverkehrs an andere Parteien als die überwachende Behörde;
Verhinderung, daß der Zugriff der überwachenden Behörden auf die Telekommunikation blockiert wird;
und Verhinderung sowie Rückverfolgung des Mißbrauchs der technischen Einrichtungen zur Überwachung von Telekommunikation, die von den Netzbetreibern/Diensteanbietern verwendet werden.
ERGÄNZENDE ANFORDERUNGEN:

11. Die gesetzlich ermächtigten Behörden fordern, daß der Netzbetreiber/Diensteanbieter an seinem Standort Sicherheitsverfahren implementiert. Diese Verfahren sind mit den gesetzlich ermächtigten Behörden zu vereinbaren.

11.1. Der Netzbetreiber/Diensteanbieter soll regelmäßigen Sicherheitskontrollen durch die gesetzlich ermächtigten Behörden zustimmen.

11.2. Überwachungsanordnungen und Überwachungsdaten sollen im Einklang mit der entsprechenden einzelstaatlichen Sicherheitsebene geheim sein. Die gesetzlich ermächtigten Behörden fordern, daß der Netzbetreiber/ Diensteanbieter die Vertraulichkeit aller Überwachungsanordnungen und Überwachungsdaten sicherstellt.

11.3. Je nach einzelstaatlicher Gesetzgebung und deren Verfahren müssen Überwachungsanordnungen vom Netzbetreiber/Diensteanbieter innerhalb eines gewissen Zeitraums vernichtet werden.

11.4. Die gesetzlich ermächtigten Behörden fordern, daß im Falle der Verletzung der Integrität und/oder der Vertraulichkeit der Überwachungsanordnung oder der Überwachungsdaten der Netzbetreiber/Diensteanbieter alle erforderlichen Maßnahmen ergreifen soll, um die Verbreitung der Informationen zu verhindern. Es wird die verantwortliche Behörde des Gastlandes so rasch wie möglich von der Verletzung informieren. Weiters fordern die gesetzlich ermächtigten Behörden vom Netzbetreiber/Diensteanbieter, alle gebührenden Maßnahmen zur Verhinderung eines derartigen Vorfalls in Zukunft zu treffen.

12. Die gesetzlich ermächtigten Behörden fordern, daß sich alle Personen, die Überwachungsanordnungen abwickeln oder überwachen, oder die mit dem Oberwachungsprozeß zu tun haben, einer Sicherheitskontrolle unterziehen, wie es von den einzelstaatlichen Behörden gefordert wird.

12.1. Eine Liste mit Namen und Jobbeschreibungen dieser Personen ist den gesetzlich ermächtigten Behörden zu übergeben.

13. Die gesetzlich ermächtigten Behörden fordern vom Netzbetreiber/Diensteanbieter, alle erforderlichen organisatorischen und technischen Maßnahmen zu treffen, um alle für das Routing von überwachten Telekommunikationsverkehr verwendeten technischen Schnittstellen und alle administrativen Komponenten, die der Durchführung oder Änderung von Überwachungen dienen, vor Mißbrauch zu schützen.

13.1. Der Netzbetreiber/Diensteanbieter muß sicherstellen, daß die Integrität und die Vertraulichkeit der Überwachungsdaten während der Übertragung in dem von den gesetzlich ermächtigten Behörden geforderten Ausmaß geschützt wird. Daher sind alle für Überwachungszwecke verwendeten Kommunikationsleitungen zu schützen.

13.2. Die gesetzlich ermächtigten Behörden fordern, daß Informationen über die einem bestimmten Telekommunikationssystem durchgeführten tatsächlichen Überwachungen unbefugten Personen nicht zur Verfügung gestellt werden.

14. Die gesetzlich ermächtigten Behörden fordern, daß die Standorte, an denen sich Überwachungsanordnungen und -daten befinden, Sperrbereiche mit kontrolliertem Zugang sind. Der Netzbetreiber/Diensteanbieter hat die gesetzlich ermächtigten Behörden über den genauen Standort und die durchgeführten Sicherheitsmaßnahmen zu informieren und eine Liste mit den Mitarbeitern zu übergeben, die befugt sind, diese Standorte zu betreten.

14.1. Die gesetzlich ermächtigten Behörden fordern vom Netzbetreiber/Diensteanbieter, die Überwachungsanordnung im Einklang mit den einzelstaatlichen Sicherheitsstandards zu speichern. Es ist dem Netzbetreiber/Diensteanbieter nicht erlaubt, den Gesprächsinhalt zu speichern.

C. ANFORDERUNGEN AN DIENSTEANBIETER IN BEZUG AUF KRYPTOGRAPHIE

15. Basierend auf einer rechtmäßigen Anfrage und nach Erhalt einer Zielkennung oder anderer Informtionen über das Ziel oder verschlüsselte Daten mit zugehörigen Informationen fordern die gesetzlich ermächtigten Behörden Vollständige Details über das Ziel einschließlich der Dienstnummer;

Informationen, die die vom Ziel verwendeten kryptographischen Dienste vollständig identifizieren; und die technischen Parameter der zur Implementierung des kryptographischen Dienstes verwendeten Methode.

16. Die gesetzlich ermächtigten Behörden benötigen Zugriff auf die entschlüsselte Nachricht so schnell wie möglich (in dringenden Fällen innerhalb einiger Stunden oder Minuten). Die gesetzlich ermächtigten Behörde wird spezifizieren, wie sie zu diesem Ergebnis kommen möchte: entweder durch die Bereitstellung von kryptographischem Schlüsselmaterial und der gesamten Information, die erforderlich ist, um die Daten zu entschlüsseln oder durch Bereitstellung der Daten im Klartext. Zugriff auf die entschlüsselte Nachricht muß für jene Verschlüsselungssysteme verfügbar sein, die sowohl nationalen als auch internationalen Betrieb erlauben.

16.1. Die Übergabe von kryptographischem Schlüsselmaterial sollte sofort erfolgen. Der Rechen- und Operationsprozeß, den eine gesetzlich ermächtigte Behörde übernehmen muß, um die Daten zu entschlüsseln, einschließlich der Rekonstruktion von Schlüsseln, sollte minimale Zeit und Ressourcen erfordern, damit eine effiziente, wirtschaftliche und aktuelle Operation sichergestellt wird.

16.2. Die Bereitstellung der Daten im Klartext sollte so bald wie möglich erfolgen, in dringenden Fällen innerhalb einiger Stunden oder Minuten.

17. Die gesetzlich ermächtigten Behörden fordern, daß der Entschlüsselungsprozeß so gestaltet und implementiert wird, um unbefugte oder unzulässige Verwendung auszuschließen und die mit der Operation zusammenhängende Information zu schützen.

17.1. Wenn kryptographisches Schlüssematerial bereitgestellt wird, muß es entweder in elektronischem Format oder einem anderen vereinbarten Format unter Verwendung eines sicheren Übertragungsmittels geliefert werden. Dieses muß geschützt sein, um die Echtheit, Integrität und Vertraulichkeit von derartigem Material sicherzustellen, und es muß auf nicht zurückweisbare (non-repudiational) Art und Weise bereitgestellt werden.

17.2. Das kryptographische Schlüsselmaterial oder die Klartextdaten dürfen nur an die in der Ermächtigung spezifizierte Behörde übertragen werden.

17.3. Die gesetzlich ermächtigten Behörden fordern von Anbietern kryptographischer Dienste, dem Ziel oder einem Dritten nicht zu offenbaren, daß es eine Ermächtigung gibt;

das Ziel der Ermächtigung,
daß kryptographisches Schlüsselmaterial oder Klartextdaten geliefert werden; und Informationen, wie die Operation ausgeführt wird.

18. Nach Maßgabe nationaler Vorschriften können die Anbieter verpflichtet werden, entsprechend geschützte Aufzeichnungen über die Bereitstellung von Schlüssellmaterial und -daten zu führen, die jedoch nur befugten Mitarbeitern zugänglich gemacht werden dürfen.