ENFOPOL: EU-Abhörstandards für die Telekommunikationsnetze

Die ETSI Dossiers IV

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

pls so

Noch fehlt dem in den Rang eines europäischen Standards erhobenen Definitionen zum Abhören von Telekommunikationsnetzen die politische Legitimation durch die EU. In der aktuellen Version sind aber bereits auf technischer Ebene alle notwendigen Schnittstellen zum Abhören durch Strafverfolgungsbehörden und Geheimdienste festgelegt. Den EU-Mitgliedsländern bleibt es immerhin überlassen, ob sie automatische elektronische Schnittstellen oder nur ein manuelles Interface gestatten.

Seit der Verabschiedung des Schnittstellen-Standards ES 201 671 Version 2.0 am 31. August, der sowohl der novellierten deutschen wie auch der österreichischen Überwachungsverordnung zu Grunde liegt, sei die Luft draußen, ist von einer Quelle aus der die Arbeitsgruppe "Lawful Interception" ETSI SEC LI) des European Telecom Standards (ETSI) zu hören. Beim Treffen in Warschau im September sei seitens der Netzbetreiber und Ausrüster sogar überlegt worden, SEC LI überhaupt aufzulösen. Wahrscheinlich werde die Arbeitsgruppe nur noch als beratendes Gremium weitergeführt, während die eigentliche Arbeit in den spezialisierten technischen Körperschaften (TIPHON, SPAN, TSG SA WG3) des ETSI geschieht, wohin bereits die technischen Lösungen für die UMTS-Überwachung und für die Überwachung von digitalen Breitbandzugängen - Telefonie und Internet über Kabel-TV-Netze - verlagert wurde.

Der seit längerem beobachtbare Trend, Kompetenzen aus der unter Behördenaufsicht stehenden Arbeitsgruppe SEC LI in zivil besetzte Techniker-Gremien verlagern, setzte sich auch in der ETSI-Generalversammlung fort. Das letzte Plenum im abgelaufenen Jahr stand unter dem Zeichen der Neustrukturierung aller Agenden für die "Next Generation Networks", die auf der Versammlung vorgestellte Studie aber hat die künftigen Aufgaben von SEC LI auf einen Bruchteil ihrer bisherigen Tätigkeit reduziert. Grund für diese Veränderung sei die "höhere Wahrscheinlichkeit", dass "die Anforderungen für Lawful Interception in allen technischen Körperschaften entsprechend verstanden würden", heißt es in der Studie.

Das skandalöse Wechselspiel: ETSI SEC LI und ENFOPOL

Bei der heterogenen und völlig aus dem Rahmen der übrigen Arbeitsgruppen des ETSI fallenden Zusammensetzung von SEC LI stellen je ein Drittel der Teilnehmer an den Treffen Strafverfolger und Bürokratie, Lieferanten von Überwachungs-Equipment sowie die großen Telekom-Zulieferer und Netzbetreiber. Vornehmlich deren Beiträge finanzierten "Deliverables" mit, die "ausschließlich den Standpunkt der Strafverfolger" widerspiegeln, wie es in den entsprechenden Vorworten stereotyp heißt.

Im Fall von ES 201 671 aber lief der übliche Standardisierungsprozess - generelle Anforderungen der Behörden auf politischer Ebene, technische Spezifikation dieser Anforderungen, technischer Standard - genau umgekehrt. Nachdem die IT-Industrie sich in jahrelangem Ringen mehrheitlich auf einen umfangreichen Schnittstellen-Standard zur Überwachung der digitalen Netze in allen Details geeinigt und damit vollendete Tatsachen geschaffen hatte, wurde das Anforderungspapier der Strafverfolger erst nachgereicht.

Die mit August 2001 datierte "Technische Spezifikation" ETSI TS 101 331 (Version 1.1.1.) beschreibt die "Anforderungen bezüglich Handover Interfaces zur Überwachung für Strafverfolger und Staatssicherheitsagenturen" (1 Scope). Dieses verspätet eingereichte "Pflichtenheft" zum Standard ES 201 671 ist nichts anderes als die technische Umsetzung der unter ihrem Dokumenten-Namen ENFOPOL bekannt gewordenen International User Requirements (IUR) der Behörden.

TS 101 331 setzt fort, wo ETSI ETR 331 fast fünf Jahre zuvor aufgehört hat. Warum dieses technische "Pflichtenheft", auf dessen Vorgaben sämtliche Überwachungsstandards beruhen sollten, seit Dezember 1996 nicht bearbeitet worden war, hat gute Gründe. Seit Anfang 1997 sorgte noch jedes Auftauchen der International User Requirements für einen Skandal auf politischer Ebene. Erstmals bekannt wurden die IUR unter der Bezeichnung EU-FBI Surveillance Network beziehungsweise unter dem Akronym ENFOPOL im Jahre 1997 (ILETS, die geheime Hand hinter ENFOPOL 98). Der Skandal begann mit einem EU Ratsbeschluss zur Überwachung des Fernmeldeverkehrs vom 17. Januar 1995 (ENFOPOL 1995.

Dieser auf einer Serie von ENFOPOL-Dokumenten der EU-Ratsarbeitsgruppe Polizeiliche Zusammenarbeit (Police Coordination Working Group PCWG) basierende Ratsbeschluss wurde als akkordierte Angelegenheit (fait accompli) ohne Anhörungen oder Diskussion am 17. Januar 1995 durch den Fischereiausschuss geschleust.

Die Abgeordneten des EU-Parlaments erlangten nicht einmal sofort davon Kenntnis, als der Ratsbeschluss 18 Monate später öffentlich wurde (Official Journal C 329 , 04/11/1996). Erst als die britische Bürgerrechtsorganisation Statewatch im Januar 1997 den Beschluss im Rahmen eines Berichts über ein geplantes "EU-FBI Surveillance System", veröffentlichte und wenig später ein Report des STOA-Komitees (Science and Technology Options Assessement der EU) ähnlichen Inhalts vorgelegt wurde, gab es empörte Anfragen an die EU-Kommission. Diese wurden ausweichend beantwortet, die dem Beschluss zu Grunde liegenden ENFOPOL-Dokumente wurden von der Kommission den Parlamentariern nicht ausgehändigt. Der Ratsbeschluss selbst war formalrechtlich nicht angreifbar, da "akkordierte Angelegenheiten" ohne Anhörung jederzeit in jedem beliebigen Ausschuss verabschiedet werden können. Um diese Zeit lag das aus den ENFOPOL-Vorgaben erstellte technische "Pflichtenheft" ETR 331 im ETSI bereits vor.

Noch höhere Wellen schlug der zweite, groß angelegte Versuch, die in ETSI SEC LI längst laufende Standardisierungsarbeit politisch zu legitimieren. Als Telepolis ein Dokument mit dem Akronym ENFOPOL 98 (diese und andere Ratsdokumente werden jährlich von eins beginnend durchnumeriert) wenige Tage vor einer entsprechenden Sitzung des Rats der Innen- und Justizminister im Netz präsentierte, wurde zunächst seine Echtheit in Zweifel gezogen (Originaldokument 3: Revidierte Fassung von ENFOPOL 98).

Das unter der österreichischen EU-Präsidentschaft bereits in Form eines Ratsbeschlusses erstellte Dokument war insofern neuartig, als es sowohl in Umfang als auch im Inhalt über die "International User Requirements" von 1995 weit hinausging. Es war ein Versuch, technische Anforderungen zur Überwachung der neuen Telefonienetze sowie der Satelliten- und Internet-Kommunikation, die im Rahmen des ETSI (ETR 331) zum damaligen Zeitpunkt offenbar niemand anfassen wollte, auf der politischen Ebene zu verabschieden.

Nach Publikation von ENFOPOL 98 in Telepolis wurde der technische Teil, der den geplanten Vollzugriff auf alle digitalen Netze in aller Deutlichkeit zeigte, eiligst wieder ausgegliedert Inside ENFOPOL). Den versammelten Innen- und Justizministern wurde Anfang Dezember 1998 ein auf einen Bruchteil seines ursprünglichen Inhalts geschrumpftes Dokument präsentiert (EU-Minister billigen Abhörplan).

Wie schon in der Fassung von 1995 wurde das Papier zweigeteilt. Die technischen Erläuterung wurden aus dem Entwurf eliminiert und verschwanden in einem Annex, der nicht vorgelegt wurde. So blieb von 42 Seiten nur ein sehr abstrakter, vierseitiger Forderungskatalog (ENFOPOL 19/99), dessen Verabschiedung im EU-Parlament ebenso skandalträchtig war, wie der geheim gehaltene Ratsbeschluss von 1995 (Enfopol-Pläne: Streit im EU-Parlament).

Nur etwas mehr als ein Viertel der EU-Parlamentarier war am Freitag, den 7. Mai 1999 anwesend, als die erneuerten IUR im Rahmen eines "Sicherheitspakets" durch das Parlament gingen. Als die "üblichen Verdächtigen" - Telepolis, ORF FutureZone, Statewatch - die Begleitumstände dieser Entscheidung verbreiteten, stand der Vorwurf der politischen Manipulation unübersehbar im Raum (EU-Parlament verabschiedet Enfopol-Überwachungspläne). Das Paket war an zwei Sitzungstagen des EU-Parlaments vor dem Wochenende mehrmals auf die Tagesordnung gesetzt und wieder gestrichen worden, bis die Mehrzahl der Abgeordneten nicht mehr an eine Verabschiedung glaubte und Brüssel für das Wochenende verließ. Von 161 verbliebenen Parlamentariern (Vollbesetzung 626) stimmten 154 mit Ja, die Befürworter verteilten sich ziemlich gleichmäßig auf Konservative und Sozialdemokraten.

Fehlende politische Legitimation

Der Rat der Innen- und Justizminister aber segnete den Beschluss des EU-Parlaments im Juni 1999 überraschenderweise nicht ab. Vielmehr wurde der Forderung europäischer Datenschutzorganisationen nach Zeit für Diskussion statt gegeben (Enfopol-Vorhaben vorläufig ad acta gelegt?). Obwohl der Rat die Anforderungen von ENFOPOL 98 bzw. ENFOPOL 19 nicht beschlossen hatte, wurden sie aber dennoch in ETSI SEC LI technisch in weiten Teilen umgesetzt. Im November 1999 wurde der ETSI-Standard 201 671 (Version 1.1.1.) fertig gestellt und publiziert. Darauf folgte das "Pflichtenheft" TS 101 331, das weitgehend dem ursprünglichen Papier von 1996 (ETR 331) entspricht, aber um ADSL, GPRS, IP oder VoIP bereichert wurde und zwei neue als "normativ" ausgewiesene Annexe enthielt.

Als letztes Glied in der Kette fehlt nur noch die politische Legitimation, also ein EU-Ratsbeschluss der all das an neue Technologien abdeckt, was man zum Beschluss von 1995 noch nicht wissen konnte. Im Juni 2001 wurde von Statewatch und Cryptome ein internes Papier der EU-Arbeitsgruppe Polizeiliche Zusammenarbeit (PCWG) mit den Dokumentenkürzeln ENFOPOL 55, ECO 143 publiziert (Enfopol gedeiht).

Dieses auf den 20. Juni 2001 datierte, bereits in Form eines Ratsbeschlusses abgefasste Dokument ist das Missing Link von ES 201 671 2.0 zum "Pflichtenheft" TS 101 331. Erstaunlicher Weise fand es sich danach in der Datenbank des Rats der Union, der ENFOPOL Papiere zum Überwachungskomplex in der Vergangenheit überhaupt nicht veröffentlicht hat. In der rechtsverbindlichen "Eur-Lex Datenbank" aller gültigen Ratsbeschlüsse aber war es bis Redaktionsschluss dieses Artikels nicht enthalten, auch die lange Reihe der als beschlossene Sache verabschiedeten "A-Items." Auch das mehr als einen Monat im ETSI publizierte "Pflichtenheft" TS 101 331 (August 2001) bezieht sich noch auf den Ratsbeschluss von 1995.

Allem Anschein nach ist ENFOPOL 55, obwohl es mit "ECO 143" das Kürzel eines Ratsdokuments trägt, bis heute nicht verabschiedet worden. Der in den Rang eines europäischen Standards erhobenen Neuauflage des ES 201 671 vom 31. August 2001 im ETSI fehlt damit jede politische Legitimation durch die EU.

Zwischenbilanz

Trotz der Verabschiedung von ES 201 671 2.0 kann eine Zwischenbilanz keineswegs nur negativ ausfallen. Eine bis dahin völlig ungeniert hinter den Kulissen agierende Gruppe von Geheimdienst-Verbindungsleuten und Fadenziehern kam erstmals an das Licht der Öffentlichkeit. Ihr Manövriergebiet wurde durch die de facto Abschaffung von ETSI SEC und die Kompetenzbeschneidung von ETSI SEC LI erheblich eingeschränkt.

Dazu kommt, dass der Nachrichtendienste liebstes Kind, die vollelektronische Schnittstelle, in der zuletzt veröffentlichten Version von ES 201 671 nicht mehr obligatorisch ist. Nationalen Regulatoren steht es frei, den Handover Interface Port HI 1, über den Polizei und Dienste an sich direkt per Standleitung mit der Administrations-Funktion des Netzbetreibers, welche alle Vorgänge an der Schnittstelle kontrolliert, verbunden sind, als manuelles Interface zu gestalten. Der Netzbetreiber kann also darauf bestehen, dass Überwachungsbegehren nicht elektronisch ausgehandelt, sondern auch in Zukunft auf Papier oder persönlich vorgelegt werden.

Damit ist es in der Praxis vor allem für die Dienste nicht mehr ganz so einfach, die Kontrolle an der Schnittstelle zu übernehmen. Mit den beiden übrigen Ports HI2 und Hi3, an denen Verkehrsdaten bzw. Kommunikationshalte aus dem Netzwerk an Polizei und Dienste fließen, werden sie erst verbunden, wenn die Verhandlungen an HI1 abgeschlossen sind. Es bleibt den nationalen Telekom-Behörden somit überlassen, ob sie ein sehr leicht überbrückbares elektronisches Interface HI1 vorschreiben, das den Diensten permanent Tür und Tor zum gesamten Netzwerk öffnen könnte, oder ob sie ein manuelles Interface gestatten. Dass auch in diesem Fall ein "Workaround" ganz einfach möglich ist, betont einer der SEC LI Regulars in einer Mail an den Autor. Es genüge, schreibt einer der Industrievertreter, den Administrationsrechner, mit dem der Netzbetreiber die Interfaces HI2 und HI3 frei schaltet, physisch neben dem Monitoring Center für Polizei und Dienste zu platzieren.

Eine ausführlichere Version dieses Artikels findet sich in der aktuellen c't 4/2002: "Lauschangriff: Die ETSI-Dossiers, Teil 4"

Das nächste Treffen der Überwachungstruppe SEC LI ist für 19. bis 21. März am Sitz des ETSI in Sophia Antipolis nächst Nizza anberaumt.

Weitere Meetings in London und in Moskau wurden ohne Kommentar gestrichen: als Gastgeber hätten der Satellitenbetreiber Inmarsat oder das "Institut zur wissenschaftlichen Erforschung der Telekommunikation" (ZNIIS) im russischen Telekom-Ministerium fungiert.

Durch Eingabe des Stichworts "interception" erhält man bei der Suche im offiziell öffentlichen Bereich mittlerweile 51 einschlägige Dokumente zum Komplex "lawful interception", einfache Registrierung per Mail genügt. Nicht offiziell erhältliche Papiere wie das detaillierte Abstimmungsprotokoll zu ES 201 671 und Namenslisten sind bei Cryptome erhältlich.

Die umfangreichste Sammlung an ENFOPOL-Papieren hat die britische Bürgerrechtsgruppe Statewatch. Im Archiv des Newsletters q/depesche findet sich die Chronologie der Berichterstattung zum Wechselspiel von ETSI SEC LI und Enfopol..

Erich Moechel ist Redakteur von Futurezone.