Fingerlecken für die Stasi?
Bröckelnde Fronten bei der Anhörung zur TK-Überwachung im Bundestag
Heftiger Kritik sahen sich am Donnerstagnachmittag Vertreter der Bundesanwaltschaft und des Bundesinnenministeriums während der öffentlichen Anhörung zum Thema Telekommunikationsüberwachung und Cybercrime im Unterausschuss für Neue Medien des Bundestags ausgesetzt.
Die von der Bundesregierung geplanten Abhörmaßnahmen seien angesichts eines falschen "Preis-Leistungs-Verhältnisses" unverhältnismäßig und hätten schwerwiegende Auswirkungen auf den Datenschutz sowie die betroffene Wirtschaft, war sich die Mehrheit der Sachverständigen einig (Rot-Grün will Telekommunikation lückenlos überwachen). Auch der endgültige Entwurf für die Cybercrime-Konvention des Europarats fand kaum Anhänger im Reichstag. Bei der Netzüberwachung kündigte die Bundesanwaltschaft nach knapp dreistündiger Diskussion schließlich ihr Einlenken an.
Präsentiert wurden den Vertretern des Bundes während der Debatte teure Kostenvoranschläge für die Netzüberwachung genauso wie Konzepte rund um die Sicherheit im Internet. So legte Tobias Gramm, Justiziar bei UUNet, erneut in aller Deutlichkeit dar, dass die Umsetzung der geplanten Telekommunikations-Überwachungsverordnung (TKÜV) bei dem Provider mit 60 Millionen Mark allein für die Anschaffung der erforderlichen Geräte zu Buche schlage. So teuer sei die Technik vor allem, da das Internet anders als das Telefonnetz keine "Zentrale" habe und für den Start eines Lauschangriffs auf einen einzelnen Kunden daher alle 80 Einwahlknoten überwacht werden müssten.
Gramm erläuterte ausführlich, dass schon bei Nutzern, die sich über Internet-by-Call ins Netz einwählen, die Einleitung einer Abhörmaßnahme überaus kompliziert und verfassungsmäßig bedenklich sei. Als Kennung stünden nur die beim Login anfallenden Informationen zur Verfügung, die sich nur mit erheblichen Aufwand und zeitlichen Verzögerungen sowohl beim Start wie beim Ende des Abhörens mit der dynamisch vergebenen IP-Adresse verbinden ließen. Bei dem Prozedere würde für einige Minuten auch der User belauscht, dem die Adresse nach dem zu überwachenden Nutzer zugeteilt wird.
Techniken zum Datenschutz vs. Lauschangriff
Wie die Mehrheit der versammelten Sachverständigen stellte Gramm dar, dass dem kostspieligen Mehraufwand für die Überwachung letztlich kein Plus an Erkenntnissen für die Strafverfolger gegenübersteht. Schützenhilfe erhielt der Rechtsexperte vom Dresdener Informatikprofessor Andreas Pfitzmann. Der Kryptoforscher führte aus, dass angesichts überall verfügbarer Verschlüsselungsprogramme und anderer "Techniken zum persönlichen Datenschutz" die Strafverfolger das Nachsehen haben. "Alle Überwachungsbefugnisse laufen völlig ins Leere gegenüber allen Leuten, die sich schützen wollen", so Pfitzmann. Die Strafverfolger würden daher nur "die Leute kriegen, die glauben, nichts zu verbergen zu haben." Von allen anderen erhielten sie höchstens kryptischen Datensalat.
Andreas Bogk vom Chaos Computer Club warnte davor, dass mit der TKÜV "ein Instrumentarium zur Überwachung geschaffen wird, bei dem die Stasi feuchte Finger bekommen hätte". Die zu treffenden Abhörvorkehrungen könnten seiner Meinung nach "mit relativ geringem Aufwand benutzt werden, um ein totalitäres Regime aufzubauen". Gleichzeitig entstehe "nicht der geringste Nutzen für Bevölkerung". Die Rechtsexpertin des Deutschen Industrie- und Handelskammertags (DIHKT), Ina Pernice, forderte ganz in diesem Sinne die Bundesregierung dazu auf, "folgenschwere Fehlentscheidungen zu vermeiden" und den Entwurf für die TKÜV zurückzuziehen.
Jürgen-Peter Graf von der Bundesanwaltschaft in Karlsruhe versuchte zunächst, die auf ihn einprasselnden Argumente zu entkräften und die Werbetrommel für die von der Abhörabteilung des Bundeswirtschaftsministeriums vorgelegten Überwachungspläne zu rühren. Die TKÜV schafft seiner Ansicht nach keinen Bereich, in dem "Milch und Honig" für Verfolger, Ermittler und Schlapphüte fließen. Vielmehr bringe sie "Rechtssicherheit für die Provider", da diese mit der Verordnung genau wüssten, zu welchen Diensten sie verpflichtet werden könnten. Die TKÜV bringe zudem "keine tiefer gehenden Eingriffsbefugnisse" im Vergleich zum momentanen Stand. Die Ermächtigungen stammten schließlich aus vorhandenen Gesetzen wie Paragraph 100a der Strafprozessordnung oder Paragraph 88 des Telekommunikationsgesetzes (TKG).
Schaden für den Wirtschaftsstandort Deutschland
Pernice vom DIHKT richtete ihre Hauptkritik allerdings genau auf die Überwachungsgrundlagen, in denen das Fundament für die Grundrechtseingriffe - nicht anderes ist das Abhören von privater Kommunikation - bereitet wird. "Der Gesetzgeber hat dabei Fehler gemacht", stellte die Sachverständige klar. Vor allem denkt sie dabei an das TKG, in dem die Kosten für den großen Lauschangriff auf die gesamte Telekommunikation auf die private Wirtschaft pauschal abgewälzt werden.
Dabei seien vor dem Beschluss der Gesetze keine Studien über die Effektivität und die Verhältnismäßigkeit der Überwachungsregelungen durchgeführt worden. Der Bundesregierung legte Pernice daher ans Herz, die Gesetzesgrundlagen fürs Abhören gründlich zu überprüfen und gegebenenfalls zu novellieren. Würde die TKÜV in ihrer jetzigen Form erlassen, werde dem Wirtschaftsstandort Deutschland "schwerer Schaden zugefügt".
Verschlüsseln Verbrecher nachts noch Email?
Torsten Akmann vom Bundesinnenministerium, das als übergeordnete Behörde das Bundeskriminalamt "vertrat", plädierte dagegen dafür, dass die Verordnung "so schnell wie möglich in Kraft tritt." Sie sei als "unverzichtbares Hilfsmittel für die Sicherheitsvertreter" zur Verbrechensbekämpfung notwendig. Zudem stelle sie einen "vernünftigen Ausgleich zwischen ökonomischen und allgemeinen Interessen" dar.
Die Aufwendungen für die Installation der Abhörschnittstellen sieht auch Graf gerechtfertigt, da von den Möglichkeiten der Verschlüsselung selbst in Reihen der Organisierten Kriminalität bisher so gut wie nicht Gebrauch gemacht werde. Die Erfahrungen hätten gezeigt, dass eine durchgehende "Sicherung" der Telekommunikation gegen Überwachungsmaßnahmen nicht stattfinde. Einzelne Kriminelle würden vielleicht "nachmittags um Drei verschlüsseln", aber nicht mehr nachts um Elf, wenn sie müde seien.
Doch selbst im Bundesinnenministerium gibt es einen klaren Zielkonflikt zwischen Strafverfolgung und der Förderung von Vertrauen in das Netz und den E-Commerce. So wies Akmanns Kollege auf dem Podium, Andreas Reisen, ausdrücklich auf die Bedeutung des Selbstschutzes der Nutzer durch Kryptographie angesichts des weltweiten, geheimdienstlich genutzten Lauschsystems Echelon hin und forderte den Aufbau "sicherer Infrastrukturen" mit Hilfe von digitalen Signaturen (Echelon-Ausschuss verabschiedet Empfehlungen).
Entgangen scheint dem Bundesinnenministerium nur zu sein, dass dieselbe Kryptotechnik, auf der Zertifikate und Signaturen beruhen, auch das Verschlüsseln der Netzkommunikation ermöglicht und damit die Strafverfolgung erschwert. Kryptographie sei heute zwar noch kein "Massenphänomen", stellte Pfitzmann in diesem Zusammenhang dar. Noch müsse man schließlich für die Verschlüsselung der Netzkommunikation einen "extra Knopf" drücken. Doch der Informatiker ist sich ganz sicher, dass diese bereits in gängige Softwareprogramme eingebauten Mechanismen in naher Zukunft umgestellt werden und Verschlüsselung mit einem Mal für die Mehrheit der Anwender zum Normalfall wird - auch mitten in der Nacht.
Bundesanwaltschaft zeigt sich kompromissbereit
Generell empfiehlt Pfitzmann daher den Strafverfolgern, die klassische, außerhalb des Netzes wirkende Kriminalität auch außerhalb des Netzes zu bekämpfen. Richtmikrofone zur Raumüberwachung versprächen da deutlich mehr Erfolg als die schwierige Lauscherei im Internet. Gegen Kriminalität im Netz selbst, also etwa gegen Angriffe auf Server, helfe es langfristig nur, tatsächlich sichere IT-Systeme zu entwickeln und zu implementieren. Die Bemühungen der Strafverfolger, die Netzkommunikation abzuhören, erscheint dem Informatikprofessor dagegen wie der Versuch einer "Gruppe von Leuten in klimatisierten Büros, ihre Arbeitsplätze zu erhalten."
Die aufgeworfenen Fragen der Verhältnismäßigkeit gaben Graf kurz vor dem Ende der dreistündigen Anhörung dann tatsächlich "zu denken". Vor allem die Kostenschätzungen von UUNet beeindruckten den Staatsanwalt. Er habe noch nie konkrete Zahlen von den Providern gehört, entschuldigte sich Graf geradezu. UUNet hatte die Kostenrechnung allerdings bereits Mitte Juni beim Spitzengespräch zur "Partnerschaft sichere Internet-Wirtschaft" des Bundeswirtschaftsministeriums in Berlin vorgelegt (Wirtschaftsminister lenkt im Streit um Abhörpläne ein). Die Zahlen waren damals auch in der Tagespresse mehrfach zitiert worden.
Graf kündigte angesichts der Schätzungen nun an, dass man "in der Tat über Modifizierungen der Technik reden" müsste. Als Kompromissvorschlag brachte er "mobile Anlagen" zur Netzüberwachung ins Spiel, die nur bei Bedarf an einzelnen Einwahlpunkten ins Netz installiert werden.
'Race to the Bottom' durch Cybercrime-Konvention befürchtet
Etwas unter ging angesichts der Empörung, die der (schon einmal überarbeitete) TKÜV-Entwurf in der Wirtschaft und bei Datenschützern in jüngster Zeit ausgelöst hat, die Diskussion über die umstrittene Cybercrime-Konvention des Europarats (Europäischer Rat für die Speicherung aller Kommunikationsdaten; Cybercrime-Abkommen passiert eine der letzten Hürden). Auch bei diesem Versuch, "Innenpolitik über die Außenpolitik zu machen" (Pfitzmann), signalisierte Akmann vom Innenministerium keine Bedenken auf der Seite der Bundesregierung. Er begrüßte das Vertragswerk als "wichtigen Schritt" bei der Bekämpfung einer Reihe von Straftaten rund ums Internet, die von Hackversuchen bis hin zu Verletzungen des Urheberrechts reichen.
Dem Landesdatenschutzbeauftragten Brandenburgs, Alexander Dix, zufolge zielt der Konventionsentwurf dagegen "grundsätzlich in die falsche Richtung." So stellten die darin enthaltenen Vereinbarungen zur Rechtshilfe einseitig auf Interessen der Strafverfolgungsbehörden ab. Dix vermisst eine in dem Papier eine "sorgfältige Interessensabwägung" im Sinne des Grundrechtsschutz. Bezeichnenderweise tauche das Wort "Datenschutz" etwa im gesamten Entwurf nicht ein einziges Mal auf. Allein in den nachgereichten Erwägungsgründen (Link: Europarat verteidigt..) seien kurz vor Schluss noch "Spurenelemente" von Datenschutz eingefügt worden.
Besonders stört den Datenschützer, dass die Konvention sich ausdrücklich auch an Nationen mit einem schlechteren Grundschutzniveau als Deutschland richte. "Ich sehe die akute Gefahr, dass ein 'Race to the Bottom' eintritt, was Schutzstandards angeht", warnte Dix. Die Konvention gebe in ihrer jetzigen Form nämlich Staaten, bei denen eine Rechtshilfe nachgesucht werde, nicht die Möglichkeit, diese abzulehnen, was teilweise aber verfassungsmäßig geboten sei. Mittelfristig könnte das auch direkte Auswirkungen auf die Rechtslage in Deutschland haben.