Nichts mehr mit Pretty Good Privacy?
Das FBI sorgt nach Carnivore für neue Unruhe, nachdem bei einem Verdächtigen die Tastatur abgehört wurde, um an verschlüsselte Dateien heranzukommen
Noch steht das FBI-Lauschsystem Carnivore unter Beschuss, da taucht schon ein neuer Fall auf, der für Aufsehen sorgt und Anlass zum Fragen gibt, ob das FBI und die Gerichte nicht die Überwachungsmöglichkeiten allzusehr erweitern. Dabei geht es um einen Fall aus dem Bereich der organisierten Kriminalität, bei dem das FBI ein Gerät an die Computertastatur des Verdächtigen angebracht hat und so jeden eingetippten Text vor jeder Verschlüsselung einsehen konnte.
Vor Gericht steht dabei wohl ein Angehöriger der organisierten Kriminalität. "Little Nicky" oder Nicodemo Scarfo, 35, ist Sohn eines im Gefängnis sitzenden Bandenbosses und ehemaliger Programmierer. Beschuldigt wird er, seinen Lebensunterhalt als Leiter einer Bande zu bestreiten, die mit Glücksspielen und Wucherkrediten ihr Geld verdient. Scarfo war vorsichtig und hatte seine Dateien mit PGP verschlüsselt.
Die FBI-Agenten hatten bereits im Januar 1999 einen Durchsuchungsbefehl benutzt, um im Büro von Scarfo nach verschlüsselten Dateien und den Schlüsseln zu suchen. Im Mai, so der Antrag vom Juni, habe das FBI die Genehmigung erhalten, "Software, Firmware oder Hardware" zu installieren, um durch die Aufzeichnung der Eingaben auf der Tastatur den Verschlüsselungscode und das Kennwort feststellen zu können, so dass die verschlüsselten Dateien auf seinem Computer gelesen werden konnten. Was dafür verwendet wurde, geht aus dem Antrag nicht hervor. Kurz darauf hat der Verdächtige allerdings seinen Computer aus dem Büroraum entfernt, weswegen das FBI nicht mehr in der Lage war, die Überwachung durchzuführen. Das FBI stellte daraufhin den Antrag, die Überwachung, die am 8. Mai für 30 Tage bewilligt wurde, verlängern zu dürfen.
Am 9. Juni gewährte der zuständige Richter den Antrag, zur Beweissicherung alles Erforderliche an Material in allen Formen einschließlich der Verschlüsselungscodes und Kennwörter mit den dazu notwendigen Mitteln einzusehen und zur Beweisaufnahme festzuhalten. Die Frist von 30 Tagen sollte ab dem Tag (oder spätestens ab dem 10. Tag nach der Ausstellung der richterlichen Anordnung) gelten, an dem die elektronischen Mittel zum Erlangen der Informationen an einem PC oder an einem tragbaren Computer angebracht worden sind. Überdies durften die FBI-Beamten so oft wie nötig in das Büro und den Computer eindringen, um die Abhörmittel zu installieren und die Informationen von einem der Computer Scarfos zu erhalten. Ende Juni durchsuchte das FBI schließlich das Büro, beschlagnahmte den Computer und nahm Scarfo und einen seiner Kollegen fest
Der Verteidiger von Sarfo, Donald Manno, der sich im Oktober von dem Fall zurückziehen musste, sagte, dass er gegen die Verwendung dieser Überwachungsmittel klagen wollte und dass dies wohl auch sein Nachfolger machen werde: "Alles, was er mit der Tastatur geschrieben hat - einen Brief an seinen Rechtsanwalt, persönliche oder medizinische Aufzeichnungen oder rechtmäßige Geschäftsdokumente -, haben sie erhalten. Das ist furchterregend. Das ist gefährlich." Manno behauptet, dass das FBI bereits im Frühjahr vor der richterlichen Genehmigung den Durchsuchungsbefehl illegalerweise benutzt hätten, um die Tastatur zu überwachen und die Verschlüsselung zu umgehen.
Der Fall ist in den USA der erste, bei dem offiziell Mittel eingesetzt wurden, um die Bewegung der Tasten einer Computertastatur zu überwachen. Der für das Verfahren zuständige Staatsanwalt darf darüber nicht sprechen, meinte aber, dass es sich um einen neuen Rechtsfall handelt. Für David Sobel vom Electronic Privacy Information Center (EPIC) benutzte das FBI in diesem Fall Technologien, die wie Carnivore nicht vom Gesetz gedeckt seien. Die bestehenden Gesetze ermöglichen das Abhören von Telefongesprächen oder der Gespräche in Räumen, beziehen sich aber nicht explizit auf Computer.
Diese Lücke sollte eigentlich ein Gesetz schließen, dessen Entwurf das Justizministerium Mitte 1999, vielleicht auch aufgrund der Probleme der Polizei mit Scarfo, veröfentlicht hatte. Vorgesehen war im Cyberspace Electronic Security Act (CESA), dass die Strafverfolgungsbehörden mit richterlicher Genehmigung heimlich in ein Gebäude eindringen dürfen, um Verschlüsselungscodes oder Kennworte zu erhalten oder Geräte oder andere Mittel anzubringen, mit denen sich diese erfahren lassen, so dass die Behörden die Dokumente lesen können ("A federal governmental entity may seek a warrant, issued pursuant to the Federal Rules of Criminal Procedure, to search for and obtain recovery information or other information necessary to obtain access to the plaintext of data or communications, or to install and use a recovery device."). Die Passagen, die ein heimliches Eindringen ermöglicht hätten, wurden später aufgrund heftiger Kritik wieder aus dem Gesetzesentwurf entfernt, der jetzt dem Kongress vorliegt. Das Gesetz soll sicherzustellen, "dass die Sicherheitsbehörden die rechtlichen Mittel sowie das nötige Personal und die nötige Ausrüstung haben, um Verbrechen in einer Welt der Verschlüsselung aufklären zu können." Und hier soll weiterhin am umstrittenen key recovery festgehalten werden, so dass den Sicherheitsbehörden "die Entschlüsselungsinformationen, die bei dritten Parteien hinterlegt sind, zugänglich" bleiben.
Gesetze, die es den Strafverfolgungsbehörden erlauben, heimlich in Gebäude einzudringen und Geräte oder Mittel anzubringen, um Zugang zu verschlüsselten Daten zu gewinnen, sind bereits in Australien (Lizenz zum Abhören)oder in Holland (Digitale Detektive in Holland) in Kraft oder in Neuseeland auf dem Weg, umgesetzt zu werden (Schnüffelnde Kiwis - Überwachung in Neuseeland). In Großbritannien (UK-RIP-Gesetz über Ermittlungsbefugnisse verabschiedet), Malaysia und Singapur wurden Gesetze verabschiedet, aufgrund derer man mit Strafandrohung Verdächtige zwingen kann, den Behörden den Schlüssel zum Lesen von Dateien zu übergeben.