Überwachungspläne auf Eis gelegt
Die Überwachung des Internet steht in Deutschland fürs Erste auf wackeligen Füßen. Das Bundeswirtschaftsministerium verschob die Entscheidung auf unbestimmte Zeit.
In diesem Jahr setzten die Sicherheitsbehörden zweimal an, um die letzte Lücke in der Überwachung von Telekommunikation zu schließen - das Internet. Sie versuchten es gleichzeitig über zwei verschiedene Gesetze und zwei verschiedene Einrichtungen.
Zum einen wurde über eine Ex-Abteilung des Postministeriums, jetzt Wirtschaftsministerium, ein Entwurf der Telekommunikationsüberwachungsverordnung (TKÜV) erstellt. Sie beruht auf dem Paragraphen 88 des Telekommunikationsgesetzes (TKG), der die Überwachung von Telekommunikationsanlagen von geschäftsmäßigen Betreibern auf eigene Kosten vorsieht.
Zum anderen wurde über die Regulierungsbehörde, ehemals Teil des Postministeriums, eine Technische Richtlinie, ergänzt um den "Teil Internet", veröffentlicht. Sie fußt auf der Fernemeldeüberwachungsverordnung (FÜV), die ihrerseits auf dem juristisch umstrittenen Fernmeldeanlagengesetz (FAG) beruht.
Für erhebliche Verunsicherungen und Spekulationen sorgte die merkwürdige Informationspolitik der Regulierungsbehörde: Nur die "berechtigten Stellen" konnten bei ihr das Update der Fernemeldeüberwachungsverordnung (FÜV) zur Stellungnahme anfordern, da es als "Verschlußsache" klassifiziert wurde. Der Inhalt der Richtlinie, die mittlerweilen sogar in zwei verschiedenen Versionen vorliegt, wurde dennoch schnell bekannt.
Das Behörden-How-To
Die Richtlinie regelt jedes Detail, wie Provider und Mailbox-Betreiber den Behörden Zugriff auf Kommunikationsdaten ermöglichen sollen. Dabei ist es völlig unerheblich, ob es sich um Email, FTP- oder WWW-Kommunikationsdaten handelt.
Ungeachtet der Vorgabe des Fernmeldeanlagengesetzes, das sich ausschließlich auf Individualkommunikation bezieht, wird über die Richtlinie damit der Geltungsbereich auch auf Massenkommunikation erweitert. Juristisch ist es jedoch völlig unmöglich, über eine untergeordnete Richtlinie die Reichweite eines Gesetzes zu vergrößern.
Nichtsdestotrotz sieht die Richtlinie vor, daß alle Daten kopiert und bei jedem der abgefangenen IP-Pakete der Header-Eintrag ausgetauscht werden sollen, um den Übertragungszeitpunkt feststellen zu können. Um die Vertraulichkeit bei der Weiterleitung der abhörten Kommunikation zu wahren, müssen die Daten verschlüsselt und in Echtzeit an die Bedarfsträger verschickt werden.
Interessanterweise soll dafür ein "asymmetrisches Verschlüsselungsverfahren wie z.B. Pretty Good Privacy (PGP 2.6.3i)" verwendet werden - und das, obwohl das Bundesamt für Sicherheit in der Informationstechnik (BSI), das die Behörden in Sicherheitsfragen berät, PGP für den Behördeneinsatz nicht geeignet hält!
Bedarfsträger sind Strafverfolgungsbehörden, Verfassungsschutz, Bundesnachrichtendienst und Zollkriminalamt. Können sie nicht erreicht werden, müssen die Daten bis zu 24 Stunden gespeichert werden. Die auftraggebende Behörde vergibt für jede Überwachungsmaßnahme eine spezielle IP-Adresse, die nur dem Provider und der Behörde bekannt ist. Sie muß als "Verschlußsache" behandelt werden, auch wenn die Maßnahme schon längst beendet ist. Die Provider werden damit, ob sie wollen oder nicht, den Geheimhaltungsvorschriften der Behörden unterworfen.
Die Guerillaabteilung des Innenministeriums
Ursprünglich wurde vermutet, daß es sich bei der technischen Richtlinie hier um ein Ersatzmodul der Überwachungsbefürworter handelte. Diese hatten nämlich im Frühjahr den Entwurf der TKÜV lanciert, der zu massiven Protesten bei Bürgerrechtlern und in der Wirtschaft führte. Der Entwurf war unter der inoffiziellen Federführung des Innenministeriums von einer Abteilung des im Dezember aufgelösten Postministeriums (BMPT) erarbeitet worden, die jedoch dem Wirtschaftsministerium zugeschlagen worden war.
Meinungsunterschiede in der Kryptofrage hatten allerdings schon im vergangenen Jahr einen Keil zwischen das konservative Innen- und Postministerium und die liberalen Wirtschafts-, Forschungs- und Justizministerien getrieben. Kein Wunder, daß die neue Abteilung etwas desorientiert ihre neuen Vorgesetzten weder über ihre Aufgabengebiete, noch ihre Pläne informierte. Mittlerweile ist sie jedoch aufgrund der unerwartet massiven öffentlichen Proteste völlig "handzahm" - wie ein Ministerialer versicherte.
Telekommunikationsüberwachungsverordnung schockiert Wirtschaft
In einem ausführlich Bericht in der cŽt hatten Ingo Ruhmann und ich im Mai erstmals über die Überwachungspläne berichtet. Wie erwartet brachten vor allem die prognostizierten Kosten die betroffenen Betreiber auf die Palme: Mindestens 40 Milliarden Mark müßten die nach Angaben der Regulierungsbehörde rund 400.000 Betroffenen pro Jahr investieren.
Damit müßte, so die "Wirtschaftswoche" süffisant, die Privatwirtschaft für die staatliche Internetüberwachung mehr ausgeben, als der Bund jährlich für den Verteidigungshaushalt vorsieht.
Generell ist ein Provider zur Übernahme der anfallenden Kosten verpflichtet. Das ist ein Novum: Die Gesetze sahen bis dahin vor, daß die "Bedarfsträger" immerhin in begrenztem Umfang die Kosten aus einer Telekommunikatonsüberwachung zu nachrichtendienstlichen Zwecken (§13 G10-Gesetz), aber auch für strafprozessuale Zwecke übernehmen müssen.
Der Windwechsel hatte sich jedoch bereits vor drei Jahren abgezeichnet, als die damalige FDP-Justizministerin Sabine Leutheusser-Schnarrenberger im Bundestag ankündigte, daß Unternehmen für ihre Überwachung selbst zahlen sollen. Mehrere Anfragen und konkrete Änderungsanträge der Bündnisgrünen hatten, wie angesichts der leeren Haushaltskassen zu erwarten war, keine Kehrtwende in der Überwachungspolitik bewirkt.
Bei der Umsetzung der Technischen Richtlinie werden ähnlich hohe Kosten wie bei der Umsetzung der Telekommunikationsüberwachungsverordnung (TKÜV) prognostiziert: Selbst für die Bastler unter den Providern könnten die Behördenvorschriften mit mindestens 15.000 Mark für die Erstinstallation - ohne Personalkosten - zu Buche schlagen. Realistischer ist es, wie Ingo Ruhmann von der Informatikervereinigung FifF vorrechnete, von 25.000 Mark für die zu beschaffende Technik auszugehen sowie 48.000 Mark für die Softwareentwicklung anzusetzen.
Zudem müssen für die baulichen Maßnahmen, die zum Einbau der geforderten Sicherheitstechnik erforderlich sind, weitere 70.000 Mark veranschlagt werden. Personalkosten könnten mit über 100.000 Mark kalkuliert werden -- in Summe wären das einmalige Kosten von 143.000 sowie zusätzliche 100.000 Mark laufende Kosten.
Politische Konsequenzen
Eine für den 15. Juli geplante Anhörung zur TKÜV war angesichts des großen Medienechos kurzfristig auf den Herbst verschoben worden. Offiziell hatte das Bundeswirtschaftsministerium verlauten lassen, die vorliegenden schriftlichen Stellungnahmen von Verbänden und Betreibern hätten aufgezeigt, daß es noch "erheblichen Änderungsbedarf" gebe.
Bis zum Herbst sollen die Stellungnahmen in den Entwurf eingearbeitet werden, auch zum jetzigen Zeitpunkt werden noch Statements entgegengenommen. Drei Fragen werden nach Ansicht des Ministeriums über den Fortbestand der TKÜV entscheiden: Das Nutzen-Kosten-Verhältnis, die Verfassungsmäßigkeit und die Sicherheitsaspekte.
Selbst wenn jedoch die Entscheidung über die TKÜV auf die lange Bank geschoben werden sollte, ermöglicht der Paragraph 88 des Telekommunikationsgesetzes (TKG) weiterhin die Überwachung von Telekommunikationsanlagen von geschäftsmäßigen Betreibern auf eigene Kosten. Der forschungspolitische Sprecher der Bündnisgrünen, Manuel Kiper, fordert daher die Änderung des Paragraphen 88 und auch sein Mitstreiter, der SPD-Bundestagsabgeorndete Jörg Tauss will den Abhörparagraphen gekippt sehen. Davon will jedoch die Union vorerst nichts wissen.
Immerhin zeichnet sich ein taktischer Kompromiß ab: FDP-Staatssekretär Rainer Funke im Bundesjustizministerium öffnete einen Ausweg aus dem Überwachungstohuwabohu: Der Paragraph stelle zwar eine Ermächtigung dar, verpflichte jedoch keinesfalls zu Eingriffen. Auch der rechtspolitische Sprecher der F.D.P.-Bundestagsfraktion, Detlef Kleinert distanzierte sich von dem Entwuf: Er hätte keinesfalls "dem Sinn der Beratungen des Deutschen Bundestages und seiner Ausschüsse" entsprochen.
Zukunft ungewiss
Soweit zur TKÜV - bleibt die Frage der Technischen Richtlinie, der zweiten Überwachungsalternative. Sie ist nach Ansicht von Experten nicht nur technischen fragwürdig, sondern besitzt schon seit längerer Zeit keinen juristischen Boden mehr. Nachdem der Paragraph 10a des Fernmeldeanlagengesetzes gestrichen wurde, hat die FÜV keine Grundlage mehr - damit schwebt auch die Richtlinie im rechtsfreien Raum.
Das Schicksal beider Überwachungsvorstöße hängt damit nur noch an einem seidenen Faden. In einem regierungsintern abgestimmten Schreiben an den forschungspolitischen Sprecher der Bündnisgrünen, Manuel Kiper, distanzierte sich jetzt das Bundeswirtschaftsministerium als der Regulierungsbehörde vorgestelltes Ministerium von einem Vorstoß über die Technische Richtlinie. In der Antwort heißt es:
"Es ist nicht vorgesehen, die Ergänzung der "Technischen Richtlinie" um den Teil "Internet" unabhängig von der weiteren Erörterung der TKÜV herauszugeben."
Im Klartext: Da die TKÜV im Wirtschaftsministerium erst einmal auf Eis gelegt wurde, wird nun auch die Richtlinie eingefroren. Damit kann sie den Überwachungsbefürwortern nicht mehr als Rettungsfallschirm dienen.
Dennoch, unter "gewissen Umständen", wie Roman Herzog formulierte, könnten beide Schreckgespenste jederzeit wieder aufgetaut werden.
Christiane Schulzki-Haddouti ist freischaffende Journalistin mit Wohnsitz in Koblenz.