"Wir wollen auch für andere Länder eine Führungsrolle einnehmen"

Interview mit Scott Charney, Vorsitzender der G-8-Arbeitsgruppe "High-Tech-Kriminalität"

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Mit einer eigenen Arbeitsgruppe wollen die führenden westlichen Industrienationen und Rußland den Kampf gegen das High-Tech-Verbrechen organisieren. Unter dem Vorsitz von Scott Charney, dem Chefermittler in Sachen Computerkriminalität im US-Justizministerium hat die G8-Arbeitsgruppe "High-Tech Kriminalität" eine 24-Stunden-Kontaktgruppe gegründet.

Über die Landesgrenzen hinweg hilft man sich gegenseitig: Führen beispielsweise die Spuren eines Falls in Deutschland in die USA, nimmt Charney mit dem betroffenen US-Provider Kontakt auf, um Beweisdaten sicher zu stellen. Dafür steht Charney persönlich rund um die Uhr bereit. Noch landen nur ein bis zwei Mal im Monat internationale Fälle auf dem Schreibtisch von Scott Charney. Der Strafverfolger ist davon überzeugt, daß derartige Fälle in Zukunft häufiger anfallen werden. Zusammen mit seinen Kollegen aus den G8-Staaten versucht er daher eine bessere Koordinierung und eine effizientere Strafverfolgung zu erreichen. Die Arbeitsgruppe bastelt derzeit an einem Trainingsprogramm zur Beweissicherung. Damit sollen alle Polizisten bei Durchsuchungen und Beschlagnahmungen die gleiche Vorgehensweise praktizieren. Nur so können Beweise auch gegenseitig anerkannt werden. Die Trainingssoftware ist bereits in der Beta-Version: Polizisten können am Computer in einer dreidimensionalen Umgebung einen Raum durchsuchen, Gegenstände wie zum Beispiel Handys sogar in die Hand nehmen und Beweisdaten sichern.

Allein eine gemeinsame Praxis genügt noch nicht, auch eine gesetzliche Harmonisierung wird jetzt innerhalb der G8-Staaten angestrebt. Im Rahmen der gesetzlichen Möglichkeiten sollen Beweisdaten regelmäßig ausgetauscht werden können, um internationale Fälle lösen zu können. Christiane Schulzki-Haddouti sprach mit Scott Charney in Washington.

Wie entstand die G8-Arbeitsgruppe "High-Tech Kriminalität"?

Scott Charney: Wir begannen mit dem G8-Prozeß im Januar 1997. Innerhalb der G7/G8-Staaten wechselt jedes Jahr die Präsidentschaft. Die US-Präsidentschaft war im Jahr 1997. Während ihrer Präsidentschaft richteten die USA sogenannte Arbeitsgruppen ein, in denen sich Experten mit bestimmten Themen beschäftigten. Jede Arbeitsgruppe wurde von einem anderen Land geleitet. Zu den damals geschaffenen Arbeitsgruppen gehörte auch die Arbeitsgruppe für "High-Tech Kriminalität".

Der Grund, warum wir uns mit diesem Thema beschäftigten, liegt darin, daß wir uns 1986 erstmals mit einem Hacker-Fall beschäftigten. In den darauffolgenden Jahren wurden es immer mehr Fälle. Während der 90 Jahre war es dann mehr als Hacking beziehungsweise herkömmliche Computerkriminalität: Computer wurden zunehmend dazu benutzt, um herkömmliche Straftaten zu erleichtern. Je mehr die Computerisierung zunimmt, desto technisierter und komplizierter wird das Kriminalitätsproblem. Wir hielten es also für eine gute Idee, uns in einer kleinen Gruppe wie den G8-Staaten, die zu den am meisten industrialisierten und computerbezogenen Ländern gehören, mit dem Problem zu beschäftigen. Seit Januar 1997 haben wir uns fast jeden Monat getroffen.

Was möchten Sie erreichen?

Scott Charney: Wir wollen sicherstellen, daß Computerkriminalität innerhalb, aber auch außerhalb der G8-Staaten kriminalisiert wird. Wir wollen ja nicht nur in unseren Staaten etwas erreichen, sondern auch für andere Länder eine Führungsrolle einnehmen. Wir wollen, daß die Verfahren für grenzüberschreitende Aufgaben beschleunigt werden. Das Verbrechen wird nicht nur schneller, es verbreitet sich auch in einem größeren Maßstab als zuvor. Es erfordert daher eine zunehmend koordiniertere Erwiderung. Wir wollen sicherstellen, daß unsere Rechtssysteme substantiell und prozedural so gestaltet sind, daß sie maximale Effizienz erreichen. Zudem beobachten wir, in welchen Bereichen die Bedürfnisse der Strafverfolgung mit denen des Marktes konvergieren und in welchen sie auseinandergehen.

Wo berührt das Marktgeschehen die Interessen der Strafverfolger?

Scott Charney: Es gibt zwei Trends auf dem Markt: Der eine unterstützt die öffentliche Sicherheit, der andere weniger. Im Bereich des E-Commerce wollen die Leute eine Authentifizierung für eine bestimmte Art der Kommunikation. Beim Homebanking beispielsweise wollen sie gerne wissen, ob ein bestimmter Geldtransfer von ihnen persönlich oder von irgendeiner anderen Person vorgenommen wurde. Hier gibt es einen hohen Grad an Authentifikation, der auch unseren Zwecken zugute kommt.

In einem anderen Bereich werden Umsätze über Anzeigen im Internet generiert. Der Preis der Anzeige richtet sich danach, wieviele Leute die Anzeige sehen. Die Frage ist nun, wie man hohe Zugriffszahlen erreicht. Eine Methode besteht darin, anonyme, kostenlose Accounts einzurichten. Dieses Angebot wird von vielen Leuten genutzt, die sich in diesem Fall nicht authentifizieren müssen. Doch was passiert, wenn einer dieser Leute mit Hilfe seines anonymen Zugangs jemanden anderen bedroht? In dem einen Fall hilft uns also der Markt, in dem anderen nicht. In Gesprächen mit der Industrie versuchen wir zu erfahren, in welche Richtung sich der Markt entwickelt.

Was wollen Sie also im Bereich der freien, anonymen Internetzugänge erreichen?

Scott Charney: Es hängt nicht zuletzt von dem einzelnen Land ab, was man tun kann. Einige Optionen beinhalten zum Beispiel, in bestimmten Bereichen, in denen Firmen ihre Kunden kennen wollen, Authentifikationen einzuführen. In den USA läßt sich das jedoch so nicht durchführen. Manche Leute wollen das Internet gerne anonym benutzen - nicht weil sie Kriminelle sind, sondern weil sie ihre Privatsphäre bewahren wollen. Zusammen mit der Industrie sehen wir, zu welchem Grad bestimmte Anwendungen Authentifikationen benötigen. Die Frage ist, wie wichtig die anonyme Nutzung tatsächlich ist, denn die Leute können Inhalte auch anonym über den Briefkasten verschicken. Ich habe den Eindruck, daß noch niemand eine Lösung gefunden hat.

"Einfrieren und Speichern" als Alternative

Eine EU-Resolution zur Bekämpfung von Kinderpornographie im Internet sieht das Verbot von anonymen E-Mails vor, auch gibt es den Vorschlag, Kundendaten mindestens 90 Tage zu speichern. Ist das auch ein Modell für die USA?

Scott Charney: In den USA gibt es eine gewisse Datenspeicherung für kurze Zeiträume - zu Abrechnungszwecken oder aus technischen Gründen. Rechtlich können wir den Provider dazu verpflichten, die Daten eines bestimmten Accounts 90 Tage lang zu speichern, bevor sie gelöscht werden. Das gibt uns Zeit, um den richterlichen Beschluß für die Freigabe der Daten zu erwirken. Falls es uns in diesem Zeitraum nicht gelingt, können wir die Daten für weitere 90 Tage speichern lassen.

Soll es nun zu einer ähnlichen Regelung in den anderen G8-Staaten kommen?

Scott Charney: Das ist eines der Themen, die wir zur Zeit diskutieren. Das Problem liegt darin, daß die Provider nicht beliebige Datenmengen auf unbestimmte Zeit speichern können, der internationale Rechtsbeihilfeprozeß jedoch seine Zeit braucht. Es gibt zur Zeit die Option des "fast freeze quick thaw": Provider sollen die Daten schnell einfrieren, um sie zu bewahren. Dann versuchen wir schnell auf dem rechtlichen Weg mit einem Gerichtsbeschluß oder der Rechtsbeihilfe die Freigabe der Daten zu erreichen. Der Vorteil dieses Vorgehens liegt darin, daß keine wichtige Daten verloren gehen. Auch die Datenschutzbelange werden berücksichtigt, da die Daten unter der nationalen Rechtshoheit freigegeben werden.

Wenn man hingegen alle Provider bittet, alle Daten für 90 Tage zu speichern, ist damit sowohl ein Nutzen, als auch ein Schaden verbunden: Nützlich ist, daß man manchmal nicht genau weiß, welche Daten wichtig sind. Braucht man Daten aus der vergangenen Woche, wären sie mit der "Einfrieren & Speichern"-Methode bereits verloren. Aber die Kehrseite ist folgende: Wenn man Provider bittet, diese Datenmengen generell zuspeichern, da man irgendwann in der Zukunft vielleicht an einem kleinen Ausschnitt dieser Daten interessiert sein könnte, ist das so, als ob man ihn bitten würde, einen ganzen Heuhaufen aufzubewahren, nur weil man einen Strohhalm benötigt. Das ist teuer, bringt Datenschutzprobleme und einige Probleme mehr. Die Frage ist, wie man eine angemessene Balance erreicht. Das ist nicht einfach.

Wie beurteilen Sie die Chance, ihren Vorschlag des "Einfrierens und Speicherns" innerhalb der G8-Staaten zu realisieren?

Scott Charney: Die Chancen einer weitflächigen Implementierung sind ziemlich hoch. Es hat eine Menge Vorteile, aber nur wenige Nachteile. Die Strafverfolger bekommen die Daten, die sie benötigen. Der Provider muß nur eine vergleichsweise geringe Datenmenge speichern - das ist nicht teuer. Und aus Datenschutzperspektive werden nicht die Daten von Unbeteiligten gespeichert, sondern nur des Verdächtigen.

Wie sieht jetzt der Zeitplan zur Umsetzung aus?

Scott Charney: Es wurde bereits bei unserem letzten Treffen Mitte Mai in Paris in unserer Arbeitsgruppe verabschiedet, jetzt müssen die Minister der einzelnen Länder darüber entscheiden.

Harmonisierungsbestrebungen

Über welche anderen Themen wurde in Paris noch gesprochen?

Scott Charney: Es ging um fortlaufende Themen. Wir sahen uns zum Beispiel einige technische Fragen in Bezug auf Trap-and-Trace an und die Unterschiede zwischen Verkehrsflußdaten und Inhalten. Jede Delegation überprüfte die einheimischen Gesetze, um festzustellen, wo Ähnlichkeiten und Unterschiede bestehen. Wir stellten Fragen, und als wir die Antworten hatten, stellten wir noch mehr Fragen. Es ist ziemlich kompliziert. Es ist ein Work-in-progress und das wird so weitergehen.

Sie haben also für die G8-Staaten eine Rechtsübersicht erstellt, um dann sagen zu können, an welchen Punkten Sie ein Rechtshilfeabkommen benötigen?

Scott Charney: Wenn Sie Unterschiede in den nationalen Rechten feststellen, sind einige wichtig und einige weniger wichtig. Wir versuchen also herauszufinden, an welchen Stellen sie für uns problematisch werden. Zum Beispiel: In einigen Ländern kann man den Service Provider zur Hilfe zwingen, in anderen Ländern kann man ihn lediglich um Hilfe bitten. Bedeutsam wird dies dann, wenn ein Provider die Hilfe verweigert. Wenn Sie dann immer wieder an derselben Stelle steckenbleiben, werden diese Länder überprüfen, ob sie ihre Gesetze modifizieren. Ein Beispiel dafür ist das Einbrechen in fremde Computer. Das wird von einigen Ländern bestraft, von anderen wie Japan nicht. Japan überlegt sich nun, sein Gesetz zu verändern, um sein Gesetz mit den anderen G7-Staaten zu harmonisieren. Wir schauen uns also die Unterschiede in den Gesetzen an und überlegen uns, ob sie die Strafverfolgung verletzen oder unterstützen. Dann reden wir darüber, ob wir daran etwas verändern können.

Brauchen Sie eigentlich ein Rechtshilfeabkommen, oder klappt die Zusammenarbeit auch ohne?

Scott Charney: Die G8 schließen keine formalen Abkommen ab. Wir sind eine wesentlich kleinere Gruppe und können daher einen intensiveren Dialog führen. Wir gehen oft ins Detail und wägen alle Vor- und Nachteile eines bestimmten Vorgehens ab. Wir legen das schriftlich nieder und schicken es dem EU-Rat, um ihn mit unseren Überlegungen bekannt zu machen. Der EU-Rat bereitet zur Zeit eine Konvention für Cyber-Kriminalität vor, die eine verbindliche Abmachung unter den EU-Mitgliedstaaten und sogenannten beobachtenden Ländern, USA, Kanada und Japan, sein wird. Der Rat versucht dabei einige Ideen, die wir innerhalb der G8 im Detail diskutiert haben, in die Konvention einzubinden.

Die 24-Stunden-Kontaktgruppe der G8

Was passiert, wenn ein US-Bürger etwas nach US-Recht Illegales über einen russischen Provider verübt und US-Behörden die russischen Kollegen bitten, den Datenverkehr zu untersuchen und Beweise zu erbringen. Ist es ein rechtliches Problem, wenn die russische Polizei ohne Gerichtsbeschluß - der in den USA jedoch nötig wäre - die Server untersucht?

Scott Charney: Es kann ein rechtliches Problem sein. Durch den Fall werden mehrere Fragen aufgeworfen. Die erste Frage ist: Wie bitten wir die Russen in einem solchen Fall um Hilfe? Im internationalem Recht gibt es schon seit langem traditionelle Vorgehensweisen. So kann ein US-Gericht ein Gericht in einem anderen Land um Hilfe bitten. Es ist ein sehr langsamer Prozeß. Daher haben die Länder alle möglichen Abkommen miteinander abgeschlossen, um eine schnelle Rechtshilfe zu praktizieren. Wir haben zwar kein Rechtshilfeabkommen mit Rußland, aber wir können sie um Hilfe bitten.

In der Praxis gibt es oft eine Mischung zwischen internationalem und nationalem Recht. Falls wir die Russen bitten, bestimmte Daten zur Verfügung zu stellen, müssen sie sich die Frage stellen, ob ihr Recht es erlaubt, an die Daten zu bekommen, wie sie an die Daten herankommen und wie sie die Daten an die USA weitergeben können. Bislang war dieser Prozeß viel zu langsam für Hackerfälle, die sich sehr schnell bewegen: Unter vielen Rechtshilfeabkommen haben Länder eine zentrale Autorität, die als Kontaktgruppe für alle internationalen Anfragen fungiert. Wenn wir früher also gemeinsam an einem Hackerfall arbeiteten, fragten wir unsere Kontaktgruppe, die wiederum die Kontaktgruppe in dem anderen Land fragte, die deren Polizeibeamter fragte, der vielleicht eine Frage zu dem Fall hatte und wiederum seine Kontaktgruppe fragte, die unsere Kontaktgruppe fragte, um uns zu fragen. Die Leute, die wirklich mit dem Fall befaßt waren und die Technologie kannten, waren damit an den gegenüberliegenden Enden eines formalisierten Prozesses. Es gab Fälle, in denen uns die Verzögerung in der Mitte des Prozesses umbrachte.

Aus diesem Grund haben wir die 24-Stunden-Kontaktgruppe eingerichtet. Sie funktioniert so, daß wir uns direkt an den Experten des anderen Landes wenden können. Er setzt dann alles nötige in den Gang. Auf diese Weise bleibt der Ball in Bewegung. Wir kümmern uns darum, daß es ein entsprechendes nationales Recht gibt, so daß die Länder einander schnell helfen können. Und wir kümmern uns darum, daß es internationale Regeln gibt, so daß die Daten weitergegeben werden können.

Wie erfolgreich arbeitet die 24-Stunden-Kontaktgruppe?

Scott Charney: Es funktioniert jetzt wesentlich schneller. Innerhalb von 24 bis 48 Stunden erhält ein Land die Daten, nach denen es gefragt hat.

Befolgen Sie in der 24-Stunden-Kontaktgruppe bestimmte Regeln? Arbeiten Sie auf einer rechtlich soliden Basis?

Scott Charney: Ja. Wir haben zwei verschiedene Regelwerke: Zum einen haben wir die 24-Stunden-Kontaktgruppe. In den USA funktioniert das folgendermaßen: Wenn jemand in den USA Hilfe benötigt, wendet er sich direkt an seinen Kontaktmann in der 24-Stunden-Kontaktgruppe. Für die USA bin ich der Kontaktmann. Ich gehe dann zu dem jeweiligen Kontaktmann in dem anderen Land. Die einzelnen Kontaktleute stehen ständig miteinander in Austausch. Wenn ich selbst eine Anfrage aus einem anderen Land erhalte, muß ich sicher gehen, daß mein nationales Recht es mir erlaubt, die benötigten Daten zu erhalten.

Die 24-Stunden-Kontaktgruppe ist jedoch nur ein temporäres Modell, da Sie ja erwarten, daß derartige Fälle künftig häufiger stattfinden werden. In fünf Jahren werden Sie das sicherlich nicht mehr alleine bewältigen können.

Scott Charney: Das stimmt. Ich werde von Leuten in meiner Abteilung unterstützt.

Gibt es ein Modell, wie man das künftig organisieren wird?

Scott Charney: Das wichtigste für uns ist es, das Netzwerk auszuweiten. Wir möchten, daß so viele Länder wie möglich sich der Kontaktgruppe anschließen, da es manchmal Fälle gibt, die nicht aus den G8-Staaten kommen. Wir arbeiten schon jetzt mit einer Menge internationaler Organisationen zusammen wie Interpol, dem EU-Rat, der Organisation Amerikanischer Staaten. Wir werden darauf achten, daß die 24-Stunden-Kontaktgruppe nicht überlastet wird und gegebenenfalls expandieren.

Können Sie sich vorstellen beispielsweise in der Zusammenarbeit zwischen Deutschland und den USA auch ohne den deutschen Kontaktmann zu arbeiten? Schließlich sind Sie bereits rein technisch in der Lage über einen Fernzugriff an die Daten zu kommen.

Scott Charney: Einige Länder haben sich über den direkten Zugang bereits unterhalten - unter dem Begriff "grenzüberschreitende Durchsuchung" (transborder search). Es gibt dabei einige Probleme: Selbst wenn wir eine internationale Anfrage erhalten, dürfen wir nur im Rahmen unserer nationalen Gesetze handeln. Können Sie davon ausgehen, daß ein deutscher Strafverfolger die US-Gesetze vollständig versteht, oder umgekehrt? Es gibt also ein Problem mit der direkten Grenzüberschreitung, da es sich hier um eine Angelegenheit nationaler Souveränität handelt.

Darüber hinaus gibt es auch ganz praktische Bedenken: Die Menschen in den verschiedenen Ländern haben unterschiedliche Erwartungen: Wie wird Privatsphäre geschützt, unter welchen Voraussetzungen haben Behörden Zugriff auf die Daten? Wenn jedes Land nach seinem eigenen Recht handelt, haben die Bürger keine Ahnung mehr, unter welchem Recht ihre Daten benutzt werden. Das ist sehr kompliziert und schwierig. Wir hoffen, daß wir mit dem schnellen Einfrieren von Daten uns innerhalb der 24-Stunden-Kontaktgruppe schnell genug helfen können, so daß es weniger Bedarf gibt, direkt zu handeln. Wenn die internationalen Mechanismen zu langsam und schwerfällig sind, wird bei den Leuten der Eindruck entstehen, daß es keine Gerechtigkeit gibt. Daher müssen wir alles tun, daß die internationalen Mechanismen funktionieren, so daß wir unsere Bürger beschützen, unsere Souveränität beschützen können und unseren Job erledigt bekommen.

Man muß sehen, wie sich die Netzwerke in einem internationalen Umfeld entwickeln werden. Erinnern Sie sich, daß wir vor allem über bilaterale Beziehungen gesprochen haben. Was ist jedoch zum Beispiel mit einer Webpage, über die illegal Drogen verkauft werden? Das ist sowohl in den USA als auch Deutschland illegal. Stellen Sie sich jetzt vor, die Webpage besteht aus einer Reihe von Bildern. Jedes Bild ist in einem anderen Land gespeichert. Der eine Teil ist in Deutschland, der andere in Frankreich, wiederum ein Teil in Nordafrika, in Südamerika, in China und Nordkorea. Wenn man diese Webpage beschlagnahmen möchte, bräuchte man also die Zustimmung von sechs Regierungen. Läßt sich das durchführen? Vermutlich nicht. Die Länder haben angefangen darüber zu reden, aber es gibt dafür keine einfache Lösung. Wir müssen darüber reden und sehen, wie sehr dies wirklich zum Problem wird.

Kryptographie - immer noch ein Thema

Denken Sie, daß Krypto-Regulierung immer noch ein Thema ist oder ist die Frage mittlerweile beigelegt?

Scott Charney: Innerhalb der G8 beschäftigen wir uns nicht mit Kryptopolitik, wir betrachten Kryptographie jedoch von einem praktischen Standpunkt aus: Wann und wie oft stoßen Strafverfolger auf Krypto? Was unternehmen sie, wenn sie auf Krypto stoßen? Aus der politischen Perspektive hat die OECD bereits Richtlinien für eine Kryptopolitik entwickelt. Zu den Grundprinzipien der G8 gehört es, die Arbeit von anderen internationalen Gremien nicht zu duplizieren. Das ist Zeitverschwendung, wenn verschiedene Gruppen sich mit demselben Thema beschäftigen.

Sie haben also die OECD-Richtlinien akzeptiert?

Scott Charney: Wir haben sie akzeptiert. Wir werden keine Arbeit wiederholen. Wir beschäftigen uns hingegen mit der alltäglichen Auswirkung von Kryptographie auf die Strafverfolgung.

Führen Sie dazu innerhalb der G8 eine Studie durch?

Scott Charney: Wir denken gerade darüber nach, wie wir dazu Daten erheben können. Die Schwierigkeit liegt darin, daß es sich zur Zeit sehr im anekdotischen Bereich bewegt. Viele verschiedene Organisationen sind betroffen - das FBI, der Secret Service. In den USA haben wir 17.000 Polizeistationen auf Landes- und Ortsebene. Wenn ein örtlicher Sheriff in Alabama ein Auto anhält und dabei Drogen und einen Computer mit verschlüsselten Daten findet, würde er diesen Fund niemandem berichten. Es gibt keine obligatorische Berichtspflicht für zufällig gefundene Krypto. Daher sind wir nur in der Lage, anekdotische Geschichten zu sammeln. Wenn ein Polizist erzählt, daß er bei 10 Durchsuchungen zwei Mal auf Krypto gestoßen ist und ein anderer erzählt, daß er bei 10 Durchsuchungen drei Mal auf Krypto gestoßen ist, dann kann man schätzen, daß in zwanzig bis dreißig Prozent der Fälle Krypto involviert ist. Man versucht auf diese Weise Anhaltspunkte zu finden. Es gibt keine wissenschaftliche Bestimmungsmethode, die mit dem Auszählen von Krebszellen vergleichbar wäre.

Wie wollen Sie dann die Studie durchführen?

Scott Charney: Wir wollen wissen, wie oft ein Polizist auf Krypto gestoßen ist. Dabei muß man jedoch die Begriffe sorgfältig definieren. Wenn jemand beispielsweise einen Text ins Arabische übersetzt - mit der Hoffnung, daß niemand in seiner Stadt Arabisch versteht -, ist das keine Kryptographie. Wir werden also einfache Fragen stellen und die Umfrage möglichst flächendeckend in der Strafverfolgungsgemeinde in den G8-Staaten zirkulieren lassen.

Werden Sie auch danach fragen, in wieviel Fällen ein Fall aufgrund von Kryptographie nicht gelöst werden konnte?

Scott Charney: Genau. Dabei gibt es jedoch die Schwierigkeit, daß Krypto auch in den Fällen eine Rolle spielen kann, die gelöst wurden. In einem Fall eines Pädophilen finden Sie beispielsweise vier Kinderpornobilder und einige verschlüsselte Dateien. Sie können ihn für die vier Bilder verurteilen und den Fall als Erfolg feiern. Doch da Sie nicht die verschlüsselten Dateien entschlüsseln konnten, wissen Sie vielleicht etwas Entscheidendes nicht. Vielleicht hätten Sie ein Bild mit ihm und seinem Bruder gefunden, auf dem sie das Kind des Bruders mißbrauchen. Hätten Sie dieses Bild gefunden, hätten Sie den Bruder verhaftet und das Kind aus dem Haus gebracht und ihm ein besseres Zuhause gesucht und vieles mehr. Wenn Sie also nur Verurteilungen zählen, ist der Fall immer noch ein Erfolg. Hätten Sie jedoch die Dateien entschlüsselt, hätten Sie vielleicht noch mehr erreichen können. Sie können nur raten, alles ist spekulativ.

Man muß also bei der Auswertung der Studie vorsichtig sein und darauf achten, was sie wirklich aussagt. Es gibt Fälle, in denen jemand unter dem Verdacht stand mit Kinderpornographie zu handeln. Doch weil die Daten verschlüsselt waren, mußten wir ihn gehen lassen. Wir hatten einfach nicht genug, um ihn verurteilen zu können. Und hier weiß man einfach nicht, wieviele Fälle das sein können. Denn in manchen Fällen haben wir einen Informanten, der uns die Bilder gibt und wir können den Übeltäter verhaften - auf der Grundlage dessen, was wir haben. Wir beschlagnahmen auch seinen Computer, können jedoch nichts entschlüsseln. Man weiß nicht, was man nicht weiß. In den Vereinigten Staaten hat der Angeklagte das Recht, Aussagen, die ihn selbst belasten, zu verweigern. Er muß also auch keine Daten entschlüsseln. Die verschlüsselten Daten könnten alles mögliche enthalten: Einen Brief nach Hause, Zeitungsartikel, Kinderpornographie oder einen Plan, den Präsidenten zu ermorden. Sie wissen es nicht. Sie können es nicht einschätzen, es ist alles spekulativ.

Wann wollen Sie die Studie beenden?

Scott Charney: Wir müssen einzelne Teile der Studie noch fertigstellen, dann müssen wir sie verteilen und an Delegationen weitergeben. Schließlich müssen wir wieder alles einsammeln und auswerten. Das könnte ein Jahr, vielleicht auch weniger dauern. Wir haben eben damit angefangen.

Die Frage der Kryptoregulierung kommt erst dann wieder auf den Tisch, wenn die Studie beendet ist?

Scott Charney: Richtig, wir werden aufgrund der Ergebnisse der Studie neu entscheiden.

Standardisierung neuer Technologien für Strafverfolgungszwecke

Sie entwickeln auch neue Technologien, die Sie in Ihren Bemühungen unterstützen sollen. Können Sie dafür Beispiele nennen?

Scott Charney: Informationstechnologien basieren in der Regel auf Standards, die von internationalen Einrichtungen wie der IETF, dem W3C, der ITU, der ISO festgelegt werden. Die Regierungen arbeiten dort mit. Doch meistens gehen nur technisch-orientierte Leute hin, nicht Leute aus der Strafverfolgung. Wir merkten, daß in einer Ökonomie, die durch den Markt gesteuert wird, die technischen Standards eine Menge mit öffentlicher Sicherheit zu tun haben. Ein bereits lange dokumentiertes Beispiel dafür ist das IP-Spoofing. Hier kann jemand eine Nachricht im Namen einer anderen Person verschicken. Der Grund dafür ist, daß die Return-Adresse in einem IP-Paket-Paket nicht an das Paket selbst gebunden ist. Es gibt keine Überprüfung auf Integrität, die Header-Information kann leicht geändert werden. Keiner würde es merken. Die Version 6 des Internet-Protokolls bindet die Source-Adresse besser an das IP-Paket, doch es wird aus Kostengründen nicht eingesetzt. Der Markt unterstützt es nicht.

Es ist möglich technische Standards zu setzen, die die öffentliche Sicherheit unterstützen. Die Länder müssen daher darauf achten, in die Standardisierungsgremien nicht nur ihre Wirtschaftsleute und Techniker zu entsenden, sondern auch die Techniker aus der Strafverfolgung. Wenn die Strafverfolgung im 21. Jahrhundert sich in der Umgebung eines globalen Marktes bewegt, brauchen wir ein Plug-In zu den Marktmodellen, die unseren Erfolg beeinflussen. So etwas nützt beiden Seiten: Wenn Sie sehen, daß ein Betrug über das Protokoll verübt wird, können Sie das Protokoll verbessern, um Betrug zu verhindern. Dann werden mehr Leute das Netz benutzen, da es sicherer ist, und dem Business geht es damit besser.

Haben Sie auch Standards beeinflußt, um das Abhören von Telekommunikation zu erleichtern?

Scott Charney: Wir haben in den USA ein Statut, das teilweise aus CALEA, dem "Communications Assistance for Law Enforcement Act", besteht. Darin sind Anforderungen an Telekommunikations-Betreiber beschrieben, die sie erfüllen müssen, damit wir weiterhin elektronische Überwachung ausüben können. Das Gesetz legt nicht fest, wie die Standards aussehen sollen, aber es sagt, was wir haben müssen. Die Firmen entwickeln dann die technischen Standards entsprechend unseren Anforderungen. In dieser Hinsicht kann ich Ihre Frage mit "Ja beantworten.

Gab es nicht 1997 in der ITU eine Diskussion, in der es darum ging, technische Abhörstandards festzulegen?

Scott Charney: Ich habe nur ein ITU-Dokument gesehen, das im Prinzip sagte, daß wir diese Anforderungen auch in das digitalen Zeitalter hinübertragen müssen. Ich bin in diesen Prozess nicht involviert, das ist Sache des FBI.

Abhörmöglichkeiten bei Internet Service Providern

Gibt es in den USA auch eine Diskussion darüber, ob Internet Service Provider den Abhöranforderungen entsprechen müssen?

Scott Charney: Nein, wir haben die Internet Service Provider bewußt aus der CALEA-Gesetzgebung herausgelassen. Es handelt sich hier um eine junge Industrie, in der es viele kleine Player gibt. Sie könnten die Kosten nicht schlucken. Wenn man ihnen eine zu große Last aufbürdet, würde man sie aus dem Geschäft vertreiben und nur noch die großen Player blieben übrig. Aber wir sprechen mit den Providern über Marktmodelle und die Richtung, in der sich das Ganze bewegt, um herauszufinden, auf welche Weise die technischen Infrastrukturen die Strafverfolgung unterstützen können. In einigen Fällen trifft dies zu, in anderen wiederum nicht.

Wo sehen Sie im Moment die größten Probleme in der Zusammenarbeit mit den Internet Service Providern?

Scott Charney: Es ist weniger die Frage, ob sie mit uns kooperieren wollen, sondern ob es technisch möglich ist: Sind die Daten verfügbar und wie können sie ausgewertet werden? Zum Beispiel bieten die Provider hier die Einwahlnummer 555-2000 für den Internet Service an. Über diese Nummer wählen sich einige tausend Benutzer ein, denen dann automatisch eine IP-Paket-Adresse zugeordnet wird. Wir hatten den Fall, daß einer dieser Nutzer sich über diese Nummer einwählte und etwas Schlechtes machte. Wir wollten nun wissen, über welche Telefonleitung sich diese Person eingewählt hatte, aber es gab keine Möglichkeit das herauszufinden. Einige Monate später gab es dasselbe Problem. Dieses Mal hatte der Provider jedoch ein Tool entwickelt, um es herauszufinden. Der Provider hatte es nämlich mit mehreren Betrugsfällen zu tun gehabt und hatte die Betrüger nicht identifizieren können. Ein anderes Problem: Wir wollen wissen, wer sich vor drei Stunden eingewählt hat und eine bestimmte IP-Adresse benutzt hat. Der Provider speichert jedoch die Daten nicht. Wäre der Nutzer noch online, hätte man ihn identifizieren können. In dem einen Fall gab es also die Technologie nicht, in dem anderen Fall waren die Daten nicht mehr vorhanden.

Versuchen Sie die Zusammenarbeit mit den ISPs zu verbessern, in dem Sie den Providern beispielsweise Tools zur Verfügung stellen?

Scott Charney: Wir haben Tools entwickelt, die wir den Providern in einigen Fällen zur Verfügung stellen. In anderen Fällen vermitteln wir zwischen den Providern, so daß sie sich gegenseitig aushelfen. Aber das hängt ganz davon ob, was das Tool kann. Es gibt auch proprietäre Tools hinter denen ein großer Entwicklungsaufwand steckt und die einige einzigartige Merkmale besitzen. Diese Tools wollen die Firmen dann aus Wettbewerbsgründen nicht weitergeben.

Versuchen Sie eine Art Super-Tool zu entwickeln?

Scott Charney: Die Technik erlaubt so etwas nicht. Jedes System sieht anders aus - verschiedene Plattformen, verschiedene Maschinen, verschiedene Konfigurationen. Wir versuchen es trotzdem von Fall zu Fall. Wenn ich zum Beispiel eine Überwachungsmaßnahme vornehmen will und jemand verschiedene Protokolle benutzen wird, können wir einen Computer mit verschiedenen Slots bauen. Je nachdem welches Protokoll benutzt wird, wechseln wir die Karte.