Informationsfreiheit für das FBI
Kurzer Prozess ohne Papierkram: Seit den Terroranschlägen der letzten Woche setzt die amerikanische Bundespolizei Überwachungsprogramme im Internet ein, die bisher am Widerstand von Bürgerrechtsorganisationen gescheitert sind
von VERENA DAUERER
Man hatte immer gerne vermutet, dass das FBI Telefongespräche abhört und darauf anspringt, wenn man laut und deutlich „Bombe“ sagt. Um so zu denken, muss man nicht mal mehr so paranoid sein wie ein Drogendealer. Seit letztem Donnerstag hat das FBI einen Freischein zum Abhören im Internet für ihre Software „Carnivore“, oder neuerdings „DCS1000“, die den E-Mail-Verkehr durchforstet, und zwar gründlich.
Nur Stunden nach den Anschlägen auf WTC und Pentagon kamen FBI-Mitarbeiter bei Providern und Anbietern von Webmail vorbei, um Carnivore zu installieren. So berichtet das Magazin Wired. Nicht ohne vorher höflich zu fragen und zu garantieren, dass die Unkosten ersetzt werden. Bürgerrechte? Schutz der Privatsphäre? Die USA befinden sich im Ausnahmezustand und die heilige Freiheit der Information nahm sich das FBI auf seine Art zu Herzen, nach eigenen Angabe mindestens 25-mal in den Jahren 1999 und 2000. Alles geschehen unter dem Abhör-Hardliner Louis Freeh, der nach acht Jahren umstrittener FBI-Vorstandschaft von Robert Mueller abgelöst wurde.
Mueller hielt nicht viel von Carnivore, hatte aber noch letzten Monat neue, unabhängige Untersuchungen der Software abgelehnt. Normalerweise wird ein Abhörsystem nach einem Haufen Papierkram, Anträgen bei Ministerien und korrekter Überwachung des FBI durch Richter gestattet. Terroristen braucht das nicht zu stören, sie können Mails anonym über Remailer versenden und mit Pretty Good Privacy (PGP) verschlüsseln. Oder mit Steganografie: Amerikanische Behörden wollen jetzt erkannt haben, dass Ussama Bin Laden diese Technik genutzt habe, um über öffentliche Webseiten geheime Botschaften an seine Anhänger zu übermitteln.
Carnivore dagegen verspricht mehr. Erst kürzlich wurde ihm der Big Brother Award durch die Organisation Privacy International verliehen. Sein Name tauchte zum ersten Mal 1999 auf, in der jetzigen Version existiert es als Beta 2.0 und läuft auf Windows NT und Windows 2000. Seit Anfang 1996 gab es zwei Vorgänger, einer davon mit dem Namen Omnivore. Der Ärger begann so richtig im Frühjahr letzten Jahres, als die Bürgerrechtsbewegungen American Civil Liberties Union (www.aclu.org), Electronic Frontier Foundation und Electronic Privacy Information Center (www.epic.org) eine Übertretung des vierten Zusatzartikels zum Schutz vor unrechtmäßiger Überwachung und Abhören sahen und gegen das FBI klagten. Grund war eine Lücke bei CALEA, dem Communications Assistance for Law Enforcement Act. Ein Gesetz, das dem FBI erlaubt, digitale Geräte und Netzwerke abzuhören wie die alten Telefonnetze.
Nun mussten endlich Dokumente über Carnivore offengelegt werden, (www.fbi.gov/congress/congress00/kerr090600.htm). Die ACLU verlangte zusätzlich den Quellcode. Das FBI weigerte sich. Ersatzweise stellte die Sicherheitsfirma NetworkICE im vergangenen September den Code einer ähnlich arbeitenden Software ins Netz: Das freie Programm „Altivore“ war gedacht als Alternative für die Provider, die lieber ein eigenes Überwachungsprogramm im Haus haben möchten als das FBI. Im November 2000 wurde schließlich ein angeblich unabhängiger Bericht über Carnivore vom IIT Research Institute (IITRI) in Maryland veröffentlicht (cryptome.org/carnivore-rev.htm).
Ein Papiertiger
Leider scheint das Institut eine traute Verbindung zu Militär und Regierung zu unterhalten, aber immerhin war erkennbar, wie das System arbeitet: Es besteht neben der Hardware aus dem Softwarepaket „DragonWare“, das die Programme „Carnivore“, „Packeteer“ und „CoolMiner“ enthält. Ein PC wird ohne Tastatur und Monitor bei einem Internetprovider installiert, filtert den Datenverkehr und ist per Modem mit dem FBI verbunden, der mit der frei erhältlichen Software „PCAnywhere“ die gesammelten Daten zunächst nur kontrolliert. Auf den PCs des FBI sind aber auch noch Packeteer und Cool Miner installiert: das eine Programm rekonstruiert den Weg des Surfers durchs Web anhand seiner besuchten IP-Adressen, das andere filzt die einzelnen Datenpakete – es wurde an amerikanischen Unis entwickelt, um den Studenten den Napster zu verleiden.
Was Carnivore jedoch tatsächlich leistet, hängt von seiner Konfiguration ab. Ein Gerichtsbeschluss kann anordnen, dass die Ermittler nach einem bestimmten Mail-Absender und -Empfänger, nach IP-Adressen oder bestimmten Zeichenfolgen aus dem Inhalt einer Mail suchen dürfen. Gleichgültig, ob das System legal nach solchen Gerichtsentscheidungen eingesetzt wird oder nicht: In jedem Fall müssen die Ermittler das System präzise auf die jeweiligen Fahndungsziele einstellen. Selbst wenn das gelingt, ist die Ausbeute nicht sehr groß. Das System kann, soweit jetzt bekannt, nur auf jeweils einen Netzknoten, typischerweise einen Internet-Zugangsprovider zugreifen. Der simple PC, auf den der Datenverkehr abgezweigt wird, kann leicht angegriffen und manipuliert werden. Sehr große Datenströme würden das System vermutlich schnell überlasten. Mitarbeiter von AT&T und der Uni in Pennsylvania listeten zahlreiche Schwachstellen des IITRI-Berichts auf: Neben den vielen Bugs in der Software sei unter anderem unklar, wie Carnivore mit seiner PC-Peripherie reagiert und inwiefern die Anwender Zugriff und Veränderungsmöglichkeiten der Daten haben.
In seiner jetzigen Form ist das Programm wohl kaum geeignet, professionelle Kriminelle oder gar Terroristen im Netz aufzuspüren. Nur Hollywood hat schon jetzt seinen Spaß daran: Demnächst startet der Actionthriller „Passwort: Swordfish“ über einen Hacker, der Carnivore außer Gefecht setzt.
Realistischerweise wird der Netzhacker, der schlauer ist als das ganze FBI zusammen, nur auf Bewährung verurteilt – Amerikas Rechtssystem legt jedem legalen Angriff auf die persönliche Freiheit seiner Bürger eine ganze Reihe von Stolpersteinen in den Weg: Wenn ein Agent der Bundespolizei einen Verdächtigen aushorchen möchte, muss er die Zustimmung seiner Vorgesetzten, der FBI-Führung und des Justizministeriums einholen. Ein Berater und ein technisch versierter Agent werden hinzugezogen, ein Richter muss nach dem „Title III“ des „Omnibus Crime Control and Safe Streets Act“ von 1968 die Überwachung anordnen, die nicht länger als 30 Tage dauern darf. 90 Tage nach deren Ende muss er außerdem den Verdächtigen darüber informieren.
Vier bis sechs Monate dauerte das vorbereitende Verfahren für verdächtige Amerikaner bisher. Etwas zügiger konnten ausländische Geheimdienste oder andere fremde Mächte abgehört werden. Zunächst muss der „Assistent des Präsidenten für nationale Sicherheitsangelegenheiten“ bescheinigen, dass der Antrag ein Fall nach „Foreign Intelligence Surveillance Act“ sei. Dann muss nur noch der Generalstaatsanwalt zustimmen.
Letzte Woche jedoch handelte das FBI einfach ohne den ganzen Bürokratenkram. Wenn die Provider zustimmen, kann die Überwachung sofort beginnen und das zuständige Gericht wird lediglich informiert. Um dieses praktische Handeln zu untermauern, billigte bereits am vergangenen Donnerstag der Senat das neu geschaffene Combating Terrorism Act of 2001. Es erlaubt das Abhören ohne Gerichtsbescheid für die Dauer von 48 Stunden, wenn die nationale Sicherheit in Gefahr ist oder die gleichen Kriterien wie bei möglichen Straftaten durch Hacker vorliegen. vdauerer@t-online.de
