Polizeispitzel in jeder Datenleitung
■ Die Bundesregierung hat ihre Telekommunikations-Überwachungsverordnung zurückgezogen. Das ist kein Grund zur Entwarnung: Jetzt soll eine "Technische Richtlinie" den Lauschangriff im Internet umsetzen
Der Lauschangriff auf den Datenverkehr kommt möglicherweise durch die Hintertür. Was der Entwurf für eine Telekommunikations-Überwachungsverordnung (TKÜV) bereits erahnen ließ, wird jetzt durch ein weiteres vertrauliches Papier, eine „Technische Richtlinie Internet“ (TR Internet) der Bonner Regulierungsbehörde für Telekommunikation und Post sowohl bestätigt als auch konkretisiert. Detail um Detail regelt der Entwurf, wie Provider und Mailbox-Betreiber den Behörden den Lauschangriff auf ihre Kunden ermöglichen sollen.
Der Aufwand wird beträchtlich. In der Technischen Richtlinie (zu beziehen über www.dud.de) wird den Dienstleistern der Telekommunikationssparte auferlegt, alle Kommunikationsinhalte, die ein zu überwachender Kunde ins Internet schickt oder von dort erhält, zunächst einmal zu kopieren. Um den exakten Zeitpunkt der Übertragung feststellen zu können, muß der Anbieter dann bei jedem der IP-Pakete den Header-Eintrag austauschen. Weiter muß er, um die Vertraulichkeit bei der Weiterleitung der abgehörten Kommunikation zu wahren, die Daten dann verschlüsseln und in Echtzeit via Internet an die „Bedarfsträger“, das heißt an Strafverfolgungsbehörden, Geheimdienst und Zollkriminalamt, schicken. Erreicht er die Behörden nicht, muß er die Daten bis zu 24 Stunden zwischenspeichern.
Für jede einzelne der Überwachungsmaßnahmen, so sieht es die Richtlinie vor, wird vom „Bedarfsträger“ eine individuelle IP-Adresse vergeben. Sie ist nur dem Provider und der jeweiligen Lauschbehörde bekannt – und „die IP-Zieladresse ist von den Beteiligten als Verschlußsache des Geheimhaltungsgrades ,VS – Nur für den Dienstgebrauch‘ zu behandeln, und zwar auch nach Beendigung der Überwachungsmaßnahme“.
Den Providern wird so nicht nur einseitig die technische Seite des Lauschangriffs aufgebürdet. Sie werden gegen ihren Willen den Geheimhaltungsvorschriften der Sicherheitsbehörden unterworfen. Und sie sollen bei der vorgeschriebenen Verschlüsselung auch noch Verfahren einsetzen, gegen die das Bonner Innenministerium und die „Bedarfsträger“ offiziell seit langem zu Felde ziehen: Vor allem das Innenministerium ist bemüht, nur solche Kryptoverfahren in Umlauf gelangen zu lassen, die den staatlichen Institutionen durch eine Hintertüre eine Dechiffrierung der Datensätze erlauben. Im Fall der Übermittlung der überwachten Kommunikation soll das mit einem Mal nicht mehr gelten – der Entwurf schreibt ausdrücklich vor: „Es muß ein asymmetrisches Verschlüsselungsverfahren wie z.B. Pretty Good Privacy (PGP 2.6.3i) verwendet werden.“
Die Umsetzung der Technischen Richtlinie wird bei den Netzbetreibern kräftig zu Buche schlagen: Allein die Hard- und Software, schätzt das Branchenblatt PCpro, dürften mindestens 60.000 Mark verschlingen, unabhängig davon, ob gelauscht wird oder nicht. Hinzukommende Personalkosten sind in der Rechnung noch nicht einmal berücksichtigt.
Das Bonner Papier ist vollständig auf die Wünsche der Sicherheitsbehörden zugeschnitten. Den Netzbetreibern wird zum Beispiel auferlegt, daß sie mehrere zeitgleiche Überwachungsmaßnahmen möglich machen müssen. Deren Anzahl legt eine Formel fest, die berücksichtigt, wie viele Kunden sich gleichzeitig beim Provider einwählen können (M = 0,75 z x0,45; M ist die Zahl der Überwachungsmaßnahmen und x die der virtuellen Verbindungen.) Der Schlüssel schreibt bei hundert Kunden sechs aktivierbare Überwachungsmöglichkeiten vor, bei 10.000 sind das schon 47.
Die Bonner Regulierungsbehörde hüllt sich bislang in Schweigen. Auch auf Anfrage will sie sich zu den Inhalten der Technischen Richtlinie nicht äußern. Ein Sprecher verweist lediglich auf die Ankündigung, daß eine solche Richtlinie erlassen werden soll. Das sei auch heute noch „Stand der Dinge“. Um so verwunderlicher ist es, daß das Papier als Diskussionsstand das Datum des 13. März 1998 vermerkt.
Die „TR Internet“ wird ausgerechnet zu einem Zeitpunkt bekannt, zu dem ein anderes Regelungswerk der Regulierungsbehörde kräftig in die Kritik geraten ist. Ursprünglich sollte noch vor der Bundestagswahl im September im Bundeskabinett eine von der Regulierungsbehörde erarbeitete „Telekommunikations-Überwachungsverordnung“ verabschiedet werden. Diese soll die bisher gültige „Fernmelde-Überwachungsverordnung“ (FÜV) ersetzen.
Die Behörde legte einen Entwurf vor, der bis zu 400.000 Unternehmen gezwungen hätte, Überwachungstechnologien in ihre Anlagen bei eigenen sechsstelligen Kosten zu installieren. Nach massiven Protesten vor allem aus der Wirtschaft wurde die vorgelegte Verordnung zum Entwurf degradiert und eine Überarbeitung angekündigt. Von Kennern der Szene wie dem Fachblatt c't wird die Technische Richtlinie Internet als „Rettungsfallschirm der Überwachungsbefürworter“ betrachtet. Kaum anders lasse sich nämlich erklären, daß im Entwurfsstadium der TKÜV, die als Nachfolgeverordnung der FÜV gelte, noch eine Neuauflage des alten Regelwerkes geplant ist.
Für die Provider und Mailbox- Betreiber ist das eine so bedrohlich wie das andere: Auch wenn sich die Verabschiedung der TKÜV verzögert – die „Bedarfsträger“ könnten versucht sein, ihre Lauschangriffe nun über die Technische Richtlinie Internet durchzusetzen. Wolfgang Gast
