Wer darf was wann und warum abhören, einsehen, austauschen, abschalten? Seit den Anschlägen vom 11. September hat das Thema Sicherheit in Computernetzen Hochkonjunktur. Wir bringen etwas Licht ins Dunkel der Vorlagen, Anträge und Gesetze.
Am 11. September 2001 zerstörten Terroristen das World Trade Center in New York, beschädigten das Pentagon in Washington und rissen etwa 5500 Menschen in den Tod. Die Welt war live dabei. Am 12. September 2001 schwieg das Netz und auf vielen Mailinglisten herrschte Funkstille. Stattdessen eine Bilderflut in den Massenmedien - wie Endlosschleifen, immer und immer wieder die Katastrophen.
Am 13. September 2001 begannen die Politiker in aller Welt in Aktionismus zu verfallen. Noch ohne genaue Vorstellung von dem, was eigentlich geschehen war, wurden erste Gesetzesvorschläge zur Verbesserung der inneren und äußeren Sicherheit vorgelegt. Der Aktionismus der Politiker spiegelt die Verunsicherung in der Konfrontation mit einer gänzlich neuen (Un-)Sicherheitslage wider. Derzeit lässt sich keinesfalls ein endgültiges Urteil darüber fällen, was richtig und notwendig ist.
Seit den Anschlägen wurde eine nahezu unüberschaubare Vielfalt von Maßnahmen ergriffen, die unseren Bereich "Cyberlaw" unmittelbar betreffen: Datenaustausch, Abhörmaßnahmen, Datenschutz, Kryptographie, Sicherheit. Einen Teil dieser Maßnahmen wollen wir im Folgenden kurz vorstellen und in seinen möglichen Konsequenzen diskutieren. Und wir wollen fragen, ob es geeignete Wege gibt, eine Balance zwischen den Anforderungen an die Verbesserung der Sicherheit und der für eine funktionierende Demokratie notwendigen Freiheit und Selbstbestimmung ihrer Bürger[1] zu finden.
In den nächsten Wochen und Monaten wird man sich eine ganze Reihe neuer Akronyme merken müssen. Die innere und äußere Sicherheit der Staaten verlangt aus Sicht der Gesetzgeber nach neuen Gesetzen. Unsere Übersicht beginnen wir in den USA.
Schon am 13. September legte Senator Orrin G. Hatch den Combating Terrorism Act of 2001 (CTA) vor[2]. Darin werden den Behörden, die mit der Durchsetzung von Gesetzen betraut sind (Law Enforcement Agencies) neue Abhörbefugnisse erteilt. In Zukunft dürfen alle elektronischen Kommunikationseinrichtungen bei Gefahr im Verzug ohne richterliche Ermächtigung, allein auf Anweisung eines beliebigen US-Staatsanwalts abgehört werden.
Ein großer Teil der dabei anfallenden Informationen ("Dialing, Routing, Addressing, or Signalling Information") wird aufgezeichnet. Besonders bemerkenswert ist, dass allein ein "Angriff auf die Integrität oder die Verfügbarkeit eines gesicherten Computers" ausreichend ist, um Gefahr im Verzug nachzuweisen. Unter diese Definition fallen nach unserer Einschätzung auch Denial-of-Service-Angriffe, wenn der betroffene Computer mit einer Firewall oder Ähnlichem ausgestattet ist. Der CTA ist mittlerweile verabschiedet.
Die Regierung von Präsident George W. Bush hat am 19. September 2001 den Entwurf eines Anti-Terrorism Act (ATA, später umbenannt in Mobilizing Against Terrorism Act, MATA) vorgelegt. Auch dieser Gesetzentwurf sieht eine wesentliche Ausweitung der behördlichen Abhörbefugnisse vor. Sein Ziel und Ergebnis ist eine Vermischung der Strukturen und Verfahren von Strafverfolgungsbehörden mit den technischen Möglichkeiten und politischen Freiheiten der Nachrichtendienste.
Neu sind überregional geltende richterliche Anordnungen. Abhöranordnungen gelten für alle Medien. Im Zuge dessen sollen auch gleich die TV-Kabelgesellschaften, die nun selbst vermehrt Kommunikationsdienstleistungen anbieten, wie Provider behandelt werden. Alle Provider trifft neben der bisherigen Auskunftspflicht über Identität und Verbindungsdaten des Kunden eine neue über Daten von Finanztransaktionen.
Ein Schmunzeln verursacht die amtliche Begründung: Da bekanntermaßen Terroristen ihre Identität durch falsche Personenangaben verbergen, sei diese durch Auswertung der erspähten Kreditkartendaten zu ermitteln, daneben seien über die Kontonummern Unterstützerkreise ausfindig zu machen.
Aber nicht nur staatliche Institutionen genießen Vorteile: Provider können zur Schadensabwehr die Unterstützung von Polizeibehörden anfordern, sollte ein Hack oder dessen Versuch stattfinden. Die Herbeigerufenen haben dann auch gleich Gelegenheit zu einem Einblick ins System. Kann ja nicht schaden. Wenn er Informationen über drohende Schäden für Leib oder Leben Dritter erlangt, darf der Provider künftig auch von sich aus Behörden informieren.
Nach MATA soll außer dem Abhören laufender Telefongespräche auch das von Voice- und Mailboxen gestattet sein. Verdächtige Ausländer werden demnach statt 90 Tage dann ein Jahr lang überwacht. Durch die Verquickung von Rasterfahndung mit nachrichtendienstlichen Befugnissen scheint das ohnehin schon Gläserne noch durchsichtiger zu werden. Während - jeweils aus beiden politischen Lagern - die Hardliner einen Anspruch auf Datenschutz oder ein Recht auf Privatsphäre überhaupt negieren, beschränkt sich die Argumentation der liberaleren Vertreter oft auf moderate Forderungen wie die, dass es genügen müsse, aus E-Mail-Headern lediglich die Absender- und Empfängerangaben herauszulesen, beim Betreff solle doch darauf verzichtet werden[3].
Alle Rezensionen aus dem Linux-Magazin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...
