Wer darf was wann und warum abhören, einsehen, austauschen, abschalten? Seit den Anschlägen vom 11. September hat das Thema Sicherheit in Computernetzen Hochkonjunktur. Wir bringen etwas Licht ins Dunkel der Vorlagen, Anträge und Gesetze.
Am 11. September 2001 zerstörten Terroristen das World Trade Center in New York, beschädigten das Pentagon in Washington und rissen etwa 5500 Menschen in den Tod. Die Welt war live dabei. Am 12. September 2001 schwieg das Netz und auf vielen Mailinglisten herrschte Funkstille. Stattdessen eine Bilderflut in den Massenmedien – wie Endlosschleifen, immer und immer wieder die Katastrophen.
Am 13. September 2001 begannen die Politiker in aller Welt in Aktionismus zu verfallen. Noch ohne genaue Vorstellung von dem, was eigentlich geschehen war, wurden erste Gesetzesvorschläge zur Verbesserung der inneren und äußeren Sicherheit vorgelegt. Der Aktionismus der Politiker spiegelt die Verunsicherung in der Konfrontation mit einer gänzlich neuen (Un-)Sicherheitslage wider. Derzeit lässt sich keinesfalls ein endgültiges Urteil darüber fällen, was richtig und notwendig ist.
Seit den Anschlägen wurde eine nahezu unüberschaubare Vielfalt von Maßnahmen ergriffen, die unseren Bereich “Cyberlaw” unmittelbar betreffen: Datenaustausch, Abhörmaßnahmen, Datenschutz, Kryptographie, Sicherheit. Einen Teil dieser Maßnahmen wollen wir im Folgenden kurz vorstellen und in seinen möglichen Konsequenzen diskutieren. Und wir wollen fragen, ob es geeignete Wege gibt, eine Balance zwischen den Anforderungen an die Verbesserung der Sicherheit und der für eine funktionierende Demokratie notwendigen Freiheit und Selbstbestimmung ihrer Bürger[1] zu finden.
Akronyme der inneren Sicherheit
In den nächsten Wochen und Monaten wird man sich eine ganze Reihe neuer Akronyme merken müssen. Die innere und äußere Sicherheit der Staaten verlangt aus Sicht der Gesetzgeber nach neuen Gesetzen. Unsere Übersicht beginnen wir in den USA.
Schon am 13. September legte Senator Orrin G. Hatch den Combating Terrorism Act of 2001 (CTA) vor[2]. Darin werden den Behörden, die mit der Durchsetzung von Gesetzen betraut sind (Law Enforcement Agencies) neue Abhörbefugnisse erteilt. In Zukunft dürfen alle elektronischen Kommunikationseinrichtungen bei Gefahr im Verzug ohne richterliche Ermächtigung, allein auf Anweisung eines beliebigen US-Staatsanwalts abgehört werden.
Ein großer Teil der dabei anfallenden Informationen (“Dialing, Routing, Addressing, or Signalling Information”) wird aufgezeichnet. Besonders bemerkenswert ist, dass allein ein “Angriff auf die Integrität oder die Verfügbarkeit eines gesicherten Computers” ausreichend ist, um Gefahr im Verzug nachzuweisen. Unter diese Definition fallen nach unserer Einschätzung auch Denial-of-Service-Angriffe, wenn der betroffene Computer mit einer Firewall oder Ähnlichem ausgestattet ist. Der CTA ist mittlerweile verabschiedet.
Kritik an der Regierungsvorlage
Die Regierung von Präsident George W. Bush hat am 19. September 2001 den Entwurf eines Anti-Terrorism Act (ATA, später umbenannt in Mobilizing Against Terrorism Act, MATA) vorgelegt. Auch dieser Gesetzentwurf sieht eine wesentliche Ausweitung der behördlichen Abhörbefugnisse vor. Sein Ziel und Ergebnis ist eine Vermischung der Strukturen und Verfahren von Strafverfolgungsbehörden mit den technischen Möglichkeiten und politischen Freiheiten der Nachrichtendienste.
Neu sind überregional geltende richterliche Anordnungen. Abhöranordnungen gelten für alle Medien. Im Zuge dessen sollen auch gleich die TV-Kabelgesellschaften, die nun selbst vermehrt Kommunikationsdienstleistungen anbieten, wie Provider behandelt werden. Alle Provider trifft neben der bisherigen Auskunftspflicht über Identität und Verbindungsdaten des Kunden eine neue über Daten von Finanztransaktionen.
Ein Schmunzeln verursacht die amtliche Begründung: Da bekanntermaßen Terroristen ihre Identität durch falsche Personenangaben verbergen, sei diese durch Auswertung der erspähten Kreditkartendaten zu ermitteln, daneben seien über die Kontonummern Unterstützerkreise ausfindig zu machen.
Aber nicht nur staatliche Institutionen genießen Vorteile: Provider können zur Schadensabwehr die Unterstützung von Polizeibehörden anfordern, sollte ein Hack oder dessen Versuch stattfinden. Die Herbeigerufenen haben dann auch gleich Gelegenheit zu einem Einblick ins System. Kann ja nicht schaden. Wenn er Informationen über drohende Schäden für Leib oder Leben Dritter erlangt, darf der Provider künftig auch von sich aus Behörden informieren.
Nach MATA soll außer dem Abhören laufender Telefongespräche auch das von Voice- und Mailboxen gestattet sein. Verdächtige Ausländer werden demnach statt 90 Tage dann ein Jahr lang überwacht. Durch die Verquickung von Rasterfahndung mit nachrichtendienstlichen Befugnissen scheint das ohnehin schon Gläserne noch durchsichtiger zu werden. Während – jeweils aus beiden politischen Lagern – die Hardliner einen Anspruch auf Datenschutz oder ein Recht auf Privatsphäre überhaupt negieren, beschränkt sich die Argumentation der liberaleren Vertreter oft auf moderate Forderungen wie die, dass es genügen müsse, aus E-Mail-Headern lediglich die Absender- und Empfängerangaben herauszulesen, beim Betreff solle doch darauf verzichtet werden[3].
PATRIOT mit Verfallsdatum
Das Repräsentantenhaus hat am 1. Oktober 2001 zudem einen eigenen Gesetzesvorschlag vorgelegt, den Provide Appropriate Tools Required to Intercept and Obstruct Terrorism Act (PATRIOT)[4]. Seine Vorschläge reichen nicht ganz so weit wie die aus Präsident Bushs ATA. Wesentliche Inhalte: Internetadressen-Informationen dürfen gesammelt werden, nicht jedoch Content.
Die Richter dürfen Abhörmaßnahmen im Internet nicht ablehnen; Internet Service Provider dürfen nicht dazu gezwungen werden, ihre Einrichtungen gemäß den Bedürfnissen der abhörenden Behörde umzubauen – was ein wesentlicher Unterschied zu den Anforderungen aus der deutschen Telekommunikationsüberwachungsverordnung[5] ist.
Der Informationsaustausch ist auf Bundesbehörden in den Bereichen Law Enforcement, Nachrichtendienste, Einwanderung/Ausländer und Nationale Sicherheit begrenzt; Abhörmaßnahmen sind bei Ausländern ein Jahr zulässig; das Gesetz hat ein Verfallsdatum und tritt am 31. Dezember 2003 automatisch außer Kraft. Die begrenzte Gültigkeit des PATRIOT ist der wesentliche Unterschied zum ATA.
Auch der US-Senat hat unter dem Namen Uniting and Strengthening America Act (USAA) einen eigenen Vorschlag ausgearbeitet. Bemerkenswert sind darin die Vorschläge zur weit reichenden Kontrolle der Finanzströme[6] ohne eine Möglichkeit der richterlichen Überprüfung für die Betroffenen. Ansonsten unterscheiden sich die vorgesehen Abhörbefugnisse nicht wesentlich von denen aus den oben vorgestellten Gesetzentwürfen. Positiv ist zu vermerken, dass Schadensersatzregelungen für den Fall vorgesehen sind, dass Behörden mit den abgehörten Informationen unsachgemäß umgehen. Die Abhörmaßnahmen sind bei Ausländern 90 bis 120 Tage, mit Verlängerung ein Jahr gültig. Das Gesetz selbst hat kein Verfallsdatum. Am 12. Oktober 2001 hat der Senat den USAA mit 96 zu 1 Stimmen verabschiedet, die erste Hürde im Gesetzgebungsverfahren ist also genommen[7].
Es ist zu erwarten, dass aus den einzelnen Vorschlägen im Laufe des Gesetzgebungsverfahrens ein Kompromiss erarbeitet wird, der das Spektrum der oben angerissenen Maßnahmen enthalten wird. Eine kompakte Zusammenfassung der in den einzelnen Gesetzen vorgesehenen Maßnahmen hat die American Civil Liberties Union im Internet zur Verfügung gestellt[8].

Abbildung 1: Der Combating Terrorism Act gibt US-Behörden verstärkten Zugriff auf Kommunikationseinrichtungen aller Art. Weitere Gesetze werden folgen.
Der deutsche Weg
Auch in Deutschland ist eine ganze Reihe von Gesetzesänderungen auf den Weg gebracht worden. Bereits älteren Datums als die Anschläge war die vorgesehene Neufassung der Telekommunikations-Überwachungsverordnung (TKÜV,[5]). Die darin vorgesehenen Abhörschnittstellen bei Internet-Providern hatten in der Vergangenheit für heftige Kritik gesorgt. Die Provider stießen sich vor allem an den ihnen auferlegten Pflichten, die Schnittstellen selbst zu finanzieren, was Kosten in der Höhe von zig Millionen Mark mit sich bringt. Aber auch die technischen Vorstellungen der Behörden wurden oft als unrealistisch moniert. Angesichts der jüngsten Ereignisse steht die öffentliche Kritik zurück, ist in der Sache aber nicht aufgegeben.
Vielleicht sollte auch der deutsche Gesetzgeber ähnlich innovativ sein wie das US-Repräsentantenhaus und die Provider nicht zum Umbau ihrer Infrastrukturen zwingen. Mögliche Sicherheitsrisiken, die mit einem erzwungen Umbau existierender Infrastruktur einhergehen können, sollten ebenfalls Berücksichtigung finden. Damit wäre die Kooperationsbereitschaft der Provider sicherlich eher zu gewinnen.
Weitgehend Einigkeit herrscht darüber, das Religionsprivileg für Vereine aufzuheben – was letztlich dem verfassungsrechtlichen Gebot einer strikten Trennung von Staat und Religion Rechnung trägt- und den Terrorismusparagraphen 129 a des Strafgesetzbuchs um einen Paragraphen 129 b zu ergänzen, der terroristische Aktivitäten im Ausland unter Strafe stellt. Eine Privilegierung eventueller terroristischer Aktivitäten jeglicher Art soll so verhindert werden.
Bundesfinanzminister Hans Eichel geht mit seiner Forderung nach einer zentralen Datei für alle Konten und Depots in Deutschland weit über die amerikanischen Ansätze hinaus. Die Begründung, damit Geldwäsche zu verhindern und “die finanziellen Quellen des Terrorismus auszutrocknen”[9], liegt nahe. Dass man damit gleichzeitig auch die gewöhnliche Steuerhinterziehung bekämpfen kann, dürfte mehr als ein willkommener Nebeneffekt sein.
Ob der Terrorismus mit dieser Maßnahme getroffen werden kann, scheint jedoch zweifelhaft – angesichts der vielen Offshore-Banken, auf die vor allem auch die USA und Großbritannien viel Wert legen. In der Vergangenheit haben sich gerade diese beiden Länder vehement gegen verstärkte internationale Kontrolle der Offshore-Banken gesperrt.

Abbildung 2: Gesetzesvorlagen für das verstärkte Abhören kommen nicht nur aus beiden Kammern des US-Kongresses, sondern auch aus dem Weißen Haus.
Kompromiss gefragt
Dass die Überwachungsmöglichkeiten und die Möglichkeiten für den Datenaustausch zwischen Ermittlungs-, Strafverfolgungs- und Geheimdienstbehörden erweitert werden, steht heute allem Anschein nach außer Frage. Der Datenschutz, insofern er den Plänen im Wege steht, wird wohl zurückstecken müssen. Die praktisch in allen Parteien erhobenen Forderungen lassen nichts anderes mehr erwarten. Wahrscheinlich sind Einschnitte der einen oder anderen Art beim Datenschutz im Interesse der Sicherheit nicht zu vermeiden. Diese müssen jedoch mit Augenmaß und Sachverstand vorgenommen werden.
Den daraus entstehenden Risiken für das Recht auf informationelle Selbstbestimmung der Bürger könnte der Gesetzgeber auf dreierlei Weise Rechnung tragen:
Die Dauer der Maßnahmen sollte erstens begrenzt werden. Der amerikanische Ansatz eines vorab festgelegten Verfallsdatums für ein Gesetz wie beim PATRIOT-Act ist ein gangbarer Weg. Bewährte Maßnahmen – und das wäre im Einzelfall zu prüfen – könnten verlängert werden.
Der Umfang der Abhör- und Datenaustausch-Maßnahmen sollte zweitens auf das notwendige Maß beschränkt sein. Das lässt sich durch eine Wirksamkeitskontrolle ermitteln. Unwirksame Maßnahmen wären für unzulässig zu erklären. Eine solche Wirksamkeitskontrolle sollte gleichzeitig auf die schon jetzt bestehenden Abhörmöglichkeiten ausgedehnt werden.
Einer von jeder Entwicklung abgekoppelten Zunahme abgehörter Telefongespräche, wie sie in den letzten Jahren zu verzeichnen ist, könnte dadurch begegnet werden. Die damit beschäftigten Behörden könnten sich wieder auf die relevanten Aktivitäten konzentrieren[10]. Die Kontrolle könnte durch ein demokratisches Gremium mit hoher Transparenz, vielleicht durch einen runden Tisch repräsentativer gesellschaftlicher Gruppen (Regierung, Parteien, Gewerkschaften, Kirchen) erfolgen. Dass dabei keine Geheiminformationen öffentlich diskutiert werden müssen, steht außer Frage.
Drittens sollten auch Schadensersatzregelungen bei Missbrauch der Befugnisse sowie der erhobenen Daten wie beim USAA des US-Senats, vorgesehen werden. Den Bürgern müssten entsprechende Rechtsmittel zur Durchsetzung ihrer berechtigten Ansprüche an die Hand gegeben werden.
Die Ausgewogenheit der gesetzlichen Maßnahmen wird letzten Endes darüber entscheiden, ob die Bürger sie als eine Verbesserung ihrer Sicherheit oder bloß als Einschränkung ihrer Freiheit wahrnehmen werden. Der Gesetzgeber hat jetzt durchaus die Chance, sowohl Sicherheit als auch Freiheit zu stärken. Die Demokratie in Deutschland könnte dadurch gewinnen – und so den Terroristen die Vergeblichkeit ihres Tuns signalisieren.

Abbildung 3: Senator Hollings im Dienste der Kopierschutz-Lobby.
Günstige Gelegenheit
Nach dem 11. September stößt nahezu jedes Gesetz mit dem Begriff Sicherheit im Titel auf das Wohlwollen der Gesetzgeber. Deshalb schickte die Industrie der Rechteverwerter einen ihrer wichtigsten Lobbyisten, den Vorsitzenden des Wirtschaftsausschusses des US-Senats, Ernest Fritz Hollings, ins Rennen[11]. Sein Auftrag: Der Security Systems Standards and Certification Act (SSSCA) möge Gesetz werden.
Laut SSSCA wäre es in Zukunft illegal, digitale Geräte (Software eingeschlossen) herzustellen, zu importieren, anzubieten oder zu vertreiben, die nicht mit einem zertifizierten Digital Rights Management (DRM) ausgestattet sind[12]. Die Entscheidung darüber, welche DRM-Systeme zulässig sein sollen, läge bei der National Telecommunications and Information Administration (NTIA). Vorschläge soll ein Komitee aus Vertretern der Content-Industrie und der Technologie-Unternehmen liefern. Dabei käme selbstverständlich auch jene patentgeschützte Technologie in Frage, für deren Nutzung eventuell Lizenzgebühren “on reasonable and non-discriminatory terms” zu zahlen wären[13].
Die Marktmacht US-amerikanischer Firmen dürfte sehr schnell dazu führen, dass sich derartige Technologie weltweit verbreitet. Auch Firmen, die in die USA exportieren, müssten diese Technologien einbauen, um dort keine strafrechtlichen Folgen befürchten zu müssen.
Wegen der hohen Entwicklungskosten haben die Hersteller bereits Protest gegen den Gesetzentwurf angemeldet. Offene Systeme wären ohne Zweifel in ihrer Existenz gefährdet, sollte die obligatorische, zertifizierte Technologie proprietärer Natur sein. Wer sollte die Lizenzen kaufen? Freie Software-Entwickler dürften dazu finanziell außer Stande sein oder solche Händel aus ethischen Gründen ablehnen.
Auch lizenzfreie Technologie wäre allerdings nicht ohne Tücken. Jede Information, die unter einem DRM-Regime zugänglich gemacht werden soll, muss damit kompatibel sein. Zu ihrer Erstellung benötigt man spezielle Software, deren Algorithmen ihrerseits in der Regel wieder proprietär sind. Der “Free Flow of Information”, wie er im Internet heute noch einigermaßen normal abläuft, dürfte dann schnell der Vergangenheit angehören[14]. Aber das ist es ja wohl auch, was Hollywood & Co. erreichen wollen. (uwo)
Infos |
|
[1] Volkszählungsurteil des Bundesverfassungsgerichts von 1983 (BVerfGE 65; 1, 41). [2] Excerpts from Senate Amendment S.A. 1562 to House Bill H.R. 2500. With New System Wiretap Provisions: [http://www.eff.org/sc/wiretap_bill.html] [3] Declan McCullagh, “Wiretap Bill gets Third Degree”: [http://www.wired.com/news/conflict/0,2100,47111,00.html] [4] Näheres zu PATRIOT: [http://thomas.loc.gov/cgi-bin/bdquery/z?d107:h.r.02975: ] [5] Stefan Krempl, “Die Lauschverordnung kommt”: [http://www.heise.de/newsticker/data/jk-28.09.01-000/] [6] American Civil Liberties Union, “How The Senate Anti-Terrorism Bill Puts Financial Privacy at Risk”: [http://www.aclu.org/congress/l100801a.html] [7] Näheres zum USAA: [http://thomas.loc.gov/cgi-bin/bdquery/z?d107:s.01510:] [8] ACLU, Surveillance powers: [http://www.aclu.org/congress/patriot_chart.html] [9] Ehrlich, Hulverscheidt: “Hans Eichel plant eine zentrale Datei für alle Konten und Depots”: [http://www.ftd.de/pw/de/ FTDAL4QEESC.html?nv=hpwd] [10] Der Terror und das Versagen der Geheimdienste: [http://www.heise.de/newsticker/data/ame-09.10.01-000/] [11] Dan Berkes, Senator Fritz Hollings (D-Disney) avoids talking about SSSCA: [http://www.newsforge.com/ article.pl?sid=01/09/20/2047211&mode=thread] [12] Junko Yoshida, George Leopold; Copy protection bill divides industry, Hollywood: [http://www.eetimes.com/story/OEG20010928S0110] [13] Further Analysis of the Draft SSSCA: [http://www.kuro5hin.org/story/2001/10/2/14345/9096] [14] Tina Gasperson, “Ignore SSSCA, risk becoming a federal felon, overnight”: [http://www.newsforge.com/ article.pl?sid=01/10/02/1622228] |







