© Bundesnetzagentur

Die deutsche Bundesnetzagentur hat die Anforderungen für die Sicherheit der Vorratsdaten vorgelegt. Die Provider müssen demnach einen sehr hohen Aufwand für den Datenschutz betreiben.

Auf deutsche Telekommunikations-Unternehmen kommen hohe Anforderungen an die Sicherheit der gespeicherten Verbindungs- und Standortdaten ihrer Nutzer zu. Die Bundesnetzagentur [1] veröffentlichte einen Entwurf für einen “Katalog von technischen Vorkehrungen und sonstigen Maßnahmen” zur Umsetzung der Vorratsdatenspeicherung. Der Anforderungskatalog soll garantieren, dass die Vorratsdaten fehlerfrei gespeichert, sicher aufbewahrt und fristgerecht gelöscht werden. Hersteller, Telekom-Firmen und Verbände können den am 18. Mai im Amtsblatt der Behörde veröffentlichten Entwurf bis zum 1. Juli 2016 kommentieren.

Die große Koalition hatte im vergangenen Jahr als Reaktion auf Terrorattacken in Europa die Wiedereinführung der Vorratsdatenspeicherung beschlossen. Dem Gesetz zufolge ist ein “besonders hoher Standard der Datensicherheit und Datenqualität zu gewährleisten”. Dazu soll ein Anforderungskatalog beitragen, “den die Bundesnetzagentur im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit erstellt”. Für diese Aufgabe hat die Behörde zwölf Monate Zeit, nachdem das Gesetz im vergangenen Dezember in Kraft getreten war. Danach bleiben den Providern weitere sechs Monate, diese technischen Regelungen umzusetzen.

Datendiode für Speicherung

Provider dürfen Vorratsdaten nur innerhalb Deutschlands speichern. Ein sicheres System (Abbildung 1) lässt sich – dem Entwurf zufolge – “nur durch die Kombination aus einer sicheren Ablage der Verkehrsdaten, einer physischen und organisatorischen Absicherung der Systemkomponenten, einer wirksamen Kontrolle der Kommunikation nach außen und einer Absicherung des Datenflusses zwischen den Systemkomponenten realisieren”.

Abbildung 1: Die grundlegenden Funktionen und Prozesse bei der Speicherung und Nutzung der Vorratsdaten.

Die größten Anforderungen bestehen für die Firmen darin, den Zugriff auf die Daten durch Unberechtigte zu verhindern. Denn eine Entkoppelung vom Internet durch eine manuelle Übertragung der Daten, eine so genannte Turnschuh-Schnittstelle, sei “aufgrund der zu erwartenden großen Datenmengen in der Regel nicht praktikabel und würde zusätzliche Sicherheitsprobleme hervorrufen”, schreibt die Bundesnetzagentur. Daher sei eine Firewall erforderlich, damit “ausschließlich dafür vorgesehene berechtigte Systeme Daten in den zu schützenden Bereich einliefern können, es dürfen jedoch keine Daten abfließen”. Die sicherste Lösung für diesen Zweck sei der Einsatz einer so genannten Datendiode.

Geschlossener Bereich

Die Daten selbst müssen dann “auf physisch gesonderten Speichereinrichtungen gespeichert werden, die von den üblichen für betriebliche Aufgaben genutzten Speichereinrichtungen getrennt sind” (Abbildung 2). Der Teil des Rechenzentrums, in dem Hardwarekomponenten untergebracht seien, “muss als geschlossener Sicherheitsbereich konzipiert sein”. Alternativ seien separate Schutzschränke innerhalb des Rechenzentrums vorzusehen. “Bei unberechtigtem Zutritt muss ein Alarm ausgelöst werden, der durch entsprechendes Sicherheitspersonal sofort verfolgt wird”, heißt es.

Abbildung 2: Die Einzelkomponenten des Systems zur Vorratsdatenspeicherung.

Auch müssen Clients physisch gegen den Zugriff durch nicht ermächtigte Personen geschützt sein. Die Daten werden den Behörden zum Beispiel über eine SINA-konforme (Sichere Inter-Netzwerk Architektur) VPN-Verbindung per Internet zur Verfügung gestellt. Gehen die Daten über dedizierte Leitungen, ist keine Transportverschlüsselung erforderlich.

Löschen mit Tagesschlüssel

Sowohl bei der Herausgabe von Daten als auch bei der Wartung des Systems gilt das Vier-Augen-Prinzip. Zwei “besonders ermächtigte Personen” sollen prüfen, ob die angefragten Daten mit dem erforderlichen Gerichtsbeschluss oder der Behördenanfrage übereinstimmen. Ein physischer Zugriff für die Wartung des VDS-Systems “erfolgt nur gemeinsam durch zwei ermächtigte Personen”.

Unter bestimmten Bedingungen darf etwa der Herstellerfirma ein “lesender Fernzugriff” auf die Daten erlaubt werden. Dabei soll sichergestellt sein, “dass unverschlüsselte Verkehrsdaten und Schlüssel nicht eingesehen werden können”. Zudem schreibt die Bundesnetzagentur vor: “Die Verbindung wird direkt nach erfolgtem Fernzugriff physisch jedes Mal unterbunden (zum Beispiel durch Ziehen des Verbindungskabels).”

Hohe Anforderungen gelten auch für die Verschlüsselung der Daten. “Als besonders sicher werden nur solche Verschlüsselungsverfahren anerkannt, deren Überwindung für Unberechtigte einen unverhältnismäßig großen Aufwand erfordern würde”, heißt es. Um die Anfragen unverzüglich beantworten zu können, empfiehlt die Bundesnetzagentur eine “transparente Datenbankverschlüsselung oder eine Container-Verschlüsselung auf Basis von AES”. Die benötigten Schlüssel müssen “durch das Schlüsselmanagement erzeugt, gespeichert, gelöscht und an die Ver- beziehungsweise Entschlüsselungseinheit verteilt werden”.

Schlüsselablage im Tresor

Die Löschung der Schlüssel ist ein wichtiger Faktor, um die Höchstspeicherfrist von zehn Wochen einzuhalten. Da die Löschung der Verkehrsdaten durch Überschreiben der Speicher nicht immer zuverlässig sei, lasse sich dies durch die Löschung der Zugangsschlüssel erreichen. Dazu sollen die “Schlüssel mit ausreichender Granularität erzeugt und verwendet werden”. Die Bundesnetzagentur schlägt vor, täglich einen eigenen Schlüssel zu erzeugen, “wobei auch eine nicht-deterministische Ableitung von Tagesschlüsseln aus einem Masterschlüssel möglich ist”.

Lägen die Schlüssel auf Wechseldatenträgern, müsse eine sichere Ablage, zum Beispiel “in einem Tresor”, gewährleistet sein. Um die Schlüssel irreversibel löschen zu können, empfiehlt der Entwurf eine Speicherung mittels HSM (Hardware Sicherheits Modul), RAM oder CD. Eine Schlüssellöschung sei dann möglich “durch Löschen von Schlüsselreferenzen und Überschreiben von Schlüsseldateien (HSM), Vernichtung von Schlüsselobjekten (RAM) oder mechanische Vernichtung des Speichermediums (CD)”.

Protokoll der Löschung

Alle Zugriffe auf die Vorratsdaten seien “revisionssicher zu protokollieren”. Dabei dürfen die Protokolldaten keinen Aufschluss über die gelöschten oder verarbeiteten Verkehrsdaten geben und “sind in speziell hierfür vorgesehenen, gesicherten Speichereinrichtungen zu speichern”. Die Löschung der Protokolldaten ist ebenfalls zu protokollieren. Der Entwurf macht keine Angaben darüber, wann die Protokolle von der Löschung der Protokolldaten zu löschen sind und ob auch das zu protokollieren ist.

Der IT-Verband Eco [2] geht davon aus, dass die Vorratsdatenspeicherung die IT-Wirtschaft in Deutschland rund 600 Millionen Euro kostet. Die etwa 2000 mittelständischen Anbieter müssten demnach rund 80000 Euro für die Vorratsdatenspeicherung aufbringen. Der Verband will zusammen mit dem Provider Spacenet die Datenspeicherung vor dem Bundesverwaltungsgericht stoppen.