© pixinoo, 123RF

Um die Überwachung von E-Mails in Deutschland ranken sich viele Mythen. Eine tragende Rolle spielt eine Box, die diese Aufmerksamkeit eigentlich nicht verdient. Das Linux-Magazin hat sich die technischen und rechtlichen Hintergründe der E-Mail-Überwachung in Deutschland angeschaut.

E-Mail-Provider in Deutschland sind seit 2005 verpflichtet, die Kommunikation ihrer Nutzer den Ermittlungsbehörden zur Verfügung zu stellen, wenn ein gültiger Richterbeschluss vorliegt. Doch die geltenden Regelungen bringen massive Probleme für kleine und mittelgroße Provider mit sich, weil diese teure Investitionen in Infrastruktur und Personalkosten leisten müssen. Und das alles, obwohl die Beschlagnahme von E-Mails meist auch ohne diese Vorgaben reibungslos funktioniert. Immer wieder beklagen sich Provider zudem über unrechtmäßige Anfragen und Formfehler der Polizei.

Regelung

Die Befugnis zum Abhören von Telekommunikationsinhalten ist in der “Telekommunikationsüberwachungsverordnung” (TKÜV, [1]) geregelt. Sie legt fest, dass Polizeibehörden auf Bundes- und Landesebene und auch der Zoll Inhalte von Kommunikation mit einem Richterbeschluss abhören beziehungsweise beschlagnahmen können. Die Verordnung regelt nicht nur die Pflicht zur Herausgabe der Daten, sondern verpflichtet Provider auch auf bestimmte technische Maßnahmen.

Geschäftsmäßig?

Eine Anordnung zur Überwachung von E-Mail-Inhalten kann fast jeden Provider treffen, und dies auch dann, wenn der Dienst nur als semiprofessionell einzustufen ist. Schon wer regelmäßig seinen Freunden einen E-Mail-Dienst zur Verfügung stelle, könne betroffen sein, sagt der Berliner Sicherheits-Anbieter Peer Heinlein. Er hat Rechtswissenschaft studiert, berät E-Mail-Provider in Deutschland und ist Autor eines Standardwerks zum Thema Postfix-Server.

Entscheidend sei, ob der Dienst “geschäftsmäßig” angeboten werde, also mehr als eine unregelmäßige Gefälligkeit darstelle, sagt Heinlein. Auf eine Bezahlung des Dienstes kommt es dabei aber nicht an.

Zur Überwachung verpflichtet

Auch Unternehmen können angewiesen werden, die Postfächer von Mitarbeitern zu beschlagnahmen, wenn sie ihren eigenen Mailserver betreiben und ihren Mitarbeitern die private Nutzung von E-Mails gestatten. Lädt ein Mitarbeiter am Arbeitsplatz etwa illegal urheberrechtlich geschützte Werke herunter oder wird wegen verleumdender E-Mails ermittelt, darf das Unternehmen zur Herausgabe der Informationen gerichtlich verpflichtet werden.

Das Unternehmen kann sich dann nicht einfach mit einer Vertragsklausel aus der Verpflichtung befreien, denn es reicht nicht aus, wenn die private Nutzung des Kontos etwa im Arbeitsvertrag verboten, in der Praxis aber geduldet ist. Hier komme es auf die “gelebte Praxis” an, sagt Heinlein.

Ebenfalls irrelevant für die Pflicht zur Überwachung ist die Größe eines Mailproviders. Die Pflicht zur Herausgabe ist nicht an die Größe des Unternehmens gebunden. Jeder geschäftsmäßige Provider muss im Zweifelsfall in der Lage sein, angefragte Informationen vollständig und zeitnah herauszugeben.

Oft wird angenommen, dass nur größere Provider, die eine so genannte Sina-Box (Abbildung 1) einsetzen müssen, Kommunikationsinhalte auf Anfrage der Behörden herausgeben müssen. Doch das ist falsch: “Die Größe eines Providers hat nichts damit zu tun, ob er zu einer Telekommunikationsüberwachung verpflichtet ist”, erklärt Heinlein. Die Anschaffung der Sina-Box soll nur die Übertragung der abgehörten Informationen vereinfachen und absichern.

Abbildung 1: Die Sina-Box L2 von Secunet ist ein kompaktes Modell für die sichere Übertragung. Quelle: Secunet

Anschaffen müssen das Gerät Provider, die eine bestimmte Anzahl von Verträgen mit ihren Kunden überschreiten. Vor einigen Jahren waren das noch 100000 Kunden, heute liegt die Grenze für die Sina-Box bereits bei 10000 Verträgen.

Sina-Box

Die Sina-Box wurde in den 90er Jahren entwickelt, unter anderem dafür, einen sicheren Austausch zwischen Bundesbehörden an den beiden Standorten der Bundesregierung in Berlin und Bonn zu gewährleisten. Das Konzept für die “Sichere Internetzwerk Architektur” (Sina, [2]) hatte die Bundesregierung ausgeschrieben, der Hersteller Secunet gewann diese Ausschreibung und stellt die Geräte seitdem her.

Chlorhuhn der E-Mail-Überwachung

Doch dass die Sina-Box tatsächlich maßgeblichen Einfluss auf die Überwachung von E-Mails hat, ist ein Missverständnis: “Die Sina-Box ist quasi das Chlorhühnchen der Telekommunikationsüberwachung – sie ist Teil des Problems, aber eben nur ein kleiner Teil davon, so wie das Chlorhühnchen nur ein kleiner Teil der Probleme bei TTIP ist”, sagt Heinlein. Im Internet kursieren zahlreiche Missverständnisse rund um die Sina-Box, aber das Gerät erhält keinen direkten Zugriff auf die Systeme der Provider, ein Fernzugriff durch die Behörden ist damit ebenfalls nicht möglich. Auch eine Speicherung von Daten auf dem Gerät selbst findet nicht statt.

Die Box dient lediglich dazu, per VPN eine verschlüsselte Verbindung zu den Strafverfolgungsbehörden aufzubauen, wie das Unternehmen auch in der eigenen FAQ darstellt [3]. Das soll gewährleisten, dass Daten aus staatlich angeordneten Überwachungsmaßnahmen weder manipulierbar noch von Fremden einsehbar sind. Diese Geräte nutzen auch deutsche Botschaften im Ausland, um eine sichere Kommunikation zu ermöglichen.

VPN-Gateway

Die Sina-Box verwendet zur Absicherung ein IPsec-VPN. Die Verbindung ist mit AES-256 verschlüsselt, den Schlüsselaustausch sichert Sina mit dem Elliptic Curve Diffie Hellman (ECDH) ab und bietet Forward Secrecy, ältere Nachrichten sind also selbst dann nicht entschlüsselbar, wenn ein Angreifer in den Besitz des geteilten Geheimnisses kommt. Das kleinste Gerät kostet nach Angaben des Herstellers rund 5000 Euro und ist unter anderem als Desktopvariante umgesetzt. Größere Geräte bieten mehr Bandbreite, passen in ein 19-Zoll-Server-Rack und kosten ungefähr das Doppelte.

Laut Secunet fallen die erforderlichen Integrationsleistungen für Provider recht gering aus: “Die Public-Key-Infrastruktur für die Geräte wird von der Bundesnetzagentur bereitgestellt”, sagte Patrick Franitza von Secunet. Das bestätigt auch die Bundesnetzagentur auf Anfrage. Die Behörde schreibt außerdem: “In der Regel sind IP-Adressen für die Sina-Box und die an dem jeweiligen Telekommunikationsvorgang beteiligten Komponenten anzugeben. Die Dienstleistung der Bundesnetzagentur zur Teilnahme am Verfahren sowie der Betrieb der zentralen Public Key Infrastructure für die Sina-Boxen der Teilnehmer sind kostenlos.”

Die Anschaffung einer Sina-Box und die Integration in die eigenen Systeme sind für jene Provider, die die Nutzergrenze überschreiten, aber nur der erste Schritt, denn die notwendigen Anpassungen der eigenen Infrastruktur kosten sehr viel Geld und Zeit. Um eine einfachere Selektion der zu überwachenden E-Mails zu gewährleisten, gibt es spezielle Software für Lawful-Intercept-Schnittstellen, etwa von Hersteller Utimaco.

Problem: Dokumentation

Es bleibt aber nicht bei den Kosten für die Anschaffung entsprechender Hard- und Software. “Provider müssen alle Schnittstellen und Vorgänge in ihren Systemen anhand eines langen Kataloges dokumentieren – das ist mit einem enormen Zeit- und Personalaufwand verbunden”, sagt Heinlein. In dieser Dokumentation gilt es, den Bestand der eigenen Server genauso zu erfassen wie die Schnittstellen der Geräte und deren Verbindung mit dem Lawful-Intercept-Gateway. Die Sina-Box selbst spielt in diesem Zusammenhang nur eine untergeordnete Rolle.

Finanzieller Kraftakt

Insgesamt kann mit den Anschaffungen, dem Zeitaufwand und den damit verbundenen möglicherweise notwendigen Investitionen in die eigenen Serversysteme ein Betrag von 100000 bis 200000 Euro zusammenkommen. Dieser Kostenaufwand lässt sich für kleinere Provider nur schwer rechtfertigen.

Transparenzberichte verschiedener kleiner und mittelgroßer Anbieter (Abbildung 2) zeigen, dass die Anzahl konkreter Anfragen für Telekommunikationsüberwachung oft nur im niedrigen einstelligen Bereich pro Jahr liegt. Dann kostet jede angeordnete Überwachung umgerechnet mehrere Tausend oder sogar Zehntausend Euro. Erstattet bekommen die Provider hingegen nur eine Aufwandsentschädigung, die meist unter 50 Euro pro Fall liegt.

Abbildung 2: Die Telekommunikationsüberwachung betrifft auch kleinere Anbieter. © Atikom Chomlok, 123RF

Für große Unternehmen wie die Deutsche Telekom sind die Grenzkosten pro angeordneter E-Mail-Überwachung deutlich geringer, auch die Anschaffungskosten fallen im Vergleich mit dem regulären Betrieb weniger stark ins Gewicht. Im vergangenen Jahr überwachte die Telekom ausweislich ihres eigenen Transparenzberichts [4] 49229 Konten, wobei die Zahl auch Verlängerungen bestehender Anordnungen umfasst. Andere Maßnahmen wurden deutlich häufiger durchgeführt, in 549233 Fällen wurde zum Beispiel die IP-Adresse der Nutzer herausgegeben.

Unverschlüsselte Anfragen

Provider haben neben den technischen und finanziellen Hürden ab und zu auch mit falschen Anfragen durch Polizeibehörden zu tun. “Oft beginnt es mit der falschen Form”, sagt Heinlein, “denn elektronische Anfragen müssen über eine gesicherte Verbindung gestellt werden.” Immer wieder würden Provider aber mit Anfragen einzelner Polizeidienststellen per unverschlüsselter Mail konfrontiert, die zudem keinen gültigen Beschluss eines Richters enthalten. “In diesem Fall würde ein Provider, der die Daten trotzdem herausgibt, selbst Datenschutzrecht verletzen und könnte sich selbst strafbar machen”, sagt Heinlein.

Die Anfragen der Polizei variieren auch inhaltlich. Grundsätzlich werden bei einer Telekommunikationsüberwachung alle neu eingehenden und ausgehenden Mails registriert und weitergegeben, wenn die Anfrage berechtigt ist. Der Beschluss muss von einem Richter unterzeichnet sein und ist meist für einige Wochen gültig, was sich aber bei Bedarf mit einem erneuten Beschluss verlängern lässt. Zusätzlich zu den Mails werden meist noch Logdateien abgefragt, über die der Provider verfügt.

Behörden können aber auch den Bestand eines Postfachs abfragen. Bei einer TKÜV werden in der Regel auch Bewegungen innerhalb eines Postfachs aufgezeichnet – denn es könnte auch eine Kommunikation stattfinden, ohne Mails zu versenden, etwa wenn Entwürfe per IMAP auf dem Server abgelegt und von einer zweiten Person abgeholt und vom Server gelöscht werden.

Keine Stichwortsuche

Eine Filterung des Postfachs nach bestimmten Stichwörtern findet jedoch nicht statt. Es kommen also keine “Über-Selektoren” zum Einsatz, die gezielt eine Kommunikation über ein Zielobjekt erfassen. Unklarheiten kann es geben, wenn die Polizei ein bestimmtes Alias abfragt, das einem konkreten Postfach zugeordnet ist, das aber nicht selbst eindeutig Gegenstand der polizeilichen Ermittlungen ist.

Die Praxis zeigt, dass die teuren Vorgaben eigentlich nicht notwendig sind oder erst bei deutlich größeren Providern Vorschrift sein sollten. Denn wenn bei einem kleineren Provider eine Anordnung auf Telekommunikationsüberwachung eines bestimmten Accounts eingeht, kann der Provider mit der Polizei vereinbaren, in welcher Form die Daten zu übergeben sind. “Das kann zum Beispiel als Importdatei für Thunderbird oder Outlook geregelt werden”, erklärt Heinlein. Die Dateien lassen sich verschlüsselt per Mail senden oder auf einer DVD, Festplatte oder einem anderen Datenträger übergeben. Bei größeren Providern vereinfacht die Sina-Box diesen Prozess, indem sie es ermöglicht, Daten an die Behörden weiterzuleiten.

In anderen Fällen seien auch schlicht Accounts beim selben E-Mail-Provider angelegt worden, damit Polizeibehörden im zugehörigen Webmail-Interface auf die Mails zugreifen können. “Nicht alle Polizisten sind IT-Profis, nicht jeder weiß, wie man E-Mail-Dateien in Thunderbird oder Outlook importiert”, sagt Heinlein. Auch im Bereich der Überwachung von E-Mails lassen sich also pragmatische Lösungen finden, die den Behörden die zur Arbeit notwendigen Informationen zur Verfügung stellen und die Provider nicht unnötig überfordern.