Kanthers Lust am Lauschen

Im Auftrag des Innenministeriums bereitet die Regulierungsbehörde für Telekommunikation und Post den großen Lauschangriff im Internet vor und übergeht dabei das eigentlich zuständige Bundeswirtschaftsministerium. Internet-Experten und Wirschaftsverbände äußern sich gleichermaßen schockiert: Der als vertraulich eingestufte Entwurf bürdet selbst Intranet-Betreibern die Kosten des staatlichen Überwachungswahns auf.

Von: Franz X. Fuchs

Endlich sichere Geschäfte im Internet", jubelten noch auf der CeBIT die Marketingstrategen der Debis Systemhaus Informations Security Services GmbH. Auf der Computermesse demonstrierten die Bonner Softwarespezialisten zusammen mit der staatlichen Bundesdruckerei ein "Trust Center" zur Sicherung des elektronischen Dokumentenaustausches. Derartig autorisierte Dokumente, so Unternehmens-sprecherin Doris Mendelnik, "eignen sich einerseits für amtliche Vorgänge, wie die Übermittlung von Personendaten über öffentliche Telefonnetze, aber auch für gesicherte private Geschäfte und bargeldlosen Zahlungsverkehr im Internet". Zum potentiellen Kundenkreis zählt das Systemhaus daher neben Unternehmen auch Behörden, deren Kommunika-tion höchsten Sicherheitsanforderungen genügen muß.

Allzu großes Vertrauen freilich schenkte die Regulierungsbehörde für Telekommunikation und Post in Mainz dem staatlich lizensierten Trust Center nicht. Die Bundesbehörde, die dem Bundeswirtschaftsministerium angegliedert ist, schockierte Internet-Experten, Juristen und Wirtschaftsverbände gleichermaßen mit einem internen Papier. Es beschreibt, wie in Zukunft der gesamte Datenverkehr im Internet abgehört werden soll. Dem elfseitigen Dokument zufolge sollen Internet-Service-Provider (ISP) mit der Regulierungsbehörde die technischen Maßnahmen abstimmen, die für die Überwachung notwendig sind - und auch noch die dabei entstehenden Kosten tragen.

Das Papier übertrifft die Befürchtungen von Experten, die bereits nach der im Frühjahr angekündigten Telekommunikations-Überwachungsverordnung (TKÜV) Schlimmes ahnten. Die TKÜV sollte die Fernmelde-Überwachungsverordnung ersetzen. Mit ihr wollte Bundesinnenminister Manfred Kanther im Hauruck-Verfahren durchsetzen, daß die Betreiber von Telekommunikationsanlagen auf eigene Kosten Abhörtechnik für staatliche Behörden installieren müssen. Davon betroffen wären Internet-Service-Provider, Mailbox-Betreiber und Firmen, die Intranets einsetzen. Je nach Größe des Netzes müßten die Betroffenen bis zu 40 Millionen Mark investieren.

Nicht gebannt: Gefahr für Internet-Wirtschaft

Die TKÜV wurde im Auftrag des Bundesinnenministeriums von einer Arbeitsgruppe der Regulierungsbehörde erarbeitet, die jedoch ihren obersten Dienstherrn, Bundeswirtschaftsminister Günter Rexrodt, nicht davon informierte. Der zog Mitte Juli die Notbremse, nachdem Netzbetreiber und Verbände Sturm gegen die geplante Verordnung gelaufen waren. Erst nach der Bundestagswahl wird sich entscheiden, was mit der Kanther-Verordnung geschieht. Michael Schneider, Vorstandsvorsitzender des Eco-Electronic-Commerce-Forums, geht von einer "Neuauflage der ganzen Angelegenheit" aus, sollten die Regierungsparteien die Bundestagswahl gewinnen.

Doch selbst wenn sich Gerhard Schröder und Co. im Herbst durchsetzen, kann für die deutsche Internet-Wirtschaft keineswegs Entwarnung gegeben werden. Denn unbeirrt arbeitet die Regulierungsbehörde weiter an dem Gesetzesentwurf, der die Überwachungsmaßnahmen für jegliche Art von Kommunikation im Internet regeln soll. Der "Entwurf zur Ergänzung der Technischen Richtlinie zur Beschreibung der Anforderungen nach § 13 FÜV (TR FÜV) um den Teil Internet" ist als Verschlußsache des Geheimhaltungsgrades "VS - Nur für den Dienstgebrauch" eingestuft. Die Richtlinie gliedert sich im wesentlichen in fünf Kapitel:

Begriffsbestimmungen und Abkürzungen, Richtwerte, Übermittlung der zu überwachenden Telekommunikation, Authentifizierung sowie Beginn und Ende der Überwachungsmaßnahme.

Gewissermaßen als Einführung werden Abkürzungen festgelegt und Begriffe definiert - etwa der Teil der zu überwachenden Telekommunikation, der die Daten enthält (Payload), die Benutzer miteinander austauschen. Beginn und Ende einer virtuellen Verbindung im Sinne der Richtlinie ist der Zeitpunkt, zu dem das erste beziehungsweise letzte Datenpaket eine Telekommunikationsanlage erreicht. Der Punkt "Technisches Kennzeichnungsmerkmal einer zu überwachenden Adresse" definiert als Kennung des Telekommunikationsanschlusses die im RFC-791-Standardprotokoll festgelegte IP-Adresse. Weiter heißt es: "Diese IP-Adresse ist den Access-Providern in der Regel statisch und den sonstigen Nutzern dynamisch zugeordnet."

Detailliert festgelegt: Was auf welche Weise überwacht wird

Um die Zahl der Überwachungsmaßnahmen, die gleichzeitig möglich sind, nicht dem Zufall zu überlassen, legen die Autoren der Richtlinie folgendes fest: "... wird in Abhängigkeit von der Anzahl der maximal gleichzeitig möglichen virtuellen Verbindungen zum Internet als Planungshilfe empfohlen, daß im Versorgungsbereich dieses Hosts mindestens die folgende Anzahl von unabhängigen Überwachungsmaßnahmen gleichzeitig eingerichtet und betrieben werden können:

M = 0,75 * x 0,45.

M ist dabei die Zahl der aktivierbaren Maßnahmen in der Telekommunikationsanlage, x bezieht sich auf die möglichen virtuellen Verbindungen. Für neue Techniken fordert der Entwurf vom Provider, "die Richtwerte für gleichzeitig durchzuführende Überwachungsmaßnahmen in seinem Konzept zu beschreiben und mit der Regulierungsbehörde abzustimmen".

Die Adresse, die überwacht werden soll, erhält eine feste oder dynamische IP-Adresse. Über sie wird eine virtuelle Verbindung von der Adresse zur Telekommunikationsanlage des Providers hergestellt. Der Provider muß die Überwachung auf Basis einer IP-Adresse oder einer Nutzerkennung in Verbindung mit einer dynamischen IP-Adresse ermöglichen. Außerdem weist die Regulierungsbehörde darauf hin, daß der Provider die in § 12 Absatz 5 der Fernmelde-Überwachungsverordnung genannten Informationen lückenlos zu protokollieren hat.

Vorgabe: Informationen

lückenlos protokollieren

Eine weitere Vorgabe betrifft die TK-Anlage, welche die überwachten Datagramme an die Behörde übermittelt. Sie ist so auszulegen, daß die Übermittlung der Daten jederzeit gewährleistet ist. Treten Übertragungsfehler auf, müssen weitere Versuche erfolgen, wobei die Internet-Control-Message-Protocol-Information ("Destination Unreachable") auszuwerten ist. Sollten alle Übertragungsversuche scheitern, muß der Provider die IP-Header der Datagramme bis zu 24 Stunden zwischenspeichern. Wenn auch die gespeicherten Daten nicht übertragen werden können, ist der Provider verpflichtet, sie der Behörde "über einen anderen geeigneten Weg zuzustellen". Vorgesehen ist, daß der ISP die Datagramme über das Internet an die IP-Adresse der Behörde übermittelt (Bild 1).

Zu überwachen sind alle im Internet verfügbaren Dienste, also WWW, FTP, E-Mail oder Telnet. Dazu muß der Service-Provider alle Datagramme des Internet-Layer an die IP-Adresse der Behörde weiterleiten. Außerdem hat er dafür zu sorgen, daß der Behörde die Daten in einem einheitlichen, systemunabhängigen Format bereitgestellt werden.

Per E-Mail übermittelt: Daten über Dauer der Überwachung

Für jede Überwachungsmaßnahme vergibt die Behörde eine IP-Ziel-adresse, die nur ihr und dem Provider bekannt ist. Diese Adresse ist von den Beteiligten als Verschlußsache des Geheimhaltungsgrades "VS - Nur für den Dienstgebrauch" zu behandeln, und zwar auch nach Ende der Überwachungsmaßnahme. Zur Authentifizierung ist die im IP-Header enthaltene Ziel- und Quelladresse zu verwenden. Als Quelladresse dient für die Dauer der Überwachungsmaßnahme eine statische IP-Adresse.

Unmittelbar nach Einrichtung der Überwachungsmaßnahme muß der Provider an die IP-Adresse der Behörde eine verschlüsselte E-Mail senden, in der angezeigt wird, daß die Überwachungsmaßnahme aktiviert wurde und ab sofort mit der Übermittlung von Datagrammen zu rechnen ist. Das asymmetrische Verschlüsselungsverfahren gibt die Regulierungsbehörde vor, etwa "Pretty Good Privacy" (PGP 2.6.3i). Benötigt wird "in der Regel eine Verschlüsselungstiefe von 512 beziehungsweise 1024 Bit". Den Public Key übergibt die Behörde dem Provider vor Einrichtung der Überwachungsmaßnahme.

Wird die Überwachung auf schriftliche Forderung der Behörde beendet, ist der Provider dazu verpflichtet, erneut eine chiffrierte E-Mail zu senden. Die Mails müssen sekundengenau datiert sein und das Geschäftszeichen der anordnenden Stelle sowie die Nutzerkennung oder IP-Adresse der zu überwachenden Adresse enthalten.

Verbände und Experten: Richtlinie nicht umsetzbar

Als eine "Katastrophe für die deutsche Internet-Wirtschaft" bezeichnet Harald A. Summa den Entwurf, sollte dieser erst einmal Gesetz werden, da es nicht nur Provider, sondern auch Wirtschaftsunternehmen trifft. Nach Meinung des Geschäftsführers des Eco-Electronic-Commerce-Forums könnten nämlich "Unternehmen mit einem Intranet oder Extranet ihre Infrastruktur vergessen". Der Entwurf, so Summa, komme aus der Denke, als es noch die Telekom-Monopole gegeben habe. "Da hatte man einen, der das Ganze im Griff hat. Jetzt aber hat man es mit weitaus mehr zu tun, als die Kollegen sich das vorstellen können." Eine eher schmeichelhafte Bezeichnung dafür, daß die Autoren des Entwurfs offenbar nicht viel Ahnung vom Gedanken des weltweiten Datennetzes haben.

Summa bekräftigt denn auch, daß "das Internet ein virtuelles Netz ist, das man in dieser Richtlinie nicht wiederfindet". Als Beispiel nennt der Internet-Experte die in der Richtlinie vorgeschriebene Zwischenspeicherung von Daten. "Angenommen, man müßte eine Datenstrecke mit 155 MBit/s puffern. Wenn wir am DE-CIX (dem zweitgrößten Knoten in Europa, Anmerkung der Redaktion), über den 6 GBit/s gehen, die Daten 24 Stunden speichern, können Sie ganze Warenhäuser mit Plattenlaufwerken einrichten."

Kritikpunkte: Kosten und Umsetzung der Richtlinie

Grundsätzlich seien an dem Entwurf drei Punkte zu kritisieren. Zum einen "müßten die Provider die damit verbundenen Kosten tragen, was viele überhaupt nicht bezahlen könnten". Summa befürchtet daher einen Konzentrationsprozeß am Provider-Markt. Zweiter Einwand: "Jede Art von Schnittstelle ist gleichzeitig auch ein Gefahrenpunkt, der mißbraucht werden kann", beispielsweise durch Hacker.

Dritter Kritikpunkt: "Wie läßt sich das in der vorliegenden Form eigentlich umsetzen?" Nach Auffassung des Düsseldorfer Rechtsanwalts und Internet-Experten Tobias Stroemer in vielen Punkten überhaupt nicht. "Das geht gar nicht, die Einrichtungen sind ja auch nicht da." Deshalb könne ein solches Gesetz gar nicht funktionieren. Stroemer kritisiert vor allem, daß "man sich überhaupt keine Vorstellung darüber gemacht hat, daß das nicht nur die großen Online-Dienste betrifft, sondern auch jeden 21jährigen Provider, der so ein bißchen was vor sich hermacht". Auch unterliege jeder Mailbox-Betreiber den geplanten Überwachungsvorschriften, der seine Leistung der Öffentlichkeit anbiete und Leuten Zugang vermittle, die er gar nicht persönlich kennt.

Bis zum 3. Juli konnten Verbände und Hersteller von Telekommunikationsanlagen und Endgeräten sich zu dem Entwurf der Regulierungsbehörde äußern. Wer angehört worden ist, will Harald Dörr, der Sprecher der Regulierungsbehörde nicht sagen. Im Bundeswirtschaftsministerium ist der Entwurf zwar bekannt, aber wie auch im Fall der TKÜV an Wirtschaftsminister Rexrodt vorbeigegangen. Das bestätigt nicht nur Eco-Geschäftsführer Summa, der Rexrodt in Internet-Fragen persönlich berät, sondern auch des Ministers Sprecherin Stefanie Kage: "Die Richtlinie wird Herrn Rexrodt zur Kenntnis gebracht, sobald sie im Wirtschaftsministerium veröffentlicht wird." Im übrigen könne man Einzelheiten zu den Arbeiten an dem Entwurf von der Regulierungsbehörde erfahren, die dem Bundeswirtschaftsministerium unterstellt ist.

Dort freilich weiß man angeblich nicht, wann die Arbeiten zu dem Entwurf begonnen haben und hält sich auch bedeckt, wer den Entwurf genau erstellt hat. Überhaupt ist bei der Regulierungsbehörde Geheimniskrämerei angesagt, wenn es um das Thema Internet-Richtlinie geht. "Anscheinend ist denen bewußt geworden, in was für ein Problemfeld sie da hineingeraten sind", kommentiert Summa.

Reaktion: Internet-Dienstleister nehmen Heft in die Hand

Die großen Internet-Dienstleister haben längst reagiert. Über ihren Verband, das Eco-Forum, haben sie "erheblichen Änderungsbedarf" an der Richtlinie angemeldet. Eco-Vorstandsvorsitzender Schneider hatte bereits im Mai heftig kritisiert, daß "Staatsanwälte und das Bundesinnenministerium offen zu erkennen geben, den Willen des Multimedia-Gesetzgebers ignorieren zu wollen". So sollten Provider zur Vorbereitung von Sperren im World Wide Web auf eigene Kosten Zwangs-Proxyserver einrichten. "Wenn die Bundesregierung solchen Entwicklungen nicht Einhalt gebietet", so Schneider, "wird auch die Wirtschaft die im letzten Jahr getroffenen Vereinbarungen aufkündigen. Deutschland würde damit zum Internet-Entwicklungsland."

Ein entsprechendes Rechtsgutachten hat der Eco-Verband jetzt der Regulierungsbehörde vorgelegt. Wirtschaftsminister Rexrodt hat daraufhin umgehend reagiert und eine für Mitte Juli angesetzte Anhörung zu dem Entwurf kurzfristig gekippt. TKÜV und der Entwurf zur Internet-Richtlinie sind bis Herbst erst einmal auf Eis gelegt.

Auf die Politik will sich die weltweite Wirtschaft allerdings nicht verlassen. Anfang kommenden Jahres soll eine große internationale Konferenz die globalen Spielregeln für den Handel im Internet festlegen. Dies haben Vertreter von 70 Unternehmen aus den Bereichen Computer, Software, Banken, Finanzdienstleistungen, Handel und Medien auf einem Treffen mit der EU-Kommission in Brüssel bereits beschlossen. (re)

Franz Xaver Fuchs

ist Inhaber des Redaktionsbüros Fuchs Pressedienst. Zu seinen Themen zählen Informationstechnik, Management und Wirtschaft.