Frosch im heißen Wasser 

Wird ein Frosch in heißes Wasser gesetzt, bemerkt er, daß sein Leben bedroht ist und versucht zu entkommen. Setzt man ihn dagegen in kaltes Wasser und erhitzt es langsam, merkt er nichts, bis es zu spät ist. Man kann das auch "Salamitaktik" nennen: Scheibchenweise wird die Öffentlichkeit an Überwachung gewöhnt.

Echelon, Enfopol, Europol

"Echelon" ist der Name des größten weltweiten Spionagenetzwerkes unter der Leitung der US-amerikanischen National Security Agency (NSA).¹⁾ Der Neuseeländer Nick Hager veröffentlichte seine Erkenntnisse über Echelon in dem Buch "Secret Power". An Echelon beteiligt sind außer den USA noch Großbritannien, Kanada, Australien und Neuseeland. Auf jedem der fünf Kontinente werden Abhörstationen betrieben, eine davon auch in Deutschland, in Bad Aibling. Es werden Richtfunkstrecken, Funkanlagen, Unterseekabel, Satelliten, Internet etc. abgehört und mit Computern analysiert. Das Ergebnis soll eine von Menschen verarbeitbare Datenmenge sein.

Auch in Europa entwickelten sich Begehrlichkeiten nach umfassender Datenüberwachung. 1998 wurde ein geheimes Dokument mit dem Titel "Enfopol 98" veröffentlicht.²⁾ Enfopol steht für "Enforcement Police". Dieses Dokument wurde in der europäischen Arbeitsgruppe K4 "Polizeiliche Zusammenarbeit" ausgearbeitet und fordert für die "gesetzlich ermächtigten Behörden" den "Zugriff auf den gesamten Fernmeldeverkehr": auf Mobilfunk, Festnetztelefonie, Pager, Voicemail, E-Mails, World Wide Web, FTP, Newsgroups, Chats... Aus diesen Plänen wurde glücklicherweise bis jetzt nichts, vermutlich wegen der rechtzeitigen Veröffentlichung dieses Dokumentes.

In der EU gibt es aber noch die Europol.(2) Diese Europäische Polizei besitzt noch keine Exekutivrechte, darf aber praktisch ungehindert Daten herumschieben. Sie unterliegt keiner Kontrolle durch Parlamente oder Richter. Dafür sind die Europol-Beamten immun, d.h., sie können nicht für Verbrechen verfolgt werden. Sie dürfen u.a. Daten über Lebensweise, Religion, sexuelle Gewohnheiten und Orientierung von Straftätern, Verdächtigen, potentiellen Straftätern, tatsächlichen oder möglichen Zeugen, tatsächlichen oder möglichen Opfern und Risikogruppen sammeln. Quellen können selbstverständlich auch Polizeiquellen im außereuropäischen Ausland sein, wobei es durchaus möglich ist, daß die Informationen durch Folter gewonnen wurden. Der Datenschutz wird mit Füßen getreten. Übrigens wurde bei Europol auch die Salamitaktik angewandt: Europol fing 1994 als Europäische Drogeneinheit an, dann kamen die Verfolgung des der Handels mit radioaktivem Material, der Schleuserkriminalität, der Geldwäsche, des Terrorismus etc. hinzu.

Kryptographie und Kopierschutz

Kryptographie, die Verschlüsselung von Daten, ist ein wichtiges Hilfsmittel zum Schutze vor kriminellen Aktivitäten, vor Spionage und auch vor staatlicher Überwachung. Gerade aufgrund des letzten Punktes war die Kryptographie dem Staat schon immer ein Dorn im Auge. In vielen Staaten gibt es Einschränkungen bei der Nutzung kryptographischer Produkte und bei ihrem Im- und Export.³⁾ Teilweise sind Verbesserungen zu beobachten, so wurde z.B. in Frankreich die zulässige Schlüssellänge vergrößert. (Eine größere Schlüssellänge erhöht die Datensicherheit.) Es gibt aber auch Verschlechterungen, wie das Gesetz "Regulation of Investigatory Powers Act 2000" (RIP) des Vereinigten Königreiches.⁴⁾ Dies stellt die Nicht-Herausgabe von Schlüsseln für verschlüsselte Daten unter Strafe. Ein Verstoß kann mit bis zu zwei Jahren Gefängnis und einer Geldstrafe bestraft werden.

Ein der Kryptographie verwandter Bereich ist der Kopierschutz. Ein diesbezügliches Gesetz, das viel Beachtung gefunden hat, ist der Digital Millenium Copyright Act (DMCA) der USA. Dieses Gesetz stellt die Verbreitung von Werkzeugen und Informationen zum Umgehen von Kopierschutzvorkehrungen unter Strafe. Das Gesetz für den Kopierschutz kann sich gegen diejenigen wenden, die Kopierschutz einsetzen, weil es keine Aussage über die Qualität des Kopierschutzes erlaubt. Das Recht auf "fair use" wird eingeschränkt. Dieses "fair use"-Recht ist auf Anwenderseite, und da kann Kopierschutz nur hinderlich sein. Es ist auch nicht genau abgrenzbar, was ein Werkzeug zur Umgehung von Kopierschutzbestimmungen ist. Ein Programm, das gezielt den Schutz eines Produktes aushebelt, ist klar so ein Werkzeug. Wie sieht es aber mit sogenannten Debuggern aus, die jeder Entwickler zum Finden von Softwarefehlern benutzt? Diese kann man nämlich ebenso zum Analysieren von Kopierschutzvorkehrungen benutzen.

Bei der Entwicklung von Verschlüsselungsalgorithmen ist es normal, ja geradezu notwendig für die Forschung, daß die Wissenschaftler selbst entwickelte und vor allem von anderen entwickelte Algorithmen brechen und dies publizieren. Dies gibt neue Erkenntnisse für den Entwurf neuer und besserer Verschlüsselungen. Davon kann aber eben auch ein Kopierschutz betroffen sein. Informationen, die zum Brechen von Schutzvorkehrungen geeignet sind, können auch in anderen Bereichen der Wissenschaft interessant sein. Das Informationsverbot behindert ironischerweise auch den Schutz von Kunden der Kopierschutztechnologie. Ohne öffentliche Untersuchung muß jeder den Angaben des Kopierschutzherstellers glauben.

Aktuelle Entwicklungen in der Überwachungstechnik

"Smart Dust" nennt sich ein Konzept, bei dem komplette Wanzen, also Abhörgeräte, in der Größe eines Sandkorns untergebracht werden. In einem Kubikmillimeter könnten Sensor, Batterie, bidirektionale optische Kommunikationshardware und programmierbarer Mikroprozessor untergebracht werden. 1999 war man an der Universität Berkeley soweit, daß man eine Wanze in 100 Kubikmillimeter unterbringen konnte. Sollten sich Militär oder Geheimdienste dafür interessieren - vielleicht tun sie dies bereits - so ist hier mit einer schnellen Entwicklung der Technik zu rechnen, und die Wanzen werden auf Ahornblättern ins Zimmer segeln.

An der Universität von Leeds in England wurde ein System entwickelt, mit dem ein Computer per Kamera Passanten oder Autos verfolgen kann.⁶⁾ Es geht darum, auffälliges Verhalten von Passanten auf Parkplätzen zu entdecken. Die Medien berichten in letzter Zeit vermehrt über Biometrie, die Möglichkeit, Personen an körperlichen Merkmalen zu identifizieren, wie früher schon am Fingerabdruck und neuerdings auch an ihrem Gang.⁷⁾

Als Tempest-Angriff ⁸⁾ wird das Messen der elektromagnetischen Abstrahlung von Computern bezeichnet. Hierdurch ist es möglich, Bildschirmausgaben und Tastaturanschläge zu identifizieren. Von einigen Herstellern gibt es Tempest-sichere Hardware, allerdings zu entsprechend hohen Preisen. Für die Überwachung durch lokal installierte Software hat die Firma ProtectCom einen deutschen Big Brother Preis erhalten.⁹⁾ Die Funktionalität ihrer "Vertrauen ist gut, Kontrolle ist Spector"-Software beinhaltet: die regelmäßige Speicherung der Bildschirmanzeige, die Protokollierung der Tastaturanschläge, Alarm bei bestimmten Aktivitäten, die Protokollierung von E-Mails und Internet-Chats.

Die Datenübertragung der GSM-Netze, das heißt, der zur Zeit üblichen Mobilfunknetze, in der Luft ist zur Zeit nicht routinemäßig abhörbar. Es gibt jedoch sogenannte IMSI-Catcher, die das mit einem Eingriff in die Datenübertragung möglich machen.¹⁰⁾ Ein IMSI-Catcher spielt den GSM-Telefonen in seiner Umgebung vor, er wäre eine normale Basis-Station. Die Telefone bauen eine Verbindung zum Catcher auf und übermitteln die Teilnehmeridentifikation. Außerdem werden danach alle Telefonate über den IMSI-Catcher geführt und sind auf diese Weise einfach abhörbar. Solche Geräte sollen schon von deutschen Polizeibehörden eingesetzt worden sein.

Weitere potentielle Überwachungsgeräte listet der STOA-Bericht der EU "An appraisal of technologies of political control" ¹¹⁾ auf: Wanzen, die sich bei Dunkelheit auf den Weg machen, um eine bessere Abhörposition zu erlangen; Wanzen, die in echte, lebende Insekten eingebaut sind; Geräte zur Personenidentifikation per Geruch; Mikrophone, die Gespräche aus über einem Kilometer Entfernung aufzeichnen können; automatische Erkennung von Nummernschildern, wie sie bereits jetzt beim Überwachungsring um London eingesetzt wird, der jedes Auto erkennt, das rein- oder rausfährt.

Every move you make
Every bond you break
Every step you take

Every single day
Every word you say
Every night you stay

Every vow you break
Every smile you fake
Every claim you stake

I'll be watching you

(Police)

Terrorismus

Es wird behauptet, daß Terroristen Verschlüsselungsmethoden und Steganographie einsetzen. Letzteres ist eine weitere Methode, zu verhindern, daß unerwünschte Personen an Nachrichten herankommen. Im Gegensatz zur Verschlüsselung wird hier nicht der Nachrichtentext unkenntlich gemacht, sondern die Existenz einer Nachricht überhaupt verborgen. So schrieb etwa "USA Today" ¹²⁾ im Mai 2001: "Osama bin Laden und andere muslimischen Extremisten posten verschlüsselte (...) Fotografien und Nachrichten auf populären Websites (...) , sagen US-Beamte." Oder: "Versteckt in nicht-jugendfreien Bildern auf pornographischen Websites und in Kommentaren in Sport-Chat-Räumen können die verschlüsselten Pläne des nächsten terroristischen Angriffs liegen...". Diese Spekulationen wurden nach dem Anschlag auf das WTC wieder aufgewärmt. Schon damals hat sich aber Nils Provos von der Universität Michigan auf die Suche nach solch versteckten Nachrichten gemacht.¹³⁾ Er ging davon aus, daß ein Trupp Terroristen keine Abteilung für Steganographie hätte, sondern im Internet erhältliche Produkte verwenden würde. Provos entwickelte ein Programm, mit dem er automatisch Bilder aus dem Internet herunterladen und nach Bildern, in denen solche Programmen versteckt wären, suchen konnte. Nach dem Auswerten von 2 Millionen Bildern konnte er eine gigantische Zahl von versteckten Nachrichten vorweisen: 0 (null). Seine Untersuchungen sind sicher kein Beweis für das Nichtvorhandensein versteckter Nachrichten, aber es gibt weitere Berichte: Laut FBI ¹⁴⁾ hätten die Terroristen des WTC-Anschlages das Internet in großem Umfang genutzt. Das FBI sei an Hunderte von E-Mails herangekommen. Waren sie verschlüsselt? Waren die Nachrichten verborgen? Nein! Sie wurden ganz einfach auf Englisch oder Arabisch übermittelt; und die USA hat sie trotz Echelon nicht bemerkt bzw. nicht darauf reagiert. Einschränkung oder Verbot von Verschlüsselung hätten hier nichts geholfen, aber die Rechte Unbeteiligter massiv beschnitten. Die Berichte in den Medien kann man also nur als Stimmungsmache bezeichnen.

Politische Folgen

Der Europäische Ministerrat hat am 19. September 2001, also nur eine Woche nach dem Anschlag auf das WTC, die Cybercrime-Konvention verabschiedet.¹⁵⁾ Diese fordert unter anderem, Herstellung, Verbreitung und Besitz von Geräten und Software unter Strafe zu stellen, die hauptsächlich für illegale Zugriffe auf Computer, das Datenabhören oder das Beeinflussen von Daten oder Systemen gedacht sind. Weiter sollen Gesetze zum Sammeln elektronischer Beweise erlassen werden, die nicht näher spezifiziert wurden, so daß jeder Staat Beschränkungen der Verschlüsselung mit der Cybercrime-Konvention rechtfertigen kann. Daß Einschränkungen wie Zwangs-Schlüsselhinterlegungen in Deutschland möglich wären, zeigen die Reden des früheren Innenministers Kanther, der dafür war, daß Schlüssel "sicher hinterlegt" werden müßten.¹⁶⁾

Am 26.10.2001 wurde der "Patriot Act" auch vom US-Senat mit nur einer Gegenstimme und ohne nennenswerte Kritik gebilligt und trat somit in Kraft.¹⁷⁾ "Patriot" steht für "Provide Appropriate Tools Required to Intercept and Obstruct Terrorism". Dieses Gesetz beinhaltet u.a: die Einschränkung des Bankgeheimnisses, Auswertung von Verbindungsdaten ohne richterliche Genemigung, den direkten Zugriff der Bundespolizei auf die Informationen der Geheimdienste, das Abhören der gesamten Kommunikation eines Verdächtigen, die Erweiterung der Liste von terroristischen Straftaten, z.B. auf den Internet-Bereich. Immigranten können ohne konkreten Grund in 7-Tage-Häppchen für die Dauer von bis zu einem halben Jahr inhaftiert werden.

Auch in Frankreich wurde ein Anti-Terrorpaket verabschiedet.¹⁸⁾ Die Dringlichkeit der aktuellen Situation rechtfertige die Anwendung von außergewöhnlichen Prozeduren, z.B. Hausdurchsuchungen auch ohne das Vorliegen beweisbarer strafrechtlicher Aktivitäten, die Genehmigung von Leibesvisitationen und Handtaschen-Durchsuchungen für private Sicherheitsdienste, die Aufbewahrung von Telekommunikations-Verkehrsdaten ein Jahr, die Verpflichtung zur Vorlage der eigenen kryptographischen Schlüssel.

In Holland sind ebenfalls Einschränkungen geplant.¹⁹⁾ So soll etwa durch den Geheimdienst BVD die Satellitenkommunikation abgehört werden. Außerdem soll der BVD die Erlaubnis erhalten, in Computer einzudringen, dort Daten zu stehlen, modifizierte Software zu installieren, etc. Verschlüsselte Kommunikation sei von vornherein verdächtig und soll so weit wie möglich gespeichert werden, falls in Zukunft eine Entschlüsselung möglich werde. Außerdem soll man auch in Holland per Gesetz gezwungen werden können, seine Schlüssel offenzulegen. Tut man dies nicht, entweder weil man nicht möchte oder weil man den Schlüssel einfach nicht hat - wie will man das beweisen? - dann drohen Strafen bis zu 2 Jahren Gefängnis.

Hinter all den Initiativen kann natürlich unser Innenminister Otto Schily nicht zurückbleiben.²⁰⁾ Zulässig sollen unter anderem Abhörmaßnahmen sein, die bei Gefahr im Verzuge auch nachträglich richterlich genehmigt werden können. (Interessant wäre, was passiert, wenn die nachträgliche Genehmigung nicht erfolgt.) §9 Abs.4 des neuen BVerfSchG wird den Einsatz der schon erwähnten IMSI-Catcher legalisieren. Neu im letzten Entwurf sind die Ausweitung der Kompetenzen des MAD und BND, die nun auch die Informationsabfrage bei Banken und Telekommunikationsdienstleistern enthält. Unter anderem sollen in den Personalausweis biometrische Merkmale aufgenommen werden. Möglich wäre z.B., Gesichtsgeometrien, die von Kameraüberwachungssystemen verwendet werden könnten, oder Gen-Informationen abzulegen.

Fazit: Die Zeichen stehen auf Sturm. Das zeigt schon das schnelle Anrücken des FBIs - zum Teil schon wenige Stunden nach dem WTC-Anschlag - mit den Abhörboxen "Carnivore" bei den Internetprovidern.²¹⁾ Eine Einschränkung der Freiheiten - die wir ja vorgeblich gegen den Terrorismus verteidigen wollen - wäre völlig fehl am Platz. Es ist ja noch nicht einmal bekannt, ob die zuletzt in Deutschland erlassenen Abhörgesetze irgendetwas Positives erbracht haben. Man sollte sich statt dessen auch überlegen, ob man nicht zu viel verteilte Befugnisse wieder zurücknehmen sollte. Angesichts der Hamburger Wahlergebnisse wird dies aber wohl nicht passieren.²²⁾ Welche Partei würde nicht gern mit einfachen Parolen Wählerstimmen gewinnen?

Matthias Brüstle

1) www.heise.de/tp/deutsch/ special/ech/default.html Nick Hager; Secret Power; Craig Potton: Nelson, 1996.

2) Christiane Schulzki-Haddouti (Hrsg.), Vom Ende der Anonymität - Die Globalisierung der Überwachung; Heinz Heise: Hannover, 2001. Lance J. Hoffman (Ed.); Building in Big Brother - The Cryptographic Policy Debate; Springer: New York, 1995. Erich Schmidt-Eenboom, Jo Angerer; Die schmutzigen Geschäfte der Wirtschaftsspione; ECON: Düsseldorf, 1994. Nick Hager; Secret Power; Craig Potton: Nelson, 1996.

3) http://cwis.kub.nl/~frw/people/ koops/lawsurvy.htm

4) www.fipr.org/rip/

5) http://robotics.eecs.berkeley.edu/ ~pister/SmartDust/

6) www.comp.leeds.ac.uk/ vision/imv/index.html

7) www.isis.ecs.soton.ac.uk/ image/gait/

8) www.eskimo.com/~joelm/ tempest.html

9) www.big-brother-award.de/current/ .work/

10) www.datenschutz-und- datensicherheit.de/imsicatc.htm www.heise.de/newsticker/data/ em-11.08.01-004/ www.heise.de/newsticker/data/ jes-07.09.01-001/default.shtml

11) www.whispers.demon.nl/publications/ stoa/stoa1jan1998.html

12) www.usatoday.com/life/cyber/tech/ 2001-02-05-binladen-side.htm www.usatoday.com/life/cyber/tech/ 2001-02-05-binladen.htm

13) www.citi.umich.edu/techreports/ reports/citi-tr-01-11.pdf

14) http://dailynews.yahoo.com/h/nm/ 20010918/ts/ attack_investigation_dc_23.html

15) http://press.coe.int/cp/2001/ 646a(2001).htm http://conventions.coe.int/treaty/EN/ projets/FinalCybercrime.htm

16) www.heise.de/tp/deutsch/inhalt/ te/1185/1.html

17) www.heise.de/tp/deutsch/inhalt/ te/9927/1.html

18) www.heise.de/tp/deutsch/inhalt/ te/9880/1.html

19) www.heise.de/tp/english/inhalt/ co/6731/1.html

20) Vgl. Beitrag von Volker Eick in diesem Heft; http://home.nexgo.de/kraven/misc/ antiterror2.html Nürnberger Nachrichten, 2001-10-09, S.2

21) www.heise.de/tp/deutsch/ inhalt/co/9534/1.html

22) Auszüge aus dem Programm der "Partei Rechtsstaatlicher Offensive": Ausstattung der vorhandenen Jugendarrestanstalt mit unwirtlichen Einzelzellen, Verstärkter Einsatz von Scheinkäufern, zwingende Aufnahme aller Schwerverbrecher in eine GEN-Kartei, zusätzliche Video-Überwachung, ergebnis- und verdachtsunabhängige Kontrollen im gesamten öffentlichen Bereich, Kinder haben ein Recht ... (auf) Bestrafung.