die mär vom organisierten cybercrime
Stefan Krempl, Berlin, September 2001

Eine Studie der Grünen belegt, dass Strafverfolger und Geheimdienste im Kampf gegen Verbrecher im Internet keine neuen Befugnisse benötigen.

TKÜV von der Wirtschaft abgenickt
Britischer Minister beklagt "Verwässerung" von Lauschverordnungen
Auch Brüssel will den Datenschutz beschneiden
Auswertung von "offenen Quellen" im Netz
Kundendateien
Bestandsdaten
Verbindungsdaten
Nutzungsdaten
Kommunikationsinhalte
Heimliches Eindringen in Mailboxen und Webserver
Nachrichtendienste
Alles im Lot?
Selbstschutz der Nutzer und Qualifikation der Ermittler verbessern

Die derzeitige Rechtslage zur Bekämpfung der Kriminalität rund ums Internet dürfte bei Ermittlern eigentlich keine Wünsche offen lassen, lautet der Tenor der von den Bündnisgrünen veröffentlichten Studie "Cybercrime und Bürgerrechte". Die Palette der Befugnisse reicht von der Auswertung öffentlicher Informationen im Netz über Auskunftsrechte zu allen erdenklichen Telekommunikationsdaten bis zum "staatlichen Hacken" in schwer wiegenden Fällen.

"Nach den Terroranschlägen auf die USA" – so oder so ähnlich fangen momentan unzählige Artikel an, in denen es um die von Anfang an absehbaren, einschneidenden Veränderungen in Folge des Epochenwandels am 11. September 2001 geht. In den meisten Fällen handeln diesen Reports um Beschränkungen des Datenschutzes sowie anderer sich in den Verfassungen westlicher Nationen wieder findender Grundrechte. Gleichzeitig ist den Nachrichten täglich aufs Neue seit drei Wochen zu entnehmen, dass die Befugnisse für Strafverfolger bereits deutlich ausgeweitet worden sind oder demnächst ausgebaut werden sollen.

So hat nicht nur Bundesinnenminister Otto Schily angefangen über die Frage zu sinnieren, ob wir es hier zu Lande mit dem Datenschutz nicht "etwas" übertrieben haben. Die SPD insgesamt, in der Schily bislang noch als Hardliner galt, holt kräftig auf. So erklärte der niedersächsische Ministerpräsident Sigmar Gabriel das "Eintreten für die Verstärkung der inneren Sicherheit" vergangene Woche in einem Gespräch mit der Berliner Zeitung zur genuinen "Aufgabe der Linken". Schließlich gehe es dabei darum, die Armen zu schützen, die sich nicht selbst teures Wachpersonal und "Vorortvillen" leisten können. Einem "grenzenlosen Recht auf informationelle Selbstbestimmung" erteilte der SPD-Politiker gleichzeitig eine scharfe Absage. "Sie hört da auf, wo wir Daten brauchen, um Menschen in diesem Land zu schützen."

"Nach den Terrorattacken" hat der US-Senat den Weg freigemacht für einen leichteren Einsatz des in Kreisen der letzten verbleibenden Bürgerrechtlern nach wie vor umstrittenen FBI-Lauschsystems Carnivore, dem in Zukunft keine E-Mail oder sonstige Kommunikationsinhalte im Netz entgehen sollen. Gleichzeitig erwägt der Senat, ob die nach jahrelangem Streit gewährten Freiheiten beim Export von Kryptoprodukten nicht rückgängig zu machen seien und jede verkaufte Verschlüsselungssoftware mit einer Hintertür für die Strafverfolger ausgerüstet sein müsste.

TKÜV von der Wirtschaft abgenickt

"Nach der jüngsten Terrorwelle" sieht auch die deutsche Wirtschaft keine Chance mehr, sich weiterhin gegen die lange Zeit lautstark bekämpfte Telekommunikations-Überwachungsverordnung (TKÜV) zu stellen (Link: Fingerlecken für die Stasi? http://www.heise.de/tp/deutsch/inhalt/te/9020/1.html). "Angesichts der aktuellen sicherheitspolitischen Diskussion stimmen wir trotz fortbestehender Bedenken im Detail und einer hohen Belastung für die Teilnehmernetzbetreiber zu", sagt Rainer Lüddemann, Geschäftsführer des Bundesverbands der regionalen und lokalen Telekommunikationsgesellschaften (http://www.breko.org/).

Zahlreiche andere Unternehmerverbände hatten sich bei einem Gespräch mit Vertretern des federführenden Bundeswirtschaftsministerium am Donnerstag in Bonn ähnlich geäußert. Aus der "Zustimmung" wurde dabei beim Deutschen Industrie- und Handelskammertag (DIHK) (http://www.dihk.de/) sowie beim Verband der deutschen Internet-Wirtschaft eco (http://www.eco.de/) allerdings ein weniger erfreutes "Hinnehmen".

Doch die von Experten generell als "ineffizient" kritisierte Lauschverordnung könnte angesichts der Umstände sogar noch verschärft werden. Das Wirtschaftsministerium sieht dazu zwar keinen Anlass, und auch die Bundesministerien für Justiz und Inneres haben sich mit dem Kompromissvorschlag bislang einverstanden erklärt. Doch in der ersten Oktoberwoche werden Länder wie Bayern im Bundesrat ihre Stimmen erheben, die seit langem ein Mitspracherecht beim Erlass der TKÜV fordern. Sollten sie sich durchsetzen, ist mit erneutem Feilen an den Bestimmungen zum Lauschangriff auf die Surfer zu rechnen.

Britischer Minister beklagt "Verwässerung" von Lauschverordnungen

Vorbild könnte – wie so oft in Überwachungsfragen – Großbritannien sein. Dort hat sich der ehemalige Innenminister und jetzige Außenminister Jack Straw in einem Interview mit Radio BBC bitter darüber beklagt, dass er im vergangenen Jahr das Pendant zur TKÜV, den Regulation of Investigatory Powers Act (RIP), aufgrund der Beschwerden von Bürgerrechtlern hätte "verwässern" müssen.

Dabei gibt das Gesetz den britischen Strafverfolgern bereits (fast) alle Rechte, die sie sich erträumt haben. Jetzt fordert er, die Zugeständnisse rückgängig zu machen und dringt vor allem auf den Einbau einer Verpflichtung für Nutzer von Kryptoprodukten, Nachschlüssel bei den Behörden zu hinterlegen ("Key Escrow"). Bisher müssen die Anwender ihre "privaten" Schlüssel "nur" auf Anordnung hin heraus rücken. Der neue Innenminister, David Blunkett, hat bereits angekündigt, dass die Verordnung dahingehend überprüft werde.

Auch Brüssel will den Datenschutz beschneiden

Nach dem Einsturz des World Trade Centers überdenkt zudem die Europäische Kommission Richtlinien, die personenbezogene Daten der Nutzer vor den Augen der Ermittler abschotten. Die Innen- und Justizminister der Mitgliedsländer der EU haben Brüssel bei ihrem jüngsten Treffen vergangene Woche dazu aufgefordert, den Strafverfolgern mehr Rechte zu geben. Ihnen sollen alle erdenklichen Möglichkeiten an die Hand gegeben werden, um "Verbrechen, die die Benutzung elektronischer Kommunikationssysteme beinhalten", aufzuklären. Vor allem dringen die Minister darauf, den Zugang der Ermittler zu Nutzerdaten zu "verbessern".

Das Erstaunliche an den seit dem 11.9.2001 laut werdenden Forderungen ist, dass eine wirksame Bekämpfung der so genannten Computer- und Netzkriminalität nicht an unzureichenden Strafnormen und Ermittlungsbefugnissen scheitert. Das ist zumindest das Ergebnis der aktuellen Studie "Cybercrime und Bürgerrechte" (http://www.g-bettin.de/cybercrime.pdf), die der stellvertretende Hamburger Datenschutzbeauftragte Peter Schaar (http://www.hamburg.de/fhh/behoerden/datenschutzbeauftragter) für die Bundestagsfraktion der Bündnisgrünen erstellte. In dem Papier wird ausführlich die derzeitige Rechtslage dargestellt und eine Bewertung der Befugnisse der Sicherheitsbehörden unter datenschutzrechtlichen Aspekten vorgenommen. Die wichtigsten Punkte hat Telepolis zusammengestellt.

Auswertung von "offenen Quellen" im Netz

Grundsätzlich haben Ermittler das Recht, so wie jeder Nutzer im Netz zu surfen und dabei Informationen zu sammeln. Dabei lassen sich über Suchmaschinen sowie die spätere Verknüpfung und Auswertung der vielfältig im Netz von Usern hinterlassenen Spuren "sehr aussagekräftige Persönlichkeitsbilder" erstellen, die wirtschaftliche Umstände, sexuelle Orientierungen, persönliche Interessen und politische Meinungen des Betroffenen umfassen.

Dieses Vorgehen erscheint dem Autor der Studie allerdings "fragwürdig", wenn Strafverfolger ohne Anlass "gezielt nach Daten bestimmter Personen" recherchieren würden. Dabei könnten nämlich unzulässigerweise auch Informationen wie gefälschte Kontaktanzeichen verwendet werden, die von Dritten veröffentlicht wurden, um dem Betroffenen zu schaden. Außerdem könnten die eingesammelten Daten schlicht veraltet sein. Keine "Eingriffsqualität" haben dagegen Recherchen, mit denen Lagebilder oder allgemeine Einschätzungen ohne direkten Personenbezug gewonnen werden sollen.

Fraglich sei generell, ob der Abgleich von Daten mit Suchmaschinen im Internet eine Rasterfahndung darstelle, die nur unter sehr restriktiven Vorgaben zulässig sei. Insbesondere, wenn dazu auch Datenbestände aus Systemen wie INPOL des Bundeskriminalamts oder TECS von Europol herangezogen würden.

Kundendateien

Bei strafrechtlichen Ermittlungen dürfen die befugten Behörden innerhalb ihres Wirkungsbereichs von Amts wegen oder nach einer Anzeige eine Reihe von personenbezogenen Daten einsehen und verarbeiten. Dazu gehören vor allem Kundendateien, sowie Bestands-, Verbindungs-, Nutzungs- und Inhaltsdaten.

Zur Führung von Kundendateien werden Telekommunikationsanbieter durch § 90 des Telekommunikationsgesetzes (TKG) (http://www.regtp.de/gesetze/start/in_04-01-00-00-00_m/) verpflichtet. Sie müssen sie zum Abruf durch die Regulierungsbehörde für Telekommunikation und Post (RegTP) in einem automatisierten Verfahren bereit stellen. Die RegTP leitet die Daten an Gerichte, Staatsanwaltschaften sowie sämtliche Strafverfolgungsbehörden wie die Polizeien des Bundes und der Länder, die Zollfahndungsämter oder den Bundesnachrichtendienst weiter. Dieser "komplexe Informationsverbund", der in der Öffentlichkeit kaum bekannt ist, weckt bei den Datenschützern "erhebliche Bedenken". Vor allem, weil für seine Nutzung kein Verdacht für eine Straftat oder eine Gefahr für die öffentliche Sicherheit gegeben sein muss. Netz-Provider sind von den Verpflichtungen teilweise befreit, etwa bei Internet-by-Call-Angeboten.

Bestandsdaten

Auf Anfrage müssen die Anbieter von Telekommunikations- sowie E-Mail-Diensten laut § 89 Abs. 6 TKG Bestandsdaten an die üblichen Verdächtigen übermitteln. Dazu gehören Angaben, die für die Vertragsabwicklung erforderlich sind, als beispielsweise die Namen der Kunden. Die Tatsache einer Auskunft darf dem Vertragspartner oder unbeteiligten Dritten nicht mitgeteilt werden. Derlei Daten können im Zweifelsfrei auch beschlagnahmt werden, wobei es allerdings den Befürchtungen der Grünen zufolge zu Problemen mit Personen kommen könnte, die wie Journalisten oder Ärzte ein Zeugnisverweigerungsrecht haben.

Verbindungsdaten

Derlei Informationen über angerufene Telefonnummern oder den Zeitpunkt von Verbindungen unterliegen eigentlich dem Fernmeldegeheimnis. Nach § 12 des Fernmeldeanlagengesetzes (FAG) (http://www.netlaw.de/gesetze/fag.htm) können Ermittler allerdings mit dem Staatsanwalt im Rücken Auskunft über diese Daten verlangen. Dieser Anspruch bezieht sich bislang vor allem auf Kommunikationsvorgänge in der Vergangenheit. Im Gegensatz zu den Vorschriften zur Überwachung von Telekommunikationsinhalten gemäß § 100a der Strafprozessordnung (StPO) (http://www.datenschutz-berlin.de/recht/de/rv/szprecht/stpo/), kritisiert Schaar, lässt das FAG derlei Eingriffe ohne Beschränkung auf einen spezifischen Straftatenkatalog zu. Dadurch werde das Fernmeldegeheimnis in unverhältnismäßiger Weise beschnitten.

Die Befugnis nach § 12 FAG läuft Ende des Jahres aus. Die Bundesregierung will die Nachfolgeregelung direkt in § 100 StPO einbauen und dabei die Voraussetzungen für die Anordnung der Auskunftserteilung leicht heraufsetzen (Link: Bundeskabinett beschließt neue Überwachungsparagraphen http://www.heise.de/newsticker/data/wst-06.09.01-005/). Doch dagegen werden Länder wie Bayern und Nordrhein-Westfalen bei der nächsten Bundesratssitzung Anfang Oktober voraussichtlich ihr Veto einlegen. Die Gunst der Stunde dürfte ihnen hold sein bei der geplanten Verschärfung der neuen Bestimmung.

Nutzungsdaten

Zu Nutzungsdaten im Internet gehören beispielsweise Informationen über angesurfte Internet-Adressen sowie Suchanfragen und andere Eingaben in Web-Formulare, solange sie als Bestandteile einer URL übertragen und gespeichert werden. Sie unterliegen wie die Verbindungsdaten prinzipiell dem Telekommunikationsgeheimnis. Diensteanbieter müssen Nutzungsdaten ebenfalls gemäß § 12 beziehungsweise der gerade diskutierten Neufassung unter Umständen herausgeben. Das betrifft allerdings theoretisch nur Daten, die lediglich die Tatsache und den Zeitpunkt einer Nutzung betreffen und nicht etwa die Inhalte der Kommunikation offenbaren. Die Weitergabe von URLs kann also zu rechtlichen Grauzonen führen. Sind Inhaltsdaten im Spiel, müsste einen entsprechend Anordung sich auf eines der Verbrechen beziehen, die in § 100a StPO aufgeführt werden.

Kommunikationsinhalte

Der Straftatenkatalog, der eine Überwachung und Aufzeichnung der Telekommunikation und damit den weitest gehenden Eingriff ins Fernmeldegeheimnis gestattet, ist vom Gesetzgeber trotz der Kritik der Datenschutzbeauftragten in den vergangenen Jahren permanent erweitert worden. Er umfasst momentan neben Kapitalverbrechen auch Straftaten gegen die öffentliche Ordnung, Bandendiebstahl und bestimmte Verstöße gegen das Asylverfahrens- und Ausländergesetz. Die CDU/CSU-Fraktion im Bundestag hat allerdings bereits beantragt, auch schwere Fälle des Computerbetrugs sowie Formen der Bestechung, der Fälschung von Zahlungskarten oder andere vergleichbare Delikten in die Liste von § 100a StPO aufzunehmen.

Die Überwachung selbst darf nur durch einen Richter beziehungsweise bei der berühmten Gefahr in Verzug auch von der Staatsanwaltschaft angeordnet werden und strengen formalen Regeln entsprechen.

Heimliches Eindringen in Mailboxen und Webserver

Das "staatliche Hacken", das im Zusammenhang mit Milosevic während des Kosovo-Kriegs bereits angedacht wurde und momentan zur Sperrung der Bankkonten der bin-Laden-Connection erneut diskutiert und vielleicht auch bereits praktiziert wird, handelt die Cybercrime-Studie der Grünen als Sonderform der Überwachung von Kommunikationsinhalten ab. Sie bedürfe damit in Deutschland einer Anordnung gemäß § 100a und b StPO. Insgesamt hält Schaar das verdeckte Ermitteln in beispielsweise durch Passwörter geschützten Bereichen des Internet für problematisch.

Nachrichtendienste

Die Verfassungsschutzbehörden, der militärische Abschirmdienst sowie der Bundesnachrichtendienst (BND) dürfen zur Abwehr von drohenden Gefahren für die demokratische Grundordnung oder für den Bestand der Sicherheit des Bundes die Telekommunikation überwachen und aufzeichnen. Das regelt das Gesetz zur Beschränkung des Fernmeldegeheimnis zu Artikel 10 des Grundgesetzes (G10-Gesetz). Tatsächliche Anhaltspunkte für den Verdacht, dass jemand eine schwerwiegende politische Straftat plant oder begangen hat, müssen bestehen. Verdachtsunabhängig darf der BND zudem Ferngespräche nach bestimmten Suchbegriffen hin durchforsten, um etwa die Gefahr terroristischer Anschläge zu erkennen und ihr zu begegnen.

Allerdings hat der BND just vor anderthalb Jahren die einschlägigen Terrorismus-Suchbegriffe aus dem Programm genommen.

Alles im Lot?

Angesichts des umfassenden Befugnispakets sehen die Grünen die Strafverfolger sowie die Geheimdienste ausreichend befähigt, gegen alle erdenklichen Widrigkeiten vorzugehen, bei denen das Internet im Spiel sein könnte. Forderungen nach einer "Protokollierungspflicht hinsichtlich der IP-Adresse und des Nutzungszeitraumfs sowie eine angemessene Aufbewahrungsfrist der Daten" für Provider erteilen sie aufgrund verfassungsmäßiger Bedenken eine Absage.

Auch die von der CDU/CSU mehrfach geforderte Festlegung genereller Mindestfristen für die Speicherung von Daten und anderen Ansinnen zur so genannten Vorratsdatenspeicherung widerspricht ihrer Meinung nach geltenden Datenschutzbestimmungen. Sie würde "den durch das Fernmeldegeheimnis gewährleisteten Schutz in unvertretbarer Weise abbauen." Eine pauschale Beschnüffelung der Surfer sei zudem schlicht unnötig, da Provider schon jetzt "ohne weiteres IP-Nummern ab dem Zeitpunkt des Vorliegens eines entsprechenden richterlichen Beschlusses vorhalten" können.

Selbstschutz der Nutzer und Qualifikation der Ermittler verbessern

Zu verbessern sei allerdings die "Ausstattung und Qualifikation" der Strafverfolgungsbehörden, forderten Grietje Bettin (http://www.g-bettin.de/), medienpolitische Sprecherin der Bundestagsfraktion von Bündnis 90/Die Grünen, gemeinsam mit Schaar Ende September 2001 bei der Vorstellung des Cybercrime-Reports in Berlin. Zur Stärkung der Netzsicherheit wollen die Grünen in der aktuellen Situation zudem vor allem den Selbstschutz der Nutzer verstärken. Dem diene auch die freie Verfügbarkeit von Verschlüsselungsprodukten, die die Bundesregierung in ihren Eckpunkten zur Kryptopolitik im Sommer 1999 gutgeheißen hat.

Generelle Verbote oder Key-Escrow-Praktiken, die nach den Ereignissen in New York und Washington bei Sicherheitspolitikern wieder in Mode gekommen sind, würden dem Ziel der sicheren und beweisbaren Kommunikation widersprechen und ins Leere stoßen. Sie könnten schließlich leicht und gerade von Menschen mit krimineller Energie umgangen werden und ließen sich praktisch nicht kontrollieren.

[zurück zum Anfang]



© 2001 km 21.0 - diese Seite ist Bestandteil von www.km21.org