Wer wann mit wem...

24.05.2004, 21:37, von out-of-order

Am 05. Mai wurde das neue Telekommunikationsgesetz (TKG) vom Vermittlungsausschuß des Bundesrats verabschiedet. Teile davon ebnen das breitflächige Ausspionieren sozialer Netzwerke für die Behörden.

Das neue TeleKommunikationsGesetz wird am 27. Mai durch den Bundestag verabschiedet und im Juli im Bundesgesetzblatt veröffentlicht werden. Ab diesem Zeitpunkt wird es Anwendung finden.

Zunächst erstaunt ein wenig, daß von der Vorratsspeicherung aller TK-Daten Abstand genommen wurde. Hier setzte sich die Lobby der Netzbetreiber durch, die entsprechende Datenspeicher auf eigene Kosten hätten anschaffen müssen.

Viel wichtiger als der Inhalt von Nachrichten ist aber, und das vergessen viele, Erkenntnisse darüber, wer mit wem wieviel Kontakt hat. Durch eine automatisierte Auswertung dieser Daten lassen sich sehr schnell soziale Gefüge erkennen und bewerten sowie für dieses Netz bedeutsame Personen ausfindig machen (Ein sehr guter Artikel hierzu ist vor kurzem auf dem indymedia newswire erschienen). Es liegt der Verdacht nahe, daß das neue TKG eine Eingrenzung und Verfolgung von Strukturen, die sich gegen den Herrschaftsapparat richten, verbessern soll.

Als Maßnahmen sind hierfür vorgesehen:
- die Wiedereinführung der Erfassung persönlicher Kundendaten beim Kauf von Prepaid-Karten für Mobiltelefone (diese Regelung war erst vor kurzem abgeschafft worden)
- Anbieter öffentlicher Telefonanlagen, möglicherweise auch von Hotels und Krankenhäusern, müssen Abhörboxen installieren
- TK-Anbieter müssen Ermittlungsbehörden Auskunft geben über PINs und PUKs von Mailboxen oder Mobiltelefonen sowie Paßwörter von Webmail-accounts. Somit erhalten die Behörden künftig ohne Richtervorbehalt Vollzugriff auf diese Kommunikationseinrichtungen, was einen Mißbrauch und eine Konstruktion von Straftaten, z.B. durch das Fälschen von Emails, möglich macht. Zwar dürfen sie SMS oder Emails offiziell nicht lesen, dafür aber in den Adressbüchern von Handys und Mailkonten stöbern.

Diese Regelungen werden Bundesgesetz. Auf der dem Bundesgesetz übergeordneten Ebene des EU-Rechts wird jedoch zur Zeit an einer Ratsvorlage gebastelt, die EU-weit eine Speicherung von Verkehrs- und Standortdaten von Fest- und Mobilgesprächsdaten für 12-36 Monate vorschreiben soll. Dazu gehören auch SMS, der gesamte IP-Verkehr beim Surfen im Internet, und http- und ftp-logs. Somit wird nachvollziehbar, wer auf welchen Mailserver zugreift, wer wem eine Nachricht schickt, wer welche Webseiten liest oder welche Software aus dem Netz heruntergeladen wird. Dies ermöglicht, weitgehend automatisiert, Kommunikations- und Interessenprofile jeder beliebigen diese Dienste nutzenden Person bis zu drei Jahren in der Rückschau verfügbar zu machen. Eine Überwachung des Internets in dieser Weise findet zwar schon seit längerer Zeit statt, angeblich allerdings nur bei bestimmten Personen. Die Router, aus denen sich das Internet-Backbone zusammensetzt, verfügen laut Aussage von Cisco (dem bekanntesten Hersteller dieser Geräte) bereits seit einiger Zeit über entsprechende Schnittstellen (c´t Nr. 17/2003 S. 46)

Verschlüsselungsprogramme und Mechanismen wie PGP und https helfen hierbei nicht viel, denn im Netz gelesene Texte lassen sich durch die http-logs nachvollziehen, und bei mails ist oft entscheidender, wer mit wem kommuniziert, als über was. Eine sichere Möglickkeit zum anonymen Surfen existiert zur Zeit nur in Form offener Wireless-Accesspoints und Internet-Cafes.
Ein Zugriff auf die Daten ist länder- sowie EU-übergreifend vorgesehen. Also bekämen auch nicht-EU-Staaten wie die USA Vollzugriff.

Ergänzung findet dieses Überwachungsprogramm dadurch, daß vor kurzem eine Klärung des neuen Standards für EU-Reisepässe erfolgt ist. Die Daten werden in einem noch in 30m Entfernung per Radiowellen auslesbaren RFID-Chip gespeichert, der bei deutschen Pässen wahrscheinlich in den Plastikkörper eingebunden wird. Es ist zu vermuten, daß diese Lösung bald auch auf Personalausweise Anwendung finden wird.
Deutsche Chips werden zwei biometrische Merkmale enthalten. Eins davon sind die verschlüsselten Rohdaten des Gesichts, über das andere Merkmal (Fingerabdruck oder Irismuster) ist noch kein Entschluß gefällt. Es wird allerdings mit großer Wahrscheinlichkeit für den Fingerabdruck entschieden werden ( c´t 9/2004). Außerdem übermittelt der Chip die persönlichen Daten des Paßinhabers.
Diese Merkmale werden verschlüsselt übertragen. Da jedoch der Paß eine Gültigkeit von 10 Jahren haben soll, wird die Verschlüsselungsmethode sehr schnell unsicher werden. Was mit den Daten nach dem Auslesen passiert, kann nicht mehr nachvollzogen werden. Es ist zu vermuten, daß die kontaktlose Auslesung dem Erstellen von Bewegungsprofilen dient, indem man entsrechende Empfänger an Eingängen von U-Bahnen, Flughäfen oder öffentlichen Gebäuden wie Universitäten installiert. Da Ausweispflicht besteht, bekommt somit jeder Bürger seinen individuellen Peilsender. Teilnehmer von Demonstrationen sind auch ohne Personenkontrolle zu erfassen, wenn sie sich nicht durch Zuhauselassen der Papiere strafbar machen wollen. Hier sollte man andenken, seine neuen Papiere künftig in einem Beutel aus feinem Drahtgeflecht zu transportieren, das die Radiowellen nicht durchdringen können.

RFID-Sender sind zudem nur dann aufzufinden, wenn man sie mit dem richtigen Kommunikationsprotokoll anfunkt. Ist dieses nicht bekannt, bleibt der Sender stumm und unentdeckt. Zur Zeit wird verstärkt an einer Miniaturisierung dieser Technik gearbeitet.
Redakteure der Computerzeitschrift c´t entdeckten diese Peilsender durch Zufall unter der TÜV-Plakette ihres Fahrzeugs ( c´t 7/2004).