Verpflichtung zur E-Mail-Überwachung trifft die Providerbranche hart

Für viele Internetanbieter gibt es derzeit nur ein Thema: Sie stöhnen über den bedrohlich näher rückenden Starttermin für die Überwachung des E-Mail-Verkehrs. Die von der Bundesregierung gesetzte Frist für den Lauschangriff auf die elektronische Post am 1. Januar 2005 "drückt sehr", weiß Michael Rotert, Präsident der europäischen Providervereinigung EuroISPA. Die Netzanbieter würden "mit den Zähnen knirschen". Die entsprechenden Regelungen in der mehrfach novellierten Telekommunikations-Überwachungsverordnung (TKÜV) sind zwar bereits seit Mai 2003 in ihrer jetzigen Form in Kraft. Doch für Mailserver gilt eine Übergangsregelung, die zum Jahresende ausläuft.

Die Auflagen waren vor ihrer Verabschiedung sehr umstritten und führten zu manchem Eklat mit dem federführenden Bundeswirtschaftsministerium. Erst im Nachklang des 11. September 2001 stimmte die Internetwirtschaft nach Zugeständnissen der Regierung halbherzig zu. Die Erfüllung der Vorschriften, über die die Regulierungsbehörde für Telekommunikation und Post (RegTP) wacht, gestaltet sich nun aber deutlich kostspieliger und schwieriger als erwartet.

"Wenn die Regierung hart bleibt, bedeutet das den Tod unserer Providerstruktur in Deutschland", fürchtet Franciska Stache, Geschäftsführerin des Berliner Business-2-Business-Anbieters http.net. Ihren Berechnungen nach stehen von rund 12.000 Netzprovidern 50 Prozent im kleinen und mittelständischen Bereich vor dem Ruin. Angesichts der betroffenen Arbeitsplätze, warnt die Betroffene, "brauchen wir uns über KarstadtQuelle nicht mehr aufregen".

Eine große technische Herausforderung stellt die E-Mail-Überwachung nicht dar. Gut ein Dutzend Firmen bieten Überwachungsboxen und Softwarelösungen an. Zu den Ausrüstern gehören Unternehmen wie Alcatel, GTEN, NetUSE, O3SIS, Secunet, Siemens oder Utimaco. Alle Varianten "bespitzeln" den gesamten Mailverkehr, überprüfen ihn auf die Adressen Verdächtiger und leiten die entsprechenden Datenpakete aus. Diese stehen den Sicherheitsbehörden dann über SINA-Boxen für die verschlüsselte Übertragung zur Verfügung.

Das eigentliche Problem sind die Kosten. "Wir haben den Markt im Sommer geprüft", erklärt Stache. Einstiegslösungen hätten demnach bei 25.000 Euro gelegen, wozu aber noch jährliche Belastungen im fünfstelligen Bereich gekommen wären. "Zu teuer", befand die Geschäftsfrau. Ihr Haus hat mit erheblichem Aufwand eine eigene Lösung gezimmert. Unter 10.000 Euro habe man die Anschaffungspreise gedrückt, freut sich Stache. Für viele "Wald- und Wiesenbetreiber" sei aber auch dies angesichts der geringen Margen im Providergeschäft eine zu hohe Belastung. Zumal Wartungsverträge empfehlenswert seien, um die organisatorischen Anforderungen an die Mailüberwachung zu erfüllen.

Stache ärgert sich auch über "die ungenauen Vorgaben der RegTP". So hat das Wirtschaftsministerium zwar eine Klausel in die TKÜV eingebaut, wonach Provider mit weniger als "1000 Teilnehmern" nicht zur ständigen Vorhaltung der Überwachungstechnik verpflichtet sind. Doch niemand kann sagen, ob damit 1000 betreute E-Mail-Konten oder 1000 Kunden gemeint seien. Von der Regulierungsbehörde sei allein die Ansage gekommen, beschwert sich Stache, dass sich die Zahl auf "Verträge" beziehe. Bei dem Reseller verbergen sich hinter 1000 Verträgen aber gut 60.000 Kunden.

Die Verunsicherung in der Branche ist groß. Insider gehen davon aus, dass viele kleine Provider noch gar nichts wissen von den Verpflichtungen. Selbst bei der RegTP gibt es über den tatsächlichen Kreis der Betroffenen keine klaren Vorstellungen. So forderte die Behörde sämtliche Branchenverbände Mitte des Jahres in einem Schreiben auf, ihr doch möglichst lückenlos über die Fortschritte bei der TKÜV-Umsetzung bei den Mitgliedsfirmen Bericht zu erstatten.

Was die Provider aber am meisten empört, ist die Tatsache, dass die E-Mail-Spionage leicht umgangen werden kann. Kriminelle könnten etwa Verschlüsselungssoftware oder Anonymisierungsdienste nutzen, um ihre Kommunikation zu verbergen. Beliebt ist nach Auffassung von Experten auch das "Provider-Hopping", um Abhöranordnungen zu umgehen. Rotert schätzt zudem, dass zahlreiche Sicherheitsbehörden gar nicht die Ausrüstung haben, um die ausgeleiteten Datenbröckchen wieder zu einer lesbaren E-Post zusammenzusetzen. Der "Return on Investment" der Aufrüstung sei völlig unklar. Rotert fordert daher: "Wenn der Staat die Überwachung unbedingt will, muss er sie -- wie in den meisten europäischen Ländern -- selbst zahlen."

Hannah Seiffert, Justiziarin beim Verband der deutschen Internetwirtschaft eco, sähe es am liebsten, wenn der Verordnungsgeber die TKÜV in weiten Teilen neu schreiben würde: "Er sollte kleine und mittlere Unternehmen herausnehmen und nur Provider zur permanenten Vorhaltung der Überwachungseinrichtungen verpflichten, die im Endkundenbereich tätig sind", erklärt die Lobbyistin. Zudem sollten "großzügige Übergangsregelungen für innovative Dienste wie die Internet-Telefonie geschaffen werden". Der Trend bei der anstehenden TKÜV-Novelle geht aber in die entgegengesetzte Richtung. (Stefan Krempl) / (anw)