Offene Fragen beim Abhören von Voice-over-IP
Wenn die gesetzlichen Voraussetzungen erfüllt sind, dürfen Strafverfolger auch Internet-Telefongespräche abhören. Aber das ist gar nicht so einfach.
Noch ist Telefonieren über das Internet (Voice over IP - VoIP) nur ein Nischenmarkt. Aber sein erwartetes Wachstum weckt Begehrlichkeiten - unter anderem bei Strafverfolgungsbehörden, die sicherstellen wollen, dass auch VoIP-Gespräche abgehört werden können. Rechtlich ist das in Deutschland bereits geregelt. Doch bei der praktischen Umsetzung gibt es eine Reihe von Problemen.
VoIP gilt in "Black Hat"-Hackerkreisen, also unter kriminellen Datenreisenden, weithin als Eldorado: Schließlich haben sichdie Anbieter im enorm schnell wachsenden Internet-Telefonie-Bereich trotz diverser erster Ansätze noch immer nicht auf Verschlüsselungsstandards geeinigt; der proprietäre Dienst Skype, bei dem Gespräche komplett verschlüssselt werden können, ist eine der seltenen Ausnahmen.
Und so ist es bei den meisten VoIP-Providern mit frei verfügbaren Open-Source-Tools aus dem Web theoretisch leicht möglich, die Gespräche anderer Personen zu belauschen. Man muss sich dafür im selben Netz befinden wie einer der Telefonierenden und den gesamten Datenverkehr mitbekommen. "Paket-Analyzer" können dann im Datenverkehr nach Sprach-Datenströmen schauen und sie anschließend wieder hörbar zusammensetzen.
Demnach sollte es eigentlich auch einfach sein, die so genannte "Lawful Interception", also gesetzlich erlaubte Überwachungsmaßnahmen von Polizei- und Sicherheitsbehören, wie sie im Mobil- und Festnetzbereich gang und gäbe ist, auf den Internet-Telefonie-Bereich auszudehnen. Gesetzlich gedeckt ist dies mit den bestehenden Regelungen nach Einschätzung der Bundesregierung längst. Doch während Gespräche aus dem Internet ins Festnetz und umgekehrt an der Festnetzseite mit bisheriger Technik abgehört werden können, sieht dies bei Internet-interner Kommunikation zwischen VoIP-Teilnehmern schon anders aus.
In Deutschland erstmals näher technisch geregelt wurde die VoIP-Überwachung im Amtsblatt der Bundesnetzagentur (vormals RegTP) in der Ausgabe vom 27. Juli 2005. Darin heißt es, dass bis zu einer einheitlichen europaweiten Regelung (nach zu schaffenden Vorgaben des europäischen Standardisierungsgremiums ETSI) eine so genannte "Übergangslösung" gewählt werden soll. Diese ist so schnell wie möglich umzusetzen, spätestens aber bis Ende 2005. "Allerdings gibt es bislang noch keine von der Bundesnetzagentur (BNetzA) zertifizierte Lösung dafür", sagt Christof Baumgärtner, Leiter Entwicklung und Technik beim Lawful Interception-Spezialisten GTEN aus Hallbergmoos.
Dabei sind die Vorgaben der BNetzA relativ trivial: Gefragt sind allein die Signalisierungsdaten, nicht jedoch der Inhalt der Gespräche selbst. Sie sollen über eine spezielle Schnittstelle den Behörden übermittelt werden. "Für die Signalisierung interessieren sich die Behörden unserer Erfahrung nach mehrheitlich am meisten. Es geht ihnen darum, wer mit wem wann telefoniert hat", sagt Baumgärtner. Die eigentlichen Gesprächsinhalte würden erst in einem zweiten Schritt gewünscht.
Und die standardisierte Überwachung bei der Signalisierung kommt. Man arbeite derzeit daran, sagt etwa Pressesprecherin Nicole Braun vom nach eigenen Angaben marktführenden VoIP-Anbieter 1&1. Allerdings: "Die Frage ist, ob die Überwachung überhaupt so wie in der Übergangslösung vorgesehen technisch umgesetzt werden kann. Dies wird derzeit bei uns geprüft." Beim Konkurrenten Sipgate wird ebenfalls an der Umsetzung der BNetzA-Vorgaben gearbeitet: "Wir werden bis Ende des Jahres eine entsprechende Lösung umgesetzt haben", kündigt Thilo Salmon an, Geschäftsführer der Sipgate-Mutter Indigo Networks. Allerdings dürften auch weniger pünktliche Anbieter wenig zu befürchten haben: "Bislang hat sich die BNetzA hier sehr weich verhalten", sagt GTEN-Mann Baumgärtner.
