Bürgerrechtler: Studie sollte FBI-Schnüffel-Tool "reinwaschen"

Der gestern der Öffentlichkeit vorgestellte vorläufige Bericht über eine Untersuchung des FBI-Tools "Carnivore" durch das Illionois Institute of Technology Research (IITRI) enthält nur wenig prinzipielle Kritik am Einsatz dieses Systems. Das US-Justizministerium (DoJ) hatte die Untersuchung angeordnet, nachdem vor allem Bürgerrechtsgruppierungen massive Datenschutzbedenken geäußert und eine gerichtliche Verfügung gegen das FBI erwirkt hatten. Allerdings wurde der Bericht nicht vollständig veröffentlicht: Informationen über die Software-Struktur und die Funktionsprinzipien von Carnivore wurden nur dem DoJ, nicht aber der Öffentlichkeit zugänglich gemacht.

Carnivore ist zur Integration im Rechenzentrum von Internet-Service-Providern (ISP) konzipiert und kann Daten, die bestimmten Kriterien genügen, aufzeichnen, ohne dass der Empfänger oder der Sender der Daten davon etwas mitbekommen. Das IITRI setzte sich in seiner Untersuchung mit dem Einsatz und den technischen Fähigkeiten des Schnüffelprogramms auseinander. Prinzipielle Fragen der rechtlichen Zulässigkeit des Einsatzes eines solchen Systems ließ das Institut explizit außen vor.

In ihren Untersuchungen kamen die Experten vom IITRI zu dem Ergebnis, dass Carnivore tatsächlich nur die Daten aufzeichnet, die es nach einem entsprechenden gerichtlichen Beschluss aufzeichnen darf – wenn das System korrekt konfiguriert ist. Allerdings sei eine Fehlkonfiguration leicht möglich, wodurch sich das Volumen der gesammelten Daten enorm erhöhen könnte. Der Betrieb des System bringt nach Meinung der Experten auch keine Beeinträchtigung des Betriebs eines ISP mit sich. Der IITRI-Bericht kritisiert unter anderem, dass in dem System keine Funktionen zur Überwachung des korrekten Betriebs eingebaut sind und dass die von Carnivore gesammelten Daten unzureichend gegen einen unberechtigten physischen Zugriff geschützt seien. Außerdem fanden die Computerspezialisten vom IITRI diverse Programmierfehler, über die sie das FBI in Kenntnis setzten.

Für das FBI sehr erfreulich ist die Feststellung des IITRI, dass "Carnivore nicht annähernd ausreichende Kapazitäten hat, um 'nahezu jeden mit einer E-Mail-Adresse auszuspionieren", wie dies von Bürgerrechtsgruppierungen vermutet worden war. Das System könne auch nicht den gesamten Traffic eines ISP aufzeichnen oder irgendwie verfälschen. Ebenfalls sei es ihm auch nicht möglich, die Accounts von einzelnen Personen zu deaktivieren oder gar den Betrieb eines ganzen ISP lahm zu legen. Eine Offenlegung des Quellcodes von Carnivore halten die Autoren des IITRI-Berichts zwar prinzipiell für wünschenswert, zum gegenwärtigen Zeitpunkt jedoch nicht für opportun. Die Software sei noch nicht ausgereift und die Offenlegungen des Quellcodes könnte Beeinträchtigungen der Funktion und der Sicherheit des Systems mit sich bringen.

Scharfe Kritik an dem Bericht kam mittlerweile aus diversen Ecken. So zeigt sich Dick Armey, Mehrheitsführer der Republikaner im US-Repräsentantenhaus, von dem positiven Tenor der Studie nicht überrascht. Das DoJ habe "die Experten und das Untersuchungsverfahren so ausgewählt, dass das Ergebnis bestmöglich ausfällt", polterte er. "Dieses bedeutende Problem bedarf einer wirklich unabhängigen Untersuchung, nicht einer Reinwaschung", fügte er hinzu.

Auch die Bürgerrechtsorganisationen Electronic Privacy Information Center (EPIC) und America Civil Liberties Union (ACLU) sind mit dem Bericht des IITRI und der Bewertung seiner Ergebnisse nicht zufrieden. "Wenn es so einfach für das FBI ist, versehentlich zu viele Daten zu sammeln, kann man sich leicht vorstellen, wie einfach es für die Agenten ist, dies absichtlich zu tun", sagte David Sobel, Anwalt der EPIC. Vor allem kritisierte Sobel, dass der Bericht nicht auf die prinzipiellen rechtlichen Probleme eingeht, die mit dem Einsatz des Schnüffel-Tools verbunden sind. "Das Problem mit Carnivore ist, dass es dem FBI Zugriff zur Korrespondenz von Hunderten, wenn nicht Tausenden unschuldigen Internet-Nutzern gibt", gibt er zu bedenken. "Es reicht nicht aus, wenn das FBI sagt: 'Traue uns, wir machen schon nichts Unerlaubtes.'" Die EPIC fordert weiterhin einen vollständigen Einblick in alle Details des Carnivore-Systems. Die Organisation bereitet derzeit eine entsprechende Klage gegen das FBI und das DoJ vor. Außerdem fordert die EPIC Einsicht in den unzensierten Bericht des IITRI.

Schließlich ist auch die ACLU alles andere als zufrieden mit dem Bericht. "Was mich überrascht ist nicht die Tatsache, dass das Untersuchungs-Team vor den Journalisten den Daumen über Carnivore hob, sondern dass sie erwarten, dass irgendjemand außerhalb der Regierung diesen Bericht ernst nimmt", sagte Barry Steinhardt von der ACLU. Ganz im Gegenteil zu den Aussagen des Berichts lägen Steinhardt Unterlagen vor, aus denen klar ersichtlich sei, dass Carnivore "zuverlässig den gesamten ungefilterten Traffic abfangen und speichern" könne. (chr)