Der Griff der Geheimdienste nach dem Internet

Seit Anfang April gibt es nun einen Entwurf, der den Lauschangriff auf IP-Netze und die technische Überwachung im Internet europaweit vereinheitlichen soll.

Drei verschiedene Arbeitsgruppen im European Telecom Standards Institute (ETSI) entwickeln Modelle zum Anbohren aller digitalen Netzwerke laufend weiter und integrieren neue Technologien wie etwa GPRS oder das erst geplante UMTS (siehe dazu: Erich Moechel, Die ETSI-Dossiers, c't 7/2001, S. 58 und Europäische Schnittstellen zur Überwachung sämtlicher digitaler Netze). Techniker und Manager jener Firmen, die das passende Abhörequipment für diese Standard-Schnittstellen liefern, wirken in diesen ETSI-Arbeitsgruppen ebenso mit, wie Behördenvertreter, die ganz offensichtlich über enge Verbindungen vor allem zu deutschen, britischen und holländischen Nachrichtendiensten verfügen.

Die Welt der Datagramme und des dezentralen Paketverkehrs kommuniziert jedoch auf andere und komplexere Weise als das vergleichsweise simple Telefoniemodell, das im Grunde nur aus anrufender und angerufener Partei und einem Übertragungskanal besteht. Trotzdem wurde Anfang April der Entwurf eines ersten Standards präsentiert, der die technische Überwachung des Internet europaweit normieren soll.

Die Lauscher und das Internet

Das bisher größte Arbeitstreffen in Sachen neuer Abhörstandards in Europa fand vom 3. bis 5. April 2001 in Grimstad an der Südküste Norwegens statt. Zu den dreiunddreißig Teilnehmern der zentralen Arbeitsgruppe "Lawful Interception" (ETSI SEC LI) kamen noch etwa halb so viele aus der Working Group 3 LI des so genannten Third Generation Partnership Projects (3GPP TSG SA WG3-LI). Beim 3GPP handelt es sich um einen Zusammenschluss europäischer, amerikanischer (Standards Committee T1 der Alliance for Telecom Industry Solutions ATIS), japanischer (ARIB, TTC) und koreanischer (TTA) Normeninstitute. Auch China ist mit seiner Wireless Telecommunication Standard Group (CWTS) im 3GPP vertreten.

::::1

Zwei weitere ETSI-Arbeitsgruppen, die sich ebenfalls mit der Erstellung von Überwachungsstandards beschäftigen, machten den Abhörreigen in Grimstad komplett: Services and Protocols for Advanced Networks (SPAN 14), in der eben ein Standard über die Verbindung von IP- und Telekommunikations-Netzwerken erstellt wurde, sowie die TIPHON Security Working Group. Das Akronym TIPHON - Telecommunications and Internet Protocol Harmonization Over Networks - war gleichsam auch Programm des Treffens.

Gerade rechtzeitig zum großen, gemeinsamen Workshop in Grimstad wurde den Modellentwürfen zur "IP Interception" ein Update zum ordentlichen "Technischen Report" verpasst. Eine "komplette IP-Lösung", heißt es in ETSI TR 101 944 Version 0.0.8, stelle eine "technische Herausforderung" dar und sei in hohem Maß von der Zusammenarbeit zwischen Zugangs- und Service-Providern abhängig. Aus Gründen von "Security und Privacy" sei ein solcher, umfassender Zugriff allerdings "sehr umstritten" und deshalb für Telekom-Regulatoren in vielen Ländern "höchstwahrscheinlich unakzeptabel".

Die nationalen Regulatoren seien davon zu überzeugen, heißt es im einzigen fett gedruckten Satz des in Grimstad vorgestellten TCP/IP-Papiers, dass die Überwachungsanforderungen der gesetzlich ermächtigten Behörden sowohl Access-Provider wie auch Service-Provider jeweils separat beträfen. Von "allerhöchster Wichtigkeit" sei es, zwischen Netzwerk- und Serviceebene strikt zu unterscheiden und zu beachten, dass beide unterschiedlich zu behandeln seien. Dieses sei notwendig, um den "gesamten Inhalt der Kommunikation einer Ziel-Identität während der gesamten Dauer der Überwachung zu erfassen." So will es der "Technische Report" Draft TR 101 331 Version 0.1.2 , das Pflichtenheft der Behörden, das parallel zu den Standards, die diesen Pflichten genügen sollen, laufend fortgeschrieben wird.

Lauschangriff in Stereo

In jedem Fall greifen die Behörden parallel auch beim Service-Provider zu. Nur so erschließen sich jene Daten der Zielperson, die eben nicht live an Switches oder ADSL-Routern abzugreifen sind: Logfiles für alle möglichen Dienste von WWW bis ICQ, Inhalte von Mailboxen oder auch Daten, die auf ftp-Servern geparkt worden sind.

Naturgemäß machen sich eben jene, deren Aufgabe es ist, die Strukturen für einen groß angelegten Angriff auf die Daten der Informationsgesellschaft zu schaffen, Gedanken über die Sicherheit des eigenen Materials: Eine IPSEC-Lösung Pflicht. Ein sicherer Tunnel soll die Daten dann über das unsichere Terrain von TCP/IP nicht beobachtbar und unversehrt bei den Behörden abliefern.

Anderswo in Europa ist man jedoch schon deutlich weiter. Während auf europäischer Ebene noch über sichere Transportmethoden im Allgemeinen meditiert wird, ist in den Niederlanden ein Koalition von Geheimdiensten und Polizei bereits beim Besonderen angelangt. So wird die Standard-Schnittstelle ES 201 671, die auch der deutschen Überwachungsverordnung zu Grunde liegt, bereits seit Anfang 2000 in alle Netze implementiert und für den nationalen Abhörgebrauch adaptiert und verfeinert. ::

::2

Die Spuren der Nachrichtendienste

Sämtliche im ETSI definierten Abhörstandards schreiben vor, dass die Handover-Interfaces dazu fähig sein müssen, mehrere "User" separat zu bedienen, ohne dass sichtbar wird, wie viele Zielpersonen Gegenstand der jeweiligen Überwachung sind. Hersteller und Netzwerkbetreiber sind außerdem verpflichtet, über die verwendete Technik, deren Konfiguration und sämtliche Abhöraktivitäten Stillschweigen zu bewahren.

Sofern die Netzwerker über letztere überhaupt informiert sind, ist für das kommende UMTS doch eine Administrations-Funktion ADMF (PDF-Datei) definiert, die genau das verhindern soll. "Zusammen mit anderen Funktionen" diene sie dazu, vor dem Mobile Switching Center 3GMS - also dem Netzwerkbetreiber - "zu verbergen, dass es multiple Aktivierungen durch verschiedene 'Law Enforcement Agencies' auf dasselbe Ziel" gebe. Das ADMF sei dazu da, eben diese Aktivitäten zuverlässig voneinander zu trennen.

Eine der treibenden Kräfte in der ETSI-Arbeitsgruppe "Lawful Interception" ist der Holländer Koen Jaspers. In älteren Protokollen der Working Group SEC LI wird Jaspers noch dem ITO ("Informatie en communicatie technologie organisatie") zugeschrieben, einer EDV-Abteilung der niederländischen Polizei. In der Teilnehmerliste des Treffens von Grimstad Anfang April firmiert Jaspers jedoch als Vertreter einer Organisation namens PIDS, was nichts anderes als "Platform Interceptie, Decryptie en Signaalanalyse" heißt (Holländischer Geheimdienst wird der flächendeckenden Überwachung des Email-Verkehrs beschuldigt). So genannte Signals Intelligence (SIGINT) ist wie das Brechen von Verschlüsselungscodes seit jeher in allen Staaten in der Domäne der militärischen Geheimdienste angesiedelt (Enge Polizei- und Geheimdienstkooperation in den Niederlanden bezüglich Überwachung und Kryptographie).

In Absenz von Bernd Adams (Deutsche Telekom), dem Vizevorsitzenden der Arbeitsgruppe "Lawful Interception", assistierte dem Vorsitzenden Robin Gape (British Telecom) bei dem Treffen Anfang April mit Rupert Thorogood, einer der absoluten SEC LI Regulars, als Schriftführer. Neben Thorogood, der im ETSI mindestens seit 1997 einmal als Verbindungsoffizier zur Police Cooperation Working Group, dann als Vertreter des Handelsministeriums, meistens aber als Angehöriger des Innenministeriums aufgelistet ist, mischt noch ein zweiter Vertreter des britischen Home Office namens Ian Cooper regelmäßig mit.

John Horrocks vom Department of Trade and Industry empfahl der Arbeitsgruppe SEC LI mit einiger Dringlichkeit, ihre Arbeit stärker mit jener in anderen Standardisierungs-Gruppen abzugleichen. Wie bereits bei den letzten Meetings waren zwei Vertreter des im russischen Telekom-Ministerium angesiedelten "Zentralen Telekommunikations-Instituts für wissenschaftliche Forschung" an dem Meeting teil, ohne in den Protokollen durch technische Beiträge oder andere Wortmeldungen aufzufallen.

Bernie McKibben von Motorola, Vorsitzender der Arbeitsgruppe 3GPP, gab einen Überblick über die Beziehungen zur US-Schwestergruppe T1P1, dem Standardisierungs-Gremium zur Überwachung von Mobiltelefonie der amerikanischen Telecom Industry Association (TIA). Im Zentrum des Vortrags stand das Abhörinterface für die mobilen Dienste der dritten Generation, dessen Handover-Ports gerade ein neues Design erhielten. Die Kernaussage von McKibbens Vortrag aber war, dass die Architektur der Schnittstelle von ES 201 671 nicht den Anforderungen für Dienste der dritten Generation des Mobilfunks entspreche. Ebenso wenig würden die Anforderungen der Arbeitsgruppe TIPHON zur Überwachung von Voice-over-IP durch das Interface abgedeckt.

Dies stieß nicht nur beim Vorsitzenden Arbeitgruppe Acht von TIPHON Stephen Fischer (Aravox), sondern bei allen Teilnehmern des Workshops auf allgemeine Zustimmung und löste eine lange und "penetrierende" Debatte aus, in welcher ETSI-Arbeitsgruppe ein zukünftiges Interface entwickelt werden sollte.

Hightech für Bedarfsträger

Wirklich bedeutende finanzielle Aufwendungen für die Abhörschnittstellen fallen jetzt und in naher Zukunft bei Telecom-Ausrüstern wie Alcatel und Siemens, Ericsson, Nokia, Nortel und anderen an. Wie Ericsson ein System namens LIS anbietet, dessen Produktmanager Stefan Björnson ein Regular der Arbeitsgruppe Lawful Interception ist, haben auch alle anderen in ihre Produkte - Wählämter und Vermittlungstellen - mehr oder weniger komplette Überwachungslösungen integriert.

::

::3

"Hightech speziell für Bedarfsträger" -- so preist etwa Siemens seine "flexible und ausbaufähige Gesamtlösung an." Ähnliche Techniken haben auch die anderen Telecom-Ausrüster wie Nortel im Angebot. Nach Angaben von Siemens ist diese Erfolgsprodukt mit über 240 Millionen Ports in 105 Ländern das am weitesten verbreitete System für Sprachtelefonie, jeder fünfte Anruf weltweit erfolge über diese Hardware, die vollständig überwachungstauglich ist.

Statt "vermittlungstechnisches Sonderequipment" einzusetzen, das "schwierig zu tarnen" sei, ließen sich Überwachungsaufträge nun mit zusätzlicher EWSD-Standard-Hardware "unauffällig abwickeln". Die Software wiederum verfüge über "spezielle Filterfunktionen für die Materialauswertung", um "schnell an die wesentlichen Informationen" zu kommen.

Dass es den "Bedarfsträgern" dabei in erster Linie nicht um Gesprächsinhalte, sondern um andere Daten geht, erklärt der Siemens-Prospekt, der nur im Rahmen eines persönlichen Gesprächs an potenzielle Kunden weiter gegeben wird, mit bemerkenswerter Offenheit: "Ereignisdatensätze liefern aufschlussreiche Informationen über das Kommunikationsverhalten des überwachten Netzteilnehmers."

Ein vollständig ausgebautes System kann "bis zu 10**000 Teilnehmeranschlüsse pro Vermittlungsstelle gleichzeitig überwachen", dazu weitere 1000 fremde Teilnehmeranschlüsse, etwa an Roaming-Gateways. Die "aufschlussreichen Ereignisdatensätze" können dann über die Schnittstelle ES 201 671 am Interface HI 2 an "bis zu fünf Überwachungseinrichtungen" gleichzeitig via ftp abgeliefert werden.

Was wo gesetzmäßig ist

Wie für alle Standards ist auch für ETSI ES 201 671 und Nachfolger eine international möglichst breite Akzeptanz Voraussetzung. Zu diesem Zweck muss der Standard offen sein und so flexibel, dass er auch in jenen Ländern akzeptiert wird, in denen grundlegende Menschenrechte nicht beachtet, oder mit Füßen getreten werden. In diesen Ländern, die noch äußerst niedrige Penetrationsraten für gewöhnliche Telefonie aufweisen, aber lebt die überwältigende Mehrheit der Weltbevölkerung - ein einziger großer Hoffnungsmarkt für die gesamte Telekomindustrie.

Der Schlüsselsatz des "Pflichtenhefts" (TR 101 331, Scope) auf dem alle Überwachungsstandards basieren, ist, dass es die Anforderungen für Übergabe-Interfaces zum Abhören für Polizei und Staatsicherheitsagenturen enthalte ("It provides a set of requirements relating to handover interfaces for the interception by law enforcement and state security agencies.") Darunter steht, das Dokument beschreibe die Anforderungen aus der Sicht von "Law Enforcement." ("The present document describes the requirements from a Law Enforcement Agency's (LEA's) point of view.")

Am nächsten Meeting der Arbeitsgruppe SEC LI vom 15. bis 17. Mai in Hamburg - Gastgeber: Deutsche Telekom - will man Vorschläge aus allen erwähnten Gruppen präsentieren, wie ES 201 671 adaptiert werden könne, auf dass der Standard "multimediatauglich" werde und künftig den Anforderungen paketvermittelten Datenverkehrs entspricht.

Erich Moechel ist leitender Redakteur von ORF ON FutureZone