Sicherer Abhören [Update]
Die Netzbetreiber müssen laut Telekommunikationsüberwachungsverordnung ab dem 1. Januar eine Schnittstelle zur Echtzeit-Überwachung potenzieller Straftäter nachweisen.
Eine Box zur sicheren Übergabe abgehörter Telekommunikationsdaten vom Netzbetreiber zu den deutschen Strafverfolgern stellte die Regulierungsbehörde für Telekommunkation und Post (RegTP) vor. Die Netzbetreiber müssen laut Telekommunikationsüberwachungsverordnung (TKÜV) ab dem 1. Januar eine Schnittstelle zur Echtzeit-Überwachung potenzieller Straftäter nachweisen. Das jetzt für die Betreiber von Sprachdiensten vorgestellte, auf IPSec basierende Kryptosystem der Firma Secunet bezeichnete Karl-Heinz Helf von der RegTP als letzten Baustein für die diskutierte Technische Richtlinie Telekommunikationsüberwachung (TR TKÜ) nach § 11 der TKÜV. Das System soll eine einfache Möglichkeit bieten, dass die Strafverfolger die laufenden Überwachungsdaten, die die Provider über ihre Zugangsknoten nach der TKÜV bereitstellen müssen, auch per öffentlichem Netz abrufen können, wobei sie nicht abgehört werden können und andererseits sicher authentifiziert werden.
Entsprechend der neuen TR TKÜ ist es den Netzbetreibern künftig freigestellt, die Überwachung auch per ftp oder über die "alten" FTAM-Schnittstellen weiterzugeben. Mit dieser neuen Schnittstelle entspreche man den für die TK-Überwachung von der ETSI verabschiedeten Standards. Ab 1. Januar 2005 wird der Standard für jeden neuen Netzbetreiber verbindlich. Für die Überwachung von Internet- und E-Mail-Kommunikation fehlt es derzeit -- anders als für die Sprachtelefonie -- noch an einem ETSI-Standard. Diesen wolle man vor einer endgültigen Lösung abwarten, sagte Helf. Zunächst werde die RegTP in einem Gespräch mit Internet-Providern und deren Verbänden am 1. August eine ab dem 1. Januar gültige Übergangslösung diskutieren. Man werde den betroffenen Anbietern, auch von DSL-Zugängen, die Möglichkeit geben, eigene Konzepte vorzustellen. "Nur einfach abwarten dürfen sie nicht", warnte Helf.
Vorerst sollen die Provider noch nicht zum Einsatz des ausgewählten Kryptosystems verpflichtet werden, sagten Vertreter der RegTP. Allerdings bietet sich der Einsatz der IPSec-Lösung gerade für die IP-Daten letztlich an.
Die SINA-VPN-Box von Secunet habe die Regulierungsbehörde nach einer Herstellerbefragung im letzten halben Jahr wegen des hohen Schutzniveaus als Referenzsystem aus drei Bewerbern ausgewählt, sagte Ralf Schmalbach von der RegTP. Das SINA-System unterscheidet sich von herkömmlichen IPSec-Routern dadurch, dass es als geschlossenes System keine Bypass-Möglichkeiten erlaube, sagte Kai Martius von der Dresdener Secunet. Es sei eher ein VPN-Gateway mit Routing-Funktionen als ein Router mit eingebautem IPSec. Die Erstinstallation und Konfiguration der auf Standard-PCs mit Linux-Betriebssystem aufgesetzten Lösung erfolgt über für Netzbetreiber und Strafverfolger von der RegTP ausgegebene zertifizierte SmartCards. Die RegTP überwacht als Zertifizierungstelle dann die Liste der VPN-Teilnehmer, pflegt dafür die Access Control List und kann über die Logdateien auch das Funktionieren der Übergabevorgänge kontrollieren. Inwieweit die Logs auch an die Netzbetreiber selbst zurückgereicht werden, ist noch unklar.
Insgesamt sehen Vertreter der Netzbetreiber allerdings noch eine Reihe ungelöster Probleme. Uwe Klinkenberg von Vodafone kritisierte die Tatsache, dass man den Netzbetreibern mit Secunet einen Monopolisten aufzwinge und diesem, je nach den gemachten Sicherheitsauflagen innerhalb der Netze, noch enorme Stückzahlen in die Hände spiele. "Mir ist noch nicht klar, wie viele Boxen wir innerhalb unseres Netzes einsetzen müssen, um die Sicherheitsauflagen zu erfüllen", sagte Klinkenberg. Eine Box samt Kartenleser und Smartcard kostet je nach Ausführung (PC oder 19 Zoll) und Stückzahl zwischen 2.500 und 4.000 Euro.
Ein Outsourcing-Angebot will Überwachungsspezialist GTEN vor allem kleineren und mittleren Betreibern machen. Für eine Servicegebühr ab 25.000 Euro zusätzlich der Kosten für angeordnete Maßnahmen können Provider die Überwachung in die Hände des Datakom-Spinoff mit dem sprechenden Namen (G10) legen, der nach eigenen Angaben eng mit den Behörden zusammenarbeitet. "Wir werden in technisch schwierigen Fällen von den Ermittlungsstellen häufig schon zu Rate gezogen, bevor ein Überwachungsantrag ergeht", versichert Wolfgang Schau, Technikvorstand der GTEN AG.
Neben den finanziellen Argumenten machten einzelne Betreiber auch auf ungelöste technische Fragen aufmerksam. So fehle es etwa für das deutschlandweite VPN an einem IP-Adressplan, der Kollisionen der privaten IP-Adressen verhindere. "Network Address Translation ist kein Problem, solange es vor unserer Box passiert", sagte Martius. Schließlich fürchten die Betreiber, dass mit der speziellen Kryptovariante von Secunet Kompatibilitätsprobleme mit den vom Wirtschaftsministerium und der RegTP versprochenen Alternativsystemen entstehen. Die Bedenken entsprängen aber mindestens teilweise einer Hinhaltetaktik, urteilte Joachim Wloka vom Wirtschaftsministerium. Wie sich die Provider und die RegTP Anfang August einigen, bleibt spannend. Im Falle echter technischer Probleme werde man aber Übergangsfristen ins Auge fassen, heißt es bei der RegTP. (Monika Ermert) / (jk)
