Data-Retention: Geheimdienste wollen mehr
Während in Österreich noch über den Gesetzestext zur Einführung der Vorratsdatenspeicherung diskutiert wird, arbeiten Polizei und Geheimdienste im Telekom-Standardisierungsinstitut ETSI bereits eine neue Serie von "optionalen" Datenfeldern in den Überwachungsstandard ein: Einzelabrechnungen, Bankverbindung, Volumen von Up- und Downloads. Sie wollen alle Details über die Bewegungen der Bürger in den Netzen erfassen.
"Über Österreich merkte der Vorsitzende an, dass nun etwas Bewegung zur nationalen Umsetzung der EU-Richtlinie zur Vorratsdatenspeicherung zu erkennen sei", heißt es im Sitzungsprotokoll. Die zugehörige Sitzung der ETSI-Arbeitsgruppe SA3-LI ("Lawful Interception") fand von 3. bis 5. November in Scottsdale (US-Bundesstaat Arizona) statt.
Nachdem nun auch Österreich nach langer Verzögerung die EG-Richtlinie zur Vorratsdatenspeicherung umsetzt, dürften die Erfinder der Überwachungsstandards sehr zufrieden sein. Denn sie planen bereits die umfangreiche Ausweitung der verdachtsunabhängigen Speicherung sämtlicher Telefonverbindungs- und Handystandortdaten.
Der Vorsitzende des übergeordneten Technischen Komitees TC LI, Peter van der Arend, gab in Scottsdale bekannt, dass für die in Arbeit befindliche technische Spezifikation zur Vorratsdatenspeicherung erneut eine Reihe von Ergänzungen, Zusätzen und Abänderungsanträgen eingetroffen seien, die nun eingearbeitet würden.
Angeschwollen 1.5.1
Man sei gerade dabei, die Version 1.5.1 auszuarbeiten, teilte Van der Arend den nach Arizona angereisten Mitgliedern der Arbeitsgruppe mit.
Schon die derzeit kursierende Version 1.3.1 vom September mit dem Titel "Gesetzmäßige Überwachung (LI), Umgang mit Vorratsdaten und Übergabe-Schnittstelle für Anforderung und Übergabe der Daten" zeigte sich gegenüber den ersten Entwürfen stark angeschwollen. Die technische Spezifikation umfasst bereits 89 Seiten - und laufend kommen neue Datenfelder hinzu, die in der aktuell gültigen EG-Richtlinie 2006/24/EG überhaupt nicht genannt werden.
Der PUK-Code
Alleine im Abschnitt B 2.2.4.1, den "Subscribed Telephony Services", kam ein Dutzend solcher "optionaler Parameter" dazu: Anbindung, Art und Zeitdauer des Kundenvertrags, geografischer Ort von beim Kunden installierten Geräten, eine Liste der IMEI- und MAC-Adressen aller vom Provider gestellten Endgeräte. Und falls es sich denn um ein Service handelt, das mit einer SIM-Card betrieben wird, hätten die Überwacher gerne auch die PUK-Codes des betreffenden Endgeräts dazu.
PUK ist der "Pin Unlock Key", der anders als der PIN-Code nicht vom Besitzer des Handys verändert werden kann. Über den PUK erlangt man volle Kontrolle über das betreffende Endgerät und kann es nach Belieben manipulieren.
Umsetzung in Österreich
Das Infrastrukturministerium legte am Freitag den Entwurf zur Änderung des Telekommunikationsgesetzes vor, mit dem die EG-Richtlinie zur Vorratsdatenspeicherung (Data-Retention) umgesetzt werden soll. Die Koalition streitet noch darüber, ob die Polizei auch ohne Anlass jederzeit auf die IP-Adressen aller Bürger zugreifen darf. In der Vorratsdatenspeicherung werden alle Handystandort- und Verbindungsdaten aller Bürger verdachtsunabhängig für sechs Monate gespeichert.
Bankverbindungen, P2P
Vom nächsten Abschnitt B 2.2.4.2, den "Abrechnungsdetails", dіe in der EU-Richtlinie zur Vorratsdatenspeicherung überhaupt nicht vorkommen, sind Datenfelder für Einzelabrechnungen des Providers vorgesehen samt Einzahlungsort und Zeitpunkt, Währung und Zahlungsart des betreffenden Kunden.
Auf diese Weise kommt auch die Bankverbindung zum Datenkonvolut dazu.
Im Annex E 2.4 zum Thema "Netzzugang" - laut EU-Richtlinie müssen nur Ort und Zeit der Einwahl, benutzte IP-Adresse sowie Dauer der Verbindung gespeichert werden - wünscht man sich noch ein paar weitere Informationen dazu. Zum Beispiel den Benutzernamen für das Log-in und den Umfang des dann abgewickelten Datenverkehrs, übersichtlich in Up- und Downloads gegliedert.
Geheimdienste schreiben die Standards
Dass ein technisches Regelwerk wie jenes zur Vorratsdatenspeicherung so weit über die Vorgaben der EU-Richtlinie hinausschießt, erklärt sich zum Teil aus der Genese dieser technischen Spezifikationen.
Für sie zeichnet nämlich das National Technical Assistance Center (NTAC) verantwortlich, eine Schnittstelle im britischen Innenministerium zum Inlandsgeheimdienst MI5, aber auch zum militärischen General Communication Headquarters (GCHQ).
Über das NTAC laufen auch sämtliche Polizei- und Gerichtsanfragen zur Entschlüsselung abgefangener oder beschlagnahmter Daten. Das dafür nötige Know-how aber ist ebenso wie die formale Zuständigkeit in Cheltenham beim GCHQ angesiedelt.
Eskalierendes Muster
Und weil im Technischen Komitee TC-LI bzw. der Arbeitsgruppe SA3LI die Vorgaben vom niederländischen Gegenstück zum britischen NTAC namens PIDS (Platform Interceptie Decryptie en Signaalanalyse), dem deutschen Bundesverfassungsschutz sowie Innenministeriumsbeamten aus Frankreich stammen, ist die Wunschliste insgesamt derart angeschwollen.
Sie spiegelt ziemlich genau wider, nach welchem Muster die Überwachung der Netzwerke im Wechselspiel zwischen Politik, Geheimdiensten und Polizei in den letzten zehn Jahren eskaliert.
Wenn es nach einigem Hin und Her wie im Fall der Richtlinie zur Vorratsdatenspeicherung schließlich zu einer Einigung kommt, sind die radikalsten und überschießendsten Ansätze, die in der Regel aus England und/oder Frankreich kommen, darin abgemildert, schaumgebremst oder gar nicht enthalten.
Einschlägige Links
Etwas aufschlussreicher als die Links zu den offiziellen ETSI-Pages sind jene zu Sites von Dritten, die etwa direkten Zugang zu allen einschlägigen LI-Dokumenten und ETSI-Standards auf Chinesisch bieten. Auszug aus einer Linksammlung, die von den Studenten des Studiengangs Medientechnik der FH St. Pölten beigestellt wurde.
Optionale Revision der Politik
Sodann beginnt ein von den oben genannten Institutionen besetztes Subkomitee, die technischen Anforderungen der Überwacher auszuformulieren. Das geschieht vorerst einmal entlang dem Buchstaben der Richtlinie, dann kommen die Sonderwünsche an die Reihe.
Nach und nach wird dann in ein- und denselben Überwachungsstandard, der sich auf eine EU-Richtlinie beruft, all das hineingeschrieben, was in den EU-Gremien nicht konsensfähig war.
Bis auf drei, die etwas mit Richtlinientext zu tun haben, werden denn auch sämtliche neuen Felder zur Vorratsdatenspeicherung in der Version ETSI TS 102 657 1.3.1 als "optional" eingestuft. Die technische Voraussetzung ist damit gegeben, dass auf nationaler Ebene genau das umgesetzt werden kann, was in EU-Gremien keine Mehrheit fand.
Russische Verhältnisse
Am 1. Dezember trifft der harte Kern der LI-Überwacher auf Einladung der British Telecom im walisischen Cardiff zusammen, bereits am 9. Februar ist wieder ein reguläres Treffen angesagt, diesmal in Rom.
Ein weiteres Anzeichen für die Globalisierung der Vorratsdatensammelwut ist das für 2010 geplante Treffen in St. Petersburg. Schließlich ist das einladende Russische Zentralintitut zur Erforschung und Entwicklung der Kommunikation (ZNIIS) ein "Stakeholder" im "Lawful Interception"-Komplex des ETSI. Das ZNIIS kann seit Jahren im Technischen Komitee TC LI jederzeit Abänderungsanträge für neue Überwachungsoptionen einbringen.
(futurezone/Erich Moechel)
