SoZ - Sozialistische Zeitung |
Eine absolute Sicherheit gegenüber unerwünschten Zugriffen auf den
privaten elektronischen Verkehr gibt es nicht. Dennoch kann man sich schützen. Und die modernen
Kommunikationsmittel dürfen auch nicht zum Vorwand genommen werden, die Grundrechte des Bürgers
auszuhebeln.
HANS-RUDOLF BEHRENDT ist
Geschäftsführer einer kleinen Computerfirma, die u.a. auch die Anlage der SoZ betreut. Er
diskutiert im nachstehenden Gespräch mit der SoZ, welche technischen Möglichkeiten dem BKA
für eine Online-Durchsuchung zur Verfügung stehen, welche Schwächen sie jeweils aufweisen,
und auf welche Aspekte sich die politische Kritik vor allem konzentrieren sollte.
Bei der Festnahme der Islamistengruppe im Sauerland wurde der E-Mail-Verkehr überwacht. Durfte
die Polizei das?
Fragen wir zunächst einmal: Welche Möglichkeiten hatte sie denn, den E-Mail-Verkehr zu
überwachen? Sie konnte dem Provider, also dem Anbieter im Internet, bei dem die Gruppe ihre E-Mail-
Postfächer unterhält, einen Durchsuchungsbefehl vorzeigen und mit dessen Einwilligung die
entsprechenden E-Mails lesen. Das kann man machen, ohne irgendetwas installieren zu müssen, weder beim
Sender noch beim Empfänger. Vergleichbar wäre bei der Telefonüberwachung, dass man keine
Wanze installiert, sondern jemanden bei der Bundespost an den Schaltschrank setzt, der dort ein Kabel
reinsteckt, über das er ein Gespräch mithört. So wurde das früher gemacht.
Die zweite Möglichkeit ist, dass man
auf dem Computer des Abzuhörenden ein Programm laufen hat, das die Eingaben über die Tastatur
mitschneidet und dann an das BKA schickt. Soweit ich mitbekommen habe, ist die E-Mail-Überwachung
zusammengebrochen, weil die Beteiligten ihre E-Mails verschlüsselt haben. Das spricht dafür, dass
tatsächlich eine Überwachung über den Provider gelaufen ist. Denn beim Mitschneiden der
Tastatureingaben hilft die Verschlüsselung nichts, weil sie erst später stattfindet, nicht schon
beim Eingeben. Es wäre nun interessant festzustellen, welcher Anbieter erlaubt hat, die E-Mails seiner
Kunden zu lesen...
Darf die Polizei das?
Das ist schwer zu beantworten. Die Frage ist: Wird das abgedeckt durch den bisherigen Begriff der
Telefonüberwachung? Es läuft auf die Frage hinaus: Ist eine E-Mail ein Brief, greifen also die
bisherigen Post- und Fernmeldegesetze, oder hat elektronische Kommunikation eine andere Qualität?
Welche anderen Möglichkeiten der Onlinedurchsuchung gibt es?
Es gibt zwei Methoden. Die eine ist die Onlinedurchsuchung über ein Programm, das auf
verschiedenen Wegen über das Internet auf den Rechner des Überwachten geschleust wird, sich dort
häuslich niederlässt und die Informationen ans BKA oder eine andere Behörde weiter gibt. Das
nennt man einen Trojaner frei nach dem Trojanischen Pferd aus der Ilias.
Der Nutzer lässt das Programm in
seinen PC rein, weil er entweder nicht weiß, dass das ein Programm ist, oder weil ihm vorgegaukelt
wird, das wäre ein wichtiges Sicherheitsupdate, das er installieren soll, oder weil er den Anhang
einer E-Mail öffnet, der ein Programm ausführt usw.
Trojaner sind bisher hauptsächlich aus
der Debatte über Computerviren oder Spams bekannt. Die Hauptgefahr in Sachen Trojaner geht immer noch
von Kriminellen aus, die Tausende PCs unter ihre Kontrolle nehmen, um sie mit Spams zu überfluten,
oder um Kreditkarteninformationen abzugreifen, Bankinformationen, Onlineüberweisungen etc.
Diese Trojanerprogramme gibt es schon alle,
es gibt ganze Baukästen dazu, selbst das BKA ist nicht so fit, dass es ganz ohne Zugriff auf die
bekannten kriminellen Methoden auskommt.
Mittlerweile werden PC-Nutzer aber
vorsichtiger und machen nicht arglos jede E-Mail auf. Deswegen verstecken sich Trojaner inzwischen auch mal
hinter einer Mitteilung vom Finanzamt, oder vom Jugendamt, die dazu auffordert, einen Anhang zu
öffnen. Dann ist es schon passiert.
Es geht immer über Anhänge?
Nein, das ist nur eine Methode. Leider gibt es ganz viele Methoden und sehr gemeine Methoden. Ein
Computer kann z.B. im Internet über sog. Würmer infiziert werden, das sind Programme, die
kriechen durchs Internet und schauen, ob es dort einen PC gibt, der eine ungeschützte Stelle hat und
sich dann über diese Schwachstelle auf dem Rechner niederlässt.
Die Softwarehersteller von Betriebssystemen
haben hier eine riesige Verantwortung. Denn wenn es staatlichen Stellen gelingt, soviel Druck
auszuüben, dass sie die Hersteller von Betriebssystemen veranlassen können, für die
Behörden einen "Durchgang" einzubauen, den nur sie nutzen können, dann würde das
bedeuten, dass sie einen PC übernehmen können, ohne dass jemand ein Programm startet oder eine
Webseite besucht, es reicht, wenn er online ist. Davon träumt die Polizei natürlich, weil sie
dann keine großen Ressourcen mehr mobil machen muss.
Eine andere Methode ist die sog. Remote
Forensic Software (RFS). Das ist in meinen Augen ein völlig antiquiertes Verfahren. Das läuft ab
wie in einem alten Film: Die Schlapphüte brechen in die Wohnung ein, schalten den Computer an und
installieren einen sog. Keylogger das ist ein Programm, das die Tastatureingaben mitschneidet und
Informationen weiterleitet. Das ist viel zu aufwändig und wird deshalb nicht flächendeckend
angewendet werden, sondern höchstens im Einzelfall. Onlinedurchsuchung meint aber eine
flächendeckende Fahndung.
Das scheint aber zugleich das Verfahren zu sein, wo sie am sichersten sein können, dass sie
Informationen abgreifen können. Denn die anderen setzen immer eine Mittäterschaft des Providers
oder der Belauschten voraus. Constanze Kurz vom "Chaos Computer Club" meint nun: Versierte Nutzer
können sich abschotten. Wie?
Als erstes sollte man wissen: Das allermeiste, was man im Internet macht, macht man über nicht
geschützte Verbindungen. Das bedeutet: die Daten, die ich verschicke, können von anderen im
Klartext mitgelesen werden. Internet ist so sicher wie eine Postkarte.
Der erste Schritt sich zu schützen
wäre, den E-Mail- und Internetverkehr zu verschlüsseln. Banken machen das, da steht dann in der
URL-Zeile des Browsers statt "http" ein "https" "sichere Verbindung".
Wie sicher die Verbindungen sind, hängt von den verwendeten Schlüsseln ab. Hierbei kommt es
darauf an, wie lang die Schlüssel sind und wie sicher das Verschlüsselungsverfahren ist. Es gibt
sehr sichere Verfahren, die nur sehr schwer geknackt werden können, sodass sich der Aufwand kaum
lohnt.
In einer Debatte, die in den 90er Jahren in
den USA stattfand, wurde der Vorschlag gemacht, die Verschlüsselung durch den Einsatz bestimmter Chips
vorzunehmen, die in den PC eingebaut sind. Damals meldeten sich die Behörden zu Wort und sagten: Das
kann man machen, aber dann möchten wir den Zauberschlüssel, mit dem wir alles wieder
aufdröseln können.
Die Verfahren sind inzwischen so
mächtig, dass man die Schlüssel in einer vernünftigen Zeit nicht geknackt kriegt. Man kann
sie knacken, aber es stellt sich immer die Frage nach dem Aufwand, zuviel ist nicht praktikabel. Ein
Generalschlüssel wäre da natürlich wunderbar.
Ist es nicht auch für mich umständlich, wenn ich jede E-Mail verschlüsseln muss?
Nicht wirklich, es gibt schon Programme, die das erleichtern. Aber es ist natürlich
umständlicher, als wenn man es nicht macht. Und da der Inhalt der meisten Mails banal ist, haben die
Schnüffler hier dasselbe Problem wie bei der Rasterfahndung: Sie versinken in einem Überangebot
an Daten.
Man muss vor allem die Debatte beobachten,
die sich um die Frage dreht: Soll der Staat ein Hintertürchen im Betriebssystem bekommen? Ein offenes
Betriebssystem wie Linux ist hier von Vorteil, weil es das erkennen kann.
Eine andere, ganz große Gefahr geht
von den Rootkids aus, sie stellen das aktuelle Nonplusultra der Schädlingssoftware dar, sie verstecken
sich so gut, dass es sehr schwer ist, sie zu erkennen, bzw. wenn man sie erkannt hat, kriegt man sie fast
nicht mehr los. Auch dafür gibt es schon Baukästen.
Ein Schutz dagegen ist eine brauchbare,
aktuelle Anti-Viren-Software. Wenn man einen Router im Einsatz hat, sollte man ihn mit einem Passwort
versehen, damit er nicht einfach umkonfiguriert werden kann. Man sollte die üblichen
Sicherheitsempfehlungen wirklich berücksichtigen.
Eine absolute Sicherheit gibt es aber
nicht. Wenn man es absolut sicher haben will, muss man vom Netz. Wenn man mit Fremden kommunizieren will,
dann ist das immer ein Senden und Empfangen.
Die Bundesanwaltschaft sagt, sie braucht diese neuen Methoden, weil sie technisch auf der Höhe
der Verbrecher sein muss. Hat sie damit Recht?
Ich gehe anders ran. Ich sage, es gibt bestimmte Grundrechte. Die technischen Möglichkeiten haben
sich seit dem 19. Jahrhundert geändert, wir haben nicht mehr nur die Briefpost, wir haben Telefon und
Internet. Wenn der Bürger ein Recht auf seine Privatsphäre hat, also das Recht zu kommunizieren,
ohne dass Unbefugte das mitschneiden, dann muss das für alle Kommunikationsmittel gelten. Dann muss
man zunächst einmal die Rechte des Bürgers auch in Bezug auf die neuesten Kommunikationsmittel
definieren. Dann gilt wie auf anderen Gebieten auch, die Unschuldsvermutung.
Wenn man aber vom Standpunkt ausgeht: jeder
ist verdächtig, ist das ein Verfahren, das wir aus Diktaturen kennen. Dann bekommen wir wieder eine
Stasi, der die Hälfte der Bevölkerung zuarbeitet. Wen man das will, soll man es sagen, dann gibt
es aber auch keinen Rechtsstaat mehr. Bei den jetzigen Vorschlägen aus dem Haus Schäuble fehlt
einfach, dass zunächst einmal die positiven Rechte des Bürgers definiert werden.
Erst dann kann man sagen: Der Staat muss
auch Schutzfunktionen ausüben, es gibt Einschränkungen, es kann nicht jeder wüten wie er
mag. Dann kann man auch definieren, an welchen Punkten der Staat gegen diese Grundrechte die
zunächst einmal absolut sind zum Zweck des Schutzes der Gemeinschaft verstoßen darf. Das
ist aber ein ganz anderes Herangehen als zu sagen: Der Staat muss technisch genauso fit sein wie ein
krimineller Computerhacker. Hier geht man gerade nicht von den Rechten des Bürgers aus, sondern stellt
sie einfach zur Disposition. Dafür wird Hysterie geschürt früher die RAF-Hysterie,
heute die Islamisten-Hysterie.
Man sollte sich in der Debatte nicht auf
diese Ebene ziehen lassen, sondern auf der Definition der Rechte des Bürgers bestehen. Dazu
gehört auch, dass große Softwarekonzerne daran gehindert werden, z.B. illegal einen Kopierschutz
oder Software zum Ausspionieren des Kaufverhaltens auf privaten Computern zu installieren.
Die großen Möglichkeiten, die die
moderne elektronische Kommunikation bietet, können kein Grund sein, deshalb die Grundrechte
auszuhebeln und zu sagen: Der Bürger muss alles offenlegen.
Kann man das überhaupt kontrollieren, dass es bei den Ausnahmen bleibt? Immerhin wissen wir aus
der Telefonüberwachung, dass ein entsprechender Antrag der Staatsanwaltschaft von Richtern
vielleicht wegen Arbeitsüberlastung meistens durchgewunken wird.
Sicher, alles was technisch machbar ist, wird auch gemacht. Auf dieser Ebene kann man weder eine
schöpferische, noch eine kriminelle Fantasie verbieten. Auf dieser Ebene lässt sich das Problem
auch nicht lösen. Man muss von den individuellen Grundrechten und vom Recht des Bürgers auf seine
Privatsphäre ausgehen. Um die Einschränkungen muss man dann ringen, da kann man auch hohe
Anforderungen formulieren. Die Genehmigung durch einen Richter ist natürlich ein Schutz insofern, als
eine massenhafte, flächendeckende Spionagepraxis damit unmöglich wird allein schon aus
Personalgründen. Wenn das Instrument unzureichend angewendet wird, muss man das verbessern.
Ich möchte die SoZ mal in der Hand halten
und bestelle eine kostenlose Probeausgabe oder ein Probeabo
Sozialistische Hefte für Theorie und Praxis Sonderausgabe der SoZ 42 Seiten, 5 Euro, |
||||
Der Stand der Dinge Perry Anderson überblickt den westpolitischen Stand der Dinge Gregory Albo untersucht den anhaltenden politischen Erfolg des Neoliberalismus und die Schwäche der Linken Alfredo Saa-Fidho verdeutlicht die Unterschiede der keynsianischen und der marxistischen Kritik des Neoliberalismus Ulrich Duchrow fragt nach den psychischen Mechanismen und Kosten des Neoliberlismus Walter Benn Michaelis sieht in Barack Obama das neue Pin-Up des Neoliberalismus und zeigt, dass es nicht reicht, nur von Vielfalt zu reden Christoph Jünke über Karl Liebknechts Aktualität |