Fahnden am Computer
Federrath ist in der DDR aufgewachsen und kennt staatlichen Kontrolldrang aus eigener Anschauung. Vor seinem Studium absolvierte er eine Lehre zum Elektronik-Facharbeiter und entdeckte im Ausbildungsbetrieb einen stark abgesicherten Raum – "es war klar, wofür die vollautomatischen Kassettendecks mit sehr langsam laufenden Motoren und hochwertigen Tonköpfen gedacht waren". Und auch in der heutigen Bundesrepublik hatte Federrath schon direkten Kontakt mit der neugierigen Staatsmacht, wie er berichtet: Schon zweimal hätten ihn Vertreter von deutschen Geheimdiensten für eine Zusammenarbeit gewinnen wollen – einmal in seinem Büro und einmal nach einem Vortrag.
Das Abhören von Funknetzen ist heute beinahe alltäglich. Mit den sogenannten IMSI-Catchern nutzen staatliche Angreifer Sicherheitslücken im GSM-Standard und ermitteln die netzinternen Rufnummern aller Nutzer in einer bestimmten Funkzelle. "Sie verdächtigen einen, überwachen aber alle", empört sich Federrath. Nach Angaben der Bundesnetzagentur haben deutsche Gerichte im vergangenen Jahr 35816 Anordnungen zur Überwachung von Handys erlassen. Federrath sitzt in seinem Büro, der ehemaligen Hausmeisterwohnung der Universität Regensburg, wo er mittlerweile den Lehrstuhl für Management der Informationssicherheit innehat. Direkt im Raum nebenan programmieren seine Studenten, der Zugang zu den Räumen ist mittels Fingerabdruck-Scanner und Kartenleser gesichert.
Auf der Eingangstür klebt der Aufkleber "Coding is not a crime" von der amerikanischen Bürgerrechtlerorganisation Electronic Frontier Foundation (EFF), auf dem Serverschrank dahinter der Sticker des Chaos Computer Clubs "Schnüffeln verboten". Federrath will nach eigener Aussage auf keinen Fall die Aufklärung schwerer Straftaten behindern. Seine Überzeugung lautet aber nach wie vor: "Wenn schon, dann müssen diese Maßnahmen so teuer sein, dass es damit völlig indiskutabel ist, eine Massenüberwachung zu praktizieren."
Der Trend aber geht in die andere Richtung: Aller Voraussicht nach wird auch den Mobilfunkanbietern die Vorratsdatenspeicherung über sechs Monate vorgeschrieben werden. Dabei muss der Benutzer nicht einmal telefonieren – sobald das Handy eingeschaltet ist, meldet es sich beim Netzbetreiber an, teilt ihm Identität des Nutzers, Handy-Seriennummer und Daten zum aktuellen Standort mit. Letzterer Datensatz ist besonders brisant, da damit nach dem "Wer spricht wann mit wem" auch das "Wo" bequem vom Computer der Polizei aus einsehbar wird. Das erlaubt nicht nur die Lokalisierung des Nutzers zu einem bestimmten Zeitpunkt, sondern auch das Erstellen kompletter Bewegungsprofile über die gesamte Speicherungsdauer.
Um die Erreichbarkeit sicherzustellen, dem Nutzer aber dennoch die Kontrolle über seine Daten wiederzugeben, schlug Federrath den Netzbetreibern in seiner Dresdner Zeit "Temporäre Pseudonyme" vor: Anstatt jeden Ortswechsel in der Datenbank des Netzbetreibers mit der eindeutigen Rufnummer zu verknüpfen, sollte jeder Ort unter einer neuen Zufallszahl gespeichert werden. Das würde Bewegungsprofile verhindern, da die Information "Pseudonym X gehört zu Person A" den Betreibern nicht bekannt wäre und zusätzlich nach einer bestimmten Zeit auch noch verfallen würde. Bei einem eingehenden Anruf sollte der Netzbetreiber das aktuelle Pseudonym über zwischengeschaltete Mixe ermitteln.
Keine Überraschung: Die Betreiber haben Federraths Konzept nicht verwirklicht. Misstrauischen Mobilfunkkunden empfiehlt er daher eine Lowtech-Lösung: "Lassen Sie das Handy aus, solange es geht. Wenn Sie telefonieren, dann mit UMTS. Da ist die Verschlüsselung besser." Plötzlich schimmern die Augen des Jung-Professors kurz auf: "Für UMTS ist auch der IMSI-Catcher schwerer zu realisieren", fügt er spitzbübisch hinzu.
Dieser Text ist der Zeitschriften-Ausgabe 06/2007 von Technology Review entnommen. Der Artikel steht auch als kostenpflichtiges pdf im Heise Kiosk zum Download bereit.
Permalink: http://heise.de/-279905
