Holzhammermethoden

Ausweitung der Überwachung bedroht Internet-Anbieter

Wissen | Recht

Bundesregierung und Innenministerium wollen lückenlose Überwachungsmöglichkeiten. Die Ausführungsbestimmungen des Telekommunikationsgesetzes ziehen jedoch bedenklich hohe Kosten für die Privatwirtschaft nach sich.

Internet-Service-Provider, Mailboxbetreiber und interne Firmennetze müssen demnächst damit rechnen, auf eigene Kosten Abhörschnittstellen einzurichten. Nach Schätzungen von Klaus-Dieter Scheuerle, Chef der zuständigen Regulierungsbehörde, sind rund 400 000 Diensteanbieter in Deutschland betroffen. Dagegen steht die Forderung des CDU-Wirtschaftsrats 'ausreichende Ausnahmeregelungen' zu schaffen, so daß nur 'einige 1000 bis zu einigen 10 000 Betreiber' in die Pflicht genommen würden.

Jedenfalls verfügen dann die Sicherheitsbehörden über 'quasi unendliche Zugriffsmöglichkeiten auf Kundendateien', die dabei entstehenden Kosten seien in ihrer Höhe für die Betreiber 'kaum kalkulierbar', kritisierte der CDU-Wirtschaftsrat weiter. Marit und Kristian Köhntopp haben es für c't dennoch versucht ([#k1 siehe Kasten]). Fazit der Kostenerhebung: für kleine Provider könnten die Paragraphen das wirtschaftliche Aus bedeuten. Auch der Vorsitzende der Bundesfachkommission 'Innovation & Information' des CDU-Wirtschaftsrates, Joachim Dreyer, erklärte vor wenigen Wochen, daß vor allem kleinere und mittlere Anbieter von Telekommunikations- und Internetdiensten mit 'erheblichen Beeinträchtigungen ihrer Wettbewerbsfähigkeit' rechnen müssen.

Zudem ist die rechtliche Grundlage umstritten. Angesichts der unverhältnismäßigen Kosten sind Zweifel an der Verfassungsmäßigkeit angebracht ([#k3 siehe Kasten]). Seit Jahren wird auf politischer Ebene darum gestritten, ob die Wirtschaft auf eigene Kosten für die Interessen der Strafverfolgungsbehörden eingespannt werden darf. Nach Ansicht der Bundesregierung fallen die Überwachungskosten nicht ins Gewicht - ihren 'bisher vorliegenden Erkenntnissen' zufolge 'belaufen sich die Kosten für die Bereitstellung der technischen Einrichtungen ... auf weniger als 1 % der Investitionskosten' (Stand 11/97).

Neu sind solche Überlegungen nicht: Bereits seit 1995 sollten Internet-Provider auf der Grundlage der Fernmeldeverkehrs-Überwachungsverordnung (FÜV) Abhörschnittstellen bereithalten. Das für die Umsetzung verantwortliche Bundesamt für Post und Telekommunikation (BAPT) hatte - vorwiegend aus organisatorischen Gründen - zunächst nur auf die Anbieter von (Sprach-) Telekommunikation geachtet. Bislang kam es tatsächlich nur in Ausnahmefällen zu Anordnungen, auch die EMails eines Verdächtigen zu überwachen.

Ungeachtet der Schwierigkeiten bei der Umsetzung der FÜV wurde die Gesetzeslage in den letzten drei Jahren erheblich verschärft. Umfassende Definitionen im Telekommunikationsgesetz (TKG, http://www.bundesregierung.de/bmpt/tkg.html) und dem TK-Begleitgesetz haben die Überwachung auf neue elektronische Medien und - unter gewissen Bedingungen - auf private Netze ausgeweitet [[#lit2 2], [#lit4 4]]. Nun droht die praktische Umsetzung der Vorschriften: Die Telekommunikations-Überwachungsverordnung (TKÜV) soll in den nächsten Wochen vom Kabinett verabschiedet werden.

Die Absichten der Bundesregierung sind eindeutig: Neben 'Mailnummern' sollen künftig auch IP-Adressen und Internet-Namen überwacht werden, erklärte sie auf Anfrage der Bündnisgrünen. Internet-Provider bleiben damit nicht länger von den Überwachungsauflagen verschont.

Frei von Auflagen sind nach dem vorliegenden Entwurf unter anderem Anlagen, auf denen 'für die Öffentlichkeit bestimmte Informationsdienste' angeboten werden oder lediglich rein technische Kommunikation läuft: reine WWW- oder News-Server müssen also nicht nachgerüstet werden. Begrenzt ausgenommen sind firmeninterne TK-Anlagen; und zwar dann, wenn sie weniger als zehn Prozent der Endeinrichtungen an 'Dritte' überlassen. Unternehmen, bei denen beispielsweise eine Tochterfirma einen größeren Teil der Telefonanlage mitbenutzt, müssen hingegen Überwachungsschnittstellen einrichten. Anlagen in Wohnheimen wertet der Begründungstext - im Gegensatz zu 'normalen' Wohnblöcken - allerdings als privat und somit überwachungsfrei.

Wohngemeinschaften müssen in der Regel ohnehin nicht bangen: 20 mögliche Endeinrichtungen gelten als Bagatellgrenze, Anlagen bis zu dieser Größe bleiben von der TKÜV verschont. Unklar bleibt im Entwurfstext, ob, wenn es einmal nicht um Telefone geht, die Zahl der gleichzeitig zu bedienenden Endeinrichtungen (etwa zehn Modems/Einwahlleitungen) oder die Gesamtzahl der Anschlüsse gemeint ist, die über diese Anlage versorgt werden (alle registrierten Kunden eines Providers oder einer Mailbox).

Nach der TKÜV müssen Internet-Provider vor Inbetriebnahme der Anlage gemäß § 14 TKÜV ein spezielles Genehmigungsverfahren für die installierte Überwachungstechnik durchlaufen. Der Regulierungsbehörde sind durch § 91 TKG umfangreiche Kontroll- und Sanktionsmöglichkeiten eingeräumt, um die Einhaltung dieser Pflichten sicherzustellen. Wenn mildere Mittel nicht ausreichen, darf sie den Betrieb ganz oder teilweise untersagen oder Zwangsgelder bis zu drei Millionen Mark festsetzen. Bereits bestehende Anlagen sind 'unverzüglich, spätestens bis zum 31. Dezember 2000' nachzurüsten - bestimmte Anforderungen müssen jedoch noch im laufenden Jahr umgesetzt werden.

Zeitgleich mit der Kommunikation eines überwachten Kunden ist an den Bedarfsträger der überwachte Kommunikationsinhalt zu übermitteln. Die TKÜV verlangt hier getrennte Leitungen für ab- und eingehenden Verkehr, ohne deutlich zu machen, für welche Kommunikationsformen dies gewollt ist.

Offenbar wurde hier auch an Anrufbeantworter gedacht: Nach § 3 (1) des Entwurfs zählt zum überwachten Verkehr die 'gesamte Telekommunikation', die 'zu Datenspeichern geleitet wird, die dem Anschluß zugeordnet sind oder die aus solchen Datenspeichern abgerufen wird'. Dies könnte für EMails heißen: Sofort nach Eingang beim Provider geht die Nachricht an den Bedarfsträger; der überwachte Kunde dagegen erhält sie erst beim nächsten Abruf.

Sofern der Netzbetreiber die Kommunikation verschlüsselt, hat er den Sicherheitsbehörden, wie schon nach der FÜV, Klartext zu übermitteln. Ist der Verkehr auf dem gesamten Netz chiffriert, so sieht der TKÜV-Entwurf in § 8 (6) vor, dem Bedarfsträger 'funktionsfähige Entschlüsselungsmöglichkeiten oder andere für die Entfernung des Schutzes erforderliche technische Mittel bereitzustellen'. Die Sicherheitsbehörden können nur dann nicht mitlesen, wenn die Nutzer ihre Nachrichten selbst verschlüsselt haben.

Auf einer getrennten Leitung haben die Provider einen Datensatz zu jedem einzelnen Kommunikationsgeschehen zu übermitteln. Dieser besteht aus Daten zu Kommunikationspartnern, einem eventuellen 'Weiterleitungsziel', der Dauer und den in Anspruch genommenen Diensten. Für Provider bedeutet das: Jeder für das Weiterleiten von EMails eingerichtete Forward- oder Alias-Eintrag ist ebenso zu protokollieren und zu übermitteln wie der genutzte Dienst. Im Klartext: protokolliert wird, ob ein Kunde EMails abruft, News liest oder im World Wide Web surft.

An einigen Stellen zeigt sich, daß die TKÜV immer noch an Sprachtelefonie orientiert ist und kaum auf die Verhältnisse in Rechnernetzen eingeht. Was bei EMails noch als Überwachung von Individualkommunikation nachvollziehbar scheint, wird bei einer typischen Kundenanbindung über PPP oder SLIP zum Alptraum des Providers. Und beim Chat im Internet, offensichtlich einer 'Telekommunikommunikationsverbindung mit mehr als einer Gegenstelle', müßten wohl nach § 3 (5) a TKÜV auch Kenndaten und Texte aller anderen Teilnehmer erfaßt und übermittelt werden.

Jörg Tauss
Nach Ansicht des SPD-Bundestagsabgeordneten Jörg Tauss 'scheint dem Bundesinnenminister Manfred Kanther jegliches Maß verlorengegangen zu sein'. Er kritisiert auch die trotz aller Gesetzesänderungen und -verabschiedungen fortwährende Rechtsunsicherheit: 'Aufgrund widersprüchlicher Definitionen des jeweiligen Geltungsbereiches, die dem TKG, dem TK-Begleitgesetz, dem IuKDG und nun der TKÜV zugrunde liegen, ist es nun - wieder einmal - den Gerichten überlassen, ob die Auflagen auch für die neuen Informations- und Kommunikationsmöglichkeiten, beispielsweise die Nutzung der elektronischen Post, gilt oder ob hierfür das Informations- und Kommunikationsdienste-Gesetz herangezogen wird.'

Die TKÜV macht nicht hinreichend deutlich, was für elektronische Kommunikationsformen nun einschlägig ist und was nicht. Deutlich sind lediglich die Willenserklärungen der Bundesregierung nach lückenloser Überwachung. Die Provider stehen vor einem Dilemma: Sollen sie die Überwachungseinrichtungen aufbauen, wozu sie möglicherweise doch nicht verpflichtet sind, oder abwarten und empfindliche Bußgelder riskieren? Das Problem: kaum ein kleiner Provider verfügt über genug Mittel für einen Musterprozeß, und größere Provider schreckten bislang ebenfalls davor zurück. Solche Verfahren sind ohnehin ein schlechter Ersatz für klare Gesetze. Letztlich wird die Rechtsauslegung dem Durchsetzungswillen der an der Überwachung interessierten Stellen oder ihren 'klagekräftigen' Gegnern überlassen.

Auch bei 'Auskunftsersuchen' nach § 90 TKG zeichnet sich gerichtlicher Klärungsbedarf ab: Diese Rechtsgrundlage ermächtigt Sicherheitsbehörden, über die Regulierungsbehörde Kundendaten abzurufen. Das TKG verpflichtet alle geschäftsmäßigen Telekommunikationsdiensteleister, die Rufnummern vergeben, eine entsprechende Schnittstelle vorzuhalten. Dabei bleibt offen, ob eine Vergabe von Rufnummern als EMail-Kennungen wie bei T-Online oder die Nummernvergabe etwa bei CompuServe die Pflicht zum Online-Datenzugriff nach sich zieht, oder letztlich die Internet-Telefonie Mail-Adressen oder IP-Nummern insgesamt zu Rufnummern im Sinne des Gesetzes macht.

Bedenken des Bundesdatenschutzbeauftragten [[#lit5 5]] werden von der Bundesregierung schlicht ignoriert. Tatsächlich möchte sie derartige Forderungen in einem anderen Kontext wieder neu aufgreifen. Dabei war eine solche Regelung bereits als Ergebnis der parlamentarischen Beratung des Deutschen Bundestages gestrichen worden.

Manuel Kiper
Der forschungspolitische Sprecher der Bündnisgrünen, Manuel Kiper, kritisiert die Entwicklung der letzten Jahre: 'Während die Bundesregierung von der Entfaltung von Internet und der Liberalisierung der Telekommunikation redet, konterkariert sie dies gleichzeitig mit den Überwachungsauflagen aus dem Innenministerium. Jeden noch so kleinen Provider zu Überwachungstechnik zu zwingen oder ihm den Laden zu schließen, heißt, den Markt knallhart dem Primat der Überwachung unterzuordnen. Etwas Vergleichbares gab es in anderen westlichen Staaten bisher nicht.'

Das Innenministerium (BMI) ist noch immer nicht zufrieden: Schon Anfang des Jahres hatte der Abteilungsleiter 'Innere Sicherheit' im BMI, Rupprecht, eine Änderung des Teledienstedatenschutzgesetzes (TDDSG) gefordert, um nicht nur Polizeibehörden, sondern auch Geheimdiensten ein Zugriffsrecht auf die Kundendateien der Provider zu geben [[#lit3 3]]. Auch eine deutliche Verpflichtung der Informations- und Kommunikations-Diensteleister zu Auskunftspflichten wie in § 90 TKG käme dem BMI sehr gelegen.

Ein entsprechender Artikel war kurz vor Verabschiedung dieses Gesetzes im Rahmen des IuKDG wieder gestrichen worden. Der Innenausschuß des Bundestages hatte dem nur unter der Bedingung zugestimmt, daß das BMI noch vor Ende der Legislaturperiode eine entsprechende Nachbesserung vorlegt.

Die Lektüre der TKÜV macht deutlich, daß es mittlerweile nur noch einen größeren überwachungsfreien Bereich gibt: die verschlüsselte Kommunikation im Internet. Wenn Bundesinnenminister Kanther heute noch keine Krypto-Regelung durchgesetzt hat, liegt das zum einen am Widerstand der Internet-Gemeinde und der Wirtschaft. Mindestens ebenso deutlich ist jedoch, daß er derzeit technisch und organisatorisch kaum in der Lage wäre, eine Krypto-Regulierung effektiv in die Praxis umzusetzen.

Abgelenkt von der Krypto-Debatte haben Internet-Gemeinde und Provider in den letzten Jahren die Ausdehnung der Überwachungsbefugnisse allerdings fast völlig unbeachtet gelassen. Sie waren scheinbar der Überzeugung, daß weder beabsichtigt sei, Provider zur Einrichtung von Überwachungstechnik zu zwingen, noch daß die Regulierungsbehörde dafür überhaupt die nötige Marktkenntnis habe. Um so größer nun das Erstaunen, daß der vorliegende Entwurf der TKÜV davon spricht, keinen Internet-Zugangsknoten von Überwachungsauflagen freizustellen.

Sollte sich der derzeitige Entwurf der TKÜV durchsetzen und eine weitreichende Anwendung auch auf lokale Internet-Provider finden, wären die Auswirkungen für die junge deutsche Internet-Infrastruktur dramatisch: Viele kleinere Anbieter müßten wohl vor der Investition in Überwachungstechnik kapitulieren, private Initiativen kämen vermutlich völlig zum Erliegen.

Naheliegende Folge wäre ein Trend zur Zentralisierung von Internetzugängen bei großen Anbietern wie T-Online oder AOL. Den Hardlinern der 'Inneren Sicherheit' käme das wohl gelegen: Künftige Pläne zur Überwachung von Internet-Inhalten oder Beschränkung von Kryptographie ließen sich nur erfolgversprechend durchsetzen, wenn der gesamte Datenverkehr streng kanalisiert durch eine überschaubare Zahl von Netzknoten liefe.

Auch für Mailboxsysteme sind keine großzügigen Ausnahmeregelungen zu erwarten: Das Beispiel des Thule-Mailboxnetzes der rechtsradikalen Szene hat gezeigt, wie eine geschlossene Benutzergruppe eine funktionsfähige unabhängige Kommunikationsstruktur aufbauen kann. Das BMI dürfte kaum gewillt sein, derartige überwachungsfreie Räume zu akzeptieren. (nl)

[1] Stefan Jaeger, Tatort Internet, c't 10/98, S. 204

[2] I. Ruhmann, C. Schulzki-Haddouti, Abhör-Dschungel, Geheimdienste lesen ungeniert mit ..., c't 5/98, S. 82

[3] Christiane Schulzki-Haddouti, Innenminister will Zugriff auf Stammdaten von Internet-Nutzern, c't 3/98, S. 24

[4] Stefan Felixberger, Ohr des Gesetzes, Regierung will Abhörbefugnisse drastisch erweitern, c't 11/97, S. 136

[5] 16. Tätigkeitsbericht des Bundesdatenschutzbeauftragten 1995/96

[6] M. Keukert, Nachrichten-Dienste, Auch im WWW-Zeitalter bleibt die Mailboxszene lebendig, c't 3/96, S. 280

[#anfang Seitenanfang]


Jeder Betreiber einer Telekommunikationsanlage ist verpflichtet, die Überwachung und Aufzeichnung der Telekommunikation zu ermöglichen. Das hört sich für einen privaten Mailbox-Betreiber zunächst gar nicht so schlimm an. Wer denkt schon, daß er als Betreiber einer kleinen Mailbox unter die Telekommunikationsüberwachungsverordnung (TKÜV) fällt? Eine geschäftsmäßige Gewinnabsicht ist dafür jedenfalls nicht notwendig.

Die Anzahl der privaten Mailboxen nimmt zwar mit zunehmender Verbreitung des Internet ab, viele Anwender geben aber aufgrund der persönlichen Kontakte und der vollen ISDN-Geschwindigkeit Mailboxen weiterhin dem Vorzug gegenüber dem Internet. Neben einzelnen Mailboxen sind gerade im deutschsprachigen Raum auch Mailboxnetze sehr verbreitet [6]. Dem 1993 von der c't gegründeten Mailboxnetz GerNet gehörten 1995 bis zu 2800 Mailboxen an, heute sind es immerhin noch 2200.

Die endgültige Entscheidung, ob private Mailboxen unter die Telekommunikationsüberwachungsverordnung fallen, wird in der Nachfolgeverordnung zur Fernmeldeüberwachungsverordnung geregelt werden. Möglicherweise wird das zum Horrorszenario für die kleine Mailbox von nebenan:

Neben den beträchtlichen Kosten für die Überwachungstechnik und deren Sicherung ([#k1 siehe Kasten]) gibt es noch weitere, Mailbox-spezifische Probleme: das Betriebssystem muß TCP/IP-fähig sein. Dadurch und auch durch das erzwungene Multitasking (der Mailboxbetrieb darf ja nicht bei einer Anfrage durch die Regulierungsbehörden gestört werden) ist das gute alte DOS als Betriebssystem für den Mailboxrechner endgültig tot. In vielen Mailboxen wird jedoch mit langjährig entwickelter DOS-Software gearbeitet.

TCP/IP ist notwendig, weil die Anfragen als ASCII-Datei per ftp erfolgen. Diese Datei, deren Aufbau in der Schnittstellendefinition festgelegt ist, wird zum Abfragekriterium für die (noch zu installierende?) Datenbank. Denn durch die verschiedenen bei einer Mailbox verwendeten Programme ist kein einheitliches Datenformat vorhanden. Einige interessante Daten stehen sicher nur in der User-Datenbank - und da hat jedes Mailboxprogramm sein eigenes Format. Es bleibt wohl nur der Weg, alle Daten aus den diversen Logfiles selbst zu sammeln und diese in eine Datenbank zu schreiben. Die Antwort aus der Datenbankabfrage muß dann bei der Regulierungsbehörde abgeliefert werden.

Ein paar Tage vom Jahresurlaub sollte man sich für den Besuch eines Vertreters der Regulierungsbehörde freihalten: Dann und wann kommt mal jemand vorbei und schaut sich die gesammelten Verbindungsdaten des Authentisierungs- und Verschlüsselungsgerätes (AVG) an und löscht sie anschließend. Auch zur Installation des AVGs kommt ein Mitarbeiter der Regulierungsbehörde vorbei.

Selbst der in vielen Mailboxen beliebte Gastzugang mit eingeschränkten Rechten für den User wird wohl ein Ende finden - schließlich hat der Betreiber von diesem 'Anonymous' keine persönlichen Daten. Da viele Mailboxbetreiber auch die Daten der registrierten User nicht überprüfen, sind selbst solche Einträge nicht unbedingt korrekt. In der c't-Mailbox sind beispielsweise mehrere tausend User eingetragen. Da die Benutzung kostenlos ist, vertrauen wir darauf, daß unsere Leser sich mit ihrem richtigen Namen eintragen und überprüfen das nicht. Wie sollte man auch? Bei einem Internet-Provider sieht das völlig anders aus: Dort ist jeder Kunde namentlich und mit Bankverbindung bekannt. Lutz Labs

[#anfang Seitenanfang]


Eine Kostenabschätzung für die gesetzlichen Abruf- und Abhörschnittstellen ist schwierig. Für Überwachungsmaßnahmen sind im Telekommunikationsgesetz (TKG) zwei verschiedene Möglichkeiten vorgesehen: der Zugriff auf Kundendateien nach § 90 TKG, der über die Regulierungsbehörde ausgeführt wird, und die eigentliche Überwachung der Telekommunikation (Inhalte) nach § 88 TKG.

Wer den Zugriff auf Kundendateien nicht gewährleistet, begeht eine Ordnungswidrigkeit und muß mit Geldbußen bis 20 000 DM rechnen. Die sogenannte Schnittstellenbeschreibung regelt die technischen Details, die einerseits einen zügigen Ablauf zwischen der Regulierungsbehörde und den Telekommunikationsanbietern gewährleisten und andererseits die Anonymität der abrufenden Behörde sicherstellen sollen.

Die Schnittstellenbeschreibung (Stand: September 1997) sieht folgende Anforderungen vor: Zwischen Anbieter und Regulierungsbehörde muß eine Euro-ISDN-Verbindung aufgebaut werden können. Der Anschluß ist Mitglied einer geschlossenen Benutzergruppe (GBG), die Anschlußnummer des Rufenden wird geprüft (Euro-ISDN-Merkmal CLIP); aus Sicherheitsgründen muß der Verpflichtete zurückrufen. Die Anschlußnummer darf nicht bekanntgegeben werden, aus der GBG dürfen keine Außenverbindungen möglich sein.

Ein Authentisierungs- und Verschlüsselungsgerät (AVG) chiffriert die Daten vor der Übertragung per TCP/IP. Die AVG protokollieren alle nicht autorisierten Verbindungen und Verbindungsversuche und sind von der Regulierungsbehörde abfragbar. Das Gerät muß sich in einem gesicherten Raum befinden. Die Regulierungsbehörde sendet ihre Abfragebefehle per FTP; das Abfrageformat muß der Anbieter selbst in ein für seine Datenbank verständliches Format konvertieren. Die Antwortzeit darf bei hoher Dringlichkeit nicht mehr als 60 Sekunden betragen. Störungen sind der Regulierungsbehörde unverzüglich per Telefax zu melden.

All diese Maßnahmen können recht kostenintensiv sein. Die mit dem Verfahren für die Rufnummernabfrage verbundenen Belastungen hängen stark davon ab, wie leicht sich die zu treffenden Maßnahmen in ein möglicherweise bestehendes System integrieren lassen. Daher können allgemeine Kostenschätzungen nur recht grob sein: Einrichtung eines gesonderten Euro-ISDN-Anschlusses circa 100 DM plus eine ISDN-Karte (ab 200 DM); monatliche Grundgebühren circa 45 DM, dazu wegen des Rückrufverfahrens die Verbindungskosten im Falle der Abfrage.

Der Preis eines AVG ist unbekannt, da ein entsprechendes Gerät noch nicht auf dem privaten Markt ist; voraussichtlich liegt er deutlich über 1000 DM. Bei der Aufstellung fallen mindestens weitere 1000 DM für einen sicher verschließbaren Schrank an, eventuell ist ein durch bauliche Maßnahmen geschützter Raum erforderlich, der gegebenenfalls angemietet und entsprechend ausgestattet werden muß - dessen Kosten lägen bei mindestens einmalig 30 000 DM, dazu kämen fortlaufend Miete und Stromversorgung. Für die Konvertierung der Abfragen und Antworten im besonders definierten Format muß Software entwickelt oder beschafft, getestet, integriert und betrieben werden: Aufwand mindestens 2000 DM.

Der Anbieter hat die Aktualität und Korrektheit der Kundendateien zu gewährleisten. Sofern es sich nicht um den Originalbestand handelt, muß ein Replikationsmechanismus laufen, der die ständige Aktualität sicherstellt; die Folge sind rund 2000 DM für Entwicklung, Dokumentation und Test. Hinzu kommen Ausgaben für die Sicherheit des Systems auf der Seite des Verpflichteten.

Gegebenenfalls muß der Diensteanbieter TCP/IP erst noch installieren und sich das erforderliche Know-how aneignen. Kosten: ab 2000 DM. Da die Kundendateien sicher vorzuhalten sind und der Zugriff der Regulierungsbehörde auf die entsprechende Datenbank vom Anbieter nicht protokolliert werden darf, empfiehlt sich hierfür ein gesonderter Rechner; inklusive unterbrechungsfreier Stromversorgung (USV) mindestens 4000 DM.

Als zweiten Kommunikationskanal, etwa im Falle von Störungen, sieht die Regulierungsbehörde den Informationsaustausch per Telefax vor. Falls noch kein Faxgerät vorhanden ist: 400 DM. Es ist vorgesehen, daß sensible Informationen wie die Rufnummer des Anschlusses per Einschreiben mit Rückschein oder in einem ähnlichen, vergleichsweise teuren Verfahren ausgetauscht werden.

Insgesamt summiert sich die Einrichtung des Systems auf mindestens 15 000 DM; die laufenden Kosten für den Betrieb auf mindestens 600 DM pro Jahr zuzüglich Arbeitszeit, Miete, Strom und Versicherung. Zur Wartung muß möglicherweise ein zusätzlicher, hochqualifizierter Mitarbeiter eingestellt werden, der ständig, etwa über einen Pieper, abrufbereit ist - Kosten ab 100 000 DM pro Jahr. Die Aufwendungen für den § 90 TKG sind großenteils unabhängig von der Zahl der Nutzer; lediglich die Pflege der Kundendatenbank ist aufwendiger, wenn sich die Daten häufig ändern.

Die Details der Überwachung von TK-Inhalten sollen in der Telekommunikations-Überwachungsverordnung (TKÜV) geregelt werden. Auch hier drohen Geldbußen bis 20 000 DM, wenn die entsprechenden Vorkehrungen nicht getroffen werden. Für die Aufnahme des Betriebs ohne die technischen Einrichtungen zur Überwachung können sogar Geldbußen in Millionenhöhe verhängt werden.

Der verpflichtete Anbieter muß die Überwachung und Aufzeichnung der gesamten Telekommunikation bezüglich des zu überwachenden Anschlusses ermöglichen. Er hat dabei neben den Inhalten auch Bestands- und Verbindungsdaten bereitzustellen. Angeordnete Überwachungen müssen sofort nach Entgegennahme der Anordnung möglich sein. Der Anbieter hat daher innerhalb der üblichen Geschäftszeiten jederzeit erreichbar zu sein; generell dürfen höchstens sechs Stunden verstreichen.

Die überwachende Stelle muß die Telekommunikation zeitgleich mit dem Nutzer zur Kenntnis nehmen können, benötigt also einen reservierten Netzzugang per ISDN- oder ähnlich schnell aufbaubare Wählverbindungen. Der Verpflichtete muß darüber hinaus sicherstellen, daß gleichzeitig mehr als eine Überwachungsmaßnahme für denselben Anschluß durchgeführt werden kann. Weitere technische Details sind noch nicht bekannt. Da nach der Schnittstellenbeschreibung für den Zugriff auf Kundendateien der dortige ISDN-Anschluß nicht für Zugriffe anderer Stellen zur Verfügung stehen darf, ist vermutlich eine eigene Leitung erforderlich.

Die Kosten für die zusätzliche Schnittstelle werden voraussichtlich nicht niedriger ausfallen als beim Zugriff auf Kundendateien. Auch hier ist eventuell ein teurer Mitarbeiter mit Bereitschaftsdienst erforderlich, der aber beide Aufgaben erfüllen könnte. Im Gegensatz zur Bereitstellung des Zugriffs auf die Kundendateien dürften die Kosten bei einer größeren Zahl von Kunden steigen, da entsprechend mehr Überwachungskapazitäten zur Verfügung stehen müssen. Kristian und Marit Köhntopp

[#anfang Seitenanfang]


Wie Internet-Service-Provider staatlichen Ermittlungsbehörden begegnen sollen, gehört seit jeher zu den Fragen, die sich die Betroffenen besonders ungern stellen. Die Gründe dafür sind vielfältig: Einerseits ist die Rechtslage komplex, und die Provider verfügen oft nicht über die notwendigen Kenntnisse, um mit den bereichsspezifischen Rechtsgrundlagen umzugehen. Andererseits hat es die Internet-Wirtschaft über lange Jahre nicht verstanden, ihre Interessen in Gesetzgebungsverfahren angemessen zur Sprache zu bringen. Erst im Zusammenhang mit dem sogenannten 'Multimediagesetz' (IuKDG) und dem Mediendienstestaatsvertrag ist die Lobby der Provider aktiv geworden.

Bemerkenswert ist aber auch die Tatsache, daß Polizei, Staatsanwaltschaft und andere sogenannte 'Bedarfsträger' anfangs ähnliche Berührungsängste zeigten wie die Provider. Beide Seiten schienen stillschweigend übereingekommen zu sein, sich wo immer möglich einfach zu ignorieren. Das hat sich jedoch inzwischen - für jeden erkennbar - geändert. Mit Ermittlungen gegen Provider, denen in teils spektakulären Verfahren Beihilfe zur Verbreitung von Pornographie oder beispielsweise der Untergrundzeitschrift 'radikal' vorgeworfen wurde, hat sich ein nachhaltiger Klimawechsel angekündigt.

Der Bundesgesetzgeber hat sich zwar in anerkennenswerter Weise darum bemüht, dauerhafte Störungen im Verhältnis von Staat und Providern durch das IuKDG abzuwenden. Dennoch droht der Damm zu brechen, noch bevor er seine erste Belastungsprobe bestanden hat. Der Generalbundesanwalt fordert die Provider beispielsweise auf, 'Zwangs-Proxies' zu installieren, um WWW-Verkehr im Bedarfsfalle filtern zu können. Die Verpflichtung, dies tun zu müssen, entnimmt er denselben Formulierungen des IuKDG, die das im Gesetzgebungsprozeß federführende Bundesforschungsministerium in genau gegensätzlicher Weise interpretiert.

Als wäre das nicht genug, blasen Politiker und Ermittler zum Halali auf Bestandsdaten der Provider. Es ist zwar nichts dagegen einzuwenden, wenn Ermittlungsbehörden und Jugendschützer ihren gesetzmäßigen Auftrag erfüllen. Es ist auch nachvollziehbar, daß die zuständigen Stellen dieselben modernen Technologien einsetzen wie diejenigen, die das Internet in rechtswidriger Weise nutzen. Etwas anderes ergibt sich jedoch, wenn der Zugriff auf Bestandsdaten ungebührlich erleichtert oder die Branche gar dazu angehalten werden soll, den Lauschangriff auf ihre Kunden selbst durchzuführen.

Derartige Begehrlichkeiten sind gar nicht einmal neu. Als 1995 die sogenannte 'Fernmeldeüberwachungsverordnung' (FÜV) in Kraft trat, wurde erstmals die Ansicht vertreten, auch Provider seien zur Bereitstellung einer Abhörschnittstelle verpflichtet. Die zur Umsetzung der FÜV und ihrer Rechtsgrundlagen - zunächst das Fernmeldeanlagengesetz (FAG) und später das Telekommunikationsgesetz (TKG) - zuständigen Stellen ließen im vertraulichen Dialog indes erkennen, daß eine Anwendung der FÜV auf Provider nicht gewünscht sei und auch nicht als sachdienlich angesehen werde.

Auf eine Klarstellung durch den Gesetzgeber wartet man bis heute vergebens. Die bisher naheliegendste Chance, die Rechtslage im Sinne der Internet-Branche zu präzisieren, bot sich mit dem IuKDG. Tatsächlich hört man auch immer wieder Stimmen, die behaupten, das IuKDG habe zur Lösung des Problems substantiell beigetragen. Der Wortlaut des Gesetzes stützt diese Einschätzung aber bestenfalls ansatzweise. Zum Anwendungsbereich des IuKDG heißt es zwar, daß es nicht für diejenigen Dienste gilt, die dem TKG unterfallen - womit sicher auch zum Ausdruck gebracht wird, daß Teledienste in der Regel nicht als Dienste im Sinne des TKG angesehen werden sollen. Für den rechtssuchenden Provider ist aber die bloße Möglichkeit, die Rechtslage könne im Streitfall zu seinen Gunsten ausgelegt werden, zu wenig. Auch die Tatsache, daß das BMI in einem internen Papier offenbar selbst eine Provider-freundliche Auslegung der Anwendungsbereiche von TKG und IuKDG praktiziert, ist nur bedingt hilfreich.

Dies gilt erst recht, wenn man die Schlußfolgerungen des BMI betrachtet: Das Ministerium schlägt nämlich vor, das mit dem IuKDG eingeführte Teledienste-Datenschutzgesetz (TDDSG) aufzuweichen, um in Analogie zum TKG den Zugriff auf Bestandsdaten der Provider zu eröffnen. Der ebenfalls vom BMI vorgelegte Entwurf der Telekommunikations-Überwachungsverordnung (TKÜV) spricht im übrigen eine völlig andere Sprache als das IuKDG. Aus den Regelungen im elften Teil des TKG und den Begriffsbestimmungen der TKÜV ergibt sich, daß Provider jedenfalls insoweit der Telekommunikationsüberwachung unterliegen, wie sie ihren Backbone für andere Zwecke als die bloße Zugangsvermittlung zum Internet nutzen.

Davon sind beispielsweise die Provider betroffen, die 'Virtual Private Networks' anbieten oder Internet-Telefonie planen. Die Begründung zum Entwurf der TKÜV legt darüber hinaus sogar den Schluß nahe, 'Internet-Zugangsknoten' aller Art sollten der Telekommunikationsüberwachung unterworfen werden.

Der Umfang der Mitwirkungsverpflichtungen und die Höhe der Kosten gehörten bereits während der parlamentarischen Diskussion des TKG zu den umstrittensten Themen. Schon damals wurden erhebliche Zweifel an der Verfassungskonformität der Lasten geäußert, die man Telekommunikations-Diensteleistern aufbürdete. Die Argumente gegen eine Inanspruchnahme der Wirtschaft für Zwecke der Vermeidung und Aufdeckung von Straftaten konnten sich in der Diskussion jedoch nicht durchsetzen. Die Bundesregierung wies insbesondere darauf hin, daß die von den Carriern zu treffenden Maßnahmen angesichts der im Geschäft mit Sprachtelefonie und Übertragungswegen erwarteten Umsätze nicht ins Gewicht fielen. Diese Einschätzung erwies sich jedoch als realitätsfern, denn die privaten Netzbetreiber mußten bereits in der Frühphase ihrer Tätigkeit erhebliche Investitionen für die Umrüstung ihrer Systeme aufbringen. Da die erforderliche Technologie auf dem Markt teilweise gar nicht vorhanden war, blieb einigen Unternehmen sogar nichts anderes übrig, als die erforderlichen Neuerungen selbst zu entwickeln.

Das alles könnte sich im Internet nun wiederholen, allerdings mit ungünstigeren Auswirkungen auf die Überlebensfähigkeit der betroffenen Anbieter. Vor diesem Hintergrund ist die Frage nach der Verfassungskonformität jeglicher Regelung, die Provider zur Mitwirkung bei staatlicher Verbrechensbekämpfung verpflichtet, erneut zu stellen. Das betrifft die TKÜV - sofern sie denn auf das Internet-Geschäft angewendet wird - ebenso wie die seitens des BMI geplante Änderung des TDDSG und die Zwangs-Proxies der Bundesanwaltschaft. Würde die Hürde für den Zugang zum Markt nachhaltig angehoben, läge ein Eingriff in den Schutzbereich der Berufsausübungsfreiheit des Art. 12 Abs. 1 Grundgesetz und, wenn gar die Existenz der Branche bedroht würde, eine - verfassungsrechtlich besonders brisante - Beeinträchtigung der Berufswahl vor.

Derartige Eingriffe sind nur dann zu rechtfertigen, wenn sie aufgrund vernünftiger Erwägungen des Gemeinwohls zweckmäßig erscheinen und zumutbar sind. Soweit den Providern Maßnahmen zugemutet werden, deren praktische Relevanz - wie im Falle der Zwangs-Proxies - nicht erkennbar ist, darf man bereits an der Zweckmäßigkeit zweifeln. Im Falle einer extensiven Anwendung der TKÜV auf jegliche Erscheinungsformen des Internet und auf alle Provider würde spätestens die Verhältnismäßigkeitsabwägung dem Verordnungsgeber Einhalt gebieten.

Rechtsanwalt Michael Schneider ist Vorstandsvorsitzender der Providerlobby eco e. V. sowie Leiter des Direktorats 'Regulation and Self-Regulation' der European Internet Service Provider's Association (EuroISPA).

Anzeige