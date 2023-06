Wie aus mehreren Dokumenten des technischen Komitees für Lawful Interception (TC-LI) des ETSI hervorgeht – das sich mit Standards für die Telekommunikationsüberwachung befasst – nehmen seit dem Frühjahr regelmäßig Vertreter der Automobilindustrie an den Sitzungen dieses Überwachungsgremiums teil. Die Begehrlichkeiten betreffen Daten aus der Autoelektronik, um damit gekoppelte Smartphones auszulesen oder um festzustellen, wie viele Personen gerade in einem Auto sitzen. Gefordert ist auch, dass diese Datensätze in Echtzeit geliefert werden. Das geht nur, wenn Hersteller wie Mercedes-Benz oder Volkswagen in ihrer Software entsprechende Schnittstellen für die Behörden einrichten. Die Vorarbeiten dazu seien so vielversprechend verlaufen, dass mit der technischen Umsetzung bald begonnen werden könne, heißt es dazu in einem internen Papier vom 25. April.

Der Plan folgt dem Vorbild der polizeilichen Überwachung von Mobilfunknetzen. Die dafür notwendigen Schnittstellen sind seit 20 Jahren im ETSI standardisiert. Deutschland ist in diesem von Polizei- und Geheimdienstbehörden dominierten Gremium stark vertreten. Neben dem BKA und mehreren Landeskriminalämtern nehmen der Bundesverfassungsschutz und die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) an den Sitzungen teil.

Der zugehörige technische Report TR 103 854 steht derzeit erst bei Version 1.2.1, die nächste Version sollte aber schon bald publiziert werden. In die fließen dann die aktuellen Stellungnahmen und Änderungswünsche der Mitglieder von TC LI ein. Es sind daher noch weitere Forderungen nach Meta-Daten zu erwarten. (Bild: ETSI)

Fahrgestellnummer und IMEI-Identifikation

Oberste Priorität für die Behörden hat die Verknüpfung der IMEI (International Mobile Equipment Identifier) mit der Fahrgestellnummer (VIN) des Fahrzeugs. Autohersteller und Betreiber von Fahrzeugdatenbanken sollen verpflichtet werden, IMEI, VIN und alle möglichen Metadaten des Fahrzeugs nahezu in Echtzeit an die Behörden zu liefern.

Eine Frist von sechs Stunden, wie sie auch die EU-Verordnung zum grenzüberschreitenden Datenzugriff von Ermittlungsbehörden vorsieht, sei dafür angemessen, heißt es in dem Bericht. Über diese Verordnung zur "Beweissicherung in der Cloud" verhandeln EU-Ministerrat und Parlament bereits seit 2018. Auf Druck der schwedischen Ratspräsidentschaft kam es im Januar zwar zu einer grundsätzlichen Einigung. Tatsächlich bleiben aber zentrale Streitpunkte offen, sodass unklar ist, wann und in welcher Form die Verordnung verabschiedet wird.

Auslesen gekoppelter Smartphones

Gefordert wird auch die Übermittlung der "International Mobile Subscriber Identity" (IMSI) des Telefonmoduls im Auto, die IMSI ist beispielsweise beim Dienst "We Connect" von Volkswagen über eine eSIM in der Hardware integriert. Mit einer Smartphone-App können so eine ganze Reihe von Parametern ausgelesen werden. So hat der Fahrzeugbesitzer bereits heute einen Fernzugriff auf bestimmte Funktionen der Bordelektronik, die auch Bewegungsdaten während der Fahrt oder die IDs der mit dem Infotainmentsystem gekoppelten Smartphones verarbeitet und speichert.

Aus dem Navigationssystem des Fahrzeugs wiederum sollen alle zurückgelegten oder geplanten Strecken abgeleitet werden. Da die tatsächlich gefahrenen Strecken ohnehin gespeichert werden, geht diese Forderung weit über ein Bewegungsprofil des Autos hinaus. Daraus können Rückschlüsse auf die Absichten der Person am Steuer gezogen werden. Da alle Einzelinformationen mit einem Zeitstempel versehen sind, erhalten die Strafverfolger einen direkten Einblick in die Entscheidungsfindung der überwachten Person.

Auch die Strafverfolgungsbehörden fordern den Zugriff auf diese Aufzeichnungen, wie der folgende Auszug aus ihrer Wunschliste zeigt.

Auszug aus der Liste von Datensätzen im Report TR 103 854, an denen die Strafverfolger interessiert sind. Im ETSI folgen in der Regel mehrere Versionen eines technischen Reports zum jeweiligen Themenfeld, das gerade beackert wird. In jeder Videokonferenz und bei jedem Treffen wird dann ein Wust an technischen Dokumenten abgearbeitet. (Bild: ETSI)

Überwachung im Minutentakt

"Dieses Dokument bewertet weder die Rechtskonformität der Datenanfragen, noch impliziert es, dass die Datensätze dauerhaft gespeichert werden müssen", heißt es in der Einleitung zur Auflistung der Datenkategorien, für die sich Strafverfolger und Geheimdienste interessieren. Diese vorsichtige Formulierung wurde vor dem Hintergrund einer Reihe von Urteilen des Europäischen Gerichtshofs (EuGH) gegen die Vorratsdatenspeicherung gewählt. Der EuGH hatte 2014 zunächst die EU-Richtlinie zur Vorratsdatenspeicherung für nichtig erklärt und in der Folge ein halbes Dutzend nationale Umsetzungen verworfen. Das letzte dieser Urteile erging im September 2022 gegen die Vorratsdatenspeicherung in Deutschland.

Neben Hardware-IDs wie IMEI oder Fahrgestellnummer werden nun auch die aktuellen Positionsdaten des Autos verlangt, und zwar im Minutentakt. Außerdem sollen Geschwindigkeit, Außentemperatur und der Zustand verschiedener Fahrzeugkomponenten wie Tankinhalt oder offene Fenster und Türen ausgelesen werden. Zusätzlich soll über die Bordsensorik erfasst werden, wie viele Personen gerade im Fahrzeug sitzen oder die IDs aller Smartphones, die mit dem Infotainmentsystem verbunden sind.

Dieser Auszug stammt aus dem "Liaison Report" des technischen Komitees TC LI, der im April an die technikzentrierte 3GPP-Arbeitsgruppe SA3LI ging. "LI" steht dabei für Überwachung durch Polizeibehörden, wofür in den meisten europäischen Ländern ein richterlicher Durchsuchungsbefehl erforderlich ist. Aus diesem informellen Dokument stammen die oben zitierten Informationen von TC LI über den Fortschritt des Standards. Ansonsten hält TC LI alle Vorarbeiten und Diskussionen unter Verschluss, bis ein Ergebnis vorliegt. (Bild: ETSI)

Der weitere Standardisierungsprozess

Sobald sich die rund 200 Mitglieder von TC-LI auf einen Anforderungskatalog geeinigt haben, geht der Technical Report TR 103 854 zur technischen Umsetzung an die Arbeitsgruppe SA3LI. Diese gehört zur International Telecommunication Union (ITU), die wiederum eine Unterorganisation der Vereinten Nationen ist. In diesem riesigen weltweiten Gremium läuft die Entwicklung eines Standards etwas anders ab als in einer vergleichsweise kleinen Organisation wie dem ETSI.

So müssen die technischen Dokumente der SA3LI zumindest teilweise öffentlich zugänglich sein. Die sehr wenigen Dokumente, die für die Öffentlichkeit von Interesse sind, sind in einem Wust in Änderungsanträgen zu technischen Details versteckt. Nur hier sind die Vorgaben des TC-LI in der frühen Phase der Entwicklung eines technischen Standards zu finden.

Die nächste dreitägige Konferenz von ETSI TC-LI findet am 29. Juni in Rom statt. Anfang September trifft sich das ETSI TC-LI in Sophia Antipolis an der Côte d'Azur und Ende Oktober in Sydney, Australien. Bei diesen Treffen wird die nächste Version des technischen Berichts 103 854 vereinbart.

(vza)