Die große Koalition hat auf den letzten Metern der laufenden Reform des Telekommunikationsgesetzes (TKG) noch an der Überwachungsschraube gedreht. So müssen Mobilfunknetzbetreiber künftig gewährleisten, dass Sicherheitsbehörden IMSI-Catcher zum Orten und Abhören auch in künftigen Netzen wie dem der gerade geknüpften fünften Generation (5G) einsetzen können. Dies ist den Beschlussempfehlungen der Regierungsfraktionen zu der Novelle für den federführenden Wirtschaftsausschuss des Bundestags zu entnehmen, die heise online vorliegen.

IMSI-Catcher senden mit einem stärkeren Signal als Basisstationen der offiziellen Netzbetreiber, sodass sich Handys dort einwählen und dann von der Polizei und Geheimdiensten einfacher überwacht werden können. Die Netzbetreiber müssen laut dem geplanten Paragraf 171 TKG nun auch sicherstellen, dass der Einsatz der Geräte dem Endnutzer nicht bekannt wird. Es darf also etwa keine verräterische Anzeige auf dem Display eines Mobiltelefons erscheinen, die einen potenziellen Ermittlungserfolg gefährden könnte.

Roaming unverschlüsselt

"Der hohe Sicherheitsstandard im Mobilfunkbereich bleibt durch die geforderten Mitwirkungspflichten der Provider erhalten und wird nicht geschwächt", heißt es in der 526 Seiten starken "Formulierungshilfe" für die Abgeordneten von CDU/CSU und SPD mit den Änderungen zum Entwurf der Bundesregierung für ein "Telekommunikationsmodernisierungsgesetz", die diese am Mittwoch im Wirtschaftsausschuss und am Donnerstag im Plenum beschließen sollen. Da per IMSI-Catcher nur verschlüsselte Kennungen erhoben werden könnten, sei es wichtig, dass diese "unmittelbar im Nachhinein mittels Auskunft durch den Netzbetreiber einem Endgerät zugeordnet" würden.

Der Netzbetreiber soll dem Entwurf zufolge mit dem neuen Ansatz die Korrelation einer verschlüsselten temporären Kennung zur tatsächlichen permanenten Rufnummer eines Telekommunikationsanschlusses vornehmen der "anfragenden berechtigten Stelle" verraten. So werde die genutzte Verschlüsselung weder unterlaufen noch geschwächt.

Zudem führt Schwarz-Rot eine weitere neue Pflicht für Betreiber öffentlicher Mobilfunknetze ein: Sie müssen "eine unverschlüsselte Überwachungs-Kopie in ihren Roaming-Verträgen in der EU vorsehen" m sobald entsprechende Standards existieren und in der zugehörigen Technischen Richtlinie beschrieben sind. Die Sicherheitsbehörden wollen im Falle einer Abhörberechtigung also auch mitlesen können, wenn Bürger ihres Landes verreisen. Die Klausel bleibt auf Roamingpartner in der EU beschränkt. Eine von Endnutzern selbst aufgebrachte Verschlüsselung soll unberührt bleiben.

Seehofers Wunschliste

In beiden Punkten griffen CDU/CSU und SPD Forderungen aus einer langen, heftig umstrittenen Wunschliste von Bundesinnenminister Horst Seehofer (CSU) auf. Die Pflicht zur Datenspeicherung für Anbieter "nummernunabhängiger interpersoneller Telekommunikationsdienste" wie WhatsApp, Facebook, Signal oder Threema mit ihren Messengern hat die Koalition gegenüber dem Regierungsentwurf ebenfalls erweitert.

Neben der Kennung sowie Name und Anschrift des Nutzers sind so künftig auch das Geburtsdatum und Daten zur Vergabe der Kennung beziehungsweise des Vertragsbeginns vorzuhalten. Dies gilt allerdings nur, "soweit diese Daten vom Anbieter erhoben werden". Seehofer wollte hier erreichen, dass Dienstleister "Identifizierungsmerkmale" von Nutzern nicht nur erheben, sondern auch "zu verifizieren und im Einzelfall den Sicherheitsbehörden zur Verfügung zu stellen" hätten.

Zugangsanbieter wollte der Innenminister ferner dazu verpflichten, Polizei und Geheimdienste dabei zu unterstützten, Staatstrojaner auf das Endgerät eines Verdächtigen zu bringen. Auch diese Passage findet sich in den finalen Anträgen nicht.

Passwortherausgabe und Vorratsdatenspeicherung

Eine Klausel, gegen die der Geschäftsführer des E-Mail-Anbieters mailbox.org, Peer Heinlein, bei der parlamentarischen Anhörung der Initiative protestiert hatte, haben die Regierungsfraktionen entschärft. Anbieter öffentlicher Telekommunikationsdienste müssen eine allgemeine Überwachungsschnittstelle bereithalten – ab 100.000 "Vertragspartnern" anstatt der im Entwurf vorgesegehenen Grenze von 100.000 "Nutzern". Erfasst werden soll so jede natürliche oder juristische Person, die mit dem Dienstleister einen Vertrag geschlossen hat. Unter letztere Bestimmung könnte etwa ein Geschäftskunde mit vielen tausend Mitarbeitern fallen.

Zuvor hatte Heinlein befürchtet, dass Nutzer als "schlagende Herzen" zu verstehen sein sollten. Die Überwachungsklausel hätte damit viel früher gegriffen. Der Praktiker hatte aber auch gefordert, die Grenze deutlich auf drei Millionen Teilnehmer anzuheben, damit der ganze Aufwand vertretbar werde. Bei der Zahl bleibt jedoch alles beim Alten.

Eingefügt hat die Koalition zudem die neuen Regeln zur Bestandsdatenauskunft, wonach eine Passwortherausgabe bei bestimmten, besonders schweren Straftaten greifen kann. Nach wie vor enthalten sind Vorschriften zur mehrwöchigen Vorratsdatenspeicherung, die aufgrund von Entscheidungen von Verwaltungsgerichten derzeit ausgesetzt sind.

(ds)