Grundverfahren zur Gestaltung eines Datenschutz garantierenden breitbandigen ISDN (dienstintegrierenden Digitalnetzes) zeichnet diese Artikelfolge vor. Viel Zukunftsmusik und etliches an Grundlagen vermittelt der Text, der aber gerade deshalb einen guten Überblick über den schon im Vorfeld der Einführung mit Unkenntnis und Polemik diskutierten Sektors gibt. Bereits heute, so die Autoren, erlauben juristische Datenschutzvorschriften und auch Verschlüsselung keinen ausreichenden und mit vernünftigem Aufwand überprüfbaren Datenschutz, und zwar innerhalb der vorhandenen, aber eben auch künftiger Netzstrukturen.
Immer mehr benutzen wir öffentliche Kommunikationsnetze:
- Hörfunk, Fernsehen, Videotext zum Beispiel sind Dienste, die (genauer: deren Informationen) heute vorwiegend über das Rundfunksendernetz der Deutschen Bundespost, mehr und mehr aber über das entstehende Breitbandkabelverteilnetz verteilt werden. Zweck des Breitbandkabelverteilnetzes ist die Verbesserung der Dienstqualität durch Erhöhung der verfügbaren Bandbreite: mehr empfangbare Fernsehprogramme heißt dann Kabelfernsehen, größeres Informationsangebot bei Videotext heißt dann Kabeltext.
- Fernsprechen, Bildschirmtext, elektronisches Postfach (Telebox) für elektronische Brief- und Sprachpost, Fernschreiben (Telex, Teletex), Fernkopieren (Telefax) und Fernwirken (Temex sind Dienste, die heute über das analoge Telefonnetz beziehungsweise das digitale Text- und Datennetz der Deutschen Bundespost, beginnend ab 1988 mit höherer Dienstqualität über das dann digitale "Telefonnetz" vermittelt werden. Das heutige analoge Telefonnetz und das dieselben Teilnehmeranschlußleitungen benutzende digitale "Telefonnetz", das ab 1988 in einigen Ortsnetzen und ab etwa 1993 in der ganzen Bundesrepublik entstehen wird, sind schmalbandige Netze, das heißt sie sind im Gegensatz zu breitbandigen Netzen nicht in der Lage, Bewegtbilder (zum Beispiel Fernsehen) zu übertragen.
Kommunikation nur in einer Richtung
Zur Zeit benutzen wir also zwei grundsätzlich verschiedene Typen von Netzen:
- Verteilnetze, in denen alle Teilnehmerstationen vom Netz dasselbe erhalten und jeder Teilnehmer lokal ausgewählt wird, ob und, wenn ja, was er tatsächlich empfangen will und
- Vermittlungsnetze in denen jede Teilnehmerstation vom Netz individuell nur das erhält, was der Teilnehmer angefordert oder ein anderer Teilnehmer an ihn gesendet hat.
In den realisierten und geplanten öffentlichen Verteilnetzen findet Kommunikation nur in einer Richtung, vom Netz zum Teilnehmer, statt; in Vermittlungsnetzen wird in beiden Richtungen kommuniziert.
Da langfristig ein Netz für alle Dienste, ein sogenanntes Dienste-integrierendes Netz, zumindest im Teilnehmeranschluß preiswerter als mehrere verschiedene Netze ist, und da alle verteilten Dienste auch vermittelt werden können, strebt die Deutsche Bundespost an, beginnend ab 1992 alle Dienste in einem Netz zu vermitteln [Schö 84, ScSc 84, ScS 1 84, Rose 85].
Damit auch breitbandige Dienste vermittelt zum Teilnehmer übertragen werden können, müssen neue Teilnehmeranschlußleitungen (Glasfaser) verlegt werden. Nach und nach wird dadurch ein Breitbandkabelverteilnetz überflüssig. Über ein breitbandiges dienstintegrierendes Vermittlungsnetz können nicht nur alle Dienste angeboten werden, die über ein Breitbandkabelverteilnetz und ein schmalbandiges Vermittlungsnetz zusammen angeboten werden können, sondern auch noch zusätzliche Dienste, die breitbandige Kommunikation zwischen Teilnehmern erfordern, zum Beispiel Bildfernsprechen.
Da digitale Werte in modernen technischen Systemen nicht nur leichter übertragen, sondern auch leichter verarbeitet werden können, wird das dienstintegrierende Netz ein digitales Netz sein, abgekürzt ISDN öntegrated Services Digital Network). Ersetzt das breitbandige ISDN (abgekürzt Breitband-ISDN oder B-ISDN [Steg 85] das Breitbandkabelverteilnetz, nennt es die Deutsche Bundespost Integriertes Breitbandfernmeldenetz (IBFN) [ScS1 84]. Pilotversuche zur Erprobung des IBFN sind unter der Abkürzung BIG-FON (breitbandiges integriertes Glasfaser-Fernmeldeortsnetz) bekannt [Brau 82,Brau 83].
Die geschilderte Entwicklung ist in Bild 1 etwas detaillierter dargestellt.
Nicht dargestellt und im folgenden auch nicht explizit behandelt sind Funknetze, die als Anschlußnetz für ortsbewegte Teilnehmer, als Ersatznetz in Katastrophenfällen und als Garanten grenzüberschreitender Informationsfreiheit bleibende Bedeutung haben.
Nachdem nun die geplante Entwicklung dargestellt ist, können wir uns der Frage zuwenden: Welche Auswirkungen hat sie auf den Datenschutz?
In Bild 2 ist die Endsituation der geschilderten Entwicklung dargestellt: Alle Dienste, zum Beispiel Fernsehen, Radio, Telefon, Bildschirmtext, werden über eine Glasfaser von der Vermittlungszentrale der Deutschen
Bundespost zum Netzanschluß eines Teilnehmers vermittelt.
Die Glasfaser ist diesem Teilnehmer (beziehungsweise seiner Familie oder ähnlichem) eindeutig zugeordnet und über sie wird, da es sich um ein Vermittlungsnetz handelt, nur übertragen, was von ihm oder speziell für ihn bestimmt ist. Folglich stellt die physikalische Netzadresse eine Art Personenkennzeichen dar unter dem Daten über diesen Teilnehmer gesammelt werden können.
Die dafür auf der Glasfaser in den Vermitttlungszentralen anfallenden Informationen bestehen technisch gesehen aus:
- den transportierten Nutzdaten (Bild, Ton, Text) und
- den Vermittlungsdaten (Adressen und Absender der Kommunikationspartner, Datenumfang, Dienstart, Zeit ).
Die daraus zu gewinnenden personenbezogenen Daten des Teilnehmers kann man inhaltlich gesehen einteilen in:
- Inhaltsdaten, das heißt Inhalte persönlicher Nachrichten, zum Beispiel von Telefongesprächen oder elektronischer Post.
- Interessensdaten, das heißt Informationen über das Interesse des Teilnehmers an Nachrichten, deren Inhalt nicht persönlich ist. Hierzu zählen die Beobachtungen, welche Zeitungsartikel sich der Teilnehmer schicken laßt, welche Auskünfte er aus Datenbanken, zum Beispiel Bildschirmtext, einholt und was genau er im Fernsehen sieht beziehungsweise im Radio hört.
Will der Teilnehmer zum Beispiel das Fernsehprogramm wechseln, teilt er dies über seinen Fernseher und seinen Netzabschluß der Vermittlungszentrale mit. Diese über
trägt dann statt des bisher gesehenen das angeforderte Fernsehprogramm über die Glasfaser.
Diese Daten waren bisher in Netzen überhaupt nicht zu gewinnen.
- Verkehrsdaten, also zum Beispiel wann der Teilnehmer wie lange mit wem kommuniziert. Diese können allein aus den Vermittlungsdaten gewonnen werden. Daß sie auch sensitiv sein können, zeigt: Fast täglich kommuniziert Teilnehmer A mit einem kommunistischen oder (der politischen Ausgewogenheit des Beispiels wegen) rechtsradikalen Zeitungsverlag.
Aber auch für einen Teilnehmer der in dieser Hinsicht "nichts zu verbergen hat", ergeben die Verkehrsdaten bereits interessante Bausteine für ein Persönlichkeitsbild, zum Beispiel Konsumgewohnheiten, Freundeskreis, Tagesablauf, Kontakte mit Polizei und Gesundheitsamt.
Eine Möglichkeit, an diese Daten zu gelangen, ist das Abhören der Glasfaser. Glasfasern sind zwar etwas abhörsicherer als elektrische Leitungen, aber auch ihr Abhören stellt kein schwieriges technisches Problem dar [Horg 85, Seite 36].
Noch einfacher und zudem für viele Teilnehmer auf einmal erhalten diejenigen die Daten, die sie sich direkt aus der Vermittlungszentrale beschaffen können.
Zunächst einmal Rann die Post (und damit der Staat, genauer seine Geheimdienste) als Betreiber in den Vermittlungsanlagen beliebig Daten speichern und auswerten lassen. Innerhalb weiter Grenzen darf sie dies auch, wie im Bericht der Landesbeauftragten für Datenschutz in Baden-Württemberg, Dr. Ruth Leuze, zu entnehmen ist [Leuze 83, Seite 114 vergleiche auch Leuze 84, Seite 24, 25]:. . . der Betreiber von Bildschirmtext darf über jeden Teilnehmer speichern, wann, wie lange und wie oft er auf welche Weise den Bildschirmtext in Anspruch nahm. "
Weiter können Personen (zum Beispiel Postangestellte, Wartungstechniker) oder Organisationen (zum Beispiel Hersteller), die Zugang zur Vermittlungszentrale haben oder hatten, beliebige Informationen erhalten: Vermittlungszentralen sind heute komplexe Rechensysteme mit vielfältigen Möglichkeiten zum Installieren "Trojanischer Pferde" [Home ??],das heißt von Systemteilen, die
Informationen auf verborgenen Kanälen einem nicht empfangsberechtigten Empfänger zukommen lassen lPoKI 78, Loep 85]. Das Finden "Trojanischer Pferde" ist äußerst schwierig [Thom 84] und, da eine diesbezügliche Systemüberprüfung auch nach jeder Wartungsmaßnahme nötig ist, sehr aufwendig.
Bundespost ohne Detailkenntnisse
Das Erschreckende ist, daß die Deutsche Bundespost anscheinend nicht einmal den Versuch unternehmen will, nach "Trojanischen Pferden" zu suchen, wie das folgende Beispiel der Bildschirmtextzentrale in Ulm zeigt:
Der Hersteller der Bildschirmzentrale muß den Systemaufbau der Deutschen Bundespost nicht offenlegen, was das Aufspüren" Trojanischer Pferde" vollends unmöglich macht. Der Bundesbeauftragte für den Datenschutz, Dr. Reinhold Baumann, schreibt darüber [BfD 85, Seite 25]:
"Wer Daten verarbeitet, muß die Wirkung der dafür eingesetzten Programme genau kennen. Deshalb hat es überrascht, daß der Deutschen Bundespost als Betreiber des Bildschirmtext-Systems keine umfassende Dokumentation aller eingesetzten Programme vorliegt. Zur Begründung dafür hat sie auf ihre vertraglichen Regelungen mit der Lieferfirma IBM hingewiesen. Dadurch ist es der Deutschen Bundespost verwehrt, sich genaue Kenntnis der Programme in allen Details ohne Hilfe Dritter zu verschaffen. Vor diesem Hintergrund erscheint schwer vorstellbar, wie die Deutsche Bundespost ihrer Verantwortung für die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme ° 15 Nr. 2 BDSG) gerecht
werden kan."
Da der Personenkreis, der an die im Netz, insbesondere in den Vermittlungszentralen, anfallenden Daten gelangen kann, so groß ist, wird es auch ausländischen Geheimdiensten möglich sein, die Daten zu erhalten.
Interessensdaten können außer durch Abhören der Glasfaser oder über die Vermittlungszentralen auch noch von großen Kommunikationspartnern, etwa Datenbanken oder Zeitungsverlagen, gesammelt werden, sofern diese die Identitäten der Dienstnutzer erfahren.
Vorbeugender Datenschutz
Außer durch vorbeugende technische Datenschutzmaßnahmen kann man auf den geschilderten Sachverhalt auf folgende Weise reagieren:
- Man verdrängt, bagatellisiert oder bestreitet ihn.
- Man verbietet per Gesetz das Erfassen dieser Daten oder das Erstellen von Persönlichkeitsprofilen aus ihnen (was für einen Teil der oben genannten Daten durch das Fernmeldegeheimnis bereits der Fall ist). Aber ein Verbot ist nur dann wirkungsvoll, wenn seine Einhaltung mit angemessenem Aufwand überprüft und durch Strafverfolgung gesichert und der ursprüngliche Zustand durch Schadensersatz wiederhergestellt werden kann. Beides ist in der geschilderten Situation leider nicht gegeben:
"Datendiebstahl" allgemein, speziell das direkte Abhören von Leitungen oder Kopieren von Daten aus Vermittlungsrechnern, ist kaum feststellbar, da sich an den Originaldaten nichts ändert. Ebenso ist, wie oben erwähnt, das Installieren "Trojanischer Pferde" kaum festzustellen und erst recht nicht die unerlaubte Weiterverarbeitung von Daten, die man legal (oder auch illegal) erhalten hat. Dies bedeutet, daß auch dann, wenn die Post sich an der Durchsetzung des Gesetzes zu beteiligen versucht, nicht einmal entdeckt werden kann, wenn Angestellte, Hersteller von Vermittlungszentralen oder Datenbanken, die die Identitäten der Dienstnutzer erfahren, es übertretene
Die Wiederherstellung des ursprünglichen Zustands müßte vor allem darin bestehen, alle entstandenen Daten zu löschen. Man ist aber nie sicher, ob nicht noch weitere Kopien existieren. Außerdem können sich Daten im Gedächtnis von Menschen festsetzen, wo das Löschen besser nicht angestrebt werden sollte.
Explizite Einwilligung des Teilnehmers
Man versucht, die Weiterentwicklung der Kommunikationsnetze zu verhindern, insbesondere die Errichtung dienstintegrierender Digitalnetze mit ihren gegen Angriffe anfälligen Vermittlungszentralen. Sofern aber an den durch solche Netze ermöglichten neuen Diensten und Qualitätsverbesserungen für schon existierende Dienste Interesse besteht, wird man ihre Einführung nicht verhindern können und wollen.
So bleibt nur die Möglichkeit zu untersuchen, ob durch vorbeugende (größtenteils technische)Datenschutzmaßnahmen in solchen Netzen das Erstellen von Persönlichkeitsprofilen verhindert werden kann. Dies bedeutet, daß man die Benutzung der Netze, die auf den Netzen angebotenen Dienste oder gar die Netze selbst, so weit anders gestaltet, daß von vornherein im Netz keine Möglichkeit besteht, ohne explizite Einwilligung des Teilnehmers über ihn Daten zu erfassen [Pfit 83, Riha 85].
Diskussion möglicher Einwände
Ein oft gehörter Einwand gegen vorbeugende (und deshalb nicht unterlaufbare) technische Datenschutzmaßnahmen ist, daß sie gesellschaftlich nicht wünschenswert seien, da ein Interesse bestehe, bei begründetem Verdacht das Verhalten Einzelner beobachten zu können (G- 10-Gesetz).
Hier kann man entgegnen, daß der technische Fortschritt auch auf anderen Gebieten als Kommunikationsnetzen eine Fülle neuer Überwachungstechniken hervorbringt:
- Immer kleinere und perfektere
Abhörmikrofone [Horg 85, Seite 31] oder die Abtastung von Fensterscheiben mittels Laserstrahl durch mehrere hundert Meter entfernte Geräte [Hor2 85] erlauben die Wiedergabe aller Geräusche, zum Beispiel aller Gespräche im Zimmer und am Telefon sowie des gewählten Fernseh- oder Radioprogramms.
- Die Arbeit auf Bildschirmen kann mit einem handelsüblichen Gerät im Wert von rund fünfzig US-Dollar über Entfernungen von 1000 m aufgefangen und auf einem Fernsehgerät dargestellt werden [Eck 85].
- Optische Überwachung ist durch immer bessere und billigere Kameras möglich (neben der klassischen Methode der persönlichen Verfolgung). In Zukunft erlauben vielleicht auch Aufklärungssatelliten nicht nur die Beobachtung militärischer Operationen, sondern auch die Erstellung von Bewegungsprofilen privater Bürger.
Dadurch ist eine umfassender Überwachung weniger Einzelne möglich als durch die bisherige Telefonüberwachung. Gegen manche dieser Techniken gibt es Gegenmaßnahmen, zum Beispiel sehr schmutzige Fensterscheiben gegen die Laserüberwachung oder Abschirmung von Terminals (Verfahren und Normen für letzteres sind unter den Kürzeln Comsec und Tempest bekannt [FIorg-85]). Da aber auch bisher niemand gezwungen war, am Telefon Belastendes von sich zu geben, ergibt sich nun dasselbe Problem wie mit der bisherigen Telefonüberwachung: Gerade diejenigen, die wirklich Gesetze übertreten, greifen vermutlich zu Schutzmaßnahmen, während jemand, der sich keines Unrechts bewußt ist, beobachtbar ist.
Die geplanten Kommunikationsnetze hingegen wurden nicht nur eine viel umfassendere Beobachtung Einzelner, sondern auch ohne größeren Aufwand das Beobachten der gesamten Bevölkerung ermöglichen, und zwar nicht nur durch den eigenen Staat (Geheimdienst), sondern auch Fernmeldefirmen, Systemprogrammierer, fremde Staaten (Geheimdienste) und so weiter.
Dieser Aufwandsunterschied zwischen Beobachtung über dienstintegrierende Digitalnetze und anderen Überwachungstechniken beantwortet auch den umgekehrten Einwand, ob es sich überhaupt lohne, Daten in Netzen zu schützen, ohne gleichzeitig Gegenmaßnahmen gegen alle anderen Überwachungsmöglichkeiten anzugeben und zu ergreifen.
In entferntester Zukunft könnten aber einige der anderen Überwachungssöglichkeiten zu ebenso großen Datenschutzproblemen führen. Außerdem werden einige der Daten die in Kommunikationsnetzen geschützt werden sollen, über Personalinformationssysteme, maschinenlesbare Personalausweise und ähnliches ebenfalls in Rechenanlagen gelangen. Hier ergibt sich (wie bei den Vermittlungszentralen) das Problem, daß die Einhaltung von Datenschutzgesetzen und -vereinbarungen nicht mit vernünftigem Aufwand überprüfbar ist.
Durch Verschlüsselung erreichbar?
Kommunikation wird technisch üblicherweise durch Verschlüsselung der Daten geschützt [VoKe 83]. Hier hat man zwei Strategien zur Auswahl, die leider beide Nachteile haben:
Die erste Strategie besteht darin, alle Daten jeweils zwischen benachbarten Netzknoten, das heißt Teilnehmerstationen und Vermittlungszentralen, zu verschlüsseln (Verbindungsverschlüsselung, link-by-link encryption). Dadurch erhält man durch das Abhören der Glasfaser keine
Informationen mehr. Die Nachteile sind:
- In den Vermittlungszentralen liegen alle Daten unverschlüsselt vor, von allen oben genannten möglichen Angreifern werden also nur diejenigen ausgeschlossen, die die Glasfaser abhören.
(Wir verwenden "Angreifer" als kurze Bezeichnung für jemanden, der versucht, personenbezogene Daten ohne Einwilligung des Betroffenen zu sammeln).
- Auf der Glasfaser werden etwa 560 Millionen Bit pro Sekunde übertragen. Dies ist eher oberhalb dessen, was heute mit Kryptogeräten, die auf einem für halbwegs sicher gehaltenen Kryptosystem beruhen und halbwegs preiswert sind, verschlüsselt werden kann. So verschlüsseln die schnellsten auf dem Data Encryption Standard (DES) beruhenden, auf einem Chip implementierten Geräte, 14 MBit/s [Abbr 84, DESi 84, Hors 85, KaRS 85]. Es wäre zumindest von Vorteil, wenn man Fernsehen als breitbandigen Dienst, bei dem es nicht um den Schutz von Inhalts-, sondern von Interessendaten geht, nicht verschlüsseln müßte.
Nur die Netz-, nicht die Vermittlungsdaten codiert
Die zweite Strategie ist die Daten zwischen Teilnehmerstationen verschlüsselt zu übertragen (Ende-zu-Ende-Venchlüsselung, end-to-end encryption), damit sie in der Vermittlungszentrale nicht interpretiert werden können. Die Nachteile hiervon sind:
- Durch Ende-zu-Ende-Verschlüsselung können nur die Nutzdaten, nicht die Vermittlungsdaten geschützt werden. Verkehrsdaten lassen sich also weiterhin gewinnen.
- Vor jemandem, der die Nutzdaten schon vorher kannte und nun die Vermittlungsdaten erhält, sind damit auch die Interessensdaten ungeschützt.
Insbesondere kann dieses Verfahren also nicht als Schutz vor der Post und anderen, die Zugriff auf Postrechner haben, dienen, wenn diese gleichzeitig Kommunikationspartner sind oder wenn sich die Nutzdaten in Form einer Datenbank in einem Postrechner (zum Beispiel Bildschirmtext-Zentrale in Ulm) befinden. Die Nutzdaten können zwar in verschlüsselter Form in der Datenbank abgespeichert werden, dies nützt jedoch nur etwas, wenn der Angreifer (Post beziehungsweise andere mit Zugriff auf Postrechner) die zugehörigen Schlüssel nicht kennt und auch nicht in Erfahrung bringen kann. Letzteres erscheint außer bei kleinen geschlossenen Benutzergruppen unrealistisch, da der Angreifer in große geschlossene Benutzergruppen einen Strohmann einschleusen und bei offenen Benutzergruppen als normaler Nutzdateninteressent auftreten kann.
Was bleibt zu tun?
Daneben ist auch eine Zusammenarbeit von jemandem der an Daten in der Vermittlungszentrale gelangen kann, und dem Kommunikationspartner denkbar. Dies könnte zum Beispiel vom Geheimdienst ausgehen, der über die Post die Vermittlungsdaten erhält und Kommunikationspartner, zum Beispiel Datenbanken, Zeitungsverlage, veranlaßt, ihm die Nutzdaten offenzulegen, aber auch vom Kommunikationspartner, der über Angestellte oder ähnliches Zugang zu den Vermittlungsdaten erhält.
Außerdem ist es trivialerweise sinnlos, sich mit Ende-zu-Ende-Verschlüsselung vor Kommunikationspartnern schützen zu wollen, die die Identität der Dienstnutzer im normalen Verlauf der Dienstnutzung erfahren.
- Wie bei Verbindungs-Verschlüsselung ist es auch hier recht umständlich, auch Fernsehen verschlüsseln zu müssen, um die Interessensdaten vor den Angreifern in den Vermittlungszentralen zu schützen.
Vernünftiger Aufwand für Überprüfbarkeit
Auch die üblichen kryptografischen Techniken erlauben also auf der heute üblichen und von der Deutschen Bundespost auch für die Zukunft geplanten Netzstruktur dienstintegrierender Netze keinen ausreichenden und mit vernünftigem Aufwand überprüfbaren Datenschutz für Verkehrs- und Interessensdaten vor vielen möglichen Angreifern in den Vermittlungszentralen und Kommunikationspartnern.
Die folgenden Kapital untersuchen, wie der noch fehlende Schutz durch andere Maßnahmen erreicht werden kann. Dabei muß darauf geachtet werden, daß nicht jemand, der bisher als möglicher Angreifer gar nicht auftrat, zum Beispiel Nachbarn, plötzlich Beobachtungsmöglichkeiten erhält.
Technisch gesehen ist dabei das Hauptziel, die Verkehrsdaten vor dem Betreiber der Vermittlungseinrichtungen zu schützen und sich auch gegenüber Kommunikationspartnern nicht identifizieren zu müssen. Damit sind Verkehrs- und Interessensdaten nicht nur vor diesen geschützt, sondern (und das ohne zusätzliche Verschlüsselung von nicht personenbezogenen Nutzdaten wie Fernsehen) erst recht vor anderen Angreifern in den Vermittlungseinrichtungen oder Abhörer, da alle diese höchstens genauso viel Information erhalten können wie der Betreiber selbst. Der Schutz der Inhaltsdaten wird dann zusätzlich durch Ende-zu-Ende-Verschlüsselung personenbezogener Nutzdaten erreicht.
In Kapitel 2 werden Grundverfahren mit einigen Überlegungen zu ihrer Implementierung dargestellt, und im Kapitel 3 wird untersucht, wie diese Verfahren für eine Anwendung in breitbandigen diensteintegrierenden Digitalnetzen abgeändert und ergänzt werden müssen.