TKÜV: Der Staat schnüffelt in E-Mails

21.12.2004
Ab sofort müssen Internet-Service-Provider auf Anordnung der Strafverfolgungsbehörden und Geheimdienste den E-Mail- und Internet-Verkehr verdächtiger Personen überwachen können.

Kurz vor dem Besuch des irakischen Ministerpräsidenten Ijad Alawi im Dezember bei Kanzler Gerhard Schröder glühten zwischen mutmaßlichen Mitgliedern der Terrorgruppe Ansar al-Islam in Berlin, Stuttgart und Augsburg die Telefondrähte - und das Bundeskriminalamt (BKA) lauschte mit. Zum Glück: Aus den Gesprächen und hektischen Aktivitäten schlossen die Ermittler samt Generalbundesanwalt Kay Nehm auf ein geplantes Mordkomplott gegen den hohen Staatsgast und verhafteten die Verdächtigen.

Ob ihre Vermutung stimmte, weiß die Öffentlichkeit bis heute nicht. Bekannt ist aber, dass Telefonüberwachungen an der Tagesordnung sind und, wie es im Juristendeutsch heißt, durch Ermächtigungsgrundlagen geregelt werden. Zum Beispiel in Paragraph 100 a der Strafprozessordnung (StPO), der einen ganzen Katalog an relevanten Straftaten aufzählt, darunter Geldwäsche, Mord, Raub, Landesverrat oder die Gefährdung der äußeren Sicherheit. Liegt für die Strafverfolgungsbehörden ein begründeter Verdacht auf Ausführung oder Planung eines der gesetzlich definierten Verbrechen vor, können sie einen Antrag auf Überwachung stellen, der richterlich geprüft und genehmigt werden muss.

Provider vor den Karren gespannt

Während also die StPO oder das Terrorbekämpfungsgesetz besagen, welche Bedarfsträger in welchem Fall überwachen dürfen, bestimmt die seit Januar 2002 gültige Telekommunikations-Überwachungsverordnung (TKÜV) auf Grundlage des Telekommunikationsgesetzes (TKG) einen weiteren wichtigen Punkt: Sie schreibt vor, wer als Helfer für die Bespitzelung herangezogen werden kann und welche technischen Voraussetzungen er dazu mindestens erfüllen muss.

Zum Kreis der "Verpflichteten" gehören laut TKÜV alle in Deutschland aktiven Netzbetreiber und Internet-Service-Provider (ISP). Sie werden durch die Verordnung in Sachen Überwachung automatisch vor den Karren des Staates gespannt. Ein geschickter Schachzug des Gesetzgebers, denn für die Kosten der Bespitzelungstechnik müssen die Carrier und ISPs selbst aufkommen.

Weil den Bund wegen dieser auf die Anbieter abgewälzten finanziellen Bürde vermutlich das schlechte Gewissen plagte, drückte die Regulierungsbehörde für Telekommunikation und Post bei der Einhaltung der TKÜV-Richtlinien bislang beide Augen zu. Im Gegensatz zu Sprachdienstanbietern mussten E-Mail- und Internet-Provider Überwachungstechnik nicht zwingend vorhalten. Diese Schonfrist ist nun vorbei. Ab sofort sind die Provider verpflichtet, auf Anfrage der Ermittlungsbehörden nicht nur Verbindungsdaten und Inhalte von Telefonaten, sondern auch von E-Mails und Internet-Abrufen ad hoc ausleiten zu können.

In der Branche ist man über diese Zwangsverordnung wenig erbaut. "Es geht nicht an, dass der Staat mit solchen Vorgaben die Wirtschaft abwürgt", wettert Rainer Lüddemann, Geschäftsführer des Bundesverbands der regionalen und lokalen Telekommunikationsgesellschaften (Breko). Er findet es ein Unding, dass der Staat die Investitionskosten für die Überwachungstechnik auf die Anbieter abwälzt. Darüber hinaus, so Lüddemann, seien auch die anfallenden Kosten bei einer angeordneten Kontrollmaßnahme nicht durch die Erstattungssätze des Zeugenentschädigungs-Gesetzes gedeckt.

Mit der strengeren Auslegung der TKÜV ist auch der Verband der deutschen Internet-Wirtschaft, eco, nicht glücklich. "Wir sind die Hilfssheriffs des Staates", bringt Hannah Seiffert, Leiterin des Berliner Verbindungsbüros, die Rolle der Provider auf den Punkt. Man werde dazu verdonnert, originär staatliche Aufgaben zu erfüllen, ohne dafür einen Cent zu sehen, prangert sie an. Nach Berechnungen des eco müssen ISPs je nach Größe einmalig zwischen 10000 und 500000 Euro für die staatlich geforderte Sofortüberwachungstechnik investieren.

Nach Ansicht ihres Kollegen Michael Rotert, Vorstandsvorsitzender des eco und unter anderem auch Präsident der Europäischen Internet Service Provider Association, ist diese finanzielle Belastung für kleine Provider "angesichts der geringen Margen" zu hoch. Ein Argument, das auch Lüddemann teilt. "Bei dem herrschenden aggressiven Preiskampf halte ich es für kaum möglich, die Kosten auf den Verbraucher umzulegen", klagt der Breko-Sprecher.

Aktive oder passive Ausleitung

Laut Rotert hängt die Höhe der Investitionen davon ab, ob der Provider eine Software- oder Hardwarelösung zur Überwachung des E-Mail- und Internet-Verkehrs einsetzt. Bei dem Softwareansatz, der so genannten aktiven Ausleitung, wird eine Routine im Server implementiert, die den Verkehr zu und von einer bestimmten Mail- oder IP-Adresse kontrolliert und die relevanten Datenpakete dupliziert. Bei einer passiven Ausleitung, das heißt einem hardwarebasierenden System, wird das Kabel zum Server angezapft. Dabei werden die eingehenden Pakete physikalisch so kopiert und in eine Hardwarebox ausgeleitet, dass auf dem Netz keine zusätzliche und für die überwachte Zielperson verdächtige Last entsteht.

Schneller installierbar und preiswerter sind dem eco-Vorstand zufolge Softwareprodukte, die im Vergleich zur Hardwarelösung bei Upgrades und Wartungen aber mehr Aufwand bereiten. Darüber hinaus gibt es Dienstleister wie die Firma Gten, die Überwachung als Service anbieten. Insgesamt ist die Kontrolle des Datenverkehrs für die Provider kostspieliger, weil sie aus Performance-Gründen in Routern heute nicht realisierbar ist. Dagegen sind Telefon-Switches bereits ab Werk mit entsprechenden Schnittstellen ausgestattet.

Allerdings stellen sich nicht nur Provider, sondern auch Juristen die Frage, ob der hohe technische Aufwand gerechtfertigt ist. Denn während die Netzbetreiber und ISPs ihre Hausaufgaben machen müssen, hinkt der Staat hinterher. "Die in der TKÜV vorgeschriebenen Ausleitungen helfen wenig, weil die Behörden weder das Personal noch die Technik haben, um diese Datenflut prüfen zu können", sieht Rotert ein Defizit seitens der Strafverfolgung. Lediglich die Bundesbehörden seien einigermaßen ausgerüstet, während die Landeskriminalämter Projekte vor sich herschöben.

Vieles deutet also auf poli-tischen Aktionismus hin, für den angesichts der Terrorbedrohung insbesondere Bundesinnen-minister Otto Schily verantwortlich zeichnet. Nach Ansicht Roterts sind die Aussichten, dass den Behörden durch die Kontrolle des E-Mail-Verkehrs dicke Fische ins Netz gehen, eher gering. Es sei ein Leichtes, der E-Mail-Überwachung durch Spam-Filter und Verschlüsselung zu entkommen. Außerdem seien im Jahr 2003 nur 200 Anträge auf E-Mail-Überwachung von den Ermittlungsbehörden gestellt worden.

Auch Peter Schmitz, Datenschutzexperte der Kanzlei Piepenbrock und Schuster in Düsseldorf, glaubt, dass sich Hochkriminelle der E-Mail-Bespitzelung erfolgreich entziehen. "Im Prinzip wird der unschuldige Bürger oder der dumme Kleinkriminelle überwacht, die beide nicht wissen, wie sie sich davor schützen können", sieht er in der jetzigen Auslegung der TKÜV einen weiteren Schritt zu mehr Überwachung.

Die TKÜV, erinnert sich Schmitz, sei lange umstritten und umkämpft gewesen. "Mit dem 11. September ist in Sachen Überwachung aber einiges sehr viel leichter geworden", bedauert der Jurist. Die Behörden würden von ihren erweiterten Befugnissen zumindest beim Lauschangriff auf Telefonate schon regen Gebrauch machen. Zunehmend würden sie in Zukunft den E-Mail-Verkehr ausspionieren.

"Der Umfang der Telefonüberwachung nimmt jedes Jahr zu", weiß Schmitz und ist auch wegen der aktuellen Diskussion um die Vorratsdatenspeicherung in der Europäischen Union in Sorge: "Das alles zeigt, dass die Politik anscheinend bereit ist, das Thema Sicherheit vor das der Freiheit zu stellen."