Smarte Überwachung

Nutzer der digitalen Kommunikation hinterlassen immer mehr Datenströme, die von Polizei und Geheimdiensten ausgewertet werden können. Entsprechende Rechtsgrundlagen sind vor allem für Cloud-Dienste unklar oder werden umgangen. Zukünftig sollen die wachsenden Datenberge bei den Behörden sogar automatisiert ausgewertet werden.

Vor fünf Jahren prognostizierten die Innenminister einiger Mitgliedstaaten der Europäischen Union 2008 einen »digitalen Tsunami«. Die von Wolfgang Schäuble (CDU) geleitete »Zukunftsgruppe« hatte dabei allerdings keine Katastrophe im Sinn. Statt dessen zeigten sich deren Mitglieder begeistert über neue Möglichkeiten digitaler Kommunikation und sich daraus eröffnende Ermittlungsmethoden für Polizei und Geheimdienste. In einem Papier orakelte die informelle Gruppe von »gewaltigen Informationsmengen, die für öffentliche Sicherheitsorganisationen nützlich sein können«.

Die Innenminister sollten Recht behalten: Die täglich von Milliarden Nutzern hinterlassenen digitalen Datenspuren sind allein im Bereich des Mobilfunks beträchtlich. Während sich die Telekommunikationsüberwachung früher auf das Abhören von Gesprächen beschränkte, werden heute über lokationsbezogene Dienste sogar die Standorte der Teilnehmer übermittelt. Anbieter protokollieren, wenn sich Mobiltelefone innerhalb mehrerer Funkzellen bewegen, was sich auch die Deutsche Bahn bei ihrem »e-Ticketing« zunutze macht: Sie verfügt mit der Zahlung per Handy über die Daten sämtlicher Funkzellen, die der Nutzer durchfahren hat.

In welchem Umfang Polizeibehörden auf solches Material zurückgreifen, zeigten z.B. die Proteste gegen die Naziaufmärsche in Dresden im Februar 2011. Auf richterlichen Beschluß hin lieferten Provider in einer »Funkzellenabfrage« Verkehrsdaten von Gesprächen oder SMS, darunter die Nummern beteiligter Anschlüsse, Beginn und Ende einer Verbindung, IP-Adressen sowie andere genutzte Dienste. In zwei Ermittlungsverfahren wurden über eine Million Verbindungsdatensätze verarbeitet und zu mehr als 40000 Anschlüssen auch deren Inhaber ermittelt.

Diese »telekommunikative Spurensuche« funktioniert aber auch in Echtzeit: So kann registriert werden, wenn sich auffällig viele Mobiltelefone in Funkzellen einloggen, was auf Spontanversammlungen hindeuten könnte. In Deutschland ist dieses Fischen im trüben aus Datenschutzgründen nicht erlaubt. Allerdings dürfen Ermittler zur Observation von Verdächtigen oder ihrer Kontaktpersonen »stille SMS« versenden. Damit werden bei den Providern Verbindungsdaten erzeugt und gespeichert, auch wenn die angeschalteten Mobiltelefone gar nicht benutzt werden. Diese im Polizeijargon als »Ortungsimpulse« bezeichneten SMS bleiben der ausgeforschten Person verborgen; für ihre behördliche Versendung ist nicht einmal ein richterlicher Beschluß vonnöten. Anschließend kann über eine Funkzellenabfrage der Standort der Verdächtigten eruiert und ein Bewegungsprofil erstellt werden. Auf diese Weise verschickt allein die Polizei Nordrhein-Westfalens ebenso wie das Finanzminister Schäuble unterstellte Zollkriminalamt jährlich mehr als eine Viertelmillion »stiller SMS«. Einmal lokalisiert, kann zur weiteren Ausforschung der Handybesitzer danach ein »IMSI-Catcher« eingesetzt werden. Dabei handelt es sich um eine mobile Überwachungseinheit, die gegenüber dem Mobiltelefon eine besonders starke Funkzelle simuliert. Das Handy bucht sich dann automatisch dort ein. Fortan können alle über den IMSI-Catcher geführten Verbindungsdaten ausgelesen werden. Die Geräte ermöglichen auch das Abhören der Inhaltsdaten.

Im Visier: Soziale Netzwerke

Soziale Netzwerke, also Twitter, Facebook, Google+ oder StudiVZ, erfreuen sich weiter großer Beliebtheit. Alle diese Dienste müssen auf richterliche Anordnung Daten an Behörden herausgeben. Polizeiliche Ermittler und Geheimdienste sind auch auf Webseiten, Blogs und in Chaträumen unterwegs, um dort nach Vorkommnissen oder Auffälligkeiten zu suchen. Dabei geht es nicht nur um Straftaten, die im Internet begangen werden. Recherchiert wird auch, wie sich Straftaten des »wirklichen Lebens« im Internet abbilden. Hierzu gehören Betäubungsmitteldelikte, Stalking, Unterhaltspflichtverletzungen, Betrugsstraftaten, Sexualstraftaten, die Vortäuschung und Aufforderung zu Straftaten oder politisch motivierte Kriminalität.

Das »Internet der Dinge« bringt etliche weitere Nutzungsmöglichkeiten hervor, etwa die automatische Überwachung von Lagervorräten oder die Paketverfolgung im Internet. Zunehmend werden Daten auf Servern in der »Cloud« – bei externen Dienstleistern ausgelagerte und über das Internet verfügbare »Datenwolke« – abgelegt. Deren Besitzer können dann über Angebote wie »DropBox« oder »Ubuntu One« von verschiedenen Orten darauf zugreifen. Hinzu kommen Datenspuren mancher Navigationsgeräte, E-Book-Lesegeräte, Anwendungen auf Smartphones oder von Tablet-Computern, die weitere Dienste anbieten.

Polizei und Geheimdienste hinken den Entwicklungen im Bereich Neuer Medien ebenso hinterher wie das deutsche Strafgesetzbuch. Vielfach fehlt es an konkreten Bestimmungen, wenn die Herausgabe von Daten verlangt wird oder eine Überwachung erfolgen soll. Nicht immer ist klar, ob die Kommunikationsformen unter den Telekommunikationsbegriff bzw. das Fernmeldegeheimnis fallen und folglich auf Grundlage herkömmlicher Abhörparagraphen zu überwachen sind. Überdies sind bei einer Beschlagnahme von Daten, etwa bei der Kommunikation über E-Mail, in der Regel mehrere Beteiligte betroffen. Jenseits der Übertragung wird die Mail zumeist im Postfach des Senders und Empfängers gespeichert, das diese bei einem Anbieter eingerichtet haben. Wird ein Mailprogramm genutzt, liegt zudem eine Kopie auch auf dem privaten Rechner oder dem Smartphone. Werden die E-Mails dort beschlagnahmt, liegt kein Bruch des Fernmeldegeheimnisses vor. Allerdings müssen die Durchsuchungen der Rechner bzw. Mobiltelefone offen erfolgen: Heimliches Durchschnüffeln von Rechnern oder Smartphones – etwa während eines Gewahrsams oder bei einem Grenzübertritt – ist rechtswidrig.

Ähnlich ungeklärt ist die Frage, welche Rechtsgrundlagen zur Überwachung von Cloud-Diensten gelten. Fällt etwa die Übertragung einer Datei unter das Fernmeldegeheimnis, und ist beim Abhören der Verbindung das Recht auf informationelle Selbstbestimmung verletzt? Wenn sich ermittelnde Behörden selbst Zugriff auf die Server von Cloud-Anbietern verschaffen, muß überdies deren Standort berücksichtigt werden. Befinden sich diese im Ausland, wären der Einsatz von Trojaner-Programmen oder das Mitschneiden von Paßwörtern eine polizeiliche Zwangsmaßnahme auf anderem Hoheitsgebiet und damit ein Bruch internationaler Verträge. Seitens der Geheimdienste werden derartige Spionagemaßnahmen im Ausland bislang nur vom Bundesnachrichtendienst vorgenommen.

Ermittler drängeln in die Cloud

Deutsche Behörden beschäftigen sich auf mehreren Ebenen mit den Möglichkeiten der Ausforschung von Cloud-Daten. Das Bundesinnenministerium bestätigte kürzlich auf Anfrage des Bundestagsabgeordneten Andrej Hunko (Linksfraktion), daß innerhalb eines »Strategie- und Forschungszentrums Telekommunikation« (SFZ TK) ein Projekt unter dem Namen »Cloud« gestartet wurde. Ziel des Vorhabens seien »Fragestellungen zu Cloud-Computing und dessen Implikationen auf die Telekommunikationsüberwachung«. Seitens der Telekommunikationsanbieter sind die Deutsche Telekom AG und die 1&1 Internet AG beteiligt.

Das SFZ TK ist ein weiteres Beispiel für die zunehmende Verzahnung von Polizei und Geheimdiensten: Neben dem BKA und der Bundespolizei arbeitet auch hier das Bundesamt für Verfassungsschutz mit. Die Bundesregierung nennt diese Aufweichung des Trennungsgebots »Kooperationsplattform«. Die Bundesländer sind bislang nicht beteiligt. Zum Zweck der Einrichtung heißt es, die Entwicklung im Bereich der Telekommunikation sei »geprägt durch einen rasanten technologischen Wandel«. Problematisch sei, daß die Provider Netzwerkstrukturen planen und aufbauen, deren Funktionsweise den Behörden teilweise unbekannt sind. Die Schnüffler interessieren sich für die »nicht-transparente Verteilung der Daten«, auf den Servern genutzte Software, Betriebssysteme und Speichermedien. Bemängelt wird, daß viele Cloud-Dienste Daten verschlüsseln und damit dem »Zugriff der Sicherheitsbehörden« entziehen. Das SFZ TK soll auch Hilfestellung für Ermittlungen ausarbeiten, um Aufenthaltsorte von Kontaktpersonen Verdächtiger zu ermitteln. Hierbei sollen die mitgeschnittenen Verbindungsdaten helfen.

Um bei Ermittlungen erlangte Inhalte auszuwerten, befaßt sich das SFZ TK auch mit forensischen Werkzeugen. Um welche Technik es sich dabei handelt, läßt die Bundesregierung offen. In der Fragestunde des Bundestages berichtete die Bundesregierung, daß die Einrichtung an weiteren, ähnlichen Studien arbeitet. Themen sind beispielsweise »Entwicklung der Netze« oder das »Next Generation Network«.

Grenzenloser Zugriff

Da es bei der Standardisierung der Telekommunikationsüberwachung vielfach um Fragen des grenzüberschreitenden Zugriffs geht, engagieren sich die Behörden des SFZ TK überdies in internationalen Netzwerken. Eine besondere Rolle kommt dem European Telecommunications Standards Institute (ETSI) zu. Das Normungsinstitut erarbeitet seinerseits gegenwärtig einen »Technischen Report« zur Überwachung von Cloud-Diensten und sucht dafür ebenfalls die Zusammenarbeit mit der Deutschen Telekom. Als weiterer Provider wurde Telefónica-O2 angesprochen.

Das ETSI wird u.a. über Mitgliedsbeiträge sowie Zuschüsse seitens der Europäischen Union und der Europäischen Freihandelszone (EFTA) finanziert. 2011 betrug das Budget 22472000 Euro. Seit 1992 ist das Bundesministerium für Wirtschaft und Technologie Mitglied des Normungsinstituts. Die tatsächlichen Aufgaben werden aber von der Bundesnetz­agentur übernommen. Das ETSI unterhält ein »Technisches Komittee TC LI« (»Lawful Interception«; Telekommunikationsüberwachung), in dem Ermittlungsbehörden und Geheimdienste den Bedarf zukünftiger Abhörtechnologie skizzieren. Dort werden die nötigen rechtlichen Rahmenbedingungen erörtert. Aus Deutschland ist daran auch die Aachener Überwachungssparte des Utimaco-Konzerns beteiligt. Eine weitere Arbeitsgruppe »SA3 LI« setzt die im TC LI erarbeiteten Vorgaben dann in Überwachungsstandards um, die weltweit gültig sein sollen. Bei jeder Sitzung mit an Bord: Das Bundesamt für Verfassungsschutz und die Bundesnetzagentur.

Ausweislich eines Protokolls der Arbeitsgruppe »SA3 LI« zu Vorratsdatenspeicherung und Überwachung von Cloud-Daten hat im November ein Treffen in Düsseldorf stattgefunden. Ausrichtende Behörde war möglicherweise das Landesamt für Zentrale Polizeiliche Dienste (LZPD), das für seine Schnüffeldienste auch für andere Landes- und Bundespolizeien bekannt ist.

Um auch die föderale Struktur deutscher Polizeibehörden an den zahlreichen Überwachungsgremien zu beteiligen, wurde eine »Kommission Grundlagen der Überwachungstechnik« (KomGÜT) ins Leben gerufen. Alle 16 Bundesländer nehmen daran teil. An diesen »Synergien durch Abstimmungen und Kooperationen auf Bund-/ Länderebene« ist neben dem BKA und der Bundespolizei auch das Zollkriminalamt beteiligt. Auch das Bundesamt für Verfassungsschutz darf mitmachen: Um das Trennungsgebot wenigstens auf dem Papier zu gewährleisten, werden die Schlapphüte bei der KomGÜT formal als »Gäste« geführt.

Wohin mit den Daten?

Zwar hatten die Innenminister der eingangs erwähnten »Zukunftsgruppe« von Milliarden elektronischer Geräte geschwärmt, die in Echtzeit verfolgt werden könnten und dadurch sogar Verhaltensmuster erkennbar werden lassen. Jedoch steht die Polizei vor dem immensen Problem der sinnvollen Verwaltung und Analyse der Datenhalden. Eine Vorstellung von deren Umfang gibt die Industrie, die bis zum Jahr 2020 mit einer »Explosion von Unternehmensdaten um das 44fache« rechnet und wie die EU-Innenminister einen »Daten-Tsunami« kommen sieht. Auch deutsche Polizeibehörden stehen vor dem Problem, über zu viele unstrukturierte, also noch nicht bearbeitete Daten zu verfügen. Von 2007 bis 2009 hätten sich laut dem BKA-Mitarbeiter Moritz Aly die dort bestehenden Datenmengen jährlich verdoppelt, ab 2010 sei das Aufkommen sogar »explosionsartig« gestiegen. Aly ist »Produktmanager« für eine BKA-Software, mit der das angelieferte Material sortiert und verarbeitet werden kann. Diese »Inhaltliche Datenträgerauswertung« (IDA) hatte das Amt vor einem Jahr auf dem »Europäischen Polizeikongreß« in Berlin vorgestellt. In der Antwort auf eine schriftliche Anfrage von Andrej Hunko hatte die Bundesregierung erklärt, daß die Software Sprachen erkennt, doppelte Dateien ausfiltert und Schlagworte anlegt.

»Produktmanager« Aly hatte überdies von einem Einsatz der IDA auch bei der »Zusammenfassung mehrerer Ermittlungsverfahren« gesprochen. Dies würde bedeuten, daß dadurch Ähnlichkeiten in unterschiedlichen Datenquellen gesucht würden, was aus datenschutzrechtlicher Perspektive fragwürdig ist. Durch dieses »Data Mining« könnten Ermittler nach neuen Erkenntnissen suchen, indem Einträge auf »Kreuztreffer« analysiert werden: Etwa ein gleicher angerufener Telefonanschluß, das gleiche benutzte Reisebüro oder Auffälligkeiten bei finanziellen Transaktionen. Die Bundesregierung hat dieses »Data Mining« allerdings bestritten. Allerdings kommt auch beim BKA Software zum Einsatz, die Daten unterschiedlicher Herkunft durchsucht und verarbeitet. Die Rede ist von dem Programm »Analyst’s Notebook«, das von der US-Firma i2 vertrieben wird. Wie in der Industrie oder in der Forschung kann das Analysewerkzeug auch bei der Polizei zur Visualisierung von Beziehungen zwischen bestimmten Merkmalen genutzt werden. Die derart automatisierte Strafverfolgung wird vom BKA regelmäßig bei Schulungen im Ausland, darunter auch in Belarus vorgeführt.

Wohin die Reise bei der digitalen Kriminalitätsbekämpfung geht, zeigte Bundesinnenminister Hans-Peter Friedrich (CSU) im Herbst beim »symbolischen Mausklick« zur Eröffnung der neuen »Rechtsextremismusdatei«. Stolz verkündete Friedrich: »Wir haben eine sogenannte Analysefähigkeit«. Was sich dahinter verbirgt, steht im Gesetz zur Errichtung der »Rechtsextremismusdatei«: Die Rede ist von Möglichkeiten einer »erweiterten Nutzung« durch die beteiligten Polizeibehörden und Nachrichtendienste von Bund und Ländern. Zwar gibt es dafür angeblich noch keine entsprechende Analysesoftware. Jedoch ist zukünftig das automatisierte »Herstellen von Zusammenhängen zwischen Personen, Personengruppierungen, Institutionen, Objekten und Sachen« vorgesehen. Neue digitale Werkzeuge sollen für einen »Ausschluß von unbedeutenden Informationen und Erkenntnissen« sorgen. Das könnte sogar in Echtzeit passieren: Eingehende Informationen sollen »erkannten Sachverhalten« zugeordnet werden. Der Linksfraktion hatte das Bundesinnenministerium auf Nachfrage weitere Details erläutert. Demnach sollen sogar »phonetische Daten« eingespeist werden, womit wohl abgehörte Gespräche oder Vernehmungsprotokolle gemeint sind. Wie eine Suchmaschine im Internet soll die zu beschaffende Software Suchkriterien gewichten.

Ohne Rechtsgrundlage

In der »Rechtsextremismusdatei« soll auch die »statistische Auswertung der gespeicherten Daten« umgesetzt werden. Derartige Statistiken dienen der Aufstellung von Hypothesen, die der Polizei Ansatzpunkte für weitere Ermittlungen liefern sollen. Damit liegt das BKA nicht mehr weit weg von den »Smarter Cities«, wie sie der US-Multi IBM für Geheimdienste und Polizeibehörden bewirbt. IBM will sich im Bereich der »vorhersagenden Polizeiarbeit« (»Predictive Policing«) als Marktführer profilieren. Wie sich der Konzern das in der Praxis vorstellt, wird in einem Werbevideo gezeigt: Polizisten trinken gemütlich Kaffee und haben dennoch genug Zeit, vor einem vermeintlichen Delinquenten am Tatort zu warten. In der US-Stadt Memphis hatte eine jetzt von IBM aufgekaufte Firma vor acht Jahren das »Blue CRUSH«-System installiert, mit dem die dortige Polizei Straftaten vorhersehen will. Es gleicht vorhandene Polizeiberichte oder Statistiken mit Daten des Alltags ab: So werden Zahltage ebenso abgefragt wie der Wetterbericht und bestimmte Veranstaltungen. Eine Software berechnet den Polizisten daraufhin jene Orte, an denen Kriminalität wahrscheinlicher auftritt als anderswo. Dort wird die Überwachung dann verstärkt, entweder mit höherer Frequenz polizeilicher Streifen oder mit weiteren technischen Mitteln. Als Extra kann auch das »Smart Surveillance System« integriert werden, das eine automatisierte Auswertung von Aufnahmen aus dem öffentlichen Raum verspricht. Videos werden einer Bewegungsanalyse unterzogen: Personen oder Sachen können dann nach Typ, Größe, Geschwindigkeit, Ort oder Farbe gezielt gesucht werden.

Der an der Berliner Freien Universität lehrende Jurist Tobias Singelnstein hat sich daran gemacht, den »digitalen Tsunami« einer umfangreichen rechtlichen Prüfung zu unterziehen. Unter dem Titel »Möglichkeiten und Grenzen neuerer strafprozessualer Ermittlungsmaßnahmen« untersucht er das Ausmaß neuer, digitaler Ermittlungsmaßnahmen im Bereich der Telekommunikation, der Datenbeschlagnahme und der Datenverarbeitung. Die Polizeiarbeit ist demnach in einem generellen Wandel begriffen, da immer mehr heimliche Zugriffe auf die digitale Kommunikation möglich sind. Der Strafrechtler kritisiert deshalb das Fehlen einer »rechtsstaatlichen Einhegung strafprozessualer Eingriffsmaßnahmen«: Für viele der Maßnahmen gibt es schlicht noch kein Gesetz. Etliche Abhöraktionen basieren somit auf juristisch fragwürdigen Annahmen. Singelnstein fordert daher, jede Kommunikation, »die von der Vertraulichkeit des Mediums ausgeht«, dem im Grundgesetz verbrieften Fernmeldegeheimnis unterzuordnen. Hierzu gehören etwa Chats, Internetforen, Messaging-Dienste wie Skype oder Jabber oder auch die Cloud-Provider. An mehreren Stellen seiner Ausarbeitung wird das Grundrecht auf informationelle Selbstbestimmung betont. Singelnstein fordert, es zum Maßstab für die Datenverarbeitung im Strafverfahren zu machen.

Die Studie arbeitet heraus, wie das »Regel-Ausnahmeverhältnis« von offenen und verdeckten Maßnahmen aus den Fugen gerät. Die wachsenden Datensammlungen werden überdies zweckfremd genutzt. Dies gelte für Daten von Meldeämtern, Bibliotheken, Mautstellen oder dem Kraftfahrtbundesamt ebenso wie für Einträge in Polizeidatenbanken. Singelnstein weist ausdrücklich darauf hin, daß auch im strafrechtlichen Bereich »einmal erhobene Daten ohne weiteres nur für das konkrete Strafverfahren genutzt werden« dürfen, für das sie gesammelt wurden. Wie dies dennoch mißachtet wird, illustriert die massenhafte Funkzellenabfrage bei den Protesten gegen den Naziaufmarsch in Dresden 2010. Diese wurde überhaupt erst bekannt, als deren – zur Ausforschung einer vermeintlich kriminellen Antifagruppe erhobenen Datensätze – auch in andere Ermittlungsverfahren wegen geringfügiger Verstöße gegen das Versammlungsgesetz eingeflossen waren. Singelnstein fordert deshalb die stets restriktive Auslegung bestehender Befugnisse: »Rechtsstaatliche Begrenzungen führen hierbei zwangsläufig zu Beschränkungen und Mehraufwand – das ist gerade ihr Sinn.«