© unbekannt
CCDP überträgt die EU-Vorgaben zur Vorratsdatenspeicherung, die an sich nur Telefonie und E-Mail betreffen, nämlich auf Services wie Facebook-Nachrichten, Chats sowie alle anderen Kommunikatiosprotokolle.
Was da genau alles wie aufgezeichnet werden soll wird in dem 123 Seiten starken Konvolut allerdings nirgendwo spezifiziert. Es ist da stets nur von allen "Kommunikationen" die Rede, deren Verkehrsdaten sämtlich 12 Monate gespeichert werden müssen, einzelne Services werden nirgendwo spezifiziert.
Das Home Office spricht
Ganz offensichtlich ist eine umfassende Protokollierung aller Internetaktivitäten bis in jedes Detail gemeint. Das legt auch das Vorwort der britischen Innenministerin Theresa May nahe, das folgendermaßen beginnt:
"Kommunikationsdienste und Services sind in raschem Wechsel. immer mehr Kommunikationen finden im Internet statt, die auf immer mehr Services verteilt sind. Da Kriminelle das Internet immer stärker nützen, müssen wir dafür sorgen, dass Polizei und Geheimdienste auch weiterhin über die Instrumente verfügen, die sie brauchen, um den von ihnen verlangten Job zu tun."Vorratsdaten von der Briefpost
Dafür wird den Behörden durch CCDP ein neues Instrument in die Hand gedrückt, über das sie in den vergangenen zweihundert Jahren wohl noch nie verfügt haben, seit es landesweit verfügbare Briefpost gibt. In einem Gesetzkonvolut, das erklärterweise neue Kommunikationsformen erfassen soll, wird als einziger Dienst ausgerechnet die älteste Fernkommunikationsform überhaupt en detail erörtert.
In Teil drei, Artikel 28 wird erläutert was unter "postal data" zu verstehen ist: "Alles was außen auf einem Poststück geschrieben steht", also Stempeldaten, Barcodes, Adresse, Absender usw.
Obwohl der Text des Gesetzesvorschlags seit Donnerstag Nachmittag vorliegt, hält sich die Zahl der Analysen auch im Ursprungsland der Bill sehr in Grenzen. Der Grund dafür ist ein völlig abstrakt und formelhaft gehaltener Text, der mit Allgemeinplätzen nur so gespickt und durch permanente Querverweise auf andere Gesetze an Unübersichtlichkeit kaum zu überbieten ist. Auch in den Erläuterungen und Annexes werden keinerlei praktische Beispiele angeführt.
Alles was Post ist
Unter Postgut fällt alles, was mit der Post transportiert wird., also auch Postkarten, Pakete, die zugehörigen Frachtbriefe usw. Die Vorratsdatenspeicherung von E-Mails, die alle Verkehrsinformationen betrifft- wer da mit wem über welchen Provider wann Kommunikationen ausgetauscht hat - werden so eins zu eins auf den Postverkehr übertragen.
Die Möglichkeit, die Briefpost des United Kingdom flächendeckend zu protokollieren hatten die Geheimdienste Ihrer Majestät nicht einmal in den Anfängen dieses Massenkommunikationsmittels. Mittlerweile ist die Verkehrsüberwachung aber technisch möglich, weil die neuen automatischen Sortieranlagen von Rechnern gesteuert werden, die Poststücke werden von Scannern dabei elektronisch eingelesen. Auch für diese Daten soll eine zwölfmonatige Speicherfrist gelten.
Eine erste Analyse der Bürgerrechtsorganіsation Privacy International kommt zu vergleichbaren Ergebnissen.
Das nebulöse Neue
Was die "neuen Kommunikationsformen" betrifft, die erfasst werden sollen, so könnte die Bill nicht unspezifischer sein. Es werden weder Beispiele gegeben, welches Services mit einer der abstrakten Klauseln gemeint sind, noch wird irgendwo erklärt, wie der Provider bestimmte Dienste überwachen soll, die nicht in seiner Domäne liegen.
Sobald sich ein Kunde durch End-to-End-Verschlüsselung mit einem anderen Rechner verbindet, wird ein verschlüsselter Tunnel aufgebaut, der Provider kann ab dann nur sehen, dass Daten ausgetauscht werden und welchen Umfang dieser Datenaustausch hat.
Ein "https"-Login bei Facebook oder Twitter sagt immerhin noch aus, dass der betreffende User gerade über diese Netzwerke kommuniziert, aber nicht mehr. Ein Log-In bei einem "Virtual Private Network eines der vielen Anbieter rund um die Welt lässt überhaupt keine Rückschlüsse auf die Aktivitäten des Benutzers mehr zu, als den, dass er gerade irgendwas liest, ansieht, downlädt oder sonst wie mit Informationen hantiert.
Männer in der Mitte
Auf diesbezügliche Fragen im Vorfeld hatten die Beamten des "Home Office" nur stets versichert, dass dies schon funktionieren werde. Technisch gibt es dafür allerdings nur einen einzigen Ansatz und der nennt sich "Man-in-the-Middle Attack".
In diesem Fall braucht es dazu neue Server, über die der gesamte verschlüsselte Datenverkehr geroutet wird. Diese Rechner stehen zwar physisch beim Provider, werden aber von den Geheimdiensten administriert, die in Großbritannien auch für polizeiliche Überwachungsaufgaben zuständig sind.
Sobald die erste Anfrage nach Verschlüsselung seitens des Kunden erfolgt ist, schaltet sich der Überwachungsserver dazwischen. Statt eines direkten Https-Tunnels zu Facebook wird je eine Verbindung Kunde-Überwachungsserver und Überwachungsserver-Facebook aufgebaut. Die Daten liegen auf diesem Server damit in Klartext vor.
Um durch "Crowdsourcing" mehr Klarheit über den eigentlichen Inhalt des Konvoluts zu bringen, ist die Open Rights Group dabei, den Text in ein Wiki einzupflegen.
VPNs und die Unternehmen
Nichteinmal in China ist eine solche Vorgangsweise üblich, zumal verschlüsselter Datenverkehr bei Privaten über Virtual Private Networks noch eine sehr geringe Rolle spielt. Firmenkommunіkation ist hingegen ohne sichere VPNs überhaupt nicht mehr denkbar, deshalb wird wohl am spannendsten sein, was Industrie und Wirtschaft davon halten, wenn die Sicherheit ihrer Unternehmensnetze derart kompromittiert wird.
Und das in einem Land, das von einem der größten Überwachungsskandale mit tief darin verstrickten Spitzenbeamten der Polizei erschüttert wird.
Auch in Österreich gab es seitens der Behörden schon einen Vorstoss,Polizei-Equipment zum Abzapfen der Datenströme - Filter und Network-Bridges - bei den Providern zu installieren. Gesetzliche Grundlage dafür gebe es in näherer Zukunft zwar keine, da es derzeit keine Terroranschläge gebe, hatte ein Vertreter des Innenministeriums ganz unverblümt Ende Juni 2008 bei einer Diskussionsveranstaltung im Wiener Arsenal erklärt. Also wurde der "österreichische Weg" gewählt und eine "Branchenlösung" für Provider auf freiwilliger Basis vorgeschlagen. Allein die Branche war nicht dafür.
BlackBerry-Verschlüsselung geknackt
Dennoch besteht kein Zweifel, dass dieses Vorhaben der totalen, staatlichen Überwachung aller und jeder Kommunikation vollständig ernst gemeint ist. Dafür gibt es auch bereits ein Beispiel aus dem Mobilfunk.
Neben dem normalen PIN-"Messaging" also dem Austausch von Kurznachrichten, die mit ein- und demselben Generalschlüssel leicht geöffnet werden können, bieten die in Großbritannien enorm verbreiteten BlackBerrys auch serienmäßig End-to-End-Verschlüsselung an, sobald ein Blackberry-Enterprise-Server im Spiel ist, der irgendwo auf der Welt stehen kann.
Sehr verkürzt gesagt, wird auch hier beim Aufbau einer verschlüsselten Verbindung im Mobilfunknetz eine Art Man-in-the-Middle-Attack gefahren. Wenn sich die Blackberrys dann auf einen gemeinsamen temporären "Sitzungsschlüssel" geeinigt haben, sind die Überwacher schon in der Kommunikation dabei.
Eine technisch wesentlich detailliertere Beschreibung des Verfahrens zum Knacken der BlackBerry-Verschlüsselung findet sich in diesem Artikel zum Thema, ebenso werden die in den einschlägigen Arbeitsgruppen tätigen Geheimdienstakteure und ihre Rollen etwas ausführlicher thematisiert.
Die zugehörigen Standards
Im European Telecom Standards Institute (ETSI) ist bereits ein diesbezüglicher Ѕtandard in Arbeit, der nur unwesentlich anders als der britische Ansatz aussieht, aber genauso funktioniert.
In den beiden ETSI-Arbeitsgruppen für Überwachungsstandards (Lawful Interception) nehmen Beamte der National Technical Assistance (NTAC) Schlüsselrollen ein. Diese Abteilung des britischen Militärgeheimdiensts Government Communication Headquarters heißt deshalb so, weil sie den Polizeibehörden technisch assistiert, indem sie die Überwachung aller Telekommunikationslinien übernimmt.
Die Parallelen der Vergangenheit
Was die Bedeutung dieses neuen britischen Vorstoßes betrifft, so wäre es grundfalsch, diesen als einen der für diese Insel typischen Überwachungsexzentrismen anzusehen.
Als die Regierung Tony Blair (Labour) im Jahr 1999 für ihr Vorhaben einer Vorratsdatenspeicherung des Telefonie- und E-Mail-Verkehrs keine Mehrheit im britischen Parlament fand, sucht man Verbündete in Europa. Und fand sie auch, denn die Franzosen waren bereits mit ähnlichen Plänen beschäftigt, dazu stießen die Schweden, unermüdlich schob auch der damalige deutsche Innenminister Otto Schily (SPD) mit an. Am Ende hatte die Blair-Regierung dann ihr Wunschgesetz in Form einer EU-Richtlinie so nebenbei in ganz Europa durchgesetzt.
Kommentare von Lesern
für unseren Newsletter an