Die Quellen-TKÜ
In der aktuellen Diskussion um den Einsatz eines „Staatstrojaners“ durch Landeskriminalämter verschiedener Bundesländer wird seitens der Sicherheitsbehörden immer damit argumentiert, dass man lediglich eine sog. Quellen-TKÜ durchführe, die richterlich genehmigt worden sei.
Was hat es also mit dieser Quellen-TKÜ auf sich? Die Quellen-Telekommunikationsüberwachung zielt auf das Abhören von IP-Telefonaten (Skype) ab. Die simple juristische Grundüberlegung dahinter ist die, dass in den Fällen, in denen eine Überwachung der herkömmlichen Telefonie nach der Strafprozessordnung zulässig ist, auch das Abhören von Internet-Telefonaten zulässig sein muss, weil es sich in beiden Fällen um Sprachtelefonie handelt, auch wenn sie technisch grundlegend unterschiedlich sind.
Das leuchtet zwar auf den ersten Blick ein, aber bereits bei der Frage der technischen Umsetzung zeigt sich, dass die Überwachung der IP-Telefonie eine ganz andere Eingriffsintensität erfordert als die der herkömmlichen Sprachtelefonie.
Schon an diesem Punkt stellt sich allerdings auch die Frage, warum man sich insbesondere im Fall von Skype nicht direkt an den Anbieter wenden kann, wie man das bei der herkömmlichen TKÜ auch macht. Hier wird seitens der deutschen Justiz immer behauptet, den Ermittlungsbehörden würde die Möglichkeit eines Zugriffs direkt über den Anbieter Skype nicht zur Verfügung stehen. Das wird beispielsweise vom Richter am Oberlandesgericht Wolfgang Bär in einer aktuellen Urteilsbesprechung ausdrücklich wieder betont (MMR 2011, 691 f.). Demgegenüber deutet die Formulierung in den Datenschutzbedingungen von Skype an, dass das Unternehmen Verkehrsdaten und Kommunikationsinhalte auf Aufforderung an die „zuständigen Behörden“ übermittelt. Andere europäische Staaten nutzen diese Möglichkeit nach Medienberichten auch.
Sollte dies tatsächlich möglich sein, wäre eine Quellen-TKÜ in jedem Fall unzulässig, weil ein Abgreifen von Gesprächsinhalten direkt bei Skype das mildere Mittel darstellt und die Quellen-TKÜ damit unverhältnismäßig wäre. Ein Aspekt den Ulf Buermeyer im „Küchenradio“ anspricht. Buermeyer, der Richter am Landgericht Berlin ist und früher wissenschaftlicher Mitarbeiter am BVerfG war, erläutert in diesem hörenswerten Format die juristischen Zusammenhänge in lockerem Plauderton.
Die Quellen-TKÜ setzt zwingend voraus, dass die Polizei auf dem Computer bzw. Endgerät des Betroffenen (heimlich) eine Software installiert, die dort vor der Verschlüsselung – also an der Quelle – die Gesprächsinhalte anzapft. Diese heimliche Infiltration eines Computers stellt einen deutlich schwerwiegenderen Eingriff dar, als die klassische Telefonüberwachung. Bereits deshalb ist die Gleichsetzung beider Arten der Telefonie problematisch. Denn man muss die verfassungsmäßige Rechtfertigung nach der Schwere des Eingriffs beurteilen und nicht danach, ob es sich in beiden Fällen um vergleichbare Formen von Telefonie handelt. Hierin liegt eines der Grundprobleme der Betrachtungsweise der Sicherheitspolitiker und Polizeibehörden.
Das Bundesverfassungsgericht hat klargestellt, dass eine Onlinedurchsuchung nur in extremen Ausnahmefällen zulässig sein soll. In der gleichen Entscheidung hat man aber die sog. Quellen-TKÜ zugelassen, wenn sichergestellt ist, dass keine weiterreichenden Überwachungsmaßnahmen durchgeführt werden.
Diese Differenzierung ist hochproblematisch, weil sich die Onlinedurchsuchung und die Quellen-TKÜ in technischer Hinsicht zunächst nicht unterscheiden, nachdem in beiden Fällen die Installation von Software auf einem Computer/Endgerät des Betroffenen erforderlich ist.
Außerdem verfügt das Strafprozessrecht bislang über keine eigenständige Rechtsgrundlage für die sog. Quellen-TKÜ, weshalb sich einige Gerichte (zuletzt beispielsweise das Landgericht Hamburg und das Landgericht Landshut) mit einer großzügigen Ausweitung des geltenden Rechts behelfen und die Maßnahme nach § 100a StPO zulassen. Hiergegen sind in der juristischen Literatur durchgreifende Bedenken vorgebracht worden, u.a. von Albrecht und Buermeyer/ Bäcker.
Es muss hier auch die Frage gestellt werden, ob die juristisch nachvollziehbare Differenzierung zwischen Onlineüberwachung und Quellen-TKÜ in technischer Hinsicht überhaupt trennscharf möglich ist. Wenn das nämlich nicht der Fall ist – und dafür sprechen die Analysen des CCC – dann ist das BVerfG in tatsächlicher Hinsicht von unzutreffenden Annahmen ausgegangen.
Update vom 13.10.11:
Ulf Buermeyer hat ein kleines Einmaleins der Quellen-TKÜ (nicht nur) für Ermittlungsrichter verfasst.
… und dann müßte das BVerfG seine ursprüngliche Entscheidung auf der Grundlage heutiger technischer Erkenntnisse und Gegebenheiten „fortschreiben“, nicht wahr?!
Comment by Barney vom Seewolf — 12.10, 2011 @ 21:55
Das von Skype angebotene Eavesdropping birgt weitere Probleme. Hier wird ja keine Quellen-TKÜ betrieben, sondern Verschlüsselung aufgehoben. Skype sagt,“oder von zuständigen Behörden dazu aufgefordert wird“. Dass heisst, das auch ohne gesetzliche Grundlage wie im ersten teil des Satzes bei „Zuständigkeit“ einer Behörde die Verschlüsselung geknackt wird, mithin die Verschlüsselung von Skype unsicher ist. Das mag im Vergleich zum Einruch in PCs ein kleineres Übel sein, aber für den Bürger ist es generell von Übel, wenn jetzt überall damit hausieren gegangen wird, dass die Ende-zu-Ende Sicherheit von Skype nicht gegeben ist.
Als Nebenkriegsschauplatz (zudem, dass der bundesdeutsche Datenschutz in seiner Gesamtheit so unwirksam ist wie die Verschlüsselung von Skype, weil bei keinem DSB moniert wurde, dass die Verfahrensbechreibungen nach §4e BDSG oder Ladnesäquivalent der angewendeten Schnüffelsoftware datenschutzrechtliche Ordnungswidrigkeiten nachweisen) taucht nun eine neue Variante des Bayernsumpfes der Sabine Leutheusser-Schnarrenberger auf: In der Bundesregierung wird Recht gebrochen, in dem man den Bundestag verhöhnt und das rechtswidrig das Zugangserschwerungsgesetz nicht anwendet (siehe Gutachten Heckmann). Die bayerische Landesvorsitzende schweigt brutalst möglich dazu, dass ihre Landespartei mitregiert in Bayern und mit für die Schlampereien und vermutlichen Rechtsbrüche in Bayern trägt. Siehe dazu:
http://www.tagesspiegel.de/politik/die-fdp-und-die-sache-mit-dem-trojaner/4747988.html
Hier tut sich ein Abgrund von Landesverrat auf, wie Adenauer sagen würde. Das wird der Todesstoß der FDP sein: 1.) Gesetze missachten, Parlament verhöhnen, 2.) Rechtsbruch in der Polizei dulden und mittragen und 3.) den Datenschutz verschlampen in der Hoffnung, dass der seriöse Datenschutz durch das fanatische Facebook-Getöse des ULDs, der im Inland ein Totalversager ist,(und der bayerischen Mitprotagonisten aus der CSU wie Aigner und Bär und diesem Netzbeirat beim Google- und Facebook-Bashing) in den Hintergrund tritt und das Schleifenlassen des Datenschutzes der Bürger vor dem deutschen Staat nicht mehr so wichtig ist. Das stinkt nach GAU und Kernschmelze bei der FDP.
Comment by Jan Dark — 12.10, 2011 @ 22:10
Alles gut uns schön direkt beim Anbieter abhören zu wollen. Das geht bei Skype, aber welcher ernstzunehmende Kriminelle benutzt das denn, oder wird es noch benutzen, wenn erstmal etabliert ist, dass Brüderchen Staat da mithört.
Auch der „Staatstrojaner aus der Dose“ bringt eher wenig, wenn man als Krimineller auf ein etwas exotischeres Betriebssystem setzt. Die individuelle SW-Entwicklung eines Trojaners dürfte regelmässig zu lange dauern.
Es ist also zu erwarten, dass man mit solchen technischen Mitteln nur die Eierdiebe fangen kann, die Skype oder Windows einsetzen. Bei Eierdieben dürften diese Methoden aber unverhältnismässig sein.
Anders mag das noch bei Mobiltelefonen aussehen: Da ist der Markt durch Monopolisten dominiert, und wohl für LI noch weitgehend abzudecken.
Aber: Bits sind bits und Verschlüsselung ist Open Source. Die Dämme sind seit mind. 1991 endgültig gebrochen.
Es ist leichtfertig nur auf Technik zu setzen, die gute alte Polizeiarbeit braucht eine Renaissance.
Comment by Ein Mensch — 13.10, 2011 @ 03:03
Jetzt mal ernsthaft. Seitdem bekannt ist, dass Skype da mitschnorcheln kann, ist das für Terroristen und Menschen mit Hirn absolutes No-Go. Hardcoreterroristen tunneln einen eignen Asterisk im Ausland durch ein VPN oder kaufen sich auf dem Flohmarkt nen Stapel Prepaidhandys und Karten, die sich nach einem Tag Nutzung wegwerfen. Echte Terroristen werden sie niemals mit sowas fangen.
Damit die Polizeistatistik trotzdem noch über Jahre gut aussieht, werden dann dafür immer öfter Rentner, Behinderte und Teenager verprügelt, damit man sie dann wegen Widerstand gegen die Verhaftung anklagen kann.
Comment by Oliver — 13.10, 2011 @ 03:11
Sehr guter Beitrag. Wegen der fehlenden strafprozessualen Eingriffsnorm erübrigt sich jeglicher weiterer Kommentar zu den Äußerungen der Innenminister der Länder, man gehe nur soweit, wie es erlaubt sei. Es ist gar nicht erlaubt, jedenfalls den Ländern nicht. Nur das BKA dürfte aufgrund des neuen BKA-Gesetzes zur Gefahrenabwehr die Infiltration mit einem Staatstrojaner vornehmen. Aber das BKA dementierte seinen Einsatz. Deshalb muss jetzt die Staatsanwaltschaft Ermittlungen aufnehmen, wer ohne Rechtfertigung den Trojaner herstellte, die Herstellung in Auftrag gab und ihn einsetzte. (§§ 303b, 202a, 25 ff. StGB)
Comment by fernetpunker — 13.10, 2011 @ 06:35
P.S. Da dürfte auch keine durch Täuschung erlangte richterliche Verfügung reinwaschen. Vorsatz ist gegeben, wie hier treffend argumentiert wird:
Nimmt man hinzu, dass laut der Analyse des CCC zumindest versucht wurde, die zusätzlichen Features des Trojaners in dessen Code zu verbergen, liegt nahe, dass zumindest die Programmierer wussten, dass sie hier über das erlaubte Maß hinausgingen. Weil aber auch Software immer nur mit den Funktionen entwickelt wird, die bestellt wurden, spricht auch viel für Vorsatz bei denen, die den Code eingesetzt haben. Damit steht eine Strafbarkeit bei allen Beteiligten zumindest im Raum.
http://www.lto.de/de/html/nachrichten/4513/vorwuerfe-wegen-spaeh-software-trojaner-kann-fuer-ermittler-zum-bumerang-werden/
Comment by fernetpunker — 13.10, 2011 @ 06:45
Skype ist kompliziert, weil es sich um ein Gemenge von Diensten handelt: Skype ist eigentlich ein Peer2Peer Netzwerk, in dem verschlüsselte Echtzeit-Datenströme von einem Rechner zum nächsten weiter geleitet werden, die dann irgendwann beim Ziel ankommen. Die Teilnehmer an dem P2P-Netzwerk sind identifiziert und authentisiert, Skype betreibt dazu etwas, das einer PKI und einem Verzeichnisdienst recht nahe kommt.
Skype implementiert auf dieser Basis eine ganze Reihe von Diensten. Der ursprüngliche Dienst ist ein kostenfreies Audio-Telefonat mit integriertem Chat. Chat und Audiodatenstrom verlaufen herbei direkt zwischen dem sendenden und empfangenden Rechner und sind verschlüsselt – eine Ausnahme besteht, wenn Sender und Empfänger beide hinter einer guten Firewall sitzen, in diesem Fall wird ein dritter Rechner (ein Client) irgendwo als Relay verwendet. Dieser Dienst ist sehr schwer abzuhören, wenn Skype nicht im Client und in der PKI Sollbruchstellen zur Kompromittierung vorsieht.
Auch neuere Skype-Dienste wie Screen Sharing, Filetransfer und so weiter basieren auf dem P2P-Protokoll und sind daher genau so leicht oder schwer abzuhören wie reine Skype-Telefonate.
Skype hat dann zum Geld verdienen angefangen, brücken zum traditionellen Telefonnetz (PSTN) zu implementieren. Diese Dienste, Skype-In und Skype-Out, sind modifizierter Skype-Client-Code mit regulärem Telefon-Equipment hinten dran. Daher funktionieren hier reguläre PSTN-Überwachungstechnologien wie von der ETSI verabschiedet.
Und schließlich hat Skype angefangen, Facebook Chat zu integrieren. Das ist ein zentraler Chat-Dienst auf der Basis des Jabber-Protokolls, und er kann zentral auf den Jabber/Skype-Übergängen angezapft werden.
Alles in allem ist das eine technisch recht komplexe Gemengelage, die die Kooperation einer ganzen Menge von Stellen erfordert, wenn man ein einheitliches Gesamtbild haben will.
Ich kann schon verstehen, daß man da lieber auf den Computer des Ziels will, weil man sich da nicht mit internationalen Konzernen und komplexer Technik auseinandersetzen muß. Außerdem ist es natürlich verführerisch, auch alles andere auf der Kiste im Zugriff zu haben. Dieselbe Situation also wie bei einem Ladendieb der vor der Auslage eines Geschäftes steht und einfach nur zulangen müßte, quasi – es könnte so einfach sein!
Comment by Kristian Köhntopp — 13.10, 2011 @ 06:57
Zufällig im Netz gefunden:
http://tinyurl.com/digitask
Siehe dort auch unbedingt Kapitel „J“!
Enjoy, Baxter
Comment by Baxter — 14.10, 2011 @ 02:20
Ich habe mal als Nichtjurist eine ganz banale Frage: Was ist eigentlich Telekommunikation im Sinne der TKÜ? Die einzige Norm, die ich nach flüchtigem Googlen finde, ist das Telekommunikationsgesetz (§3 Ziff. 22): „der technische Vorgang des Aussendens, Übermittelns und Empfangens von Signalen mittels Telekommunikationsanlagen“. Nach dieser Definition sind auch E-Mails Telekommunikation. IP-Pakete sind Signale, egal ob sie Text oder Audio transportieren. Das ist ja wohl der Standpunkt des Amtsgerichts Landhut, das „Überwachung des verschlüsselten Telekommunikationsverkehrs über HTTPS“ in seinen vor dem Landgericht angefochtenen Beschluss geschrieben hat. Und so kamen ja wohl auch jene ominösen Screenshots zustande: Das Schreiben einer E-Mail im Browserfenster wurde als Telekommunikation gewertet.
Demgegenüber steht das Landgericht anscheinend auf dem Standpunkt, daß die Telekommunikation bei einer E-Mail erst mit dem Betätigen des „Versenden“-Buttons im Browserfenster einsetzt. Dann ists für die TKÜ zu spät.
Und jetzt kommt meine rechtsdogmatische Frage: Mit welchem Recht betrachtet man den Signalfluß zwischen User und Computer bei Verwendung von E-Mail noch nicht als ein „Aussenden“, bei Verwendung von VoIP aber sehr wohl? Es kann ja wohl keinen relevanten Unterschied machen, ob mein Computer Text oder Audio vor dem Versenden buffert und verschlüsselt.
Die „Aussendung“ von Chat-Nachrichten mittels Skype muß übrigens auch jeweils durch das Drücken eines Buttons bestätigt werden.
Kurz resümiert: Weiß irgendwer, was das „T“ in „TKÜ“ bedeutet und nicht bedeutet?
Comment by Stefan Heßbrüggen-Walter — 14.10, 2011 @ 02:35