Internet-Law

Onlinerecht und Bürgerrechte 2.0

6.10.13

Bundesregierung genehmigt das Abhören deutscher Provider durch den BND

Der Spiegel meldet, dass der Bundesnachrichtendienst (BND) die Datenleitungen von 25 Internetprovidern am Datenknotenpunkt De-Cix in Frankfurt anzapft. Darunter sind auch sechs deutsche Provider, nämlich 1&1, Freenet, Strato AG, QSC, Lambdanet und Plusserver. Netzpolitik.org berichtet ebenfalls. Die Maßnahmen wurden laut Spiegel vom Kanzleramt und dem Bundesinnenministerium abgezeichnet. Das entspricht insoweit der gesetzlichen Vorgabe, als Maßnahmen zur Beschränkung des Fernmeldegeheimnisses nach § 5 G10-Gesetz vom Bundesinnenminister angeordnet werden müssen (§ 10 Abs. 1 G10-Gesetz).

Nach § 5 G10-Gesetz ist es dem BND aber nur gestattet, internationale Telekommunikationsverbindungen anhand von Suchbegriffen zu durchsuchen und auszuwerten. Die Vorschrift besagt ausdrücklich, dass keine Suchbegriffe verwendet werden dürfen, die Identifizierungsmerkmale enthalten, die zu einer gezielten Erfassung bestimmter Telekommunikationsanschlüsse führen. Genau das trifft aber auf Telefonnummern, E-Mail-Adressen und IP-Adressen zu. Das gilt allerdings nicht für Telekommunikationsanschlüsse im Ausland, sofern ausgeschlossen werden kann, dass Anschlüsse, deren Inhaber oder regelmäßige Nutzer deutsche Staatsangehörige sind, gezielt erfasst werden.

Hier zeigt sich wieder einmal das Problem absoluter Geheimhaltung gepaart mit einer fehlenden (gerichtlichen) Kontrolle. BND und Bundesregierung agieren hier faktisch im rechtsfreien Raum. Eine effektive Rechtmäßigkeitskontrolle findet nicht statt.

Die Maßnahmen sind, jedenfalls soweit sie sich an deutsche Provider richten, nämlich mit hoher Sicherheit rechtswidrig. Denn über deutsche Provider wie 1&1 läuft überwiegend Kommunikation mit Inlandsbezug. Es ist technisch unmöglich, wie vom Gesetz gefordert, sicherzustellen, dass ausschließlich solche Kommunikation erfasst wird, die ausländische Anschlüsse betrifft. Wenn der BND angibt, dass er E-Mail-Adressen mit der Endung .de ausfiltert, so handelt es sich hierbei um ein von vornherein untaugliches Ausschlusskriterium. Millionen Deutsche benutzen E-Mail-Adressen die auf .com enden. Das betrifft nicht nur viele international agierende Unternehmen, sondern auch solche Privatpersonen, die E-Mail-Accounts bei großen ausländischen Anbietern wie Google oder Hotmail haben. Selbst deutsche Mailprovider wie GMX bieten E-Mail-Adressen an, die beispielsweise auf .org enden. Wenn jemand über einen deutschen Provider eine Com- Net- oder Org-Domain registriert hat, bietet der Provider den Maildienst natürlich auch über diese Domains an. Die Domainendung besagt also letztlich wenig über die Nationalität oder den Sitz eines Nutzers, zumal viele Top-Level-Domains überhaupt nicht länderspezifisch ausgerichtet sind, sondern von vornherein international.

Hinzu kommt, dass die aktuelle Fassung des G10-Gesetzes vom BVerfG noch nie überprüft worden ist. Ihre Verfassungsgemäßheit dürfte, nicht zuletzt wegen der exzessiven tatsächlichen Praxis des BND, zweifelhaft sein. Hierzu hat der Kollege Härting einen lesenswerten Beitrag verfasst.

Die geschilderten Maßnahmen hat die rot-grüne Koalition durch das Gesetz zur Neuregelung von Beschänkungen des Brief-, Post- und Fernmeldegeheimnisses vom 26. Juni 2001 überhaupt erst möglich gemacht. Denn dieses Gesetz führte die Möglichkeit ein, auch die leitungsgebundene Kommunikation zu überwachen, erweiterte die Kompetenzen u.a. auf die Bekämpfung des internationalen Terrorismus und erhöhte die zulässige Überwachungsquote auf 20 %. Diese gesetzliche Regelung aus dem Jahre 2001 stellt also die zentrale rechtliche Grundlage der Internetüberwachung durch den BND dar. Das auf den Notstandgesetzen des Jahres 1968 beruhende Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses wurde dadurch nochmals entscheidend erweitert.

posted by Stadler at 12:06  

27 Kommentare »

  1. Über die Internetknotenpunkte geht IP-Traffic und keine mit Webadressen versetzten Daten. Von daher kommt es eh wie eine Farce rüber. Und eine Reverse-IP-Ermittlung ist in den meisten Fällen eh unsinnig, weil da schon wegen des Massenhostings völlig andere und unsinnige Daten rauskommen.

    Die sollen doch einfach zugeben, dass erstmal alles abgeschnüffelt wird. Oder die Behörden sollten wenigstens glaubhaft lügen.

    Comment by Jens — 6.10, 2013 @ 12:16

  2. Aha. Die rot-grüne Bundesregierung hat das Gesetz zur Neuregelung von Beschränkungen des Brief-, Post- und Fernmeldegeheimnisses am 26. Juni 2001 verabschiedet.

    Am 26. Juni 2001.

    Und ich dachte jahrelang, wir müssen uns wegen dem 11. September 2001 überwachen lassen.

    Comment by Aha — 6.10, 2013 @ 13:11

  3. Könnte man denn als Kunde von QSC gegen die Überwachung klagen? Da ich auch .com Adressen habe, wurde ich also höchstwahrscheinlich abgehört.

    Comment by Reinhold — 6.10, 2013 @ 13:53

  4. Der Vollständigkeit halber sollte man aber sagen, dass die Anordnung das Gesetz so zu interpretieren vom derzeitigen (noch-) Innenminister stammt.

    Dass Gesetze Sicherheitslücken haben ist nichts neues (was es nicht besser macht). Dass die Bundesregierung diese ausnutzt ist in meinen Augen der eigentliche Skandal.

    Comment by Alvar — 6.10, 2013 @ 14:50

  5. …die neue alte Bundesregierung, denn es ändert sich nichts, soll es anscheinend auch nicht.

    Hier werden in Blogs alle Schreckensnachrichten aufgelistet, aber niemand klagt.

    Wo kein Kläger, da kein Richter, wo BND und Verfassungsschutz machen können, was sie wollen, machen sie es.

    Ich merke, es interessiert niemanden, das ist @Alvar, der eigentliche Skandal.

    Rechtswidrig, rechtswidrig, rechtswidrig.

    Und jetzt? Danach? Heute? NIX! Ein dummes Volk.

    Comment by Forensiker — 6.10, 2013 @ 15:04

  6. Die Nachricht kommt leider einen Monat zu spät. Vielleicht hätte es der Schwarzen Pest einige Prozent gekostet.

    Comment by Horst — 6.10, 2013 @ 16:03

  7. Plusserver (Intergenia) zumindest ist kein Access-Provider, sondern ein Server-Hoster. Auch die anderen, insbesondere Strato, bieten Hosting an. Telekom und Vodafone dagegen fehlen in der Liste, was ich bemerkenswert finde (zumindest die Telekom hostet ja auch).

    Es geht also nicht nur um Mail. Interessantes Ziel dürfte hier unter anderem der Zugriff von ausländischen IP-Adressen auf in DE gehostete Websites und andere Dienste sein. Und dann kann es doch wieder um Mail gehen, nämlich dann, wenn auf diesen in DE gemieteten Servern eigene Mailserver betrieben werden. Noch interessanter wird es dann, wenn die Server von Kunden gemietet wurden, die nicht in Deutschland ansässig sind.

    Natürlich kann man damit auch gleich die deutschen Nutzer (und Server-Mieter!) mit ausspionieren, weil’s grad so auf dem Weg liegt. Daß die angeblichen Filtermethoden nichts taugen, wurde ja schon dargelegt.

    Comment by Sabine Engelhardt — 6.10, 2013 @ 16:12

  8. Der Schwarzen Pest gerade nicht @Horst, denn wenn es heute Neuwahlen geben würde, dann würde die Union noch mehr Stimmen erhalten.

    Ein dummes Volk, ein Volk, bei dem jeder dritte Wähler über 60 Jahre alt ist. Und die haben mit dem Internet nichts am Hut, nichts mit Datenschutz, nichts mit Rechtsstaatlichkeit, sondern wollen ihre Pfründe retten.

    Die Schwarzen sind alt. Deutschland ist alt und verkrustet. Merkel wählen heißt für sie nur eines: Es bleibt alles, wie es ist. Das ist ihr Versprechen. Die Mutti!

    Da kann man nur das Kotzen kriegen und sieht einer grauen Zukunft entgegen.

    Die Zukunft ist bereits Gegenwart. Mutti!

    Comment by Forensiker — 6.10, 2013 @ 16:17

  9. Wie schön, @Sabine, daß Du wiederholst, was Stadler schon geschrieben hat. Dein Fazit erkenne ich nicht. Ich erkenne auch keine Klagewut, ich er kenne gar nichts. Was machst Du jetzt? Nix. Aha.

    Alles macht Ihr, wie sonst auch. Feine Sache!

    Ich schreibe Dir, was ich noch nie gemacht habe, im Gegensatz zu Dir, da ich natürlich immer misstrauisch war und bin -> Ich habe noch niemals eine Mail geschrieben!

    Richtig gehandelt.

    Comment by Forensiker — 6.10, 2013 @ 16:34

  10. Ps. Was man alles mit Euren Handys veranstalten kann, erzähle ich Euch nächste Woche. Ich wende mich jetzt der realen Welt zu und gehe was Feines essen. Mit realen Menschen, die es wirklich gibt. Ohne Überwachung.

    Bis dahin.

    Comment by Forensiker — 6.10, 2013 @ 16:50

  11. @Sabine Engelhardt
    Das Fehlen der Telekom ist nicht “bemerkenswert”.

    Die Telekom fehlt, weil es im Artikel um Schnüffelei am DE-CIX geht, an dem die Telekom nicht teilnimmt. Die Leitungen der Telekom schnorchelt der BND an anderer Stelle ab.

    Comment by Eumel — 7.10, 2013 @ 11:10

  12. Seit jeher (und besonders in den Anfangstagen) hatte GMX per Default eine .net Domain Angeboten, um darüber den Mailverkehr zu führen. Inzwischen werden wie wild .mail TLD für Mailadnressen angeboten.

    Da sieht man, wie unsinnig es ist, zunächst .de zu .de auszuschließen. Das reicht bei weitem nicht.

    Weiterhin wird gesagt, dass der BND in den Rest “reinschaut”, um dann nochmals auszufiltern. Das war schon mal in Diskussion, wurde aber rechtlich nicht beanstandet, wenn die Mail sofort gelöscht werden, sollte daran erkennbar sein, dass es sich um Innlandskommunikation handeln.

    Aber wie ist *das* festzustellen? Da brauchen also Terroristen in Deutschland nur .de Endungen oder im Zweifel nur deutschprachig kommunizieren und schon ist man vor BND-Schnüffelei geschützt?

    Das ist doch alles Humbug.

    Die präventive Massenüberwachung krankt schon an einem: Der Masse. Es ist unmöglich, keine Fehler zu machen. Es ist davon auszugehen, dass man Fehler bewusst einpreist, egal wie groß sie sind. Hauptsache man kann sammeln, sammeln, sammeln. Man könnte ja als Geheimdienst was verpassen…

    Comment by Aljoscha Rittner — 7.10, 2013 @ 11:12

  13. Da sich der BND sowieso nicht an bestehende Gesetze hält, ist es völlig egal, wer wann welches Gesetz erlassen hat.
    Abgesehen davon, sind die meisten Überwachungsgesetze durch die SPD oder mit Unterstützung der SPD zu Stande gekommen.

    Comment by Michael — 7.10, 2013 @ 12:00

  14. Und wenn der Provider nichts rausrücken will wie im aktuellen Fall Lavabit, dann wird genötigt dass es nur so kracht, jeden Tag 5.000 Dollar Strafe bis der SSL-Schlüssel rausgerückt wird.

    Noch wehrt sich Ladar Levison: “Levison handed over the SSL keys as an 11-page printout in 4-point type which the government called ‘illegible’.”

    Levison müsste eigentlich den Friedensnobelpreis bekommen, aber den kriegen meistens die Verbrecher.

    Demnächst auch in diesem Theater.

    Comment by Zukunftseher — 7.10, 2013 @ 13:17

  15. Wer nichts zu verbergen hat, hat doch nichts zu befürchten.
    Immer diese Grundlosen Aufreger.

    NSA Tag: Kill Obama

    Comment by Troll — 7.10, 2013 @ 13:38

  16. In welchem Verhältnis sehen sie dazu die legale Auslandskopfüberwachung, legalisiert durch rot-grüne TKÜV in 2005?

    Comment by kale — 7.10, 2013 @ 14:23

  17. während wir uns an den ganzen Datenschutz-Wahnsinn halten müssen, schert sich die Regierung kein Bisschen um den Datenschutz. Wir dürfen keine Counter verwenden bei denen die komplette IP geloggt wird und wir müssen alle darüber informieren dass wir auf unseren Seiten Cookies verwenden. Aber die Regierung? Die überwacht einfach ohne unsere Zustimmung den gesamten Traffic.

    Comment by Uncle Fenster — 8.10, 2013 @ 09:30

  18. Dumm nur, dass der BND nie erklärt hat, irgendetwas mit den Endungen von Addressen zu machen. Aber hauptsache mal was gesagt…

    Comment by ptpt — 8.10, 2013 @ 12:48

  19. Wie und wann kann denn die Überprüfung durch das BVerfG stattfinden.
    So interessant diese Artikel immer wieder sind, so fehlt doch oft die Quintessenz.

    Comment by Jürgen — 8.10, 2013 @ 17:13

  20. Seit ich weiss, dass ein Computer ein wahnsinniger Kopierer ist, ist mir die Abhoererei klar. Gibt ja Algorythmen, die eine IP scannen und aufbereiten. Da braucht man dann nur Speicher und Endanalysten. Das laesst sicht nicht mehr rueckgaengig machen.

    Es kann auch helfen. 2011 in Aegypten hatte Mubarak das Web gecapt und google hat das Fon to web entwickelt. Anrufe als mp3 speichern in der Matrix.

    Wenn man eine Loesung wollen wuerde muesste sie Universalloesung heissen.

    Abschalten ginge gar nicht mehr oder wie gross ist die Angst vor einem EP?

    Comment by qrs — 8.10, 2013 @ 20:26

  21. Ich konnte im verlinkten SPIEGEL-Artikel nicht sehen, dass dort Domain-TLD ‘.de’ als Ausschlusskriterium genannt wird.

    Es gibt übrigens technisch durchaus verlässliche Möglichkeiten, deutsche Anschlüsse von einer Analyse auszunehmen und lediglich Traffic vom und ins Ausland zu untersuchen.

    Warum unterstellt nie jemand, dass nach Recht und Gesetz gehandelt wird, sich weder Kanzleramt noch Innenministerium über das Gesetz hinwegsetzen und das technisch auch korrekt umgesetzt wird? (Okay, ich gebs zu, das ist provozierend :-)

    Comment by Thomas — 9.10, 2013 @ 08:30

  22. @Thomas:
    Die ZEIT hatte darüber berichtet, dass der BND versucht, die gesetzliche Vorgabe durch Ausfilterung von Mails mit .de-Endung zu erfüllen. Das habe ich mir nicht ausgedacht.

    Wenn es zuverlässige Möglichkeiten gibt, dann lasse ich mich gerne eines Besseren belehren. Dann erklären Sie uns doch einfach, wie es gemacht wird.

    Es geht strenggenommen nicht um deutsche Anschlüsse, sondern darum, dass keine Anschlüsse betroffen sein dürfen, deren Inhaber oder regelmäßiger Nutzer ein deutscher Staatsbürger ist. Wie macht man das bei einem Deutschen, der einen E-Mail-Account bei Hotmail hat und Mails über ein Webinterface verschickt? Bislang konnte mir das keiner erklären und Sie liefern ja jetzt auch keine Erklärung.

    Comment by Stadler — 9.10, 2013 @ 09:12

  23. Von dem Artikel in der ZEIT wusste ich nichts, ich hab ja auch an keiner Stelle vorgeworfen, dass sich das hier “ausgedacht” wurde. Ich wollte hier nicht unnötig Öl ins Feuer giesen.

    Es gäbe jedenfalls technisch beispielsweise folgende Option: Es wird Traffic mitgeschnitten, der *nicht* von oder zu deutschen IP-Adressen geht. Der gesamte IP-Adressraum im Internet ist streng organisiert, eine Zuordnung von IP zu einem Land ist einfach (und wird auch schon gemacht).
    So könnte also am DE-CIX gefiltert werden: Verbindungen zu GMX, 1&1 etc. aus dem Inland werden verworfen, alles aus dem Ausland kommend oder dahin gehend wird untersucht.

    Ich bin Informatiker, kein Jurist, aber ich denke das würde der Definition von (nicht) “regelmäßiger Nutzer ein deutscher Staatsbürger” ist, genügen, da davon auszugehen ist, dass ein deutscher Staatsbürger nicht “regelmäßiger” Nutzer einer ausländischen IP-Adresse ist.

    Comment by Thomas — 9.10, 2013 @ 17:22

  24. @Thomas:
    Folgender Beispielsfall. Ich logge mich im Web bei Hotmail oder GMail ein und verschicke eine E-Mail. Wie schließt der BND die Erfassung meiner E-Mails aus? Ein Hinweis auf eine deutsche Herkunft wird er in den Headern der Mails nicht unbedingt finden.

    Comment by Stadler — 9.10, 2013 @ 21:10

  25. E-Mail ist durch die mögliche Indirektion per Web-Mail komplizierter als anderer Traffic, dennoch ist es möglich:

    Zum einen ist abhängig vom Provider in den Headern diese Information enthalten, z.B. GMX:

    Received: from AnonPC ([188.174.123.123]) by mail.gmx.com (mrgmx002) with
    ESMTPSA (Nemesis) id 0MSv6D-abcdefg-abcde for
    ; Wed, 09 Oct 2013 14:23:25 +0200

    Soweit ich weiss ist das auch bei anderen Providern – möglicherweise nicht bei allen.

    Darüber hinaus ist der Traffic sniffbar bevor dieser per SMTP weiterverschickt wird. So wär die Source-IP einfach identifizierbar.

    Noch dazu sind von dir genannte Fälle (hotmail / gmail) wahrscheinlich noch komplizierter: Die verarbeitenden Maschinen sind nicht auf deutschem Boden. Wer ist für Aufklärung im Ausland zuständig? BND? MAD? Welche Rechtsgrundlage herrscht hier?

    Comment by Thomas — 9.10, 2013 @ 22:31

  26. Die Telekom hat großen Geschäftskunden zugesichert, deren Mails nur noch über deutsche Knotenpunkte zu senden.

    Das Kleinvieh spielt hier wohl keine Rolle.

    Comment by Till — 13.10, 2013 @ 13:36

  27. Till: Das ist seitens der Telekom sowieso allenfalls als Marketing-Gag zu bezeichnen.

    Dass die E-Mails über Server in Deutschland versendet werden, ist herzlich irrelevant, denn durch die Architektur und Funktionsweise von E-Mail kann die Telekom nicht steuern welche Kanäle E-Mails nehmen und über welche “Knotenpunkte” diese fließen. Beispiel: Schickt ein Telekom-Kunde eine Mail an Hotmail, läuft die E-Mail auf dem Weg dorthin über Wege, die eher Microsoft als die Telekom steuert. Im Falle von Hotmail ist dies z.B. über Frankfurt und New York nach Santa Clara.

    Die Telekom kann allenfalls für “intern” (gleiche Domain bzw. zwischen Telekom-Kunden) zusichern, wie die Mails übermittelt werden.

    Comment by Thomas — 13.10, 2013 @ 17:27

RSS-Feed für Kommentare zu diesem Beitrag.

Hinterlasse einen Kommentar