Erstellt am: 2. 1. 2017 - 14:00 Uhr

Neuer ETSI-Standard zur Überwachung Sozialer Netze

Der Online-Durchsuchungsbefehl ist bereits fertig, das Interface zum Überspielen von Chats, Gruppenkommunikation etc. an die Strafverfolger wird eine komplexe Angelegenheit.

Zum Ausklang eines Jahres, in dem neue Gesetze zur Ausweitung der Überwachung quer durch Europa durchgewinkt wurden, arbeiten Beamte der EU-Kommission nun an einer Regelung zur Überwachung Sozialer Netze. Facebook und Co sollen darin nach Muster der Telekoms verpflichtet werden, auf richterliche Anordnung Kommunikationsdaten bestimmter Benutzer an die Polizeibehörden zu überspielen.

Im European Telecom Standards Institute (ETSI) ist die technische Spezifikation für den geplanten EU-weiten elektronischen Durchsuchungsbefehl bereits in revidierter Version fertig. Dieser "eWarrant" öffnet den Zugang zu einer Schnittstelle, über die dann aus dem Sozialen Netz Chatprotokolle, Verkehrsdaten et al. an die Behörden übermittelt werden sollen.

ETSI

Wie ein erster technischer Report des ETSI dazu zeigt, ist die Definition einer einheitlichen Schnittstelle zur Überwachung der unterschiedlichsten Cloud-Services, die in der Regel auch noch verschiedenen Rechtsordnungen unterliegen, eine komplexe Aufgabe.
Dementsprechend ist auf den mehr als hundert Seiten des Reports "Gesetzesmäßige Überwachung von Cloud-basierten und Virtuellen Services" denn auch durchgehend von "Herausforderungen" die Rede.

Überwachung in der Cloud

Die erste große Hürde sei schon einmal die sichere Identifikation des zu überwachenden Cloud-Providers selbst, zumal die Überlagerung mehrerer Services ja typisch für Cloud-Computing an sich sei, heißt es einleitend (S.26). Dazu kommt, dass Cloud-Services grenzüberschreitend angeboten werden, ein Überwachungsvorgang falle dadurch stets unter mehr als eine Jurisdiktion. Es sei zudem davon auszugehen, dass zur Überwachung der gesamten Kommunikation einer Person mehrere eWarrants nötig seien.

ETSI

Linkerhand steht die erlaubte Begrifflichkeit, rechts deren Bedeutung. Offenbar ist auch ein als "Test" ausgewiesener Modus für diese Überwachungsbefehle vorgesehen.

Der neue elektronische Durchsuchungsbefehl in der Beschreibungssprache XML ist eine Kombination von Datenbankfeldern samt einem Katalog definierter, möglicher Eintragungen: EU-Staat, ausstellende Behörde, inkriminierte Person und Delikt, Genehmigungsinstanzen, Gültigkeitsdauer usw. Der eWarrant ist den Abläufen bei der Ausstellung von Durchsuchungsbefehlen im wirklichen Leben direkt nachgebildet. So findet sich im ETSI-Wörterbuch der zulässigen Begriffe auch ein "Gefahr im Verzug"-Modus, mit der Flag "IsEmergency" kann die bei irgendeinem Sozialen Netz anklopfende Polizeibehörde Genehmigung berufen, die mündlich ausgestellte wurde.

ETSI

Die Cloud und die Konvention zu "Cybercrime"

Das entspricht dem im November bekannt gegebenen Vorhaben des Europarats, über ein Zusatzprotokoll der europäischen Konvention zu Cybercrime aus dem Jahr 2001 dieselbe um grenzüberschreitende Strafverfolgung zu erweitern. Ziel dabei ist, dass alle Unterzeichnerstaaten solche elektronischen Durchsuchungsbefehle länderüberschreitend akzeptieren. Die Cybercrime-Konvention wurde insgesamt von 50 Staaten weltweit unterschrieben, reicht also weit über EU-Europa hinaus.

Als Grundlage des geplanten internationalen Datenaustauschs gegen grenzüberschreitende kriminelle Gangs braucht es zuvörderst ein einheitliches Kommunikationsprotokoll wie den eWarrant für die anfordernden Behörden. Ob und wie dann etwa österreichische Provider letztendlich dem Online-Durchsuchungsbefehl eines Staatsanwalts etwa aus den Cybercrime- Unterzeichnerstaaten Panama oder Sri Lanka - und umgekehrt - Folge leisten, ist allerdings mit einem großen Fragezeichen zu versehen.

ETSI

Das seit den späten 90er Jahren für Mobilfunknetze standardisierte Interface zur Überwachung. Über HI1 (schwarz) wird der eWarrant von den Strafverfolgern an den Provider übermittelt, der daraufhin das Interface HI2 (lila) freischaltet und dorthin die Metadaten des betreffenden Benutzers überspielt. Inhaltsdaten wie etwa Telefonate, SMS oder Chatprotokolle werden auf das Interface HI3 (rot) überspielt.

Überwachungsparadigma im Zeitenwandel

Eine noch weitaus größere Hürde stellt die Standardisierung solcher Datenabgriffe dar, zumal die Cloud-Services verschiedener spezialisierter Provider "oft sehr komplex sind", da etwa Services von Drittanbietern eingebunden werden, die Kommunikationsformen ineinandergreifen und sich überlagern. Seit dem ersten ETSI-Interfacemodell zur Überwachung der damals neuen Handynetze, das aus den späten 90er Jahren stammt, wurden neuere Internetservices in dieses Überwachungsschema integriert.

Dieses Schema wurde allerdings für herkömmliche Telekomnetze entworfen, die anders als das Internet, nämlich sternförmig und zentralistisch aufgebaut sind und auch sonst nach anderen Parametern funktionieren. Die zunehmenden Schwierigkeiten, immer komplexer gelagerte TCP/IP-basierte Services von Facebook und einer wachsenden Zahl von anderen Serviceprovidern in ein solches, für den Telekombereich entwickelte Schema zu integrieren, springt bei der Lektüre förmlich in die Augen.

ETSI

Schwarz sind die Kommunikationswege der Benutzer, Geräte und Struktur der Überwachungsmaßnahmen der Strafverfolger sind rot eingezeichnet.

Bei der Überwachung des Dateiaustauschs zwischen zwei Benutzern, die bei verschiedenen Kabel-, DSL- und mobilen Internetprovidern Kunden sind und über ein Soziales Netz Daten austauschen, sind bereits mehrere Andockpunkte der Behörden nötig. Zusätzlich erschwerend ist nämlich die "nomadische Art des Zugangs": Die Benutzer greifen abwechselnd über mehrere Endgeräte wie Smartphones, Laptops oder Stand-PCs auf dieselben Cloud-Provider zu.

An diesem Diagramm, das nur eines von einer ganzen Reihe für verschiedene Fälle ist, lässt sich unschwer entnehmen, dass für die Überwachbarkeit Sozialer Netze auch ein regelrechtes und fix installiertes Netz aus Endgeräten wie Routern und Servern für die Behörden nötig ist. Diese technische Infrastruktur aber muss für den Einsatz von eWarrants bereits vorhanden sein, die Sozialen Netze sind damit sozusagen bereits aufgebohrt, das Abzapfen bestimmter Daten selbst ist dann nur noch der letzte Schritt.

Einfache Prophetien

Unschwer vorauszusagen ist deshalb, dass diese neuen ETSI-Interfaces - wie immer sie dann genau aussehen werden - per se die primären Objekte der Begierde sowohl für kriminelle wie auch für staatliche Angreifer sein werden. Im Telekombereich hatte die Einführung von Schnittstellen zur Überwachung eine Serie von Skandalen in ganz Europa als direkte Folge, der Missbrauch dieser Interfaces zum illegalen Abzapfen von Inhalts- und Metadaten geschah so gut wie immer durch interne Techniker und Entscheidungsträger.

Anders als die Überwachungsschnittstellen in hermetisch abgeschotteten, proprietären Telekomnetzen, auf die auch nur nationale Behörden Zugriff erlangen konnten, werden die neuen Interfaces grenzüberschreitend für eine Vielzahl weltweiter Strafverfolger konzipiert. Dass hier auch weitaus mehr und höherwertige Daten abgegriffen werden können, wird die Begehrlichkeiten nur noch weiter schüren, die Konsequenzen sind also absehbar.

Fazit und Ausblick

In die konzertierte Aktion der EU-Kommission gegen die Internetkonzerne - die Überwachungsregeln sind nur Teil davon - hatte sich kurz vor dem Jahreswechsel auch noch Kommissionspräsident Jean-Claude Juncker eingemischt und Facebook zu härterem Vorgehen gegen die Verbreitung von "Fake News" aufgefordert. In Deutschland ist bereits eine Art Anti-Desinformationsgesetz in Arbeit, das wird Thema des vierten und vorerst letzten Teils der Serie sein.