EU bastelt an der Hintertür zur Cloud-Überwachung

Noch sind es nur Pläne: Die EU-Standardisierungsbehörde ETSI arbeitet an einem Verfahren, um Behörden die Überwachung von Cloud-Diensten zu ermöglichen.

Noch sind es nur Pläne: Die EU-Standardisierungsbehörde ETSI arbeitet an einem Verfahren, um Behörden die Überwachung von Cloud-Diensten zu ermöglichen.

Die guten alten Zeiten sind vorbei, in denen die Absprachen zwischen Kriminellen durch einfache Gesprächsklinken an Telefonen abgehört werden konnten. Mit der Digitalisierung entstanden neue Kommunikationswege, für die nach und nach standardisierte IT-Verfahren entwickelt werden mussten. Aber mittlerweile ist es auch kein Problem mehr, Aufenthaltsorte, Rechnungsinformationen, E-Mail-Adressen, Login-Namen, SIM- IMSI- und PUK-Nummern, sowie MAC- und IP-Adressen und andere Daten zu erfassen.

Vor weitaus größere Herausforderungen stellt die Strafverfolgungsbehörden die zunehmende Verbreitung verschlüsselter Kommunikation über die Cloud. Auch wenn es bereits unter dem Stichwort Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) erste Verfahren zum Mitschneiden von Kommunikation – etwa via Skype – gibt, mangelt es vor allem in Europa, an einheitlichen Standards und Schnittstellen, die den Geheimdiensten den Zugriff ermöglichen.

Das könnte sich ändern, wenn die Pläne des ETSI (European Telecommunications Standards Institute)-Kommittees “Lawful Interception” (LI) bei der Europäischen Kommission und den Gesetzgebern auf offene Ohren stoßen. ETSI ist ein 1988 auf Initiative der EU-Kommission gegründetes Institut mit dem Ziel, europaweit einheitliche Standards im Bereich der Telekommunikation zu schaffen. Zu den über 650 Mitgliedern aus 50 Nationen gehören Netzbetreiber, Diensteanbieter, Verwaltungen, Anwender und Hersteller. Die für die technische Umsetzung verantwortliche LI-Truppe hat vor Kurzem ein Dokument veröffentlicht, das die Anforderungen von Geheimdiensten und Polizei mit dem Ziel ausformuliert, die Aktivitäten bestimmter Benutzer und Gruppen in der Cloud für die Behörden irgendeines Landes auf Verlangen freizuschalten.

Starting with the “Man in the Middle”

Das im Dokument beschriebene Verfahren setzt beim Provider des jeweiligen Nutzers an. Beim Aufbau einer  verschlüsselten Verbindung in einen Cloud-Dienst leitet das System die Anfrage automatisch an ein spezielles Datenzentrum um. Der Abhördienst übernimmt dabei die Rolle des sogenannten “Man in the middle” und lügt in beide Richtungen des HTTPS-Tunnels. Um unerkannt zu bleiben, muss er laut Erich Moechel, Netzpolitik-Experte des Österreichischen Rundfunks (ORF), “allerdings zu drastischen Mitteln greifen, über die nur professionelle Schadsoftware der Oberklasse verfügt: die Fähigkeit, Sicherheitszertifikate einer offiziellen Zertifizierungsstelle zu fälschen.” Kritisch merkt Moechel an, dass auf der Integrität dieser Zertifikate die gesamte HTTPS-Verschlüsselung basiere und damit die Sicherheit des elektronischen Finanzwesens, vom Onlinebanking angefangen bis hin zur Sicherheit von Firmennetzen.

Die Analyse des Datenstroms – Deep Packet Inspection (DPI) – ist in vielen Ländern, vor allem in Diktaturen, bereits Praxis. Constanze Kurz beschreibt in der Frankfurter Allgemeinen Zeitung (FAZ) DPI als permanente digitale Leibesvisitation, “bei der gleichzeitig noch die Taschen aller Kommunizierenden durchforstet werden” Mit Sorge nehmen Netzaktivisten zur Kenntnis, dass auch Großbritannien DPI-Verfahren einsetzt und zudem nach einer gesetzlichen Verankerung der Echtzeitkontrolle strebt.

Für Kritiker ist es ein schwacher Trost, dass die Überlegungen der ETSI derzeit nicht als rechtsverbindlich angesehen werden dürfen. Die EU wiegelt ab: Es handele sich ja nur um einen Entwurf des ETSI, der aber keineswegs ein Teil der Cloud-Strategie von EU-Digitalkommissarin Nellie Kroes sei. Es dürfte aber nur eine Frage der Zeit sein, bis auch EU-Staaten die Überwachung rechtlich legitimieren und einsetzen.