APUZ Dossier Bild
1|2|3|4|5|6|7 Auf einer Seite lesen

27.11.2003 | Von:
Christiane Schulzki-Haddouti

Sicherheit im Netz und digitale Bürgerrechte

Nach den Terroranschlägen vom 11. September 2001 standen die Auswirkungen auf die Infrastruktur der Informationstechnologien im Mittelpunkt. Doch die Informationstechnologie selbst wird bei der Umsetzung neuer Sicherheitsgesetze eine bedeutende Rolle spielen.

Einleitung

Nach den Terroranschlägen vom 11. September 2001 sorgten Sicherheitspolitiker dies- und jenseits des Atlantiks für zahlreiche neue gesetzliche Regelungen. Zunächst standen die unmittelbaren Auswirkungen der Anschläge auf die Infrastruktur der Informationstechnologien (IT) im Mittelpunkt der Aufmerksamkeit. Die neuen IT werden aber auch bei der Umsetzung der Sicherheitsgesetze eine bedeutende Rolle spielen. Umfangreiche Datenbanken speichern personenbezogene Daten und werten sie aus. Biometrische Verfahren stellen die Identität von Bürgerinnen und Bürgern fest. Das Recht auf informationelle Selbstbestimmung spielt jedoch bisher eine eher untergeordnete Rolle.




Infrastruktur

Am 11. September 2001 stand die Welt unter Schock. Das Ausmaß der Anschläge von New York und Washington konnte erst allmählich erfasst werden. Die Folgewirkungen waren komplex, nicht nur menschlich und politisch, sondern auch bezüglich der Infrastruktur: Als die Twin Towers in Manhattan kollabierten, wurden auch Teile der Telekommunikations- und Energieinfrastruktur zerstört. Als ein weiteres Gebäude des World-Trade-Center-Komplexes zusammenbrach, wurde die Schaltzentrale des Telekommunikationsunternehmens Verizon so stark beschädigt, dass in Lower Manhattan Telefonleitungen zusammenbrachen und das Mobilfunksystem nur noch eingeschränkt funktionierte. Als mehrere Internet-Schaltzentralen (Points of Presence/POPs) im Welthandelszentrum zusammenbrachen, führte dies nicht nur zu Ausfällen in New York City, Connecticut und Massachusetts, sondern auch weltweit: Etliche translatlantische Schaltkreise, die aus Kostengründen über New York City führen, waren unterbrochen. In Rumänien versagten Netzwerke ihren Dienst, die Europäische Organisation für Kernforschung (CERN) in Genf war betroffen, und Südafrika verschwand mit seinen ".za"-Websites aufgrund einer Störung des Domain-Name-Services für einige Tage ganz von der Internet-Landkarte.[1]

Das Internet reagierte aufgrund seiner heterogenen Struktur zwar sensibel auf die Anschläge, im Großen und Ganzen jedoch blieb es stabil. Allerdings erwiesen sich die Folgen für mit dem Internet verbundene Systeme als gravierend. In New York beispielsweise konnten Ärzte in Krankenhäusern teilweise nicht mehr auf Patientendaten zugreifen. Denn die Krankenhäuser nutzten diese über eine Internetverbindung. Als diese versagte, blieben den Ärzten mit ihren Personal Digital Assistants (PDA) die internen Datenbanken verschlossen.

Um sich nach dem Schicksal ihrer Verwandten und Freunde zu erkundigen, griffen die Menschen in den ersten Stunden nach den Anschlägen zunächst zum Telefon. Auf der Suche nach aktuellen Nachrichten blieb das Fernsehen die erste Wahl - die Einwahlrate bei AOL fiel am 11. September unter die des Vortages. Viele suchten aber auch weiter gehende Informationen auf News-Websites. So vervielfachten sich die newsbezogenen Suchanfragen bei Yahoo am 11. September um den Faktor 50. Angesichts dieses Ansturms reduzierten viele Anbieter in dieser Zeit ihre Nachrichtenseiten auf bilderlosen Text, um die Ladezeiten zu reduzieren.

Herzstück der Internet-Sicherheit ist das so genannte Transmission Control Protocol/Internet Protocol (TCP/IP). Es wurde ursprünglich vom amerikanischen Militär für die zuverlässige Kommunikation seiner Truppen im Falle eines Atomkrieges eingerichtet und ermöglicht den Datenaustausch zwischen unterschiedlichen Betriebssystemen und Hardware-Komponenten. Es sollte einen atomaren Erstschlag der Sowjetunion so weit überstehen, dass die USA zum Gegenschlag ausholen konnten. Falls einzelne Netzbereiche beschädigt werden, können die Daten automatisch über noch intakte Bereiche umgeleitet werden. Einzelne verloren gegangene Datenpakete fordert das Protokoll vom Absender erneut an. Experten sind jedoch heute davon überzeugt, dass gezielte Angriffe das Internet sehr wohl lahm legen könnten. Denn in der Praxis handelt es sich nicht um ein Netz aus homogen verteilten, gleich großen Knotenpunkten. Es verfügt über eine Anzahl mehr und weniger wichtiger Knotenpunkte, deren Zusammenbruch gravierende Folgen für angeschlossene Dienste haben kann.

Mehr IT-Sicherheit

Obgleich die Terroranschläge keineswegs gegen das Internet gerichtet waren, sensibilisierten sie dennoch Unternehmen und Behörden für das Thema IT-Sicherheit, indem sie die Verwundbarkeit der industriellen Infrastruktur drastisch vor Augen führten. In den USA nahmen Behörden deshalb nach dem 11. September potentiell kritische Informationen von ihren Websites. Terroristen sollen so wenig sicherheitsrelevante Daten wie möglich zur Verfügung stehen. Der amerikanische Präsident gab ein eigenes, vom Internet getrenntes Computernetz der Regierung und Behörden in Auftrag. Das so genannte Govnet soll auch vor Hacker- oder terroristischen Angriffen schützen. In Deutschland ist das Regierungsnetz IVBB (Informationsverbund Berlin-Bonn) ebenfalls ein rein internes Netz, das Daten nur verschlüsselt kommuniziert.

Hoffnungen der Industrie, das neue US-Ministerium für Heimatschutz würde zur Sicherung des Cyberspace Internet-Service-Provider zur Anwendung von Firewalls und Anti-Viren-Software verpflichten, wurden jedoch enttäuscht, denn die Einrichtung dieser Schutzmaßnahmen wurde nur empfohlen. Gleichwohl sorgten die Anschläge in den ersten Monaten für eine starke, allerdings vorübergehende Nachfrage bei den Anbietern von IT-Sicherheitsprodukten. Viele Unternehmen investierten eher ziellos in verschiedene Projekte. Im Zuge der sich verstärkenden Weltwirtschaftskrise brach die Nachfrage 2002 ein. Die Unternehmen begannen, Sicherheitsprodukte an ihrer Wirksamkeit und Kapitalrendite zu messen. Während Anbieter von Firewalls und Public-Key-Infrastrukturen kräftige Einbußen einstecken mussten, verzeichneten die Anbieter von Anti-Viren-Produkten und Intruder-Detection-Systemen einen kräftigen Aufwind. Dafür sorgten "Wurm"-Attacken wie Nimda, die zu ähnlich hohen Netzwerkausfällen wie die Terroranschläge führten.

Bereits vor dem 11. September warnten Konservative in Washington davor, dass zehn "Super-Hacker" binnen 48 Stunden mit einem Budget von zehn Millionen US-Dollar das Land in die Knie zwingen könnten. Die Experten verzeichneten eine Besorgnis erregende Entwicklung: So stellte Symantec, Hersteller von IT-Sicherheitsprodukten, fest, dass im Jahr 2002 80 Prozent mehr Schwachstellen in Betriebssystemen dokumentiert wurden als im Vorjahr. Im Januar 2003 verdoppelte sich beim Angriff des "Wurms" Slammer alle 8,5 Sekunden die Anzahl der betroffenen Computersysteme - innerhalb von zehn Minuten waren mehr als 90 Prozent aller angreifbaren Systeme infiziert. CodeRed, ebenfalls ein "Wurm", hatte 20 Monate zuvor noch 37 Minuten für die Verdoppelung der infizierten Systeme benötigt. In den USA verursachte Slammer den Ausfall von über 15 000 Geldautomaten. Dabei nutzte er eine Schwachstelle des Systems aus, für die bereits seit sechs Monaten eine Abhilfe verfügbar war.[2]

Ende 2001 testeten in Deutschland Mitglieder des Arbeitskreises Schutz von Infrastrukturen (AKSIS), eine Interessenvertretung von 80 Unternehmen, in einem Planspiel erstmals den Ernstfall. Zu AKSIS gehören Unternehmen und Verbände wie Siemens, Lufthansa, Deutsche Telekom, Deutsche Bank, Deutsche Bahn und die Deutsche Flugsicherung. Unter der Leitung der Firma IABG in Ottobrunn simulierten sie gezielte IT-Angriffe auf den Großraum Berlin. Planspielleiter Reinhard Hutter ging von einem hohen terroristischen Organisationsgrad aus: "Eine IT-Bedrohung besteht eben nicht nur aus singulären Ereignissen." Ziel der Angriffe war es, die Infrastruktur der Beteiligten massiv zu beeinträchtigen. Die Angriffsmethoden waren breit gestreut: Hacker-Angriffe über das Internet, eingeschleuste Viren und Innentäter, die den Strom abschalteten und Geräte zerstörten. Zuvor eingebaute Softwarebomben platzten und legten Computer lahm. Ziel war es, herauszufinden, wie gut die Zusammenarbeit der betroffenen Branchen funktioniert. Das Ergebnis war ernüchternd: Im Ernstfall funktioniert fast nichts mehr. Hutter resümierte diplomatisch, dass danach "ein wesentlich höheres Bedürfnis bestand, miteinander zu kooperieren"[3]. Wenn der Ernstfall eintritt, müssen Informationen fließen, um die Maßnahmen gemeinsam abstimmen zu können. Aber das Gros der deutschen Wirtschaft litt hinsichtlich der IT-Sicherheit unter erheblichen Defiziten und verfügte über keine Notfallpläne.

Je komplexer die Informations- und Kommunikationssysteme werden, desto größer sind auch die Risiken. Wenn es brennt, brauchen nicht nur Unternehmen, sondern auch Behörden und Universitäten dringend Hilfe. Deshalb will die Bundesregierung zentrale Anlaufstellen, so genannte CERTs (Computer Emergency Response Teams), flächendeckend ausbauen. CERTs leisten nicht nur Hilfe, wenn es nötig ist, sie arbeiten auch vorbeugend, indem sie vor Schwachstellen in Produkten warnen und über aktuelle Viren informieren. Wie die Feuerwehr proben sie in Penetrationstests den Ernstfall.

Die Bundesregierung betreibt im Bundesamt für Sicherheit in der Informationstechnik (BSI) inzwischen rund um die Uhr ein Lagezentrum im so genannten CERT-Bund sowie einen Warn- und Informationsdienst. Außerdem gibt es eine CERT-Kooperation mit der Deutschen Telekom. Die Universitäten profitieren schon seit Jahren vom CERT des Deutschen Forschungsnetzes (DFN-CERT). Der Mittelstand gilt als IT-Sicherheitssorgenkind: Laut Bundesinnenministerium nutzen zwar rund 80 Prozent der kleinen und mittelständischen Unternehmen Computer und IT-Netzwerke, sorgen aber meist nicht für ausreichenden Schutz. Seit wenigen Monaten kümmert sich das CERT des IT-Verbands Bitkom, das so genannte Mcert, um den Mittelstand. Finanziert wird es nicht nur von einer Reihe von Unternehmen wie Datev, Deutsche Telekom, Gieseke & Devrient, Microsoft, PSINet, SAP und Symantec, sondern auch mit einem sechsstelligen Betrag der Bundesregierung.

Derzeit gibt es rund 15 CERTs in Wirtschaft, Forschung und Verwaltung. "So wie böswillige Hacker untereinander Informationen austauschen, so müssen in Zukunft auch Sicherheitsspezialisten enger zusammenarbeiten", mahnt Bernd Grobauer vom Siemens-CERT. Um den Informationsaustausch zu verbessern, gründeten im August 2002 sechs CERTs einen nationalen CERT-Verbund. In diesem Jahr hat der Verbund weitere CERTs aufgenommen. Eine europäische Infrastruktur ist in der Entstehung. Auf der Ebene internationaler Konzerne gibt es bereits einige europäische CERTs, etwa das von Siemens. Das europäische Projekt EISPP (European Information Security Promotion Programme) versorgt seit dem Frühjahr in einem halbjährigen Pilotversuch kleine und mittelständische Unternehmen mit Sicherheitsratgebern, so genannten Security Advisories.[4]

"Connecting the dots"

Die Sicherheit im Netz erfordert von Unternehmen und Behörden noch gewaltige Anstrengungen. IT-Systeme müssen sicherer gestaltet werden, Organisationsprozesse müssen so ausgelegt werden, dass sie effektive Maßnahmen in Notfällen ermöglichen. Leichter scheint es angesichts der komplexen Herausforderungen, an der Gesetzesschraube zu drehen. So lebte die These vom Internet als rechtsfreiem Raum nach den Anschlägen vom 11.September schnell wieder auf. Man vermutete, die Attentäter hätten sich per Internet verabredet und mit steganografischen (geheimschriftlichen) Mitteln Botschaften in Bildern versteckt. Inzwischen ist bekannt, dass das Netz bei der Planung und Ausführung der Terroranschläge keine besondere Rolle gespielt hat. Dennoch wurde in den USA das Cybercrime-Gesetz verschärft. Bei schweren Verstößen droht Hackern nun lebenslange Haft. Damit Strafverfolger verdächtigen Telefon- und E-Mail-Verkehr schnell analysieren können, müssen Internet-Diensteanbieter ihre Daten zur Verfügung stellen.

Personenbezogene Daten stehen nicht nur bei der Cyberkriminalität, sondern auch bei anderen möglichen Straftaten im Fokus der Fahnder. Vor allem in den USA überzeugte die Vorstellung, man hätte die Terroranschläge verhindern können, wäre man nur in der Lage gewesen, "die einzelnen Punkte miteinander zu verknüpfen". "Connecting the dots", das Verbinden von Punkten wie beim Malen nach Zahlen, ist die politische Metapher: Man zieht einen Strich von einem nummerierten Punkt zum nächsten, und am Ende erkennt man einen Löwen oder einen Tannenbaum. Nach diesem Prinzip, so heißt es, sollten in Zukunft auch die Sicherheitskräfte ihre Daten zusammenfügen. Denn existierten nicht schon vor dem 11. September eine Fülle von Daten über die späteren Attentäter, und hätte man diese nicht zu einem Gesamtbild zusammenfügen können?

Bruce Schneier, Experte für Computersicherheit, skizzierte in einem Kommentar das Problem: Die Zeichenpunkte ließen sich erst nummerieren und zum Bild fügen, wenn die Fakten bewertet seien. Nach den Anschlägen war es zwar leicht, die richtigen Verbindungen zwischen den Flugschülern in Florida, geheimen Treffen im Ausland, Hinweisen befreundeter Regierungen und Daten der Einwanderungsbehörden zu ziehen. Aber die Fahnder verfügten über eine astronomische Anzahl maßgeblicher und unmaßgeblicher Erkenntnisse, angesichts derer sich laut Schneier zwangsläufig die Frage stellt: "Ist es ein Löwe, ein Baum, ein Bügeleisen oder schlicht nur ein wirrer Punktehaufen?"[5]

Um das Wichtige im Datenwust zu finden, braucht man Suchprogramme. Der Gründer der amerikanischen Softwarefirma Textwise, Mark Weiner, sieht die Entwicklung dieser Produkte in der Tat "hauptsächlich von den Visionen der Geheimdienst-Community getrieben"[6]. Er spricht aus eigener Erfahrung: Textwise hat - in jahrelanger enger Zusammenarbeit mit US-Nachrichtendiensten und finanziert vom Verteidigungsministerium - das Programm DR-Link geschaffen und setzt es nun als Teil anderer Softwareprodukte ein. DR-Link sucht nicht nur wortgenau, sondern auch thematisch. So versucht es zu unterscheiden, ob beispielsweise die "Bank" zum Sitzen oder die zum Geldabheben gemeint ist, wenn das Wort in einem Text auftaucht. Das sind wichtige Eigenschaften, um aus großen Textsammlungen wie etwa erlauschten Telefonaten und E-Mails alle Äußerungen zu filtern, die sich wahrscheinlich einem verdächtigen Thema widmen.

Das Such- und Klassifizierungsprogramm Excalibur Retrieval Ware der US-Firma Convera zerlegt Texte grammatisch und syntaktisch und versucht, ihre Bedeutung in so genannten semantischen Netzen abzulegen. Diese Konstrukte sind eine Erfindung der Künstliche-Intelligenz-Forschung. Zumindest in der Theorie kann man solchen Systemen auch mit diffus formulierten Suchanfragen gute Antworten entlocken, etwa der "nach großen Geldbeträgen, die letztes Jahr in den Irak überwiesen wurden". Auf derartigen Such- und Analysefunktionen fußt eine weitere Gruppe von Programmen, die der optischen Darstellung der Ergebnisse dienen; Spyr heißt eines dieser Programme. Die Vereinigten Staaten setzten es in der experimentellen Version direkt nach dem ersten Golfkrieg ein, um den irakischen Funkverkehr zu analysieren. Die Firma Cartia brachte es dann als Themescape vor vier Jahren als kommerzielles Produkt auf den Markt. Sie wurde Anfang 2001 vom US-Unternehmen Aurigin aufgekauft, das sein Geld mit dem Betrieb und der Durchforstung von Patentsammlungen verdient. Themescape analysiert den Inhalt von Dokumenten und setzt sie in eine Art Landkarte um; Themenkomplexe erscheinen als Hügel, und fährt man mit dem Mauszeiger darüber, wird die Zusammenfassung eines Dokuments angezeigt.

Solche Auswertungsprogramme erfordern umfangreiche Datenbanken. Eine konkrete Anwendung für eine solche Datenbank ist etwa das neue amerikanische Flugpassagier-Kontrollsystem. Die Daten sollen helfen, künftig innerhalb von fünf Sekunden aufgrund einer Analyse und Risikoabschätzung Terroristen identifizieren können. Auch Europäer werden in dem System gespeichert sein: Seit März 2003 können die US-Zollbehörden auf die Flugpassagier-Datenbanken europäischer Luftfahrtgesellschaften zugreifen. Zu den Datensätzen gehören neben dem Namen, Geburtsdatum, Anschrift und Telefonnummer des Reisenden auch die Namen seiner Mitreisenden und seines Reisebüros sowie des Sachbearbeiters im Reisebüro. Ebenfalls gewünscht ist die Rechnungsanschrift, die E-Mail-Adresse und der Reisestatus. Wenn Reisende besondere Mahlzeiten wünschen, speichert das System auch diese Spezialwünsche. Die EU-Kommission hat dem Datenabruf bereits zugestimmt, weil die USA den europäischen Luftfahrtgesellschaften mit dem Entzug der Landeerlaubnis gedroht hatten. Doch damit verstießen sie gegen geltendes Recht, wie Datenschützer feststellten. Seither verhandeln die EU-Kommission und die USA vergeblich über eine rechtskonforme Lösung.

In Deutschland ließ kurz nach den Terroranschlägen ein Vorschlag des ehemaligen Präsidenten des Bundesverfassungsschutzes, Eckart Werthebach, aufhorchen: Er forderte eine zentrale Datenbank für "Islamistischen Terrorismus".[7] Darin sollten der Militärische Abschirmdienst (MAD), der Bundesgrenzschutz und das Zollkriminalamt ihre Daten einspielen. Werthebachs Idee fand vorerst kein Gehör. Doch das neue Schengen-Informationssystem (SIS II), das seit 2002 entwickelt wird, könnte ein ähnlich umfassendes Datenreservoir bilden. Es soll biometrische Daten verarbeiten und neue Datenbanken enthalten. Diese werden Informationen über "Unruhestifter" in den Schengen-Ländern enthalten, die Reiseverbote für bestimmte Ereignisse erhielten, ferner über Visa von Demonstranten aus Drittstaaten, über Reisesperren und bereits identifizierte Terroristen. SIS II wird Personen- und Objektdaten miteinander verknüpfen und so die europäische Rasterfahndung in Ansätzen ermöglichen.[8]

Wie erfolgreich die Rasterfahndung wirklich ist, ist unter Experten umstritten. Etwa 20 000 Datensätze hat das Bundeskriminalamt (BKA) mit der bundesweiten Rasterfahndung gegen angebliche islamistische "Schläfer" gespeichert. Ziel der Rasterfahndung war es, weitere potentielle Terroristen zu identifizieren, um Anschläge verhindern zu können. Doch das für die Rasterung verwendete Profil war so unscharf, dass es aus den Datenbanken von Universitäten, Versorgungsunternehmen und Transportgesellschaften im Wesentlichen alle männlichen Studenten islamischen Glaubens ermittelte. Die Rasterfahndung führte zu keinen unmittelbaren Ergebnissen; Fahndungserfolge waren bisher eher indirekt auf sie zurückzuführen. Die Rasterfahndungsmethode wurde verfassungsrechtlich in Deutschland nie geprüft. Der einzige Erfolg, der bis dato erzielt werden konnte, war die Festnahme des RAF-Terroristen Rolf Heißler im Jahre 1979.[9]

Wichtige Fragen blieben nach dem Datenabgleich offen und erforderten intensive Ermittlungen: Welche Querverbindungen gibt es zwischen einzelnen Personen? Über welche Kommunikationsmittel werden sie gepflegt? Die benutzten Software-Werkzeuge müssten Verbindungen darstellen können, etwa als Grafik auf dem Bildschirm. Aber nur wenige Landeskriminalämter, etwa das LKA in Brandenburg, verfügen über eine derart moderne Fahndungssoftware, mit der man ein Datenbankobjekt auswählen - im Fall der Terroristenfahndung ein Täterprofil - und festlegen könnte, welche seiner Kriterien bedeutsam erscheinen; die anschließende Suche müsste dann die einander ähnlichsten Objekte anzeigen.

Telekommunikationsüberwachung

Nicht nur Flugpassagierdaten, sondern auch Telekommunikationsverbindungsdaten versprechen ergiebige Datenanalysen, da sie Aufschluss darüber geben, wer mit wem wann telefoniert, gefaxt oder gemailt hat und wer wann welche Website aufgesucht hat. Mit der entsprechenden Software können Fahnder aus solchen Daten Beziehungsgeflechte kartieren. In der Europäischen Union diskutierten die Mitgliedstaaten auf Bitte des amerikanischen Präsidenten über eine Vorratsspeicherung von Internet-Verbindungsdaten durch die Provider. Eine entsprechende Verordnung kam allerdings bislang aufgrund des Widerstands aus Deutschland noch nicht zustande, obgleich sich die meisten Länder dafür aussprachen.

Sinnvoll ist eine solche Speicherung für die Verfolgung von Internetkriminalität nur dann, wenn möglichst viele Länder dieselben Regeln befolgen. Denn Kriminelle können Verbindungen über mehrere Länder hinweg aufbauen; Strafverfolger können sie aber dann nur ermitteln, wenn sie die Provider-Daten aus jedem einzelnen betroffenen Land erhalten. Dieses Thema wird deshalb wohl ein zentrales Anliegen der USA auf dem bevorstehenden UN-Gipfel zur Informationsgesellschaft sein. Die Amerikaner dringen auf eine möglichst breite Unterzeichnung des Europarat-Abkommens zur Cyberkriminalität.

Die Fahnder interessieren sich nicht nur für die Internetverbindungsdaten, sondern für alle Telekommunikationsverkehrsdaten. Die Novelle des Telekommunikationsgesetzes (TKG), das Anfang 2004 im Deutschen Bundestag verabschiedet werden soll, enthält unter anderem Regelungen für die Überwachung von Telekommunikationsanlagen. Nicht nur Anbieter, die öffentliche, sondern auch jene, die nichtöffentliche Telekommunikationsdienste anbieten, müssen dann auf eigene Kosten Überwachungsschnittstellen bereithalten. Das betrifft auch Firmen, die interne Telefon- und Datennetze betreiben. Rufnummer, Name, Anschrift, Geburtsdatum, Anschlusslage und Vertragsbeginn sowie gegebenenfalls auch das Vertragsende sollen gespeichert werden. Die Datenabfrage wird erleichtert, indem Abfrager "Jokerzeichen" verwenden können sollen. "Ähnlichenfunktionen" sollen auch dann Ergebnisse generieren, wenn eine erste Abfrage keine Treffer bringt. Nicht nur Strafverfolgungsbehörden, sondern auch Zoll, Verfassungsschutz, MAD und Bundesnachrichtendienst (BND) sollen den automatischen Abfrageservice der öffentlichen Telekommunikationsdienste nutzen können. Auch Notrufabfragestellen erhalten Zugriff, um einen Anrufer zurückzuverfolgen. Das Bundesamt für Finanzen darf die sensiblen Verkehrsdaten ebenso abfragen wie die so genannten "Schwarzarbeit-Fahnder" von Ordnungsämtern, Arbeitsämtern und Zoll.

Nicht nur klassische Telekommunikationsdaten sind im Visier der Fahnder. Im August 2003 erwirkte die Staatsanwaltschaft beim Amtsgericht Gummersbach einen Beschluss[10] gegen die Firma Toll Collect, die das Mauterfassungssystem für Lastkraftwagen betreiben soll: Toll Collect erbringe geschäftsmäßig Telekommunikationsdienste und müsse die hierbei anfallenden Daten der Kriminalpolizei zur Verfügung stellen. Mit Hilfe der Daten wollen die Fahnder beispielsweise einen gestohlenen Container-Lastwagen, der mit dem Toll-Collect-System ausgestattet war, aufspüren. Vorerst hatten die Fahnder keinen Erfolg: Da das Mautsystem auch falsche Standortdaten liefert, waren die Daten nicht zuverlässig genug. Toll Collect gab keine Daten heraus und wandte sich an den Bundesdatenschutzbeauftragten mit Bitte um Klärung. Das Autobahnmautgesetz sieht für die Mautdaten eine Zweckbindung vor, die jede andere Verwendung ausdrücklich untersagt.

"Offensichtlich ist es doch so, dass die staatlichen Behörden mit Toll Collect über ein flächendeckendes Fahnungsreservoir für Bewegungs- und Standortprofile der Bürgerinnen und Bürger verfügen", meint der Datenschutzexperte Johann Bizer.[11] Dabei hätte sich das Mautsystem auch weitaus datensparsamer gestalten lassen.

Identitätskontrollen

Nachhaltiges Interesse erfahren seit dem 11. September auch biometrische Verfahren, die früher ein Mauerblümchendasein fristeten. Neue Passgesetze ermöglichen in den USA und in Europa die Einführung biometrischer Merkmale in Visa und Pässen, um Personen anhand von Fingerabdrücken oder Gesichtskoordinaten zu identifizieren. Die EU strebt die Verwendung von Fingerabdrücken zunächst in Visa und Aufenthaltsgenehmigungen an. Die USA wollen ab Januar 2004 an Flughäfen Fotos und Fingerabdrücke von Einreisenden zur Identitätskontrolle speichern.

Derzeit lassen Bundesregierung und Bundestag Wissenschaftler in Machbarkeitsstudien Optionen für den digitalen Personalausweis prüfen. Die Leistungsfähigkeit biometrischer Identifikationssysteme ist noch umstritten. Computerjournalisten der Zeitschrift "c't" umgingen mit einfachen Basteleien nicht nur Fingerabdrucksysteme, sondern auch Gesichtserkennungs- und die als sehr sicher geltenden Iris-Scanning-Systeme.[12] Ein japanischer Mathematiker konnte Anfang 2002 elf biometrische Fingerabdruck-Systeme mit Hilfe von künstlichen Fingern aus Gummibärchen-Gelatine täuschen. Die Gummifinger wiesen mit 23 Prozent Feuchtigkeit ähnliche physikalische Eigenschaften wie echte Finger auf.[13]

Das BSI verglich in seiner Studie BioFace[14] die Erkennungsleistung von vier Gesichtserkennungssystemen und kam zu vernichtenden Ergebnissen. Die Tester stellten fest, "dass den Systemen keine eindeutige Trennung der Matches von den Non-Matches gelang". Die aufgezeichneten biometrischen Merkmale einiger Testpersonen glichen sich so stark, dass die Tester von "beinahe biometrischen Zwillingen" sprachen. Im Praxistest, der eine Zugangskontrollsituation nachstellte, erkannten zwei der vier getesteten Systeme "fast keine der Testpersonen, wobei das schlechtere dieser beiden Systeme so unzuverlässig war, dass es nur an wenigen Tagen überhaupt in Bereitschaft war". Die Erkennungsleistung der anderen Systeme lag unter 50 Prozent.

Letztlich wird die flächendeckende Einführung von biometrischen Merkmalen in den Personalausweis aber auch eine Frage des Geldes sein: Experten schätzen die Investitionskosten auf mehrere Milliarden Euro. Eine effektive Ausweiskontrolle ist zudem nur möglich durch eine aufwendige Infrastruktur: Nicht nur die Einwohnermeldeämter, sondern auch alle Polizei- sowie Bundesgrenzschutzbeamten müssten künftig mit entsprechenden Lesegeräten ausgestattet werden.

Unterdessen treiben vor allem die USA die internationale Standardisierung voran. Für die Verwendung von Gesichtsmerkmalen im Personalausweis spricht vor allem das Votum der zivilen Luftfahrtbehörde der Vereinten Nationen ICAO (International Civil Airline Organization).[15] Sie ist zuständig für die Harmonisierung des Ausweis- und Passwesens. Ergänzt werden kann die Gesichtserkennung durch bis zu zwei zusätzliche biometrische Verfahren wie Fingerabdruck und Irismuster. Derzeit arbeiten bei der internationalen Standardisierungsorganisation ISO/IEC (International Standards Organization/International Electrotechnical Commission) fünf verschiedene Arbeitsgruppen parallel an Standards für biometrische Daten.

Sie prüfen auch den Einsatz von RFID-Funkchips[16] in Pässen, welche die biometrischen Daten speichern könnten. Diese Chips sollen im kommerziellen Bereich den Scanner-Strichcode ablösen. Es handelt sich um winzige Chips mit Antenne, die eine Identifikationsnummer aussenden, wenn sie in die Nähe eines Lesegerätes gehalten werden. Mit ihrer Hilfe können Hersteller über das Internet den Weg ihrer Waren vom Lager über den Supermarkt bis zur Müllhalde nachvollziehen.[17] Allerdings können mit ihrer Hilfe auch die Bewegungsdaten der Konsumenten gesammelt werden. Zwar senden zur Zeit die Chips Daten nur über eine Entfernung von 30 Metern, doch für Access-Systeme oder firmeninterne Anwesenheitskontrollsysteme genügt dies bereits. Nicht nur Reisepässe sollen mit den Funkchips ausgestattet werden: Die Europäische Zentralbank will 500-Euro-Geldscheine ab 2005 mit den Chips ausrüsten.

Künftige Identifikationssysteme können Personen mittels implantierter Chips lokalisieren.[18] Wie RFID-Chips geben sie Daten kontaktlos weiter und sind nahezu unsichtbar. Mehr als jede andere biometrische Technologie dürften jedoch DNA-Analysesysteme auf Bedenken stoßen. So genannte DNA-Sniffer werden als aussichtsreichste Kandidaten für künftige Identifikationssysteme gehandelt. Nach Ansicht des Genetikers Sir Alec Jeffries könnte es sich hierbei um einen Kleincomputer, einen so genannten Handheld, handeln, den die Polizei an den Tatort mitnehmen kann. Er könnte verschieden Proben untersuchen und binnen Minuten mit dem genetischen Profil einer Person aufwarten. Sollte eine globale Datenbank zur Verfügung stehen, könnte diese binnen Sekunden den Täter identifizieren.[19]

Das Recht auf informationelle Selbstbestimmung

Die Bekämpfung des Terrorismus darf nicht die Prinzipien gefährden, zu deren Verteidigung sie angetreten ist, mahnen Bürgerrechtler. Nach dem 11. September entschieden sich Politiker in der Abwägung zwischen Sicherheit und Freiheit jedoch immer für mehr Eingriffe in das private Leben von Bürgerinnen und Bürgern. Ihr Grundrecht auf informationelle Selbstbestimmung gerät so in Konflikt mit den Sicherheits- und Schutzbedürfnissen des Staates. Die bereits existierenden Maßnahmen müssten vor allem auf ihre Effizienz überprüft werden. Insbesondere nach dem 11.September werden die Telekommunikations- und Internetüberwachung im internationalen Verbund ständig ausgeweitet. Immer mehr Daten werden gesammelt und verarbeitet. Die Rasterfahndung soll als vermeintlich erfolgreiches Fahndungsinstrument nach Europa exportiert werden. Der politische Fahrplan sieht die Einführung biometrischer Verfahren vor, obgleich sie sich in Tests als untauglich für den Masseneinsatz gezeigt haben. Wie der Umgang mit den Flugpassagierdaten zeigt, haben Bürger keine Möglichkeit, die Verwendung ihrer Daten im Ausland zu kontrollieren.

All diese Beispiele zeigen, wie das vom Bundesverfassungsgericht mit dem Volkszählungsurteil 1983 verankerte Grundrecht auf informationelle Selbstbestimmung seit dem 11. September 2001 verletzt und ausgehöhlt wird. Für eine lebendige Demokratie ist das bedenklich. Denn nach wie vor gilt, was schon seinerzeit das Bundesverfassungsgericht feststellte: "Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. Wer damit rechnet, dass etwa die Teilnahme an einer Versammlung oder einer Bürgerinitiative behördlich registriert wird und dass ihm dadurch Risiken entstehen. Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist."[20]

1|2|3|4|5|6|7 Auf einer Seite lesen

Fußnoten

1.
Vgl. John S. Quarterman, The Internet under Crisis Conditions: Learning from September 11, Computer Science and Telecommunications Board, National Research Council, Washington, D.C. 2003, http://books.nap.edu/books/0309087023/html/R1.html.
2.
Vgl. Günther Ennen, Vermeiden Sie das Chaos im Chaos, in: Bundesamt für Sicherheit in der Informationstechnik (Hrsg.), IT-Sicherheit im verteilten Chaos. Tagungsband 8. Deutscher IT-Sicherheitskongress des BSI, Berlin 2003.
3.
Im Interview mit der Autorin.
4.
Vgl. Bernd Grobauer, EISPP - Anfänge eines Europäischen Warnungs- und Informations-Systems, in: Bundesamt (Anm.2.).
5.
Im Crypto-Gram Newsletter vom 15.6.2002, www. schneier.com/crypto-gram-0206.html.
6.
Mike Weiner, The Intelligence Community: An Outsider's View, www.oss.net.
7.
Eckart Werthebach, Task Force Zukunft der Sicherheit. Idealtypische Organisation innerer und äußerer Sicherheit, Bertelsmann Stiftung, Gütersloh 2002, www.bertelsmann-stiftung.de/documents/GutachtenWerthebach.pdf.
8.
Vgl. SIS II takes ominous shape, Statewatch vom 4.4. 2002, www.statewatch.org/news/2002/apr/01sis.htm.
9.
Vgl. Walther Graf, Rasterfahndung und organisierte Kriminalität, Texte "Umwelt Kriminalität Recht", Band 3, Bonn 1997.
10.
Az. 10a Gs 239/03.
11.
Im Interview mit der Autorin.
12.
Vgl. Lisa Thalheim/Jan Krissler/Peter-Michael Ziegler, Körperkontrolle. Biometrische Zugangssicherungen auf die Probe gestellt, in: c't, (2002) 11, S. 114ff.
13.
Vgl. Tsutomu Matsumoto, Importance of Open Discussion on Adversarial Analyses for Mobile Security Technologies. A Case Study for User Identification, 14.5. 2002, Graduate School of Environment and Information Sciences, Yokohama National University, www.itu.int/itudoc/itu-t/workshop/security/present/s5p4.html.
14.
Vgl. Bundesamt für Sicherheit in der Informationstechnik, Bio-Face-Studie, Bonn 2003, www.bsi.bund.de/fachthem/BioFace/BioFaceIIBericht.pdf.
15.
Vgl. www.icao.int.
16.
RFID: Radio Frequency Identification, Identifizierung per Funk.
17.
1999 vom Massachusetts Institute of Technology (MIT) gegründet, entwickeln das Audio-ID Center in Partnerschaft mit den Universitäten Cambridge, Adelaide, Keio und St. Gallen die RFID-Technologie. Unterstützt wird es von über 100 Konzernen und Behörden, unter anderem von Coca-Cola, Unilever, Procter & Gamble und Wal-Mart bis zu UPS, Metro, Intel, SAP und dem US-Verteidigungsministerium; vgl. www.autoidcenter.org.
18.
Die US-Firma Applied Digital Solutions entwickelt unter dem Namen "Digital Angel" Bio-Implantate, Zielgruppe sind Patienten, vgl. www.adsx.com/prodservpart/digitalangel.html.
19.
Vgl. Institute for Prospective Technological Studies, Security and Privacy for the Citizen in the Post-September 11 Digital Age: A Prospective Overview, Europäische Kommission, Juli 2003.
20.
Urteil des Bundesverfassungsgerichts vom 15.12. 1983, www.uni-wuerzburg.de/dfr/bv065001.html.