Nach gestrigem Zögern hat ein Sprecher des Landeskriminalamtes (LKA) heute (11. Oktober 2011) gegenüber dpa zugegeben, dass auch die Landespolizei „Quellen-Telekommunikationsüberwachung“ (TKÜ) betrieben hat, nicht jedoch mit dem vom CCC analysierten Staatstrojaner. Der NDR berichtet das ganz anschaulich.
Kurz was zu dem sperrigen Begriff Quellen-TKÜ: Unter Telekommunikationsüberwachung (TKÜ) versteht man nicht nur das Abhören von Telefonaten, sondern auch das (mit)Lesen von E-Mails, Telefaxen oder SMS. Quellen-TKÜ ist der Antwort der Ermittlungsbehörden auf die zunehmend einfacher werdende Verschlüsselung der Kommunikation. Um diese zu umgehen, wird einfach an der Quelle, also vor der Verschlüsselung, angesetzt. Als praktisches Beispiel wird gern das über Skype, ein Computer-Programm zur Internettelefonie, geführte Gespräch genannt. Da Skype Gespräche verschlüsselt, könnte man sie schon am Mikrofon, also „an der Quelle“ abgreifen. Das Beispiel Skype ist dabei nicht nur anschaulich sondern zeigt auch, wie genau man das Thema auseinanderdröseln muss: Die Luxemburger Firma Skype arbeitet nämlich seit Jahren mit den Ermittlungsbehörden zusammen. Man kann also die Frage aufwerfen, ob als verhältnismäßigeres Mittel auch das Mitlauschen auf den Servern der Firma möglich wäre?
Unter anderem das wird jetzt Aufgabe des Innen- und Rechtsausschusses des Kieler Landtages sein. Kai Dolgner, innenpolitische Sprecher der SPD-Landtagsfraktion, hatte deshalb schon am Montag den Innenminister gebeten, in der nächsten Innen- und Rechtsausschuss dazu Stellung zu nehmen. Auch Ingrid Brand-Hückstädt, medienpolitische Sprecherin der FDP-Landtagsfraktion, hatte für die FDP-Fraktion das Thema auf die Tagesordnung der nächsten Sitzung des Innen- und Rechtsausschusses setzen lassen. Heute verlangte Torge Schmidt, Spitzenkandidat der Piraten in Schleswig-Holstein „eine umfassende und transparente Untersuchung der Vorgänge“ und forderte eine „Erklärung darüber, ob neutrale Datensicherheitssachverständige, zum Beispiel der CCC, um eine Schlüssigkeits- und Sicherheitsprüfung der Überwachungswerkzeuge gebeten wurden.“
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) will die von der Landespolizei verwendete Software dahingehend überprüfen, ob sie die vom Bundesverfassungsgericht aufgestellten Anforderungen erfüllt. Das Bundesverfassungsgericht hatte 2008 die von Nordrhein-Westfalen gewollte Online-Untersuchung gekippt und strenge Regeln aufgestellt. Die „heimliche Infiltration“ eines Computers ist „verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Überragend wichtig sind Leib, Leben und Freiheit der Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt.“ Der „Kernbereich privater Lebensgestaltung“ ist aber weiterhin zu schützen. Es liegt auf der Hand, dass man angesichts solcher hohen Hürden mit guten Argumenten schon über den Anlass für den Einsatz streiten können wird. Gleiches gilt für die Frage, ob die eingesetzten Maßnahmen den erlaubten Umfang nicht überschritten haben. Das LKA zeigt sich heute zuversichtlich, die gesetzlichen und richterlichen Auflagen eingehalten zu haben. Der Kieler Datenschützer Thilo Weichert sagte gegenüber dem NDR, dass „eine saubere Trennung der Telekommunikationsüberwachung an der Quelle und ein Ausspähen des jeweiligen Computers“ schwierig sei. Er legt den Finger in die Wunde: „Hundertprozentig sauber“, so Weichert, „kann man die Trennung nicht hinbekommen.“ Das verspricht eine interessante politische Diskussion im Kieler Innen- und Rechtsausschuss, dessen Sitzungen im Kieler Landtag traditionell öffentlich sind. Bleibt zu hoffen, dass das, wenigstens weitgehend, so bleibt.
„ob als verhältnismäßigeres Mittel auch das Mitlauschen auf den Servern der Firma möglich wäre?”
nein
->
skype hat 2 komponenten: 1. zentrale server und die clients.
die server sind nur zum vermitteln der clients da und um anmeldedaten zu überprüfen, den rest erledigen die clients dann unabhängig über ein eigenes p2p-netz.
die clients implementieren die verschlüsselung nahezu perfekt, erkennen auch wenn sie debuggt werden und ändern ihr verhalten dann entsprechend.
die kommunikation läuft stark verschlüsselt ab, wohl weniger um die kommunikation zu schützen, denn das protokoll (IP).
die versendeten datenpakete sind kaum von anderen zu unterscheiden. daher ist es nahezu unmöglich die kommonikation auf dem wege zu belauschen. die server haben ausser der vermittlung von ips (nodes) und der sicheren user-authentifizierung auch keinen wert beim abhören.
wenn man also an skype herantreten wollte, dann müsste man von der firma schon verlangen, dass sie ihren usern präparierte clients unterschieben muss. diese müssten dann aber zusätzlich abgesichert werden, damit diese schnüffelschnittstelle nicht von 3ten missbraucht werden könnte.
über skype und seine arbeitsweise ist ja schon einige bekannt. man muss nur mal recherchieren oder nachfragen:
http://www.heise.de/newsticker/meldung/Skype-unter-die-Lupe-genommen-111559.html
http://blog.koehntopp.de/archives/1874-Von-der-Unfaehigkeit,-Skype-zu-verstehen.html
es gibt bei verschlüsselter kommunikation (korrekte implementierung vorrausgesetzt) nur 3 angriffspunkte:
1) vor verschlüsselung
2) nach entschlüsselung
3) auf dem wege zum ziel
3) ist bei skype einfach zu gut geschützt
daher beleiben nur 1) und 2). und die tatsache dass noch niemand eine backdoor im client nachweisen konnte, ist ein sicheres indiz dafür, dass eben ein weiteres programm auf den zielrechnern laufen muss, dass die daten noch VOR skype abschnorchelt / vervielfältigt.
bitte recherchiert solche themen sauberer.
Prinzipiell bestünde durchaus die Möglichkeit, dass die Firma Skype im Falle von Überwachungsverfügungen die Signalisierung so ändert, dass der Sprachstrom dann über einen Zwischenserver geliefert wird, der sich beiden Clients gegenüber als jeweilige Gegenstelle ausgibt. Dort könnte der Datenverkehr dann entschlüsselt, ausgeleitet, wieder verschlüsselt und an die tatsächliche Gegenstelle weitergeleitet werden. Vom Design her also eine Man in the Middle Attack.
Das Problem dabei ist, dass die Gefahr bestünde, dass dadurch eine Überwachungsmaßnahme für die Betroffenen erkennbar wird. Das wiederum widerspräche § 5, Absatz 4 der TKÜV (http://www.gesetze-im-internet.de/tk_v_2005/__5.html), welcher die Nichterkennbarkeit der Überwachungsmaßnahme vorschreibt. Technisch kann man sich eine solche Umsetzung sicherlich vorstellen. Allerdings halte ich es eher für unwahrscheinlich, dass Strafverfolger (Gefährdung der Ermittlungsarbeit) oder Anbieter (Außenwirkung) an dieser Stelle ein Interesse daran haben, an den Vorgaben der Verordnung vorbei zu implementieren. Ich kann mir weiterhin nicht vorstellen, dass die Bundesnetzagentur eine solche Lösung bei der Abnahme/Überprüfung akzeptieren würde.
Danke für die technischen Ausführungen. Ich hatte eine Frage gestellt. Das mag die Antwort sein. Ich kann das nicht beurteilen. Ich bin, finde ich, technisch nämlich nicht besonders versiert.
> bitte recherchiert solche themen sauber.
Dazu möchte ich anmerkungen, dass ich in meinem Artikel eine offene (und nicht rhetorische)Frage gestellt und keine Behauptung aufgestellt habe. Das finde ich vor dem Hintergrund für uns nicht vollständig aufklärbarer Funktionsfähigkeit bei Skype (Skype ist nicht quelloffen) legitim.
Gestern war mein Stand ungefähr so:
1) Die unabhängige Untersuchung Skypes ist 6 Jahre her (http://blogs.skype.com/security/2005/10/skype_security_and_encryption.html). Seitdem kann(!) viel passiert sein.
2) In einem Interview mit ZDNET hat der Chief Security Officer Kurt Sauer 2007 auf die Frage „Also können nicht einmal Sie meine Skype-Telefonate abhören?” geantwortet (http://www.zdnet.de/magazin/39151472/p-6/telefonieren-uebers-internet-wie-sicher-ist-skype-wirklich.htm): „Wir stellen eine sichere Kommunikationsmöglichkeit zur Verfügung. Ich werden Ihnen nicht sagen, ob wir dabei zuhören können oder nicht.”
3) Skype selbst hat 2009 eine (nicht näher erläuterte) Zusammenarbeit mit Behörden mitgeteilt (z.B. Link oben im Artikel)
4) Es gibt viele Behauptungen, Skype sei prinzipiell geknackt (so ungefähr steht es bei Wikipedia) — aber keine hinreichenden Beweise.
5) Es gibt Hinweise, Skypetelefonate seien für Ermittlungsbehörden mehr oder weniger „verfügbar” (den Eindruck kann z.B. dieser Blogbeitrag hinterlassen: http://www.lawblog.de/index.php/archives/2010/08/17/skype-staat-hort-mit/)
Aus all dem kann man nicht schließen, nicht mal ernsthaft Mutmaßungen anstellen, ob Skype am Angriffspunkt 3) abgehört werden kann. Aber eine Frage kann man schon stellen, finde ich. Wobei ich heute gern einräume, das die Formulierung „auf den Servern der Firma” sicher falsch ist.
Ich werde mich da aber nicht verkämpfen. Denn es ist für mich nicht der zentrale Grund für meinen Frage gewesen. Im Kern ging es um die Frage, ob das Abhören, neben den anderen vom Bundesverfassungsgericht vorgebenen Schranken, auch dem Verhältnismäßigkeitsprinzip entsprochen hat, ob es also Not tat, oder ob auch andere, vielleicht aufwändigere, Wege offengestanden haben könnten (in dem Skype-Beispiel — sofern technisch möglich — z.B. wäre das: Die Behördenhühnerleiter zwischen Deutschland und Luxemburg hin- und hinunter zu klettern und den dortigen Behörden ein Beschluss, abhören zu dürfen, zu übermitteln.
Kleiner Nachtrag. Schaut mal, was RA Vetter da sagt zur Kooperation zwischen Skype und Ermittlungsbehörden: http://www.youtube.com/watch?feature=player_detailpage&v=ISd6wZDMeoM#t=1030s
Das ist gar nicht so abwegig. Microsoft versucht in vielen Städten und Gemeinden immer wieder Microsoft-Produkte unterzubringen, besonders dort, wo man darüber nachdenkt auf Open-Source zu wechseln.
Da verbaut man sich doch nicht gern den Zugang…