Überwachung - 7

Ich weiss garnicht, was die FDP da noch nachhaken will. Wenn ihr unsere Regierung sagt, dass sie während dreier Monaten in 2186 Verfahren die Daten der Vorratsdatenspeicherung gebrauch hat (allerdings nur in 940 Fällen darauf wirklich zugegriffen hat, oder 1400 Fällen, so genau weiss sie es nicht. Ebensowenig erfahren wir, wie viele Verbindungen hinter diesen Verfahren stecken, betroffen sind ja z.B. auch alle Mailkontakte des Verdächtigen), dann wird das schon notwendig gewesen sein. Die Aussage der Abgeordneten Piltz

So gehe aus der Antwort der Regierung nicht hervor, "in wie vielen Fällen die Speicherungspflicht von entscheidender Bedeutung für den Ermittlungserfolg war".

ist jedenfalls unfair. Ob der Abruf geholfen hat, einen Täter zu finden, kann ja nach 4 Monaten keiner sagen, Urteil ist da sicher noch keins gesprochen, Kriminalstatistiken geben sich ja auch immer mit der Bekanntgabe der Anzahl der Tatverdächtigen zufrieden.

Immerhin war in jedem einzelnen Fall die Ermittlung ohne den Zugriff aussichtslos oder wesentlich erschwert. So hats ja unser Verfassungsgericht festgelegt und sicher wird sich keiner der Staatsanwälte und Richter darüber hinweggesetzt haben, alles andere wäre undenkbar.

Die Anzahl beunruhigt mich auch. 2200 schwere Straftaten, in jedem Einzelfall schwerwiegend. Das macht knapp 9000 im Jahr. Und alle wären ohne die Datenspeicherung nicht ermittelbar gewesen, bilden also einen Teil der unaufgeklärten 3,9% Straftaten gegen das Leben oder den 2,4% unaufgeklärten Rauschgiftdelikten vom letzten Jahr. Wenn man das hochrechnet, macht man sich Sorgen um unsere Sicherheit.

Blöd, jetzt hat sogar unser Innenminister die Umfrage der "Forschungsgruppe Wahlen" mitbekommen und sieht sich voll bestätigt:

Danach finden es 57 Prozent der Befragten richtig, dass das Bundeskriminalamt zukünftig entsprechende Onlinedurchsuchungen vornehmen können soll. Herrmann: "Diese Umfrage zeigt klar, dass Bayern, das als erstes Bundesland im Polizeiaufgabengesetz und im Verfassungsschutzgesetz die Möglichkeit der Onlinedurchsuchung vorgesehen hat, in großer Übereinstimmung mit der Bevölkerungsmehrheit handelt. Wir brauchen diese Regelung jetzt auch dringend auf Bundesebene. Ein Scheitern des BKA-Gesetzes wäre fatal." Herrmann bekräftigte, dass es sich bei der Online-Durchsuchung um wenige extreme Einzelfälle handelt.

Mich hat die Umfrage auch irritiert. Die haben die Werte nach Parteianhängerschaft aufgeschlüsselt und die Anhänger der Linken sind zu 50% dafür! Ich kenne leider die Fragestellung nicht, beim ZDF bleibt auch kein Platz für viel Text in ihrer Flash-Präsentation, deshalb weiss ich nicht, ob es leicht war die Frage zu verstehen oder ob das Wort "Terror" mehrfach verwendet wurde oder der Begriff "heimlich" nicht erwähnt.

Das muss man sich echt auf der Zunge zergehen lassen: Die Hälfte der Wähler einer vom Verfassungsschutz beobachteten Gruppierung sind dafür, dass die Organe der inneren Sicherheit sich heimlich auf den Rechnern von Staatsfeinden umsehen. Und um noch mehr Verwirrung zu stiften, begründet man die Beobachtung der Linken unter anderem damit, dass die eine neue Stasi gründen wollen:

Schäuble sagte, man habe gerade in Niedersachsen erlebt, dass es in der Linkspartei Menschen gebe, die sich die Stasi zurückwünschten [...] Diese hatte sich einen Staatssicherheitsdienst nach DDR-Vorbild zur Abwehr „reaktionärer Kräfte" beim Aufbau einer neuen Gesellschaft ausgesprochen. „Solche Leute, die mit unserer Grundordnung nichts zu tun haben, hat die Linke in Parlamente gebracht und hat sie auf ihren Listen", sagte schäuble.

Das mit "Bayern, das als erstes Bundesland... die Möglichkeit der Onlinedurchsuchung vorgesehen hat" sollte der Herr Herrmann aber nicht zu oft sagen. Schliesslich war eines der Lieblingsargumente seines Bundesamtskollegen:

Das neue BKA-Gesetz gibt dem Bundeskriminalamt die Instrumente, die seit Jahrzehnten jede Länderpolizei hat, weil im Interesse der Sicherheit der Bürgerinnen und Bürger die Polizei Gefahren abwehren muss.

Das geht doch nicht, dass der eine immer behauptet, jeder andere hätte es schon und der andere immer stolz verkündet, er sei der einzige, der es hat...

Der Bundestrojaner ist jetzt wohl erstmal beschlossene Sache, gestern ging er durch den Bundestag und der Bundesrat wird wohl kein Problem, selbst wenn sich die Länder mit FDP-Regierungsbeteiligung enthalten. Das nächste wirklich wichtige Wort wird dann das Verfassungsgericht sprechen.

Vielleicht sollten wir dieses Verfahren automatisieren. Bisher müssen die Kinder in der Schule immer dieses Schema unserer Gesetzgebung lernen. Dabei kommt dort weder der "Koallitionsausschuss" bei der Initiative noch das Verfassungsgericht bei der Verabschiedung vor. Dabei landet doch jedes Gesetz mit ein bisschen öffentlicher Aufmerksamkeit in Karlsruhe. Bisher können wir uns da immer auf den Herrn Baum von der FDP verlassen, der klagt dann schon dagegen. Aber was, wenn der mal krank ist oder sonst irgendwie ausfällt?

Die Regierung ist sich ja sicher, dass Karlsruhe nichts am Gesetz zu mäkeln hat, nichtmal an der "Überprüfung" des privaten Kernbereichs durch drei Bundeskriminalbeamte (wovon einer das Amt des "Datenschutzbeauftragten" des BKA bekleidet). "100%" sagt Herr Schäuble und "Millimetergenaue Umsetzung der Vorgaben aus Karlsruhe" sagt Herr Wiefelspütz. Man wird sehen, die Mehrheit der Parlamentarier lag ja auch beim Luftsicherheitsgesetz mehrere Meter neben der verfassungsmässigen Ordnung und die Vorratsdatenspeicherung wird auch ein paar Prozentpunkte ihrer Grundgesetztreue verlieren.

Beim Lesen des Protokolls fällt mir auf, dass ausschliesslich gute Reden voller Sorge um Freiheit und Bürgerrrechte gehalten wurden. Fast jeden Absatz kann man unterschreiben, unabhängig vom Redner. Der einzige Unterschied ist, dass man den einen glaubt und den anderen nicht.

Heute wurde eine neue Einstweilige Verfügung zur Vorratsdatenspeicherung veröffentlicht. Im Wesentlichen bleibt die VDS. Auch ein Aussetzen der Verpflichtung der Provider, ab 1.1.09 die Daten ihrer Kunden verdachtunabhängig zu speichern kam nicht in Frage.

Verschärft wurde die Regel allerdings schon. Bisher durfte man die Daten der VDS nur zur Strafverfolgung bei schweren Straftaten abrufen. Jetzt mussten die Richter auch die Regel für die Prävention von Straftaten einschränken.

Grund dafür ist das neue Bayerische Polizeiaufgabengesetz, wo sich unser Innenministerium freien Zugriff auf diese Daten gewähren wollte. Das ist natürlich streng verfassungskonform, sagt die Landesregierung. Den Verfassungsrichtern scheint das aber nicht so klar zu sein:

Ins Gewicht fällt dabei, dass die durch die Vorschrift ermöglichte Nutzung der Daten sehr weit reicht und nur durch die nicht spezifizierte Voraussetzung der "Erheblichkeit", eingeschränkt wird. Durch den größer gewordenen Kreis abrufberechtigter Behörden und die Erweiterung des zulässigen Abrufszwecks erhöht sich die Wahrscheinlichkeit für den Betroffenen, auf der Grundlage der durch einen Vorratsdatenabruf erlangten Erkenntnisse weiteren polizeilichen Maßnahmen wie Telekommunikationsüberwachungen, Beschlagnahmen und Wohnungsdurchsuchungen ausgesetzt zu werden, die ohne diese Erkenntnisse nicht durchgeführt worden wären. Dadurch wird das Vertrauen in die allgemeine Unbefangenheit des elektronischen Informations und Gedankenaustauschs sowie das Vertrauen in den durch Art. 10 Abs. 1 GG gewährleisteten Schutz der Telekommunikation in erheblichem Maße eingeschränkt.

so wie es aussieht, muss BT Germany die Vorratsdatenspeicherung nicht durchführen, weil es für sie zu teuer wird. Schonmal ein guter Ansatz...

Ich frag mich sowieso, wie die anderen eigentlich speichern wollen. Verpflichtet sind sie ja streng genommen auch jetzt schon, nur Bussgeld ist erst ab 1.1.09 fällig. Bisher, ca. 50 Werktage vor Silvester, ist allerdings keine "Technische Richtlinie" zur Datenspeicherung erschienen. Ohne die wissen wir gerade mal, dass die Zuordnung (Kunde, IP-Adresse, Zeit) bei Einwahlprovidern und (Client-IP, Zeit) bei Proxies und Anonymisieren gespeichert werden soll. In einem Anfall von Detailverliebtheit hat der Gesetzgeber noch "Zeitzone" ins Gesetz geschrieben, das wars aber schon.

Alles andere, also z.B. die Frage nach dem Format der Speicherung, der Anfragen und der Übermittlung, Verschlüsselungsvorschriften, Zugriffsberechtigungen, Vorschriften zur Lagerung der Datenträger, Haftung bei versehentlicher Beschädigung dieser Daten, ist bisher völlig ungeklärt und wird "Anfang 2009" vermutlich nachgereicht. Bis dahin wird anscheinend irgendwas gespeichert, um dem Gesetz zu genügen.

Mir solls recht sein, je verworrener die Daten und je länger die Wege, desto sinnloser wird die Veranstaltung, aber ich wundere mich, dass nicht mehr Provider auf die Barrikaden gehen.

Bei den Tor-Betreibern wird auch gerade fleissig diskutiert, wie man mit der Speicherpflicht umgehen soll. Im wesentlichen gibts zwei Meinungen

1. Wir müssen nicht Speichern, weil das gegen die Verfassung ist und/oder ein Anonymisierer kein Telekommunikationsdienst im Sinne des Gesetzes ist. Deshalb machen wir ohne Speicherung weiter und mobilisieren im Zweifel unsere Anwälte.


2. Speichern wir halt! Ein Server hat ein paar Hundert bis ein paar Tausend Verbindungen gleichzeitig. Wir müssen nur eingehende Verbindungen speichern, nicht die Zielserver. Wir können also lediglich sagen "diese 1000 Rechner hatten zu uns Kontakt. Jede dieser Adressen kann ein Server sein, der wiederum 1000 Kontakte..."
   Die Daten helfen also niemanden, müllen schlimmstenfalls unsere Platten zu.

Die erste Meinung ist natürlich mutig, aber eben auch riskant.

Der zweiten Meinung könnte ich mich anschliessen. Wie gross der Müllberg ist, kann ich aber nicht abschätzen, es könnte schon allein am Plattenplatz scheitern und am (dank fehlender Richtlinie) nicht abschätzbaren organisatorischem Aufwand. Ich fürchte aber, dass dieses Vorgehen international nicht so richtig auf Zustimmung stossen wird. Das bisherige Paradigma "Ein Tor-Node loggt nicht!" hat schon seinen Reiz und ist vielleicht mehr wert als der deutsche Teil des Tor-Netzwerks, das immerhin im Moment 30% des ganzen Netzes ausmacht.

Bleibt die Frage, was man mit deutschen Nodes macht...

1. Abschalten


2. Alle Server runterstufen auf middleman-Betrieb, damit sie nicht loggen müssen


3. Falls doch einer loggen möchte: runterstufen auf Betrieb als middleman


4. Ein Flag setzen, dass es den Usern erlaubt, loggende Server zu meiden

Abschalten wäre teuer.

Runterstufen wäre ok. Die Frage ob ein Server loggen muss, der nicht als exit-node den sichtbaren Ausgang aus dem Tor-Netz bildet, ist allerdings ungeklärt. Bestimmt wird er seltener in die Verlegenheit kommen, seine Logs herzuzeigen, vor allem wenn der vorgelagerte Exit nichts geloggt hat, aber wirkliche Sicherheit dafür gibt es nicht.

Loggende Server runterstufen oder markieren würde die "Tor loggt nicht!"-Regel verletzen. Aus meiner Sicht könnte man dagegen verstossen, aber ich wüsste auch nicht so recht, wie ich das den Nutzern verkaufen sollte. Das Argument "Bisher musstest Du auch davon ausgehen, dass von den Nodes ein paar Deinen Verkehr mitgeschnitten haben" ist gut, aber die Spanner hatten bisher selten zentrale Datensammelstellen bei den Behörden.

Ich muss noch bisschen drüber nachdenken, aber vermutlich schalte ich meinen Node ab. Mit seinen 70GB im Monat gehört er eh zu den Winzlingen im Netz, exit-node war er eh fast nie und meinen Provider wirds freuen, einen Kunden weniger zu haben, der sein Tarifvolumen fast ausreizt.

Als Alternative zu privat betriebenen Nodes bietet sich übrigens die Spende an einen Verein an, der sowas betreibt. Die "German Privacy Foundation" hätte sowas, der CCC auch.