Eine Vielzahl von Institutionen und Gremien der EU befasst sich mit der Überwachung digitaler Kommunikation. Im Mittelpunkt stehen derzeit die Vorratsdatenspeicherung von Telekommunikationsdaten, der Zugriff auf Daten in der Cloud und das Umgehen von Verschlüsselung. Viele der neuen Maßnahmen tragen die Handschrift des Bundeskriminalamts.
Das 2015 von Bundestag und Bundesrat beschlossene Gesetz zur „Einführung einer Speicherpflicht und Höchstspeicherfrist für Verkehrsdaten“ sollte die überarbeitete EU-Richtlinie zur Vorratsspeicherung und Nutzung von Telekommunikationsdaten umsetzen.[1] Ab dem 1. Juli 2017 wären Telefon- und Internetdienstleister verpflichtet gewesen, Verkehrsdaten ihrer KundInnen für zehn Wochen zu speichern. Mittlerweile hat der Europäische Gerichtshof die Richtlinie gekippt, da sie gegen die Grundrechtecharta der Union verstößt.
Trotzdem hält die EU an der „Verfügbarkeit von Daten“ fest.[2] Dies betrifft nicht nur die Neuauflage der Richtlinie zur Vorratsdatenspeicherung: Eines der großen Vorhaben ist die Erleichterung des grenzüberschreitenden Zugangs zu sogenannten elektronischen Beweismitteln („e-Evidence“). Gemeint sind Bilder, Videos, Audio- oder Textdateien, die von InternetnutzerInnen bei Firmen wie Google, Facebook, Apple oder Microsoft in der Cloud gespeichert sind, aber auch online abgelegte Adressbücher, elektronische Tickets, Standort- und Verkehrsdaten.
Die meisten großen Internetanbieter haben ihren Sitz in den USA, weshalb europäische Ermittlungsbehörden gewöhnlich den Weg der Rechtshilfe gehen müssen, um an die Server zu gelangen. Zwar haben sowohl einzelne Mitgliedstaaten als auch die EU selbst ein Rechtshilfeabkommen mit den USA geschlossen, dennoch bewerten die Behörden diesen Weg oft als umständlich und langwierig.[3] Vielfach stellen sie ihre Anfragen deshalb direkt bei den Providern, die bei der Herausgabe von Bestands- oder Verkehrsdaten kooperativ sind, aber in Bezug auf Inhaltsdaten meist auf das offizielle Rechtshilfeverfahren bestehen.
Europäische Ermittlungsanordnung auch für US-Firmen?
Befinden sich die Dienste in der EU, kann bald auch die neue Europäische Ermittlungsanordnung (EEA) für Herausgabeverlangen genutzt werden. Gemäß der Richtlinie, die noch von allen Mitgliedstaaten umgesetzt werden muss,[4] kann eine zuständige Behörde in einem „Anordnungsstaat“ die Überwachung des Telekommunikationsverkehrs in einem anderen, dem „Vollstreckungsstaat“, anordnen, der die Daten an die anfragende Behörde ausleiten muss.
Auch der grenzüberschreitende Zugriff auf Cloud-Daten könnte zukünftig über eine EEA legitimiert werden. Die Kommission soll nun prüfen, ob der Geltungsbereich der Richtlinie dahingehend erweitert werden könnte, dass auch Betreiber darunter fallen, die zwar in einem Drittstaat ansässig sind, ihre Dienste jedoch in der EU anbieten. Damit würde der Wildwuchs eingehegt, den ein Fragebogen der Kommission zutage förderte: ErmittlerInnen in manchen Mitgliedstaaten gehen davon aus, dass sie zum „Fernzugriff“ auf Cloud-Daten ermächtigt sind, auch wenn sich die Server nicht in Europa befinden.[5] Das Kommissionspapier führt die entsprechenden Ermittlungstechniken nicht aus, vermutlich sind aber Trojaner-Programme gemeint.
Europarat will Erweiterung der Cybercrime-Konvention
Unter den Vorschlägen zur Erleichterung des Zugangs zu elektronischen Beweismitteln findet sich die Einrichtung zuständiger Kontaktstellen bei den Behörden der Mitgliedstaaten sowie bei den Internetdienstleistern. Zudem soll ein Internetportal errichtet werden, wo sich in einem ersten Schritt die Ermittlungsbehörden und Staatsanwaltschaften vernetzen. Später könnte sie so ausgebaut werden, dass sich die Behörden gegenseitig über bereits gestellte Herausgabeverlangen informieren.
Gleichzeitig diskutiert der Europarat die Erweiterung seiner Cybercrime-Konvention. Hier soll geklärt werden, inwiefern Artikel 18 die Herausgabe elektronischer Beweismittel bestimmt. Im Text heißt es, dass die zuständigen Behörden dafür sorgen müssen, dass ein Provider, „der seine Dienste im Hoheitsgebiet der Vertragspartei anbietet, Bestandsdaten in Zusammenhang mit diesen Diensten, die sich in seinem Besitz oder unter seiner Kontrolle befinden, vorzulegen hat“.[6] Die Cybercrime-Konvention gilt zwischen allen Vertragsparteien, darunter auch den USA. Eine eigens eingerichtete „Cloud Evidence Group“ hat jetzt einen Entwurf für eine mögliche Ergänzung der Konvention vorgelegt, der nun im Cybercrime-Komitee des Europarats verhandelt wird. Ein Zusatzprotokoll soll bis Dezember 2019 beschlossen werden.[7]
Schnittstelle zur Ausleitung
Zur Ausleitung elektronischer Beweismittel braucht es Schnittstellen, die einheitlich gestaltet und möglichst international anwendbar sein müssen. Die Definition ihrer technischen Anforderungen übernimmt das European Telecom Standards Institute (ETSI). In diesem Standardisierungsgremium organisieren sich Telekommunikationsdienstleister, Anbieter von Überwachungselektronik und Sicherheitsbehörden in einer Arbeitsgruppe „Gesetzmäßiges Abhören“ („Lawful Interception“). Aus Deutschland beteiligen sich daran etwa die Firma Utimaco aus Aachen, das Zollkriminalamt und das Bundesamt für Verfassungsschutz.
Das ETSI befasst sich derzeit auch mit den technischen Spezifikationen für die EEA.[8] Nach der Richtlinie soll der „Vollstreckungsstaat“ grundsätzlich Ersuchen aus einem anderen Mitgliedstaat wie eine nationale Maßnahme behandeln. Das heißt, dass sowohl die Verbindungs- als auch die Inhaltsdaten abgehörter Telefonate nahezu in Echtzeit an den „Anordnungsstaat“ auszuleiten sind. Die von ETSI erarbeitete Schnittstelle soll bald unter dem Akronym „SMILE” („Smart Handover Interface between Law Enforcement Agencies“) zur Verfügung stehen. Die Anstrengungen des ETSI bauen vermutlich auf dem Forschungsprojekt „EVIDENCE“ auf, das unter Beteiligung von Interpol und der Leibniz-Universität Hannover einen Fahrplan mit Leitlinien, Empfehlungen und technischen Standards sowie eine „Forschungsagenda“ entwarf.[9]
BKA leitet „Internetauswertungskoordinierungsgruppe“
Bei Europol ging vor zwei Jahren die „Meldestelle für Internetinhalte“ (EU IRU) an den Start. Sie gehört zur Abteilung „Operationen“, die vom Europol-Vize Wil van Gemert geleitet wird. [10] Die EU IRU hat mittlerweile 35.000 Postings als „Terrorpropaganda“ klassifiziert und bei den Internetanbietern zur Entfernung gemeldet. Hinweise zu inkriminierten Bildern, Videos oder Postings kommen zum größten Teil von Europol.[11] Mehrere nationale Behörden organisieren sich bei Europol in einer „Internetauswertungskoordinierungsgruppe“ (Internet Operational Research Coordination Group), die vom BKA geleitet wird.[12] Ebenfalls bei Europol ist das Projekt „Maßnahmen gegen inkriminierte Kommunikationsplattformen“ angesiedelt, in dem sich die teilnehmenden Behörden zu rechtlichen Rahmenbedingungen in den Mitgliedstaaten austauschen. Laut dem Europol-Vizedirektor ist die Polizei bei der Auswertung des Internet trotzdem noch zu langsam, etwa wenn bereits zahlreiche Informationen in Sozialen Netzwerken zu finden seien. Als Beispiel nennt van Gemert die Anschläge im November 2015 in Paris: 15 Minuten nach den ersten Schüssen kursierten demnach bereits 7.500 Tweets mit dem Hashtag #ParisBurning. Auch ohne Anschläge produzierten 50.000 Twitter-Accounts von ISIS-UnterstützerInnen täglich 110.000 Tweets, zu deren Verfolgung die Behörden laut van Gemert kaum in der Lage seien.
Van Gemert geht sogar so weit, die islamistischen Anschlagsserien als Ausdruck eines „Kriegs in den Städten“ („first urban warfare“) in Europa zu bezeichnen. Eine der wenigen Chancen der Ermittlungsbehörden liege deshalb in der Auswertung von „Big Data“, denn 2,9 Milliarden NutzerInnen seien mit 20 Milliarden Geräten im Internet unterwegs. Der Europol-Vizedirektor sieht Terrorismus jedoch nicht als einzige Bedrohung für die europäische Sicherheit. Zu den weiteren Herausforderungen, die mit mehr Überwachung durch Polizeien und Geheimdienste gekontert werden müssten, gehörten Cyberkriminalität und unkontrollierte Migration.
Mit Maschinenlernen gegen unerwünschte Inhalte
Für die Verbesserung der Zusammenarbeit mit den Internetdienstleistern hat die Kommission vor zwei Jahren das „EU Internet Forum“ gestartet, dem u.a. Europol und die großen US-Internetanbieter angehören. Die offiziellen Treffen finden am Rande der Tagungen des EU-Justiz- und Innenministerrats statt. Neben der Herausgabe elektronischer Beweismittel befasst sich das Forum auch mit der Löschung von „terroristischen und extremistischen“ Postings und Accounts sowie dem Ausbau einer gemeinsamen Meldeplattform. Facebook, Twitter, Microsoft und Youtube haben hierzu eine Datenbank mit digitalen Kennungen (sog. Hashwerten) gestartet, bei der Inhalte beim Hochladen überprüft werden.[13] Wurden sie von einem Teilnehmer der Datenbank zuvor entsprechend markiert, wird die Datei gelöscht.
Inzwischen haben die großen Internetanbieter ein „gemeinsames Forum zur Eindämmung terroristischer Online-Aktivitäten“ gegründet, das nicht mehr nur auf die EU beschränkt ist. Sie folgten damit den Ratsschlussfolgerungen vom Sommer 2017,[14] in denen es heißt, „die Industrie trägt selbst Verantwortung dafür, die Bekämpfung von Terrorismus und Kriminalität im Internet zu unterstützen“. Aufbauend auf dem EU-Internetforum fordert der Europäische Rat die Einrichtung eines „Industrieforums und die Entwicklung neuer Technologien und Instrumente, mit denen die automatische Erkennung und die Entfernung von zu terroristischen Handlungen anstiftenden Inhalten verbessert wird“. Konkret geht es um die Verbesserung der Uploadfilter „unter Nutzung von maschinellem Lernen und Algorithmen“.[15] Das Filtern hochgeladener Daten ist den EU-Mitgliedstaaten durch die Kinderpornographie- sowie die Anti-Terrorismus-Richtlinie möglich, auch die geplante Urheberrechtsrichtlinie soll entsprechende Bestimmungen enthalten. Am 28. September hat die Kommission ihre „Orientierungshilfe und Grundsätze für Online-Plattformen“ vorgelegt, in denen ebenfalls „automatische Erkennungstechnologien“ gefordert werden. Wie beim deutschen Netzwerkdurchsetzungsgesetz (NetzDG), das am 1. Oktober 2017 in Kraft trat, soll gleichermaßen gegen Aufrufe zu Gewalt oder Terrorismus, „Hassrede“, aber auch gegen Urheberrechtsverletzungen im Internet vorgegangen werden.[16] Die Kommission schreibt hierzu, die Maßnahmen sollen illegale Inhalte „proaktiv und wirksam ausmerzen“. Besonderes Augenmerk legt die Kommission dabei auf „vertrauenswürdige Hinweisgeber“ („trusted flaggers“). Dabei handelt es sich um Organisationen oder Vereine, die auf die Bestimmung illegaler Inhalte spezialisiert sind.
OSINT und SOCMINT
Europol betreibt mittlerweile ein „First Response Network“ zum Einsatz bei terroristischen Großlagen. Nach den Anschlägen in Paris hat die Agentur kurzfristig 60 Personen zur Unterstützung der französischen Behörden mobilisiert. Auf einer Konferenz in Dublin[17] hatte Europol-Vizedirektor van Gemert vor zwei Jahren die Arbeit des Netzwerks erläutert. Demnach seien rund um das damals angegriffene Konzerthaus Bataclan 366 aktive Accounts von Sozialen Medien festgestellt worden, um ZeugInnen für die späteren Ermittlungen festzustellen. Europol machte sich dabei die Geotagging-Funktion der Dienste zunutze.
Zur Koordination von Forschungsaufgaben für die Polizeien der Mitgliedstaaten hat die EU 2013 eine „Technologie-Beobachtungsstelle“ gestartet. Die Abteilung ist beim „Europäischen Netz technischer Dienste für die Strafverfolgung“ (ENLETS) angesiedelt, das wiederum eine der 18 „Expertengruppen“ der Ratsarbeitsgruppe „Strafverfolgung“ ist. Ziel ist die verstärkte Einbeziehung der für die innere Sicherheit zuständigen Behörden „in die sicherheitsbezogene Forschung und Industriepolitik“. ENLETS soll beispielsweise die Verarbeitung von Daten aus der offenen Internetbeobachtung („Open Source Intelligence“, OSINT) und die Analyse von Massendaten („Big Data“) erleichtern.[18] Die Erkennung von Internetinhalten wird außerdem im „European Expert Network an Terrorism Issues“ (EENeT) beforscht. In dem internationalen Netzwerk organisieren sich Angehörige von Universitäten mit Polizeien und Geheimdiensten, die Geschäftsstelle ist beim BKA angesiedelt.[19] Bei Tagungen des EENeT ging es unter anderem um die Informationsgewinnung in Sozialen Medien („Social Media Intelligence“, SOCMINT) und die Verarbeitung der anfallenden Massendaten („handling of mass data processing“). TeilnehmerInnen kamen aus der gesamten EU, der Schweiz, aus Serbien sowie von EU-Institutionen und der OSZE.
„Kompetenzzentrum“ zur Entschlüsselung bei Europol
Vor einigen Monaten hatte Europol in seinem Terrorismus-Jahresbericht (TESAT) davor gewarnt, dass „der Islamische Staat und andere Terrorgruppen“ auf verschlüsselte Kommunikation ausweichen und hierzu Apps wie Telegram benutzen.[20] Auch der Ende September veröffentlichte Europol-Jahresbericht zur Internetkriminalität (IOCTA) widmet sich ausführlich dem „Missbrauch“ von Verschlüsselung durch Kriminelle.[21] Das Sekretariat des Rates ruft deshalb dazu auf, verstärkt in Technologien zur Entschlüsselung digitaler Kommunikation zu investieren.[22] Die zuständigen Stellen der Mitgliedstaaten sollen geeignete Soft- und Hardware beschaffen und verstärkt mit dem privaten Sektor zusammenarbeiten. Mehr Anstrengungen müssten auch im Bereich der Forschung zusammenarbeiten. Das Ratsdokument listet verschiedene Probleme im Bereich digitaler Ermittlungen auf. So erfordere die Entschlüsselung komplexer Kryptierung teure technische Werkzeuge, etwa um die Geräte mit sogenannten Brute-Force-Attacken mithilfe von Wörterbüchern oder Algorithmen zu knacken. Allerdings werden auch die Grenzen dieser Methoden beschrieben, die nämlich bei langen Passwörtern eine hohe Rechenleistung erfordern. In einigen Mitgliedstaaten greifen die ermittelnden Behörden deshalb auf Dienste privater Firmen zurück, während andere hierzu eigene forensische Institute betreiben. Einfacher ist dem Dokument zufolge das Brechen schwacher Verschlüsselung oder das Erraten simpler Passwörter mithilfe marktüblicher Software.
Mit der Ausgestaltung von Gegenmaßnahmen befasst sich mittlerweile das „Netzwerk der Justizbehörden und Experten im Bereich Cyberkriminalität“ (EJCN), das eng mit Europol und Eurojust, der Agentur für die justizielle Zusammenarbeit, kooperieren soll. Von deutscher Seite ist die Generalstaatsanwaltschaft Frankfurt am Main als Zentralstelle zur Bekämpfung der Internetkriminalität am EJCN beteiligt. Gleich mehrere Abteilungen des Bundeskriminalamtes (BKA) nahmen an einem „Expertentreffen“ bei Europol teil, das den Zugang von Strafverfolgungsbehörden zu verschlüsselter Kommunikation erörterte.[23] Zur Debatte steht, bei Europol ein „Kompetenzzentrum“ zur Entschlüsselung von Telekommunikation einzurichten. Zwar würden keine Inhalte direkt an Europol ausgeleitet, die Behörden der Mitgliedstaaten könnten die Polizeiagentur aber um entsprechende Dienstleistungen ersuchen.
Deutsche oder französische Lösung?
Im Rahmen des „Expertentreffens“ zu Verschlüsselung trug das BKA bei Europol vermutlich zur Änderung der deutschen Strafprozessordnung vor, die die Große Koalition kurz vor Ende der Legislaturperiode durchgesetzt hat. Mit dem „Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens“ wurde die Schwelle für Einsätze von Trojanern deutlich herabgesetzt. Sie dürfen nun auch für Ermittlungen gegen Hehlerei oder Drogenhandel genutzt werden.[24] Mit der staatlichen Schadsoftware können Tastatureingaben vor oder nach einer Ende-zu-Ende-Verschlüsselung mitgelesen werden. Die Kryptierung würde auf diese Weise zwar nicht gebrochen, aber nutzlos gemacht. Diese „deutsche Lösung“ steht im Gegensatz zum französischen Vorschlag, der den Einbau von Hintertüren in Verschlüsselungssoftware oder Geräte fordert.
Die beiden Regierungen hatten ihre konträre Haltung im vergangenen Sommer in einem Schreiben an die Kommission erläutert. Seitdem wurde das deutsch-französische Papier im Ständigen Ausschuss für die operative Zusammenarbeit im Bereich der inneren Sicherheit (COSI), im Ausschuss der Ständigen Vertreter sowie im Rat für Justiz und Inneres beraten. Lange sah es so aus, als würde sich der deutsche Vorschlag durchsetzen. In den jüngsten Ratsschlussfolgerungen zum Stand der „Strategie der Inneren Sicherheit“ ist jedoch erstmals davon die Rede, zur „Rolle der Verschlüsselung in strafrechtlichen Ermittlungen“ einen Ansatz zu finden, bei dem auch mit Geräteherstellern zusammengearbeitet würde.[25] Ähnlich weitgehend ist die neue Formulierung zur Gewährleistung des grenzüberschreitenden Zugangs zu elektronischen Beweismitteln, wozu der Rat jetzt „angemessene Online-Untersuchungsbefugnisse“ fordert. Auch auf EU-Ebene vollzieht die Bundesregierung damit einen Kurswechsel. Bislang galt, Deutschland solle „Verschlüsselungsstandort Nr. 1“ bleiben,[26] in dem sich beispielsweise Unternehmen auf eine abhörsichere Kommunikation verlassen können. Schon das neue Trojaner-Gesetz und die Gründung der neuen „Zentralen Stelle für Informationstechnik im Sicherheitsbereich“ (ZITiS) haben dieses Ziel ad absurdum geführt. Mit den deutschen Anstrengungen in den EU-Ratsarbeitsgruppen werden nun das BKA und Europol zu zentralen Akteuren, um die gesamte Europäische Union zum „Entschlüsselungsstandort Nr. 1“ zu machen.