Blackberrys Datenverrat – in Deutschland undenkbar
Auch ein BlackBerry garantiert keine abhörsichere Kommunikation. (Foto: Ian Lamont; Quelle: Flickr CC BY 2.0)
Spätestens mit dem arabischen Frühling erschufen Fernsehsender in aller Welt einen neuen Journalistentyp – den Social-Media-Reporter. Dieser stürzt sich nicht ins Getümmel, sondern greift am Monitor alles Interessante ab, was die eigentlichen Akteure auf Twitter und Facebook, in Foren und Blogs über die Ereignisse berichten. Zum Reporter am Social-Media-Desk schalten Redaktionen heute mit ebensolcher Ernsthaftigkeit wie zum Korrespondenten vor Ort.
Soziale Netzwerke sind also mittlerweile offenkundig ein Turbo für effektiven Bürgerprotest. Während im Falle Ägypten und Tunesien der Jubel hierüber groß war, rief derselbe Effekt bei den jüngsten Krawallen in England Bestürzung hervor. Die Polizei ging schnell davon aus, dass die Übergriffe maßgeblich übers Internet organisiert wurden. Ins Visier geriet insbesondere das Blackberrry-Netz des Anbieters RIM. Dessen vollverschlüsselte Kanäle sollen es gerade Gewalttätern und Plünderern leicht gemacht haben, die Staatsmacht ins Leere laufen zu lassen.
RIM in vorauseilendem Gehorsam
Sicher nicht unbedingt zur Freude vieler Blackberry-Nutzer kündigte RIM schon während der Krawalle von sich aus an, die britische Polizei freiwillig und uneingeschränkt zu unterstützen. Was wohl heißt, dass die in der Werbung als unknackbar beschriebenen Botschaften entschlüsselt und den britischen Behörden übergeben werden. Selbst wenn hiermit vielleicht Straftaten aufgeklärt werden können, bedeutet es aber zwangsläufig, dass die Polizei damit auch lesen wird, was eine Vielzahl „braver Bürger“ im fraglichen Zeitraum in ihre Blackberrys getippt hat. Ein Gedanke, der vielen Betroffenen, Journalisten etwa, sicher nicht behagt. Und zwar ganz unabhängig von der Frage, ob sie was zu verbergen haben.
Ist so ein vorauseilender Gehorsam eines Telekommunikationsanbieters auch in Deutschland denkbar? Und was wären die Konsequenzen?
Das deutsche Grundgesetz garantiert das Brief- und Telekommunikationsgeheimnis. Auf dieses Grundrecht sind Mobilfunkanbieter und Internetprovider bei uns verpflichtet. Sie dürfen – so regelt es neben dem Grundgesetz auch das Telekommunikationsgesetz ausdrücklich – unter keinen Umständen von sich aus Daten preisgeben, die Aufschluss über die Kommunikation ihrer Kunden geben. Das gilt nicht nur für Gesprächs- oder Nachrichteninhalte, sondern auch für Verbindungs- und Geodaten. Verletzt ein Unternehmen das Telekommunikationsgeheimnis, wird das mit Geld- und sogar Freiheitsstrafe geahndet.
Diese Verpflichtungen müssen deutsche Anbieter auch gegenüber Behörden beachten. Käme also etwa der Telekom-Vorstand auf die Idee, nach Krawallen in Hamburg oder Berlin der Polizei freundlicherweise die gesamten SMS seiner Kunden aus der Region zur Verfügung zu stellen, wäre dies eine strafbare Verletzung des Telekommunikatonsgeheimnisses.
In Deutschland entscheidet das Gericht
Auch gegenüber der Polizei dürfen in Deutschland tätige Anbieter also nur dann Auskünfte erteilen, wenn die Ermittler die Herausgabe selbst verlangen und hierbei die gesetzlichen Vorgaben beachten. Aus eigener Machtvollkommenheit dürfen Polizeibeamte zum Beispiel nur Bestandsdaten abfragen. Bestandsdaten sagen lediglich, auf wen eine Telefonnummer registriert ist oder zu welchem Anschluss eine IP-Adresse gehört.
Gesprächsinhalte und Verbindungsdaten darf die Polizei gar nicht selbst anfordern und sich deshalb auch nicht andienen lassen. Vielmehr muss das immer ein Richter anordnen. Aber auch der Richter kann nicht nach Belieben schalten und walten. Auch er muss sich an recht strenge Vorgaben halten, die zum Beispiel in der Strafprozessordnung niedergelegt sind. So darf der Richter lediglich die Telefone und E-Mail-Konten konkret Verdächtiger überwachen lassen.
Flächendeckende Lauschaktionen sieht das deutsche Recht derzeit nicht vor. Es wäre also schlichtweg undenkbar, dass ein Richter anordnet, alle in einem bestimmten Zeitraum in Berlin-Mitte geführten Telefonate mitzuschneiden.
Sonderfall: Funkzellenauswertung
Das Gießkannenprinzip ist derzeit nur bei einer sogenannten Funkzellenauswertung möglich. Hier werden auf richterliche Anordnung bei den Mobilfunkbetreibern alle Verbindungsdaten beschlagnahmt, die in einem bestimmten Zeitraum an einer Sendestation angefallen sind. Die Funkzellenauswertung erstreckt sich aber nur auf die Frage, wer wann mit wem telefoniert oder gesimst hat. Es geht also um Verbindungsdaten; der eigentliche Inhalt der Kommunikation ist tabu. Selbst möglicherweise noch gespeicherte Nachrichten darf der Anbieter nicht an die Ermittlungsbehörden herausgeben – außer ein Richter ordnet dies nachträglich für namentlich genannte Verdächtige an.
Telekommunikationsanbieter in Deutschland sollten sich also besser kein Beispiel an dem nehmen, was Blackberry in England exerziert. Sie würden sich damit nicht nur strafbar machen und das Vertrauen ihrer Kunden in das Fernmeldegeheimnis zerstören. Nein, es könnte auch richtig teuer für sie werden. Das Bundesdatenschutzgesetz und andere Vorschriften geben Kunden nämlich auch Schadensersatzansprüche. Ein derartiger Datenverrat könnte also nicht nur massenhafte Kündigungen provozieren, sondern auch in einer Klageflut münden.
15 Kommentare | 22. August 2011 | 14:25 Uhr |
| 
Angesichts der massenhaften Datenerhebung in Dresden beschleicht mich der Verfacht, daß dieser Richtervorbehalt in praxi wertlos ist.
Mh, sie sind aber sehr optimistisch, was den deutschen Rechtsstaat und sein Umgang mit Datenschutz angeht. Schon mal versucht, die Daten, die über einen selber gesammelt werden, bei Schufa und Co, oder beim Handyprovider oder, oder, oder zu bekommen? Bei der Schufa wurde lange über ein Gesetz gestritten. Nun hat man seit kurzer Zeit endlich ein Recht auf eine kostenlose Selbstauskunft. Davor – trotz des Grundrechts auf informationelle Selbstbstimmung – Fehlanzeige.
Dieses Grundrecht haben wir in Deutschland schon lange abgegeben. Spätestens seit mit solchen Daten Geld zu machen ist. Data-Mining ist ein seit Jahren boomender Bereich. Und dann fragen sie mal den Datenschützer in ihrem Bundesland, wie viel Macht seine Behörde wirklich hat, die Gesetze durchzusetzen. Und wie die Bundes- und Ladesdatenschutzbeauftragten und ihre Behörden finanziell ausgestattet sind, um die Datenschutzbestimmungen effektiv durch- und umzusetzen.
Das Problem sind meiner Meinung nach nicht diejenigen, die sich an die Bestimmung halten (müssen), sondern diejenigen, die sich nicht daran halten.
Wenn ich einer ermittelnden Behörde mit meinen Daten helfen kann – kein Problem. Die verkaufen meine Daten wenigstens nicht an zig andere, die die eingekauften Daten mit anderen eingekauften Daten kombinieren.
Da das immer wieder aufkommt und erwähnt wird, frage ich mich doch ernsthaft, wie man die “Emailkonten” von jemandem überwachen möchte. Natürlich kann man die Betreiber eines Emaildienstes dazu zwingen die Daten heraus zu geben, aber wie will man denn ein Konto bei einem Emaildienst einer Person zuordnen? Als wäre jedes Emailkonto auf die Postadresse registriert.
Natürlich kann man den SMTP Traffic einer IP mitschneiden, doch bei einem reinen Webmailservice läuft man dabei wohl ins Leere. Und bis die Polizei mitbekommt, dass ich einen neuen unbekannten Webmailer via HTTPS benutzte, habe ich doch schon 100 mal eine Plünderung angezettelt.
Alles hohle Phrasen so etwas. Was hier viel mehr stinkt, ist das RIM sein System immer damit beworben hat, dass der SSH-private Key nur dem Kunden und dem Server des Drittanbieters bekannt sei. Und nun kann RIM doch auf einmal offen legen, was da so durch ihre Netzwerke läuft!?
So ein bisschen sind die Blackberry-User aber auch selbst schuld. Sie sehen nur “Verschlüsselung” und denken dann, alles ist in Ordnung. Bei der Blackberry-zu-Blackberry-Kommunikation bedeutet Verschlüsselung, dass die Daten von Blackberry zu RIM verschlüsselt sind. RIM entschlüsselt sie und verschlüsselt sie wieder mit dem Schlüssel, den RIM mit dem anderen Blackberry ausgehandelt hat. Dazwischen sind die Nachrichten (bei RIM) im Klartext und werden so auch gespeichert. Mit einer Ende zu Ende-Verschlüsselung zwischen den beiden Geräten hat das natürlich nichts zu tun, hier hätte RIM es dann auch schwer, Daten zu liefern…
Als unknackbar wurde von RIM immer nur die Enterprise-Kommunikation bezeichnet, also die zwischen den Endgeräten und einen Enterprise-Server im jeweiligen Unternehmen.
Bei Blackberry-Konten für Jedermann befindet sich dieser Server bei RIM selbst und solche Konten sind für RIM folglich einsehbar.
Außerdem geht es hierbei nicht um E-Mails sondern um die Nachricht die mit dem Blackberry Messenger versendet wurden. Diese sind alle mit dem gleichen Schlüssel verschlüsselt und werden über RIM Server geleitet. Daher kann RIM die Daten auch einsehen.
Die Kommunikation von einem Endgerät zu einem Blackberry Enterprise Server ist voll-Verschlüsselt, ohne das RIM eine Möglichkeit hat die Daten einzusehen.
Die Ermittlungsbehörden können bei Providern wie web.de mit einem Gerichtsbeschluss Zugriff auf ein E-Mail Konto bekommen. Und web.de kann anhand deiner IP ja herausfinden von wo du die über den Webmailer verbindest.
Spannend wird das ganze natürlich wenn man seinen eigenen Mailserver hat… Aber da wird sich dann wohl mit Sniffen o.ä. was machen lassen.
Der Artikel widerspricht sich:
RIM ist kein Telekommunikationsanbieter wie Telekom oder Vodafone. Außedem sitzt er im Ausland.
Könnte also RIM für seine in Deutschland genutzten Blackberrys nicht auch die Daten den Ermittlungsbehörden anbieten? Denn die Daten selbst liegen ja wohl auch nicht in D sondern im Ausland (Kanada?).
Die Frage “Was sagen Sie dazu?” steht leider bezugslos im Raum. Ist der letzte (für mich etwas wirre) Beitrag gemeint oder der G3esamttext oberhalb der Frage? Ich betrachte Letzteres. Insgesamt war das durchweg hochwertige Deutsch für mich ein bei blogs höchst selten zu findendes Phänomen. Dafür danke ich allen Beteiligten!
Zum Thema Datenschutz:
Dieses Wort ist bestgeeignet für BlaBla aller Niveaustufen. Es ist ebenfalls hysterieträchtig und emotionenaufpeitschend in beide Richtungen: Der mit dem abgefackelten Auto möchte den Täter mittels der Erfassung von SMS-Daten dingfest wis-sen. Der Inhaber Schweizer Konten reklamiert wirksamste Ge- heimhaltung seiner dortigen Gegebenheiten. Ihm zur Seite viele große und kleiner Gauner und Verbrecher.- Zwei Seiten ein und derselben Münze.
Warum die Aufregung. Das passiert doch schon lange in Deutschland. Die Telkom gibt die Adresse an die Telegate AG (ist gesetzlich geregelt). Und die Telegate AG verkauft die Adresse an die Schober AG. Und die GEZ (ist doch eine Behörde oder nicht?!) kauf die Adresse von der Schober AG !
Und dann bekomme ich Post von der GEZ.
Für was brauchen wir noch Staatsunternehmen unter dem Deckmantel der Gesetzte Daten an Privatfirmen weitergeben “müssen” .
Es lebe der Datenschutz !
wo genau ist da der bezug zum thema – stichwort kommunikationsdaten? einfach mal wieder über die gez nörgeln, weil das überall reinpasst?
Wie “Sauer” schon sagt. In Deutschland werden schon sehr lange Daten von A nach B verkauft. Der Datenschutz ist diesen Unternehmen sch…. egal. Hauptsache es gibt genügend Geld für die Daten.
Ach bitte! Als ob sich Behörden an Vorschriften halten. Falls es doch rauskommen sollte, droht diesen eh keine Konsequenz. Die Realität sieht anders aus leute.
Der Wunsch nach Verschlüsselung, kein Wunder angesichts zunehmender staatlicher Überwachung und der Daten Sammelwut vieler Privatunternehmen, stellvertretend seien Google und Facebook genannt, treibt viele Blüten.
Nicht nur bei Blackberry, wo die Daten auf dem Blackberry Server im Klartext liegen und dort offensichtlich auch längere Zeit gespeichert werden, sondern auch im Usenet.
Das Usenet, Vorläufer und Vorbild der Webforen, ist an sich schon ziemlich sicher, weil praktisch kein Usenet Provider (zumindest ist mir als Insider keiner bekannt) die Downloads seiner Kunden mitloggt, sondern äußerstenfalls auch bei einer Flatrate, wie es beispielsweise ein großer amerikanischer Usenet Provider macht, das mit Downloads verbrauchte Volumen erfasst. Anders sieht es mit Uploads aus, die können nur bei den wenigsten Usenet Providern vollkommen anonym erfolgen.
Je mehr die Musik- und Filmindustrie wie auch Sicherheitspolitiker eine totale Überwachung des Internets fordern, umso mehr User wünschen sich Verschlüsselungs-Techniken. Eine dieser Verschlüsselungstechniken ist im Usenet längst üblich, nämlich SSL. Durch diese Verschlüsselung kann noch nicht einmal mit einer Deep Paket Inspektion beim Internetprovider oder einem der Internetknoten festgestellt werden, was vom News-Server gerade herunter geladen wird.
Dennoch bietet derselbe große amerikanische Usenet Provider, der andererseits wesentlich mehr Daten über das Nutzerverhalten speichert, als erforderlich wäre, seit einiger Zeit zusätzlich VPN Verschlüsselung an, die in puncto Sicherheit für die Kunden dieses Providers 0 Gewinn bringt. Denn, auf dem Weg durch das Internet sind die Daten ohnehin schon durch SSL sicher. Andererseits, nur an den beiden Endpunkten, dem News-Server auf der einen Seite, dem User auf der anderen Seite, kann festgestellt werden, was überhaupt aus einer Newsgroup angefordert und heruntergeladen wurde. Trotzdem reißen ihm die Kunden dieses kostspielige Angebot geradezu aus den Händen. Es erinnert irgendwie an Blackberry RIM.
Doch, das haben auch viele dumme Politiker und Bürger nicht begriffen, solange sich jemand sicher wähnt, wird die Kommunikation ziemlich offen sein. Die Strafverfolgung ist ohne Vorratsdatenspeicherung und andere staatlicher Eingriffe in das Internet tatsächlich, gerade auch bezogen auf schwere Straftaten, wesentlich erfolgreicher, weil sich viele so sicher wähnen, dass sie tatsächliche, wenn auch unbequeme Sicherheitstechniken nicht benutzen.
Ansonsten, Gesetze, auch Datenschutzgesetze, nützen nur dann etwas, wenn ihre Einhaltung kontrolliert werden kann. Doch das fällt gerade bei Datenschutz sehr schwer, schließlich können Daten beliebig weitergegeben, kopiert, an anderem Ort gespeichert werden. Wer bitte soll das kontrollieren können? So sind denn auch viele Gesetze und Kommentare zum Datenschutz eigentlich eher fromme Wünsche.
Offenkundige Tatsachen laut ZPO § 291
Piratenpartei: GEZ-Beamten Hausverbot erteilen!
Vor einem Jahr, am 23. August, stellte das Amtsgericht Bremen fest, dass das Hausrecht über dem Recht der GEZ-»Gebührenbeauftragten« steht. Damit ist es möglich, den Mitarbeitern der GEZ ein generelles Hausverbot zu erteilen. Auf diese weitgehend unbekannte Tatsache weist die Piratenpartei jetzt alle Bürger hin, meldet MMnews.
http://www.mmnews.de/index.php/etc/8394-gez-hausverbot
Momentan mag in Deutschland ein solcher Daten-Verrat nicht möglich sein. Aber wie lange noch?
Das SWIFT-Abkommen ging ohne große Proteste durch. Der Handydaten-Skandal in Dresden ist schon vergessen. Seit dem Anschlag in Norwegen kommen bei uns in Deutschland(!) die Überwachungs-Fanatiker aus allen Löchern und fordern mehr Befugnisse für den Staat.
In England lassen die markigen Worte der Regierung nichts Gutes ahnen. Kanada bastelt gerade jetzt an rabiaten Überwachungs-Gesetzen. Die neuen Medien-Gesetze in Ungarn bewirkten nur ein bisschen Brummeln bei den anderen Europäern.
Der Trend zur Überwachung ist weltweit. Auch hier in Deutschland ist er spürbar. Niemand kann glauben, dass wir beim Datenschutz eine Insel der Seligen bleiben. Wenn es so weit ist, kann man Verschlüsselung einfach verbieten. Abgesehen davon haben die meisten Internet-Nutzer keine Verschlüsselung. Der größte Teil der Kommunikation bleibt schon deshalb unverschlüsselt.
Verbrecher werden einen Ausweg finden. Gerade die “großen Fische” fängt man mit solchen Maßnahmen nicht. Aber eine allgemeine Überwachung ist schon im Anmarsch. Dann können sich ein paar Computerfreaks heimlich verschlüsselte und steganografisch verstecke (harmlose) Nachrichten schicken. Sie werden sich freuen, wie sie den Staat ausgetrickst haben. Das taugt dann nicht mal als Protest, denn sie können ja nicht darüber offen sprechen.