[h=1]Polizeizugriff auf neues Handy-Zahlsystem[/h] Der neue Überwachungsstandard betrifft nicht nur Facebook, Twitter und Co. Hintertüren soll es auch für die neuen SIM-basierten Bezahlsysteme der Telekoms geben.
Schon heute sind Smartphones für viele Menschen die wichtigsten Begleiter im Alltag. Nach dem Willen der Mobilfunker und Telekoms soll die neue Generation von SIM-Karten mit Funktionen vom virtuellen "Börserl" bis zum kompletten, handybasierten Beahlsystem samt digitalem Ausweis aufgerüstet werden. Doch dieser Plan könnte an staatlich verordneten Sicherheitsproblemen scheitern. Geheimdienste und Polizei arbeiten längst an einem neuen Überwachungsstandard, der Zugriff auf alle Sozialen Netzwerke und alle neuen Bezahlsysteme gewährleisten soll.
Die Basis für dieses Vorhaben wurde schon in den 1990er Jahren gelegt - weitestgehend unbeobachtet von der Öffentlichkeit. Bereits die allerersten Entwürfe zur technischen Überwachung der damals neuartigen GSM-Mobilfunknetze enthielten eine Passage des folgenden Inhalts: Wenn der Netzbetreiber Verschlüsselungsmethoden verwende, dann müsse er auch den Inhalt der Kommunikation auf Verlangen der Behörden unverschlüsselt bereitstellen können.
Damals bezog sich diese Forderung nur auf die im GSM-Netz eingesetzte Standardverschlüsselung, die in der Regel nur auf der "letzten Meile" - nämlich zwischen Handy und Funkmast - eine Rolle spielte. Die Überwachungsmaßnahmen für Telefonie wurden und werden in der Regel aber ohnehin nicht dort gesetzt, sondern an einer zentralen Schnittstelle des Netzanbieters. Diese Schnittstellen wurden seit 1996 im European Telecom Standards Institute (ETSI) definiert und seither immer wieder angepasst - etwa für UMTS-Telefonie oder neue Datendienste.
[h=2]Überwachung des WWW[/h]Der Absatz zur verpflichtenden Knackbarkeit von Verschlüsselung wurde denn all die Jahre fortgeschrieben, ohne dass dies besondere Auswirkungen gehabt hätte. Das ändert sich nun radikal, denn nach britischem Muster wird die Überwachung nun auf den gesamten WWW-Verkehr ausgedehnt.
Mit "Cloud-Services" sind daher in Folge Soziale Netzwerke wie Facebook, Twitter oder Google+ gemeint, aber auch Virtual Private Networks von Drittanbietern, Anonymisierungs- oder Bezahldienste aller Art, die über drahtloses Breitband oder Festnetzinternet daherkommen.
"Wenn ein Communication Service Provider (CSP) einen 'Cloud-Service' implementiert", dann ändere das nichts an seiner gesetzlichen Verpflichtung.
==Welche Dienste betroffen sind ==
So heißt es denn in der neuesten Version des Standardentwurfs zur "gesetzeskonformen Überwachbarkeit der Cloud und virtueller Services", der ORF.at vorliegt. Diese Verpflichtung besteht eben darin, die abgefangene Kommunikation den Strafverfolgern auf Verlangen im Klartext vorlegen zu können. "CSP" ist eine Telekom, ein Kabelnetzbetreiber, ein Mobilfunkunternehmen oder ein reiner Internetprovider.
Das betrifft neben sämtlichen Sozialen Netzwerken mit "https"-Zugang auch alle Anbieter von Anonymisierungsdiensten oder Virtual Private Networks. Ebenso betroffen sind Bezahlvorgänge über die WWW-Portale der Banken.
[h=2]Alles wird zur "Cloud"[/h]Dieser Standard zur Überwachung aller "Cloud"-basierten Dienste - praktisch ist das der gesamte Internetverkehr - wird in schnellem Wechselspiel der zwei damit befassten Gremien im European Telecom Standards Institute vorangetrieben.
Der nun vorliegende Entwurf des Technischen Reports (ETSI DTR 101 567 V 0.1.0) wurde in der für Mobilfunknetze zuständigen Arbeitsgruppe 3GPP SA3LI erstellt und ist bereits vom übergeordneten Technischen Komitee TC LI (Lawful Interception) abgesegnet. Alle bestehenden Dienste im Netz, für die es bis jetzt keine Überwachungsverpflichtung gab, werden einfach zu neuen "Cloud"-Services erklärt.
[h=2]Manipulierte Verschlüsselung[/h]Damit ist der Weg klar vorgezeichnet: Entweder bietet der Cloud-Anbieter selbst eine Hintertür - genannt "Cloud Lawful Interception Function". Oder der Telekombetreiber muss den verschlüsselten Datenverkehr seines Kunden mit einem Drittanbieter durch Manipulation beim Aufbau der verschlüsselten Verbindung knacken.
Ein entsprechender Mechanismus wird auf Verlangen der britischen Regierung seit Herbst 2011 im ETSI entwickelt, die Verschlüsselung der Blackberrys wird dabei durch eine Manipulation beim Verschlüsselungsaufbau ausgehebelt. In Großbritannien wird diese Methode erklärtermaßen bereits angewendet. Sie soll nun auf alle anderen Services ausgeweitet werden, die - in welchem Zusammenhang auch immer - für sichere Kommunikation sorgen.
[h=2]"Muster von Interesse"[/h]In Abschnitt 4.3 "Sicherheit virtueller Services" heißt es da, "die für gesetzmäßige Überwachung interessanten Möglichkeiten schließen Identitätsmanagement und Security-Implementationen mit ein, die es ermöglichen, Verkehrsdaten und Muster von Interesse abzugreifen."
Übersetzt heißt das: Durch generelle Sicherheitsmaßnahmen des Cloud-Anbieters, die stets mit Filterung und Analyse von Verkehrsdaten verbunden sind, fallen für die staatlichen Überwacher interessante Datensätze an, die der Suche nach bestimmten Kommunikationsmustern dienlich sind.
Das fällt allerdings nicht unter traditionelle Polizeiarbeit, das ist eindeutig in der Domäne der Geheimdienste angesiedelt. Die aber sind in den beiden ETSI-Gremien massiv vertreten, eine Hauptrolle spielt dabei der Militärgeheimdienst GCHQ, das britische Gegenstück zur National Security Agency (NSA) der USA.
[h=2]Facebook-Überwachung[/h]Welche Arten von Cloud-Anbietern unter diese Überwachungsverpflichtung fielen, würde auf nationaler Ebene festgelegt, sagt Abschnitt 5.2 des ETSI-Dokuments. Damit sind für die britischen Facebook-Überwachungspläne Tür und Tor geöffnet.
Die Logik dahinter sieht so aus: Da der Telekom-Netzbetreiber seit jeher verpflichtet ist, verschlüsselte Services auf Verlangen der Behörden offenzulegen, hat er nun auch dafür zu sorgen, dass solche Dienste überwachbar werden, die von Drittanbietern über sein Netzwerk kommen. Damit gemeint sind Facebook, Twitter und andere Soziale Netzwerke, die "https"-verschlüsselte Zugänge anbieten, der technische Terminus in der "Cloud" dafür ist "Communication as a Service".
[h=2]Hintertüren für SIM-Cards[/h]Der dritte Punkt, dass auch eigene, neue Services des Internetproviders selbst überwachbar werden müssen, richtet sich direkt gegen ein neues Geschäftsmodell, das von eingesessenen Telekoms wie von Mobilfunkern jahrelang entwickelt wurde und nun vor dem "Roll-Out" steht.
Die neueste Generation der SIM-Cards, die USIM, ist nur das letzte fehlende Element eines kompletten Zahlungssystems, das auf iPhones, wie auf Android-Geräten oder Blackberrys gleichermaßen funktionieren wird. Es ist der USIM-Chip, der alles verschlüsselt und alle essentiellen Daten speichert, seine zentrale Funktion aber ist die eines elektronischen Ausweises gegenüber dem Netzbetreiber.
SIM steht schließlich für "Subscriber Identity Module", die neue "universelle" SIM soll nach dem Modell der Telekoms ein universeller, elektronischer Ausweis werden. Das ist das oben explizit erwähnte "Identitätsmanagement" und damit wir sind wieder bei den verschlüsselten Diensten angelangt, die der Netzbetreiber im Klartext zur Verfügung stellen muss.
[h=2]Kompromittierte Bezahlsysteme[/h]Ein sicheres Ausweis- und Bezahlsystem, wie es die Telekoms vorhaben, aber steht und fällt mit dem angebotenen Sicherheitsgrad, den wiederum digitale Zertifikate, die auf digitalen Signaturen beruhen, garantieren. Wenn die Vorgabe jedoch wie hier lautet, dass Kommunikationen über "https"-Zugänge von Drittanbietern wie Facebook auf Verlangen der Behörden vom Netzbetreiber im Klartext zur Verfügung gestellt werden müssen, dann müssen die Verschlüsselungsmechanismen generell manipulierbar werden.
Das stellt nicht nur das in Umsetzung befindliche Geschäftsmodell einer sicheren Infrastruktur für Zahlungsdienste der Telekoms in Frage, sondern kompromittiert sämtliche bisherigen, internetbasierten Zahlungssysteme sowie die gesamte Zertifizierungsinfrastruktur, die sich während des letzten Jahrzehnts zur Basis für das gesamte Internetgeschäft entwickelt hatte.
[h=2]Vorbild Vorratsdatenspeicherung[/h]Natürlich handelt es sich derzeit "nur" um den Entwurf eines technischen Standards - das ETSI ist ein privater Verein - und nicht um eine EU-Regelung. Noch nicht, ist hier hinzuzufügen, denn umgesetzt wird da, was in Großbritannien bereits erklärtes Vorhaben der Regierung ist.
Genauso hatte alles im Jahr 1999 mit der Vorratsdatenspeicherung begonnen, die Großbritannien schon damals einführen wollte, aber im eigenen Parlament daran gescheitert war. Frankreich hatte diese parlamentarischen Probleme nicht und deshalb schon 2001 ein entsprechendes Gesetz. Fünf Jahre danach kam dann der EU-Beschluss zur Vorratsdatenspeicherung, was als britischer Alleingang begonnen hatte, wurde zur EU-weit gültigen Pflicht. Bald danch folgte der zugehörihe ETSI-Standard.
Polizeizugriff auf neues Handy-Zahlsystem - fm4.ORF.at
Cu
Verbogener