Projekt tGATTInnenministerium lässt „grundrechtsschonende“ Alternativen zur Quellen-TKÜ erforschen

Die Bundesregierung sucht nach Lösungen, um Inhalte verschlüsselter Kommunikation auch ohne Staatstrojaner zu überwachen. Das geht aus den Vergabeunterlagen vom Innenministerium für die Durchführung einer Studie hervor. Schon vor drei Jahren hatte die damalige Bundesregierung alternative Ansätze zur Skype-Überwachung identifiziert, angeblich aber nicht durchsetzen können.

Hat Alternativen zur Quellen-TKÜ erforschft: Flyer der Firma ESG.

Vor einem Monat haben wir berichtet, dass das Bundeskriminalamt einen eigenen Staatstrojaner zur Online-Durchsuchung fertig gestellt hat, der einsatzbereit ist. Die „Quellen-TKÜ“, also das Konzept, dass es einen Tojaner geben könnte, der nur laufende Kommunikation überwacht und sonst nichts, bereitet den Behörden weiterhin Schwierigkeiten. Wohl auch, weil Gegner behaupten, dass das gar nicht möglich ist, lässt das Innenministerium „grundrechtsschonende Alternativen zur Quellen-TKÜ“ erforschen.

(Das Wort „grundrechtsschonend“ wurde übrigens schon vor über drei Jahren auf neusprech.org behandelt.)

Diese Studie wird auch als „Projekt tGATT“ bezeichnet und von der Firma Elektroniksystem- und Logistik-GmbH (ESG) durchgeführt. Selbstverständlich haben wir auf FragDenStaat.de weitere Informationen sowie die endgültige Studie beantragt, die bereits seit Juli 2013 fertig sein soll. Bis dahin gibt es jetzt ein paar weitere Informationen aus einer Antwort der Bundesregierung auf eine schriftliche Frage des Abgeordneten Andrej Hunko.

Demnach soll die Studie laut Vergabeunterlagen „technische‚ taktische‚ regulatorische und organisatorische Lösungsansätze“ finden, um „Inhalte verschlüsselter Kommunikation zu überwachen“. Als Beispiele dafür werden „Man in the Middle“-Angriffe auf „SSL-verschlüsselte Kommunikation“ sowie „Schlüsselhinterlegung“ genannt.

Bereits im November 2012 antwortete die damalige Bundesregierung auf eine Anfrage der SPD, welche „grundrechtsschonenderen Alternativen zum Einsatz von Überwachungssoftware“ es gäbe, mit folgenden „grundsätzlich“ denkbaren Verfahren gegen verschlüsselte Internettelefonie (also Skype):

  • Ausleitung der Telekommunikation über den Anschluss des Betroffenen beim Diensteanbieter und nachfolgende Dechiffrierung der verschlüsselten Kommunikation,
  • Umleitung der Kommunikation über zentrale technische Einrichtungen (z. B. Skype-Supernodes), wobei die Kommunikation bei der Übergabe an die zentrale Einrichtungen dechiffriert wird und
  • Schaffung einer sogenannten Hintertür (Backdoor) in der Kommunikationssoftware, entweder um an Informationen zu gelangen, mit denen die Verschlüsselung im Nachhinein aufgehoben werden kann, oder um eine parallele Ausleitung der unverschlüsselten Kommunikation zu eröffnen.

Alle drei Ansätze haben den Behörden jedoch „erhebliche Schwierigkeiten“ bereitet. Eine Verschlüsselung gelinge nur, wenn die Kommunikationspartner diese fehlerhaft einsetzen. Zudem beklagte die schwarz-gelbe Regierung „fehlende rechtliche Möglichkeiten, ausländische Softwareanbieter zum Betrieb von oder zur Umleitung auf zentrale Einrichtungen oder zur Schaffung von Hintertüren in der Software zu verpflichten.“

Nennen wir das Kind doch beim Namen: es geht um Skype. Damit wird die „Quellen-TKÜ“ immer wieder begründet. Angeblich können deutsche Behörden das nicht abhören, weil die Firma in Luxemburg sitzt. Nun, seit drei Jahren gehört Skype vollständig zu Microsoft. Und die Microsoft Deutschland GmbH hat sieben Standorte in Deutschland. Damit war dieses Argument schon damals unglaubwürdig.

Und spätestens seit PRISM ist es komplett hinfällig. Da waren nämlich sowohl Skype als auch Microsoft unter den Internet-Unternehmen, auf deren Server die NSA „direkten Zugriff“ hat.

Wir bleiben dabei: staatliche Trojaner braucht es nicht.

Hier die Original-Dokumente:


Schriftliche Frage und Antwort der Bundesregierung:

Andrej Hunko, MdB: Auf weiche Weise wurde der Auftragnehmer für die Studie „Grundrechtsschonende Alternativen zur Quellen-TKÜ“ (tGATT) ausgewählt (sofern der Auftrag nicht öffentlich ausgeschrieben wurde, bitte erläutern, was die durchführende Firma für die Vergabe qualifiziert bzw. nach welchen sonstigen Kriterien diese ausgewählt wurde), und welche zu untersuchenden technischen Möglichkeiten bzw. weitere Fragestellungen wurden der durchführenden Firma oder auch deren Unterauftragnehmern vorgegeben (bitte hierfür den Wortlaut der Ausschreibung bzw. des Auftrags mitteilen, um die zu untersuchenden Techniken/Inhalte nachvollziehbar zu machen)?

Dr. Günter Krings, Bundesministerium der Innern: Nach einem mangels wirtschaftlicher Angebote aufgehobenen ersten Vergabeverfahren wurde in einem erneuten Vergabeverfahren eine entsprechende Studie durch das Beschaffungsamt des Bundesministeriums des Innern aus Gründen der Geheimhaltung sowie aus Gründen der Dringlichkeit durch eine freihändige Vergabe in Auftrag gegeben. Der Auftragnehmer ist aufgrund seiner Vorbefassung qualifiziert. Er wurde durch einen Bieter im ersten Vergabeverfahren als Unterauftragnehmer benannt und war dadurch mit dieser Aufgabenstellung befasst.

Der Auftrag wurde auf technische Alternativen im Kontext der TKÜ beschränkt. Vorgegeben wurde die Vorgehensweise zur Studienerstellung, wie z.B. Erhebung und Bewertung des Ist-Zustandes sowie Identifizierung und Bewertung von technischen Alternativen zur Quellen-TKÜ. Darüber hinaus wurden keine Vergaben gemacht. Der entsprechende Auszug aus den Vergabeunterlagen ist als Anlage beigefügt.

Anlage: Auszug aus den Vergabeunterlagen

Projekt tGATT V.2.0

C 1.2 Gegenstand der Vergabe (fachlicher Teil)

Gegenstand der Vergabe ist die Erstellung einer Studie mit dem folgenden Leistungsbereich:

C 1.2.1 Leistungsbereich – Technik

Es sind technische‚ taktische‚ regulatorische und organisatorische Lösungsansätze (z.B. „Man in the Middle“ zur Überwachung SSL-verschlüsselter Kommunikation, Schlüsselhinterlegung) umfassend zu identifizieren, die grundsätzlich/konzeptionell geeignet sind, insbesondere Inhalte verschlüsselter Kommunikation zu überwachen.

Die identifizierten Lösungsansätze sind anhand eines zu definierenden und mit dem Auftraggeber abzustimmenden Schemas aus technischer und taktischer Sicht (Beschreibung von Einsatzszenarien) zu bewerten.

Die Lösungsansätze zu Alternativen der Quellen-TKÜ im Ausland (Schwerpunkt Europa) sind als Recherche (allgemein zugängliche Quellen) zu Lösungsansätzen einzubeziehen.

C 1.2.2 Option 1 – Technik

Nach Abnahme der Studie oder auf Grund der Ergebnisse der Präsentationen kann anlassbezogen eine Anpassung, Vertiefung oder Aktualisierung der Studie im LB – Technik notwendig werden.

C 1.2.3 Option 2 – Schnittstelle Recht

Nach Ahnahme der Studie ist eine rechtliche Prüfung der erhobenen Alternativen relativ zur Eingriffstiefe der aktuellen Praxis der Quellen-TKÜ geplant. Dazu kann eine technische Einarbeitung und Begleitung mit den Erfahrungen aus dem LB Technik bzw. anderen Optionen erforderlich werden.

C 1.2.4 Option 3 – Feinspezifikation

Es ist auf Grundlage der Ergebnisse der Präsentationen eine technische Feinspezifikation einer Alternative zur Quellen-TKÜ mit funktionellem Nachweis zu erstellen.

Anforderungen an die Studie:

  • Im ersten Schritt ist der aktuelle technische Sachstand der Quellen-TKÜ im Innenressort unter Einbindung qualifizierter Ansprechpartner aus den jeweiligen Behörden (BKA, BPOL, BfV) zu erheben und strukturiert zu beschreiben (Schema). Dies dient zur Abgrenzung für den weiteren Projektverlauf.
  • Als Instrument mit größerer rechtlicher Eingriffstiefe als die Quellen-TKÜ ist die Online-Durchsuchung nicht zu betrachten.
  • Die technischen, taktischen und organisatorischen Alternativen sind zu erheben und strukturiert zu beschreiben (Schema). Dabei soll die technische und organisatorische Komplexität der Alternative (z.B. auch im Hinblick auf Ressourcenbedarf) kurz skizziert werden.
  • Die Erhebung von Alternativen beschränkt sich auf solche, die im Kontext TKÜ zu führen sind. Alternativen wie beispielsweise Beschlagnahme etc. sind hier nicht zu betrachten.
  • Die Studie wird mit Fokus auf die Sicherheitsbehörden im Innenressort erstellt.
  • Die Studie ist in einer Detail- sowie einer Managementfassung bis zum 31. Juli 2013 zu erstellen.

Bereits im November 2012 antwortete die Bundesregierung auf eine kleine Anfrage der SPD-Fraktion:

Fraktion der SPD: Welche grundrechtsschonenderen Alternativen zum Einsatz von Überwachungssoftware, etwa das Abhören von Internettelefonie über Schnittstellen, hat die Bundesregierung geprüft, und mit welchem Ergebnis?

Bundesregierung: Die Internettelefonie kann in zwei wesentliche technische Funktionsweisen unterteilt werden. Dabei umfasst der erste Bereich die klassische Telefonie zumeist mit herkömmlichen Endgeräten, die von den Telekommunikationsanbietern auf internetbasierte Verfahren umgestellt worden ist. Der zweite Bereich umfasst Software, die über das Internet Kommunikationsverbindungen unmittelbar zwischen den Kommunikationsteilnehmern (Peer-to-Peer) aufbaut. Die Endgeräte sind in diesem Fall zumeist Computer oder Smartphones. Das verwendete Kommunikationsprotokoll ist in der Regel das Voice over Internet Protocol (VoIP)

Für den zweiten Bereich sind grundsätzlich drei Verfahren denkbar, um an die Inhalte der verschlüsselten Internettelefonie zu gelangen:

  • Ausleitung der Telekommunikation über den Anschluss des Betroffenen beim Diensteanbieter und nachfolgende Dechiffrierung der verschlüsselten Kommunikation,
  • Umleitung der Kommunikation über zentrale technische Einrichtungen (z. B. Skype-Supernodes), wobei die Kommunikation bei der Übergabe an die zentrale Einrichtungen dechiffriert wird und
  • Schaffung einer sogenannten Hintertür (Backdoor) in der Kommunikationssoftware, entweder um an Informationen zu gelangen, mit denen die Verschlüsselung im Nachhinein aufgehoben werden kann, oder um eine parallele Ausleitung der unverschlüsselten Kommunikation zu eröffnen.

Die vorangehend genannten Möglichkeiten begegnen nach vorläufiger, jedoch noch nicht abgeschlossener Prüfung der Bundesregierung in ihrer praktischen Umsetzung erheblichen Schwierigkeiten. So gilt die Dechiffrierung der verschlüsselten Kommunikation außer in Ausnahmefällen (technische Fehler, ungeeignete Schlüssel) nach den Maßstäben der Wissenschaft als praktisch undurchführbar. Ferner fehlen rechtliche Möglichkeiten, ausländische Softwareanbieter zum Betrieb von oder zur Umleitung auf zentrale Einrichtungen oder zur Schaffung von Hintertüren in der Software zu verpflichten.

8 Ergänzungen

  1. erheblichen Schwierigkeiten gibt es bei der Telefonüberwachung (um nichts Anderes handelt es sich da) besonders mit dem Gedanken der Väter des Grundgesetzes.

    1963 schrieb der Spiegel, was er heute auch schreiben könnte und dem man nichts mehr hinzufügen kann:

    Das Kölner Bundesamt für Verfassungsschutz läßt sich von alliierten Nachrichtendiensten heimlich abgehörte Telephongespräche sowie ausgespähte Brieftexte offenbaren und wertet diese Geheimnisse, die laut Grundgesetz-Artikel 10 schlechthin „unverletzlich“ sind, für seine Arbeit aus*.

    Dazu die Hamburger „Zeit“: „Was Höcherl auch sagen mag: Es ist Verfassungsbruch.“

    Siehe: http://www.spiegel.de/spiegel/print/d-46172002.html

  2. Staatliche Trojaner sind wie staatliche Bankräuber: Hilft gegen ein Problem, ist aber kriminell und mit Kollateralschäden verbunden, weswegen es sowas nicht geben darf.

    1. Vor allem was dezentrales, was spricht dagegen E-Mail oder XMPP dafür als Adressierungs/“Kontaktaufnahme“-Protokoll zu verwenden? Was auch spannend ist, ist WebRTC (Browser-zu-Browser-Verbindung), unterstützt mindestens Firefox und Chrome soweit ich das mitbekommen habe!

      Einfach mal selber ausprobieren:
      https://nightly.firefox.org
      oben rechts die Sprechblase drücken!

  3. falsch (Zitat): Eine Verschlüsselung gelinge nur, wenn die Kommunikationspartner diese fehlerhaft einsetzen.
    richtig (Zitat): Eine Entschlüsselung gelinge nur, wenn die Kommunikationspartner diese fehlerhaft einsetzen.
    Original: So gilt die Dechiffrierung der verschlüsselten Kommunikation außer in Ausnahmefällen (technische Fehler, ungeeignete Schlüssel) nach den Maßstäben der Wissenschaft als praktisch undurchführbar.

    Und außerdem: Wozu die ganze Aufregung?
    1. Wer vertrauliche Daten via Skype kommuniziert ist selbst schuld.
    2. Als Open-Source Peer-to-Peer Alternative zu Skype läßt sich (vorerst) WebRTC verwenden
    3. Solange eine Ende-zu-Ende-Verschlüsselung verwendet wird, welche auf (nach heutigem
    Stand) sicheren mathematischen Verfahren beruht, gibt es keinen Grund zur Panik. Die NSA
    speichert die sicher verschlüsselten Daten ja sowieso auf Halde, weil sie die eben nicht
    entschlüsseln können. Eine Software, ein Algorithmus, oder ein Standard die/der die Idee
    der Ende-zu-Ende-Verschlüsselung kompromitiert, muß selbstverständlich
    gemieden/verbannt werden, soweit entsprechende Informationen vorliegen (da muß man
    sich eben mit diesem Thema etwas auseinandersetzen und auf Statements von (bekannten)
    Kryptologen/Mathematikern wie z.B. Bruce Schneier vertrauen).

    Einen guten Talk zum Thema „Peer-to-Peer Computing“ gibt’s z.B. hier:
    https://www.youtube.com/watch?v=-T5l3vh5X2U

    Hier noch ein schnell recherchierter Negativpunkt von WebRTC (der Post ist etwa 1 Jahr alt):
    http://debianforum.de/forum/viewtopic.php?f=15&t=144682

    1. […] Wer vertrauliche Daten via Skype kommuniziert ist selbst schuld. […]
      Diese Aussage ist unmöglich. Das Problem ist meiner Ansicht nach nicht die vertraulichen Sachen die jemand über Skype teilt, sondern das es für meine Kinder normal sein wird, wenn jegliche digitale Kommunikation abgehört / abgefangen / ausgewertet / abgespeichert wird. Egal mit welchem Client.

    2. der satz mit dem „selbst schuld“ erinnert mich an fischmob:

      „ach, sie haben einen minirock getragen… herr staatsanwalt, noch fragen? keine weiteren fragen.“

      aber mal was anderes:

      schlüsselhinterlegung heißt bei fehlender kooperation des verschlüsselnden sicherlich einbruchsdiebstahl. oh, pardon. ich meinte natürlich exfiltration.

      .~.

  4. Irgendwie erkenne ich die logik im Beitrag nicht.

    Weil über Prism sowieso alles vorliegt, sollen andere Projekte verhindert werden. So verstehe ich den Text. Dann ist also Prism etwas Gutes, weil es eigene Lösungen unnötig macht. Hmm.

    Und was Skype angeht: Ist Skype eine Tochtergesellschaft von Microsoft Deutschland? Eher nicht. Damit wird sich Microsoft Deutschland zurücklehnen und sagen: Wir haben mit Skype nichts zu tun. Ist also auch keine Lösung.

    Und nun?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.