Kurt Graulich, Sonderbeauftragter für die Selektorenprüfung hat am Freitag seinen Bericht vorgelegt, in dem er die ihm vorgelegten Listen mit rund 40.000 abgelehnten Selektoren bewertet. Doch das Gutachten enthält Schwachpunkte, ein großer ist mangelndes technisches Hintergrundwissen, das zu Fehleinschätzungen führt.
Weitere, lesenswerte Analysen mit anderen Schwerpunkten: Kai Biermann geht darauf ein, wie in dem Selektorenbericht die Schuld auffällig zur NSA geschoben wird und die Beteiligung des BND und der Bundesregierung kleingeredet wird. In einem weiteren Artikel kritisiert er, dass der öffentliche Teil des Berichts nicht verrät, welche deutschen und europäischen Unternehmen in den Selektoren enthalten waren und sich diese so nicht mit rechtlichen Mitteln wehren können. Constanze schreibt unter anderem über die Schwammigkeit des Begriffs „deutsche Interessen“ und Thorsten Denkler stellt fest, dass Graulich viele seiner Einschätzungen direkt vom BND kopiert hat.
Wenig technische Expertise, aber der BND hilft mit
Die „Vertrauensperson“ der Bundesregierung bei der Selektorenprüfung, Kurt Graulich, ist Jurist – ehemaliger Richter am Bundesverwaltungsgericht, um genau zu sein. Technische Expertise gehört jedoch nicht zu seinen Kernkompetenzen. Die Selektoren zu analysieren, mittels derer der BND der NSA dabei half, auch europäische und deutsche Ziele auszuspionieren, ist aber sowohl juristisch als auch technisch eine Herausforderung. Daher ist es naheliegend, dass er fachkundige Hilfe benötigt. Doch die Hilfsquelle, die er bekommt, ist für den Anlass seiner Untersuchungen mehr als fragwürdig: Der BND selbst.
Wir haben bereits wiederholt kritisiert, dass Graulich gerade von der Stelle unterstützt werden soll, deren etwaiges rechtswidriges Verhalten bewertet werden müsste – dem BND. Zu Beginn seines Berichtes stellt er kurz dar, wie die Zusammenarbeit im BND-Neubau in Berlin organisatorisch abgelaufen ist:
In einem abgegrenzten Bereich von fünf Arbeitszimmern plus Küche, die auch als Besprechungsraum diente, wurde über nahezu vier Monate eine feste Arbeitsorganisation im Rahmen einer Fünftagewoche entwickelt, die sich auf die vollständige Büro- und Sicherheitstechnik im dortigen Gebäude abstützen konnte. Während der gesamten Zeit standen der Sachverständigen Vertrauensperson für inhaltliche Fragen eine Juristin des BND und zur Lösung organisatorischer Aufgaben ein weiterer Mitarbeiter des BND zur Verfügung. Zur Bearbeitung informationstechnischer Fragen war außerdem über einen längeren Zeitraum ein Ingenieur des BND anwesend.
Kurze Dienstwege sind das und es wird offensichtlich, dass Graulich an vielen Stellen auf die Argumentation des BND vertraut. Und dabei Fehler passieren.
40.000 aussortierte Selektoren != 40.000 rechtswidrige Selektoren.
Untersucht hat Graulich jene Selektoren aus dem Kooperationsprojekt Bad Aibling, die durch den BND abgelehnt wurden. Manche davon waren Hunderte Tage in den Systemen aktiv, andere wurden schon vor der Einspeisung ins System aussortiert. Graulich erwähnt des Öfteren, dass sich die Anzahl der aussortierten Selektoren im „niedrigen Promillebereich“ bewegt. Doch die Filter, die jene Selektoren finden sollen, die deutschen und europäischen Interessen entgegenstehen, funktionieren nicht richtig.
Das erkennt Graulich an, auch wenn er diesen Missstand beachtenswert positiv verpackt:
An der technischen Zuverlässigkeit des automatischen Filterungssystems DAFIS besteht kein Zweifel. Allerdings filtert es auch nur, wofür es programmiert worden ist. Insbesondere eilt es nicht später formulierten Erwartungen voraus.
Und genau das ist der Punkt, warum nicht davon ausgegangen werden kann, dass von den geschätzt 14 Millionen Selektoren, die insgesamt von der NSA übermittelt wurden, nur jene 40.000 rechtswidrig sind, die Graulich zu Gesicht bekommen hat. Dazu finden wir aber leider kein kritisches Wort.
Fragwürdiges technisches Verständnis – IMSI, IMEI und der Länderbezug
Was genau der Unterschied zwischen IMSI, IMEI und anderen Abkürzungen ist, werden die wenigsten Menschen aus dem Stand sagen können. Aber gerade bei der Prüfung von Selektoren ist eine genaue Begriffskenntnis wichtig, die in Graulichs Bericht fehlt. Auf Seite 114 heißt es:
Eine Untergruppe von außereuropäischen IMSIs war aussortiert worden, weil die entsprechenden IMSIs mit „49“ beginnen.
Das zeugt von Unverständnis, wenn man sich ansieht, wie eine IMSI, die internationale Mobilfunk-Teilnehmerkennung, aufgebaut ist. Sie besteht aus einer dreistelligen Länderkennung am Anfang, gefolgt von einer zwei- oder dreistelligen Kennung des Netzwerks und einer Teilnehmeridentifikationsnummer. Die Länderkennung für Deutschland ist dabei „262“. Nicht „49“.
Mit „49“ meinte Graulich wohl eher die IMEI, die als Seriennummer das Endgerät identifiziert. Die ersten beiden Ziffern der IMEI sind der Reporting Body Identifier (RBI), sie kennzeichnen die Akkreditierungsstelle, die das Gerät zugelassen hat. „49“ deutet tatsächlich darauf hin, dass ein Gerät von einer deutschen Zulassungsstelle zertifiziert wurde, nämlich dem „Bundesamt für Post und Telekommunikation“. Aber da gibt es noch die Nummern 50 bis 54, hinter denen deutsche oder deutschstämmige Zulassungsstellen stehen, unter anderem der TÜV. Und selbst wenn die Zulassungsstelle in Deutschland liegt: Innerhalb der EU dürfen alle in der EU zugelassenen Telefone verkauft werden. Ein Telefon dessen IMEI mit den Ziffern 49 beginnt, kann also gut und gerne in Paris verkauft werden.
Übrigens: Ein kurzer, statistisch natürlich nicht tragfähiger Test im Redaktionsumfeld hat ergeben, dass ein Großteil unserer Mobiltelefone die RBI 35 hat. „British Approvals Board for Telecommunications“ ist die zugeordnete Zulassungsbehörde. Sitz: Großbritannien.
Who is whois?
Bei VoIP-Telefonie, so der Bericht, seien Telefonate anhand von angegebenen E‑Mail-Adressen selektiert worden. Seien keine Top-Level-Domains zu den E‑Mail-Adressen angegeben, sei ein Länderbezug nicht automatisiert herstellbar und der Selektor abgelehnt worden. Hier stolpert man gleich zweimal. Zum einen: Was hat eine E‑Mail-Adresse mit einem VoIP-Telefonat zu tun?
Gar nichts. Graulich meint hier wahrscheinlich die SIP-Adresse, die zur VoIP-Telefonie verwendet wird und die ähnlich aussieht wie eine E‑Mail-Adresse, zum Beispiel 23812424@voipphone.com. Aber zum Punkt der Top-Level-Domain. Eine E‑MailSIP-Adresse benötigt keine Top-Level-Domain, wenn statt „voipphone.com“ die entsprechende IP-Adresse angegeben wird. Zum ersten kann die Top-Level-Domain einer SIP-Adresse beliebig sein, je nachdem, auf welchen Anbieter ein Kunde zurückgreift, und dient höchstens als schwaches Indiz für eine Länderzuordnung. So wirbt die in Deutschland ansässige Firma hinter sipload, die „@sipload.com“-Adressen vergibt – und damit für den BND in erster Instanz nicht einem Deutschen zugeordnet wird – mit dem Argument:
Unsere SIP-Adressen funktionieren weltweit. Ihr Anschluss kann beliebig auf der Welt immer unter der gleichen SIP-Adresse bzw Ihrer damit verknüpften Rufnummer erreicht werden.
Zum zweiten sollte der BND durchaus dazu in der Lage sein, eine simple Whois-Anfrage zu stellen, um zumindest festzustellen, ob eine IP-Adresse oder Domain in Deutschland registriert ist oder nicht. Dass das nicht unbedingt zuverlässig bestimmen kann, ob hinter der Adresse auch ein sogenannter „Grundrechtsträger“ steht, ist uns durchaus bewusst. Auch K.M. sagte gegenüber dem NSA-Untersuchungsausschuss aus, dass das Filtern von IP-Adressen wesentlich komplexer ist als bei klassischer Telefonie und IP-Adressen deshalb nicht auf der ersten Stufe der Selektorenprüfung ausgefiltert wurden.
Die Metadaten und der Personenbezug
Enttäuschend ist Graulichs Verständnis von personenbezogenen Daten. Das Bundesdatenschutzgesetz sagt uns:
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.
Graulich ist der Meinung, Selektoren enthielten nicht immer personenbezogene Merkmale. Personenbezug bei einer E‑Mail-Adresse bestehe beispielsweise dann, wenn sie „Namensbestandteile“ enthält. Es ist vollkommen unklar, was das bedeutet: anna@netzpolitik.org enthält klar einen Namensbestandteil, a.biselli@random.tld auch, abi@foo.bar ebenso. Wo soll eine scharf trennbare Grenze zwischen identifizierendem Namensbestandteil und einem nicht-zuordenbaren Pseudonym liegen. Ganz davon abgesehen lässt sich in vielen Fällen mittels Bestandsdatenauskunft beim Mailprovider der Nutzer einer Mailadresse ermitteln.
Doch weiter:
Anders als Selektoren mit Namensbestandteilen von E‑Mail-Adressen sind Selektoren für Telefonnummern, Nummern von IMEI und IMSI sowie IP-Adressen grundrechtlich einzuordnen. Es handelt sich jeweils um Zahlenkombinationen ohne personenbezogenen Eigengehalt. Ihnen fehlt der unmittelbare Personenbezug; deshalb haben sie nicht Teil am Schutz des informationellen Selbstbestimmungsrechts
Letzterer Teil ist eine gewagte Einschätzung. Während noch darauf gewartet wird, ob dynamische IP-Adressen vom Europäischen Gerichtshof als personenbezogene Daten deklariert werden – die Tendenz geht in Richtung ja -, sind IMSIs eindeutig personenbezogen. Denn vor dem Nutzen einer SIM-Karte, der die IMSI zugeordnet ist, muss in Deutschland formell immer noch eine Registrierung erfolgen.
Das Problem ist, dass Graulich die Schwelle der Bestimmbarkeit anders sieht als sie die technische Realität setzt. Eine „Bestimmbarkeit“ eines Datum, so auch Graulich, „ist dann nicht gegeben, wenn die Person nur mit unverhältnismäßigem Aufwand ermittelbar ist“. Wer legt aber fest, was ein unverhältnismäßiger Aufwand ist? Graulich schreibt, bei „ ‚deutschen’ Telefonnummern“ sei die Person recht leicht ermittelbar, bei ausländischen aber nicht, da die gesetzliche Befugnis zur Ermittlung des Anschlussinhabers nicht vorhanden sei. Und:
Ferner fehlt es in den relevanten ausländischen Staaten häufig an aktuellen, vollständigen
Rufnummernverzeichnissen wie man sie aus Deutschland kennt.
Kein Telefonbuch im Ausland als Argument für die Unverhältnismäßigkeit einer Personenbestimmung kann heute kaum mehr überzeugen. Das Nachplappern von BND-Argumenten, egal ob aus Unwissenheit oder falscher Loyalität zur Bundesregierung, auch nicht.