IMSI, IMEI, SIP: Selektoren-Gutachter Graulich verheddert sich im Technik-Dschungel

Wo der V-Mann die Selektoren lesen darf: BND-Neubau in Berlin. Bild: Georg Kroemer. LIzenz: Creative Commons BY-NC-ND 2.0.

Kurt Graulich, Sonderbeauftragter für die Selektorenprüfung hat am Freitag seinen Bericht vorgelegt, in dem er die ihm vorgelegten Listen mit rund 40.000 abgelehnten Selektoren bewertet. Doch das Gutachten enthält Schwachpunkte, ein großer ist mangelndes technisches Hintergrundwissen, das zu Fehleinschätzungen führt.

Weitere, lesenswerte Analysen mit anderen Schwerpunkten: Kai Biermann geht darauf ein, wie in dem Selektorenbericht die Schuld auffällig zur NSA geschoben wird und die Beteiligung des BND und der Bundesregierung kleingeredet wird. In einem weiteren Artikel kritisiert er, dass der öffentliche Teil des Berichts nicht verrät, welche deutschen und europäischen Unternehmen in den Selektoren enthalten waren und sich diese so nicht mit rechtlichen Mitteln wehren können. Constanze schreibt unter anderem über die Schwammigkeit des Begriffs „deutsche Interessen“ und Thorsten Denkler stellt fest, dass Graulich viele seiner Einschätzungen direkt vom BND kopiert hat.

Wenig technische Expertise, aber der BND hilft mit

Die „Vertrauensperson“ der Bundesregierung bei der Selektorenprüfung, Kurt Graulich, ist Jurist – ehemaliger Richter am Bundesverwaltungsgericht, um genau zu sein. Technische Expertise gehört jedoch nicht zu seinen Kernkompetenzen. Die Selektoren zu analysieren, mittels derer der BND der NSA dabei half, auch europäische und deutsche Ziele auszuspionieren, ist aber sowohl juristisch als auch technisch eine Herausforderung. Daher ist es naheliegend, dass er fachkundige Hilfe benötigt. Doch die Hilfsquelle, die er bekommt, ist für den Anlass seiner Untersuchungen mehr als fragwürdig: Der BND selbst.

Wir haben bereits wiederholt kritisiert, dass Graulich gerade von der Stelle unterstützt werden soll, deren etwaiges rechtswidriges Verhalten bewertet werden müsste – dem BND. Zu Beginn seines Berichtes stellt er kurz dar, wie die Zusammenarbeit im BND-Neubau in Berlin organisatorisch abgelaufen ist:

In einem abgegrenzten Bereich von fünf Arbeitszimmern plus Küche, die auch als Besprechungsraum diente, wurde über nahezu vier Monate eine feste Arbeitsorganisation im Rahmen einer Fünftagewoche entwickelt, die sich auf die vollständige Büro- und Sicherheitstechnik im dortigen Gebäude abstützen konnte. Während der gesamten Zeit standen der Sachverständigen Vertrauensperson für inhaltliche Fragen eine Juristin des BND und zur Lösung organisatorischer Aufgaben ein weiterer Mitarbeiter des BND zur Verfügung. Zur Bearbeitung informationstechnischer Fragen war außerdem über einen längeren Zeitraum ein Ingenieur des BND anwesend.

Kurze Dienstwege sind das und es wird offensichtlich, dass Graulich an vielen Stellen auf die Argumentation des BND vertraut. Und dabei Fehler passieren.

40.000 aussortierte Selektoren != 40.000 rechtswidrige Selektoren.

Untersucht hat Graulich jene Selektoren aus dem Kooperationsprojekt Bad Aibling, die durch den BND abgelehnt wurden. Manche davon waren Hunderte Tage in den Systemen aktiv, andere wurden schon vor der Einspeisung ins System aussortiert. Graulich erwähnt des Öfteren, dass sich die Anzahl der aussortierten Selektoren im „niedrigen Promillebereich“ bewegt. Doch die Filter, die jene Selektoren finden sollen, die deutschen und europäischen Interessen entgegenstehen, funktionieren nicht richtig.

Das erkennt Graulich an, auch wenn er diesen Missstand beachtenswert positiv verpackt:

An der technischen Zuverlässigkeit des automatischen Filterungssystems DAFIS besteht kein Zweifel. Allerdings filtert es auch nur, wofür es programmiert worden ist. Insbesondere eilt es nicht später formulierten Erwartungen voraus.

Und genau das ist der Punkt, warum nicht davon ausgegangen werden kann, dass von den geschätzt 14 Millionen Selektoren, die insgesamt von der NSA übermittelt wurden, nur jene 40.000 rechtswidrig sind, die Graulich zu Gesicht bekommen hat. Dazu finden wir aber leider kein kritisches Wort.

Fragwürdiges technisches Verständnis – IMSI, IMEI und der Länderbezug

Was genau der Unterschied zwischen IMSI, IMEI und anderen Abkürzungen ist, werden die wenigsten Menschen aus dem Stand sagen können. Aber gerade bei der Prüfung von Selektoren ist eine genaue Begriffskenntnis wichtig, die in Graulichs Bericht fehlt. Auf Seite 114 heißt es:

Eine Untergruppe von außereuropäischen IMSIs war aussortiert worden, weil die entsprechenden IMSIs mit „49“ beginnen.

Das zeugt von Unverständnis, wenn man sich ansieht, wie eine IMSI, die internationale Mobilfunk-Teilnehmerkennung, aufgebaut ist. Sie besteht aus einer dreistelligen Länderkennung am Anfang, gefolgt von einer zwei- oder dreistelligen Kennung des Netzwerks und einer Teilnehmeridentifikationsnummer. Die Länderkennung für Deutschland ist dabei „262“. Nicht „49“.

Mit „49“ meinte Graulich wohl eher die IMEI, die als Seriennummer das Endgerät identifiziert. Die ersten beiden Ziffern der IMEI sind der Reporting Body Identifier (RBI), sie kennzeichnen die Akkreditierungsstelle, die das Gerät zugelassen hat. „49“ deutet tatsächlich darauf hin, dass ein Gerät von einer deutschen Zulassungsstelle zertifiziert wurde, nämlich dem „Bundesamt für Post und Telekommunikation“. Aber da gibt es noch die Nummern 50 bis 54, hinter denen deutsche oder deutschstämmige Zulassungsstellen stehen, unter anderem der TÜV. Und selbst wenn die Zulassungsstelle in Deutschland liegt: Innerhalb der EU dürfen alle in der EU zugelassenen Telefone verkauft werden. Ein Telefon dessen IMEI mit den Ziffern 49 beginnt, kann also gut und gerne in Paris verkauft werden.

Übrigens: Ein kurzer, statistisch natürlich nicht tragfähiger Test im Redaktionsumfeld hat ergeben, dass ein Großteil unserer Mobiltelefone die RBI 35 hat. „British Approvals Board for Telecommunications“ ist die zugeordnete Zulassungsbehörde. Sitz: Großbritannien.

SIP- und E-Mail-Adressen verwechseln: Graulich ist nicht allein - via Supportseite von sipload.de
SIP- und E-Mail-Adressen verwechseln: Graulich ist nicht allein – via Supportseite von sipload.de

Who is whois?

Bei VoIP-Telefonie, so der Bericht, seien Telefonate anhand von angegebenen E-Mail-Adressen selektiert worden. Seien keine Top-Level-Domains zu den E-Mail-Adressen angegeben, sei ein Länderbezug nicht automatisiert herstellbar und der Selektor abgelehnt worden. Hier stolpert man gleich zweimal. Zum einen: Was hat eine E-Mail-Adresse mit einem VoIP-Telefonat zu tun?

Gar nichts. Graulich meint hier wahrscheinlich die SIP-Adresse, die zur VoIP-Telefonie verwendet wird und die ähnlich aussieht wie eine E-Mail-Adresse, zum Beispiel 23812424@voipphone.com. Aber zum Punkt der Top-Level-Domain. Eine E-MailSIP-Adresse benötigt keine Top-Level-Domain, wenn statt „voipphone.com“ die entsprechende IP-Adresse angegeben wird. Zum ersten kann die Top-Level-Domain einer SIP-Adresse beliebig sein, je nachdem, auf welchen Anbieter ein Kunde zurückgreift, und dient höchstens als schwaches Indiz für eine Länderzuordnung. So wirbt die in Deutschland ansässige Firma hinter sipload, die „@sipload.com“-Adressen vergibt – und damit für den BND in erster Instanz nicht einem Deutschen zugeordnet wird – mit dem Argument:

Unsere SIP-Adressen funktionieren weltweit. Ihr Anschluss kann beliebig auf der Welt immer unter der gleichen SIP-Adresse bzw Ihrer damit verknüpften Rufnummer erreicht werden.

Zum zweiten sollte der BND durchaus dazu in der Lage sein, eine simple Whois-Anfrage zu stellen, um zumindest festzustellen, ob eine IP-Adresse oder Domain in Deutschland registriert ist oder nicht. Dass das nicht unbedingt zuverlässig bestimmen kann, ob hinter der Adresse auch ein sogenannter „Grundrechtsträger“ steht, ist uns durchaus bewusst. Auch K.M. sagte gegenüber dem NSA-Untersuchungsausschuss aus, dass das Filtern von IP-Adressen wesentlich komplexer ist als bei klassischer Telefonie und IP-Adressen deshalb nicht auf der ersten Stufe der Selektorenprüfung ausgefiltert wurden.

Die Metadaten und der Personenbezug

Enttäuschend ist Graulichs Verständnis von personenbezogenen Daten. Das Bundesdatenschutzgesetz sagt uns:

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

Graulich ist der Meinung, Selektoren enthielten nicht immer personenbezogene Merkmale. Personenbezug bei einer E-Mail-Adresse bestehe beispielsweise dann, wenn sie „Namensbestandteile“ enthält. Es ist vollkommen unklar, was das bedeutet: anna@netzpolitik.org enthält klar einen Namensbestandteil, a.biselli@random.tld auch, abi@foo.bar ebenso. Wo soll eine scharf trennbare Grenze zwischen identifizierendem Namensbestandteil und einem nicht-zuordenbaren Pseudonym liegen. Ganz davon abgesehen lässt sich in vielen Fällen mittels Bestandsdatenauskunft beim Mailprovider der Nutzer einer Mailadresse ermitteln.

Doch weiter:

Anders als Selektoren mit Namensbestandteilen von E-Mail-Adressen sind Selektoren für Telefonnummern, Nummern von IMEI und IMSI sowie IP-Adressen grundrechtlich einzuordnen. Es handelt sich jeweils um Zahlenkombinationen ohne personenbezogenen Eigengehalt. Ihnen fehlt der unmittelbare Personenbezug; deshalb haben sie nicht Teil am Schutz des informationellen Selbstbestimmungsrechts

Letzterer Teil ist eine gewagte Einschätzung. Während noch darauf gewartet wird, ob dynamische IP-Adressen vom Europäischen Gerichtshof als personenbezogene Daten deklariert werden – die Tendenz geht in Richtung ja -, sind IMSIs eindeutig personenbezogen. Denn vor dem Nutzen einer SIM-Karte, der die IMSI zugeordnet ist, muss in Deutschland formell immer noch eine Registrierung erfolgen.

Das Problem ist, dass Graulich die Schwelle der Bestimmbarkeit anders sieht als sie die technische Realität setzt. Eine „Bestimmbarkeit“ eines Datum, so auch Graulich, „ist dann nicht gegeben, wenn die Person nur mit unverhältnismäßigem Aufwand ermittelbar ist“. Wer legt aber fest, was ein unverhältnismäßiger Aufwand ist? Graulich schreibt, bei „‚deutschen‘ Telefonnummern“ sei die Person recht leicht ermittelbar, bei ausländischen aber nicht, da die gesetzliche Befugnis zur Ermittlung des Anschlussinhabers nicht vorhanden sei. Und:

Ferner fehlt es in den relevanten ausländischen Staaten häufig an aktuellen, vollständigen
Rufnummernverzeichnissen wie man sie aus Deutschland kennt.

Kein Telefonbuch im Ausland als Argument für die Unverhältnismäßigkeit einer Personenbestimmung kann heute kaum mehr überzeugen. Das Nachplappern von BND-Argumenten, egal ob aus Unwissenheit oder falscher Loyalität zur Bundesregierung, auch nicht.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

24 Ergänzungen

  1. „Geheime Dokumente, die der Süddeutschen Zeitung vorliegen, legen die Vermutung nahe, dass Graulich in seinem 262 Seiten langen Abschlussbericht wichtige rechtliche Einschätzungen ohne Quellenangabe aus einem vertraulichen, vier Seiten langen Kurzgutachten des Bundesnachrichtendienstes abgeschrieben hat. In diesem Gutachten geht es um zwei Rechtsfragen, die für den Bundesnachrichtendienst (BND) von großer Bedeutung sind. (…) In dem als Verschlusssache eingestuften Bericht, welcher der SZ vorliegt, befinden sich Dutzende Aussagen, die wortgleich auch in dem BND-Papier zu finden sind. Die Seite 90 aus dem Bericht stammt augenscheinlich vollständig aus dem BND-Kurzgutachten, einschließlich der einmalig verwendeten Abkürzung „vergl.“ für „vergleiche“. Ansonsten benutzte Graulich zusammen 51-mal die in der Wissenschaft übliche Abkürzung „vgl.“

    http://www.sueddeutsche.de/politik/nsa-zweifel-an-der-unabhaengigkeit-1.2722406

    1. Ja, dass ist der kleine aber feine Unterschied. Der Richter würde sofort eine Hausdurchsuchung bei dir Freigeben um Beweise zu sichern, wenn ein Anfangsverdacht vorliegt. Umgegehr zeigt man dir den Mittelfinger und lacht sich einen. Die Justiz ist nicht besser wie der Rest des Staates. Es geht nur noch um die Selbstversorgung und im Bett kuscheln mit der Industrie. Ich glaube wir gehen auf schwere Zeiten zu.

  2. Was soll man von einem Bericht halten, in dem behauptet wird ‚bei „deutschen‘ Telefonnummern“ sei die Person recht leicht ermittelbar,‘ – dann aber nicht einmal in der Lage ist, eine SIP-ID überhaupt als Telefonnummer zu identifizieren? Dass SIP dann nur für die Vermittlung steht und rein gar nichts über den geografischen Standort der Kommunikationspartner noch deren Nationalität aussagt, ist dem Sondergutachter sicher nicht klar.

    Dieser ganze Prozess ist extra-legal und er war aufgrund der personellen Besetzung und des Maulkorbs von Anfang an ungeeignet, um dem NSAUA irgend eine Erkenntnis zu liefern.

    1. Der Gutachter mußte die SIP-Sache ablenkend verschwurbeln, könnte ja sonst jemand an die Telekom Zwangsumstellung auf IP Telefonie denken, Schelme, böses und so… ;)

  3. Eine peinliche Blamage – besonders für die SPD, die Forderungen der Opposition nach weiteren parlamentarischen Untersuchungen mit dem Hinweis auf den angeblich unabhängigen Gutachter abgelehnt hat.

    Hier wird offensichtlich, dass nicht nur grundlegende technische Kenntnisse fehlten – oder sofern vom BND zur Verfügung gestellt, vom Gutachter nicht verstanden wurden – (wahrscheinlich ist mit der „49“ weder die IMSI noch die IMEI, sondern einfach die Ländervorwahl für Deutschland gemeint – ein kurzer Besuch der Wikipedia hätte dem Gutachter hier wertvolle Erkenntnisse verschafft). Unabhängigkeit setzt auch Kompetenz voraus. Mit seiner fehlenden technischen Kompetenz hat sich der Gutachter in Abhängigkeit vom BND begeben und nicht einmal verstanden, was ihm da erzählt wurde.

    Nein, was für einen ehemaligen Bundesverwaltungsrichter vor allem peinlich ist, ist das Fehlen der einschlägigen juristischen Fachkenntnisse. Hinsichtlich der personenbezogenen Daten wäre beispielsweise eine nähere Beschäftigung mit dem Problem der Reidentifizierung (die übrigens nach allen Statistikgesetzen verboten ist) angezeigt gewesen. Anscheinend war dem Gutachter ein Einstieg in diese zugegebenermaßen nicht leichte Materie (sie erfordert Grundkenntnisse der mathematischen Logik) zu mühsam. Hierdurch hätte er aber selbst erkannt, dass seine Aussagen zu personenbezogenen Daten dem gegenwärtigen juristischen Diskussionsstand auf dem Gebiet des Datenschutzes nicht gerecht werden.

  4. Die einzige Erkenntnis, zu der man als „Laie“ kommen kann ist, wenn sich die Mitglieder des NSAUA auf derartige Gutachten stützen müssen, ist es klar, das dabei Nix raus kommen kann als „Freie Bahn“ für Freie Agenten!

  5. das sind schlimme nachrichten über die art und weise, wie die auswertung des großen datenhaufens von unseren demokratischen organen bewertet und diskutiert wird.

    ich möchte noch einmal auf die ansammlung des haufens selbst kommen: haben wir die eigentlich akzeptiert?

    .~.

    1. Nein, schlimmer!
      … wir haben sie als unsere Volksvertreter selbst gewählt!
      … und rein theoretisch ist die Meinung bzw. der Standpunkt auch der Standpunkt des Wählers, also unser Standpunkt bzw. Meinung!
      Anscheinend vertreten diese Vertreter die Meinung/Standpunkt der „Mehrheit“ …
      Also „Wir“ Wähler wollen Überwachung und „Wir“ Wähler billigen so die Entscheidungen unserer Regierung (Volksvertreter)!
      Ob es so einfach ist?
      Ja … so einfach ist es!

      1. @wesentlich … für die es sich entschieden hat!
        … schließlich haben wir Bürger alle 4 Jahre die Wahl und die Möglichkeit, Falsche Entscheidungen zu korrigieren!
        … aber du kannst „Bellen“ soviel wie du möchtest, bei 60% Enthaltungen (siehe Bürgermeisterwahl in Köln), entscheidet die Minderheit (40% Wahler, die gewählt haben) … was die Meinung/Standpunkt der Mehrheit (60% Enthaltung) zu sein hat!
        … aber das ist wie mit Don Quixote de la Mancha …

      2. Hm ich finde ich hatte nicht wirklich die wahl! „Keine der genannten Optionen“, wenn ich dies nicht waehlen kann hatte ich keine Wahl.

  6. Ich kenne jemanden, der ist Pförtner bei einer Altmetallbude mit Schwerbehindertenausweis,er sieht zwar etwas schlecht,aber ansonsten ist ein ganz lieber,interessierter Mensch ,der möchte die Unterlagen auch begutachten und zeigen, dass er nicht zum alten Eisen gehört.
    Wenn es in der BND Baustelle nicht so zugig ist,er hat etwas Arthrose, kommt er gerne dort direkt vorbei,etwas Bewegung täte ihm gut,sagt sein Arzt.
    Übrigens den Kaffee trinkt er mit 2 Stück Würfelzucker,aber ohne Milch,wegen der
    Lackdoseunverträglichkeit.
    Ach übrigens ,wenn der BND ihm den Text laut und deutlich vorlesen könnte,wäre er dankbar und es wäre schön, wenn der Stuhl etwas kuschelig wäre,denn er kann mit seinen beiden Beinprothesen und seinem Anus Praeter nicht so lange sitzen.Er unterschreibt den vorgefassten Text auch im Voraus ,wenn es die Herren und Damen dort wünschen,damit es nicht zu Verzögerungen kommt.
    Im Anschluß an diese Lesestunde muss er noch seinen frischen Stuhl beim Arzt abgeben,wg. Untersuchung von Keimen usw. und auf dem Weg zum Doc kann er ja das Gutachten beim UA abgeben.
    Da er in letzter Zeit etwas unkonzentriert und orientierungslos ist,hofft er ,dass er die Sendungen nicht verwechselt.
    Etwas Geld könnt er auch gebrauchen,aber das werden Sie Ihm sicherlich freiwillig geben,so wie seinem Enkel, der schon jahrelang als „Reinigungskraft“ satte Gelder,quasi eine Rente vom Verfassungsschutz bezieht,für bisschen Recht und Ordnung herstellen ,bei irgendwelchen Ausländern,so mal klar Schiff machen,für den Staat nennt er das,er ist nämlich ein rechter Verfassungsschutztreuer Mensch.

  7. Frage. Hat er den Text (abgesehen von der Übernahme der Hilfsquelle) ganz alleine verfasst? Immerhin 40.000 Selektoren wollen sinnentnehmend gelesen werden, 400 Seiten wollen geschrieben werden, oder hatte er (abgesehen vom BND) Mitarbeiter?

  8. Hmm, sehr komplizierte Materie. Es hört sich intergalaktisch an.
    Nachdem mir google nun erklärt hat, was ein Selektor ist, vermute ich ansatzweise den Artikel zu verstehen.
    Denke ich nun an meine Zukunft als Rentnerin, dann stelle ich mir vor, dass mein Fernsehanschluss eine sogenannte IP-Adresse hat und alle anderen technischen Geräte um mich herum auch.
    Wenn mein Auswertungsprogramm zeigt, dass ich zu lange das übliche Programm an diesem Abend schaue, wird der Notruf alarmiert. Es kommt dann der Rettungssanitäter und misst mir den Puls.
    Um sicherzustellen, dass mein Herzinfarkt mit Voranmeldung eintritt, erhalte ich meine Spezialarmbanduhr mit Vorwarnung: „Achtung HERZINFARKT in 10 Minuten – der COUNTDOWN läuft.“
    So bleibt mir noch genügend Zeit alle meine Angehörigen per mail über mein bevorstehendes Ableben zu informieren. Diese Technik klingt sehr vielversprechend :-)
    Hoffentlich gibt es eine Bedienungsanleitung dazu und den Hinweis: PRIO 1 :
    NOTRUF 112 wählen und Zeitanzeige nennen. Die Rettungssanitäter priorisieren nach verbleibender Zeit und haben keine Möglichkeit einzelne Infarktpatienten zu bevorzugen.
    Bin ich clever, sage ich nur noch 5 Sekunden – obwohl 5 Minuten angezeigt werden.
    Ist der Rettungssanitäter technisch auf dem neuesten Stand, sagt er: Ich sehe was, was Du nicht siehst und das sind 5 Minuten. Wir sind rechtzeitig da ;-)
    Also diese Form der Technik, kann durchaus hilfreich sein.
    Nur wie programmiere ich die Erkennung eines Herzinfarktes?
    Lieben Gruß SUSI

    1. Herzfrequenz, mit der Smartwatch abgenommen, die schickt den Notruf direkt per SMS mitsamt Positionsdaten, technisch kein Problem. Die könnte Dir auch kurz vorher noch empfehlen zur Blutverdünnung ein paar Aspirin einzuwerfen! :)

  9. Es ist noch komplizierter. SIP-URLs können Bestandteile zweier völlig unterschiedlich verwalteter Namensräume haben. zB: sip:+49301234@example.fr;user=phone beschreibt eine deutsche Nummer. Der user=phone besagt, dass der user-part der URL wie eine normale Telefonnummer dem E.164 Namensraum angehört. Ohne user=phone wäre die +49391234 einfach ein von example.fr vergebener Nutzername. Selektiert der BND blind auf den domain-part, bricht er mal wieder das Gesetz.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.