Datenschutz

Verschlüsselte Bestandsdatenabfrage? „Nur wenn Aufwand in angemessenem Verhältnis zu Schutzzweck steht“

E-Mails statt Fax – sicherer werden Bestandsdatenabfragen dadurch nicht – CC BY-SA 3.0 via wikimedia/Tumi-1983

Im August wies der E-Mail-Provider Posteo in seinem Transparenzbericht darauf hin, dass es gravierende Missstände bei Behördenersuchen nach Bestandsdaten gibt. Die Antworten auf eine Kleine Anfrage des linken Abgeordneten Andrej Hunko (unten im OCR-Volltext) bestätigen das. Ausgangspunkt der Kritik von Posteo war, dass Behörden ihre Auskunftsersuche häufig unverschlüsselt übertragen und Daten abfragen, für die keine Befugnis vorliegt:

Wir finanzieren uns fast vollständig aus Spenden von Leserinnen und Lesern. Unterstütze unsere Arbeit mit einer Spende oder einem Dauerauftrag.

Meist erhalten wir von den Polizeibehörden E-Mail-Adressen oder Namen, die in Verbindung mit einem konkreten Tatvorwurf genannt werden. Manchmal enthalten die Ersuchen sogar vollständige Konto- bzw. Zahlungsdaten einer Person. Posteo erhält regelmäßig solche Bestandsdatenabfragen.

Das widerspricht dem besonderen Schutz dieser persönlichen Daten, der gesetzlich vorgeschrieben ist.

Auch Fragesteller Hunko findet die Praxis höchst fragwürdig:

Die Nachlässigkeit des Bundeskriminalamts in Bezug auf die Verschlüsselung sensibler Informationen überrascht nicht. Die Abfrage von Telekommunikationsdaten ist in polizeilichen Ermittlungen inzwischen zur Regel geworden, diese Schwelle liegt schon jetzt zu niedrig. Dass die dort verlangten Bestandsdaten unverschlüsselt übermittelt werden ist ein Skandal und muss von den Datenschutzbeauftragten untersucht werden.

„E-Mail-Anfragen nur bei Eilbedürftigkeit“

Laut Bundesregierung erfolgten Bestandsdatenabfragen durch den Bundesverfassungsschutz und das BKA „nur im absoluten Ausnahmefall“ per unverschlüsselter Mail, „wenn wegen der Eilbedürftigkeit des zu Grunde liegenden Sachverhalts die Übermittlung der personenbezogenen Daten erforderlich ist und bei der verpflichteten Stelle keine Verschlüsselungsmöglichkeiten per E-Mail-Kommunikation bestehen bzw. in der Kürze der Zeit nicht zum Einsatz gelangen können.“ Um zu prüfen, ob die Möglichkeit der verschlüsselten Kommunikation besteht, werde in der Regel vorher nachgefragt, welche Verschlüsselungmöglichkeiten bestünden. Auch bei Posteo wurde das gemacht, allerdings erst am 21. Oktober 2015 – nachdem der Transparenzbericht veröffentlicht wurde und bereits mehrere Nachrichten unverschlüsselt gesendet wurden.

Posteo bietet diese Möglichkeit zur verschlüsselten Kontaktaufnahme, genutzt wurde sie nicht. Posteo kommentiert gegenüber netzpolitik.org:

Die Bundesregierung antwortet erneut, das BKA frage nur dann per unverschlüsselter E-Mail an, wenn erstens Eilbedürftigkeit erforderlich sei und zweitens beim Verpflichteten keine Möglichkeiten zur Verschlüsselung bestehen. Diese Antwort hatte auch der Bundesinnenminister am 5. Oktober schriftlich auf eine Anfrage von Thomas Oppermann gegeben. Diese Aussage der Bundesregierung ist aber nicht zutreffend. Uns wurden z.B. bisher alle Bestandsdatenersuchen des BKA per unverschlüsselter E-Mail übermittelt, obwohl bei uns Möglichkeiten zur Verschlüsselung bestehen und auch auf unserer Website deutlich sichtbar seit vielen Jahren angegeben sind.

Auch die Eilbedürftigkeit ist kein Argument, denn auf dem Faxweg ist ebenfalls eine unmittelbare Anfrage möglich.

Posteo fragt sich, ob die Anfragen auch in Zukunft unverschlüsselt erfolgen werden – alle bisherigen Anfragen seien vor Oktober gestellt worden. Fraglich ist auch, wie bei anderen Providern vorgegangen werden wird, denn die Anfrage nach Echtheit des Schlüssels von Posteo geschah nur nach öffentlichem Druck.

Auch Hunko glaubt nicht an die Einzelfälle in Eilsituationen:

Ich glaube im Gegensatz zu der Antwort des Bundesinnenministeriums nicht, dass es sich um einen Einzelfall handelt. Die Behörden machen sich nicht einmal die Mühe, PGP-Schlüssel von den auskunftspflichtigen Internetprovidern zu besorgen. Darin zeigt sich die Gutsherrenmentalität deutscher Sicherheitsbehörden: Einerseits werden vom BKA und dem Verfassungsschutz große Anstrengungen darauf verwendet, Möglichkeiten und Werkzeuge zum Abhören digitaler Telekommunikation zu finden und sogar Verschlüsselungsverfahren umgehen zu wollen. Andererseits wird in den Behörden mit Personendaten mitunter sorglos umgegangen, etwa wenn diese auch nach Ablauf der Speicherfristen nicht gelöscht werden oder diese sogar an Private weitergegeben werden.

„Aufwand im Verhältnis zum Schutzzweck“ – Auslegung dehnbar wie Gummi

Die Bundesregierung sieht die Vorgaben aus dem Bundesdatenschutzgesetz (BDSG) dennoch nicht als verletzt an. Es seien nur Maßnahmen erforderlich, „wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“

Darin sehen wir eines der Grundprobleme: Der Auslegungsspielraum von angemessenem Verhältnis zu Schutzzweck wird gedehnt, auch wenn Verschlüsselung – gerade bei Strafverfolgungsbehörden – Standard sein sollte. Und außerdem kann bei Klartext-Übertragung einer Mail in keinem Fall von adäquatem Datenschutz gesprochen werden, wie auch Posteo kritisiert:

Die Bundesregierung kann sich nicht darauf zurückziehen, dass es für die Übermittlung kein gesetzlich vorgeschriebenes Verfahren gibt. Die Pflichten des BDSG bestehen unabhängig davon und es ist allgemein bekannt, dass eine Kommunikation per unverschlüsselter E-Mail diese nicht gewährleisten kann. Ist eine Kommunikation per verschlüsselter E-Mail den Behörden nicht möglich, muss der Post- oder der schnelle Faxweg für die Anfrage genutzt werden.

Peinlichkeit darf nicht vor öffentlicher Beantwortung schützen

Besonders verwunderlich an der Antwort der Bundesregierung ist, dass die Beantwortung einiger Fragen in offener Form verweigert wird. Insgesamt sieben Antworten sind als Verschlussache „Nur für den Dienstgebrauch“ eingestuft, da daraus „Rückschlüsse auf den Modus Operandi, die Fähigkeiten und Methoden der Ermittlungsbehörden gezogen werden“ könnten. Diese Argumentation erschließt sich beim Blick auf die Fragen nicht.

Es wird etwa danach gefragt, welche Programme für Auskunftsverlangen genutzt werden, welche Verschlüsselungsverfahren eingesetzt werden und seit wann, beziehungsweise ab wann Behörden PGP-Verschüsselung nutzen können. Die Auskunft, dass und welche Verschlüsselung eingesetzt wird dürfte die Arbeit der Behörden in keiner Weise gefährden. Höchstens die Antwort, dass in manchen Stellen keine Verschlüsselung genutzt wird, würde ein Sicherheitsrisiko und nicht zuletzt eine Peinlichkeit darstellen. Das findet auch Posteo:

  1. Bestehende Missstände werden nicht eingestanden, stattdessen stuft man sie als „Verschlusssache“ ein. Dabei hat in Berlin erst kürzlich eine Anfrage an den Berliner Senat ergeben, dass die Berliner Polizei bisher nicht über Möglichkeiten zur Ende-zu-Ende-Verschlüsselung verfügt. Und auch an uns haben Ermittlungsbehörden des Bundes und der Länder Anfragen per E-Mail bisher stets unverschlüsselt übersendet.
  2. Unabhängig davon muss für Provider und andere Verpflichtete ersichtlich sein, welche Verschlüsselungsmethode für einen sicheren Kontakt mit einer Behörde verwendet werden kann. Macht die Behörde dies nicht transparent, kann keine sichere Kommunikation zustande kommen. Es ist daher absurd, die für die Kommunikation mit Behörden zu verwendenden Verschlüsselungsmethoden als Verschlusssache zu kennzeichnen.

Ohne Protokollierungspflichten und Transparenz wenig Hoffnung auf Besserung

Eines der Grundprobleme bei der Bestandsdatenabfrage ist die mangelnde Protokollierung. Aussagekräftige Statistiken werden nicht angefertigt, die Bundesregierung hat keinen Überblick darüber, welche Behörden wie viele Anfragen stellen und wie vielen davon entsprochen wird. Hunko findet, es müsse dringend mehr Transparenz geben:

Das bedeutet nicht nur die Vorlage regelmäßiger Berichte zu Auskunftsverlangen, sondern auch die ausführliche Darstellung der Fallzahlen von Funkzellenabfragen, Trojaner-Einsätzen und sämtlichen anderen nach §100 StPO vorgenommenen Überwachungsmaßnahmen. Dann würde offensichtlich, wie unsere digitalen Fußabdrücke den polizeilichen Datenhunger immer weiter steigern, während die Privatheit der Telekommunikation zusehends auf der Strecke bleibt.

Wir sind vorerst auf mehr öffentlichen Druck angewiesen. Die Provider tragen eine Mitverantwortung, die zweifelhaften Behördenpraktiken offenzulegen und Zahlen zu eingegangenen Anfragen zu veröffentlichen. Gerade in Zeiten der kommenden Vorratsdatenspeicherung findet Posteo:

Sofern Zahlen überhaupt bekannt werden, stammen diese aus den Transparenzberichten von deutschen Telekommunikationsanbietern, die es erst seit 2014 gibt [z.B mailbox.org, JPBerlin und die Deutsche Telekom], nachdem Posteo als erster deutscher Anbieter einen Transparenzbericht über Behördenersuchen veröffentlicht hatte. Somit kann die ֖ffentlichkeit nicht nachvollziehen, wie häufig Behörden nach den Bestandsdaten der Bürgerinnen und Bürger ersuchen.

Dies halten wir aus Gründen der demokratischen Kontrolle für verbesserungsbedürftig. In der aktuellen Situation kann z.B. auch nicht evaluiert werden, wie sich die Einführung des Gesetzes zur Vorratsdatenspeicherung konkret auf die Anzahl der Abfragen auswirken wird.

Das würde uns auch interessieren. Also liebe Provider: Geht mit gutem Beispiel voran!

Disclaimer: Posteo ist Sponsor von netzpolitik.org und einige unserer Autorinnen und Autoren sind dort Kunden.


Antwort auf die Kleine Anfrage aus dem PDF befreit

Kleine Anfrage des Abgeordneten Andrej Hunko u. a. und der Fraktion DIE LINKE.

Unverschlüsselte Auskunftsverlangen durch Polizeien und Geheimdienste des Bundes

BT-Drucksache 18/6723

Vorbemerkung der Fragesteller:

Das Bundeskriminalamt (BKA) fragt mitunter ohne die erforderlichen Absicherungen bei Providern Bestandsdaten im Rahmen der Telekommunikationsüberwachung ab (Heise online vom 19. Oktober 2015). Sensible Daten seien laut in einem manuellen Verfahren dem Bundesinnenminister „per unverschlüsselter E-Mails verschickt worden“. Einschränkend erklärte der Minister, das BKA habe nur dann im Klartext Bestandsdaten begehrt, wenn beim Provider keine Verschlüsselung für die E-Mail-Kommunikation möglich sei oder der Zugangsanbieter die bei der Polizeibehörde genutzten Methoden nicht unterstütze. Eine Sprecherin des Providers Posteo widersprach den Angaben jedoch. Posteo stelle Schlüssel bereit, mit denen „problemlos mittels PGP oder S/Mime kommuniziert werden“ könne. Das BKA schicke dem Anbieter Ersuchen, die unsicher übermittelt worden seien. Laut einem Transparenzbericht der Firma habe Posteo bislang alle Ersuchen unverschlüsselt erhalten. In den E-Mails würden teils konkrete Tatvorwürfe oder Zahlungsdaten einer Person aufgeführt. Auch werde unzulässigerweise immer wieder nach dynamischen IP-Adressen gefragt. Auch Polizeibehörden der Länder handelten auf diese Weise.

Posteo hat bereits mit Landesdatenschutzbeauftragten kommuniziert, das Problemsei laut dem Bericht „dort bekannt, aber noch nicht gelöst“. Das BKA verstoße deshalb laut Posteo gegen das Bundesdatenschutzgesetz. Strafverfolger müssten gewährleisten, dass ausgetauschte personenbezogene Daten „nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können Biete ein Provider keine Möglichkeit zur verschlüsselten Kommunikation an, müsse der Fax- oder Postweg verwendet werden. Gremien und Arbeitsgruppen des Bundes und der Bundesländer entwickelten laut heise eine „elektronische Schnittstelle“ für größere Anbieter mit über 100.000 Kunden. Diese seien schon jetzt gesetzlich verpflichtet, eine „automatische Kontaktmöglichkeit“ vorzuhalten.

Vorbemerkung:
Die Bundesregierung ist nach sorgfältiger Abwägung zu der Auffassung gelangt, dass eine Beantwortung der Fragen 1, 2, 3, 4, 5, 6 und 17 in offener Form ganz oder teilweise nicht erfolgen kann. Die erbetenen Auskünfte sind geheimhaltungsbedürftig, weil sie Informationen enthalten, die im Zusammenhang mit der Arbeitsweise und Methodik der von der Kleinen Anfrage betroffenen Behörden und insbesondere deren Aufklärungsaktivitäten, Analyse- und Verschlüsselungsmethoden stehen.

Die Antworten auf die Kleine Anfrage beinhalten zum Teil detaillierte Einzelheiten zu den technischen Fähigkeiten und ermittlungstaktischen Verfahrensweisen der Behörden. Aus ihrem Bekanntwerden könnten Rückschlüsse auf den Modus Operandi, die Fähigkeiten und Methoden der Ermittlungsbehörden gezogen werden. Deshalb sind einzelne Informationen gemäß der VSA als „VS-NUR FÜR DEN DIENSTGEBRAUCH“ eingestuft und werden als nicht zur Veröffentlichung in einer Bundestagsdrucksache bestimmte Anlage übermittelt. Dies betrifft im Einzelnen ganz oder teilweise die Antworten zu den Fragen 1, 2, 3, 4, 5, 6 und 17.

1. Welche Anwendungen existieren bei Bundesbehörden zur digitalen Übermittlung von Auskunftsverlangen zur Abfrage von Bestandsdaten im Rahmen der Telekommunikationsüberwachung (bitte sämtliche Programme, Clients und benötigte Plug-ins aller Behörden des Bundesinnenministeriums und des Bundeskanzleramtes aufführen)?

2. Welche Verschlüsselungsverfahren werden von den jeweiligen Anwendungen verwendet (etwa SSL, PGP, S-MIME)?

3. Seit wann wird bei besagten Behörden zum Versand von Auskunftsverlangen per E-Mail zur Übertragung das SSL-Verfahren genutzt?

4. Sofern noch nicht alle Behörden über SSL-Verschlüsselung verfügen, wann soll dies bei welchen Behörden verfügbar sein?

5. Seit wann wird bei besagten Behörden zum Versand von Auskunftsverlangen per E-Mail zur Übertragung PGP-Verschlüsselung genutzt?

6. Sofern noch nicht alle Behörden über PGP bzw. benötigte Plug-ins verfügen, wann soll dies bei welchen Behörden verfügbar sein?

Zu 1. bis 6.

Auf den als „VS – NUR FÜR DEN DIENSTGEBRAUCH“ eingestuften Antwortteil gemäß der Vorbemerkung der Bundesregierung wird verwiesen.

7. In welchem Umfang verschicken Behörden des Bundesinnenministeriums und des Bundeskanzleramtes sensible Daten in einem manuellen Verfahren bezüglich eines Auskunftsverlangens „per unverschlüsselter E-Mails“?

Zu 7.

Das Bundeskriminalamt versendet Auskunftsverlangen gem. § 113 des Telekommunikationsgesetzes (TKG) standardmäßig per Telefax. Eine Übermittlung personenbezogener Daten im Rahmen von Auskunftsverlangen gem. § 113 TKG erfolgt sowohl durch das Bundeskriminalamt als auch das Bundesamt für Verfassungsschutz nur im absoluten Ausnahmefall, nach Durchführung einer Verhältnismäßigkeitsprüfung unter Abwägung der betroffenen Rechtsgüter im Einzelfall, per unverschlüsselter E-Mail, wenn wegen der Eilbedürftigkeit des zu Grunde liegenden Sachverhalts die Übermittlung der personenbezogenen Daten erforderlich ist und bei der verpflichteten Stelle keine Verschlüsselungsmöglichkeiten per E-Mail-Kommunikation bestehen bzw. in der Kürze der Zeit nicht zum Einsatz gelangen können. Die übrigen Behörden des Bundesministeriums des Innern und des Bundeskanzleramtes setzen E-Mail-Kommunikation für den Versand von Auskunftsverlangen gem. § 113 TKG nicht ein.

8. Welche Datenfelder werden hierbei im Regel- und im Einzelfall verlangt?

Zu 8.

Die Auskunftsverlangen des Bundeskriminalamts beinhalten Name und Anschrift des Anschlussinhabers, ggf. IP-Adressen, Zugangscodes/Sicherungscodes. Sie erfolgen somit entweder nummernbasiert, namensbasiert oder anschriftenbasiert. Bei personenbasierten Auskunftsersuchen des Bundesamtes für Verfassungsschutz werden mindestens Vor- und Nachname, Straße, Hausnummer, PLZ und Ort verlangt. Im Fall von rufnummernbasierten Auskunftsersuchen des Bundesamtes für Verfassungsschutz werden die entsprechenden Rufnummern übermittelt.

9. Inwieweit hält die Bundesregierung diese Praxis für vereinbar mit dem Bundesdatenschutzgesetz, wonach Behörden gewährleisten müssen, dass ausgetauschte personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können?

Zu 9.

Die Abfragen erfolgen unter Beachtung von § 9 des Bundesdatenschutzgesetzes (BDSG), nach dem die verantwortliche Stelle die technischen und organisatorischen Maßnahmen zu treffen hat, die erforderlich sind, um die Umsetzung des Datenschutzrechts, insbesondere die in der Anlage zum BDSG genannten Anforderungen, zu gewährleisten. Die Vorschrift macht keine allgemein gültigen technischen oder organisatorischen Vorgaben für die zu treffenden Maßnahmen. Vielmehr sind nach Satz 2 solche Maßnahmen nur dann erforderlich, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Daher obliegt es im jeweiligen Einzelfall den verantwortlichen Stellen, das Verhältnis von Aufwand und Schutzbedarf zu prüfen und daran anknüpfend über das Erfordernis konkreter Maßnahmen zu entscheiden.

10. Auf welche Weise werden die Mitarbeiter/Innen entsprechender Behörden darüber informiert, wie Auskunftsverlangen im rechtlich zugelassenen Rahmen durchzuführen sind?

Zu 10.

Die Beschäftigen der in Rede stehenden Behörden werden im Rahmen Ihrer verwendungsbezogenen Aus- und Fortbildung, in Lehrgängen, Dienstkundeveranstaltungen, Dienstvorschriften und/oder durch Informationsschreiben über die rechtskonforme Stellung von Auskunftsersuchen informiert.

11. Inwiefern trifft es zu, dass vom BKA oder anderen Bundesbehörden auch konkrete Tatvorwürfe oder Zahlungsdaten einer Person unverschlüsselt übertragen werden?

Zu 11.

Im Rahmen der Bearbeitung von Auskunftsersuchen nach § 113 TKG durch das Bundeskriminalamt oder andere Bundesbehörden ist nicht vorgesehen, dass konkrete Tatvorwürfe oder Zahlungsdaten einer Person unverschlüsselt übertragen werden.

12. Inwieweit und auf welcher Rechtsgrundlage hält die Bundesregierung die Abfrage dynamischer IP-Adressen im Rahmen eines Auskunftsverlangens für zulässig?

Zu 12.

Im Rahmen einer qualifizierten Bestandsdatenauskunft anhand einer bereits bekannten dynamischen IP-Adresse mit Zeitstempel ist grundsätzlich mittels Anfrage beim Betreiber die Zuordnung der IP-Adresse zu einem konkreten Anschluss möglich und nach Maßgabe der einschlägigen Ermächtigungsgrundlage zulässig. Der für die interne Zuordnung nötige Rückgriff des Providers auf Verkehrsdaten richtet sich (am Beispiel der Strafverfolgung) nach § 1OOj Absatz 2 der Strafprozessordnung i. V. m. § 113 Absatz 1 Satz 3 TKG. Diese retrograde Verknüpfung setzt jedoch das Vorhandensein der Daten beim Provider voraus.

13. Auf welche Weise wird vor der Übersendung eines Auskunftsverlangens geprüft, ob die betroffenen Anbieter eine PGP-Verschlüsselung für die E-Mail-Kommunikation ermöglichen?

Zu 13.

Die Übermittlung an die Anbieter erfolgt an die bekannten offiziellen und von den Anbietern veröffentlichten bzw. gesondert für Anfragen der Sicherheitsbehörden durch den Anbieter benannten Anschriften, Telefaxnummern und E-Mail-Adressen. Im Falle der Übersendung eines Auskunftsverlangens via E-Mail ist durch vorherige (z. B. telefonische) Kontaktaufnahme mit dem Anbieter in der Regel bekannt, welche Verschlüsselungsmöglichkeiten beim Empfang von Auskunftsersuchen via E-Mail beim Provider bestehen, so dass die dafür notwendigen Vorkehrungen getroffen werden (Austausch von Verschlüsselungsmethode und Chiffre / Schlüsselinformationen). Im Amt für den Militärischen Abschirmdienst erfolgt eine Übersendung per E-Mail nur nach entsprechender Nachfrage beim verpflichteten Unternehmen.

14. Wann und auf welche Weise hatte das BKA geprüft, ob der Provider Posteo Schlüssel bereitstellt, mit denen mittels PGP oder S/Mime kommuniziert werden kann?

Zu 14.

Am 21. Oktober 2015 bat das Bundeskriminalamt die Firma Posteo per Fax um Prüfung und Bestätigung, ob es sich bei dem im Internet zum Download von Posteo zur Verfügung gestellten Schlüssel auch tatsächlich um den korrekten öffentlichen Schlüssel der Firma Posteo handelt. Die Richtigkeit des Schlüssels wurde am 22. Oktober 2015 seitens der Firma Posteo per Fax bestätigt.

15. Inwiefern trifft es wie von Posteo berichtet zu, dass die Firma Ersuchen des BKA unverschlüsselt erhält und welche Gründe sind hierfür maßgeblich?

Zu 15.
Auf die Antwort zu Frage 7 wird verwiesen.

16. Aus welchen Gründen hat das BKA dem Anbieter Ersuchen unsicher übermittelt, obwohl Posteo gut sichtbar einen PGP-Schlüssel zum Download anbietet (https://posteo.de/other/support@posteo.de_pub.asc)?

Zu 16.
Auf die Antworten zu Fragen 7, 14 und 15 wird verwiesen.

17. Seit wann verfügen welche Bundesbehörden über eine elektronische Schnittstelle für Abfragen von Telekommunikationskennungen, seit wann wird diese von den einzelnen Behörden genutzt und wo ist diese angesiedelt?

Zu 17.

Auf den als „VS – NUR FÜR DEN DIENSTGEBRAUCH“ eingestuften Antwortteil gemäß der Vorbemerkung wird verwiesen.

18. Welche Gremien und Arbeitsgruppen des Bundes sind in welchen Zusammenarbeitsformen mit Bundesländern damit befasst, eine „elektronische Schnittstelle“ für größere Telekommunikationsdiensteanbieter mit über 100.000 Kunden zu entwickeln bzw. die Provider anzuhalten, diese „automatische Kontaktmöglichkeit“ zu nutzen?

Zu 18.

Die Bundesnetzagentur legt gemäß § 110 Abs. 3 TKG die technischen Einzelheiten zur Auskunftserteilung von Bestandsdaten im Benehmen mit den berechtigten Stellen und unter Beteiligung der Verbände und der Hersteller sowie die erforderlichen technischen Eigenschaften der Empfangsanschlüsse in der „Technische Richtlinie zur Beschreibung der Anforderungen an die Umsetzung gesetzlicher Maßnahmen zur Überwachung der Telekommunikation und zum Auskunftsersuchen für Verkehrsdaten (TR TKÜV)“ fest.

Die Polizei-/Strafverfolgungsbehörden des Bundes, das Bundesamt für Verfassungsschutz, die Bundesnetzagentur sowie Vertreter der Justiz, verschiedener Telekommunikationsanbieter und des Bundesministeriums für Wirtschaft und Energie nehmen an der jährlich stattfindenden „Expertentagung Elektronische Schnittstelle Behörden (ESB)“ teil. Diese Tagung dient dem Austausch von Informationen zwischen den Verpflichteten (Anbieter) und den berechtigen Stellen bezüglich des Umsetzungsstandes der ETSI-ESB Schnittstelle (European Telecommunications Standards Institute). Die Rahmenbedingungen der ETSI-ESB Schnittstelle wurden als ETSI-konformer Standard festgelegt und durch die Bundesnetzagentur im Rahmen der TR TKÜV in einer nationalen Richtlinie umgesetzt.

19. In wie vielen Fällen wurden seit 2010 von Bundesbehörden Auskunftsverlangen nach dem Telekommunikationsgesetz gestellt, und in wie vielen Fällen wurde diesem Auskunftsverlangen von den Anbietern jeweils entsprochen (bitte nach den einzelnen Jahren darstellen)?

Für den Bundesnachrichtendienst kann eine teilweise Beantwortung der Frage nur für einen Zeitraum ab November 2013 erfolgen, da nach geltender Dienstvorschrift zur Umsetzung des Auskunftsersuchens gem. §§ 112, 113 TKG und der Inverssuche nach § 105 TKG entsprechende Unterlagen im Bundesnachrichtendienst nur für die Dauer von zwei Jahren aufzubewahren sind und daher nur noch Unterlagen bis einschließlich November 2013 für die Beantwortung herangezogen werden können. Durch den Bundesnachrichtendienst wurden im Zeitraum November bis Dezember
2013 210, im Jahr 2014 863 und im Jahr 2015 1039 Auskunftsverlangen nach dem Telekommunikationsgesetz gestellt.

Hinsichtlich Zahlenangaben zum automatisierten Auskunftsersuchen der berechtigten Stellen gemäß § 112 TKG wird auf die Statistik der Bundesnetzagentur verwiesen, die als Aufsichtsbehörde gemäß § 112 Abs. 4 S. 4 TKG verpflichtet ist, Ersuchen der berechtigten Stellen gemäß § 112 TKG (automatisierte Auskunftsersuchen) zu protokollieren und vorzuhalten. Im Jahresbericht der Bundesnetzagentur wird die Gesamtzahl der von den Sicherheitsbehörden gestellten Auskunftsersuchen nach § 112 TKG veröffentlicht. Eine weitergehende Aufschlüsselung der Gesamtzahlen nach entsprochenen und nicht entsprochenen Auskunftsersuchen sowie behördenspezifische Zahlenangaben zu Auskunftsersuchen gem. § 113 TKG können mangels entsprechender Statistiken in den Sicherheitsbehörden des Bundes nicht erfolgen.

20. Wie viele dieser Auskunftsverlangen wurden unverschlüsselt über eine paketvermittelte Verbindung übertragen?

Zu 20.

Durch den Bundesnachrichtendienst wurde keines dieser Auskunftsverlangen unverschlüsselt über eine paketvermittelte Verbindung übertragen. Für die übrigen Sicherheitsbehörden des Bundes wird auf die Antwort zu Frage 19 verwiesen.

21. Wie viele dieser Auskunftsverlangen wurden über eine gesicherte elektronische Schnittstelle gestellt?

Zu 21.

Durch den Bundesnachrichtendienst wurden im Zeitraum November bis Dezember 2013 210, im Jahr 2014 671 und im Jahr 2015 865 Auskunftsverlangen über eine gesicherte elektronische Schnittstelle gestellt. Für die übrigen Sicherheitsbehörden des Bundes wird auf die Antwort zu Frage 19 verwiesen.

22. Aus welchen Gründen wurden Auskunftsverlangen von den Anbietern zurückgewiesen?

Zu 22.

Die Sicherheitsbehörden des Bundes führen keine Statistik über Gründe, nach denen Auskunftsverlangen von den Anbietern zurückgewiesen wurden.

Weitersagen und Unterstützen. Danke!
27 Kommentare
  1. Cool, da weiß man wie die Terroristen der Polizei einen Schritt voraus sein könnten… Wenn jmd überprüft wird, direkt Bescheid wissen, man muss nur irgendwo man-in-the-middle spielen und fertig…

  2. Sind die E-Mails überhaupt unverschlüsselt übertragen worden? Heutzutage setzt doch eh fast jeder STARTTLS ein, weswegen eine zusätzliche Verschlüsselung des Inhalts tatsächlich nur einen begrenzten Nutzen darstellen dürfte.

  3. Sind die Mails denn zumindest signiert? Andernfalls könnte ja jeder kommen und Bestandsdaten abfragen. Unsignierte Mails von „offiziellen“ Stellen würde ich direkt als Spam abhaken.

  4. Das Versagen liegt bei Posteo. Wenn Posteo Daten unschlüsselt versendet, sind sie diejenigen, die gegen Gesetze verstoßen. Eine Anfrage per Mail ist dasselbe wie an der Tür zu fragen „darf ich mal rein“. Wenn man den reinlässt, sollte man sich nicht nachher darüber beschweren, weil man nicht „Nein“ gesagt hat.

  5. @ Anna Biselli / Redaktion:

    Fragen Sie doch mal beim BKA an, über welche Wege und mit welchem Grad an Sicherheit Geldwäsche-Verdachtsmeldungen an das BKA übermittelt werden.

    Wenn Ihre Bank meint, dass Sie ungewöhnliches und somit verdächtiges Verhalten zeigen, dann sendet Ihre Bank Ihre gesamte Kundenakte (inkl. Ausweiskopien, Kontoauszügen und alle anderen persönlichen Daten) per einfacher, unverschlüsselter E-Mail (oder teilweise per unverschlüsseltem Fax) an das BKA.

    Nehmen Sie sich dieses Themas bitte ebenfalls an. Nicht nur im Telekommunikationsbereich liegt einiges im Argen.

    PS:
    1) Ungewöhnliches und somit verdächtiges Verhalten zeigt man z.B. schon dann, wenn man Angaben aus Datenschutzgründen verweigert.
    2) Wenn man zum Geburtstag Geldgeschenke von der Verwandtschaft erhält und die Geldscheine bei der Bank einzahlen will, dann ist es verdächtig, die Geldscheine aus der Jackentasche zu ziehen (und nicht aus dem Portmonee). Die Geldscheine in der Jackentasche aufzubewahren ist jedoch sicherer als im Portmonee, das immer zuerst gestohlen wird.
    3) In der ersten Zeit nach Kontoeröffnung gilt jedes Konto als verdächtig. Der Kunde muss durch sein „normales“ Nutzungsverhalten erst beweisen, dass er kein Risikokunde ist.

    1. Was machst du dir die Mühe? Das interessiert hier eh keinen. Hast du noch nicht gemerkt, wie wenige Artikel hier seit neustem veröffentlicht werden? Kommentare gibt es auch deutlich weniger. Der Zug ist abgefahren. Du solltest als loyaler Beamter besser weiter schweigen und hier nicht Perlen vor die Säue werfen. Das lohnt sich nicht. Die Netzgemeinde kriegt eh nichts gebacken und bellt höchstens ab und zu ein wenig.

      Grüße,
      Ein Beamter aus einer Nachbarbehörde

      1. @Hans

        Trollpunkte für wen?
        Ist Dir noch nicht aufgefallen, dass hier auf netzpolitik.org seit kurzem tote Hose ist? Weniger Blogposts, weniger Leserkommentare.
        Und welche nachhaltigen Erfolge der Netzgemeinde kannst Du aufzählen?
        Sollten wir nicht ehrlich sein und akzeptieren, dass die Masse der Bevölkerung nicht auf unserer Seite steht?

      2. Tja, Jan … du hast vollkommen Recht!
        Man sollte seine Meinung nicht offen Kund tun, man sollte eher in den Untergrund gehen, sich organisieren, mit geballter Macht zu den Wahlurnen gehen und konzertiert Protest wählen!
        Dabei ist es jetzt egal welche (Links/Rechts), Hauptsache die aktuellen „Volksvertreter“ werden zum Umdenken bewegt!
        Was soll die aktuelle Politik, stets und ständig das Grundgesetz (z.B. VDS) und den Willen des Volkes zu missachten?
        Eine Mehrheit des Volkes würde gegen den Militäreinsatz stimmen, eine gewaltige Mehrheit der Parlamentarier stimmte dafür!
        Ist das der Wille des Volkes?

  6. 1. Das BKA hat auf seiner Homepage seinen PGP-Fingerprint veröffentlicht.

    Offizieller Fingerabdruck (Prüfsumme) des PGP-Schlüssels:
    17EC 1A95 14E4 F581 7C68 2AC1 0939 D2CA 9879 FFBF

    http://www.bka.de/nn_193004/DE/Service/Impressum/impressum__node.html?__nnn=true

    2. Seit wann ist Fax ein sicherer Übertragungsweg? Fax ist unverschlüsselt!

    3. Seit wann ist eine E-Mail immer unverschlüsselt? Noch nie was von TLS-Transportverschlüsselung gehört?

    1. zu 3) Interessanter Punkt. Die Frage ist: Reicht Transportverschlüsselung? Laut Posteo gab es auch (einzelne) Fälle, in denen die Anfrage von der private Adresse eines Ermittlers gekommen ist (Gmail, Gmx, T-Online). In den Fällen reicht es schonmal nicht.

      Wenn die Anfrage offiziel von einer BKA Adresse kommt….ich weis nicht, kann mir schon vorstellen, dass innerhalb des BKA viele Leute Zugriff auf den Mailserver haben. Leute, die eigentlich keinen Zugriff auch einzelne Abfragen haben dürfen. Hängt sehr davon ab, wie das BKA sowas intern regelt. Selbiges gilt auf Seiten von Posteo. Ok, die sind nur wenige Leute, da dürfte sich sowas gut regeln lassen. Aber ein großer Konzern wie T-Online. Auch dort werden die eMail ja irgendwo hinterlegt und man muss aufpassen, wer da Zugriff hat.

      1. Weißt du, das Kernproblem ist das Folgende: Den „Sicherheits“behörden ist es eigentlich scheiß egal, wie sicher oder unsicher mit den Daten von Verdächtigen, Beschuldigten, Angeklagten etc. umgegangen wird. Ein Ermittler ist darauf trainiert, alle vorhandenen (und vielleicht sogar hinzugefügten oder manipulierten) Informationen gegen einen Verdächtigen zu verwenden. Wer mit so einer Arbeitshaltung ans Werk geht, kümmert sich nicht um die Datensicherheit von Verdächtigendaten. Kollateralschäden sind da einfach vorprogrammiert und einkalkuliert.

  7. 3. von Garten Eden würde mich auch interessieren. Ende-zu-Ende-Verschlüsselung bringt nur nur was wenn der Emailanbieter und damit Behörden nicht mitlesen soll. Oder? Warum reicht Transportverschlüsselung nicht?

    1. TLS Verschlüsselung ist locker möglich -> https://de.m.wikipedia.org/wiki/SMTPS , damit ist zwar nicht die eigentliche Mail abgesichert, aber zumindest die Verbindung zwischen den Servern!
      Wenn das BKA das nicht „hin“ bekommt, sollten sie mal auf den „Steinzeit Seiten“ von Ubuntu schmökern -> http://wiki.ubuntuusers.de/Postfix/Erweiterte_Konfiguration ( Windows z.B. Exchang -> http://www.msxfaq.de/signcrypt/tlssecurity.htm ), wie das ihre Server doch schaffen könnten!
      Aber hey, das es sich hier anscheinend um „Geheimwissen“ handelt, poste ich hier lieber nichts weiter, könnte ja sein, dass das BKA mich als Geheimnisträger einstuft und mich erschießen lässt!

  8. Ich denke das in spätestens 1 – 2 Jahren (!) der (schein-) sichere Serverstandort in Deutschland sich entgültig erledigt hat. Posteo und andere Dienstleister welche wirklich sichere Dienste im Internet anbieten wollen sollten ihren Serverstandort von Deutschland nach Island verlegen so wie es z.B. Wikileaks u.a. gemacht hat. Island erscheint mir in Europa der momentan einzig halbwegs sichere Datenstandort zu sein. Alle anderen europäischen Länder sind mehr oder weniger politisch und wirtschaftlich gesehen korumpiert. Und das wird in letzter Zeit überall in Europa rasant schlechter. Ich selbst vertraue dem deutschen Datenschutz sowie der ach so tollen IT-Sicherheit „Made in Germany“ schon lange nicht mehr. Mal sehen wie lange sich Posteo noch rechtlich und finanziell wehren kann. Ich denke denen blüht demnächst das gleiche Schicksal in Deutschland wie Lavabit in den ach so freien USA.
    Empfehle wie schon gesagt den schnellstmöglichen Serverumzug nach Island. Wenn das Geld dafür noch nicht reicht dann wäre Crowdfunding die vielleicht bessere finanzielle Basis. Ich würde dafür gern bezahlen oder spenden!!!
    Ich denke auf netzpolitik.org kommt das angemerkte Problem auch mit riesen Schritten darauf zu.

  9. Posteo hat eine gute Weiterentwicklung zu bieten:

    https://posteo.de/blog/neu-posteo-schl%C3%BCsselverzeichnis

    OPENPGPKEY und SMIMEA können in Zukunft eine Alternative zu den bisher verbreiteten Keyservern darstellen, die zahlreiche Probleme aufweisen:
    Auf den weltweiten Keyservern kann bisher jeder Ihren öffentlichen Schlüssel hochladen, auch wenn Sie persönlich dies gar nicht möchten. Auch kann jeder einen gefälschten Schlüssel für Sie hochladen. Ein hochgeladener Schlüssel kann dort auch nicht mehr gelöscht werden. Dies führt dazu, dass bei Schlüsselsuchen auf den weltweiten Key-Servern ggf. mehrere, auch veraltete oder falsche Schlüssel zu einer E-Mailadresse gefunden werden. Auf den Keyservern sind zahlreiche, gültige E-Mailadressen gespeichert: Das interessiert auch Spammer, die massenhaft E-Mailadressen aus den Keyservern abfragen, um Spam an diese Adressen zu versenden. Auch die Anonymität wird durch die Keyserver beeinträchtigt:
    Bei OpenPGP kann jeder, ähnlich wie bei einer offenen Freundesliste in einem sozialen Netzwerk, einsehen, wer wem das “Vertrauen” ausgesprochen hat. So können soziale Netzwerke für jeden offen eingesehen werden. Die Umsetzung der neuen Verfahren bei Posteo weisen die genannten Schwachstellen der Keyserver nicht auf.

  10. ein möglicher rückschluss auf die fähigkeiten wäre womöglich „so was können die gar nicht“. dass so etwas nicht öffentlich diskutiert werden dürfte, könnte schon sein, oder?

    .~.

  11. >> Sensible Daten seien laut in einem manuellen Verfahren dem Bundesinnenminister „per unverschlüsselter E-Mails verschickt worden“.

    Ja Leise bestimmt nicht :-)
    Bitte den Text noch einmal Korrektur lesen.

    Grüße!

    1. Da kann einer noch genau lesen. Gut so!

      Doch lieber René, mit dem empfohlenen Korrekturlesen ist das in diesem Fall so eine Sache. Der beanstandete Text ist keinen redaktioneller Beitrag von netzpolitik.org, sondern vielmehr der Inhalt der Bundestag-Drucksache 18/6723.

      Nun ist es so, dass solche Drucksachen in unserer Zeit auch nicht mehr vom Papier abgetippt werden, sondern sie werden „aus dem PDF befreit“. Der Fehler befindet sich im Original.

    2. „laut“ von „Verlautbarung“ = „Veröffentlichung“ … also ist nicht die Lautstärke gemeint, sondern ein Hinweis auf ein Schriftstück, das eine diesbezügliche Verlautbarung enthält!
      … tja … umgangssprachlich gegen Amtsdeutsch … kann schon verwirrend sein!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.