Am Freitag vergangener Woche startete in Den Haag das „Netzwerk der Justizbehörden und Experten im Bereich Cyberkriminalität“ („European Judicial Cybercrime Network“, EJCN). Es kooperiert eng mit der EU-Agentur für die justizielle Zusammenarbeit Eurojust, in der sich die Staatsanwaltschaften aus den Mitgliedstaaten organisieren.
Zu den zwei Kernaufgaben des ECJN gehört die „Bewältigung der Herausforderungen von Verschlüsselung“. Verschlüsselte Inhalte, zu deren Herausgabe die Internetdienstleister und Telefonieanbieter verpflichtet werden können, gehören zu den sogenannten elektronischen Beweismitteln („e-evidence“). Europäische ErmittlerInnen stehen vor dem Problem, dass Ersuchen bei Firmen wie Facebook, Google oder Twitter häufig über den langwierigen Weg der Rechtshilfe erfolgen müssen und zunächst auf Schreibtischen der Staatsanwaltschaften landen.
Direktanfragen bei Internetfirmen in den USA
Nun soll das EJCN Methoden entwickeln, die Rechtsverfahren im Bereich elektronischer Beweismittel zu erleichtern. Auf EU-Ebene ist dies mittlerweile in der Europäischen Ermittlungsanordnung geregelt, die bis 2017 umgesetzt werden muss. Ein „Anordnungsstaat“ kann einen „Vollstreckungsstaat“ dann zur Kooperation bei der Erhebung von (elektronischen) Beweisen in einem Strafverfahren verpflichten. Hierzu gehört die Amtshilfe bei der „Transkription, Dekodierung und Entschlüsselung des überwachten Fernmeldeverkehrs“. Telekommunikationsdaten können auch über den Europarat herausverlangt werden, der dazu bereits seit 2004 Verfahrensvorschriften festlegt.
Weiterhin schleppend verläuft jedoch die Zusammenarbeit mit transatlantischen Internetdienstleistern. Europäische Ermittlungsbehörden wollen deshalb Direktanfragen bei Firmen in den USA stellen dürfen. Erst kürzlich hatten der französische und der deutsche Innenminister in einem Schreiben ausdrücklich eine solche rechtliche Verpflichtung der Anbieter zur direkten Zusammenarbeit gefordert. Die Herausgabe elektronischer Beweismittel und die Problematik verschlüsselter Inhalte wird auch in der „EU-US Arbeitsgruppe zu Cybersicherheit und Cyberkriminalität“ behandelt. Das EJCN könnte nun als Scharnier für die Zusammenarbeit mit US-Behörden fungieren.
Frankreich und Polen für Hintertüren, Deutschland für Trojaner
Im Sommer zirkulierte die Ratspräsidentschaft einen Fragebogen, in dem die Mitgliedstaaten zum Umgang mit verschlüsselter Kommunikation befragt wurden. An der Umfrage beteiligten sich Behörden aus 25 Mitgliedstaaten, darunter auch das Bundesinnenministerium. Die Polizeiagentur Europol hat ebenfalls Antworten eingereicht. Als Ergebnis soll das EJCN nun prüfen, ob die Europäische Union den Zugang zu verschlüsselten Inhalten regeln soll. Mindestens fünf Regierungen, darunter Kroatien, Italien, Lettland, Polen und Ungarn befürworten einen solchen Legislativvorschlag.
Es bleibt offen, ob es sich dabei um eine Handreichung, Verordnung oder Richtlinie handeln würde. Auch der Inhalt einer EU-Regulierung ist unklar. Während etwa Frankreich und Polen den Einbau von Hintertüren fordern, setzen sich Deutschland und Großbritannien sowie die Polizeiagentur Europol für ungeschwächte Kryptostandards ein. Das Bundesinnenministerium hatte in seinen Antworten auf den Fragebogen stattdessen der vermehrten Einsatz von Trojanern vorgeschlagen:
Für laufende Telekommunikationsvorgänge bestünde eine Möglichkeit darin, auf das entsprechende informationstechnische System zuzugreifen und eine speziell hierfür geschaffene Software zu installieren, welche die Kommunikation erfasst, bevor diese verschlüsselt wird und bei der sichergestellt ist, dass ausschließlich laufende Telekommunikation erfasst wird.
Ministertreffen soll Schlussfolgerungen verabschieden
Die Ergebnisse des Fragebogens zu Verschlüsselung werden nun in der Gruppe „Freunde der Präsidentschaft zu Cyber“ (FoP Cyber) diskutiert, die bereits über eine „zunehmende Verschleierung von kriminellen Handlungen, Identitäten und Tatorten durch verschlüsselte Kommunikation“ beriet. In der Gruppe organisieren sich der Auswärtige Dienst, die Verteidigungsagentur und andere EU-Institutionen. Die Empfehlungen der „FoP Cyber“ werden dann auf der Sitzung der Innen- und JustizministerInnen am 8. Dezember in Brüssel behandelt.
Am Rande des Ministertreffens findet zudem das zweite offizielle „EU Internet Forum“ statt, in dem die Internetdienstleister wie Microsoft, Ask.fm, Twitter, Google und Facebook zur Entfernung von anstößigen Inhalten bewegt werden sollen. Auch dort steht das Thema „Verschlüsselung“ auf der Agenda.
Abwählen, ignorieren oder verzweifeln? Letzte Ureinwohner des Neulands suchen Antworten auf Herausforderungen des Cyber-Staatsterrors.