Projekt SMILE: Arbeit an europäischer Abhörschnittstelle schreitet voran

Bald können nationale Justizbehörden die Erhebung von Beweisen in anderen EU-Mitgliedstaaten anordnen. Ermöglicht wird auch die grenzüberschreitende Überwachung des Telekommunikationsverkehrs. Die Standardisierungsbehörde ETSI arbeitet deshalb an Schnittstellen zum Ausleiten abgehörter Telefonate.

Ein Forschungsprojekt unter Beteiligung von Interpol und der Leibniz-Universität Hannover entwarf einen Fahrplan mit Leitlinien, Empfehlungen, technischen Standards und einer „Forschungsagenda“ für elektronische Beweismittel. (Bild: EU-Forschungsprojekt „EVIDENCE“)

Bis zum 22. Mai müssen alle Mitgliedstaaten der Europäischen Union die Europäische Ermittlungsanordnung in Strafsachen (EEA) umsetzen. Die Richtlinie bestimmt die grenzüberschreitende Zusammenarbeit von Justizbehörden, darunter Gerichte, ErmittlungsrichterInnen oder Staatsanwaltschaften. So kann künftig ein „Anordnungsstaat“ einen „Vollstreckungsstaat“ zur Erhebung von Beweisen in einem Strafverfahren verpflichten oder ihn anweisen, Ermittlungen durchzuführen.

Eine Behörde in Spanien könnte beispielsweise in Dänemark anordnen, die Telefone mutmaßlicher HackerInnen abzuhören. Die Überwachung ist nicht auf den Inhalt des Telekommunikationsverkehrs beschränkt, sondern schließt die Erhebung von Verkehrs- und Standortdaten ein. Zudem kann die Anordnungsbehörde die „Dekodierung oder eine Entschlüsselung“ der Aufzeichnung anfragen. Einige Mitgliedstaaten hatten sich gegen eine solche Verpflichtung ausgesprochen, weshalb im Text der Richtlinie die schwächere Formulierung „ersuchen“ gewählt wurde.

Standardisierungsinstitut ETSI arbeitet an Spezifikationen

Für die Ausleitung elektronischer Beweismittel braucht es entsprechende Schnittstellen, die einheitlich gestaltet und möglichst international anwendbar sein müssen. Die Entwicklung technischer und rechtlicher Spezifikationen für solche Schnittstellen übernimmt deshalb das European Telecom Standards Institute (ETSI). In diesem europäischen Standardisierungsgremium organisieren sich Telekommunikationsdienstleister, Anbieter von Überwachungselektronik und Sicherheitsbehörden in einer gemeinsamen Arbeitsgruppe „Gesetzmäßiges Abhören“ („Lawful Interception“). Aus Deutschland beteiligen sich darin etwa die Firma Utimaco aus Aachen, das Zollkriminalamt und das Bundesamt für Verfassungsschutz.

Auch für die Ermittlungsanordnung in Strafsachen ist das ETSI derzeit mit einem Spezifikationsentwurf für eine solche Schnittstelle befasst. Zwar hält die Bundesregierung alle Angaben dazu unter Verschluss, einer der Beteiligten hat jedoch hierzu Details veröffentlicht. Demnach ist das ETSI seit Mitte letzten Jahres damit beschäftigt, wie die Ausleitung vom Vollstreckungsstaat an den Anordnungsstaat umgesetzt werden kann.

Schnittstelle mit dem Akronym „SMILE“

Grundsätzlich soll der Vollstreckungsstaat die Anfrage wie eine nationale Abhörmaßnahme behandeln und abgehörte Telefonate nahezu in Echtzeit an den Anordnungsstaat ausleiten. Hierzu arbeitet das ETSI an einem „Interface”, das unter dem Akronym „SMILE” („Smart Handover Interface between Law Enforcement Agencies“) bis Mitte des Jahres zur Verfügung stehen soll.

Die Anstrengungen des ETSI bauen vermutlich auf dem Forschungsprojekt „EVIDENCE“ auf, das unter Beteiligung von Interpol und der Leibniz-Universität Hannover einen Fahrplan mit Leitlinien, Empfehlungen und technischen Standards sowie eine „Forschungsagenda“ entwarf. Als weitere konkrete Ergebnisse von EVIDENCE nennt das Projekt „ein elektronisches Werkzeug zur Beweismittelkategorisierung, eine elektronische Beweismittelkarte der Akteure und einen digitalen Katalog der Forensikinstrumente“.

Kommission prüft Ausweitung

Zukünftig könnten diese technischen Arbeiten für die Ermittlungsanordnung in Strafsachen eine größere Bedeutung erlangen. So prüft die Europäische Kommission beispielsweise, inwiefern die Richtlinie auch genutzt werden könnte, um Internetfirmen aus den USA zur Herausgabe elektronischer Beweismittel zu zwingen. Ein entsprechender Regelungsvorschlag stammt aus der Feder der Bundesregierung. Vorschläge der Europäischen Kommission werden im Sommer dieses Jahres erwartet.

Durchgesickert ist schon jetzt die Einrichtung eines Internetportals, mit dem sich in einem ersten Schritt die Ermittlungsbehörden und Staatsanwaltschaften in der Europäischen Union vernetzen. Derzeit wird geprüft, ob ein solches Portal zentral (also bei der Europäischen Kommission oder ihren Agenturen) oder dezentral (also in den Mitgliedstaaten) angelegt werden soll. Spätestens in 30 Monaten könnte das System in Betrieb gehen.

Cybercrime-Konvention erhält Zusatzprotokoll

Für den Zugriff auf außerhalb der EU liegende Daten muss jedoch eine internationale Vereinbarung geschlossen werden. Hierzu hat die Europäische Kommission eine Million Euro ausgelobt, um in Studien „Maßnahmen im Bereich der EU-US-Kooperation betreffend elektronische Beweismittel“ zu suchen. Von besonderem Interesse ist die Vereinfachung und Beschleunigung von Rechtshilfeverfahren. Gesucht werden auch Verfahren, um den physischen Speicherort von Daten zu bestimmen.

Sicher ist mittlerweile, dass die Cybercrime-Konvention des Europarates um ein Zusatzprotokoll zur Erlangung elektronischer Beweismittel ergänzt wird. Eine eigens eingerichtete „Cloud Evidence Group“ hat bereits einen Entwurf zu den möglichen Inhalten vorgelegt. Vorgesehen ist, die Arbeiten an dem Entwurf für das Zusatzprotokoll bis Dezember 2019 abzuschließen.

5 Ergänzungen

  1. Was mir bei solchen Dingen immer zuerst aufstößt: Sind denn die nationalen Regeln alle so uniform, daß es bei der Vergemeinschaftung nicht zu „Problemen“ kommt?
    Oder nutzt man das elegant zur Umschiffung nationaler „Hindernisse“?

  2. Auch wenn sich das in der Standardisierung manchmal so anfühlt, die ETSI ist keine Behörde sondern eine klassische NGO. Und die Aufgaben und Leistungen sind ein bisschen weitergesteckt als es der Artikel hier schildert (GSM Standard zB). Deshalb ist der obige Satz:
    „Die Entwicklung technischer und rechtlicher Spezifikationen für solche Schnittstellen übernimmt deshalb das European Telecom Standards Institute (ETSI).“ falsch. Die rechtliche Spezifikation übernimmt nie die ETSI. Die ETSI wird tätig, wenn es etwas technisch zu standardisieren gibt und die ETSI Mitglieder das wollen. Der Rechliche Rahmen wird ausserhalb festgesteckt.

    1. Lieber Philip, danke für die berechtigte Anmerkung. Tatsächlich handelt es sich nicht um eine Behörde oder Agentur, sondern (wie der Name ja sagt) um ein Institut. An dem sich aber außer den TK-Anbietern die Hersteller von Abhörtechnologie sowie Geheimdienste und Kriminalämter beteiligen. „NGO“ würde ich das deshalb nicht nennen, vielmehr sehe ich darin einen Ort der Rechtsdurchsetzung gegenüber den Privaten. Ich habe die besagte Formulierung im Artikel trotzdem durch -institut bzw. -gremium ersetzt. „Entwicklung technischer und rechtlicher Spezifikationen für solche Schnittstellen“ halte ich für in Ordnung, zumal ja klar ist dass es sich im Beispiel um eine bereits erlassene EU-Richtlinie handelt, deren rechtlichen Anforderungen nun in eine Schnittstelle übersetzt werden sollen. In einem nächsten Artikel würde ich vielleicht in einem Satz erwähnen, dass das ETSI keine legislative Befugnis hat. Ich denke aber dass das auch hier klar wird.

  3. Lieber Matthias, die Formulierung „sehe ich darin einen Ort der Rechtsdurchsetzung gegenüber den Privaten“ zeigt uns ja schon das du deine Position über die tatsächliche Situation stellst. Die ETSI schreibt technische Standards im Auftrag und mit der Mitarbeit der Mitglieder. Das die Memberlist – die von Forschungseinrichtungen, Herstellern und Netzbetriebern dominiert ist – nur die halbe Wahrheit ist, ist mir schon auch klar. Da die Kommunikation ein Teil des Lebens ist, den viele Bedenkenträger gerne und ausfühlich kontrollieren und überwachen möchten, was teilweise in der Strafverfolgung nicht ganz grundlos ist, ist aber ein politisches und gesellschaftpolitisches Problem.

    Es ist jetzt nicht direkt so, das mein Arbeitgeber als Hersteller Hurra schreit, wenn mal wieder zusätzliche Schnittstellen eingebaut werden müssen; die Arbeit meiner KollegInnen die an der LI teilnehmen würde ich eher als Schadensbegrenzung einsortieren.

    Ich hab‘ da als ‚Insider‘ natürlich eine andere Perspektive, aber mir wird (siehe eine DIN Diskussion hier) speziell bei Gremienarbeit zu oft gejammert („die hören uns nicht zu!“), statt in die Initiative zu gehen, und zB über ein Universitätsticket und einer zu gründenden Arbeitsgruppe tatsächlich eigene, gute Ideen in die Standardisierung zu tragen.

  4. Lieber Matthias, die Formulierung „sehe ich darin einen Ort der Rechtsdurchsetzung gegenüber den Privaten“ zeigt uns ja schon das du deine Position über die tatsächliche Situation stellst. Die ETSI schreibt technische Standards im Auftrag und mit der Mitarbeit der Mitglieder. Das die Memberlist – die von Forschungseinrichtungen, Herstellern und Netzbetriebern dominiert ist – nur die halbe Wahrheit ist, ist mir schon auch klar. Da die Kommunikation ein Teil des Lebens ist, den viele Bedenkenträger gerne und ausfühlich kontrollieren und überwachen möchten, was teilweise in der Strafverfolgung nicht ganz grundlos ist, ist aber ein politisches und gesellschaftpolitisches Problem.

    Es ist jetzt nicht direkt so, das mein Arbeitgeber als Hersteller Hurra schreit, wenn mal wieder zusätzliche Schnittstellen eingebaut werden müssen; die Arbeit meiner KollegInnen die an der LI teilnehmen würde ich deshalb eher als Schadensbegrenzung einsortieren.

    Ich hab‘ da als ‚Insider‘ natürlich eine andere Perspektive, aber mir wird (siehe eine DIN Diskussion vor Jahren hier) speziell bei Gremienarbeit zu oft gejammert („die hören uns nicht zu!“), statt in die Initiative zu gehen, und zB über ein Universitätsticket und einer zu gründenden Arbeitsgruppe tatsächlich eigene, gute Ideen in die Standardisierung zu tragen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.