Ende November erging eine Eilentscheidung des Bundesverfassungsgerichts zu einer neuen Form der Massenüberwachung: Das Gericht stoppte einen Amtsgerichtsbeschluss, die einem Netzbetreiber das Mitprotokollieren von Billionen DNS-Anfragen vorgeschrieben hätte.
Das Amtsgericht Oldenburg hatte Vodafone zur Umsetzung von Überwachungsanordnungen verpflichtet, die monatlich sage und schreibe 12,96 Billionen DNS-Anfragen betroffen hätte. Der DNS-Server des Anbieters sollte überwacht werden, gestützt auf Paragraph 100a der Strafprozessordnung. Außerdem sollten die zur Identifizierung des Anschlussinhabers notwendigen Kundendaten mitgeliefert werden.
Doch der Telekommunikationskonzern wehrte sich und setzte sich nun vorerst durch. Die Vollziehung des amtsgerichtlichen Beschlusses ist für sechs Monate ausgesetzt, auch neue Anordnungen darf es nicht geben.
Das Bundesverfassungsgericht sieht „jedenfalls massenhafte Eingriffe“ in das Fernmeldegeheimnis der vierzig Millionen Vodafone-Kunden und erkennt Anhaltspunkte, dass die DNS-Massenüberwachung verfassungswidrig sein könnte. Viele völlig unverdächtige Kunden gerieten in die Überwachung und könnten sich nicht dagegen wehren. Denn die Überwachung findet heimlich statt, weswegen weder vorbeugender noch abwehrender Rechtsschutz möglich sei.
Wer ruft was auf?
Vodafone sollte DNS-Anfragen zu einem bestimmten Server abfangen, über den aber keine näheren Angaben bekannt sind. Das Domain Name System (DNS) übersetzt den Namen einer Website wie beispielsweise netzpolitik.org in Nummern (hier IPv4 144.76.255.209). Das könnte man mit den früher gebräuchlichen Telefonbüchern vergleichen. Allerdings wird nicht minutenlang gestöbert und geblättert, sondern die Namensauflösung wird in einem Bruchteil einer Sekunde geliefert.
Die Namensauflösung erfolgt technisch mehrstufig. Typisch ist heute die Server-assistierte iterative Form: Ein DNS-Stub-Resolver fragt den lokalen rekursiven DNS-Server, der die Anfrage (iterativ von der Wurzel abwärts) bis zum gesuchten Domain-Namen weiterleitet. Gebräuchliche DNS-Resolver und DNS-Server beschleunigen diese Namensauflösung dadurch, dass sie lokale DNS-Caches als Zwischenspeicher nutzen.
Zieht man den Vergleich mit dem Telefonbuch heran, dann wollten die Ermittler also eine Art Zielwahlüberwachung der gesamten Telefonie, um gezielt für eine vorgegebene Zieltelefonnummer herausfinden, wer alles diese Nummer angerufen hat.
13 Billionen DNS-Anfragen pro Monat mitprotokollieren
Vodafone gab dem Gericht die Anzahl von etwa fünf Millionen DNS-Server-Anfragen pro Sekunde im Anordnungszeitraum von einem Monat an. So errechnen sich die 12,96 Billionen DNS-Anfragen monatlich.
Massenüberwachung
Wir berichten unter dem Stichwort Massenüberwachung über Technologien, die dazu eingesetzt werden, massenhaft Daten über Menschen festzuhalten und auszuwerten. Unterstütze unsere Arbeit!
Um eine so große Anzahl für eine Überwachungsanordnung festzuhalten, müsste ein erheblicher Aufwand betrieben werden. Und je größer die eigene DNS-Infrastruktur des Netzbetreibers ist, desto aufwendiger wird es. Die Technik zur Protokollierung darf aber dabei die eigentliche Funktion, nämlich die schnelle Namensauflösung, nicht bremsen.
Das bedeutet einen großen organisatorischen und personellen Aufwand. Die DNS-Server-Systeme der Anbieter müssten sämtliche DNS-Anfragen aller Kundenanschlüsse daraufhin auswerten, ob diese einen bestimmten inkriminierten Server abfragen.
Klaus Landefeld, Vorstand des IT-Branchenverbandes eco, bewertet die Eilentscheidung des Bundesverfassungsgerichts positiv und hofft auf ein Ende der Überwachungsmethode: „Das war dringend notwendig, um diese neue Idee einer Schleppnetzfahndung im Internet zumindest vorübergehend, hoffentlich aber auch dauerhaft abzuwenden.“
Die Maßnahme sei „völlig ungeeignet“. Denn es müssten „faktisch alle Anbieter von DNS-Resolvern verpflichtet werden“. Doch selbst dann könnten diese Anbieter nur einen Teil der DNS-Anfragen ihren eigenen Kunden zuordnen, da diese auch Resolver von populären Drittanbietern wie etwa Google (8.8.8.8), Cloudflare (1.1.1.1) oder Quad9 (9.9.9.9) nutzten. Und selbst wenn die Methode Erfolg hätte, wäre der immense Aufwand „mit Sicherheit dem Ergebnis nicht angemessen“ und rechtfertigte nicht die „anlasslose Massenüberwachung der DNS-Anfragen aller Kunden“, so Landefeld.
Es drängt sich die Frage auf, weswegen diese offensichtlich wenig geeignete Maßnahme von den Ermittlern überhaupt gefordert wird. „Ich halte es persönlich für einen verzweifelten Versuch, die mangelhafte oder derzeit überhaupt nicht vorhandene Möglichkeit der (Rück-)Auflösung von Carrier-NAT durch die vorgeschaltete DNS-Abfrage zu umgehen“, sagt Landefeld. Die Ermittler wollen demnach an private IP-Adressen gelangen, auch wenn dies für die Netzbetreiber einen außerordentlichen Aufwand bedeutet und Millionen Kunden betroffen wären. Denn der DNS-Server vom Anbieter sieht vielleicht die private IP-Adresse des Kunden und nicht nur die öffentliche IP-Adresse, die sich eben viele Kunden (Carrier-grade NAT) teilen.
Es gibt auch andere technische Methoden, um an die gesuchte private IP-Adresse zu kommen, die bei der Verhältnismäßigkeitsprüfung nicht schon auf der ersten Stufe scheitern. Das sieht auch das hohe Gericht so. Landefeld fielen ebenfalls Alternativen ein, die ohne anlasslose Massenüberwachung auskämen. Den Ermittlern waren aber offenbar keine anderen Methoden eingefallen.
Wer die gesuchten Verdächtigen sind, ist bisher nicht bekannt. Akteneinsicht hatte der Netzbetreiber von der Staatsanwaltschaft nicht bekommen. Aber schwerwiegende Verfehlungen können es nicht sein. Denn das Bundesverfassungsgericht schreibt, es sei „nicht ersichtlich, dass die hier konkret verfolgten Delikte besonders schwer wögen oder die Ermittlung des Sachverhalts mit anderen Ermittlungsmethoden nicht ebenso erfolgsversprechend sein könnte“.
Es ist beruhigend, dass sich in Deutschland Telekommunikationsbetreiber gegen Massenüberwachungsanordnungen wehren können. Bei der Entscheidung sich zu wehren spielen sicherlich auch die Kosten eine Rolle. Trotzdem ist es eine gute Entscheidung, welche in vielen Staaten so nicht möglich wäre, da die Beschwerdeführer mit hohen Haftstrafen unter anderen wegen Verrat von Staatsgeheimnissen rechnen müssten.
Ist es nicht dem Ansatze nach beunruhigend, dass die Anbieter das nicht müssen?
Ich mein‘ ja nur…
Ich hab keine Ahnung der zig tausenste versuch das jetzt wieder war. Warum kapieren solche Richter einfach nicht das man damit nur die unbescholtenen Bürger überwacht aber die Kriminellen immer mittel und Wege finden das ganze zu umgehen. Wie oft muss man diesen Leuten sowas noch erklären bis sie das Kopieren???
Wenn das schon bis zu den Richtern kommt, ist vorher schon was übel schief gegangen. Die Überwachungsanordnung kommt schließlich nicht vom Gericht…
Wie oft man das erklären muss? Ein einziges Mal, am lebendigen Leib der darin verwickelten Personen von der Politik, die solche suboptimalen Gesetze schreibt, den Verwaltungsmenschen, die die Ausführungsverordnung dazu schreiben, denjenigen, die so eine Überwachungsverordnung beantragen bis zum genannten Gericht, das solche Urteile fällt. Denen folgt man mal ein paar Tage auf die Art und Weise, die sie so wirklich großzügig mit anderen umgegangen sind und legt ihnen dann eine Akte mit all dem gefundenen vor. Denjenigen, denen dann kein Licht aufgegangen ist, den kann man nicht mehr helfen, denn da ist dann nicht genug Energie für Licht vorhanden.
„Denen folgt man mal ein paar Tage auf die Art und Weise…[…]“. Das stelle ich mir amüsant vor und es gäbe uch ein paar gute Motive für Demobanner oder Plakatwände an zentralen Orten der Stadt.
„Um 11.37 Uhr und 42 Sekunden hat der Rechner mit der IP xxx aus dem Netz des Amtsgerichts Oldenburg eine DNS-Anfrage zur Auflösung von http://www.bild.de gestellt.
Um 11.37 Uhr und 43 Sekunden hat der Rechner mit der IP yyy aus dem Netz des Amtsgerichts Oldenburg eine DNS-Anfrage zur Auflösung von http://www.wikipedia.de gestellt.
Um 11.37 Uhr und 44 Sekunden hat der Rechner mit der IP zzz aus dem Netz des Amtsgerichts Oldenburg eine DNS-Anfrage zur Auflösung von http://www.p0rnh0b.com gestellt.“
So ungefähr stelle ich mir das dann vor.
12,9 * 10^12 Einträge: wieviel DIN A4-Seiten ergäbe das wohl? Will das Gericht die alle gefaxt bekommen, oder ist es heutzutage zulässig, die Container mit den Ausdrücken auf dem Gerichtsparkplatz zu parken?
„Das Amtsgericht Oldenburg nimmt bis Sommer 2027 keine neuen Verfahren an, wir müssen Serverlogs mit dem Textmarker durchgehen…“
An sich fehlte nur noch das ganze als Ausdruck vor zu legen…
Wollen wir hoffen, diese technisch vollkommen ungeeignete Methode – und generell andere – zur anlasslosen Massenüberwachung auch abschließend scheitern wird.
Was mich interessiert:
Wer, oder welche Institution, hat diese Anforderung gestellt bzw. ist verantwortlich dafür? Offensichtlich besteht da in zweierlei Hinsicht Bedarf an Schulungen. Einmal technisch zur Maßnahme, einmal rechtlich bzgl. Grundrechte und Demokratie.
Die Staatsanwaltschaft hat die Anordnung der Maßnahmen beim Amtsgericht erwirkt.
Das ist ja das eigentlich schlimme. Das hier die Tragweite des Beschlusses nicht erkannt wurde weil man wie von vielen Dingen keine Ahnung hat. Fragen sie mal Dobrindt was eine IP und Port ist! Es ist wie bei den Hausdurchsuchungen, ohne die verhältnismäßig zu prüfen. Offenbar war man am Verfassungsgericht sachkundiger!