Großbritannien betreibe keine Massenüberwachung und plane auch keine Schritte in diese Richtung, erklärte gestern die britische Innenministerin Theresa May in der abschließenden Sitzung des parlamentarischen Ausschusses, der über das geplante britische Überwachungsgesetz („Investigatory Powers Bill“) berät. Die anlasslose und massenhafte Speicherung von Kommunikationsdaten sei nicht mit Massenüberwachung gleichzusetzen, betonte May in ihrer Antwort an den Liberaldemokraten Lord Strasburger, wich Folgefragen aber weiträumig aus:

You indicated that what we’re doing is mass surveillance, you described it as mass surveillance. The UK does not undertake mass surveillance, we have not and we do not undertake mass surveillance and that’s not what the Investigatory Powers Bill is about.

(…)

If you want me to write to the Committee to describe why the bulk powers are necessary, then obviously I can do that. But I wish to be very clear that mass surveillance isn’t what we’re talking about.

Der Gesetzentwurf regelt erstmals die massenhafte Speicherung sowie den Zugriff auf private Kommunikationsdaten durch britische Geheimdienste. Zudem verpflichtet er Netzbetreiber und Telekommunikationsunternehmen ausdrücklich dazu, unter anderem das Kommunikations- und Surfverhalten ihrer Kunden für mindestens ein Jahr vorzuhalten.

Ohne Heuhaufen keine Nadel?

Letzte Woche warnte der ehemalige technische Direktor des US-Geheimdienstes NSA, William Binney, den Ausschuss vor den Konsequenzen einer Überflutung durch massenhaft abgefangene Kommunikation. Analysten hätten angesichts der Datenberge Schwierigkeiten, die relevante Nadel im Heuhaufen zu finden und könnten deshalb nicht angemessen schnell etwaige Bedrohungen identifizieren. Dieser Ansatz würde „Menschenleben kosten“, so der mittlerweile als Whistleblower bekannte Binney.

Ohne Heuhaufen könne man nicht nach der Nadel suchen, wischte May das Argument zur Seite und deutete an, dass man ohne massenhaft vorgehaltene Daten potenzielle Hinweise für Ermittlungen verlieren würde. Die anlasslose und massenhafte Speicherung sei jedenfalls „angemessen“, verteidigte May ihren Gesetzentwurf.

Verschlüsselung: Vordertür statt Hintertür

Man habe auch nicht vor, Verschlüsselung zu verbieten oder Hersteller dazu zu zwingen, Hintertüren in ihre Produkte einzubauen. Allerdings müssten Anbieter im Falle eines Gerichtsbeschlusses „angemessene Maßnahmen“ ergreifen, um die gewünschten Inhalte an Ermittlungsbehörden herauszugeben. Über technische Details schwieg sich die Innenministerin aus, meinte aber vermutlich, dass Anbieter Zugriff auf die privaten Schlüssel ihrer Kunden haben müssten. Wer braucht schon Hintertüren, wenn die Vordertür gesetzlich verpflichtend sperrangelweit aufgerissen wird? Der Liveblog des Guardian dokumentierte die Passage folgendermaßen:

Andrew Murrison, the Conservative former defence minister, goes next.

Q: What are your plans for encryption?

May says some of the commentary on this has not been accurate. Encryption is important, she says. She says the government is not proposing to make any changes in relation to encryption, and the legal position around it.

But where the authorities lawfully serve a warrant on a CSP, and that has gone through the proper steps, the company should take reasonable steps to be able to comply.

That is the position today, she says. She says the bill just clarifies that.

Q: But what if someone is using end-to-end encryption?

May says companies would be expected to take “reasonable steps” to provide the information required.

Q: So you are not asking companies to provide “keys” to information, or a backdoor in.

No, says May. It is just about ensuring that, if companies are required to supply information, they supply it. The government would not need to have the “key” itself.

Hohe Kosten könnten kleine Netzbetreiber ersticken

Ebenfalls ungeklärt bleibt die Frage der Kosten, die auf britische Netzbetreiber zukommen. Immerhin müssten diese laut Gesetzentwurf sämtliche Surf‑, Telefonie- oder E‑Mail-Daten ihrer Kunden einsammeln, speichern und verpflichtend für ein Jahr vorhalten, was nicht ganz billig sein dürfte. Derzeit schätzt die Regierung die Höhe auf insgesamt 240 Millionen Pfund ein, was die betroffenen Unternehmen freilich stark bezweifeln. So haben die in Großbritannien tätigen Anbieter Vodafone, O2 und EE dem Ausschuss gegenüber angegeben, eine vergleichbar hohe Summe zu erwarten – allerdings pro Unternehmen und nicht als Kosten für die gesamte Branche.

Die Regierung befände sich in Gesprächen mit den jeweiligen Unternehmen, so May, um Details auszuhandeln. Jedenfalls sei die Summe von 240 Millionen Pfund nicht „aus der Luft gegriffen“, verteidigte May die Diskrepanz der Schätzungen. Ob die zu erwartenden hohen Kosten das Aus für Betreiber von WLANs in Cafés oder Bibliotheken bedeuten könnten, ließ die Innenministerin offen: Grundsätzlich könne sie nicht ausschließen, dass die gesetzlichen Verpflichtungen auch für solche kleinen Netzbetreiber gelten würden.