Die US-Ermittlungsbehörden haben sich mit ihrem Abhörysytem Carnivore im großen und ganzen nur Probleme eingehandelt. Das geplante Abhören des gesamten Internetkommunikation bei einem Provider, um die E-Mails eines Verdächtigen herauszufiltern, wurde erst mit Verabschiedung des neuen Antiterror-Pakets einfacher. Allerdings ist das Lesen verschlüsselter Nachrichten nach wie vor, je nachdem welcher Algorithmus dazu genutzt wurde, weiterhin ein Ding der Unmöglichkeit. Um diesem Problem zu begegnen wurde vom FBI ein neuartiger Virus entwickelt, mit dem sich die Tastaturanschläge auf einem Rechner protokollieren lassen. Falls diese Aufzeichnung vor der Chiffrierung der Daten erfolgt, sind die anschließend angewandten Verschlüsselungsverfahren praktisch sinnlos.
Die Schwierigkeiten, die Philip Zimmermann mit der Entwicklung und Freigabe seiner E-Mail Verschlüsselungssoftware PGP hatte, waren und sind einzigartig. Kein anderes Open-Source Programm hat für einen derart großen politischen Wirbel gesorgt und soviel Staub aufgewirbelt, als PGP. Kein Wunder, Anfang der 90er Jahre war die kryptographische Absicherung von Daten noch den Militärs, Nachrichtendiensten und weiteren Regierungsbehörden vorbehalten. Mit der zunehmenden Popularität des Internet nahm gleichzeitig auch das Bedürfnis der Teilnehmer zu, die eigenen Daten zu schützen und das Racht auf Schutz der Privatsphäre zu wahren. Anders ausgedrückt, die Veröffentlichung von PGP traff »den Nerv der Zeit« und wurde von der Internetgemeinde dankbar angenommen. Nicht so von den Regierungsbehörden, die ihr sicher geglaubtes Monopol ins Wanken geraten sahen und zum Gegenschlag ausholten.
Starke Kryptographie, wie sie PGP bietet, galt zu dem damaligen Zeitpunkt in den USA noch als »Waffe« und es galten die gleichen Exportbestimmungen wie beispielsweise für Mittelstreckenraketen. Auf diese Weise sollte verhindert werden, dass »feindliche Staaten« in den Besitz dieser Produkte kommen und sie gegen die USA einsetzen könnten. Am Beispiel Kryptographie war natürlich die grösste Befürchtung, chiffrierte Nachrichten der »Gegenseite« nicht dechiffrieren zu können. Diesem Umstand (Verstoß gegen die geltenden Exportbestimmungen) verdankte Zimmermann, dass er fortan FBI, NSA, und andere Institutionen gegen sich hatte. Außerdem gab es verschiedene patentrechtliche Schwierigkeiten, da für das genutzte RSA-Verfahren keine freie Lizenz zur Verfügung stand. Letztere konnten durch eine Zusammenarbeit mit der Firma ViaCrypt aus der Welt geräumt werden, die eine legale Lizenz besaß.
Nicht so die Verletzung der Exportbestimmungen, hier wurde Zimmermann ein Ermittlungsverfahren wegen »Verletzung der nationalen Sicherheit« angehängt. Dieses Verfahren wurde im Januar 1996, nach über zwei Jahren, letztlich eingestellt und PGP konnte somit von jedermann frei genutzt werden. Mit dem Verfahren gegen Zimmermann hatten die US-Behörden das Gegenteil von dem erreicht, was sie ursprünglich wollten, sie verhalfen PGP zu einer weltweiten Popularität. Der jeweilige Verfahrensstand wurde im Internet umgehend bekannt gegeben und Zimmermann erhielt zahlreiche Unterstützung von dieser Seite. Die Internetgemeinde jubelte Anfang 1996 auf und verschlüsselte fortan vertrauliche Mitteilungen, bevor sie über das Netz gingen und die (US-)Behörden suchten fortan nach Möglichkeiten, die »nationalen Sicherheitsinteressen» weiter wahren zu können.
Einer der ersten Maßnahmen dieser Art war die staatlich kontrollierte Schlüselhinterlegung (Key Escrow), die erstmalig 1993 auftauchte (also zu einer Zeit als die Staatsmaschinerie gegen Zimmermann noch in vollem Gange war). Der Grundgedanke der dahinter steckt ist wie folgt, zwar soll jeder Bürger sein Recht seine Privatsphäre mit geeigneten Maßnahmen zu schützen, wahren können, allerdings sollen staatliche Institutionen im »Bedarfsfall« die Möglichkeit besitzen, die Nachrichten lesen zu können. Der Bedarf beruht auf der Tatsache, dass sich auch potentielle Verdächtige kryptographischer Verfahren bedienen können und somit ihren nächsten Coup über das Internet verschlüsselt planen können. Hätten die Ermittlungsbehörden dagegen die Möglichkeit den chiffrierten Datenverkehr zu überwachen, könnten die kriminellen Machenschaften bereits im Vorfeld verhindert werden.
Diese oder ähnliche Überlegungen haben die Clinton-Regierung und die US-Ermittlungsbehörde FBI dazu bewogen, als sie ihre Forderung nach einer generellen Schlüsselhinterlegung konkretisierten. Dazu sollen die für die Dechiffrierung notwendigen geheimen Schlüssel an »geeigneter Stelle« hinterlegt werden bzw. Unternehmen, die kryptographische Verfahren entwickeln, sollten eine entsprechende Hintertür in ihre Produkte einbauen, die es den Ermittlungsbehörden jederzeit ermöglicht, eine verschlüsselte Nachricht zu dechiffrieren.
Auf den ersten Blick mag die Argumentation noch nachvollziehbar sein, Kriminelle nutzen Kryptographie, um Beweise zu verbergen, die vor Gericht gegen sie verwendet werden können. Dateien, Telefongespräche oder andere Formen der Kommunikation werden in einer Art und Weise verschlüsselt, dass sie für die Ermittler wertlos sind.
Unabhängig von der Tatsache, dass sich diese staatliche Kontrolle nicht nur auf Ermittlungsverfahren beschränken könnte und somit die Kontrolle der gesamten, verschlüsselten E-Mail Kommunikation möglich wäre, gab es noch weitere Argumente, die einer Schlüsselhinterlegung widersprechen.
Vereinigungen, die der organisierten Kriminalität zugeordnet werden, agieren in der Regel auf internationaler Ebene. Somit wäre eine Kontrolle, die auf die nationale Kommunikation beschränkt ist, aus der Sicht des Ermittlers nur die halbe Miete. Dagegen erscheint eine »weltweite Sammelstelle« für geheime Schlüssel mehr als unrealistisch. Dem »gesetzlich kontrollierten, staatlichen Mißbrauch des Briefgeheimnisses« wären keine Grenzen gesetzt. Selbst wenn von den redlichen Absichten der meisten Nationen ausgegangen werden kann, liegt der Verdacht nahe, dass in anderen Ländern die Bespitzelung von Minderheiten oder politischen Gegnern zunehmen würde.
Wie bei den meisten Maßnahmen dieser Art, ist auch hier die Auswertung der Daten mit einem hohen finanziellen Aufwand verbunden. Schließlich ist es einer chiffrierten Nachricht nicht anzusehen ob es sich sich um eine Verabredung zum Abendessen oder um die Planung eines Banküberfalls handelt. Somit müssten zahlreiche Nachrichten dechiffriert werden, unter denen vielleicht eine mit »dem erwarteten Inhalt« ist.
Letztlich regen jegliche, staatliche Kontrollmaßnahmen nur die Phantasie der Betroffenen an, wie diese umgangen werden können.
Die Grundlage um einige der genannten Punkte auszuschließen, wurde seitens der Vereinigten Staaten und Großbritannien bereits 1948 getroffen. Zu dieser Zeit begründeteten die zwei Nationen ein Abkommen, den sogenannten UKUSA-Verbund, dem wenig später noch Australien, Neuseeland und Kanada bei traten. Über das Wirken dieses Zusammenschlusses wurde bis 1996 wenig bekannt. Zu diesem Zeitpunkt jedoch veröffentlichte der neuseeländische Journalist Nicky Hager sein Buch Secret Power, in dem er Details über ein internationales Abhör- und Überwachungssystem namens Echelon beschrieb.
Demnach handelt es sich bei Echelon um ein, unter der Leitung der NSA organisiertes Überwachungssystem, welches in der Lage ist weltweit jeglichen E-Mail-, Telefon-, Fax- sowie Mobilfunk-Verkehr abzuhören. Nach der Beendigung des Kalten Kriegs, ging es dabei vorangig um nichtmilitärische Ziele, deren Kommunikation zuerst aufgezeichnet wurde, anschliessend nach bestimmten Kriterien gefiltert wurden, manuell nachsortiert und letztlich archiviert wurden.
Das Gesamtsystem ist in mehrere Bereiche aufgeteilt, die »verschiedene Aufgaben« wahrnehmen. Der erste Bereich überwacht internationale Telekommunikations-Satelliten (Intelsats), die von den Telefongesellschaften der meisten Nationen verwendet werden. Diese Satelliten sind in einem Ring rund um die Erde über den Äquator stationiert. Deren Überwachung erfolgt durch insgesamt fünf Stationen, die sich in Großbritannien, den USA, Neuseeland und Australien befinden. Bis zur Übergabe der britischen Kronkolonie 1997 an China zählte auch eine Station in Hongkong dazu (diese wurde von den Briten aber noch rechtzeitig entfernt).
Damit das Netz weltweit wirksam ist, wurde eine flächendeckende Struktur von Abhörstationen aufgebaut, wobei die einzelnen Stationen nicht nur in den fünf Verbundstaaten, sondern auch in weiteren Nationen aufgestellt. So wurden beispielsweise Kommunikationssatelliten, die nicht von Intelsat getragen werden, unter anderem von der Station in Bad Aibling/Bayern aus überwacht.
Die Veröffentlichung des Buches sowie ein weitere Artikel in diesem Zusammenhang zogen schließlich ein starkes internationales Aufsehen nach sich und führten letztlich zu einem Bericht an das europäische Parlament. Einige Expertenanhörungen und diverse Sitzungen später wurde im Juli vergangenen Jahres von dem Echelon-Untersuchungsausschuss der Abschlußbericht vorgelegt.
Zusammenfassend kann nach diesem Bericht festgetellt werden, dass der Untersuchungsausschuss betätigt, dass das Echelon-System existiere und dass Sinn und Zweck eindeutig darin bestehe, private und kommerzielle Kommunikation abzuhören. Einer der Hauptklärungspunkte, dem Vorwurf der Wirtschaftsspionage, konnte nicht zweifelsfrei geklärt werden. Gleiches gilt in Bezug auf die private Kommunikation, auch hierzu lagen keinerlei konkrete Beweise vor. Somit blieb es bei der Feststellung, dass der Betrieb legal sei, falls Echelon nur zu reinen Aufklärungszwecken genutzt werden würde. Andernfalls würde gegen geltendes EU-Recht verstossen werden.
Durch die »mangelnde Kooperationsbereitschaft« der US-Behörden (die bezüglich der Tätigkeiten der NSA so gut wie keine Hinweise lieferten), blieb es letztlich bei einzelnen Mutmaßungen sowie einigen, zumeist allgemein gehaltenen Empfehlungen seitens des Untersuchungsausschusses. Diese beschränkten sich im wesentlichen auf eine Aufforderung an wirtschaftliche und öffentliche Institutionen sowie jeden einzelnen Bürger, seine vertraulichen Daten durch geeignete Verschlüsselungsverfahren ausreichend selbst zu schützen. Die EU-Mitgliedsstaaten sollen eine aktive und effektive IT-Sicherheitspolitik betreiben und die Entwicklung neuer Projekte fördern.
Ausser diesen weniger aussagekräftigen Empfehlungen wurden Grossbritannien und Deutschland aufgefordert, weitere US-Überwachungen auf ihrem jeweiligen Gebiet davon abhängig zu machen, dass diese in Übereinstimmung mit der geltenden europäischen Rechtsordnung stehen. Die Station in Bad Aibling sollte ursprünglich im vergangenen Herbst ihren Betrieb einstellen, jedoch wurde aufgrund der Geschehnisse am 11.09.2001 von dieser Planung zunächst abgesehen.
Alles in allem gingen die Empfehlungen der EU-Parlamentarier weitere diplomatische Verhandlungen mit den USA aufzunehmen, für mehr Rechtssicherheit für europäische Bürger zu sorgen und den Aufruf an Institutionen und Privatpersonen für eine ausreichende Verschlüsselung der Daten zu sorgen, einigen Abbgeordneten und zahlreichen Datenschützern nicht weit genug. Außerdem wurden die nichtvorhandenen Sanktionen gegen Grossbritannien kritisiert.
Aber nicht nur die NSA zeigt ein reges Interesse am E-Mail-Verkehr, auch die US-Ermittlungsbehörde FBI leistet in diesem Zusammenhang ihren Beitrag.
Das vom FBI entwickelte Überwachungsprogramm Carnivore (dt. Fleischfresser) verfolgt zwar einen anderen Ansatz, dient letztlich aber dem gleichen Zweck, der Überwachung von Kommunikationen via E-Mail. Die Funktionsweise und der Umfang der Abhörmaßnahmen wurden im Sommer vergangenen Jahres einer IT-Expertenrunde vorgestellt. Demnach handelt es sich bei Carnivore um ein E-Mail-Überwachungsprogramm, welches Millionen von E-Mails überwachen kann und gezielt nach bestimmten Informationen filtert.
Carnivore kann innerhalb von Sekunden Millionen von E-Mails überprüfen und dabei gezielt solche herausfiltern, die von oder an einen Verdächtigen adressiert sind. Zu diesem Zweck muss die entsprechende Software bei dem Provider des Verdächtigen installiert werden. Anschließend können alle ein- und ausgehenden E-Mails nach dem Namen eines Verdächtigen oder einem beliebig anderem Suchkriterium überprüft werden. Wird eine entsprechende Nachricht gefunden, wird die Mitteilung kopiert und gespeichert.
Nach dem Bekanntwerden des Leistungsumfanges des Systems, wurde eine bis dato ungewohnte Kritik aus den Reihen einzelner Datenschützer und Bürgerrechtsorganisationen laut. Der bis zu diesem Zeitpunkt eher unbekannte Begriff des Datenschutzes gehörte auf einmal zum täglichen Sprachgebrauch, ebenso wie die Befürchtung, dass das FBI fortan eine Überwachung der gesamten Internet-Kommunikation vernehmen würde.
Kurz nachdem die öffentliche Diskussion in Gang gebracht war, versuchte das FBI die Angelegenheit herunterzuspielen, und sprach von bislang zwanzig verfügbaren Carnivore-Systemen, die in der Vergangenheit »lediglich« in hundert Fällen eingesetzt worden seien. Wobei es sich ausschließlich um die Verfolgung von Crackern sowie der Bekämpfung von Drogenhandel und Terrorismus gehandelt habe. Außerdem wurde vom US-Justizministerium eine unabhängige Untersuchung über die Funktionsweise von Carnivore in Auftrag gegeben. Ein vorläufiger Bericht wurde Ende 2000 der Öffentlichkeit teilweise vorgestellt. Dabei wurde das System nur unwesentlich kritisiert, sondern Carnivore als ein Überwachungssystem dargestellt, welches bei korrekter Konfiguration, nur die Daten aufzeichnet, für die eine richterliche Genehmigung vorliegt.
Das FBI konnte mit diesem Ergebnis also mehr als zufrieden sein, um dennoch die letzten Zweifler zu beruhigen und weitere Kritik im Keim zu ersticken, wurde Carnivore modifiziert und mit einem neuen, weniger reisserischen Namen versehen, DCS 1000 (Data Collection System).
Allerdings haben auch die US-amerikanischen Bürgerrechtler und Datenschützer einen Erfolg zu verbuchen. Im Oktober 2001 wurde im US-Senat ein Maßnahmepakte verabschiedet, welches es unter anderem den Ermittlungsbehörden untersagt, ohne richterliche Genehmigung, die Datenkommunikation via E-Mail aufzuzeichnen. US-Präsident Bush hatte hierzu andere Pläne und beabsichtigte Überwachungen auch ohne richterliche Genehmigung zu ermöglichen.
Um den Schutz »unbescholtener Bürger« weiterhin zu wahren, muss das FBI außerdem einem Richter sämtliche Details einer durchgeführten Überwachung mitteilen. Das bedeutet, zumindest theoretisch, dass von einem unabhängigen Justizorgan sämtliche Hinweise und Informationen, die sich aus der Überwachung ergeben haben, auf deren Rechtmäßigkeit im nachhinein nochmals überprüft werden.
Sowohl Echelon als auch Carnivore und seine Folgeprogramme haben aus der Sicht der Ermittler einen schwerwiegenden Nachteil. Sobald die Kommunikation chiffriert stattfindet, ist die Auswertung der aufgezeichneten Daten für die Behörden unmöglich. Wobei in diesem Zusammenhang davon ausgegangen wird, dass ein entsprechend sicheres Verfahren mit ausreichender Schlüssellänge verwandt wurde und die NSA auch nicht alles kann.
Um diesen Nachteil auszuschließen, wurde seitens des FBI an einer weiteren Lösung gearbeitet, die es auch ermöglichen sollte, die Aufzeichnung verschlüsselter Nachrichten auszuwerten.
Wie der amerikanische Nachrichtendienst MSNBC berichtet hat [1], arbeitet die US-Ermittlungsbehörde an einem neuen Überwachungssystem mit der Bezeichnung Magic Lantern (dt. Wunderlampe). Dabei soll es sich um einen Trojaner handeln, der beispielsweise mittels einer »harmlos wirkenden« E-Mail oder durch Ausnutzen einer Sicherheitslücke auf dem Rechner des Verdächtigen, auf diesem installiert werden kann. Dort erfasst das Programm die Tastaturanschläge und sendet die Aufzeichnungen an das FBI zurück. Auf diese Weise sollen die Daten vor der Chiffrierung direkt am Eingabegerät abgefangen werden und der Bundespolizei die notwendigen Passworte liefern, um beispielsweise verschlüsselte E-Mails oder andere Dateien zu dechiffrieren.
Am 13. Dezember bestätigte der Sprecher des FBI, Paul Bresson, die bis zu diesem Zeitpunkt kursierenden Gerüchte teilweise. Allerdings sei es derzeit noch zu früh, sich über die Funktions- und Arbeitsweise des Programms zu äußern, da es sich noch in der Entwicklung befinde. Jedoch werde die Nutzung, wie beim FBI üblich, im Rahmen der Gesetze erfolgen.
Das derartige Praktiken nicht nur auf Gegenliebe stoßen, versteht sich fast von selbst. Dabei sehen sich die Ermittlungsbehörden mit einer weiteren gesetzlichen Problematik konfrontiert. Generell kann die Observation gegebenenfalls durch richterliche Anordnung genehmigt werden, allerdings ist der Einsatz und die Verbreitung von Trojanern - derzeit noch - strafbar. Anders ausgedrückt, bei Durchführung der beschriebenen Verfahrensweise würden die Ermittler selbst eine Straftat ausführen, da für die Installation von Trojanern jegliche rechtliche Grundlage fehlt.
Obwohl das derzeitige politische Klima für das FBI relativ günstig sind, wird hier dennoch eine weitere Runde eingeläutet, die eine Reihe grundsätzlicher Fragen aufwirft und die Gesetzgeber ein weiteres Mal fordert.
Ungeachtet der rechtlichen Grundlage, ist im Zusammenhang mit Magic Lantern ein Sektor der Softwareindustrie zunehmend ins Visier geraten, die Hersteller von Anti-Viren-Software. Die Kernfrage lautet naturgemäß, sollen zukünftige Produkte den Trojaner erkennen oder nicht?
Diese Frage läßt sich aus der Sichtweise der Hersteller nicht so einfach beantworten, wie für die meisten Datenschützer oder Bürgerrechtsbewegungen. Vereinfacht gesagt gibt es zwei Alternativen, entweder verlieren die Hersteller das Vertrauen in ihre Kunden oder »sie verscherzen sich die letzten Sympathien« bei den US-Behörden.
Eine weitere Alternative existiert nicht, damit Magic Lantern effektiv eingesetzt werden kann, darf der Trojaner verständlicherweise nicht vom Virenscanner des Verdächtigen entdeckt werden. Bislang wurde von den führenden Herstellern von Anti-Viren-Programmen eine Zusammenarbeit mit dem FBI bestritten. Anderslautende Meldungen wurden vehement zurückgewiesen, auch Anfragen seitens der Ermittlungsbehörde habe es bis zum gegenwärtigen Zeitpunkt nicht gegeben.
Mittlerweile haben sich führende Hersteller von Anti-Viren-Software dahingehend geäußert, dass sie eine Kooperation mit dem FBI nicht eingehen wollen. Inwieweit diese Haltung bewahrt werden kann, wird vereinzelt angezweifelt, da in der Vergangenheit die US-Regierung vereinzelt Mittel und Wege gefunden hat, Unternehmen zu einer kooperativen Haltung zu bewegen.
Eine Zusammenarbeit zwischen den Sicherheitsunternehmen und den Ermittlungsbehörden könnte weitreichende Folgen haben. So wäre beispielsweise dem Mißbrauch (von Seiten Dritter) der entsprechenden Tools keine Grenzen gesetzt, da es unwahrscheinlich erscheint, dass ein Virenscanner die FBI-Variante von der eines Nachwuchs-Crackers oder ähnlichen unterscheiden könnte. Unabhängig von dem Imageverlust der Unternehmen und dem fehlenden Vertrauen der Kunden in die Produkte, sind US-Firmen nicht die einzigen die Virenscanner entwickeln. Was also hindert einen Berufskriminellen sich seine Software auf dem europäischen oder einem beliebig anderen Markt zu kaufen und regelmäßig auf den neusten Stand zu bringen. Dieser Gedanke läßt sich noch fortsetzen. Angenommen der besagte Kriminelle entdeckt mit seinem Nicht-US-amerikanischen Virenscanner den Trojaner auf seinem System, modifiziert diesen in seinem Sinne und setzt ihn anschließend gegen die unliebsame Konkurrenz an der Ostküste ein.
Ob letztlich die US-Regierung Druck auf einzelne Sicherheitsunternehmen ausüben wird, das FBI seine Vorgehensweise nochmals überdenken wird, vielleicht auch eine gänzlich andere Vorgehensweise wählen wird, steht derzeit noch völlig in den Sternen.
Die bisherigen Überwachungsmaßnahmen liessen sich mit der entsprechenden Verschlüsselungssoftware (beispielsweise PGP bze. GnuPG) umgehen. Mit der neusten Entwicklung, Magic Lantern, ist aber auch diese Schutzmaßnahme zwecklos, da die relevanten Daten bereits vor der Chiffrierung den Ermittlungsbehörden übermittelt werden.
Prinzipiell ist diese Vorgehensweise nicht neu, derartige Technologien existieren bereits seit längerem. Was letztlich zur erfolgreichen Umsetzung fehlte war die rechtliche Grundlage für den Einsatz dieser Verfahren sowie die Möglichkeit einen lokal installierten Virenscanner zu täuschen.
Da sich das FBI nach den Ereignissen am 11. September herbe Kritik hat einstecken müssen, ist die Ermittlungsbehörde unter starken politischen und öffentlichen Druck geraten und es war somit nur eine Frage der Zeit, bis entsprechend gehandelt wurde. Die jüngste bekannt gewordene Entwicklung spaltet die (US-)Nation in zwei Lager, in das »patriotische« und das auf Datenschutz bedachte. Beide Seiten haben ihre Argumente, die letztlich auf ein und dieselbe Frage hinauslaufen, wie weit darf staatliche Kontrolle gehen, deren Beantwortung in die Hände der Gesetze zu legen ist.
Alles in allem ist Magic Lantern nicht wirklich was neues, es ermöglicht aber im Gegensatz zu seinen Vorgängern »eine vollautomatische Überwachung auf Knopfdruck« und genau diese Tatsache ist es, was den Trojaner derart gefährlich macht. Den Ermittlern wird damit eine Möglichkeit gegeben »mal eben« einen potentiellen Verdächtigen zu überwachen, war diese Maßnahme nicht erfolgreich, wurde relativ wenig Zeit investiert, im Gegensatz zu den bisherigen aufwendigen und zeitintensiven Observationen. Hier liegt die am häufigsten kritisierte Eigenschaft dieser Verfahrensweise, es wird den Ermittlern zu einfach gemacht und somit drohe ein Missbrauch der Technik.
Somit bleibt derzeit nichts anderes übrig als vertrauliche Nachrichten zu verschlüsseln bevor sie mittels E-Mail weitergeleitet werden und die ausstehenden Entscheidungen der Gesetzgeber abzuwarten.