Netzdepesche Jagd auf die Logfiles
Nichts geht mehr. Das Liefersystem eines großen deutschen Elektrohandels ist zusammengebrochen. Eine "denial-of-service"-Attacke hat das Netzwerk samt Lieferdatenbank des Händlers lahm gelegt. Der Angriff ging von einem Rechner in Frankreich aus. Zu diesem gelangte der Hacker über Telnet-Verbindungen von einem Netzwerk in Russland, zu dem er sich über eine rlogon-Verbindung aus einem Netzwerk in Japan Zugang verschaffte. Den Zugang zu dem japanischen Netzwerk hatte er über eine lokale Telefongesellschaft per Modemverbindung hergestellt. Diese Modemverbindung ihrerseits wurde über eine japanische Mobilfunkgesellschaft hergestellt. Der Angreifer selbst arbeitet im Auftrag eines direkten Konkurrenten, der nach massiven Preisnachlässen um seine Existenz fürchten muss. Nach diesem Muster laufen nach Ansicht von G-8-Experten die meisten Attacken auf Computernetzwerke ab.
Wollte die Polizei die Spur des Hackers in diesem Fall verfolgen, müsste sie die Verbindungen über die ganze Reihe von Service-Providern und Telefongesellschaften in verschiedenen Ländern rekonstruieren. Der erste Schritt bestände darin, herauszufinden, wie der Angreifer das angegriffene System erreicht hat, um dann entsprechend die Logfiles jedes einzelnen nachfolgenden Netzwerkes zu untersuchen. Dafür müssen die Strafverfolger Zugriff zu den Daten in den Netzwerken in den verschiedenen Ländern erhalten. Und das geht nicht ohne Probleme: So könnten die entsprechenden Daten bei den Providern gar nicht erfasst - und falls doch, nicht gespeichert sein. In einigen G-8-Mitgliedsstaaten beispielsweise werden die Verbindungsdaten von Ortsgesprächen von den Telefongesellschaften nicht aufbewahrt. Hat sich ein Angreifer per Modem über das Ortsnetz eingewählt, wäre die Identifikation damit bereits vereitelt. Dasselbe wäre der Fall, wenn sich der Angreifer über ein Prepaid-Mobiltelefon in das Netz eingewählt hätte. In vielen Ländern erheben die Telefongesellschaften beim Verkauf keine Identifikationsdaten.
Auch bei Internet-Service-Providern könnten Strafverfolger vergebens ermitteln: Falls die Provider dynamische IP-Adressen benutzen, müssen entsprechende Logfiles vorhanden sein, wenn die Suche erfolgreich sein soll. Eine dynamische Adresse wird nämlich nur für eine begrenzte Zeit gebraucht, wenn ein bestimmter Rechner online ist. Sobald sich der Rechner vom Netzwerk verabschiedet, wird die Adresse einem anderen Rechner zugeordnet. Falls sich also die Strafverfolger über die verschiedenen Stationen bis zu dem japanischen Netzwerk durchgefunden haben, könnten sie nur auf die IP-Adresse des Angreifers stoßen. Ohne die Informationen, die beschreiben, welche Accounts zu welchen IP-Adressen in einer bestimmten Zeit zugeordnet wurden, ist es unmöglich zu sagen, welche Computer für den Angriff zuständig sind. Viele Internet-Serviceprovider speichern diese Informationen nicht ab.
Uneinheitliche Regelungen sowie unterschiedliche Datenschutzbestimmungen stellen die Strafverfolger bei der Verfolgung internationaler Computerkriminalität vor große technische und organisatorische Probleme. Vom 19. bis zum 20. Oktober treffen sich jetzt die Justiz- und Innenminister der G-8-Staaten in Moskau. Ganz oben auf der Tagesordnung: Hightech-Kriminalität. Ein ministerielles Kommuniqué wurde bereits bei einem Vortreffen von G-8-Experten Mitte Juli in Moskau entworfen. Die Vorgaben dafür stammen von der G-8-Arbeitsgruppe "Hightech-Kriminalität". Ihr größtes Anliegen: Die Regeln für die Speicherung von Verbindungs- und Bestandsdaten bei Internet-Service-Providern und Telekommunikationsgesellschaften international anzugleichen, um eine schnelle grenzüberschreitende Verfolgung zu ermöglichen.
Bereits bei einem Treffen im März dieses Jahres in Königswinter hatte die Gruppe eine bestimmte Vorgehensweise vorgeschlagen: Internet-Service-Provider sollten auf Bitte der Strafverfolger Kommunikationsdaten des Verdächtigen sofort einfrieren und speichern - der Slogan dafür lautete "Freeze and Preserve". Mit einer richterlichen Genehmigung oder auf anderer geeigneter gesetzlicher Grundlage könnte die Polizei dann die Daten des Verdächtigen beschlagnahmen und auswerten. Als sogenannte "Preservation Order" wurde der Vorschlag bereits vom EU-Rat dem Europarat vorgelegt, der zur Zeit am Entwurf eines "Übereinkommens über Cyber-Kriminalität" arbeitet. Die Konvention soll als verbindliche Abmachung unter EU-Mitgliedsstaaten und sogenannten beobachteten Ländern etwa den USA, Kanada und Japan die internationale Strafverfolgung spürbar erleichtern. Die Mitgliedstaaten wollen künftig die internationale Zusammenarbeit erleichtern und bei schweren Straftaten eine grenzüberschreitende Computerfahndung ermöglichen - "vorbehaltlich spezifischer Schutzklauseln zur angemessenen Wahrung der Souveränität anderer Staaten". Nicht zuletzt sollen Mitgliedstaaten auf Ersuchen anderer Staaten gespeicherte Daten aufbewahren können.
Die EU-Datenschützer kamen den G-8-Strafverfolgern bereits Anfang September in einer eigenen Empfehlung entgegen. Angesichts der Tatsache, dass in Frankreich Telekommunikationsbetreiber Daten bis zu zehn Jahren aufbewahren können, in Norwegen nur 14 Tage und in Deutschland bis zu 80 Tagen, empfahlen sie eine Harmonisierung der Speicherfristen: Der Zeitraum sollte so gewählt sein, dass er einerseits den zuständigen Behörden ermöglicht, ihren gesetzlichen Pflichten nachzukommen, andererseits auch dem Datenschutz und privaten Interessen Rechnung trägt. In salomonischer Formulierung heißt es, der Zeitraum sollte so lang wie nötig sein, um es "den Verbrauchern zu erlauben, ihre Rechnungen anzufechten", doch so kurz wie möglich, um "die Betreiber und Provider nicht zu überlasten" und dem "Recht auf Schutz der Privatsphäre genüge zu tun". Kurzum: Nicht länger als drei Monate sollte der Zeitraum betragen. Genau das hatten sich auch die Amerikaner gewünscht.
Bleibt die Frage, ob und wie auf Daten zugegriffen werden kann, die im Augenblick entstehen: sogenannte künftige Verkehrsdaten. In Deutschland ermöglicht der verfassungsrechtlich umstrittene Paragraf 12 des Fernmeldeanlagengesetzes den Zugriff auf diese Informationen. Ein reiner Anfangsverdacht genügt der Staatsanwaltschaft, um selbst wegen einfacher Delikte listenweise Bestands- und Verbindungsdaten von Telefon- und Internetbetreibern abrufen zu können. Der Paragraf ist bis zum 31. Dezember diesen Jahres befristet. Die CDU/CSU-Bundestagsfraktion brachte am 7. Oktober einen Gesetzentwurf in den Bundestag ein, der die unbefristete Verlängerung vorsieht - mit der Begründung, dass damit vor allem belästigende und beleidigende Telefonanrufe verfolgt werden könnten. Nach Auskunft des Abgeordnetenbüros des Bündnisgrünen Christian Ströbele will die Regierungskoalition im Ausschuss jedoch datenschutzfreundlichere Alternativen diskutieren.
Ungewiss ist auch noch immer das Schicksal der Telekommunikations-Überwachungsverordnung (TKÜV). Sie ermöglicht den Datenabruf im direkten Zugriff - verlangt aber den Einbau von Überwachungsschnittstellen nicht nur bei Telefonfirmen, sondern auch bei Internetprovidern auf deren eigene Kosten und ist deshalb in der Branche nicht gut gelitten. Das Bundeskriminalamt könnte nach Auskunft eines Mitarbeiters auch ohne Überwachungsschnittstelle leben - die Polizisten würden sich im Fall des Falles mit einer so genannten "Black Box" an die Rechner des Providers klemmen. Was technisch machbar ist, ist politisch allerdings noch ungelöst. Das Bundesinnenministerium blockierte in ersten Vorgesprächen. Grund: Die Kosten der "Black Box" müsste der Staat übernehmen. Zudem müssten sich die Provider kooperationswillig zeigen - bislang Fehlanzeige. Erste Ergebnisse der Gespräche zwischen Bundeskriminalamt und Internet-Service-Providern sollen erst Mitte November vorgestellt werden. Beobachter sind sich sicher: Falls es nicht zu einer Verlängerung der Geltungsdauer des Paragrafen 12 kommt, ist im Dezember mit einem Erlass der TKÜV zu rechnen. Freiwillige Kooperation oder Zwangsverpflichtung? Für die Provider scheint es keine anderen Möglichkeiten mehr zu geben.
