Datenschutz und Pervasive Monitoring
- juristische, technische und praktische Herausforderungen -
Zeit: | Freitag, 25.09.2015, 09.00 Uhr |
Ort: | Hörsaal 0.23 |
Moderation: | RIGO WENNING, Justitiar, W3C PROF. DR. CHRISTOPH SORGE, juris Stiftungsprofessur für Rechtsinformatik, Universität des Saarlandes |
Referenten: | CHRISTIAN HORCHERT, (aka Fukami), Chaos Computer Club |
Mit Erich Möchel hatte der EDV-Gerichtstag 2013 schon einmal einen intimen Kenner der Internet-Abhör-Infrastruktur der Geheimdienste eingeladen. Möchel hat gerade wieder für Aufsehen gesorgt als er die fünf NSA- Abhörstützpunkte in Wien photographierte und kartographierte.
Nun wird es Zeit, das Thema der flächendeckenden Internetüberwachung neu zu betrachten. Seit 2013 sind viele neue Details veröffentlicht worden. Die Diskussion ist von der ersten Phase der Aufregung in eine zweite, viel grundlegendere Phase eingetreten. Wir kennen jetzt die Namen von vielen Projekten wie “Xkeystore” und “Bullrun”. Wir wissen um die Desinformation-Kampagnen rund um die Verschlüsselung. Wir wissen, dass Verschlüsselung funktioniert, auch wenn man uns glauben machen will, dass dem nicht so ist.
Wir können nun Revue passieren lassen, über welche Kapazitäten die Geheimdienste verfügen und wie man sich effektiv dagegen schützen kann. Dabei kann es nie um absolute Abhörsicherheit gehen. Denn absolute Abhörsicherheit würde voraussetzen, dass wir uns gegen den Staat wehren und performanter sind als der Staat. Ein solches Ziel verfolgt die Gegenbewegung gerade nicht. Es geht also immer nur um die Verhinderung der einfachen und flächendeckenden Überwachung. Das führt insgesamt zu Systemen mit wesentlich höherer Sicherheit, aber hilft nicht gegen gezielte Angriffe des Staates auf Einzelne oder gerichtlich verordnete Überwachungen.
Im Arbeitskreis diskutieren wir mit dem Publikum die Maßnahmen, die derzeit getroffen werden, um die Grundsicherheit des Internet zu erhöhen. Den Zuhörern sollen auch Hinweise an die Hand gegeben werden, wie sie sich besser schützen können.
Aber die flächendeckende Überwachung ist nicht nur ein technisches Thema, sondern auch ein juristisches. Das Bundesverfassungsgericht hat 2008 ein neues Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme formuliert. Da war von Snowden noch keine Rede. Aber das Bundesverfassungsgericht hat in einer geradezu visionären Entscheidung schon alle Aspekte der Snowden’schen Veröffentlichungen abgedeckt. Das Abgreifen der Daten beim Übermittlungsvorgang falle unter Art. 10 GG. Art. 10 GG wiederum erfasse nicht die auf der ein oder anderen Seite des Übermittlungsvorgangs gespeicherten Daten. Das betrifft nicht nur den Staatstrojaner, um den es in der Entscheidung vordergründig geht, sondern auch die unvorstellbaren Datenhaufen, die auf den Serversystemen des Internet abgelegt werden. Dort greife Art. 10 GG gerade nicht. In Reminiszenz und zu Ehren des 2015 verstorbenen Caspar Bowden soll eine Kurzvorstellung des amerikanischen FISA-Acts erfolgen. Caspar Bowden hatte schon 2009 angefangen, vor den Auswirkungen dieses Gesetzes zu warnen. Denn zusammen mit dem Monopol-Sog der großen amerikanischen IT-Firmen, erhält der FISA-Act eine eigene und neue Dimension. Und während in den USA der FISA-Act unbeanstandet blieb, hat das Bundesverfassungsgericht mit dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme eine Lücke geschlossen und solche Eingriffe unter strenge Auflagen gestellt. Das hat dramatische Konsequenzen, insbesondere für das Cloud Computing, das in aller Munde ist. Diese Konsequenzen sind allerdings im Alltag der deutschen Justiz noch nicht so richtig angekommen. Unsere Diskussion soll zur weiteren Vertiefung anregen und zur Konkretisierung beitragen. Kann es eine Verpflichtung der Anbieter zur Verschlüsselung der Kommunikation geben?
Erwähnung finden soll auch einer der wichtigsten Fälle dieses Jahres, der eine gewisse sachliche Nähe zur Problematik rund um den FISA–Act aufweist. Ein New Yorker Richter will Microsoft verpflichten, in Irland gespeicherte E‑Mails ohne Rechtshilfeersuchen herauszugeben. Microsoft und Irland sind der Meinung, dass es eines Rechtshilfeersuchens bedarf. Der Richter in New York ist der Meinung, ein amerikanisches Gericht habe Jurisdiktion über eine amerikanische Firma aus Seattle. Zwei Prinzipien treffen aufeinander. Wir wollen über Vor- und Nachteile diskutieren, die sich aus den verschiedenen Lösungsmöglichkeiten ergeben.
Das neue IT-Sicherheitsgesetz geht in eine ähnliche Richtung. Welches Niveau technischer Absicherung soll es geben und wie sollen wir mit Unsicherheiten umgehen? Gerade in der Justiz gehen wir einerseits mit hoch sensiblen Daten um. Andererseits sind die IT-Systeme der Justiz nicht immer auf dem allerneuesten Stand. Welche Haftung entsteht durch veraltete und damit anfällige Systeme? Und wie sollen wir die Haftung ausgestalten? Denn Geheimdienste mit Datenstaubsauger sind eine Seite, Systeme, die ein Absaugen der Daten ermöglichen, die andere Seite derselben Münze.
Nach der Affäre um die Eröffnung eines Ermittlungsverfahrens wegen Landesverrats gegen Netzpolitik.org stellen sich auch Fragen nach dem deutschen Recht. Netzpolitik.org hatte bekanntermaßen die Pläne des Verfassungsschutzes zur Überwachung des Internet veröffentlicht. Es ist eine interessante Frage, ob und inwieweit der Verfassungsschutz überhaupt so eine flächendeckende Überwachung vornehmen darf. Die Anzeige zeigt einen Mangel im Bereich des Schutzes von sogenannten “Whistleblowern”. Ob das falsch oder richtig ist, soll auch Gegenstand unserer Diskussion sein.
Aber nicht nur Whistleblower sind in Gefahr, trotz ihrer gesellschaftlichen Nützlichkeit an den Rand gedrängt zu werden. Deutschland hat ein besonderes Sicherheitsniveau, weil es eine weltweit einmalige Landschaft von IT-Experten, sogenannten Hackern, hat. Anders als in vielen Staaten ist die Nützlichkeit des Hackens in Deutschland anerkannt. Hacking läuft vielfach in geordneten Bahnen und viele Lebensläufe konnten im Normalen gehalten werden. Doch Gefahr droht hier von einer gut gemeinten Sicherheitsgesetzgebung, die an den falschen Schrauben dreht. Die Europäisierung des französischen Systems des totalen Hackingverbots durch IT-EU-Sicherheitsrichtlinien und deren deutsche Umsetzung bergen die Gefahr, die Deutsche IT-Landschaft in ihrem Kern zu zerstören. Wegen der starken Vernetzung der IT haben auch die Regelsysteme rund um die Exportkontrolle das Potential uns langfristig zu schaden, indem gute Forscher in die Arme der Geheimdienste getrieben werden, um sich austauschen und überhaupt forschen zu können.