Daten­schutz und Per­va­sive Moni­to­ring

- juris­ti­sche, tech­ni­sche und prak­ti­sche Her­aus­for­de­run­gen -

Zeit: Frei­tag, 25.09.2015, 09.00 Uhr
Ort: Hör­saal 0.23
Mode­ra­tion: RIGO WENNING, Jus­ti­tiar, W3C
PROF. DR. CHRISTOPH SORGE, juris Stif­tungs­pro­fes­sur für Rechts­in­for­ma­tik, Uni­ver­si­tät des Saar­lan­des
Refe­ren­ten: CHRISTIAN HORCHERT, (aka Fukami), Chaos Com­pu­ter Club

Mit Erich Möchel hatte der EDV-Gerichtstag 2013 schon ein­mal einen inti­men Ken­ner der Internet-Abhör-Infrastruktur der Geheim­dienste ein­ge­la­den. Möchel hat gerade wie­der für Auf­se­hen gesorgt als er die fünf NSA- Abhör­stütz­punkte in Wien pho­to­gra­phierte und kar­to­gra­phierte.

Nun wird es Zeit, das Thema der flä­chen­de­cken­den Inter­net­über­wa­chung neu zu betrach­ten. Seit 2013 sind viele neue Details ver­öf­fent­licht wor­den. Die Dis­kus­sion ist von der ers­ten Phase der Auf­re­gung in eine zweite, viel grund­le­gen­dere Phase ein­ge­tre­ten. Wir ken­nen jetzt die Namen von vie­len Pro­jek­ten wie „Xkeystore“ und „Bull­run“. Wir wis­sen um die Desinformation-Kampagnen rund um die Ver­schlüs­se­lung. Wir wis­sen, dass Ver­schlüs­se­lung funk­tio­niert, auch wenn man uns glau­ben machen will, dass dem nicht so ist.

Wir kön­nen nun Revue pas­sie­ren las­sen, über wel­che Kapa­zi­tä­ten die Geheim­dienste ver­fü­gen und wie man sich effek­tiv dage­gen schüt­zen kann. Dabei kann es nie um abso­lute Abhör­si­cher­heit gehen. Denn abso­lute Abhör­si­cher­heit würde vor­aus­set­zen, dass wir uns gegen den Staat weh­ren und per­for­man­ter sind als der Staat. Ein sol­ches Ziel ver­folgt die Gegen­be­we­gung gerade nicht. Es geht also immer nur um die Ver­hin­de­rung der ein­fa­chen und flä­chen­de­cken­den Über­wa­chung. Das führt ins­ge­samt zu Sys­te­men mit wesent­lich höhe­rer Sicher­heit, aber hilft nicht gegen gezielte Angriffe des Staa­tes auf Ein­zelne oder gericht­lich ver­ord­nete Über­wa­chun­gen.

Im Arbeits­kreis dis­ku­tie­ren wir mit dem Publi­kum die Maß­nah­men, die der­zeit getrof­fen wer­den, um die Grund­si­cher­heit des Inter­net zu erhö­hen. Den Zuhö­rern sol­len auch Hin­weise an die Hand gege­ben wer­den, wie sie sich bes­ser schüt­zen kön­nen.

Aber die flä­chen­de­ckende Über­wa­chung ist nicht nur ein tech­ni­sches Thema, son­dern auch ein juris­ti­sches. Das Bun­des­ver­fas­sungs­ge­richt hat 2008 ein neues Grund­recht auf Gewähr­leis­tung der Ver­trau­lich­keit und Inte­gri­tät infor­ma­ti­ons­tech­ni­scher Sys­teme for­mu­liert. Da war von Snow­den noch keine Rede. Aber das Bun­des­ver­fas­sungs­ge­richt hat in einer gera­dezu visio­nä­ren Ent­schei­dung schon alle Aspekte der Snowden’schen Ver­öf­fent­li­chun­gen abge­deckt. Das Abgrei­fen der Daten beim Über­mitt­lungs­vor­gang falle unter Art. 10 GG. Art. 10 GG wie­derum erfasse nicht die auf der ein oder ande­ren Seite des Über­mitt­lungs­vor­gangs gespei­cher­ten Daten. Das betrifft nicht nur den Staats­troja­ner, um den es in der Ent­schei­dung vor­der­grün­dig geht, son­dern auch die unvor­stell­ba­ren Daten­hau­fen, die auf den Ser­ver­sys­te­men des Inter­net abge­legt wer­den. Dort greife Art. 10 GG gerade nicht. In Remi­nis­zenz und zu Ehren des 2015 ver­stor­be­nen Cas­par Bow­den soll eine Kurz­vor­stel­lung des ame­ri­ka­ni­schen FISA-Acts erfol­gen. Cas­par Bow­den hatte schon 2009 ange­fan­gen, vor den Aus­wir­kun­gen die­ses Geset­zes zu war­nen. Denn zusam­men mit dem Monopol-Sog der gro­ßen ame­ri­ka­ni­schen IT-Firmen, erhält der FISA-Act eine eigene und neue Dimen­sion. Und wäh­rend in den USA der FISA-Act unbe­an­stan­det blieb, hat das Bun­des­ver­fas­sungs­ge­richt mit dem Grund­recht auf Gewähr­leis­tung der Ver­trau­lich­keit und Inte­gri­tät infor­ma­ti­ons­tech­ni­scher Sys­teme eine Lücke geschlos­sen und sol­che Ein­griffe unter strenge Auf­la­gen gestellt. Das hat dra­ma­ti­sche Kon­se­quen­zen, ins­be­son­dere für das Cloud Com­pu­ting, das in aller Munde ist. Diese Kon­se­quen­zen sind aller­dings im All­tag der deut­schen Jus­tiz noch nicht so rich­tig ange­kom­men. Unsere Dis­kus­sion soll zur wei­te­ren Ver­tie­fung anre­gen und zur Kon­kre­ti­sie­rung bei­tra­gen. Kann es eine Ver­pflich­tung der Anbie­ter zur Ver­schlüs­se­lung der Kom­mu­ni­ka­tion geben?

Erwäh­nung fin­den soll auch einer der wich­tigs­ten Fälle die­ses Jah­res, der eine gewisse sach­li­che Nähe zur Pro­ble­ma­tik rund um den FISA – Act auf­weist. Ein New Yor­ker Rich­ter will Micro­soft ver­pflich­ten, in Irland gespei­cherte E-Mails ohne Rechts­hil­fe­er­su­chen her­aus­zu­ge­ben. Micro­soft und Irland sind der Mei­nung, dass es eines Rechts­hil­fe­er­su­chens bedarf. Der Rich­ter in New York ist der Mei­nung, ein ame­ri­ka­ni­sches Gericht habe Juris­dik­tion über eine ame­ri­ka­ni­sche Firma aus Seat­tle. Zwei Prin­zi­pien tref­fen auf­ein­an­der. Wir wol­len über Vor- und Nach­teile dis­ku­tie­ren, die sich aus den ver­schie­de­nen Lösungs­mög­lich­kei­ten erge­ben.

Das neue IT-Sicherheitsgesetz geht in eine ähn­li­che Rich­tung. Wel­ches Niveau tech­ni­scher Absi­che­rung soll es geben und wie sol­len wir mit Unsi­cher­hei­ten umge­hen? Gerade in der Jus­tiz gehen wir einer­seits mit hoch sen­si­blen Daten um. Ande­rer­seits sind die IT-Systeme der Jus­tiz nicht immer auf dem aller­neu­es­ten Stand. Wel­che Haf­tung ent­steht durch ver­al­tete und damit anfäl­lige Sys­teme? Und wie sol­len wir die Haf­tung aus­ge­stal­ten? Denn Geheim­dienste mit Daten­staub­sau­ger sind eine Seite, Sys­teme, die ein Absau­gen der Daten ermög­li­chen, die andere Seite der­sel­ben Münze.

Nach der Affäre um die Eröff­nung eines Ermitt­lungs­ver­fah­rens wegen Lan­des­ver­rats gegen Netzpolitik.org stel­len sich auch Fra­gen nach dem deut­schen Recht. Netzpolitik.org hatte bekann­ter­ma­ßen die Pläne des Ver­fas­sungs­schut­zes zur Über­wa­chung des Inter­net ver­öf­fent­licht. Es ist eine inter­es­sante Frage, ob und inwie­weit der Ver­fas­sungs­schutz über­haupt so eine flä­chen­de­ckende Über­wa­chung vor­neh­men darf. Die Anzeige zeigt einen Man­gel im Bereich des Schut­zes von soge­nann­ten „Whist­leb­lo­wern“. Ob das falsch oder rich­tig ist, soll auch Gegen­stand unse­rer Dis­kus­sion sein.

Aber nicht nur Whist­leb­lo­wer sind in Gefahr, trotz ihrer gesell­schaft­li­chen Nütz­lich­keit an den Rand gedrängt zu wer­den. Deutsch­land hat ein beson­de­res Sicher­heits­ni­veau, weil es eine welt­weit ein­ma­lige Land­schaft von IT-Experten, soge­nann­ten Hackern, hat. Anders als in vie­len Staa­ten ist die Nütz­lich­keit des Hackens in Deutsch­land aner­kannt. Hacking läuft viel­fach in geord­ne­ten Bah­nen und viele Lebens­läufe konn­ten im Nor­ma­len gehal­ten wer­den. Doch Gefahr droht hier von einer gut gemein­ten Sicher­heits­ge­setz­ge­bung, die an den fal­schen Schrau­ben dreht. Die Euro­päi­sie­rung des fran­zö­si­schen Sys­tems des tota­len Hacking­ver­bots durch IT-EU-Sicherheitsrichtlinien und deren deut­sche Umset­zung ber­gen die Gefahr, die Deut­sche IT-Landschaft in ihrem Kern zu zer­stö­ren. Wegen der star­ken Ver­net­zung der IT haben auch die Regel­sys­teme rund um die Export­kon­trolle das Poten­tial uns lang­fris­tig zu scha­den, indem gute For­scher in die Arme der Geheim­dienste getrie­ben wer­den, um sich aus­tau­schen und über­haupt for­schen zu kön­nen.

Seite Drucken