die raven homepage
Die Telekommunikations-Überwachungsverordnung kann als Herzstück eines umfangreichen und miteinander verzahntem Regelapparates angesehen werden, dessen Bestanteile oder Teile derselben nur einem Zweck dienen:
Der Möglichkeit der lückenlosen Überwachung jeder auf Technik, gleich welcher Art, beruhenden Kommunikation zwischen Menschen.
Für das direkte gesprochene Wort haben der Staat, die Strafverfolgungsbehörden und die Geheimdienste bereits mit den Regelungen und Werkzeugen des Grossen Lauschangriffs dafür gesorgt, das das gesprochene Wort auch zum indizierten, kategorisierten und gespeicherten Wort werden kann. Auch die Kommunikation bei persönlichen Zusammentreffen, per Mimik und Gestik, werden sich der, auf Verordnungen gestützten, immer weiter ausbreitenden Videoüberwachung in Verbindung mit biometrischen Vermessungs- und Erkennungstechniken nicht entziehen können.
Sei es das Telefonieren per Handy oder Telefon, leitungsgebunden, per Funk oder per Satellit, das Versenden von Faxen, das Verschicken der beliebten SMS oder der Austauch per E-Mail, seien Sie sich im Klaren darüber, das im Fall des Falles den "berechtigten Stellen" jedes Bit und jedes Wort zuteil wird.
Die TKÜV wird ergänzt durch eine oder mehrere TECHNISCHE RICHTLINIEN, welche die "hardware" mässige Ausgestaltung der TKÜV zum Inhalt haben. Eindrücke dazu kann man sich über zwei Dokumente der Regulierungsbehörde für Telekommunikation und Post machen:
Konzeptskizze der RegTP zur Einrichtung von Abhörschnittstellen für DSL-Internetzugänge
Quasi die "Konzeptabteilung" für die TKÜV stellt das European Telecommunications Standards Institute (ETSI) dar, das mit seinen technischen Abhörstandards in Form der ES/ET Reports die "Blaupausen" für die TKÜV und die TR geliefert hat.
Als "geistige Väter" der TKÜV/TR sind zu nennen:
Mehr dazu weiter unten und auf der Seite ENFOPOL - das europäische Abhörnetzwerk
Die TKÜV ist weiterhin die Rechtsverordnung, auf die im TKG Bezug genommen wird, welche die Fernmeldeverkehr-Überwachungs-Verordnung (FÜV) ersetzt. Eingerahmt wird die TKÜV von den vielfältigen Überwachungsbefugnissen der Strafprozessordnung, des Aussenwirtschaftsgesetzes, des Terrorismusbekämpfungsgesetzes, des G10-Gesetzes, des BND-Gesetzes, des MAD-Gesetzes, des Bundesverfassungsschutzgesetzes, dem europäischen Rechtshilfeabkommen und der EU-Direktive für den (Anm.: Nicht-)Datenschutz in der Telekommunikation usw.
1998 sprach ich in der Einleitung zur Ministerium für Wahrheit Sektion von Punkten als kleinen Teilen eines grossen Käfigs, der gerade an verschiedenen Punkten der Welt zusammengebaut wird. 2002 kann man vermuten, dass der Aufbau nahezu vollzogen ist. Die TKÜV war einer dieser Teile. Was danach kommt wird nur eine technische und legislative Verfeinerung und die Ausweitung weiterer Befugnisse der "berechtigten Stellen" sein.
Von der Version 1 der "Technischen Richtlinie Internet TKÜV-TRI" waren im Gegensatz zum TKÜV-Entwurf TKÜV-E nur Bruchstücke bekannt, da sie der Geheimhaltung unterlag und Autoren, die über die TKÜV-TRI schreiben, nur ungenau und fragmenthaft darüber berichten konnten und durften. Allerdings wurde die Version 1 der TKÜV-TRI anonym im Usenet verbreitet, aus der Auszüge wiedergegeben werden.
Die jetzt geltende TKÜV und die Begründung zum Entwurf einer TKÜV sind im vollen Umfang erhältlich (siehe Die TKUEV 4.0).
Aber auch zum Verständnis des Kontextes und des Ursprungs der aktuellen Entwürfe mag diese Seite dienlich sein.
Am 25.10.2001 hat das Bundeskabinett die TKÜV in der zuletzt vorliegenden Version 4.0 beschlossen. Sie trat nach Veröffentlichung im Bundesgesetzesblatt am 22.01.2002 in Kraft. Eine Zustimmung des Bundesrates war nicht erforderlich.
Siehe Bundesregierung segnet Lauschverordnung ab
Im Mai 1998 wurde ein erster Entwurf einem ausgewählten Kreis von Internetverbänden und Provider (und nicht, wie es in den Eckpunkten für den Regelungsrahmen der Rechtsverordnung nach § 88 TKG v. 7.4.199 heißt: "zur öffentlichen Diskussion") vorgestellt, der Entwurf traf aufgrund des Diktats der vollständigen Kostenübernahme durch die Provider für die Installation der Überwachungsschnittstellen und den unkontrollierbaren Überwachungsmöglichkeiten auf starke Kritik seitens Verbänden und Providern und in der informierten Fachpresse.
Der Entwurf wurde daraufhin erst einmal vom Bundeswirtschaftminister Rexrodt zurückgezogen.
Die folgenden Passagen stehen in engem Zusammenhang mit einem FBI-Arbeitspapier aus dem Jahr 1992, dem geheimen Treffen der ILETS-Gruppe im Jahre 1993, den International User Requirements (IUR) von 1995 und den bekanntgewordenen ENFOPOL-Plänen.
Siehe auch Das Ministerium für Wahrheit: ENFOPOL
"Auch bei einem überarbeiteten Entwurf muss der Regelungsrahmen beachtet werden, der durch die Strafprozessordnung (StPO), das Gesetz zu Artikel 10 Grundgesetz (G 10), das Aussenwirtschaftsgesetz (AWG) sowie durch das TKG (§ 88) vorgegeben ist.
Angesichts der detaillierten Festlegungen in den zugrundeliegenden Gesetzen bestehen derzeit nur geringe Spielräume, um der Kritik der Wirtschaft entgegenzukommen. Die engen Spielräume können jedoch voll ausgeschöpft werden."
"Geschäftsmässiges Erbringen von Telekommunikationsdiensten ist gemäss der Begriffsbestimmung des § 3 Nr. 5 TKG das nachhaltige Angebot von Telekommunikation einschliesslich des Angebots von Übertragungswegen für Dritte mit oder ohne Gewinnerzielungsabsicht."
"Gemäss § 88 Abs. 2 Satz 2 Nr. 1 TKG können in der Rechtsverordnung die Anforderungen an die Gestaltung der zur Überwachung erforderlichen technischen Einrichtungen geregelt werden. Damit soll eine möglichst einheitliche technische Umsetzung angeordneter Überwachungsmassnahmen sichergestellt werden, durch die einerseits die Gerichtsverwertbarkeit der aufgezeichneten Telekommunikation gewährleistet wird und durch die andererseits auch die Belange der Verpflichteten berücksichtigt werden. Konkrete Vorgaben, wie das "Ermöglichen" technisch und organisatorisch umzusetzen ist, sind im Sinne einer möglichst hohen Rechtssicherheit, insbesondere auch hinsichtlich des Stellenwertes des Fernmeldegeheimnisses unbeteiligter Dritter sowie schon aus Gründen der Wirtschaftlichkeit 5 hinsichtlich der von der Industrie zu entwickelnden technischen Schnittstellen und der von den berechtigten Stellen vorzuhaltenden technischen Aufzeichnungs- und Auswerteeinrichtungen unabdingbar."
5"Dabei ist auch zu berücksichtigen, dass die Hersteller von Telekommunikationsanlagen entsprechende Schnittstellen bereits auf der Basis der noch auf § 10b FAG beruhenden FÜV und der hierzu herausgegebenen "Technischen Richtlinie" entwickelt haben, die auch bereits in etlichen Telekommunikationsanlagen der klassischen Festnetze und der Mobilnetze verfügbar sind. Wirtschaftliche Überlegungen gebieten hier, so weit wie möglich von neuen technischen Anforderungen abzusehen und in Fällen, in denen sich dies nicht vermeiden lässt, den Umfang neuer Anforderungen so gering wie möglich zu halten."
"Gemäss § 88 Abs. 2 Satz 3 TKG kann in der Rechtsverordnung ferner vorgesehen werden, dass in technisch begründeten Ausnahmefällen auf Antrag von der Erfüllung einzelner technischer Anforderungen an die Gestaltung der für die Überwachung erforderlichen Einrichtungen abgesehen werden kann. Diese Vorschrift zielt auf Einzelfallregelungen im Rahmen der nach § 88 Abs. 2 Satz 1 TKG zu erteilenden Genehmigungen und soll die erforderliche Flexibilität bieten, um in Nischenbereichen der Telekommunikation oder in sonstigen begründeten Einzelfällen auf die Einhaltung bestimmter Anforderungen verzichten zu können7."
7"Sinngemäss wurde z. B. im Zusammenhang mit der Genehmigung der technischen Einrichtungen für die Umsetzung von Überwachungsmassnahmen in den Bereichen Bündelfunk, aber auch im Rahmen von Übergangslösungen für die Bereiche Mobilfunk und ISDN verfahren"
"Dem Entwurf lag die auch im politischen Raum erhobene Forderung zugrunde, sowohl Corporate Networks (CN) als auch geschäftsmässig betriebene Nebenstellenanlagen, insbesondere Hotelanlagen, möglichst vollständig in den Regelungsbereich der TKÜV einzubeziehen."
"Forderungen nach einer Regelung der Kostenfrage in der Weise, dass die Unternehmen die Kosten für die technischen Einrichtungen nicht zu tragen hätten, die für die Umsetzung von angeordneten Überwachungsmassnahmen erforderlich sind, können nicht aufgegriffen werden."
"Als Grundlage für einen neuen Entwurf der TKÜV müssen berücksichtigt werden:
die international abgestimmten Anforderungen an die Umsetzung von Überwachungsmassnahmen10, denen sich auch Deutschland angeschlossen hat,"
10"International User Requirements (IUR) gemäß der Entschliessung des Rates vom 17. Januar 1995 über die rechtmäßige Überwachung des Fernmeldeverkehrs"
Hier wird erklärt, dass ein neuer Entwurf der TKÜV den IUR folgen werden, im Klartext: die TKÜV ist die deutsche ENFOPOL Umsetzung. ENFOPOL wiederum geht auf die IUR zurück, die IUR sind wiederum Ergebnis von ILETS und ILETS resultierte aus der Operation Root Canal.
Siehe dazu Ministerum für Wahrheit: ENFOPOL - das europäische Abhörnetzwerk
| der Verpflichteten (Fallgruppe) |
Beispiel | Umfang der Verpflichtung; Art der Genehmigung |
|---|---|---|
| 1. Betreiber von TKAnl. mit denen Telekommunikations- dienstleistungen für die Öffentlichkeit erbracht werden |
Gewerblicher Bereich, der Telekommunikation für die Öffentlichkeit anbietet; diese Fallgruppe beinhaltet alle sog. Öffentlichen Netze einschl. der Mobilfunknetze | Grundsätzlich wie im bisherigen TKÜV-E, Übermittlung der zu überwachenden Telekommunikation an die berechtigten Stellen über geeignete TK-Netze; Einzelgenehmigung |
"Die Betreiber nach den Fallgruppen 1 bis 3 benötigen zur Erfüllung der ihnen obliegenden Verpflichtung die Rufnummer oder sonstige Kennung des Anschlusses, der eine Verbindung zu dem zu überwachenden Anschluss hergestellt hat. Diese Nummer wird in modernen TK-Netzen regelmässig als sog. Calling Line Identification (CLI) übermittelt15."
15"Trifft für sog. leitungsvermittelnde Netze zu (wie z. B. das ISDN-Netz), die zur Zeit noch weit verbreitet sind und grosse Bedeutung haben; für sog. paketvermittelnde Netze (wie z. B. das Internet)"
Das Internet-Protokoll (IP) und das Internet Control Message Protocol (ICMP) sind die Grundlage zur Übermittlung von Datagrammen im Internet.
Diese Protokolle bilden die Grundlage zur technischen Umsetzung von Überwachungsmassnahmen. Die zu überwachende Telekommunikation ist in Datagrammen enthalten, die das IP und ICMP beinhalten. Für die Bereitstellung und Übermittlung der zu überwachenden Telekommunikation an die BTr (Bedarfsträger) gelten die in der FÜV (Fernmeldeverkehr-Überwachungs-Verordnung) genannten Grundsätze.
Die folgenden Ausführungen beziehen sich auf den technisch und wirtschaftlich vorteilhaften Fall der Nutzung von IP-basierten Datagrammen bei der Übermittlung überwachter Datagramme über das Internet zum BTr. Die Übermittlung der IP-basierten Datagramme über Fest- oder Wählverbindungen ist bei der Überwachung von paketvermittelnden Verkehr des Internet nicht vorgesehen.
Der ZÜA (zu überwachenden Adresse) kann eine feste oder eine dynamische IP-Adresse gemäss RFC 791 Standard zugewiesen sein, über die die virtuelle Verbindung von der ZÜA zur TKA-V (z.B. Router) hergestellt wird. Die TKA-V des Verpflichteten muss die Überwachung aufgrund der in der Anordnung genannten IP-Adresse der Klasse A, B, C bzw. aufgrund der in der Anordnung genannten Kennung der zu überwachenden Adresse ermöglichen können, die auch eine Nutzerkennung sein kann. Dies bedeutet, dass die Überwachung aufgrund einer IP-Adresse oder einer Nutzerkennung in Verbindung mit einer dynamisch zugewiesenen IP-Adresse erfolgen muss. In diesem Zusammenhang sei darauf hingewiesen, dass die TKA-V die in § 12 Abs. 5 FÜV genannten Informationen lückenlos protokollieren muss.
Die TKA-V, über die die zu überwachenden Datagramme an die BTr übermittelt werden, ist so auszulegen, dass die Übermittlung der zu überwachenden Telekommunikation jederzeit gewährleistet ist. Sollte die Übermittlung der Datagramme mit der zu überwachenden Telekommunikation zum BTr erfolglos bleiben, erfolgen wie im RFC-Standard vorgesehen weitere Übermittlungsversuche. Hierfür sind die im RFC-Standard vorgesehenen ICMP Information ("Destination Unreachable") entsprechend auszuwerten.
Bei Nichterreichbarkeit der Aufzeichnungseinrichtungen des Bedarfsträgers müssen die für den BTr bestimmten IP-Header der Datagramme über einen Zeitraum von maximal 24 Std. gepuffert und sobald die Verbindung wieder besteht und die Aufzeichnungseinrichtung wieder erreichbar ist, erneut gesendet werden. Nach erfolgreicher Übermittlung sind die gepufferten Daten anschliessend vollständig zu löschen.
Falls die gepufferten Datagramme nicht übermittelt werden können, sind diese einer Fehlerbehandlung zuzuführen und dem BTr über ein anderen geeigneten Weg zuzustellen.
Die zu überwachende Telekommunikation enthält IP-basierte Datagramme gemäss dem RFC 791 Standard. Die Datagramme werden von der TKA-V über das Internet an die IP-Adresse des Bedarfsträgers (...) übermittelt. Die zu überwachende Telekommunikation kann die im Internet verfügbaren Dienste (z.B. WWW, FTP, E-Mail, Telnet, Telefonie) enthalten.
Diese Informationen über alle von der ZÜA genutzten Anwendungen können der Transportschicht 3, dem Internet Layer entnommen werden. Um die von der ZÜA genutzten Anwendungen überwachen zu können, müssen alle Datagramme des Internet Layer zur IP-Adresse des BTr ausgeleitet werden. Die technischen Einrichtungen des BTr zeichnen diese IP-Daten des Internet Layer auf, interpretieren diese und führen diese einer Anwendung zu.
Sofern die Überwachungsmöglichkeiten für eine TKA-V unter Beachtung der Bestimmungen der FÜV und der Festlegung dieser Technischen Richtlinie unterschiedlich gestaltet sein können, ist insbesondere in Fällen, in denen in der TKA-V voneinander abweichende Systemtechniken zum Einsatz gelangen, dafür Sorge zu tragen, dass dem BTr die zu überwachende Telekommunikation in einem einheitlichen, systemunabhängigen Format auf Basis des RFC-Protokolls 791 bereitgestellt wird.
Unmittelbar nach der Einrichtung der Überwachungsmassnahme hat der Verpflichtete zu der im Beschluss genannten BTr-IP Adresse eine entsprechende Information zu senden. Damit wird dem BTr angezeigt, dass die Überwachungsmassnahme aktiviert wurde und von diesem Zeitpunkt an mit der Übermittlung von Datagrammen zu rechnen ist. Der Verpflichtete hat hierzu eine asymmetrisch verschlüsselte Nachricht als E-Mail an die BTr-IP Adresse zu senden, an die die zu überwachenden Datagramme auszuleiten sind. Das Verschlüsselungsverfahren wird von der Regulierungsbehörde festgelegt und bekanntgegeben. Die nachfolgend genannten Informationen sind als E-Mail zu versenden. Dabei ist der ASCll, ISO 8859-1 Zeichensatz zu verwenden:
Inhalt:
Eine Überwachung ist zu dem sich aus der Anordnung ergebenden Zeitpunkt oder vorzeitig auf schriftliches Verlangen des BTr zu beenden. Der Verpflichtete hat unmittelbar vor dem tatsächlichen Ende der Überwachungsmassnahme zu der im Beschluss genannten BTr-IP Adresse eine asymmetrisch verschlüsselte Nachricht als E-Mail zu versenden. Die nachfolgenden Informationen sind als E-Mail zu versenden. Dabei ist der ASCII, ISO 8859-1 Zeichensatz zu verwenden:
Inhalt:
Datagramme virtueller Verbindungen enthalten die im (IP-)Header dargestellten Informationen. Im Falle der Überwachung der Telekommunikation werden die Datagramme der ZÜA dupliziert und folgendermassen an den BTr übermittelt. Die ursprünglichen Headerinformationen werden in die Payload (die eigentlichen Nutzungsdaten, die zwischen zwei Adressen übertragen werden) übernommen. Diesen Datagrammen wird ein neuer Header vorangestellt. In diesen Header wird als Quelladresse (Source Address) die Adresse der TKA-V und als Zieladresse (Destination Address) die Adresse des BTr eingetragen.
Bei gehenden virtuellen Verbindungen von der ZÜA zur TKA-V wird das Feld Destination Address als ASCII-Zeichensatz in die Payload geschrieben. Die Source Address wird dahinter in die Payload geschrieben. Die Destination Address der zu überwachenden Telekommunikation steht somit an erster Stelle in der Payload, die ZÜA (Source Address) an zweiter Stelle.
Bei kommenden virtuellen Verbindungen von der TKA-V zur ZÜA wird das Feld Destination Address als ASCII-Zeichensatz in die Payload geschrieben. Die Source Address wird dahinter in die Payload geschrieben. Die ZÜA (Destination Address) der zu überwachenden Telekommunikation steht somit an erster Stelle, die Source Address an zweiter Stelle in der Payload.
Die zwei 32 Bit-Adressen werden in der Payload durch Komma getrennt und mit ASCII 35 (#) abgeschlossen. Danach wird die ursprüngliche Payload angehängt. Dadurch wird in der Regel eine neue Fragmentierung erforderlich. Die Fragmentierung und die daran geknüpften Parameter sind ggf. anzupassen. Das Nutzinformationsfeld (Payload) wird mit einem asymmetrischen Verfahren verschlüsselt. (Siehe Punkt 4.3). Die Fragmentierung und die daran geknüpften Parameter sind ggf. anzupassen.
Aus Sicherheitsgründen sind die Nutzdaten nach einem asymmetrischen Verschlüsselungsverfahren zu verschlüsseln. Es muss ein asymmetrisches Verschlüsselungsverfahren wie z.B. Pretty Good Privacy (PGP 2.6.3i) verwendet werden. In der Regel wird eine Verschlüsselungstiefe von 512 bzw. 1024 Bit benötigt. Der Public Key muss dann vor Einrichtung der Überwachungsmassnahme vom BTr dem Betreiber der TKA-V zusammen mit der Anordnung zur Überwachung der Telekommunikation vorgelegt werden.
Die Übermittlung der Datagramme von der ZÜA zu dessen Telekommunikationspartner bzw. umgekehrt darf nicht verzögert werden, falls die duplizierten Datagramme mit der zu überwachenden Telekommunikation verzögert oder nicht zum BTr übermittelt werden. Die Initiative für die Übermittlung der zu überwachenden TK an den BTr geht von der TKA-V aus.
Für jede Überwachungsmassnahme wird vom BTr eine individuelle IP-Zieladresse vergeben, die nur der TKA-V und dem BTr bekannt ist. Die IP-Zieladresse ist von den Beteiligten als Verschlusssache des Geheimhaltungsgrades "VS-Nur für den Dienstgebrauch" zu behandeln, und zwar auch nach Beendigung der Überwachungsmassnahme. Die im IP-Header enthaltene Destination- und Sourceaddress ist zur Authentifizierung zu verwenden. Als Sourceaddress muss für die Dauer der Überwachungsmassnahme eine statische IP-Adresse verwendet werden.
Der RFC 792 Standard sieht vor, dass der Zeitstempel in einem 32 Bit-lnfofeld enthalten ist und die Anzahl der Millisekunden enthält, die seit Mitternacht vergangen sind. Die lnformationsfelder enthalten nachfolgende Definitionen gemäss RFC 792 Standard:
Die Zeitangaben in den Feldern "Originate Timestamp" und "Received Timestamp" sind von wesentlicher Bedeutung, um den Beginn- und Endzeitpunkt, bzw. die Dauer der virtuellen lnternetkommunikation zu bestimmen. Diese Angaben müssen daher unverändert in den Header des Datagramms an die BTr-IP Adresse übernommen werden. Da die Zeitangaben in den o.g. Feldern vom Sender bzw. Empfänger der Nachricht bestimmt und gesetzt werden, kann nicht unterstellt werden, dass diese Felder Angaben auf Basis der amtlichen Zeit beinhalten.
Die Felder "Originate Timestamp" und "Received Timestamp" werden daher unverändert in das Datagramm an die IP-BTr-Zieladresse übernommen. Das Feld "Transmit Timestamp" muss die Angaben auf Grundlage der amtlichen Zeit enthalten, die von der TKA-V gegen das ursprüngliche "Received Timestamp" - Feld ausgetauscht wird. Die neue, von der TKA-V eingetragene Zeitmarke entspricht dem Ereignis, zu dem die TKA-V das Datagramm, das für die ZÜA bestimmt ist bzw. von ihr gesendet wird, empfängt.
Alle anderen Felder bleiben unverändert."
"Um die vorgebrachte Kritik zu entkräften, die TKÜV könne wegen der dort verwendeten Begriffe (insbesondere in § 3) nicht auf moderne TK-Strukturen angewendet werden, sollte in der TKÜV durch eine entsprechende Formulierung klargestellt werden, dass die Anforderungen an die Übermittlung von Daten über die näheren Umstände der Telekommunikation grundsätzlich technikunabhängig und ergebnisorientiert sind."
