Europäisches Institut für Telekommunikationsnormen

Aus Freiheit statt Angst!
(Weitergeleitet von ETSI-Dokumente)
Zur Navigation springen Zur Suche springen

Das Europäisches Institut für Telekommunikationsnormen (ETSI, englisch: European Telecommunications Standardisation Institute) ist eine von der EU anerkannte Normierungsinstitution. Es bereitet zur Zeit die Standards für die technische Umsetzung der Vorratsdatenspeicherung vor. Einige dieser Dokumente sind jetzt an die Öffentlichkeit geraten. Sie gehen in den folgenden Punkten über die Anforderungen der Richtlinie hinaus:

  • Mögliche Erfassung von Daten zur Position von Mobilgeräten, ohne dass ein Anlass in Form von Kommunikation vorliegt.
  • Erfassung weiterer Internet-Dienste (Chat, Streaming von Videos)
  • Mögliche Erfassung der Aufladedaten von Prepaid-Karten
  • Mögliche Erfassung von Adresswechseln der Teilnehmer
  • Erfassung weiterer Merkmale (MAC-Adresse)

Durch diese Abweichungen von der Richtlinie können noch einmal mehr Daten erfasst werden; zwar sind einige von ihnen als optional ausgewiesen, aber auf lange Sicht ist zu befürchten, dass das was technisch möglich ist, auch durchgeführt wird.

Beschreibung

Die jüngst an die Öffentlichkeit geratenen Dokumente des Europäischen Instituts für Telekommunikationsnormen geben einen Einblick in die geplante technische Ausgestaltung der Übertragungsregelungen für nach der Richtlinie zur Vorratsdatenspeicherung und den jeweiligen nationalen Umsetzungsgesetzen gespeicherte Daten. Im Folgenden wird ein Überblick über den Inhalt der Papiere gegeben, wobei besonders die Punkte, in denen sie über die Vorgaben der Richtlinie hinausgehen, betont werden.

Das ETSI ist eine von drei von der EU anerkannten regionalen Standardisierungsinstitutionen. Es hat zahlreiche Standards in Sachen Telekommunikation entwickelt, so z.B. GSM, DECT und UMTS. Die vorliegenden Dokumente wurden vom Lawful Interception Committee erarbeitet. Mitglieder dieses Komitees sind Vertreter zahlreicher Hersteller von Telekommunikationstechnologie, sowie von Geheimdiensten und Strafverfolgungsbehörden, auch von außerhalb der EU.

Es liegen zwei Dokumente vor. Bei dem einen handelt es sich um ein Pflichtenheft für Anbieter von Telekommunikationsdiensten, in dem die Anforderungen seitens der Strafverfolgungsbehörden definiert werden. Das zweite Dokument ist deutlich technischer und beschreibt das konkrete Funktionieren des Handover Interface, über das die Daten an die zur Abfrage berechtigten Behörden weitergegeben werden. Bei beiden handelt es sich um Entwürfe, sie sind teilweise noch unvollständig. Dies betrifft besonders das Handover Interface, in dem die genauen Protokolle für die Informationsübermittlung außer für Telefondienste (und auch dort noch nicht vollständig) noch nicht enthalten sind.

Nach welchen Kriterien können die Daten durchsucht werden?

Das Pflichtenheft sieht zwei Arten von Abfragen vor; einerseits die Abfrage von „subscriber data“ (in etwa vergleichbar mit Bestandsdaten) und andererseits die Abfrage von Verbindungsdaten. Für beide Arten von Abfragen ist eine Autorisierung durch eine entsprechende Stelle vorgesehen, es soll also keine voraussetzungslose Zugriffsmöglichkeit geschaffen werden. Im Folgenden wird dargestellt, nach welchen Kriterien gesucht werden können soll und welche Informationen übermittelt werden sollen. „Subscriber data“ sollen unter Angabe eines Zeitpunktes oder Zeitfenster nach den folgenden Kriterien durchsucht werden können :

  • Netzwerk- oder Dienstadresse (z.B. IP-Adresse, E-Mail-Adresse, Telefonnummer)
  • Hardware-Nummer (z.B. IMEI oder MAC-Adresse)
  • Netzwerkelement (z.B. Cell-ID einer Funkzelle)
  • Name
  • Adresse

Unter dem Punkt „Adresse“ sollen – sofern dem Dienstanbieter bekannt – auch andere Adressen, z.B. abweichende Rechnungsadressen angegeben werden. Zusätzlich wird die Möglichkeit eröffnet, da sich solche Daten durch Umzüge auch ändern können, Änderungen an ihnen zu protokollieren. Für die Abfrage von Verbindungsdaten soll unter Angabe eines Zeitfensters nach folgenden Kriterien gesucht werden können :

  • Herkunft oder Ziel einer Verbindung (bestimmt z.B. über Telefonnummer, IMEI, IMSI, IP-Adresse)
  • Positionsinformationen (z.B. Funkzelle, Adresse eines DSL-Anschlusses, geographische Koordinaten)

Für jedes dieser Kriterien kann sowohl nach einem einzelnen Wert, als auch nach mehreren Werten oder einen Bereich von Werten gesucht werden. Diese Suche mit „Wildcards“ erlaubt Abfragen, die auf sehr ungenauen Daten, zum Beispiel unvollständigen Telefonnummern oder verschiedenen Schreibweisen von Namen, basieren. Zu diesen Abfragekriterien heißt es lapidar, dass nicht jede nach den technischen Vorgaben mögliche Übermittlung auch notwendigerweise in jedem Staat, der die Richtlinie anwendet, legal sein müsse.

Welche Daten sollen bei diesen Anfragen übermittelt werden?

Die Papiere geben offen an, dass die durch sie ermöglichte Speicherung und Übermittlung von Daten über die Anforderungen der Richtlinie hinausgeht. Wenn eine entsprechend autorisierte Anfrage eingeht, müssen die Telekommunikationsanbieter sie ohne Verzögerungen bearbeiten. Die genaue Prozedur wird im Handover Interface definiert. Übermittelt werden sollen die folgenden Daten:

Daten zu Quelle, Ziel und Art eines Kommunikationsvorganges:

  • Netzwerk- oder Servicenummer (z.B. IP-Adresse, IMSI, E-Mail-Adresse)
  • Hardwarenummer (IMEI, MAC-Adresse)
  • Namen, Adressen, Benutzerkennnungen der registrierten Teilnehmer
  • Beginn und Ende eines Kommunikationsvorgangs
  • Beginn und Ende der Verbindung mit einem Dienst
  • Daten zur Bestimmung der Art des Kommunikationsvorgangs (Telefongespräch, SMS-Versand, E-Mail-Versand etc.)

Daten zur Positionsbestimmung bei mobilen Endgeräten:

  • Daten zur Positionsbestimmung bei Beginn der Kommunikation (z.B. Cell-ID und dazugehörige geographische Position)
  • Physische oder IP-Adresse bei Zugang zu einem WLAN (physische Adresse kann z.B. die Postleitzahl sein)
  • Ort und Zeit der ersten Aktivierung von Prepaid-Diensten, Ort und Zeit der Aufladevorgänge (letzteres optional).
  • (optional) Daten zum Status des Geräts (eingeloggt oder nicht) unabhängig von einem Kommunikationsvorgang
  • (optional) Positionsdaten unabhängig von einem Kommunikationsvorgang, z.B. beim Wechsel von Funkzellen oder auf einer periodischen Basis.

Die letzten beiden Regelungen gehen klar über die Richtlinie hinaus und sind sehr kritisch zu sehen, da sie die Erstellung von umfassenden Bewegungsprofilen ermöglichen. Die Erfassung der Zeitpunkte und Orte des Aufladens von Prepaid-Diensten ist über die Richtlinie ebenfalls nicht gedeckt.

Das genaue Protokoll zur Übermittlung dieser Daten wird im Handover Interface definiert. Dieses Dokument ist noch deutlich unfertiger als das Pflichtenheft. Die komplett ausbuchstabierten Datenfelder der Übermittlung sind bisher nur für Telefondienste halbwegs fertig. Für andere Dienste sind meistens nur die Überschriften vorhanden. Hier fällt allerdings auf, dass „synchrone Multi-Media-Dienste“ einen eigenen Anhang erhalten haben. Hierunter fallen Dienste wie Chats und das Streaming von Videos über IP.

In welchen Punkten gehen die ETSI-Dokumente über den Richtlinientext hinaus?

Der wichtigste Punkt ist die mögliche Erfassung von Standortdaten bei Mobilgeräten, auch wenn keine Kommunikation im alltäglichen Sinne stattfindet, so z.B. bei Location Updates oder beim Wechsel von Funkzellen. Diese wäre nach dem aktuellen Entwurf für ein Umsetzungsgesetz nur mit juristischen Verrenkungen möglich, die in die Abwegigkeit führen würden. Auch die mögliche Erfassung von Ort und Zeit des Aufladens von Prepaid-Diensten ist nicht über die Richtlinie gedeckt. Ein weiterer Punkt ist mögliche Erfassung von Adressdaten und ihren Wandel über den Zeitverlauf. Zudem sollen die in der Richtlinie nicht genannten MAC-Adressen erfasst werden. Darüber hinaus sollen anscheinend auch Daten zur Nutzung von Internetdiensten wie Chats erfasst werden. Die Erfassung umfangreicherer Standortdaten sowie die Erfassung von Adresswechseln sind nach dem Standard zwar optional, allerdings ist zu befürchten, dass Daten, die erhoben werden können, früher oder später auch erhoben und verwendet werden. Zudem ist der Standard für noch weitergehende Erweiterungen offen.

Quellen

ORF Futurezone 24.09.2007: Der Weg zum Geheimdienststaat

Quintessenz.org: ETSI TC-LI Retained data requirements law enforcement V.0.21 Pflichtenheft

Quintessenz.org: ETSI TC-LI Retained data handover interface requests delivery V0.4 Handover Interface Specification

Siehe auch