Kategorie: Elektronische Kultur

Kategorien
Elektronische Kultur

Aspekte der Sicherheit von E-Mail

Business Online 10/97

Elektronisch versandte Post ist nach wie das effektivste Transportmittel im Internet, denn Nachrichten erreichen schnell und preiswert den Partner. Ein Garant für moderne Kommunikation, könnte man denken, wenn da nicht die diversen Mängel wären.

Ist E-Mail so unsicher, wie allgemein behaupet? Die Antwort darauf muß „Ja“ lauten, denn elektronische Post reist auf ihrem Weg vom eigenen Rechner bishin zum Empfänger offen durch das Netz der Netze. Schon bevor eine E-Mail ihre Reise im Netz antritt, besteht die Gefahr, daß unbefugte Lauscher auf die Daten zugreifen: Beim Schreiben am heimischen PC oder Computer in der Firma strahlen Rechner Radiofreqenzen ab, die jedes Zeichen auf dem Bildschirm und jeden Druck auf die Tastatur verraten. Aus Entfernungen von bis zu einem Kilometer können versierte Fachleute verfolgen, welche Liebkosungen ein Mann seiner Ehefrau zukommen lassen möchte, aber auch, welche neuen Produktlinien ein Konzern demnächst auf den Markt bringen will. Da technisch und personell aufwendig, dürfte diese Art der Überwachung nur selten vorkommen; gerade in den Bereichen der lukrativen Wirtschaftsspionage wie der Arbeit der Geheimdienste wird sie aber durchaus angewendet.

Mit dem Absenden einer E-Mail über das Modem zum örtlichen Internet-Provider oder Online-Dienst steigen die Chancen des Dateneinbruchs erheblich. Jeder Provider hat uneingeschränkten Zugang zu den Mails seiner Kunden: Er kann sie öffnen, lesen und weiterreichen ohne das Absender oder Empfänger dies bemerken. Systembetreiber haben in der Regel kein Interesse an den Briefen der Kundschaft, gleichwohl ist es ihnen möglich, die Daten eines bestimmten Nutzers systematisch zu erfassen.

Der gesamte Verkehr im Internet basiert auf einer gemeinsamen Absprache, wie man Daten mittels einer einheitlich einsetzbaren Methode heil von A nach B transportiert. Ob die Daten auf ihrem Weg durchs Netz von Unbefugten abgefangen und gelesen werden konnten, gehörte nicht zu den Fragen, mit denen sich die Netzentwickler beschäftigten. So ist keines der herrschenden Protokolle im Internet wirklich sicher und für den Transport sensibler Daten geeignet. Selbst für ungeübte Freizeitbastler ist es kein Problem, über einen fremden Account und unter falschem Namen E-Mail zu versenden (Spoofing). Damit Nachrichten zum Empfänger gelangen, nutzt das Internet das Simple Mail Transfer Protocol (SMTP), welches nach dem store&forward Prinzip arbeitet. Der Rechner, von dem die E-Mail abgesetzt wird, sendet diese nicht direkt an den Zielrechner, sondern an einen günstig gelegenen Vermittlungsrechner, einem sogenannten Router, auf dem Weg zum Ziel. Erhält dieser die Mail, so speichert er sie lokal (store), sucht einen weiteren günstig gelegenen Rechner und schickt die Nachricht an diesen weiter (forward). Dieser Vorgang wiederholt sich, bis der Zielrechner erreicht ist. Eine E-Mail läuft also unter Umständen über ein Dutzend Rechner, bevor sie beim Empfänger eintrudelt. Dieses Prinzip zeigt die Schwäche des Verkehrs, denn zu allen Rechnern auf der Strecke hat immer auch ein bestimmer Personenkreis Zugang.

Bei den Internet Providern und Online-Diensten wartet die E-Mail mehr oder minder geduldig auf ihren Abruf durch den Adressaten. Bei T-Online und Bill Gates Microsoft Network (MSN) 30 Tage, bei America Online (AOL) „zwei bis drei Wochen“, wie Pressesprecher Ingo Reese sagt. CompuServe speichert Nachrichten sogar 90 Tage.

Lauscher

Auch die Behörden zeigen ein vitales Interesse daran, daß sie im Bedarfsfall auf elektronisch versandte Briefe zugreifen können. Das am 1. August letzten Jahres in Kraft getretene Telekommunikationsgesetz (TKG) verpflichtet alle Netzbetreiber, Internet Provider und Mailboxen auf die Bereitstellung einer Schnittstelle für staatlichen Ordnungshüter. Damit haben die staatlichen Stellen nicht nur jederzeit Zugriff auf alle Nachrichten der Internet-Nutzer, die Provider müssen die Leitungen zudem so einrichten, daß sie selber nichts von einem Abruf durch die Behörde mitbekommen. „Diese Situation ist der Traum eines jeden Hackers“, erklärt der Sprecher des Chaos Computer Club (CCC), Andy Müller-Maguhn mit unverhohlener Ironie. „Der Systembetreiber darf nicht einmal feststellen, wer sich in seinem Computer tummelt“.

Schon eine Ebene tiefer als bei den Netzbetreibern, im Leitungs- und Funknetz der Telekommunikationseinrichtungen, erleidet das Sicherheitsbedürfnis eines Netzbewohners ebenfalls erhebliche Einbußen durch staatliche Überwachungsmaßnahmen. Denn länger steht fest, daß der Bundesnachrichtendienst (BND) systematisch E-Mail-Konversationen belauscht. Mithilfe von Scannerprogrammen, die auf der Grundlage von Schlüsselwörtern arbeiten, sollen die Staatssicherer beinahe hundert Prozent der über das Ausland laufenden Internet-Kommunikation beschnüffeln. Andreas Pfitzmann, Verschlüsselungs-Experte am Institut für Theoretische Informatik der TU Dresden, vermutet, daß annähernd alle Internet-Mails, die die deutsche Grenzen überschreiten, von den Verfassungsschützern kontrolliert werden. Und BND-Kenner Erich Schmidt-Eenboom berichtet von einem eigenen Referat in der Abteilung sechs des BND, welches in großen Stil Hacking betreibe. Diese Vermutungen decken sich mit den Recherchen von Nicky Hager, der mit seinem Buch „Secret Power“ ein globales Überwachungsystem aufdeckte. Ein Zusammenschluß westlicher Geheimdienste spioniere, so Hager, mithilfe von Schlüsselwörtern den weltweiten Datenverkehr aus, der über Sateliten, Überlandleitungen und Radiowellen läuft.

Das Abhören von E-Mail ist einfacher, billiger und gründlicher als jede anderer Möglichkeit, Kommunikation zwischen Menschen zu überwachen.

Abseits solcher bedrohlich klingender Szenarien bedarf es keiner ausgefeilten Techniken, um in den Besitz von E-Mails zu gelangen. E-Mails liegen oft Monate oder gar Jahre auf schlecht gewarteten Rechner herum und sind damit einem potentiellen Angriff ausgesetzt. Sind die Archive zudem ungeschützt, ist es kein Problem, beim durchsuchen der Festplatte des Servers auf sie zu stoßen und sie auf den eigenen Rechner zu übertragen. Ist erst die Eingangshürde des fremden Servers überwunden, ist es per Telnet, einem gängigen Programm, welches die Fernbedienung eines Computers über das Internet erlaubt, möglich, jegliche Dateien des Servers zu kopieren, zu verändern oder gar zu löschen.

Wer sich in den öffentlichen Diskussionforen des Internets äußert, sollte ebenso vorsichtig sein, denn die in das Usenet gesandten Nachrichten sind noch lange verfügbar. Unter der Adresse www.dejanews.com kann jeder Surfer seine Mails aus den vergangenen Jahren bewundern. So mancher Netzbewohner ist mittlerweile eifrig bemüht schriftliche Ergüsse, die er für heikel hält, aus dem umfassenden Gedächnis des Internets zu löschen grunt.dejanews.com/forms/nuke.html.

Schlüsselgewalt

Wirkliche Sicherheit für E-Mail bietet nur die Verschlüsselung (Kryptographie) der Nachrichten. Keine Firma vertraut ihre Produktionsgeheimnisse Postkarten an und auch eine Privatperson wird vorsichtig bei der Versendung seiner Intimsphäre auf bunten Grußkärtchen sein. Eine der Grundlagen jedweder vertrauensvollen Kommunikation -egal ob geschäftlich oder privat- ist die Anonymität. Zudem muß sichergestellt sein, daß die Dokumente authentisch sind und damit tatsächlich vom demjenigen stammen, der vorgibt hinter einer E-Mail Adresse zu stecken. Allein die momentan in der Diskussion stehenden kryptographische Verfahren ermöglichen den sicheren, verbindlichen und integren Austausch von Daten via Internet. Früher hauptsächlich im militärischen Bereich eingesetzt, benutzen heute immer mehr Menschen Verschlüsselungsprogramme, damit kein Unbefugter ihre Nachrichten lesen kann, wenn sie um die Welt reisen. Kryptographie entspricht also einem Briefumschlag. Wirklich gute -weil nicht entschlüsselbare- Programme für den PC, wie PGP (Pretty Good Privacy), arbeiten mit zwei „Schlüsseln“. Jeder Benutzer verfügt über zwei Schüssel; einer davon, der „öffentliche Schlüssel“, ist jedermann zugänglich, während der zweite „private Schlüssel“ niemand anderem bekannt sein darf. Wollen Kunde und Anbieter über das Internet ein Geschäft eingehen, verschlüsselt jeder seine Nachricht mit dem öffentlichen Schlüssel des Partners und schickt sie in die Weiten des Netzes. Dazu hat er zunächst den Schlüssel des Partners angefordert und bekommen. Die Verschlüsselung aufheben kann nur der Besitzer des zugehörigen geheimen Schlüssels. Nun kommt schon bei geselligen Privatleuten nach einiger Zeit ein enorm großes Schlüsselbund zustande, denn von jeder Person, mit der ungestört kommuniziert werden soll, muß der öffentliche Schlüssel angefordert und zudem sichergestellt werden, daß er authentisch vom Partner stammt. Wenn Behörden und Unternehmen das Internet in Zukunft vermehrt nutzen, dürfte ihr Schlüsselbund groteske Ausmaße annehmen.

Trusty Traffic

Die jetzt entstehenden sogenannten „Trust-Center“ wollen Ordnung in das drohende Chaos bringen, indem sie die Schlüssel ihre Klienten verläßlich verwalten. Die besonders wichtige Zuordnung des öffentlichen Schlüssel zum einzelnen Teilnehmer sei, so meint zumindest Michael Hortmann vom TC TrustCenter in Hamburg, nur auf diesem Wege zu gewährleisten. Ein Beispiel: Wenn man seiner Bank vertrauliche Daten übermitteln möchte, sollte man sicher sein, daß der benutzte öffentliche Schlüssel tatsächlich der Bank gehört und nicht jemandem, der deren Identität nur vorspiegelt. Diese vertrauenswürdige Zuordnung leistet das Trust-Center durch ein digitales Zertifikat, vergleichbar einem Paß, welcher nachweist, daß Person und Schlüssel zusammen gehören. Alteingessene Bewohner des globalen Dorfes wittern aber auch hier die staatliche Krake im Hintergrund. Die große Mehrheit hält eine digitale Signatur nur dann für vertrauenswürdig, wenn niemand außer dem Inhaber Zugang zu einer Kopie des geheimen Schlüssels hat. Zudem glaubt man, daß die Regierungen mit der Vergabe und dem Entzug von Lizenzen für Verschlüsselungsverfahren den Markt regulieren werden und nur die Verfahren zulassen, die mit einigem Aufwand doch zu entschlüsseln sind. Aber auch diesen Kritikern ist klar, daß Firmen mit ausgedehntem E-Mail Verkehr auf Institutionen zugreifen müssen, die elektronische Schlüssel verwalten. Im TC TrustCenter entgegnet man solchen Ängsten mit einer einfachen Maßnhame: Hier wird der geheime Schlüssel nur auf ausdrücklichen Wunsch des Kundens in der örtlichen Datenbank verwaltet.

Digitaler Müll

Aber nicht nur Fragen der Sicherheit drängen sich in das Bewußtsein des Internet-Nutzers. Vermehrt taucht im Computer-Briefkasten neuerdings Werbung per E-Mail auf – ein Übel, welches nicht nur die ohnehin überlasteten Leitungen des Netzes verstopft, sondern Firmen und Einzelpersonen von der effektiven Anwendung von E-Mail abhält. Ein mit sogenannter „Spam“ gefüllter Briefkasten nervt nicht nur, sondern lähmt Arbeitsabläufe. Noch ist keine Ende dieser Praxis in Sicht: Im Netz präsentieren sich immer öfter Firmen, die „zielgruppensortieren E-Mail Versand“ anbieten. Auf ihren Server haben sie die Benutzerprofile tausender Netizens gespeichert und verkaufen diese Daten nun an werbewillige Unternehmen.

Inzwischen haben die meisten Programme zum Empfang und Versand von E-Mail allerdings Filter implementiert, die den Kopf einer Nachricht nach Schlüsselbegriffen durchsuchen und Werbung direkt dahin transportieren, wohin sie auch im Alltag landet: Im Papierkorb. Zuviel kann von diesen Filtern aber nicht verlangt werden, denn Versender von unverlangter Werbung schicken ihre lästige Post neuerdings mit unverfänglichen Titel durch den Cyberspace und wechseln dazu ihre Accounts öfter. So flutscht der Spam doch wieder unbehindert auf die Festplatte. Aber hier ist Abhilfe in Sicht, denn regelmäßig aktualisierte Listen von schwarzen Schafen liegen im Web zum Download bereit. Diese lassen sich in die gängigen E-Mail Clients einbauen, fortan verschont einen das Programm mit Post von gängigen Adressen – bis zum nächsten Account-Wechsel des Spammers.

Gerade die Kunden bei den großen Online-Dienste leiden verstärkt unter Werbe-Mail. AOL verwaltet in Eigenregie eine Liste von Adressen, von denen keine E-Mail an die Kundschaft weitergeleitet werden. Zwar zeigt dieses Vorgehen erste Erfolge, noch immer klagen AOL-Mitglieder aber über Junk-Mail in ihren Postfächern.

Die Mitglieder bei CompuServe sind aufgefordert, jedes Spamming zu melden. Die Firma würde gegen jeden Fall, der sich zurückverfolgen läßt, gerichtlich vorgehen, heißt es aus der deutschen Zentrale in München. Aber trotz dieser Maßnahme ist das Aufkommen an Werbe-Mail nach wie vor relativ hoch bei CompuServe.

Eifrig versucht man ebenfalls bei T-Online die Klientel vor Spam zu bewahren: Massen E-Mails werden aussortiert. Durch Wechsel der Domain schaffen es die Sender aber auch hier, durch die Filter des Online-Dienstes zu schlüpfen. MSN geht einen eigenen Weg. Der hauseigenen Filter läßt von einem fremden Account nicht mehr als 50 Nachrichten an die Kunden durchstellen. Irene Lenz von MSN bestreitet, daß ihr Dienst von Werbe-Mail behelligt wird. „Wir haben kaum Probleme mit Spam“, sagt sie.

Alle vier großen Online-Dienste setzen zum Schutz ihrer Kunden Spam-Filter ein, „aus Sicherheitsgründen“, wie es heißt, bleiben die angewendeten Programme aber geheim. Für die Zukunft bleibt gestressten User und Online-Diensten nur die Hoffnung, daß Werbung per E-Mail rechtlich der Telefaxwerbung gleichgestellt wird. Das ungefragte Zusenden von Werbefaxen ist nämlich unzulässig.

Bis dahin suchen Online-Dienste auch den umgekehrten Fall auszuschließen: Viele unterbinden den Versand von Massen-E-Mail von ihren Servern aus. Wer Inhaber einer T-Online Adresse ist, darf innerhalb von 24 Stunden höchstens 100 Mails auf die Reise schicken. Und innerhalb von 30 Tagen dürfen von seinem Account aus nur maximal 1000 Nachrichten ausgehen. „Für das Erreichen dieser Menge werden auch Mehrfachadressierungen gezählt“, erläutert Jörg Lammers das Vorgehen der Telekom-Tochter. „Will der Versender E-Mails an einen größeren Teilnehmerkreis versenden, bedarf es hierzu einer besonderen Vereinbarung.“

MSN-Kunden unterliegen einer noch restriktiveren Beschränkung ihrer Schreiblust, denn unter ihrem Namen verlassen am Tag höchstens 50 Nachrichten den Computer zu Haus oder in der Firma. Die Mitglieder bei CompuServe sollten das Kleingedruckte im Nutzungsvertrag gut lesen. Dort erklären sie sich damit einverstanden von ihrem Account aus keine Massenmails in das Internet abzusetzen. Nur AOL, Mitbewerber um Surfer und Mailer, sieht das lockerer: „Bei uns gibt es keine Beschränkungen beim Versand von E-Mail“, stellt Ingo Reese fest.

Jörg Auf dem Hövel

 

Kategorien
Elektronische Kultur

Key Escrow

Die Key-Hinterlegung soll den Staat vor einem Krypto-Missbrauch schützen Industrie und Politik streiten in Deutschland über die Grenzen der Verschlüsselung

Das vertrauliche Daten und Nachrichten nur verschlüsselt durch das Internet geschickt werden sollten, liegt auf der Hand. Kryptographie gibt jedem die Möglichkeit zur unsichtbaren Kommunikation – auch kriminellen Kräften. Sollte deswegen die Hinterlegung der Schlüssel, das „Key Recovery“, zur Pflicht werden?

E-Mail liegt oft lange Zeit gut einsehbar auf Computern, ob beim Provider oder den diversen Vermittlungsrechnern (Router) auf dem Weg. Zudem steht fest, daß die internationalen Geheimdienste, allen voran die amerikanische National Security Agency (NSA), Konversation per E-Mail systematisch abhören und nach verdächtigen Inhalten überprüfen. Die NSA speichert zudem nicht nur die Nachrichten suspekter Personen, sondern lauscht ebenfalls Gesprächen in den Etagen deutscher Wirtschaftskonzerne. Aber auch der Bundesnachrichtendienst BND soll sich längst Abzweigungen zu den wichtigsten Internet-Leitungen gelegt haben, die die Bundesrepublik durchqueren, um so im Cyberspace verabredeten Verbrechen auf die Spur zu kommen.

Um weiterhin vertrauliche Dokumente austauschen zu können, nutzen zwei Gruppen die Möglichkeit der diskreten Übermittlung von Daten mittels kryptographischen Methoden. Zum einen sind dies Bürger, die keine Lust verspüren ihre privaten Mitteilungen einem offenen, unsicherem Medium anzuvertrauen. Sie vergleichen die sogenannte Kryptographie mit dem Briefumschlag der Post, der den Inhalt vor neugierigen Blicken schützt. Die andere Gruppe setzt sich aus den Vertretern eines aufblühenden Wirtschaftszweiges zusammen, ein Zweig, der über das Internet zukünftig Produkte an den Verbraucher vertreiben will. Ob Versandhandel, Banken, Kaufhäuser oder Pizza-Service – die Aufnahme einer geschäftlichen Beziehung im Cyberspace muß auf einer sicheren Technik fußen. Transaktionen über das Netz unterliegen den selben Bedingungen wie in der Realwelt: Dokumente müssen authentisch sein, daß heißt der Autor muß eindeutig bestimmbar sein, der Inhalt darf nur seinen rechtmäßigen Empfänger zugänglich sein und schließlich muß die Integrität der versandten Information gewährleistet sein. Nur die in der Diskussion stehenden kryptographischen Verfahren gewährleisten die Forderungen der Wirtschaft und befriedigen das Sicherheitsbedürfnis des einzelnen Bürgers. Durch das Gesetz zur Digitalen Signatur ist in Deutschland eine der Grundlagen für den elektronischen Handel geschaffen worden. Eine besondere Rolle kommt dabei den Trust Centern zu, die die Zusammengehörigkeit von Schlüssel und Besitzer zertifizieren. Bislang stellen beispielsweise Banken die Schlüssel für den sicheren Datenaustausch mit dem Kunden selber her und zertifizieren ihn in einem nächsten Schritt. Ob die Trust Center in naher Zukunft tatsächlich die notarielle Rolle als dritte Partei einnehmen werden, die sie sich selbst wünschen, bleibt abzuwarten. Noch warten die bestehenden Trust C enter auf größeren Kundenandrang, erst mit der massenhaften Verbreitung des E-Commerce dürften diese Zertifikationsinstanzen an Einfluß gewinnen.

Trotz massiver Einwände seitens der Wirtschaft überlegt die Bundesregierung aber noch immer, ob und wie die generelle Verschlüsselung von Nachrichten reglementiert oder gar verboten werden soll. Zur Diskussion stehen mehrere Ansätze:

  • Verschlüsselung wird generell verboten.
  • Es darf nur mit solchen Algorithmen verschlüsselt werden, die von staatlichen Stellen genehmigt wurden. In diese Algorithmen werden bei der Entwicklung „Hintertüren“ eingebaut, um den Behörden im Bedarfsfall die Entschlüsselung der Texte zu ermöglichen. In den USA nannte sich dieser Versuch „Clipper-Chip“
  • Die Länge geheimer Schlüssel werden auf einen Maximalwert begrenzt, um das „Knacken“ chiffrierte Daten auch ohne den geheimen Schlüssel zu ermöglichen.
  • Alle Anwender kryptographischer Techniken werden aufgefordert, Kopien ihrer geheimen Schlüssel bei einer staatlichen oder quasi-staatlichen Stelle zu hinterlegen. Dies ist das sogenannte „Key Recovery“ oder auch „Key Escrow“ -Verfahren.

Ein Forderung nach einem gänzlichen Verbot von Verschlüsselung spricht kein Behördenvertreter mehr offen aus, denn mittlerweile hat es sich auch bis nach Bonn rumgesprochen, daß Kryptographie nur in den Ländern verboten ist, die ihre Herrschaftsansprüche durch eine Totalüberwachung der elektronischen Kommunikation sicherstellen wollen.

Das Innenministerium unternahm mehrere Anläufe, Verschlüsselung an bestimmte Verordnungen zu binden. Innenminister Manfred Kanther forderte im April letzten Jahres ein eigenes Krypto-Gesetz, in welchem festgelegt werden sollte, wer wie stark verschlüsselt darf. Er hatte „eine gewaltige Herausforderung für die Strafverfolgungsbehörden“ ausgemacht. „Terroristen, Hehlerbanden, Anbieter harter Pornographie, Drogenschmuggler und Geldwäscher“, könnten, so Kanther, „künftig ihr Vorgehen durch kryptographische Verfahren schützen“. Nur wenn der Staat zukünftig verschlüsselte Botschaften auch wieder entschlüsseln könne, wäre die nationale Sicherheit auch in Zukunft gewährleistet. Nach den Plänen von Kanthers Behörde sollte jedwede kryptographische Hard- oder Software vom Staat genehmigt, die Schlüssel zur Entzifferung bei einer unabhängigen Institution gespeichert werden. Jeder, der nicht genehmigte Schlüssel benutzt, hätte danach mit dem Besuch des Staatsanwalts rechnen müssen. Weder Industrie noch Internet-Nutzer konnten sich mit diesen Plänen anfreunden, das Vorhaben scheiterte im Ansatz.

Mitte des Jahres schlug Staatssekretär Eduard Lintner, CSU, vor, Krypto-Verfahren an eine „freiwillige“ Prüfung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu binden. Als Gegenleistung für die Hinterlegung der Schlüssel auf freiwilliger Basis sollte das werbeträchtige BSI-Zertifikat ausgestellt werden. Datenschützer und Netzbewohner wollen diesen Vorstoß nicht ernst nehmen. Sie wiesen darauf hin, daß das BSI aus der „Zentralstelle für das Chiffrierwesen“ hervorgegangen ist und als „ziviler Arm des BND“ gilt, zumindest aber zu eng mit Geheimdienst und Sicherheitsbehörden verflochten ist, als das ein Vertrauen in die sichere Schlüsselhinterlegung gewährleistet wäre.

Breite Ablehnung

Die Reaktionen auf alle Vorstöße der Reglementierung von Kryptographie waren einheitlich ablehnend. Der Vorsitzender des Bundesverbands der Datenschutzbeauftragten, Gerhard Kongehl, erklärte: „Werden die Pläne von Bundesminister Kanther tatsächlich umgesetzt, wird es in Deutschland keine sicheren Datenaustausch geben.“ Die zentrale Hinterlegung der Schlüssel hielt der Verband für ein großes Sicherheitsrisiko: „Der Anreiz, an diese Schlüssel heranzukommen, dürfte so groß sein, daß gängige Sicherheitsmaßnahmen nicht ausreichen werden, um die mit einer zentralen Schlüsselhinterlegung verbundenen Risiken auf ein erträgliches Maß zu reduzieren.“ Vertreter der Wirtschaft drückten es knapper aus: „Die Kryptographieregelung wird von der Wirtschaft nicht begrüßt“, stellte der Konzernbeauftragte für Datenschutz der Daimler-Benz AG, Alfred Büllesbusch, klar.

Was in der laufenden Diskussion meist gar nicht oder nur unzureichend berücksichtigt wird, sind die technischen Grenzen jedweder Regulierung von Kryptographie. Genehmigt die Regierung nur Verfahren, die mit einer kurzen Schlüssellänge arbeiten, kann diese Verschlüsselung auch vom regulären Benutzer, dem versierten Computeranwender am heimischen PC, entschlüsselt werden. Im Internet ist ein Bildschirmschoner erhältlich, der nebenbei einen 40-bit Schlüssel knackt (www.counterpane.com).

Bei dritten Instanzen hinterlegte Schlüssel können mißbraucht werden. Bundesjustizminister Edzard Schmidt-Jortzig gab bereits 1995 zu bedenken: „Die Erfahrung lehrt, daß jede Abhörmöglichkeit für öffentliche Stellen innerhalb kurzer Zeit auch von nichtautorisierten Stellen genutzt werden kann. Übertragen auf neue Infonetze bedeutet dies, daß ein Abhörprivileg für öffentliche Stellen im Zweifelsfall nicht eingeführt werden sollte.“ Auf jeden Fall würden die Datenbanken dieser „Trusted Third Parties“ ein Angriffspunkt für Datenspione sein. Eine Studie von führenden Kryptographie- und Computerexperten erteilte den Key Recovery Plänen der US-amerikanischen Regierung eine Abfuhr. Ronald L. Rivest, Bruce Schneier, Matt Blaze und andere Wissenschaftler weisen darauf hin, daß der Aufbau einer Schlüssel-Infrastruktur nicht nur mit enormen Kosten verbunden sei, sondern zudem zum Mißbrauch einlädt und keine Kontrolle für den Nutzer existiere. Sie bezweifeln, daß es überhaupt möglich ist, eine international funktionierende Hinterlegung geheimer Schlüssel aufzubauen. Zu diesem Ergebnis kommt auch die Business Software Alliance, eine Organisation von Software-Herstellern, welcher beispielsweise auch Microsoft, Novell und Symantec angehört, deren jüngst veröffentlichter Report die Kosten einer solchen Schlüssel-Infrastruktur auf jährlich 7.7 Milliarde US-Dollar veranschlagt.

Der organisierten Kriminalität stehen mehrere Mittel zur Verfügung, ein Verbot von Kryptographie zu umgehen. Zum einen können Nachrichten doppelt verschlüsselt werden. Dazu verschlüsselt der User zunächst mit einem unerlaubten, aber sicheren Verfahren, packt diese Nachricht dann in einen genehmigten Algorithmus ein, der so getarnt unbeschwert durch das Netz reisen kann. Ein anderer Wissenschaftszweig, die Steganographie, bietet zudem die Option, Nachrichten in Bildern zu verstecken. So transportiert, fällt dem Beobachter gar nicht auf, daß es sich nicht nur um ein Bild, sondern auch um eine getarnte Textübermittlung handelt. Der Bundesverband deutscher Banken stellte in einer Stellungnahme zu einer eventuellen Kryptoregulierung dar, daß diese auf dem Trugschluß aufbaut, „daß die Kreise, die aufgrund ihrer kriminellen Tätigkeiten Gegenstand von Abhörmaßnahmen sein können, die den Behörden bekannte Schlüssel verwenden“.

Key Recovery Center

Wer Nachrichten und Firmendaten verschlüsselt, will bei Bedarf jederzeit Zugriff auf den originären Datensatz haben. Was aber passiert, wenn der eigentliche Schlüsselinhaber nicht verfügbar ist – sei es, weil er auf Geschäftsreise ist, sich im Urlaub befindet, krank oder gar aus der Firma ausgeschieden ist? Genau hier setzt ein Projekt an, welches Key Recovery Center (KRC) in Deutschland durchsetzen will. An der Fachhochschule Rhein Sieg hat ein Team um Hartmut Pohl ein KRC der Firma TIS (Trusted Information Systems, www.tis.com) zu Testzwecken installiert. Das von Hartmut Pohl getestete KRC gibt Firmen die Möglichkeit, die elektronischen Schlüssel für ihre wichtigsten Dokumente an einem sicheren Ort zu speichern – in ihrer eigenen Firma. Die KRC-Software läuft auf jedem handelsüblichen PC unter UNIX und arbeitet schon jetzt mit allen Microsoft-Produkten zusammen. Der Anwender verschlüsselt dafür seine Daten und speichert sie zusammen mit dem benutzten Schlüssel auf seinem Server oder überträgt sie zu seinem Kommunikationspartner. Der benutzte Schlüssel wird dabei mit einem öffentlichen Schlüssel des KRC verschlüsselt. Daraufhin legt der Anwender folgende Hinweise im KRC ab:

  • Die laufende Nummer der (übertragenden oder gespeicherten) Dokumente.
  • Eine Adressangabe (Pointer) auf dem vom Anwender benutzten und gespeicherten Schlüssel.
  • Die Senderadresse mit Identifizierungs- und Authentifizierungsinformation des Anwenders. Damit weist sich der Anwender bei erneutem Bedarf nach dem Schlüssel als Berechtigter aus.
  • Identifizierungsinformation und Authentifizierungsinformation weiterer Zugriffsberechtigter. Damit werden die Zugriffsberechtigten identifiziert, die die Schlüssel ebenfalls erhalten dürfen.

Pohl betont, daß das KRC keine geheimen Schlüssel direkt speichert, sondern nur einen Adressanzeiger, den sogenannten Pointer. „Damit kann der Anwender die Sicherheitsmaßnahmen für seine Schlüssel selbst festlegen und skalieren, wie es ihm beliebt. Er ist nicht auf die Sicherheit des KRC angewiesen.“

Tritt der Fall ein, daß ein berechtigte Partei den Schlüssel wieder benötigt, stellt ihm das KRC den korrekten Schlüssel zur Verfügung, indem es diesen aus dem Speicher des Endanwenders ausliest und entschlüsselt. Das Key Recovery Center stellt, so Pohl, nicht die benötigten Dokumente zur Verfügung und erhält auch keinen Zugriff auf die Dokumente. Anwender identifizieren sich gegenüber dem KRC mit ihrer digitalen Signatur, mit Zertifikaten sowie weiteren Authentifizierungsinformationen, gleichermaßen identifiziert sich das Key Recovery Center gegenüber den Endanwendern.

Pohl konnte in der KRC-Software bislang keine Hintertür zum Abhören entdecken, rät aber trotzdem zur Vorsicht. „Das KRC sollte nicht an offene Netze wie das Internet angeschlossen werden“, sagt er, „denn dann kann auch ein Trojanisches Pferd nichts ausrichten“.

Mittlerweile existieren unterschiedliche praktische Umsetzungen und einige wenige kommerzielle Lösungen für Key Recovery Strukturen (eine ausführliche Liste hat die Kryptoexpertin und Key Recovery Befürworterin Dorothy Denning unter bereit gestellt).

Die Bezeichnung „Key Recovery“ für das von Hartmut Pohl getestete System sorgt für Verwirrung: Im Fall des KRC der Firma TIS geht es weniger um eine zentrale Schlüsselhinterlegung bei einer Behörde, sondern um die Wiedererlangung verschlüsselter Daten, dem Data Recovery.

Das neueste Paket des Quasi-Standards für Verschlüsselung von E-Mail, PGP (Pretty Good Privacy), bietet in der Business- wie in der freien Version eine Funktion zum Key Recovery an. Was für Firmen als bequem und nützlich gilt, ist in den Augen vieler privater PGP-Nutzer der Pferdefuß des Programms. Denn so würde einer wichtigen Voraussetzung für die weltweite Durchsetzung von Key Recovery Vorschub geleistet: Eine bereits eingeführte Software. PGP-Gründer Phil Zimmermann wehrt sich gegen den Vorwurf auf Umwegen eine Key Recovery Infrastruktur zu unterstützen. Er nennt den Mechanismus in PGP 5.53 nicht Key Recovery, sondern Company Message Recovery (CMR). Hitzig wird seitdem gestritten, ob es sich dabei nur um eine andere Bezeichnung für Key Recovery handelt. Eines steht fest: In der Zukunft muß zwischen Key Recovery, Message Recovery und Data Recovery unterschieden werden. Während beim Key Recovery ein Zugriff auf den geheimen Schlüssel des Benutzers erfolgt, versucht man beim Message Recovery die Kommunikationsinhalte durch technische Hintertüren, ohne Zugriff auf den Schlüssel des Benutzers, zu erhalten. Das Data Recovery erlaubt dagegen den Zugriff auf dauerhaft gespeicherte Daten einer Firma oder Behörde.

 

Kategorien
Elektronische Kultur

Lauschangriff durch Echelon

Das globale Ohr existiert

Das weltweite Lauschsystem Echelon hört das Internet ab. Jetzt beschäftigt sich das Europäische Parlament mit dem Großen Bruder.

US-Militärbasis in Bad Aibling bei München, Teil des weltweiten Lauschsystems "Echelon".
US-Militärbasis in Bad Aibling bei München, Teil des weltweiten Lauschsystems „Echelon“.

Jahre lang fehlten handfeste Beweise, nun sind erstmals Dokumente aufgetaucht, welche die Existenz des globalen Abhörsystems Echelon bestätigen. Unter Führung des us-amerikanischen Geheimdienstes NSA (National Security Agency) haben die traditionellen West-Alliierten an den wichtigsten der Internet-Knotenpunkten Abzweigungen eingerichtet. In den USA läuft seit 1995 Sniffer-Software an den Knoten FIX East und FIX West, sowie an MAE East und MAE West. Auch E-Mail aus Deutschland wird zum Teil über diese Router weiter geleitet. Aber nicht nur das Internet, auch die Kommunikation über Satelliten wird angezapft (siehe IW 6/98). Der Name Echelon steht nicht für den Verbund der Abhörstationen, sondern für das System zum Austausch der Daten, die mit Hilfe dieser gewonnen werden. Die USA, Kanada, Großbritannien, Australien und Neuseeland sammeln in ihren Stationen Informationen und liefern sie im Bedarfsfall an die Alliierten weiter. Ausgerichtet ist das System zwar in erster Linie auf Wirtschaftsspionage, aber auch persönliche Mails und Faxe können abfangen und ausgewertet werden. Die Überraschung: Eines der globalen Ohren steht in der Nähe von München in Bad Aibling, auf dem Gelände einer us-amerikanischen Militärbasis. Noch Mitte des vergangenen Jahres hatte der Geheimdienstkoordinator im Bundeskanzleramt, Ernst Uhrlau, Bad Aibling besucht und nichts auffälliges entdecken können. Uhrlau berichtete, dass er einen „vollständigen Überblick“ über alle Erfassungsaktivitäten in Bad Aibling erhalten habe. Anscheinend nicht, denn mittlerweile verdichten sich die Informationen, dass Bad Aibling in einer Reihe mit anderen zentralen Abhörstationen steht: Menwith Hill in Großbritannien, Pine Gap in der Nähe von Alice Springs in Australien und Rosman in North Carolina.

Schon im letzten Jahr klaffte die erste Lücke im Netz der Geheimhaltung um Echelon auf: Martin Brady, Leiter des australischen DSD (Defence Signals Directorate), eröffnete in einem Interview Einblicke in den australischen Teil von Echelon (www.heise.de/tp). Im September bestätigte der dänische Verteidigungsminister Hans Haekkerup, dass sein Land an einem „globalen Überwachungssystem“ beteiligt sei. Anfang diesen Jahres veröffentlichte dann ein Forschungsinstitut an der George Washington Universität Dokument, welche es im Rahmen des „Freedom of Information Act“ -einem Veröffentlichungsgebot für Regierungsakten- angefordert und erhalten hatte. In einem der Dokumente wird Echelon offiziell erwähnt. In den USA hat darauf hin die älteste und größte Bürgerrechtsorganisation, die ACLU, ein Echelonwatch-Website eröffnet (www.aclu.org/echelonwatch). Auf dieser wird regelmäßig über neue Entwicklungen im Fall Echelon informiert.

Während die Bundesregierung zu dem Thema weiter schweigt, ist das Europäische Parlament aktiv geworden: Bei einer ersten Anhörung informierten sich die Abgeordneten über das Ausmaß von Echelon, die Grünen forderten darauf hin die Einsetzung eines Untersuchungsauschusses. Der britische Premierminister Tony Blair wies in einer ersten Stellungnahme die Behauptung zurück, dass abgefangene Mails zugunsten britischer Unternehmen verwendet würden: „Nein ist die kurze Antwort.“

Hans-Joachim Otto, medienpolitischer Sprecher der FDP im Bundestag, kündigte an die Bundesregierung zu mehr Offenheit drängen zu wollen. Sein Kommentar: „Falls es sich bewahrheiten sollte, dass die Telekommunikation auch der deutschen Bevölkerung jahrzehntelang von Diensten befreundeter Staaten abgehört und belauscht wurde, wäre dies ein Skandal ersten Ranges und eine erschreckende Missachtung der Bürgerrechte und der demokratischen Spielregeln.“

Kategorien
Elektronische Kultur

Wem gebe ich meinen Schlüssel?

Frankfurter Allgemeine Zeitung v. 10.12.1996

Wem gebe ich meinen Schlüssel?

Trust-Center sollen die zukünftige Kommunikation im Internet organisieren

Noch immer boomt das Internet. Täglich schließen sich mehr Leute an das weltumspannenden Computernetz an, knüpfen Kontakt zu Gleichgesinnten, suchen Informationen oder gleiten über die bunten Bilder des World Wide Web (WWW). Online sein ist in, eine elektronische Adresse auf der Visitenkarte gehört teilweise schon zur Grundausstattung eines Großstadtbewohners, besser noch die eigene Homepage. Wo viele Menschen aufeinandertreffen, hofft die Wirtschaft auf ihr Geschäft, denn auch das virtuelle Dorf will versorgt sein. Der Traum der Kaufleute: Morgens liest der Kunde die Zeitung am Bildschirm und erledigt seine Bankgeschäfte, mittags kauft er einen Anzug, bestellt gleich ein paar Schuhe mit und abends wird die Pizza zum Fernsehen ebenfalls über das Netz geordert. Mit den Daten fließt dann, so die Hoffnung, viel Geld durch die Drähte.

Zwei Faktoren verhinderten bislang allerdings, daß aus dem Internet eine finanzielle Quelle wurde. Zum einen wehren sich die Ureinwohner des Netzes gegen die Kommerzialisierung, sie sehen den Sinn des weltweiten Datenaustausches in der freien, globalen Kommunikation. Virtuelle Einkaufszentren hält man für nutzlose Konsumtempel. Zum anderen scheitern Geschäfte über den Computer an der fehlenden Identifikation des Partners. Wer weiß denn, ob sich hinter der E-Mail Adresse wirklich der verbirgt, der er vorgibt zu sein? Und wie kann man dem elektronischen Kunden seine Zahlungsfähigkeit ansehen? Und warum sollte dieser seine Kreditkartennummer preisgeben, wenn sie offen durch die Leitungen reist? Damit sich digitaler Einkauf samt dazugehörigem Geldverkehr etabliert, gründen sich in der Bundesrepublik jetzt sogenannten „Trust-Center“. Diese überprüfen die Identität des Partners, so daß sich die beide sicher sein können, daß der jeweilige Gegenüber ihr Vertrauen verdient. In Meppen und bei der Telekom in Siegen legte man dieses Jahr den Grundstein für Trust-Center.

Logo Trust-Center Hamburg

Im Mikroelektronik Anwendungszentrum (www.maz.de) in Hamburg-Harburg baut man zur Zeit ebenfalls ein solches Trust-Center (www.trustcenter.de) auf. „Um die Rolle dieses Institution zu verstehen, muß man die ihnen zu Grunde liegenden Techniken begreifen“, sagt Michael Hortmann, Projektleiter beim MAZ. Grundlage vertrauenswürdiger Transaktion im Netz ist die Verschlüsselung von Nachrichten, die Kryptographie. Früher hauptsächlich im militärischen Bereich eingesetzt, benutzen heute immer mehr Menschen Verschlüsselungsprogramme, damit kein Unbefugter ihre Nachrichten lesen kann, wenn sie um die Welt reisen. Kryptographie entspricht also einem Briefumschlag. Wirklich gute -weil nicht entschlüsselbare- Programme für den PC, wie PGP („Pretty Good Privacy“), arbeiten mit zwei „Schlüsseln“. Jeder Benutzer verfügt über zwei Schüssel; einer davon, der „öffentliche Schlüssel“, ist jedermann zugänglich, während der zweite „private Schlüssel“ niemand anderem bekannt sein darf. Wollen Kunde und Anbieter über das Internet ein Geschäft eingehen, verschlüsselt jeder seine Nachricht mit dem öffentlichen Schlüssel des Partners und schickt sie in die Weiten des Netzes. Dazu hat er zunächst den Schlüssel des Partners angefordert und bekommen. Die Verschlüsselung aufheben kann nur der Besitzer des zugehörigen geheimen Schlüssels. Nun kommt schon bei geselligen Privatleuten nach einiger Zeit ein enorm großes Schlüsselbund zustande, denn von jeder Person, mit der ungestört kommuniziert werden soll, muß der öffentliche Schlüssel angefordert und zudem sichergestellt werden, daß er authentisch vom Partner stammt. Wenn Behörden und Unternehmen das Internet in Zukunft vermehrt nutzen, dürfte ihr Schlüsselbund groteske Ausmaße annehmen.

Die entstehenden Trust-Center wollen Ordnung in das drohende Chaos bringen, indem sie die Schlüssel ihre Klienten verläßlich verwalten. Die besonders wichtige Zuordnung des öffentlichen Schlüssel zum einzelnen Teilnehmer sei, so meint zumindest Hortmann, nur auf diesem Wege zu gewährleisten. Ein Beispiel: Wenn man seiner Bank vertrauliche Daten übermitteln möchte, sollte man sicher sein, daß der benutzte öffentliche Schlüssel auch tatsächlich der Bank gehört und nicht jemandem, der deren Identität nur vorspiegelt. Diese vertrauenswürdige Zuordnung leistet das Trust-Center durch ein digitales Zertifikat, vergleichbar einem Paß, welcher nachweist, daß Person und Schlüssel zusammen gehören. Die Kosten sind für ein breites Publikum tragbar, ein Zertifikat der niedrigsten Sicherheitsstufe wird etwa zehn Mark jährlich kosten. Hortmann und die MAZ wünschen sich ein „Massenpublikum“ als Klientel, was aber nur zu erreichen sei, „wenn genügend Firmen und Behörden mitmachen, die als Kommunikations- und Vertragspartner für viele begehrt sind“. Erste Schritte in Richtung einer globalen Kooperation sind bereits vollzogen, denn das MAZ steht in Verhandlungen mit Netscape, der Firma, die das gängigste Programm zum surfen im WWW, den sogenannten Browsern, vertreibt. Für den sicherheitsbewußten Anwender vor dem heimischen PC soll der verwirrende Umgang mit den Schlüsseln damit einfacher gemacht werden, denn der Netscape-Browser verwaltet die Schlüssel selbständig.

Die Idee zur Einrichtung der Trust-Center findet ihren Grund aber nicht nur im Willen der Wirtschaft, endlich Gewinne aus dem Internet zu ziehen. Vielmehr soll damit auch eines der Hauptprobleme der Verschlüsselung von Daten gelöst werden. Weltweit sehen Regierungen Kryptographie in erster Linie als gefährliche Waffe in Händen von Verbrechern. Nachrichten, die mithilfe von PGP codiert sind, kann selbst der amerikanische Geheimdienst mit seinen Hochleistungsrechner kaum noch knacken – ein Horrorszenario für die Staatsschützer. Die USA schlugen deshalb jüngst eine Regelung vor, die Anwendern zwar die Verschlüsselung ihrer Briefe gestattet, die öffentlichen wie geheimen Schlüssel müßten aber, geht es nach den Vorstellungen der Clinton-Administration, unabhängigen Einrichtungen ausgehändigt werden. In Bonn ist ein Kryptographie-Gesetz in Vorbereitung, welches dem amerikanischen Vorbild maßgeblich ähnelt.

Im Netz selber laufen die Menschen Sturm gegen jedwede Pläne, welche die Codierung ihrer Daten einschränken. Die große Mehrheit hält eine digitale Signatur nur dann für vertrauenswürdig, wenn niemand außer dem Inhaber Zugang zu einer Kopie des geheimen Schlüssels hat. Zudem glaubt man, daß die Regierungen mit der Vergabe und dem Entzug von Lizenzen für Verschlüsselungsverfahren den Markt regulieren werden und nur die Verfahren zulassen, die mit einigem Aufwand doch zu entschlüsseln sind. Ihr weiterer Verdacht: Der Umstand, daß zum ersten Mal in der Geschichte jedermann ungekürzt und unzensiert publizieren kann, stört die Machthaber. Die Apologeten des freien Datenflusses finden Unterstützung von juristischer Seite. Johann Bizer, Rechtsexperte für die Verschlüsselung von Daten, zieht aus den Grundrechten den Anspruch jedes Bürgers, unbehelligt vom Staat seinen individuellen Schutzbemühungen nachzugehen. Beides, ein Verbot von Verschlüsselung ebenso wie die Einführung von Lizensierungsverfahren, die den Sicherheitsbehörden einen Zugriff auf private Schlüssel ermöglichen, verletzen nach Ansicht Bizers die im Grundgesetz verankerten Grundrechte. Für den Staat stellen sich die entscheidenen Fragen anders, wobei Justizminister Edzard Schmidt-Jortzig den Kern des Problems trifft. Nicht ohne weiteres entschlüsselbare Verfahren seien sowohl für den Ausbau der kommerziellen Nutzung wie für die Wahrung der Privatsphäre ohne Zweifel nötig, meint der FDP-Politiker. Andererseits müsse wie bei Brief und Telefon die Möglichkeit bestehen, im Rahmen einer richterlichen Anordnung die Nachrichten einzelner Sender oder Empfänger zu überwachen. Zugleich gibt er zu: „Die bisherige Praxis zeigt, daß Verdächtige, die sich der Gefahr der Abhörung bewußt sind, eh auf andere Kommunikationswege ausweichen und nicht etwa verschlüsse lte Nachrichten versenden.“

Im MAZ tritt man der Diskussion auf eigene Art entgegen. Hortmann will das Managment der Schlüssel so regeln, daß die privaten Schlüssel der Teilnehmer gar nicht im Trust-Center gespeichert sind. „Falls ein Kunde die Verwahrung seines geheimen Schlüssels wünscht, und das kann durchaus sinnvoll sein, schlagen wir eine Speicherung von Teilschlüsseln bei verschiedenen Trust-Centern oder Notaren vor.“ Auch die anderen Trust-Center in der Republik ziehen es vor, keine geheimen Schlüssel zu speichern. Den Überlegungen der Bundesregierung, elektronische Kommunikation an die Abgabe beider Schlüssel zu binden, steht der Mathematiker an der Universität Bremen skeptisch gegenüber. Er fordert mindestens zwei voneinander unabhänige Institutionen, die Teilschlüssel erhalten. Eine technische Rafinesse soll die Neugier der Abhörer zusätzlich bremsen. Hortmann schlägt vor, die Verschlüsselung so konfigurieren, daß sich bei Herausgabe des Schlüssels an eine Behörde nur ein gewisses „Zeitfenster“ für das Abhören öffnet.

 

Kategorien
Elektronische Kultur

Selbstkontrolle statt Zensur

Die Meinungsfreiheit im Zeitalter des Internet

Internet Online 2/1996

Der Mythos lebt: Auf fernen Rechnern lagern Abbilder nackter Menschen, Rezepte für Rauschmittel, gar Anleitungen zum Bombenbau – frei zugänglich für jeden der einen Computer und ein Modem sein eigen nennt. Noch immer gilt das Internet als rechtsfreier Raum, als virtueller Ort mit selbstgeschaffenen Gesetzen. Nutzten bislang vor allem Randgruppen -von den Kanälen der bedruckten und audiovisuellen Medien weitgehend ausgeschlossen- das Netz als Plattform für ihr Anliegen, surft heute der „Otto-Normalverbraucher“ über die bunten Bilder des World Wide Web.

Das anarchische Chaos ist geblieben, ein Chaos, durch welches sich Regierungen auf dem gesamten Globus bedroht fühlen. Reagiert wird auf unterschiedliche Weise. China filtert und zensiert seit Anfang des Jahres die über das Internet eingehenden Daten systematisch. Der afrikanische Kontinent ist bisher ein ignorierter Vorort in globalen Dorf, die nur knapp 300 Tausend Hosts stehen fast allesamt in der Republik Südafrika, in den anderen Ländern sind die Zugangsbedingungen extrem erschwert und werden vom Staat kontrolliert. In der westlichen Hemissphäre bleibt unklar, wie das wild wuchernde Netz in den rechtstaatlichen Griff zu kriegen ist. Kopien von Texten und ganzen Büchern können binnen Sekunden um die Welt geschickt, pornographische Bilder ausgetauscht und Straftaten vorbereitet werden. Ohne einen rechten Ausweg aus dieser Lage zu beschreiten, überlegte die Staatsgewalt kurzzeitig, die Anbieter von Internet-Diensten (Provider) für den Inhalt der über ihre technischen Infrastruktur laufenden Daten verantwortlich zu machen. Die Logik griff zu kurz, denn die Post wird auch nicht verklagt, weil sie Pornographie transportiert. Nicht erst seit dem Gutachten von Professor Ulrich Sieber, 45, ist klar, daß die Provider nicht dafür verantwortlich sind, wenn sich ihre Kunden illegale Bilder aus dem internationalen Netzverbunde holen. Uneinigkeit herrscht aber in der Frage, inwieweit ein Anbieter intervenieren muß, wenn er Kenntnis davon erhält, daß irgendwo im Internet strafbare Inhalte zu finden sind. Eine Reihe weiterer Fragen schließt sich dann an: Muß er sich aktiv informieren und wieviel Zeit muß er darauf verwenden? Welcher Strafbestand wird erfüllt, wenn er nicht handelt? Mitwisserschaft bei Straftaten oder sogar Beihilfe?

Strafrechtsexperte Sieber stellt sich hinter die Provider und den einzelnen Nutzer: „Wenn wir keinen Überwachungsstaat wollen, müssen wir mit der Möglichkeit des internationalen Mißbrauchs leben.“ In Bonn verschiebt die Regierung das Problem in den Bereich des Presserechts, welches durch das Prinzip der Selbstkontrolle geprägt ist. Nicht die Einsicht, daß Zensur in einem demokratischen Staat nicht stattfinden sollte, sondern die Kapitulation vor einer mit nationalen Gesetzen nicht zu regelnden Materie ließ die Politiker diesen Schluß ziehen. Zudem sieht auch die Bundesregierung ein, daß der Anteil potenitell rechtswidriger Inhalte im Internet „deutlich weniger als ein Prozent“ beträgt. Verschiedene Provider begriffen die Chance, weitgehend unabhängig von staatlicher Einflußnahme eine eigene „Gerichtsbarkeit“ aufzubauen. „Internet-Medienrat“ oder „Internet Content Task Force“ (ICTF), heißen die Projekte, die entstanden. Die ICTF will sich hauptsächlich mit dem News-Dienst im Internet auseinandersetzen, hier vermutet man das größte illegale Potential im Netz. Dabei sollen vorhandenen Informationen über die Herkunft von News erfasst und so eine Datenbank erstellt werden, mit der auch nachträglich ermittelt werden kann, wer einen Artikel verschickt oder wer die Identität des wahren Autors verschleiert hat. Weiterhin klassifiziert die ICTF vorhandenen oder neu eingerichtete Newsgroups, so daß Gruppen, die nach Ansicht der Experten des Gremiums ausschließlich oder überwiegend der Verbreitung rechtswidriger Informationen dienen, von der weiteren Distribution ausgeschlossen werden können. Im Netz selber werden diese Aktivitäten eher argwöhnisch betrachtet. Der Vorwurf: Die selbsternannten Kontrolleure ziehen ihre Legitimation nicht aus der Cybercommunity, ihre de-facto Exekutivgewalt sei ebenfalls selbstverliehen. An den Nutzern vorbei sei hier eine Kontrollinstitution geschaffen worden, deren Entscheidungen nicht schon deswegen richtig seien, weil sie von sogenannten Experten gefällt werden. Zudem sei nicht zu verhindern, daß in einer Newsgroup der eine Drogenabhängige nach Hilfe sucht und zugleich der andere ein Rezept für Ecstasy. Der Mitbegründer der „Electronic Frontier Foundation“, John Perry Barlow, tritt aus diesem Grunde dafür ein, daß im Internet jeder behaupten kann, was er will: „Man kontrolliert Ideen nicht mit dem Versuch, ihre Äußerung zu untersagen“, behauptet er.

Eine erste Feuertaufe mußte das ICTF schon über sich ergehen lassen. Vor kurzem erhielten die freiwilligen Kontrolleure ein Fax der Bundesanwaltschaft, in welchem die obersten Ankläger darauf hinwiesen, daß die in Deutschland verbotene Zeitschrift „Radikal“ beim holländischen Provider XS4ALL verfügbar ist. Es wurde die Empfehlung ausgesprochen, den Zugang zu der holländischen Adresse zu sperren. Die Anwälte der ICTF folgten dem Anliegen und gaben ihrerseits die Empfehlung an die dem ECO (Electronic Commerce Forum) angeschlossenen Provider weiter. Mit mehr oder weniger großer Kooperationsbereitschaft folgten die Anbieter der Aufforderung zur Sperrung. Die Konsequenz: XS4ALL ist von Deutschland aus nicht mehr erreichbar, zugleich rückte die Bundesrepublik in einer inoffiziellen Rangliste der weltbesten Zensurstaaten auf Platz drei hinter China und Singapur. Und: Die ICTF sieht sich momentan einer Flut von Hinweisen ausgesetzt, die illegales Material im Netz aufdecken. Theoretisch müsste der Verein für jede dieser Hinweise Prüfungen durchführen und -wie im Falle von XS4ALL- die Provider benachrichtigen. Offentsichtlich ist die ICTF nicht in der Lage, diesen enormen Arbeitsaufwand zu leisten und hat deswegen zunächst die Bundesanwaltschaft aufgefordert, eine Klärung auf gerichtlichem Wege herbeizuführen.

Alteingesessene Netzbewohner weisen in der Diskussion immer wieder darauf hin, daß sich die bisherigen Probleme gut innerhalb der virtuellen Gemeinschaft lösen ließen. Allergisch reagieren die Pioniere vor allem auf jedwede Aktivität von staatlicher oder privater Seite, die den freien Fluß von Daten verhindert. Die freie Meinungsäußerung sei Prämisse jeder Kommunikation im Internet. Kontrollgremien wie der „Internet Medienrat“ behaupten dagegen, daß das im Cyberspace selbst entwickelte System des Miteinander – „Netiquette“ genannt- gegen die Grundordnung der realen Gesellschaft verstößt. Sofern die Teilnehmer auf Mißbrauchsfälle selbst mit Sanktionen reagieren, beschneidet man die Betroffenen ihrer grundlegenden Rechte – insbesondere den Anspruch auf eine faire und unabhängige Überprüfung der ergriffenen Maßnahmen. Ob dies ein durch die virtuellen Gemeinschaft nicht getragenes Kontrollgremium wie der „Internet Medienrat“ zu leisten vermag, wird aber von anderer Seite ebenfalls bezweifelt.

Fest steht: Sein exponentielle Wachstum ließ das Internet von der gesellschaftlichen Randerscheinung zum festen Bestandteil des kulturellen Alltags werden. Indem es Teil der Gesellschaft wurde, kann es sich gewisser rechtlicher Reglementierungen kaum noch entziehen. Das im Netz entwickelte normative Gefüge stimmt dabei in Teilen nicht mit dem Rechtssystem Deutschlands und dem anderer Staaten überein. Erst dies zwingt die Politiker zum Handeln.

Jörg Auf dem Hövel

 

Kategorien
Elektronische Kultur

Mit Scientology im Cyberspace

ct 3/1996

Zensur oder Urheberschutz?

Scientology im Internet

Während sich vielerorts die Gesetzgeber zunehmend gezwungen sehen, über die Verantwortlichkeit für die Inhalte des Internet zu befinden, führt die Gemeinschaft der Scientologen ihren eigenen Kampf gegen die unkontrollierte Meinungsfreiheit. Sie suchen verzweifelt nach Schuldigen, die sie für vermeintliche Urheberrechtsverletzungen belangen können.

Randgruppen, von den Kanälen der bedruckten und audiovisuellen Medien weitgehend ausgeschlossen, nutzen das Internet als Plattform für ihre Anliegen. Die freie Meinungsäußerung ist dabei Prämisse aller Kommunikation. Durch das anarchische Chaos fühlen sich nicht nur staatliche Machtzentren bedroht, auch die Gemeinschaft der Scientologen sieht seit kurzem die Grundfesten ihres Glaubensgebäudes untergraben. Denn im Internet tauchen immer wieder geheime Schriften von Ron L. Hubbard, dem Stifter der Quasi-Religion, auf. Diese Texte schützt das Urheberrecht, ungeachtet dessen sind sie über die internationalen Datenleitungen frei erhältlich. Die in Amerika als Kirche anerkannte Vereinigung bemüht sich um weltlichen Beistand: In verschiedenen Ländern sollen Gerichte über die Verbreitung der vertraulichen Überlieferungen Hubbards befinden. Im Kern geht es dabei um die Grenzziehung zwischen freier Meinungsäußerung und geistigem Eigentum.

 

Teure Lehren

Warum aber erfreut sich die Kirche nicht an der effektiven Verbreitung der Lehre ihres 1986 verstorbenen Oberhauptes? Um auf konventionellem Wege durch das Werk Hubbards illuminiert zu werden, bedarf es eines randvollen Bankkontos. Wird die Literatur zur Einführung oft noch kostenlos verteilt, sind die Materialien für die Ausbildung zur geistlichen Beratung bis zu 2000 Mark teuer und nur für Mitglieder erhältlich. Das Hinaufschweben der Sprossen zur vollkommenen Bewußtseinserweiterung kostet dann ein Vermögen – Scientologen zahlen für die Absolvierung der fortgeschrittenen Stufen ihrer Religion bis zu hunderttausend Mark. Mit der Veröffentlichung der Publikationen im Internet versiegt somit eine entscheidende Geldquelle der Organisation. Thomas Small, Rechtsbeistand des ‚Religious Technology Center‘, der Institution in den USA, welche die Rechte an den Werken Hubbards hält, forderte Anfang vergangenen Jahres mehrere Internet-Anbieter auf, den Versand von geschützten Schriften über ihre Computer zu unterbinden. Das Problem: Nicht die Anbieter selbst, sondern einige ihrer Kunden hatten per elektronischer EMail Texte von Hubbard in das Diskussionsforum ‚alt.religion.scientology‘ gesandt. Dieses schwarze Brett im Internet, ein öffentlicher Treffpunkt für Gegner und Anhänger der Lehre, ist seit seiner Geburt im Jahre 1991 ein Dorn im Auge der Welterklärer. Über 14.000 Gelegenheitsleser streiten hier über Sinn und Unsinn einer scientologischen Weltanschauung. Der bekannteste der angeschriebenen Anbieter, der finnische Versender ‚anon.penet.fi‘, sah keine Möglichkeit, die privaten Nachrichten seiner Kunden auf illegale Inhalte zu überprüfen. ‚Die Post ist auch nicht für den Inhalt ihrer Briefe verantwortlich‘, antwortete Johann Helsingius, der seit 1992 den Server betreibt. Diese Antwort reichte nicht, denn ein paar Wochen später statteten ihm die Scientologen in Begleitung der Polizei einen Besuch ab. Ein Durchsuchungsbefehl legitimierte die Delegation zur Beschlagnahme der gesamten Computeranlage.

Kinderpornos als Waffe

Nicht den anonymen Transport von Texten Hubbards warf man dem Finnen allerdings vor, sondern die illegale Weiterleitung von Kinderpornographie. Mats Wiklund von der Universität in Stockholm meinte obszöne Bilder auf dem Rechner im Nachbarland entdeckt zu haben. Bereitwillig griffen die Jünger Hubbards den Fund auf und erstellten Strafanzeige. Teile der in Aufruhr geratenen Internet-Gemeinde vermuten, daß die Scientologen selbst die Fotografien auf den Computer des unbequemen Nordländers geladen haben. ‚Es ist eine allgemein übliche Praxis, einem Internet-Anbieter, dem man schaden will, Kinderpornos auf den Rechner zu spielen und Anzeige zu stellen‘, berichtet Coco Danie, Mitglied im Hamburger ‚Chaos Computer Club‘. Die Glaubensgemeinschaft der Scientologen steht seit der Gründung in den fünfziger Jahren in dem Ruf, ihre Anhänger einer systematischen Gehirnwäsche zu unterziehen, um sie schrittweise von der sozialen Umwelt abzuschotten und damit immer weiter von den Definitionen ihres Gründers abhängig zu machen. Gegen Kritiker geht der sektiererische Verein meist so rigoros vor, daß sich die Münchener Staatsanwaltschaft 1986 verpflichtet fühlte, der Organisation ‚geheimdienstliche Methoden im Grenzbereich zur Illegalität‘ zu attestieren. Trotzdem oder deswegen zählt das heilsuchende Bündnis heute weltweit sieben Millionen Genossen in seinen Reihen – 300.000 davon in Deutschland.

Nach Angaben der deutschen Sektion des Vereins ist die Einspeisung der Werke Hubbards in das Internet zunächst auf Anregung aus den eigenen Reihen lanciert worden. Wie der Hamburger Scientologe Riedl erklärt, sei dies geschehen, ‚um verfälschten Darstellungen und Kopien auf diese Weise zu entgegnen‘. Erst später sendeten Scientology-Aussteiger Texte dazu, die der breiten Öffentlichkeit auf gar keinen Fall zukommen sollten. Das sind die Kursstufen des ‚Operating Thetan‘, OT I bis OT VIII, die höchsten und geheimsten Kategorien, die in der Scientology-Hierarchie erreichbar sind. Hier soll sich der Mensch nicht nur seiner Unsterblichkeit bewußt werden, sondern auch die ultimativen Antworten auf alle Fragen erhalten. Daß auch die geheimsten Anweisungen im globalen Netzwerk liegen, birgt nach Riedl die Gefahr, daß Menschen um ihren spirituellen Fortschritt gebracht würden. Und der sei nur durch die ‚genaue Anwendung der in Scientology dargelegten grundlegenden Wahrheiten möglich‘.

Aufklärung

Dies sieht Steven Fishman ganz anders. Er war es, der die umstrittenen Dokumente publizierte und damit den ersten Konflikt im Internet verursachte, der vor Gerichten geklärt werden soll. Der US-Amerikaner und frühere Scientologe setzt sich vehement für transparente Strukturen in religiösen Großbetrieben ein. ‚Jeder soll wissen, was ihn in der Scientology-Kirche erwartet und was die angewandten Dogmen und Praktiken beinhalten‘, fordert Fishman. Folglich beharrt er darauf, daß das Kursmaterial weiterhin jedem zugänglich bleibt. Mit dieser Forderung steht Fishman nicht allein. Seit die Fehde im Netz publik wurde, veröffentlichen immer mehr Internet-Nutzer die Dokumente. Beim niederländischen Internet-Anbieter ‚XS4ALL‘ existieren mittlerweile Hunderte von Kopien der Schriftstücke, und Wissenschaftler aus Stuttgart und Saarbrücken haben auf den Universitätsrechnern das kompromittierende Material ebenfalls der Öffentlichkeit zugänglich gemacht.

Die Anwälte der Scientologen nehmen dennoch den sisyphusähnlichen Kampf gegen die ungeordnete Verbreitung der Gedanken ihres Messias auf. Während der Konzern für das Seelenheil in den USA mehrere Prozesse gegen Internet-Anbieter führt, sollte im Dezember der erste Rechtsstreit auf dem europäischen Kontinent ausgefochten werden. In Den Haag klagte die Kirche gleich vier Computerfirmen an, auf ihren Rechnern die durch das Copyright geschützte Texte liegen zu haben. Felipe Rodriques, Manager bei ‚XS4ALL‘, sah dem Händel freudig entgegen: ‚Wir haben schon immer gesagt, daß wir nicht für unsere Nutzer verantwortlich sind‘, kommentierte er, ‚und um dies endgültig zu klären, wollen wir den Prozeß.‘ Soweit kam es indes nicht. Zwei Tage vor Verhandlungsbeginn zogen die Scientologen ihre Anklage zurück, denn kein Notar wollte bestätigen, daß der Inhalt der Texte auf den Rechnern mit den OT-Kursschriften identisch ist. Ohne diesen Nachweis, so war den Anwälten klar, läßt sich ein Verstoß gegen das Urheberrecht nicht belegen.

Unsicherheit

Die Freude unter den Beklagten währte nur kurz, denn durch den nie aufgenommenen Prozeß bleibt vorerst ungeklärt, was im Internet veröffentlicht werden darf und ob der Transporteur einer Nachricht für deren Inhalt haftbar ist. In Deutschland bemüht sich die Staatsgewalt dagegen, die Grenzen der freien Meinungsäußerung im virtuellen Raum frühzeitig abzustecken. Die Münchner Staatsanwaltschaft läßt derzeit in einem Gutachten prüfen, welche technischen Möglichkeiten die Internet-Anbieter haben, um eine inhaltliche Kontrolle der transportierten Daten auszuüben. Auch den Scientologen ist die Bedeutung des Internets unterdessen klar. Während etwa die Church of Scientology in Los Angeles schon länger mit einem WWW-Server vertreten ist, sucht das Unternehmen noch nach einer Adresse im deutschen Teil des weltweiten Dorfes, um die Vorzüge des spirituellen Weges in der Religionsgemeinschaft zu beschreiben und neue Kunden zu gewinnen. Riedl: ‚Die Einrichtung einer solchen Kontaktmöglichkeit im Laufe des Jahres 1996 wird von uns ins Auge gefaßt.‘