Kloiber: Wie sieht denn hier die Situation aus, Peter Welchering?
Welchering: Ja, dieser Evaluationsbericht der EU-Kommission (PDF-Dokument), der jetzt am Montag veröffentlicht wurde, der greift auf die Datenbasis des Jahres 2008 zurück. Also drei Jahre zu spät, sozusagen, ist auch mit siebenmonatiger Verspätung erst veröffentlicht worden. Damals wurde übrigens auch in Deutschland noch Vorratsdaten gesammelt. Und detaillierte Angaben zur Sammlung von Internetverbindungsdaten, die haben neun Mitgliedsstaaten gemacht. Deutschland hat übrigens keine detaillierten Angaben zur Sammlung von Internetverbindungsdaten vorgelegt. Und das kam bei diesem Bericht eben auch heraus: Zurzeit ist die gesamte Situation in Europa durch ungenügende Standards zur Sicherung der Privatsphäre bei der Vorratsdatenspeicherung eben sehr stark geprägt.
Kloiber: Und da gibt es auch die Meinung, die Vorratsdatenspeicherung von Internetdaten berge sogar ein erhöhtes Spionagerisiko. Lässt sich so etwas aus diesen EU-Bericht entnehmen?
Welchering: Na, zumindest kann man feststellen, dass es einen Zusammenhang gibt zunächst einmal, wie auch immer der genau aussieht und begründet ist. Aber es gibt einen Zusammenhang von Auswertungshäufigkeit und Online-Attacken. Beispielsweise im Jahre 2008, da hat es in Großbritannien eine Untersuchung und Auswertung von Internetverbindungsdaten in über 50.000 Fällen gegeben und gleichzeitig musste man feststellen, in 2008 hat es in Großbritannien, hatten alle Banken und Bankkunden sehr stark mit dem Online-Fischen von Bankdaten zu kämpfen. Und das hatte damit zu tun, dass eben mit man-in-the-middle-Attacken Bankdaten abgegriffen wurden. Man-in-the-middle-Attacken, die übrigens auf Verbindungsdaten zurückgegriffen haben. Gleiches in Spanien 2008, die Kreditkarteninformationen, die dort verstärkt erbeutet wurden, die sind auch mit man-in-the-middle-Attacken erbeutet worden. Also zunächst einmal ist dieser Zusammenhang da. Ob der nun rein zeitlich bedingt ist, oder auch logisch, das muss die Zukunft des klären.
Kloiber: Dass die Polizei auf solche Internetverbindungsdaten aus der Vorratsdatenspeicherung zurückgreifen kann, dass ist ja klar, aber wie sieht es mit den Nachrichtendiensten in Europa aus?
Welchering: Ja, in 14 Staaten dürfen auch die Nachrichtendienste auf diese Verbindungsdaten zugreifen. In einigen Staaten reicht es übrigens sogar, wenn ein Behördenchef einer nachrichtendienstlichen Behörde sagt: 'Ich möchte diese Daten haben.' Da wird kein Richter zwischengeschaltet, da ist kein Staatsanwalt tätig, das machen dann die Nachrichtendienste unter sich aus. Und in vielen Ländern dürfen die Nachrichtendienste eben auch diese Verbindungsdaten an sogenannte befreundete Dienste weitergeben.
Kloiber: Und welche Erkenntnisse können die Nachrichtendienste aus diesen gespeicherten Internetverbindungsdaten gewinnen?
Welchering: Also, das kann über ganz konkrete Verhaltensprofile gehen, dazu reichen dann allerdings nicht die Verbindungsdaten aus, dazu werden dann zum Beispiel noch Daten aus dem Mobilfunkbereich herangezogen, zum Beispiel Bewegungsdaten aus den verschiedenen Netzen. Und das geht dann zum Teil mit Business-Intelligence-Software, die dann diese Verbindungsdaten auswerten bis hin zu ganz konkreten Verhaltensprognosen. Und die Sicherheitspolitiker, nicht nur in Deutschland, sondern in vielen Ländern Europas, die fordern ja auch den Zugriff auf viele zusätzliche Verbindungsdaten und Profildaten. Und in der Diskussion sind da etwa die gespeicherten Aufenthaltsdaten, auch die beim Smartphone. Diese Daten, die werden ja auch heute schon teilweise von Sicherheitsbehörden angekauft. Da haben beispielsweise in den USA ganz klar einige Forensik-Unternehmen die Nase vorn, in einigen Fällen werden solche Daten dann von Behörden direkt von Privatermittlern angekauft, in anderen Fällen bieten Forensik-Unternehmen ihre Dienste an. In den USA etwa vor allen Dingen Katana Forensic Software, die stellen Software für die Auswertung von iPhone-Aufenthaltsorten zur Verfügung und verkaufen die, oder in Großbritannien, da verdient die Forensic Telecommunications Services Ltd. mit ihrem iXam-produkt gutes Geld mit solchen Daten und Auswertungsprogrammen. Und unter anderem in Deutschland die Firma Cellebrite GmbH, die bieten solche forensischen Produkte für Verbindungsdaten an und die Gefahr dabei ist, dass dann tatsächlich solche Public-Private-Partnerships für solche Bereiche gibt, wo dann eben die Privaten Daten sammeln und sie weitergeben an die Dienste, sie auch weitergeben unter Umständen, wenn wir in der Vorratsdatenspeicherung nicht europaweit zu einem Standard kommen, auch an Sicherheitsbehörden oder an andere staatliche Behörden. Da werden unterschiedliche Modelle diskutiert, und die könnten etwa darauf hinauslaufen, dass wir in einiger Zeit einmal ein Modell haben, Private erheben diese Daten über soziale Netzwerke und andere mit ihrer Forensik-Software und reichen sie einfach weiter an die Staaten und werden dafür eben bezahlt. Ein lukratives Geschäftsmodell offensichtlich.
Welchering: Ja, dieser Evaluationsbericht der EU-Kommission (PDF-Dokument), der jetzt am Montag veröffentlicht wurde, der greift auf die Datenbasis des Jahres 2008 zurück. Also drei Jahre zu spät, sozusagen, ist auch mit siebenmonatiger Verspätung erst veröffentlicht worden. Damals wurde übrigens auch in Deutschland noch Vorratsdaten gesammelt. Und detaillierte Angaben zur Sammlung von Internetverbindungsdaten, die haben neun Mitgliedsstaaten gemacht. Deutschland hat übrigens keine detaillierten Angaben zur Sammlung von Internetverbindungsdaten vorgelegt. Und das kam bei diesem Bericht eben auch heraus: Zurzeit ist die gesamte Situation in Europa durch ungenügende Standards zur Sicherung der Privatsphäre bei der Vorratsdatenspeicherung eben sehr stark geprägt.
Kloiber: Und da gibt es auch die Meinung, die Vorratsdatenspeicherung von Internetdaten berge sogar ein erhöhtes Spionagerisiko. Lässt sich so etwas aus diesen EU-Bericht entnehmen?
Welchering: Na, zumindest kann man feststellen, dass es einen Zusammenhang gibt zunächst einmal, wie auch immer der genau aussieht und begründet ist. Aber es gibt einen Zusammenhang von Auswertungshäufigkeit und Online-Attacken. Beispielsweise im Jahre 2008, da hat es in Großbritannien eine Untersuchung und Auswertung von Internetverbindungsdaten in über 50.000 Fällen gegeben und gleichzeitig musste man feststellen, in 2008 hat es in Großbritannien, hatten alle Banken und Bankkunden sehr stark mit dem Online-Fischen von Bankdaten zu kämpfen. Und das hatte damit zu tun, dass eben mit man-in-the-middle-Attacken Bankdaten abgegriffen wurden. Man-in-the-middle-Attacken, die übrigens auf Verbindungsdaten zurückgegriffen haben. Gleiches in Spanien 2008, die Kreditkarteninformationen, die dort verstärkt erbeutet wurden, die sind auch mit man-in-the-middle-Attacken erbeutet worden. Also zunächst einmal ist dieser Zusammenhang da. Ob der nun rein zeitlich bedingt ist, oder auch logisch, das muss die Zukunft des klären.
Kloiber: Dass die Polizei auf solche Internetverbindungsdaten aus der Vorratsdatenspeicherung zurückgreifen kann, dass ist ja klar, aber wie sieht es mit den Nachrichtendiensten in Europa aus?
Welchering: Ja, in 14 Staaten dürfen auch die Nachrichtendienste auf diese Verbindungsdaten zugreifen. In einigen Staaten reicht es übrigens sogar, wenn ein Behördenchef einer nachrichtendienstlichen Behörde sagt: 'Ich möchte diese Daten haben.' Da wird kein Richter zwischengeschaltet, da ist kein Staatsanwalt tätig, das machen dann die Nachrichtendienste unter sich aus. Und in vielen Ländern dürfen die Nachrichtendienste eben auch diese Verbindungsdaten an sogenannte befreundete Dienste weitergeben.
Kloiber: Und welche Erkenntnisse können die Nachrichtendienste aus diesen gespeicherten Internetverbindungsdaten gewinnen?
Welchering: Also, das kann über ganz konkrete Verhaltensprofile gehen, dazu reichen dann allerdings nicht die Verbindungsdaten aus, dazu werden dann zum Beispiel noch Daten aus dem Mobilfunkbereich herangezogen, zum Beispiel Bewegungsdaten aus den verschiedenen Netzen. Und das geht dann zum Teil mit Business-Intelligence-Software, die dann diese Verbindungsdaten auswerten bis hin zu ganz konkreten Verhaltensprognosen. Und die Sicherheitspolitiker, nicht nur in Deutschland, sondern in vielen Ländern Europas, die fordern ja auch den Zugriff auf viele zusätzliche Verbindungsdaten und Profildaten. Und in der Diskussion sind da etwa die gespeicherten Aufenthaltsdaten, auch die beim Smartphone. Diese Daten, die werden ja auch heute schon teilweise von Sicherheitsbehörden angekauft. Da haben beispielsweise in den USA ganz klar einige Forensik-Unternehmen die Nase vorn, in einigen Fällen werden solche Daten dann von Behörden direkt von Privatermittlern angekauft, in anderen Fällen bieten Forensik-Unternehmen ihre Dienste an. In den USA etwa vor allen Dingen Katana Forensic Software, die stellen Software für die Auswertung von iPhone-Aufenthaltsorten zur Verfügung und verkaufen die, oder in Großbritannien, da verdient die Forensic Telecommunications Services Ltd. mit ihrem iXam-produkt gutes Geld mit solchen Daten und Auswertungsprogrammen. Und unter anderem in Deutschland die Firma Cellebrite GmbH, die bieten solche forensischen Produkte für Verbindungsdaten an und die Gefahr dabei ist, dass dann tatsächlich solche Public-Private-Partnerships für solche Bereiche gibt, wo dann eben die Privaten Daten sammeln und sie weitergeben an die Dienste, sie auch weitergeben unter Umständen, wenn wir in der Vorratsdatenspeicherung nicht europaweit zu einem Standard kommen, auch an Sicherheitsbehörden oder an andere staatliche Behörden. Da werden unterschiedliche Modelle diskutiert, und die könnten etwa darauf hinauslaufen, dass wir in einiger Zeit einmal ein Modell haben, Private erheben diese Daten über soziale Netzwerke und andere mit ihrer Forensik-Software und reichen sie einfach weiter an die Staaten und werden dafür eben bezahlt. Ein lukratives Geschäftsmodell offensichtlich.