Deutsches Pendant zum „Sicherheitspaket“ läuft holprig an

Der neuen deutschen „Trojanerschmiede“ fehlt zur Eröffnung das technische Personal, der Pilotversuch für automatische Gesichtserkennung beginnt mit einem Datenskandal.

Von Erich Möchel

Während das „Sicherheitspaket“ in Österreich vorläufig gescheitert ist, bleibt es in Deutschland bei den jüngst beschlossenen, stark erweiterten Überwachungsbefugnissen. Das haben Angela Merkel (CDU) und Martin Schulz (SPD) im TV-Duell der Spitzenkandidaten zuletzt unisono bekräftigt. Der aktuelle Ausbau des Überwachungsapparats in Deutschland gibt aber einen Vorgeschmack auf entsprechende Gesetzesinitiativen der kommenden österreichischen Bundesregierung, die zu erwarten sind.

Die für Mittwoch geplante Eröffnung der „Zentralen Stelle für Informationstechnik im Sicherheitsbereich“ (Zitis) in München musste verschoben werden, denn der neuen Überwachungsbehörde fehlt derzeit noch das Personal. Das Pilotprojekt zur Umrüstung großer, vernetzter Videoüberwachungsanlagen mit Technologie zur Gesichtserkennung in Berlin wiederum begann mit einem Skandal, der Ende August in Anzeigen gegen die Verantwortlichen mündete. Auch hierzulande war im „Sicherheitspaket“ ein ähnliches System geplant.

Pilotprojekt am Berliner Südkreuz

Seit Anfang August läuft am Berliner Bahnhof Südkreuz ein Pilotversuch zur automatischen Gesichtserkennung, die Innenminister Thomas de Maizière erklärtermaßen auf alle deutschen Bahnhöfe ausdehnen möchte. Für diesen Probelauf wurden 300 Testpersonen mit sogenannten iBeacons ausgestattet, das sind Bluetooth-Sender mit Stromversorgung, die laufend ihre Identifikationsnummer senden. Damit wird dem Rechner hinter dem Videoverbundsystem die tatsächliche Identität der Person zu Kontrollzwecken übermittelt, um das System auf die örtlichen Verhältnisse einzustellen.

Die Treffsicherheit biometrischer Gesichtserkennung variiert nämlich stark unter wechselnden Lichtverhältnissen, dem Erfassungswinkel des Gesichts oder in Menschenansammlungen. Die iBeacons messen jedoch auch andere Werte, wie Beschleunigung oder die Bodenneigung. Das hatten Datenschützer von Digital Courage festgestellt und dann Anzeige erstattet, den Testpersonen wurde das nämlich nicht mitgeteilt. Anhand dieser Werte können zusätzliche biometrische Merkmale, etwa individuelle Eigenheiten beim Gehen erfasst werden.

„Prototypisches“ Big-Brother-Projekt

Bei entsprechender Kamerabestückung können durchgehende Zeit-Weg-Protokolle mitgeschrieben werden, wie sich ein Reisender über einen großen Bahnhof bewegt. Bei Pendlern, die täglich dieselben Wege zurücklegen, lassen sich so Abweichungen von ihrem üblichen Verhalten feststellen, wenn der Weg von einer Kamera zur nächsten länger dauert. Dann hat die betreffende Person zwischendurch am Bahnhof eingekauft oder eine Toilette aufgesucht.

Der ehemalige oberste deutsche Datenschützer Peter Schaar hatte das Vorhaben als prototypisches Big-Brother-Gesetz bezeichnet und vor einer Vernetzung dieser Datensätze mit den Passbild-Datenbanken und Personalausweisen gewarnt: "Zusammen mit den neuen automatischen Zugriffsbefugnissen auf die biometrischen Daten wird daraus ein Big-Brother-Gesetz.“ Diese Datenbanken enthalten nämlich bereits biometrisch eingelesene Gesichtsdaten der Staatsbürger, die damit automatisch identifiziert werden können.

Tarnbegriff „Lichtbild“ für Biometrie

Sowohl in Deutschland wie in Österreich wird dieser Sachverhalt im Gesetzestext bewusst verwischt, indem die schon zu analogen Zeiten überkommene Bezeichnung „Lichtbild“ verwendet wird. „Biometrie“ kommt weder im deutschen „Gesetz zur Förderung des elektronischen Identitätsnachweises“ vor, noch im österreichischen „Bundesgesetz, mit dem das E-Government-Gesetz geändert wird“. Der „Staatsfeinde“-Paragraf und die E-ID-Novelle zum E-Governmentgesetz sind die einzigen Elemente des „Sicherheitspakets“, die bereits beschlossen wurden. Dabei ist in beiden Ländern ein- und dasselbe geplant, nämlich „Preventive Policing“. Im Rahmen dieser „Vorbeugungspolitik“ sollen die vernetzten Kamerasysteme an sogenannten Hotspots wie etwa Bahnhöfen, je nach angenommenem Bedarf der Behörden freigeschaltet werden.

Zitis mit Polizei- und Geheimdienstagenden

Offiziell wurden Terminprobleme des deutschen Innenministers Thomas de Maizière als Grund für die Verschiebung der Eröffnung von Zitis genannt, die nun am 19. September erfolgen soll. Wie der Bayrische Rundfunk jedoch berichtete, waren bis Ende August noch nicht einmal 20 Prozent der für heuer eingeplanten 120 neuen Dienststellen in München besetzt. Bis 2022 beträgt die Sollstärke 400 Personalstellen. Die Kernaufgaben von Zitis sind „Digitale Forensik, Telekommunikationsüberwachung, Krypto-Analyse und Big-Data-Auswertung“.

Diese Aufgabenstellung entspricht ziemlich genau dem britischen NTAC (National Technical Assistance Center), das direkt zum Militärgeheimdienst GCHQ gehört, oder der holländischen PIDS (Platform Interceptie, Decryptie en Signaalanalyse), die beide als technische Dienstleister zwischen den Geheimdiensten und den Polizeibehörden angesiedelt sind. Auch in Deutschland ist dies mit Zitis der Fall, denn Krypto-Analyse und die Auswertung von Big Data waren seit jeher in der Domäne der Militärs.

Zitis als neue deutsche „Trojanerschmiede“

Irgendwo zwischen diesen Aufgabenfeldern ist die Erforschung von Schwachstellen in Betriebssystemen angesiedelt, denn diese Bugs sind die Basis für die Herstellung von Exploits. Das sind die Sprengköpfe zum Eindringen in das Betriebssystem, dazu wird eine ganze Trojaner-Programmsuite benötigt, die dann den eigentlichen Angriff auf das Endgerät ausführt. Da Zitis sowohl die Polizei, als auch den Geheimdienst Bundesverfassungsschutz beliefert, der viel weitergehende Befugnisse hat, wird es ein umfassenderes gemeinsames System geben müssen, in dem bestimmte Funktionen für die Polizei gesperrt sind.

Das ist nicht nur im demokratischen Europa üblich, sondern auch in jedem diktatorischen Regime. Die gesamte Trojanersuite wird an die Geheimdienste ausgeliefert, die Versionen für Polizeibehörden sind stets auf deren gesetzlichen Befugnisse eingeschränkt.

Ausblick in analogen Termini

Solchermaßen abgestufte Befugnisse waren auch in Österreich der Grund für den Eiertanz des österreichischen Justizministeriums um die Begriffe „Kommunikationsüberwachung“ und „Online-Durchsuchung“. In analogen Termini ausgedrückt wären das „Abhören“ und „Hausdurchsuchung“.

Dabei erfüllt „Kommunikationsüberwachung“ im Zeitalter des Cloud-Computing bereits den Sachverhalt einer „Online-Durchsuchung“. Das Speichermedium ist nicht mehr lokal am Endgerät, sondern bei jeder Synchronisation mit der Cloud findet ein Kommunikationsvorgang statt und der darf überwacht werden. Grund für den Eiertanz waren allein die Befugnisse der Polizei, weil „Kommunikationsüberwachungen“ schon bei leichten Delikten angeordnet werden können, „Online-Durchsuchungen“ aber nicht.

Was den künftigen Ankauf von Trojaner-Überwachungssuites in Österreich betrifft, so sollte den Behörden wenigstens eines klar sein. Jede Exportversionen eines solchen Bundestrojaners enthält in der Regel eine verdeckte Zugriffsmöglichkeit für den jeweiligen nationalen (Militär-)Geheimdienst des Ursprungslandes.

Mehr zu diesem Thema:

Die fünf Aufgabenbereiche, die Zitis abdecken soll

Die Erfassung von mehr Daten als angegeben wurde von Digital Courage aufgedeckt

Der Bayerische Rundfunk (ARD) über Personalmangel bei Zitis

Zweckdienliche Hinweise, Bug Reports oder Fragen sind tunlichst hier einzuwerfen. Wer eine Antwort will, sollte eine Kontaktmöglichkeit hinterlassen.