september-oktober 2001

Peter Riegersberger
gelinkt

Der Name dieser Kolumne ist Programm

Zumindest aus der Sicht einiger Betroffener, wenn es um die Verordnung des Verkehrsministeriums zur Überwachung des Fernmeldeverkehrs (www.vibe.at/misc/uevo.html) geht. Worum geht's in dieser Überwachungsverordnung? Gute Frage, man ist sich nicht sicher. Das hat allerdings nichts mit mangelnder Kenntnis der Materie oder schlechter Recherche zu tun, sondern hängt mit dem Papier selbst zusammen: wie die »ARGE Daten« (www.ad.or.at/) in ihrer Stellungnahme (www.ad.or.at/news/20010223.html) so treffend meint: „eine klare Definition der Begriffe [...] hat der Gesetzgeber allerdings vermieden. Wo die Verordnung anzuwenden ist, bleibt also unklar.“ Zumindest lässt sich sagen: die Ermittlungsbehörden wollen die privaten Telekommunikationsanbieter dazu zwingen, ähnliche Überwachungsvorrichtungen zu installieren, wie die »Post« es bereits schon immer getan hat. Damit sollen ohne weiteren Aufwand Verbindungs- und Gesprächsdaten den Behörden zur Verfügung stehen. Klar ist, dass der Gesetzgeber bei dieser Verordnung die Sprachtelefonie im Auge hatte. Die Formulierungen sind jedoch so schwammig, dass es jederzeit möglich wäre, auch das Internet und ähnliche Netze in den Geltungsbereich der Verordnung hineinzureklamieren.

Leider ist hier nicht genug Platz, um in aller notwendigen Polemik und Detailtreue auf alle Schwachstellen der Verordnung einzugehen, daher nur ein Highlight, das besonders spannend ist: §4 Abs. 4 meint: „wenn der Betreiber die ihm zur Übermittlung anvertrauten Inhaltsdaten durch technische Maßnahmen gegen die unbefugte Kenntnisnahme durch Dritte schützt [oder] dem Teilnehmer Verschlüsselungsmöglichkeiten für die Inhaltsdaten bereitstellt, muss die Schnittstelle [zu den Überwachungsbehörden] in der Lage sein [...] die [...] entschlüsselten [oder ungeschützten] Inhaltsdaten bereitzustellen.“ Im Klartext: wenn sensible Daten durch Verschlüsselung geschützt werden, muss der Betreiber in der Lage sein, die Daten zu entschlüsseln und den Behörden zu übermitteln. Das wiederum bedeutet zwei Dinge:

1. das Firmengeheimnis wird zur Farce: was nützt mir die schönste Verschlüsselung meiner Daten, wenn beim Provider alle Schlüssel aufliegen? Das Sicherheitsrisiko ist nicht mehr kalkulierbar. E-Business ade.

2. Interessant wird die Angelegenheit, wenn die E-Government-Initiative der Regierung greift: werden sich staatliche Stellen beim Aufbau ihrer IT-Infrastruktur auf private Anbieter stützen (und davon ist auszugehen), so müssen diese wiederum über die geheimen Schlüssel dieser Institutionen verfügen, um sie im Ernstfall den Ermittlungsbehörden zur Verfügung stellen zu können. Nimmt der Staat seine eigene Verordnung ernst, bedeutet das, dass private Organisationen über die Geheimschlüssel der Republik verfügen.

Um’s kurz zu machen:

Überwachungsverordnung Version 2.0, bitte.