Vor­rats­da­ten­spei­che­rung — Die ande­re Sei­te

Die Vor­rats­da­ten­spei­che­rung ist eine aku­te Bedro­hung – nicht nur für die bür­ger­li­chen Grund­rech­te, son­dern auch für den Wirt­schafts­stand­ort Deutsch­land.

Vor­rats­da­ten­spei­che­rung, das klang einst wie die Lösung für fast jedes Pro­blem bei der Auf­klä­rung von Ver­bre­chen. Die Nach­ver­fol­gung von Akti­vi­tä­ten im Inter­net oder von sons­ti­ger Tele­kom­mu­ni­ka­ti­on soll­te es Poli­zei­be­hör­den ermög­li­chen, Täter schnel­ler zu fas­sen und ihnen Betei­li­gun­gen an Straf­ta­ten bes­ser und schnel­ler nach­wei­sen zu kön­nen. Doch schon seit den ers­ten öffent­li­chen Über­le­gun­gen for­mier­te sich eben­so ein Wider­stand. Sowohl von Sei­te der Tele­kom­mu­ni­ka­ti­ons­an­bie­ter, wel­che die zusätz­li­chen Kos­ten selbst zu tra­gen hat­ten als auch von Bür­ger­recht­lern, wel­che einen unzu­mut­bar gro­ßen Ein­schnitt in die Pri­vat­sphä­re der Betrof­fe­nen, also aller Bür­ger, befürch­te­ten. Man kann nach Jah­ren der Debat­te und den unter­schied­lichs­ten Geset­zes­lö­sun­gen von einem Sieg der Kri­ti­ker spre­chen. Spä­tes­tens mit dem EuGH Urteil vom 14. April 2014 (Akten­zei­chen C‑293/​12 und C‑594/​12), wel­ches die EU – Richt­li­nie 2006/​24/​EG zwar als grund­sätz­lich ver­ein­bar mit den Euro­päi­schen Grund­rech­ten bezeich­net, wur­de sie jedoch in ihrer Ver­hält­nis­mä­ßig­keit ver­ur­teilt. Somit war die bestehen­de Vor­rats­da­ten­spei­che­rung inner­halb der EU-Mit­glieds­län­der gekippt1.

Eben­falls ange­merkt in der Urteils­be­grün­dung wur­de, dass eine erheb­li­che Gefahr des unbe­rech­tig­ten Zugangs zu die­sen Daten bestehe. Hier­bei hat­te man wohl noch im Hin­ter­kopf, dass es sich dabei um per­sön­li­che Daten ein­zel­ner Per­so­nen han­deln wür­de, jedoch trifft die­ser Satz schon den Kern des­sen, was als wei­te­re Gefahr von der Vor­rats­da­ten­spei­che­rung aus­geht. Die­se Gefahr fand bis­her nicht so pro­mi­nent Platz in den Argu­men­ta­tio­nen der Kri­ti­ker, ist aber gera­de für den Wirt­schafts­stand­ort Deutsch­land von größ­ter Rele­vanz. Es geht hier­bei um die Mög­lich­keit auch geschäft­li­che Kom­mu­ni­ka­ti­ons­da­ten in der Form von Meta­da­ten gezielt von den Siche­run­gen der Tele­kom­mu­ni­ka­ti­ons­an­bie­ter abzu­schöp­fen.

Für das bes­se­re Ver­ständ­nis die­ser rea­len Bedro­hung ist zunächst eine etwas tie­fer­ge­hen­de Beschrei­bung von dem, was Meta­da­ten eigent­lich sind und wo die Aus­wer­tungs­mög­lich­kei­ten lie­gen, von Nöten. Meta­da­ten bezeich­nen ganz grund­sätz­lich die vor­han­de­nen Meta-Infor­ma­tio­nen, die bei auf­ge­zeich­ne­ten Daten ent­ste­hen. Die­se beinhal­ten unter ande­rem Absen­der und Adres­sat, Dau­er eines Tele­fo­nats, die Orts­da­ten, bei E‑Mails die Betreff­zei­le, die Uhr­zeit usw. Man kann davon spre­chen, dass alle denk­ba­ren Daten, bis auf den tat­säch­li­chen Inhalt der Kom­mu­ni­ka­ti­on, als Meta­da­ten beschrie­ben wer­den und auch im Sin­ne der Vor­rats­da­ten­spei­che­rung auf­ge­ho­ben wer­den (muss­ten).2

Zusam­men­ge­fasst lässt sich also sagen, dass Meta­da­ten eine Aggre­ga­ti­on aller erfass­ba­ren Eigen­schaf­ten von Daten sind, ohne dass sie den tat­säch­li­chen Inhalt abbil­den. Exakt die­se Daten sol­len von der VDS zen­tral über einen län­ge­ren Zeit­raum auf­be­wahrt wer­den. Mit ent­spre­chend gut funk­tio­nie­ren­den Algo­rith­men und aus­rei­chen­der Rechen­ka­pa­zi­tät lässt sich von die­sen Eigen­schaf­ten sehr gut auf den tat­säch­li­chen Inhalt schlie­ßen, gera­de wenn sehr vie­le die­ser Meta­da­ten vor­han­den sind.

Wenn nun der Gedan­ke zu Ende gedacht wird, dass nicht nur von Pri­vat­per­so­nen, son­dern auch von allen Unter­neh­men in Deutsch­land, wel­che Kom­mu­ni­ka­ti­on nut­zen (also qua­si alle), die­se Daten zen­tral in vol­ler Gän­ze gespei­chert wer­den ergibt sich schnell das Bild, das über einen Angriff auf eben die­se Spei­cher­in­stan­zen die Abschöp­fung sehr sen­si­bler Infor­ma­tio­nen eine aku­te Gefahr dar­stellt. Man stel­le sich nur ein­mal vor, wel­ches Inter­es­se mög­li­che Wirt­schafts­spio­ne an die­sen Daten ent­wi­ckeln könn­ten. Nach­dem also die Voll­stän­dig­keit die­ser Daten­samm­lung bei der VDS besteht wäre der nächs­te logi­sche Schritt die Erreich­bar­keit die­ser Daten für Außen­ste­hen­de zu unter­su­chen.

Dass dabei eher dün­nes Eis mit Platz für mas­sig Spe­ku­la­tio­nen betre­ten wird, soll­te aber immer beach­tet wer­den. Für eine Abschöp­fung die­ser Daten wäre es von­nö­ten, über gro­ßes Know-how sowie die nöti­ge Rechen­power zu ver­fü­gen, um die­se gro­ße Men­ge an Daten auch ver­wert­bar zu machen. Dank­ba­rer­wei­se hat sich der Whist­leb­lo­wer Edward Snow­den, dem in die­sem Fall ein berech­tig­ter Ver­trau­ens­vor­schuss ob dem Wahr­heits­ge­halt sei­ner Aus­sa­gen zukommt, bereits dazu geäu­ßert. Die NSA, wel­che über mehr als genug Know-How und Rechen­power ver­fügt, betreibt sol­che Wirt­schafts­spio­na­ge. Snow­den äußer­te sich wie folgt in einem Fern­seh­in­ter­view mit der ARD: „[…] was ich sagen kann, ist: Es gibt kei­ne Zwei­fel, dass die USA Wirt­schafts­spio­na­ge betrei­ben. Wenn es bei Sie­mens Infor­ma­tio­nen gibt, von denen sie mei­nen, dass sie für die natio­na­len Inter­es­sen von Vor­teil sind, nicht aber für die natio­na­le Sicher­heit der USA, wer­den sie der Infor­ma­ti­on hin­ter­her­ja­gen und sie bekom­men.“3

Die Dimen­sio­nen die­ser Gefahr sind also grö­ßer, als es die Gegen­wehr deut­scher Unter­neh­men gegen die Vor­rats­da­ten­spei­che­rung bis­her ver­mu­ten lässt. Zusam­men­ge­nom­men lässt sich fest­hal­ten, dass die NSA mit all ihren Mög­lich­kei­ten bereits aktiv Wirt­schafts­spio­na­ge bei deut­schen Unter­neh­men betreibt, die Meta­da­ten von die­sen Unter­neh­men eine wei­te­re Dimen­si­on der Spio­na­ge ermög­li­chen und trotz­dem der Ruf nach einer zen­tra­len Sam­mel­stel­le für die­se Daten nicht ver­stum­men mag. Über die wei­te­ren Gefah­ren durch ande­re staat­li­che Orga­ni­sa­tio­nen oder kri­mi­nel­le Netz­wer­ke las­sen sich nur Ver­mu­tun­gen anstel­len, doch ihre Exis­tenz soll­te heut­zu­ta­ge nicht geleug­net wer­den. Gera­de wenn, wie in der jüngs­ten Zeit nach den tra­gi­schen Anschlä­gen auf die Redak­ti­ons­räu­me der Sati­re-Zeit­schrift Char­lie Heb­do wie­der die Rufe nach der ver­pflich­ten­den Ein­füh­rung der VDS laut wer­den, müss­te dies wie­der Ein­zug in die Köp­fe von Ent­schei­dungs­trä­gern hal­ten. Eine Demo­kra­tie soll­te ohne eine Kom­plett­über­wa­chung ihrer Bür­ger und die Abschuss­frei­ga­be ihrer Unter­neh­men ande­re Mit­tel und Wege suchen, um sol­chen Gefah­ren zu begeg­nen.

Quel­len
2 Aus­führ­li­che Infor­ma­tio­nen zu Meta­da­ten fin­den sich in BACA, MURTHA, 2008: Intro­duc­tion to Meta­da­ta – Pathways to Digi­tal Infor­ma­ti­on, Los Ange­les. Abruf­bar online auf

Die­se Arbeit wur­de im Rah­men des BOK-​Kur­ses “Siche­rer Umgang mit IT für All­tag und Beruf – Grund­la­gen mobi­ler Kom­mu­ni­ka­tion im beruf­li­chen Umfeld” von Stu­die­ren­den an der Uni­ver­si­tät Frei­burg erstellt.


Ande­re inter­es­san­te Bei­trä­ge:
MDM Essen­ti­als — Was unter­schei­det Mobi­le Device Manage­ment von Mobi­le Iden­ti­ty Manage­ment?
Die häu­figs­te Fra­ge, die uns auf der it-sa 2012 gestellt wur­de, war, was Mobi­le Iden­ti­ty Manage­ment (MIM) von Mobi­le Device Manage­ment (MDM) unter­schei­det. Die Ant­wort könn­te von Radio Eri­wan kom­men: „Im Prin­zip nichts, aber …” datomo Mobi­le Device Manage­ment (MDM) und datomo Mobi­le Iden­ti­ty Mana…
BYOD — Größ­te Arti­kel­samm­lung über Bring Your Own Device mit 70 Bei­trä­gen aktua­li­siert — jetzt ein­fach anfor­dern!
Ein The­men­schwer­punkt in unse­rem Blog liegt u.a. in der Auf­klä­rung rund um das The­ma Bring Your Own Device (BYOD). Mit unse­rem White­pa­per zum The­ma BYOD haben wir die Pro­ble­ma­tik von BYOD in Unter­neh­men auf 22 Sei­ten bereits aus­führ­lich dis­ku­tiert und sys­te­ma­tisch auf­ge­ar­bei­tet. Natür­lich ver­wei­sen …
Mobi­le Device Manage­ment (MDM) — Good ver­klagt Air­Watch und MobileI­ron wegen Patent­ver­let­zun­gen
In Deutsch­land ist erstaun­li­cher­wei­se noch weit­ge­hend unbe­kannt, dass Good MobileI­ron und Air­Watch wegen zahl­rei­cher Patent­ver­let­zun­gen vor dem Distrikt­ge­richt von San Jose am 14. Novem­ber ver­klagt hat. Wen der Ort San Jose an etwas erin­nert — rich­tig! Apple hat dort vor kur­zem erst mit Pau­ken und T…
Mobi­le Device Manage­ment (MDM) — Best Prac­tices für die Aus­wahl eines Sys­tems — Video
Heu­te ver­öf­fent­li­chen wir das nächs­te Video — dies­mal zum zwei­ten Vor­trag mit dem Schwer­punkt Best Prac­tices, den Klaus Düll auf der CeBIT 2016 — neben der Ein­füh­rung eines MDM-Sys­tems hier nun über die Aus­wahl eines geeig­ne­ten MDM-Sys­tems — gehal­ten hat. Mobi­le Device Manage­ment (MDM) ist für vie…
Kos­ten­lo­ser Sofort-Test für 45 Tage für datomo Device Manage­ment
Mit einer Pres­se­mel­dung haben wir heu­te nach­mit­tag eine neue Akti­on zu datomo Device Manage­ment gestar­tet. Wir haben in den letz­ten Wochen eine stei­gen­de Anfra­ge zum The­ma Device Manage­ment regis­triert, sicher auch durch unser im Dezem­ber ver­öf­fent­lich­tes White­pa­per zum The­ma. Die meis­ten die­ser Anf…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.