Die kürzlich auf netzpolitik.org veröffentlichten Beiträge von Ben Hayes und Alexander Sander diskutieren, wie dem von der Europäischen Union angeheizten Überwachungswahn Einhalt geboten werden kann. Alexander Sander kritisiert, dass Kampagnen gegen das EU-Sicherheitsforschungsprojekt INDECT andere Vorhaben ungeschoren davonkommen lassen: Für durchaus problematischere Projekte stünden sogar weit mehr Gelder zur Verfügung. Er schlägt vor, statt der reflexhaften Kritik an einzelnen Programmen lieber das neue Sicherheitsforschungsprogramm der EU aufs Korn zu nehmen, das derzeit unter dem Namen “Horizon 2020″ rund 3,8 Milliarden Euro für neue Forschungen locker machen soll.
Ben Hayes unterstreicht den Fokus auf “Horizon 2020″ und bittet um mehr Genauigkeit in der Kritik von Projekten wie “Clean IT”. Eine dortige Beschäftigung mit dem Einsatz von Filtertechnologien im Internet wird zwar von der EU finanziert. Die mediale Aufmerksamkeit wird laut Ben Hayes aber der Bedeutungslosigkeit von “Clean IT” kaum gerecht. Er weist auch darauf hin, wie die Berichterstattung über das Freihandelsabkommen ACTA oder INDECT von Übertreibungen oder Falschinformationen geprägt ist: So wurde ventiliert, die automatisierte Auswertung von Bildern aus Überwachungskameras von INDECT würde bei der EURO 2012 getestet – obschon die EU-Kommission dies längst dementiert hatte.
Eine linke Kritik an der EU-Sicherheitsforschung?
Beide Kritiker lassen offen, auf welche Weise gegen “Horizon 2020″ protestiert werden soll. Wie üblich werden die dort eingetüteten einzelnen Forschungsvorhaben zu zwei Dritteln aus EU-Mitteln finanziert. Dafür aber nur die EU-Kommission zu kritisieren, vernebelt die wahren Akteure der gegenwärtig 188 zweifelhaften Programme: An allen Projekten sind neben WissenschaftlerInnen auch private Firmen und Polizeien gleichermaßen beteiligt.
Oft wird nicht deutlich, wieso vielen AktivistInnen vor allem die EU-Kommission als Symbol der Umsetzung von Orwells “1984″ gilt – obwohl die EU im ironischerweise im gleichen Jahr ihr erstes Forschungsrahmenprogramm auflegte.
Statt sich weiter an INDECT abzuarbeiten, könnten Kampagnen auch die nationalen Sicherheitsforschungsprogramme adressieren, die im Falle von Polen oder Deutschland den EU-Vorhaben um nichts nachstehen. In Polen kämpft die nationalkonservative Abgeordnete Barbara Bubula zwar gegen INDECT, nicht aber die viel umfangreicheren Forschungen der “Polnischen Plattform für Heimatschutz”. INDECT muss wohl als Container für eine nationalistische Kritik an der Europäischen Union herhalten. Nicht verwunderlich, dass zum letzten internationalen Aktionstag gegen INDECT im Sommer auch rechte Gruppen mobilisierten. Mit welcher Haltung also – und vor allem mit wem – am 20. Oktober wieder gegen weltweite Überwachungssysteme demonstrieren?
Diskutiert werden muss, wie eine dezidiert linke Kritik an der gegenwärtigen Sicherheitsforschung aussehen kann. Thilo Weichert, der Leiter des Unabhängigen Datenschutzzentrums in Schleswig-Holstein, kritisiert INDECT, weil es “konzeptionell mit europäischem und deutschem Datenschutz- und Verfassungsrecht im Widerspruch” steht. Er befürwortet den Einsatz technischer Mittel aber grundsätzlich: Diese könnten zu einer “Effektivierung” der Arbeit von Sicherheitsbehörden beitragen, müssten aber auf die Einhaltung von Grundrechten kontrolliert werden. Wie wenig sich auch deutsche Polizeien darum scheren, hat jedoch die Nutzung von Mobilfunkdaten bei antifaschistischen Protesten in Dresden gezeigt. Die groß angelegte Funkzellenauswertung wurde erst öffentlich, als deren Erkenntnisse auch in den Akten zu Ermittlungen wegen geringfügiger Verstöße gegen das Versammlungsrecht auftauchten.
Gern wird gegen INDECT & Co. vorgetragen, dass zu viele Unbeteiligte ins Visier der Behörden geraten. Weil die Ausforschung und Verhaltenserkennung unbemerkt vonstatten geht, würden sich Menschen womöglich nicht mehr frei im öffentlichen Raum bewegen. Das ist richtig, und wird im Falle Deutschlands sogar vom Bundesverfassungsgericht bestätigt: Richter erklärten im Urteil zur Vorratsdatenspeicherung vom 2. März 2010 die “anlasslose Speicherung” für grundgesetzwidrig, da diese ein “diffus bedrohliches Gefühl des Beobachtetseins” hervorrufe. Die “unbefangene Wahrnehmung der Grundrechte” sei dadurch beeinträchtigt.
Die Macher von Überwachungsplattformen wollen diese Kritik an der Aushöhlung der Unschuldsvermutung jetzt ins Leere laufen lassen. Der INDECT-Mitarbeiter Jan Derkacz dichtet dem Projekt beispielsweise einen Datenschutzanspruch an, wenn er auf die dort beforschte Unkenntlichmachung von Gesichtern oder Nummernschildern verweist. Tatsächlich wird in INDECT eine Anwendung entwickelt, die Bilder aus Überwachungskameras teilweise anonymisiert. Derkacz zeigt aber ein durchaus fragwürdiges Verständnis von Datenschutz. Denn die Entscheidung, welche Bilder für die Polizei von Interesse sind, trifft eine Software. Die Anonymisierung entpuppt sich als eine “Maskierung”, die jederzeit wieder rückgängig gemacht werden kann.
Privatsphäre vs. polizeilich-industrielle Verwertungsinteressen
Eine grundsätzliche Problematik digitaler Überwachungsplattformen wird wenig thematisiert: Maschinen versuchen, das Risiko von Personen zu errechnen. Projekte wie INDECT wollen hierfür eine größtmögliche Anzahl weiterer “Sensoren” einbinden, etwa Mikrofone, Infrarotkameras, RFID-Lesegeräte oder auch lokalisierte Telefone. Eine deutsche Firma wirbt mit Detektoren zum Aufspüren von Alkohol in der Atemluft im Fußballstadion.
Wenn die Gefährlichkeit von AkteurInnen im öffentlichen Raum mathematisch bestimmt wird, müsste aus datenschutzrechtlicher Perspektive die Funktionsweise der eingesetzten Software bekannt sein. Eine Offenlegung des Quellcodes von Software zu “Data Mining” oder “vorhersagender Analyse” werden die Hersteller wie beim Staatstrojaner empört zurückweisen. Und doch würde mit dieser diskursiven Forderung deutlich, dass die Privatsphäre den polizeilich-industriellen Verwertungsinteressen unversöhnlich gegenübersteht.
Von PolitikerInnen und Bürgerrechtsgruppen wird hin und wieder eine Exportkontrolle von Überwachungstechnologie an autoritäre Regimes gefordert. Eine derartige Grundrechts-Firewall greift aber zu kurz: Weil es sich nicht um militärische Technologie handelt, wird der Verkauf der digitalen Werkzeuge normalerweise nicht sanktioniert. Reporter ohne Grenzen forderte deshalb gestern, die Spionagewerkzeuge mit Kriegsgerät auf eine Stufe zu stellen. Doch wer soll über die Definition eines autoritären Regimes bestimmen?
Auch das deutsche Außenministerium hatte sich erfolgreich für die Aufnahme von Abhörschnittstellen in die EU-Sanktionsliste für Syrien und den Iran eingesetzt. Schon letztes Jahr erklärte Außenminister Guido Westerwelle, Sanktionen müssten “neue Formen der Repression wie der Kontrolle des Internets berücksichtigen”. Dass eine staatliche Exportkontrolle aber von politischem Gutdünken abhängt, illustriert das Bundeswirtschaftsministerium. Die Behörde von Philipp Rösler umwarb im September Industrievertreter aus Bahrain, Katar, Kuwait, Oman, Saudi-Arabien und den Vereinigten Arabischen Emiraten. Erklärtes Ziel einer Veranstaltung in Düsseldorf war das Ankurbeln von Exporten zur technikgestützten Migrationsabwehr, Sicherung von Handelswegen, Kraftwerken und Kommunikationsinfrastruktur.
Die Bereitstellung von Abhörschnittstellen gilt in Deutschland genauso wie in Bahrain als unabdingbar, um überhaupt Aufträge zur Errichtung von Telekommunikationsanlagen zu erhalten. Diese Grundausstattung des polizeilichen Zugriffs auf digitale Kommunikation hatten US-Behörden kürzlich in einer Ausschreibung für den Irak beschrieben. Noch deutlicher hatte sich ein Sprecher von Nokia-Siemens anlässlich der Niederschlagung der Revolte im Iran vor drei Jahren ausgedrückt: Demnach hatte das deutsch-finnische Joint-Venture nur eine “Standardarchitektur” zur Überwachung geliefert.
Zur Angleichung dieser Standards treffen sich die Sicherheitsbehörden mit Herstellern und Anbietern von Telekommunikationsdiensten in informellen Arbeitsgruppen und Netzwerken. Dazu zählt beispielsweise die “Europäische öffentlich-private Partnerschaft für Robustheit” (EP3R), aber auch das bekanntere “European Telecoms Standards Institute” (ETSI). Seit über zehn Jahren macht der österreichische Internetreporter Erich Möchel gegen das Institut mobil. Im Sommer wies er darauf hin, dass die im ETSI vertretenen Behörden zunehmend in der “Cloud” ausgelagerte Daten ausforschen wollen.
“Endnutzer” und Hersteller aufs Korn nehmen!
Das ETSI unterhält ein “Technisches Komittee TC LI” (“Lawful Interception”), in dem Geheimdienste den Bedarf skizzieren und rechtliche Rahmenbedingungen erörtern. Eine weitere Arbeitsgruppe “SA3 LI” setzt diese Vorgaben der Behörden in weltweite Überwachungsstandards um. Stets mit an Bord: Das Bundesamt für Verfassungsschutz und die Bundesnetzagentur unter der Verantwortung des Wirtschaftsministeriums.
In Deutschland organisieren sich die überwachenden Behörden in der “Kommission Grundlagen der Überwachungstechnik” (KomGÜT). Auf Ebene der Landesinnenministerien betreiben die Länderpolizeien einen “Unterausschuss Information und Kommunikation” (UA IuK), der beim “Arbeitskreis II – Innere Sicherheit” der Arbeitsgemeinschaft der Innenministerien der Länder angesiedelt ist. Zu den international aktiven Akteuren gehören neben dem Bundeskriminalamt und dem Bundesamt für die Sicherheit in der Informationstechnik auch das Landesamt für Zentrale Polizeiliche Dienste (LZPD) der Landespolizei Nordrhein-Westfalens. Das LZPD übernimmt für andere Bundesländer den Versand von “Stillen SMS” und wertet Daten aus Funkzellenabfragen aus.
Warum richtet sich eine radikale Überwachungskritik also nicht gegen die Polizeien und Geheimdienste, die in internationalen Gremien die Standardisierung der weltweiten Überwachung vorantreiben? Auch in der EU-Sicherheitsforschung spielen sie eine entscheidende Rolle: Als teilnehmende Partner gelten sie als “Endnutzer”, die zu Beginn von Projekten wie INDECT den Zuschnitt der zu entwickelnden Lösung definieren dürfen. Im Verlauf der Vorhaben testen sie Prototypen und konkretisieren den Bedarf. Nach Leistungsschauen beim “Europäischen Polizeikongress” in Berlin oder der “Milipol” in Paris beschaffen sie später die serienreifen Produkte.
Wie zielsicher Proteste und Kampagnen aber die privaten Firmen treffen, hat die Skandalisierung von Trojaner-Software durch den Chaos Computer Club vor einem Jahr gezeigt. Die Öffentlichkeit begann sich dafür zu interessieren, dass die britische Gamma International an einschlägigen Verkaufsmessen für den arabischen Raum teilnimmt. Nach Medienberichten wurden Angebotsunterlagen der Firma auch nach der Stürmung eines Büros der Staatssicherheit in Kairo gefunden. Über einen Anwalt versuchte Gamma International unter Strafandrohung, die kritische Berichterstattung über Geschäftsbeziehungen mit Ägypten zu behindern.
Auch die Firma DigiTask, der damalige Hoflieferant des Bundeskriminalamts, geriet unter Druck: Ein Anwalt teilte Journalisten mit, sie sollten zukünftig verschweigen dass der Geschäftsführer vor zehn Jahren wegen Korruption zu einer mehrjährigen Haftstrafe verurteilt wurde. Es ging dabei um Bestechung in Millionenhöhe. Als Gegenleistung wollte der DigiTask-Chef bei Aufträgen des Zollkriminalamts bevorzugt werden.
Vermutlich hat die internationale Berichterstattung auch dafür gesorgt, dass sich die Aachener Überwachungssparte von Utimaco und die italienische Area Spa – jedenfalls offiziell – aus dem Geschäft mit Überwachungstechnik in Syrien zurückgezogen haben. Ähnlich ließe sich die oben bereits erwähnte Stellungnahme von Nokia-Siemens interpretieren: Viele Hersteller fürchten angesichts kritischer Presseberichte um Marktanteile. Schließlich bestellt auch die Bundesregierung ihre Trojaner nicht mehr bei DigiTask.