Für die Entwicklung der „Online-Durchsuchung“ scheint das Bundeskriminalamt (BKA) bereits gerüstet zu sein. So sieht der Haushalt des Bundesinnenministeriums für 2008 mit 200.000 Euro zwei Planstellen für die Entwicklung der speziellen Software vor. Doch das scheint nur eine Art Notinfusion zu sein. Eigentlich hatte das Bundesinnenministerium dem BKA bereits mehrere Millionen Euro an Forschungs- und Entwicklungsgeldern zugesagt. Doch diese unterliegen der so genannten qualifizierten Haushaltssperre: Der deutsche Bundestag stellt Bedingungen für ihre Verwendung. Und so lange es keine Rechtsgrundlage für die „Online-Durchsuchung“ gibt, kann er die Gelder nicht freigeben. Doch was genau ist die „Online-Durchsuchung“?

BKA-Präsident Ziercke brachte in den letzten Monaten in verschiedenen Reden, Interviews und Hintergrundgesprächen diverse Einsatzvarianten in die öffentliche Diskussion ein, die jedoch nicht zur Klärung der Lage, sondern eher zu Verwirrung und Streit führten: Beispielsweise kursierte nach einem Hintergrundgespräch mit Ziercke die „Einbrecher“-Variante: Das BKA will an Schlüssel herankommen, mit denen Verdächtige ihre Daten verschlüsseln bzw. an Passwörter für personalisierte Internetdienste herankommen. Um das zu erreichen, sollen BKA-Beamte in einem ersten Schritt in die Wohnung einbrechen, um spezielle Daten des PCs zu kopieren. Mit Hilfe dieser Daten soll eine Lauschsoftware speziell an diesen Rechner angepasst werden. Während eines erneuten Einbruchs soll diese dann direkt auf dem Zielrechner installiert werden.  Rechtlich dürfte dieses Vorgehen allerdings problematisch sein, da ein solcher Einbruch bislang nur im Rahmen des „Großen Lauschangriffs“ erlaubt ist, bei dem „technische Mittel zur akustischen Überwachung von Wohnungen“ eingesetzt werden dürfen.

Der Referentenentwurf des BKA-Gesetzes versteht jedenfalls unter der „Online-Durchsuchung“ bislang nur „den automatischen Einsatz technischer Mittel aus informationstechnischen Systemen“, mit denen „Daten“ erhoben werden können. Auf Antrag des Präsidenten des Bundeskriminalamtes oder seines Vertreters dürfe ein Gericht die Maßnahme anordnen. Darin müsse der Name und die Anschrift des Verdächtigen angegeben werden, „eine möglichst genaue Bezeichnung des informationstechnischen Systems“, Suchbegriffe sowie die Art, Umfang und Dauer der Maßnahme“.

Sehr viel präziser wird der Entwurf nicht. Er legt nicht fest, welche Maßnahme genau unter welchen Voraussetzungen zum Einsatz kommen soll und darf. Leider trägt das BKA selbst nicht zur Klärung bei. Eine lange Frageliste von Bundestagsabgeordneten hat das Bundesinnenministerium übrigens bis heute nicht zufrieden stellend beantwortet. So bleibt der interessierten Öffentlichkeit nur die mit informationstechnischem Wissen angereicherte Spekulation:

Die Durchsuchungssoftware könnte etwa mit Hilfe einer infizierten E-Mail auf den verdächtigen Rechner gelangen. Doch ein Anti-Virenprogramm könnte das schnell entdecken. Ein Alternative bestünde darin, Internetanbieter und Softwarehäuser dazu zu verpflichten, die Software in unverdächtige Programme einzuschleusen. Fraglich wäre nur, ob so etwas tatsächlich geheim bliebe. Schließlich könnte das BKA selbst die vielen Sicherheitslücken für eigene Zwecke ausnutzen – doch dafür bräuchte die Behörde entsprechend versierte und verschwiegene Fachleute. Entsprechende Anwerbungsversuche im Umfeld das Chaos Computer Clubs sollen nicht erfolgreich gewesen sein.

All diese Methoden setzen voraus, dass der Verdächtige bereits identifiziert ist. Was aber tun, wenn der Verdächtige zunächst unbekannt ist? Um Nutzer, die ihre wahre Identität geschickt hinter anderen, von ihnen manipulierten Internetrechnern verbergen, auf die Schliche zu kommen, entwickelte die amerikanische Bundespolizei FBI eine weitere Möglichkeit: Eine Software namens „CIPAV“ – das Kürzel steht für „Computer and Internet Protocol Address Verifier“. Damit überführte das FBI im Juni einen Schüler, der per Mail mehrfach Bombendrohungen an eine Schule geschickt hatte. Weil der Täter die Kontaktplattform Myspace nutzte, schmuggelte das FBI über eine scheinbar harmlose Myspace-Nachricht die Schnüffelsoftware auf den Rechner des Schülers.

Dort erfasste sie Daten wie das Betriebssystem, den bei der Windows-Registrierung angegebenen Nutzernamen, Teile der Windows-Registrierungsdatenbank sowie die Namen aller laufenden Programme. Außerdem stellte es die für den Internetzugang verwendete IP-Adresse, MAC-Adresse der Netzwerkkarte sowie die Liste der offenen Ports fest. Schließlich kann das Programm die Internetnutzung überwachen, indem es bis zu 60 Tage jede IP-Adresse protokolliert, mit der sich der Rechner in Verbindung setzt. Die gesammelten Informationen schickt es über das Internet dann an einen FBI-Computer zurück. Im Fall des Schülers reichten diese Daten aus, um ihn zu identifizieren und zu überführen.

All diese Szenarien kommen bislang ohne die Suchbegriffe aus, die das BKA laut Gesetzesentwurf dem Richter angeben muss, der die Aktion genehmigen soll. Diese Suchbegriffe sind jedoch dringend nötig, um der Datenflut bei einer Festplattendurchsuchung Herr werden zu können. So lassen sich nur mit ihrer Hilfe unstrukturierte Daten wie Daten-Dateien, E-Mails und Internet-Dateien effektiv untersuchen.

Die Daten lassen sich aber nicht so ohne weiteres einfach durchsuchen: Sie liegen entweder verschlüsselt oder im Klartext vor. Mitunter lassen sie sich nur mit einem Passwort öffnen. Die Dateien können Texte und Tonaufnahmen in verschiedenen Sprachen, Videos, Grafiken und Bilder enthalten. Möglicherweise sind in grafischen Dateien weitere Inhalte versteckt. Schließlich lassen sich Dateien in der Regel nur mit dem Software-Werkzeug lesen, mit dem sie erstellt wurden. So kann man etwa Daten einer Oracle-Datenbank nur mit dem zugehörigen Oracle-Programm richtig lesen.

Den direktesten Weg, um diese Daten auszuwerten, bietet der „Indexdienst“ des Windows-Betriebssystems, sagen Sicherheitsexperten. Dieser Dienst ist allgemein verfügbar und oftmals auf dem PC angeschaltet. Praktisch: Er extrahiert aus den Daten-Dateien die Dokumenteigenschaften wie Autor, Erstellungsdatum und Thema sowie Stichworte aus dem Dokumententext. Diese speichert sie dann in einem „Index“. Wenige Zeilen Code genügen, um die BKA-Suchbegriffe mit der vorhandenen Windows-Index-Datei automatisch abzugleichen, sagt Annette Brückner.

Brückner ist Geschäftsführerin der Münchner Softwarefirma Polygon Visual Content Management GmbH, die Softwareanwendungen für das Fallmanagement und die Informationslogistik von Sicherheitsbehörden entwickelt. Für die Übertragung der Treffer an die Polizei per E-Mail genüge „ein weiteres kleines Stückchen Software“, meint die Datenbankexpertin. Falls der Nutzer den Indexdienst von Windows deaktiviert hat, lassen sich wahlfrei auch die Desktop-Suchdienste von Google oder Yahoo einsetzen. Falls der Nutzer sie denn auf seinem Rechner installiert hat.

Vergleichsweise einfach lassen sich hingegen strukturierte Daten wie Protokolldateien, in denen das System Nutzeraktivitäten verzeichnet, auswerten. Auch die Metadaten im Kopf einer E-Mail geben nach einer halbautomatischen Analyse schnell Auskunft auf Fragen wie: Wer hat an wen eine Mail verschickt? Welchen Weg hat die Mail im Internet genommen? Herkömmliche Data-Mining-Systeme müssen verschiedene Objekte wie „Person“, „Datum“ oder „IP-Nummer“ nur miteinander in Beziehung setzen.

Schwieriger ist eine solche Auswertung bereits bei Dateien mit Dateninhalten wie etwa Textdateien oder Tabellenkalkulationen. Hier können linguistische Verfahren herausfinden, von welchen Personen oder Gegenständen die Rede ist. So lange man aber nur weiß, dass von „Schnee“ und „Kolumbien“ die Rede ist, weiß man noch lange nicht, ob es sich im Text um alpinen Wintersport oder um Kokainhandel dreht. Nur wenn die Beziehung der einzelnen Wörter bzw. der Personen und Gegenstände klar ist, wäre erkennbar, ob es sich hier um verdächtiges Verhalten handelt. Automatisch lässt sich bislang jedoch nur  eine Zuordnung zum jeweiligen Dokument vornehmen. Entsprechende Verfahren soll, so raunen Experten im Umfeld des Deutschen Bundestags, der Bundesnachrichtendienst bereits entwickelt und nun auch bereits zum Ausprobieren dem Bundeskriminalamt weitergegeben haben.

Dass das Herausfiltern verdächtiger Terroristen, Menschen- und Waffenhändler, Wirtschaftskrimineller oder Kinderpornografen keineswegs einfach ist, zeigt ein Projekt der US-Geheimdienste. Sie beklagen in einer Projektausschreibung die langen Analysezeiten von „Tagen bis Wochen“, die mitunter zu  Falschverdächtigungen führten. Im Oktober 2006 begann das US-Verteidigungsministerium im Auftrag der Geheimdienste mit der Entwicklung eines „vollautomatischen, kontinuierlich arbeitenden Analysesystems für Geheimdienstinformationen“ namens „Tangram“. Die Gesamtkosten werden mit knapp 50 Millionen US-Dollar beziffert.

Ziel ist es, aus großen heterogenen Datenmengen Muster von Terrorverdächtigen zu erkennen. Dabei soll das Programm Personen, Aktivitäten und Verhaltensmuster über ein Modell namens „Schuld durch Verbindung“ ausfindig machen. Dazu untersucht und bewertet es die Verbindungen von bereits eindeutig identifizierten Terrorverdächtigen zu anderen Personen und generiert ständig neue Hypothesen über mögliche Absichten, logistische Aktivitäten und mögliche Ziele. Ergebnisse soll Tangram innerhalb „von Minuten bis Stunden“ liefern, spätestens im Jahre 2010.

Die Autorin




Christiane Schulzki-Haddouti

Christiane Schulzki-Haddouti ist Dipl.-Kulturpädagogin und befasst sich als wissenschaftliche Mitarbeiterin der Hochschule Darmstadt mit kooperativen Technologien in Arbeit und Ausbildung im Rahmen einer Studie für den Projektträger Innovations- und Technikanalyse (ITA) des Bundes-ministeriums für Bildung und Forschung (BMBF). Seit 1996 ist Christiane Schulzki-Haddouti freie Journalistin. Seither hat sie in zahlreichen Tageszeitungen, Online-Medien, Fachzeitungen und Fachzeitschriften veröffentlicht. Sie hat mehrere Bücher verfasst und herausgegeben. Ihre Berichterstattung befasst sich durchgängig mit der gesellschaftlichen Relevanz von Informationstechnologien sowie relevanten Technologietrends.


Bücher von Christiane
Schulzki-Haddouti (Auswahl)




Vergessen? Verschwiegen? Verdrängt?
 Zehn Jahre Initiative
 Nachrichtenaufklärung.
Christiane Schulzki-Haddouti,
Horst Pöttker (Hrsg.),
UVK Verlag, 2007





Im Netz der inneren Sicherheit
Christiane Schulzki-Haddouti,
Europäische Verlagsanstalt, 2004





Bürgerrechte im Netz
Christiane Schulzki-Haddouti (Hrsg.),
Bundeszentrale für politische Bildung, 2003



Weitere Beiträge der Autorin: