E-Mail-Überwachung
aus Wikipedia, der freien Enzyklopädie
E-Mail-Überwachung ist die konkrete Ausgestaltung der Überwachung (siehe Überwachungsstaat) auf den Dienst E-Mail.
Inhaltsverzeichnis |
[Bearbeiten] Rechtslage in Deutschland
Nach Telekommunikationsgesetz (TKG) § 110 und Telekommunikations-Überwachungsverordnung müssen seit dem Jahr 2005 alle Betreiber, die Telekommunikationsdienste für die Öffentlichkeit anbieten, d. h. öffentliche E-Mail-Server betreiben, die mehr als 1.000 Teilnehmeranschlüsse haben, „überwachungsbereit“ sein. Das heißt: Sobald eine E-Mail-Überwachung angeordnet wird, muss sie unverzüglich durchgeführt werden können. Dabei ist der Begriff Teilnehmeranschluss nicht klar definiert.
[Bearbeiten] Kosten
Die Kosten, sowohl für die Vorhaltung der Überwachungstechnik als auch für die konkrete Durchführung, hat der Betreiber zu tragen. Entsprechende Lösungen kosten ab etwa 20.000 Euro.
[Bearbeiten] Wer darf die Überwachung anordnen?
Je nach Fall und Rechtsgrundlage in der Regel:
- ein Richter
- ein zuständiger Bundesminister oder Landesminister
- Polizei
- Zoll
- Bundesamt für Verfassungsschutz
- ein Landesamt für Verfassungsschutz
[Bearbeiten] Wie funktioniert die Überwachung?
Es wird anhand von E-Mail-Adressen überwacht. Der komplette E-Mail-Verkehr muss dazu im Mail-Server oder einem separaten Filter auf die Existenz einer gesuchten E-Mail-Adresse im verwendeten Protokoll (z. B. SMTP, POP3, IMAP, Webmail) überprüft werden. Wurde eine solche E-Mail-Adresse gefunden, werden mindestens die Verbindungsdaten (z. B. Absender, Empfänger, Datum, Uhrzeit etc.) meist jedoch auch eine Kopie der kompletten E-Mail per FTP auf einen Server der überwachenden Behörde (= Bedarfsträger) übertragen. Die Verbindung zwischen E-Mail-Server/-Filter und Behörden-Server (Monitoring-Center) wird durch ein VPN verschlüsselt, damit kein Unbefugter von der Überwachungsmaßnahme als solches oder dem Inhalt der überwachten E-Mails erfährt.
Der Inhalt von Mail-Nachrichten kann jedoch durch einfache technische Mittel, wie etwa asymmetrische Kryptographie, die ein hohes Maß an Sicherheit bietet, chiffriert werden. Somit ist für den Bedarfsträger nur mehr das Vorhandensein einer Kommunikation nachvollziehbar, deren Inhalt bleibt ihm verborgen. Solche Verschlüsselungen können in vielen Fällen nur durch das Abfangen der noch oder wieder unverschlüsselten Kommunikationsinhalte beim Sender oder Empfänger umgangen werden. Dies kann durch eine Online-Durchsuchung realisiert werden, wofür einige Politiker zur Zeit gesetzliche Grundlagen fordern.
[Bearbeiten] Ungeklärte Fragen
- Wie zählt man Teilnehmeranschlüsse?
„Ein Teilnehmer ist jede natürliche oder juristische Person, die mit einem Anbieter von Telekommunikationsdiensten einen Vertrag über die Erbringung derartiger Dienste geschlossen hat.“
– Bundesnetzagentur: FAQ – Häufig gestellte Fragen der Betreiber von E-Mail-Servern oder Anbieter von E-Mail-Diensten
- Dies würde nahelegen, dass eine natürliche oder juristische Person auch dann als nur ein Teilnehmer zählt, wenn diese Person bspw. 1000 E-Mail-Accounts nutzt. Wie wird gezählt, wenn eine Firma (= juristische Person) für ihre 1000 Mitarbeiter 1000 E-Mail-Accounts bei einem externen E-Mail-Dienstleister nutzt? Ist dann der Teilnehmer die eine Firma oder sind es die 1000 Mitarbeiter?
- Darf ein Mailserver-Betreiber darüber informieren, dass in seinem konkreten Fall der E-Mail-Verkehr überwacht wird?
- Ein Betreiber von E-Mail-Servern darf seine Kunden sicherlich darüber informieren, dass er den gesetzlichen Anforderungen des Telekommunikationsgesetz (TKG) und der Telekommunikations-Überwachungsverordnung (TKÜV) unterliegt und diesen gerecht wird, was sowieso klar sein sollte, da es sich ja um eine gesetzliche Verpflichtung handelt. In der Praxis werden die Betreiber gegenüber ihren Kunden mit dem Thema aber eher defensiv umgehen, da dies sicher kein besonders positives Marketingsignal ist, obwohl dem Kunden klar sein sollte, dass jeder Betreiber die Überwachung auf die ein oder andere Art ermöglichen muss (auch bei weniger als 1000 Teilnehmern).
- Der Betreiber darf jedoch keinesfalls einen aktuell überwachten Teilnehmer über die laufende Überwachung informieren, da dieser dann ja gewarnt wäre. Auf der anderen Seite besteht jedoch die Verpflichtung für die Behörde, dass der betroffene Teilnehmer nach Abschluss der Überwachungsmaßnahme über Art und Umfang der durchgeführten Überwachung informiert wird.
[Bearbeiten] Siehe auch
[Bearbeiten] Literatur
- Waltraud Kotschy, Sebastian Reimer: Die Überwachung der Internet-Kommunikation am Arbeitsplatz (PDF), ZAS 2004, 29
- Florian Meininghaus: Der Zugriff auf E-Mails im strafrechtlichen Ermittlungsverfahren, Dissertation Universität Passau 2007
[Bearbeiten] Weblinks
- Bundesnetzagentur (ehemals RegTP)
- Informationen zur Technischen Umsetzung von Überwachungsmaßnahmen
- Zusätzliche Informationen für die Betreiber von E-Mail-Servern
- Downloads: siehe TR-TKÜ und Dokumente für die Betreiber von E-Mail-Servern
- Heise-Artikel zu den Kosten der E-Mail-Überwachung
- Eco – Verband der deutschen Internetwirtschaft e. V.