Die europäischen Ermittlungsbehörden fürchten, dass 5G die Überwachung Verdächtiger unmöglich macht  (Bild: pixabay/TheDigitalArtist)

Soll Europol Mitglied im 3GPP-Standardisierungsgremium werden und die Security-Definitionen verwässern? Oder dürfen 5G-Lizenzen nur an jene Provider vergeben werden, die vorgeschriebene Schnittstellen einrichten und damit Schutzmechanismen aushebeln? Der Anti-Terror-Koordinator der Europäischen Union fürchtet, die Ermittler könnten ins Hintertreffen geraten und sucht nun nach Auswegen.

Während sich die EU-Kommission um höchstmögliche Sicherheit der 5G-Netzen bemüht, gehen den europäischen Ermittlern die Cybersecurity-Maßnahmen des neuen Mobilfunkstandard zu weit. Das enthüllt ein offizielles Schreiben des EU-Anti-Terror-Koordinators Gilles de Kerchove unter dem Titel „Law enforcement and judicial aspects related to 5G“. Der österreichische Rundfunk ORF hat darüber zuerst berichtet.

Das Dokument befasst sich mit den Sicherheitsmechanismen des neuen Mobilfunkstandards 5G und beschreibt, welche technischen Aspekte den Interessen der Ermittlungsbehörden zuwiderlaufen und wie sichergestellt werden könnte, dass auch im neuen Mobilfunkstandard eine Überwachung der Kommunikation möglich wird. Adressiert ist das Schreiben an Arbeitsgruppen von Polizei und Sicherheitsbehörden sowie an die Vertreter der Mitgliedsstaaten.

Zu sicher für die Schlapphüte

Im März stand das Thema Cybersicherheit der 5G-Netze auf der Agenda der Europäischen Kommission. Tenor der Experten war, dass sowohl auf nationaler als auch auf europäischer Ebene Präventivmaßnahmen entwickelt werden sollen, um die Sicherheit der 5G-Netze zu stärken und zu gewährleisten. Aspekte wie die Verhinderung von Hackerangriffen von außen, die Zuverlässigkeit der Betreiber, aber auch der Technik-Lieferanten – wie derzeit anhand von Huawei diskutiert – sollen dabei berücksichtigt werden. Die Umsetzung wird dann koordiniert erfolgen.

In Reaktion auf diese Entwicklung stellte die Strafverfolgungsbehörde der Europäischen Union, Europol, Mitte April in der Arbeitsgruppe Polizei und Strafverfolgung (RAN POL) der Europäischen Kommission die Herausforderungen vor, die 5G mit seinen hohen Sicherheitsstandards für die Ermittlungsarbeit der Polizei darstellt.

Der Anti-Terror-Koordinator der Europäischen Union knüpft an das Europol-Positionspapier an und fordert einen Kompromiss ein zwischen den verschiedenen Dimensionen von 5G: Wettbewerbsfähigkeit, Technologieführerschaft, Cybersecurity, wirtschaftlichen und geopolitischen Belangen und eben auch der Anforderungen der Sicherheitsbehörden.

Zu den wichtigsten technischen Hürden für Strafverfolger und Geheimdienste zählt de Kerchove die Ende-zu-Ende-Verschlüsselung (E2EE), die noch nicht beschlossen sei, aber ins nächsten Release der Standardisierung einfließen könnte, ebenso die Verschlüsselung der IMSI-Kennung. Der strikte Authentifizierungsprozess hebele den Einsatz von IMSI-Catchern aus. Dieses Ermittlungstool basiert darauf, Handys eine Basis-Station vorzugaukeln, an der sie sich einloggen können. Dadurch können die Strafverfolger die Kommunikation mitschneiden.

Zentrale Knotenpunkte fehlen

Ein weiterer Punkt ist die virtuelle, verteilte Struktur der Netze in Kombination mit Network-Slicing. Durch die Trennung von Network-Provider und Service-Provider habe keiner von ihnen Zugriff auf die vollständige Kommunikation – außer sie würden dazu gezwungen. Ebenso führt der Anti-Terror-Beauftragte das Multi-Access-Edge-Computing (MEC) an. Diese dezentralisierten Clouds tragen dazu bei, dass Kommunikationspartner über dezentrale Strukturen in Austausch treten, ohne dass die Daten über zentrale Knotenpunkte laufen, wo sie von Ermittlungsbehörden abgegriffen werden können. Auch Zugriffssperren oder Traffic-Umleitungen, wie sie derzeit eingesetzt werden, würden dann nicht mehr funktionieren. Nicht zuletzt müsste eine Überwachung in 5G-Netzen häufiger grenzüberschreitend, und damit unter unterschiedlichen Gerichtsbarkeiten, organisiert werden, was zu zeitlichen Verzögerungen führen könnte. Zudem werde es schwieriger, falsche von echten Beweisen zu unterscheiden.

Andererseits sieht de Kerchove auch das hohe Potenzial von 5G mit seiner hohen Zuverlässigkeit und geringen Latenz als Basis für Mission Critical Communication von Ermittlungsbehörden, Rettungskräften und Katastrophenhelfer. Daher gelte es, das Netz vor Cyberangriffen zu schützen und die dauerhafte Verfügbarkeit sicherzustellen.

Vorgeschlagene Gegenmaßnahmen

Der Autor des Papieres empfiehlt, einen Vertreter in der 3GPP-Untergruppe SA3-LI zu platzieren, die sich auch mit rechtmäßiger Überwachung zu befassen. Ihm ist bewusst, dass die im Standardisierungsgremium vertretenen Unternehmen eine Stimmenmehrheit innehaben. Zumindest könne man hier aber dafür werben, die Anforderungen der Strafverfolger freiwillig in den Standard aufzunehmen, bevor diese auf gesetzlichem Weg durchgesetzt würden.

Als zweiten Punkt sieht de Kerchove die Notwendigkeit für einheitliche gesetzliche Regelungen. Zum einen die Verpflichtung der Provider, bei Bedarf eine vollständige Kopie der Kommunikation für Ermittlungsbehörden bereitzustellen. Dazu müssten alle Provider vollständig registriert werden, die im Gemeinschaftsgebiet der EU tätig werden wollen. Die Gedankenspiele des Anti-Terror-Beauftragten reichen jedoch weiter – bis hin zur Regelung der zulässigen Netzwerk-Infrastruktur.

Zum anderen um grenzüberschreitende Abhörmaßnahmen ohne Zeitverzögerung zu ermöglichen und die gesetzeskonforme Beweisführung sicherzustellen. Generell sollten Vertreter von Strafverfolgung, sowohl von Europol als auch von Eurojus, der Einheit für Zusammenarbeit der Justizbehörden, von der EU-Kommission enger in die Beratungen über Cybersecurity einbezogen werden.

Deutsche Landes-Justiz- und Innenminister ziehen nach

Wie Spiegel Online berichtet, sehen auch die Verantwortlichen der deutschen Bundesländer künftige Abhörerfolge gefährdet und schließen sich den Bedenken des EU-Anti-Terror-Koordinators an. In gleichlautenden Beschlussvorlagen der Frühjahrskonferenzen von Justizministern und der Innenministern der Länder werde von der Bundesjustizministerin gefordert, sie solle sich dafür einsetzen, dass in den noch ausstehenden technischen Spezifikationen für den 5G-Standard sowie bei der immer noch laufenden Vergabe der Funkfrequenzen „die Anforderungen der Strafverfolgung berücksichtigt werden“. Ebenso würden entsprechende Anpassungen im Telekommunikationsgesetz, im Telemediengesetz sowie in der Strafprozessordnung verlangt.