Surveillance TechnologyInternet GovernanceLegal and Policy Analysis

Die technische Architektur der deutschen Online-Überwachung, Zensur und Kontrolle

Publius

Tags: Germany; online monitoring; censorship; state capabilities; technical infrastructure

Einführung

Der deutsche Staat und seine europäischen Partner haben ein umfassendes System zur Überwachung, Zuschreibung und Kontrolle von Online-Aktivitäten aufgebaut – und bauen es weiterhin aus. Dieses Papier beschreibt die wahrscheinlichen technischen Fähigkeiten dieses Systems: die eingesetzten oder in Entwicklung befindlichen Technologien, die rechtlichen Befugnisse, die es steuern, und die Gesamtkapazität, die sie im Verbund ergeben.

Die nachfolgende Darstellung ist inferentiell. Sie stützt sich auf öffentlich verfügbare Quellen – Gesetzestexte und Gesetzesentwürfe, staatlich finanzierte Forschungsprogramme, Vergabeverfahren, veröffentlichte technische Standards, Nachrichtenberichterstattung sowie bekannte Fähigkeiten kommerziell erhältlicher Überwachungs- und Analysetools – um ein Bild der plausiblen Systemkapazitäten zu zeichnen. Keine einzelne Quelle ist ausreichend; das Bild entsteht aus der Kombination. Wo im Papier eine Fähigkeit beschrieben wird, bedeutet dies, dass die technische Infrastruktur existiert oder aufgebaut wird, die rechtliche Ermächtigung zur Nutzung vorhanden ist oder angestrebt wird, und der operative Einsatz mit den öffentlich bekannten Informationen übereinstimmt. Es bedeutet nicht, dass die Fähigkeit in jedem Detail durch eine amtliche Offenlegung bestätigt wurde.

Dieses Papier behandelt rechtliche Einschränkungen für den Einsatz dieser Technologien nicht als relevante Begrenzung der Systemfähigkeiten. Das deutsche Recht enthält umfassende Ausnahmen für den Einsatz von Techniken durch Nachrichtendienste und Strafverfolgungsbehörden, die für private Akteure als Straftaten gelten würden; die Entstehungsgeschichte der einschlägigen Gesetze – aufeinanderfolgende Fassungen, die vom Gericht kassiert und in abgeänderter Fassung wieder eingesetzt wurden – legt nahe, dass rechtliche Grenzen in diesem Bereich faktisch verhandelbar sind. Die Frage, was der Staat darf, ist von der Frage zu unterscheiden, was er kann; das Papier widmet sich Letzterem.

Ebenso behandelt dieses Papier weder außergerichtliche Durchsetzung noch den Einsatz künstlicher Intelligenz in Überwachung oder automatisierten Entscheidungsprozessen, noch die Umgehungstechnologien und aufkommenden Alternativen, die Teile dieser Infrastruktur wirkungslos machen könnten. Jeder dieser Aspekte wird in eigenen Folgepapieren näher behandelt. Ziel ist es hier nicht, eine präzise Grenze zwischen Möglichem und Unmöglichem zu ziehen, sondern einen breiten Überblick über die wahrscheinliche Ausgestaltung des Systems zu geben.

Die Reichweite des Systems ist insgesamt weit gefasst:

  • Kommunikation. Massenhafte Überwachung, Vorratsspeicherung von Metadaten und Gerätekompromittierung.
  • Identität. Rückverfolgbarkeit von IP-Adressen bis zum Teilnehmer und obligatorischer Identitätsbindung.
  • Standort. Mobilfunk, WLAN, Videoüberwachung, Kennzeichenerkennung und Funküberwachung.
  • Inhalt. Entfernung von Plattforminhalten, ISP-Filterung, DNS-Blockierung und Suchmaschinen-Deindexierung.
  • Finanzen. Transaktionsüberwachung und kontoebene Steuerung nach PSD2, MiCA und Geldwäschevorschriften.
  • Reichweite. Grenzüberschreitender Datenaustausch und extraterritoriale Durchsetzung nach EU-Instrumenten.

Sammel-, Zuschreibungs- und Kontrollfähigkeiten dienen allen staatlichen Zielen unterschiedslos. Ein Werkzeug zur Auffindung von Drogenhändlern kann ohne technische Anpassung Dissidenten finden; eine zur Steuerfahndung aufgebaute Datenbank kann ohne technische Anpassung auch politische Gesinnung erfassen. Die Architektur ist nicht nach Zwecken getrennt.

Sammlung und Überwachung

Die erste und bekannteste Schicht der Architektur besteht aus passiver und obligatorischer Datenerhebung: Erfassung laufender Kommunikation und Speicherung von Metadaten.

Massenerfassung der Kommunikation

Massenerfassung von Kommunikation ist in Deutschland vor allem Aufgabe des Bundesnachrichtendienstes (BND), des Bundesnachrichtendienstes für Auslandsaufklärung, im Rahmen des Artikel 10-Gesetzes. Erfassungspunkte sind unter anderem große Internet-Knoten wie DE-CIX in Frankfurt, Langstreckenverbindungen und die europäischen Landepunkte internationaler Unterseekabel. Technisch erfolgt an diesen Standorten eine selektorgestützte Filterung: Der vollständige Datenstrom wird an Hand von Identifikatoren in Echtzeit überprüft; übereinstimmende Flüsse werden gespeichert und weiterverarbeitet, der Rest verworfen. Der Umfang der Operation, die verwendeten Selektoren und Aufbewahrungsfristen sind eingestuft.

Vorratsdatenspeicherung von Metadaten

Die Vorratsdatenspeicherung von Metadaten ist konzeptionell von der Erfassung separiert. Nach einer Regelung, meist als Vorratsdatenspeicherung bezeichnet, sind Telekommunikationsanbieter und Internetdienstleister verpflichtet, Verkehrs- und Standortmetadaten – Teilnehmeridentität, Verbindungsdaten, IP-Protokollierungsdaten, Zellstandorte u.ä. – für eine gesetzliche Frist zu speichern, innerhalb derer Strafverfolgungsbehörden Zugriff verlangen können. Die deutsche Umsetzung hatte eine umstrittene Rechtsgeschichte: Mehrfach wurden Gesetzesfassungen vom Bundesverfassungsgericht sowie vom Europäischen Gerichtshof aufgehoben und daraufhin in veränderter Form wieder eingesetzt. Die zugrundeliegende Fähigkeit und der politische wie regulatorische Druck zu ihrer Aufrechterhaltung haben alle diese Runden überdauert.

Zuschreibung und Identität

Die Sammlungsschicht erfasst Daten. Die Schicht Zuschreibung und Identität verknüpft diese Daten mit konkreten natürlichen Personen. Für die meisten alltäglichen Durchsetzungszwecke ist die Zuschreibung der begrenzende Faktor, weil abgefangene Rohdaten oder aufbewahrte Metadaten für die Strafverfolgung wenig nützen, solange sie keiner namentlichen Person zugeordnet sind.

IP-zu-Teilnehmer-Zuordnung

Das zentrale Verfahren, mit dem eine IP-Adresse oder ein Online-Kennzeichner auf eine namentlich bekannte Person zurückgeführt wird, nennt sich Bestandsdatenauskunft. Die einschlägigen Vorschriften in der Strafprozessordnung und im Telekommunikationsgesetz ermächtigen Strafverfolger, Internetdienstanbieter zur Herausgabe von Teilnehmendendaten zu einer gegebenen Netzwerkadresse zu verpflichten. Das ist das routinemäßige technische Bindeglied zwischen einer Netz-Aktion – einem Post, einer Nachricht, einem Datei-Transfer – und einer identifizierbaren Person; darüber werden die meisten Ermittlungen im Zusammenhang mit Online-Kommunikation eingeleitet. Zugleich macht dieses Verfahren die Vorratsdatenspeicherung überhaupt brauchbar, indem gespeicherte Metadaten auf Abruf Personen zuordnungsfähig werden.

Physische Zuschreibung

Physische Zuschreibung bezeichnet die Fähigkeiten, mittels anderer als Netzwerkdaten den physischen Aufenthaltsort, die Bewegung oder Identität einer Person bzw. eines Geräts zu bestimmen. Hierzu zählen:

  • Funküberwachung und Time-of-Flight-Positionsbestimmung von Sendern, die ein sendendes Gerät auf PHY-Ebene lokalisieren, unabhängig von MAC- oder IMSI-Rotation in höheren Schichten.
  • IMSI-Catcher, die als Schein-Basisstationen Mobilfunkkennungen erfassen und ggf. Verschlüsselung herabstufen.
  • Videoüberwachung (CCTV) und automatische Kennzeichenerkennung im städtischen und Autobahnkontext, gespeist in Datenbanken des Bundeskriminalamts (BKA) und der Länderpolizeien.
  • War-Driving- und Funkfingerabdruckdatenbanken, sowohl kommerziell (WiGLE-Typ) als auch behördlich, in denen beobachtete Standorte von WLAN-Accesspoints und Bluetooth-Geräten verzeichnet werden.

Der praktische Wert physischer Zuschreibung liegt in der schichtenübergreifenden Korrelation: Die Kombination von Netzwerk-, Mobilfunk-, Funk- und Videodaten ermöglicht es, Umgehungstechniken auf einer einzelnen Schicht zu neutralisieren, gegen die diese isoliert wirksam wären.

Identitätsbindung

Identitätsbindung meint die strukturelle Einschreibung von Individuen in Systeme, die Online-Aktivitäten mit verifizierter rechtlicher Identität verknüpfen. Das geschieht auf zwei Ebenen.

Auf Betriebssystem- und Wallet-Ebene sind der deutsche Personalausweis mit Online-Ausweisfunktion und die im Rahmen von eIDAS 2 eingeführte Europäische Digitale Identitätswallet die wichtigsten Instrumente – beide bieten eine kryptografisch verifizierte Identität zur Vorlage bei Online-Diensten.

Auf Plattformebene erfüllen Klarnamenpflichten (im deutschen Diskurs Klarnamenpflicht) und Altersverifikationsvorgaben nach dem Jugendmedienschutz-Staatsvertrag (JMStV) sowie aufkommende EU-Vorgaben eine ähnliche Bindungsfunktion, jedoch vermittelt über kommerzielle Akteure statt über staatlich herausgegebene Berechtigungen. Beide Schichten haben legitime Zwecke – Betrugsprävention, Verbraucherschutz, Authentifizierung von Transaktionen, Jugendschutz – reduzieren jedoch durch die eingesetzten Technologien die praktikablen Anonymitätsoptionen für normale Nutzer.

Software-Attestierung

Software-Attestierung ist eine vierte Komponentenebene der Zuschreibung. Der EU Cyber Resilience Act (CRA), die NIS2-Richtlinie und sektorspezifische Regeln schreiben Sicherheitsanforderungen für digitale Produkte am Markt vor. Der CRA fordert im Wortlaut keine generelle Code-Signierung aller Software. Doch das Zusammenspiel aus CRA, NIS2 und begleitenden Plattformregelungen – Google Play Entwicklerverifizierung, Apple-Notarisierung, die für die eIDAS-2-Wallet vorgesehene Attestierungsarchitektur und das aufkommende Zertifizierungs- und Konformitätsregime des Bundesamts für Sicherheit in der Informationstechnik (BSI) – schafft eine technische und regulatorische Infrastruktur, auf deren Basis eine verpflichtende Signierung sämtlicher Software auf Massenmarktgeräten künftig umsetzbar wäre. Ob dieser Schritt politisch vollzogen wird, bleibt abzuwarten; die Infrastruktur dafür entsteht bereits jetzt.

Gerätekompromittierung

Die in diesem Abschnitt beschriebenen Fähigkeiten nutzen Methoden, deren Anwendung durch Private nach deutschem Recht (insbesondere nach den StGB-Vorschriften zu unbefugtem Datenzugriff und -abfangen) als gravierende Straftaten verfolgt wird. Ihr staatlicher Einsatz stützt sich auf gesetzliche Ermächtigung, nicht auf eine technische Unterscheidung zu privaten Varianten.

Der Bundestrojaner

Der deutsche Staat betreibt eine Fähigkeit, in der Presse als Bundestrojaner bezeichnet, zur verdeckten Installation von Software auf Zielgeräten. Die Rechtslage unterscheidet zwei Varianten: Quellen-Telekommunikationsüberwachung (Quellen-TKU), die laufende Kommunikation auf dem Gerät vor Verschlüsselung abgreift, und Online-Durchsuchung, die umfangreiche Suche gespeicherter Daten auf kompromittierten Geräten umfasst. In beiden Fällen beruhen die Verfahren technisch auf der Ausnutzung von Software-Sicherheitslücken, teils bislang unbekannter (“Zero-Day”), um Zugriff auf vom Nutzer kontrollierte Hardware zu erhalten. Die Methode ist in Vorgehen und verwendeten Exploits von kriminellen Eingriffen nicht zu unterscheiden; das Unterscheidungsmerkmal ist ein richterlicher Beschluss.

Client-Side Scanning

Client-Side Scanning folgt derselben Logik: Ohne Wissen und Zustimmung des Nutzers auf dessen Gerät installierte Software analysiert dessen Daten. Der EU-Vorschlag zu Chatkontrolle – formal die Verordnung zur Bekämpfung des sexuellen Missbrauchs von Kindern (CSAR) – würde Betreiber verschlüsselter Messenger verpflichten, Nachrichteninhalte auf Nutzergeräten vor Verschlüsselung gegen Datenbanken verbotenen Materials zu prüfen. Die EU-„Going Dark High-Level Expert Group“ empfiehlt weitergehende Zugriffspflichten für Gerätehersteller, Plattformen und Krypto-Messaging-Dienste. Die deutsche Haltung hierzu ist uneinheitlich: Bundesbehörden befürworten einzelne Varianten, in den Ratsverhandlungen bremste die Bundesregierung aber teils. Die technische Eigenschaft von Client-Side Scanning, sofern vorgeschrieben, ist das eines Spyware-ähnlichen Programms auf dem Nutzergerät – ohne Zustimmung, im Verhalten von kommerzieller Spyware praktisch nicht unterscheidbar, allein die Autorisierung ist unterschiedlich.

Missbrauch von Zertifizierungsstellen

Das TLS-Ökosystem beruht auf Zertifizierungsstellen, deren Signaturen von Browsern und Betriebssystemen vertraut wird. Ein Staat kann von einer im Inland ansässigen Zertifizierungsstelle verlangen, auf Bestellung ein Zertifikat auszustellen, oder dafür sorgen, dass ein solches Zertifikat von den Standardbrowsern seiner Bürger akzeptiert wird, um so Man-in-the-Middle-Angriffe auf ansonsten verschlüsselte Kommunikationen durchzuführen. Der eIDAS-2-Rahmen sieht Regelungen zu Qualified Website Authentication Certificates (QWACs) vor, die genau aus diesem Grund öffentlich umstritten sind; Browserhersteller und Bürgerrechtsorganisationen kritisieren, dass so eine neue staatliche Hebelwirkung entsteht. Nach Lobbydruck wurden die Regelungen im finalen Text abgeschwächt, das grundsätzliche Restrisiko aber bleibt. Kombiniert mit dem oben beschriebenen Attestierungsregime ergibt sich, dass ein Staat mit Kontrolle über Zertifikatsausstellung und Attestierung im Prinzip jede verschlüsselte Kommunikation auf Geräten unter seiner Jurisdiktion entschlüsseln kann.

Inhaltskontrolle und Unterdrückung

Während die vorigen Abschnitte den Zugriff auf Daten behandeln, geht es hier um die aktive Steuerung dessen, was Nutzer überhaupt lesen, erreichen oder veröffentlichen können. Die hier skizzierten Fähigkeiten sind meist nicht verdeckt: Sie erfolgen über veröffentlichte Regeln, transparente Hinweise auf Sperrungen und öffentliche Entfernungsanordnungen.

DNS-Manipulation

Die Manipulation von DNS durch Einspeisung falscher Antworten – im Unterschied zur manipulierten Rückgabe von Sperrseiten – erlaubt es Internetdienstanbietern, Nutzer ohne sichtbaren Hinweis unbemerkt auf Ersatzziele umzuleiten, obwohl die Originaldomäne blockiert wurde. Technisch ist dies bei Inhaltskontrolle ein Man-in-the-Middle-Angriff auf das DNS-Protokoll; bei Überwachungs- oder Trafficumlenkung ist es dieselbe Methodik, wie sie für staatliche Akteure in anderen Ländern heftig kritisiert wurde.

ISP-Seitige Filterung

Die breiteste Ebene ist die Filterung durch Internetdienstanbieter (ISPs). ISPs erhalten Sperraufträge von Gerichten, Behörden oder eine Grauzone informell koordinierter Regierungsersuchen, deren freiwillige Umsetzung zur Routine geworden ist. Filterlisten und Sperrseiten werden über die Infrastruktur des Providers und zunehmend durch Update-Mechanismen auf Kundengeräten, wie den vom ISP gestellten Routern, verteilt. In fortgeschrittenen Szenarien sind in ISPverwalteten Geräten zudem Überwachungsschnittstellen integriert, die einen Zugriff aus dem Heimnetz erlauben, ohne dass der Kunde handeln müsste.

DNS-Blockierung

Fordert ein Nutzerbrowser eine gesperrte Domain an, gibt der DNS-Server des ISPs eine Antwort zurück, die auf eine Informationsseite umleitet, aus der die Sperrung hervorgeht. Der Nutzer sieht die Sperre und erkennt die Intervention. Bei DNS-Manipulation nach obigem Abschnitt hingegen leitet der Provider stillschweigend um, ohne erkennbaren Hinweis. Beide Verfahren nutzen dieselbe technische Infrastruktur – Kontrolle des DNS durch den ISP – jedoch ist das eine offen, das andere verdeckt.

Plattformseitige Filterung

Plattformseitige Filterung erfolgt durch große Inhaltsplattformen selbst, nach Vorgaben des deutschen Netzwerkdurchsetzungsgesetzes (NetzDG) und seitdem dem EU Digital Services Act (DSA). Die Regelungen schreiben feste Fristen für das Entfernen gemeldeter illegaler Inhalte vor. Faktisch sorgt die Kombination aus kurzen Fristen und hohem Meldevolumen dafür, dass die allermeisten Löschungen ohne Einzelfallprüfung durch ein Gericht erfolgen, wenngleich es gesetzliche Widerspruchsmechanismen gibt.

Plattformseitige Filterung umfasst auch das Deindexieren von Inhalten bei Suchmaschinen – der Inhalt bleibt erreichbar, wird aber aus den Standard-Zugangswegen entfernt. Ebenfalls dazu gehören gesetzlich vorgeschriebene Meldewege, über die Plattformen bestimmte gemeldete Inhalte direkt ans BKA weiterleiten.

Hosting- und Infrastrukturzugriff

Deutsche Strafverfolger können inländische Hoster wie Hetzner, IONOS und STRATO auf staatsanwaltschaftliche oder gerichtliche Anordnung zur Datenauskunft oder Löschung verpflichten und physische Beschlagnahmen von auf deutschem Gebiet befindlichen Servern im Ermittlungsverfahren durchsetzen. Auf Domainebene ist das mittels Kooperation der DENIC und anderer Registrare möglich, indem diese bei Rechtsanordnung Domains sperren oder übertragen. Während ISP-Filterung den Verkehr unterwegs abfängt und Plattformfilterung auf fremdgehostete Inhalte wirkt, erfasst Host- und Infrastrukturzugriff die Speicherebene selbst und zwingt die direkt Kontrollierenden.

Kontrolle des Finanzsystems

Die Finanzschicht ist deshalb relevant, weil jede ökonomisch relevante Online-Aktivität – Spenden, Abos, Kauf von Privatsphärenwerkzeugen, Betrieb unabhängiger Publikationen – hierdurch läuft und also den hier greifenden Maßnahmen unterliegt.

Die überarbeitete Zahlungsdiensterichtlinie (PSD2), ihr absehbarer Nachfolger (PSD3 und die begleitende Zahlungsdiensteverordnung), SEPA, der geplante digitale Euro sowie die KYC/AML-Vorgaben aus der Markets in Crypto-Assets Regulation (MiCA) und der EU-Geldwäscheverordnung bilden ein regulatorisches Geflecht, das Transaktionshistorien, Kontostände, Gegenpartei-Beziehungen und Zahlungsmetadaten für Behörden und so wiederum für Strafverfolgung und Verwaltung zugänglich macht. Kontosperrungen und Ausschlüsse vom Zahlungsverkehr wirken faktisch als Instrument zur Durchsetzung gegen unerwünschte Aktivitäten da, wo strafrechtliche Verfolgung zu aufwändig oder langwierig wäre.

Auf Kryptowährungen erstreckt Blockchainüberwachung diesen Rahmen. Das BKA und die Frankfurter Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) nutzen kommerzielle Analysewerkzeuge – vor allem TRM Labs und Chainalysis – zur Adressclustering, Entitätszuordnung und Transaktionsnachverfolgung über Börsen hinweg. Diese Fähigkeit ist operationell ausgereift: Das Kingdom-Market-Offensive (2023), Operation Final Exchange (2024, Beschlagnahme von 47 No-KYC-Börsen), und der Movie2k.to-Fall (Nachverfolgung einer fast zehn Jahre alten Bitcoin-Spur zu knapp 50.000 BTC-Beschlagnahme) beruhten alle auf On-Chain-Analyse in Kombination mit Exchangevorladungen per Bestandsdatenauskunft. MiCA und die EU-Geldwäscheverordnung verpflichten Kryptodienstleister zur Transaktionsüberwachung und Meldung verdächtiger Vorgänge an die BaFin, was zu Strafverfolgungsverweisen führt. Nicht nachvollziehbar sind bislang Privatsphäre-orientierte Coins: Monero- und Zcash-Bewegungen wurden in Deutschland nie öffentlich zurückverfolgt, und für Cross-Chain-Bridges oder dezentrale Börsen fehlen bisher zuverlässig funktionierende Mapping-Werkzeuge.

Grenzüberschreitender Datenaustausch und extraterritoriale Reichweite

Europol und seine Internet Referral Unit koordinieren das Melden von Inhalten zwischen den EU-Mitgliedstaaten. Das Schengener Informationssystem (SIS II) bietet gemeinsame Datenbanken zu Personen und Gegenständen von Interesse. Das Prüm-Regelwerk stellt reziproken Zugriff auf Biometrie- und Fahrzeugregisterdaten sicher. Die EU e-Evidence-Verordnung ermöglicht Behörden, Anbieter in anderen Mitgliedsländern direkt zur Datenherausgabe oder –sicherung zu verpflichten, ohne das klassische Rechtshilfeverfahren. Der Digital Services Act verleiht EU-Behörden bestimmte Zugriffs- und Aufsichtsbefugnisse, die sich extraterritorial auf alle Anbieter mit EU-Nutzern anwenden, unabhängig vom Sitz des Dienstes.

Zusammengenommen heißt das: Der Zugang des deutschen Staates zu Inhalten, Metadaten und Identitätsdaten endet nicht an der Landesgrenze; Daten, die bei EU-Partnern gespeichert sind, sind praktisch ebenso zugänglich wie inländische, und bestimmte Datenkategorien außerhalb der EU lassen sich teils über umstrittene extraterritoriale Anordnungen erreichen.

Das BSI als institutionelle Klammer

Mehrere der oben beschriebenen Schichten bündeln sich in einer Bundesbehörde. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist Zertifizierungsstelle für Kryptoprodukte in regulierten Sektoren, technische Behörde für CRA- und NIS2-Umsetzung, Zertifizierer des eID-Ausweises und nationaler Partner der eIDAS-2-Wallet-Infrastruktur sowie übergeordneter Koordinator der IT-Sicherheit des Bundes. Praktisch entscheidet das BSI über die Zulassung von Software und Hardware im regulierten Teil der deutschen Wirtschaft.

Das BSI ist nicht im verfassungsrechtlichen Sinne unabhängig; es ist eine nachgeordnete Behörde des Bundesinnenministeriums (BMI), das zugleich das Bundeskriminalamt und die Bundespolizei beherbergt. Dieselbe Behördenstruktur zertifiziert damit Kryptoprodukte, genehmigt Attestierungsregime, legt den technischen Rahmen für Identitätsbindung fest und berichtet an das Ministerium, dessen sicherheitsrelevante Organisationen ein direktes Eigeninteresse an Schranken für eben diese Schutzmechanismen besitzen. Zertifizierung, Attestierung und Identitätsinfrastruktur werden von einer Behörde verwaltet, deren Berichtslinie zu der Instanz führt, deren operationelle Interessen sich von denen der Bürger – denen der Schutz eigentlich dienen soll – unterscheiden.

Gesamtkapazität

Betrachtet man das System als Ganzes, ermöglichen die beschriebenen Fähigkeiten Folgendes gegenüber gewöhnlichen Nutzern, die keine gezielten Gegenmaßnahmen treffen:

Der Inhalt der meisten Kommunikation ist zugänglich. Masseninterception an Internet-Knoten, Ausnutzung von Zertifizierungsstellen bei TLS, Meldemechanismen und Löschvorgaben auf Plattformen, Gerätekompromittierung per richterlicher Anordnung und – in Entwicklung – verpflichtendes Client-Side Scanning, decken alle Hauptwege ab, wie Kommunikationsinhalte für staatliche Stellen sichtbar werden. Starke Ende-zu-Ende-Verschlüsselung schränkt dies für motivierte Nutzer zwar ein, doch die Kombination aus Gerätezugriff und Client-Side-Scanning zielt explizit darauf ab, diese Lücke zu schließen.

Jede Online-Aktion unter gewöhnlichen Abos kann einer namentlichen Person zugeordnet werden. Die Kombination aus IP-zu-Teilnehmer-Auflösung per Bestandsdatenauskunft und Vorratsdatenspeicherung von Metadaten gewährleistet, dass ein aktueller Vorfall innerhalb von Stunden, ein Monate zurückliegender Vorgang binnen der Aufbewahrungsfrist rückwirkend zugeordnet werden kann.

Standort und Bewegung sind dauerhaft rekonstruierbar. Mobilfunk, WLAN, Videoüberwachung, automatische Kennzeichenerkennung und Funküberwachung liefern gemeinsam eine schichtenübergreifende Korrelation, die Maßnahmen wie MAC- oder IMSI-Rotation und gängige physischen Anonymitätstricks außer Kraft setzt.

Finanzielle Transaktionen und Beziehungen sind sichtbar. Nach PSD2 und dem darauf aufbauenden Regulierungsrahmen sind Transaktionshistorien, Kontostände und Gegenparteien für Behörden zugänglich und darüber für Strafverfolger wie Verwaltungsinstanzen direkt verfügbar. MiCA und EU-Geldwäscheverordnung weiten diese Sicht auf Krypto-Transaktionspunkte aus; der geplante digitale Euro würde dies auf heute noch bar abgewickelte Transaktionen übertragen.

Der Zugriff des deutschen Staates endet nicht an der Landesgrenze. Per e-Evidence-Verordnung, SIS II, Prüm, Europol und DSA sind Daten bei anderen EU-Mitgliedstaaten rechtlich ähnlich erreichbar wie inländische, und gewisse Daten außerhalb der EU sind über extraterritoriale Verfahren (deren Reichweite umstritten bleibt) zugänglich.

Das Gesamtbild ist: Bei einem Bürger mit Standardgeräten und Defaultsoftware verfügt der deutsche Staat über die ständige Fähigkeit, auf Abruf Kommunikation, Bewegungen, Beziehungen und Finanzen zu rekonstruieren. Die Zahl derer, die dem System zuverlässig entkommen können, ist klein, wenig repräsentativ und auf Tools, Bedrohungsmodelle sowie diszipliniertes Verhalten angewiesen, das sie außerhalb des überwachten Normalzustands bringt.

Schlussfolgerungen

Die beschriebene Überwachungsarchitektur wirkt umfassend. Doch das geschilderte System ist das geplante System – also so, wie es der Staat gerne hätte. Die offene Frage bleibt, ob das System gegen entschlossene Akteure tatsächlich funktioniert. Die Antwort, die in weiteren Papieren dieser Serie vertieft wird, lautet in wesentlichen Punkten: Nein.

Eine Reihe aktueller und aufkommender Technologien – Ende-zu-Ende-Verschlüsselung, Onion-Routing, Mesh-Netzwerke, Software Defined Radio, Standard-Mikrocontroller außerhalb des Attestierungsrahmens, privacy-orientierte Kryptoprotokolle, dezentrale Infrastruktur und physische Alternativen am Netz vorbei – sind hinreichend, alle hier skizzierten Systemkomponenten zu umschiffen. Ein späteres Papier wird die Kostenstruktur detailliert beleuchten, doch das Muster der öffentlichen Fälle deutet darauf hin: Die Kosten zur Umgehung sinken schneller als die Kosten zur Überwachung steigen, und neue staatliche Fähigkeiten werden meist binnen weniger Jahre von marktgängigen Gegenmaßnahmen nivelliert.

Die strukturellen Kosten des Systems addieren sich derweil unabhängig von seinem tatsächlichen Ertrag. Die Infrastruktur schafft hoch attraktive Angriffsziele für Datendiebstahl, eröffnet Erpressungspotenzial bei sensiblen Profilen und untergräbt die Unabhängigkeit jener Kontrollorgane, die das System eigentlich beschränken sollen. All das wirkt negativ auf Tätigkeiten, die der Staat selbst zu schützen sucht – Bankwesen, medizinische Versorgung, Anwaltspraxis, Unternehmensverhandlungen, Journalismus, Notfallkommunikation – und skaliert mit der Vollständigkeit der Erhebung.

Die These, die Folgepapiere untersuchen und gegebenenfalls verteidigen werden, lautet: Die Hauptwirkung des Systems ist die Abschreckung legitimer Aktivitäten gewöhnlicher Bürger, während entschlossene Zielgruppen die Überwachung routiniert umgehen. Sollte sich diese These bestätigen, wäre der angemessene politische Ansatz gezielte Strafverfolgung mit klassischen Mitteln – nicht eine Überwachungsinfrastruktur, deren Kollateralschäden die Bevölkerung treffen, die sie schützen soll.

Dieses Dokument wurde automatisch übersetzt. Es können Fehler enthalten sein. Die maßgebliche Fassung ist die englische Version.