Der Geheimdienst liest mit

Mit dem staatlichen Überwachungssystem SORM kann die Kommunikation von Bürgerinnen und Bürgern in Russland seit Anfang der 1990er Jahre in großem Stil überwacht werden. Zusätzlich wurden seit 2014 diverse Gesetze verabschiedet, die sich gegen anonyme oder verschlüsselte Online-Kommunikation richten. Die Umsetzung dieser Gesetze verläuft schleppend, weil oft die nötige Technik fehlt. Außerdem schrecken viele Telekommunikationsanbieter und Internet Service Provider davor zurück, viel Geld in neue Ausrüstung zu investieren. Ausländische Anbieter von sozialen Netzwerken, Messengern oder Anonymisierungsdiensten halten sich zudem oft nicht an russische Regelungen. Das Gesetz über ein abgekoppeltes russisches Internet vom Mai 2019 markiert jedoch eine neue Stufe. Es zentralisiert die Kontrolle und Filterung des Online-Verkehrs, für die künftig nicht mehr die Unternehmen, sondern Geheimdienst und Medienaufsicht verantwortlich sein sollen. Zudem soll landesweit neue Überwachungstechnik eingeführt werden. Die Regierung hofft, verbotene Inhalte und Plattformen so effektiver als bisher blockieren zu können.

In Russland kann die Online-Kommunikation von Nutzerinnen und Nutzern grundsätzlich deutlich intensiver überwacht werden als in anderen, demokratisch regierten Ländern, die derzeit über die Regulierung des Internets diskutieren. SORM, das russische System der Telekommunikationsüberwachung (TKÜ), ist direkt in die Kommunikationsinfrastruktur eingebaut und ermöglicht eine systematische Massenüberwachung. Die Grundlage dafür schuf der sowjetische Geheimdienst KGB in den späten 1980er Jahren. Dessen Nachfolgeorganisationen entwickelten SORM weiter, um auch in der neu entstandenen Russischen Föderation Telefone abhören zu können. Dazu wurden bei Telekommunikationsanbietern Geräte installiert, die ausgewählte Verbindungsdaten und Gesprächsinhalte speichern konnten. Ende der 1990er Jahre wurde die Überwachung mittels neuer Technik auf das Internet ausgedehnt (SORM-2). Eine nächste Generation der Geräte (SORM-3) machte es möglich, sämtliche Arten von Kommunikation (also Gespräche über Festnetz oder Mobilfunk sowie Internetverkehr inklusive E-Mails und IP-Telefonie) abzufangen und längerfristig zu speichern.

Telekommunikations- und Internetservice-Anbieter in Russland sind per Gesetz dazu verpflichtet, SORM-Technik – so genannte Black Boxes – zu installieren. Darüber hat der Inlandsgeheimdienst FSB jederzeit direkten Zugriff auf die Kommunikationsdaten der Bürgerinnen und Bürger, ohne vorher bei den Unternehmen anfragen oder eine gerichtliche Erlaubnis vorweisen zu müssen. Bisher sind die Geräte jedoch nur bei einem Bruchteil der Internet Service Provider im Land installiert. Das liege zum einen daran, dass es bei Weitem nicht genug staatlich zertifizierte SORM-3-Technik gibt, sagte Fabian Burkhardt von der Stiftung Wissenschaft und Politik im Gespräch mit Reporter ohne Grenzen. Zum anderen können sich vor allem kleine und mittlere Unternehmen den Kauf der teuren Geräte nach eigenen Angaben kaum leisten.

Die Journalisten Andrej Soldatow und Irina Borogan, die jahrelang zum Thema Überwachung recherchierten, haben SORM mit PRISM verglichen, dem durch den Whistleblower Edward Snowden aufgedeckten Überwachungsprogramm des US-amerikanischen Auslandsgeheimdienstes NSA. In ihrem Buch „The Red Web“ beklagen sie die Gleichgültigkeit der Bevölkerung gegenüber dem Thema Überwachung. Sie führen dies darauf zurück, dass die Geschichte des sowjetischen Geheimdienstes KGB in Russland nicht aufgearbeitet und der Dienst institutionell kaum reformiert wurde. Eine öffentliche Debatte über die Befugnisse von Geheimdiensten habe nicht stattgefunden. Vielen erscheine es aufgrund des historischen Erbes als nahezu selbstverständlich, durch den Staat überwacht zu werden. Artjom Kosljuk von der Organisation Roskomsvoboda bestätigte im Gespräch mit Reporter ohne Grenzen: „In der Bevölkerung fehlt das Bewusstsein für das Problem der Internetzensur. Keiner versteht die Einzelheiten, vor allem auch technisch.“

Einer der wenigen, die sich gegen die anlasslose Massenüberwachung durch SORM zur Wehr setzten, war der Journalist Roman Sacharow. 2003 reichte er Klage gegen drei Mobilfunkanbieter ein, die durch die bei ihnen installierte SORM-Technik seine Privatsphäre verletzt hätten. Vor russischen Gerichten hatte er damit wenig Erfolg. Sacharow brachte den Fall 2006 vor den Europäischen Gerichtshof für Menschenrechte in Straßburg, der 2015 in einem vielbeachteten Urteil entschied, SORM verletze das in Artikel 8 der Europäischen Menschenrechtskonvention garantierte Recht auf Privatsphäre. Während der Prozesse durchsuchten russische Sicherheitskräfte mehrmals unangekündigt Sacharows Wohnung, zweimal wurde er festgenommen. Der Journalist lebt inzwischen im Exil und arbeitet von dort weiter als Chefredakteur des Nachrichtenportals legalpress.ru.

Seit 2014 wurden diverse Gesetze verabschiedet, die sich gegen anonyme oder verschlüsselte Online-Kommunikation richten: Die Medienaufsichtsbehörde Roskomnadsor legte eine neue Datenbank so genannter Organisatoren von Informationsverbreitung an (russische Abkürzung: ORI), in die sich Anbieter von E-Mail- und Messenger-Diensten sowie von sozialen Netzwerken eintragen lassen müssen. Sie sind damit verpflichtet, Nutzerdaten zu speichern und gegebenenfalls den Strafverfolgungsbehörden zugänglich zu machen. Ein Gesetz vom Juli 2014 (in Kraft getreten im September 2015) schreibt vor, dass persönliche Daten russischer Bürgerinnen und Bürger nicht mehr im Ausland, sondern ausschließlich auf Servern in Russland gespeichert werden dürfen. Die russische Regierung reagierte damit auf die Snowden-Enthüllungen und führte zur Begründung an, dieses Gesetz diene dem Datenschutz. Weiterhin wurden Anbieter von Messenger-Diensten verpflichtet, dem Geheimdienst Schnittstellen in ihren Programmen zu öffnen, um verschlüsselte Nachrichten mitzulesen. (vgl. Kap. 2)

Gleichzeitig habe Russland mit den Jarowaja-Gesetzen eine „beispiellose Vorratsdatenspeicherung“ eingeführt, sagte Dmitrij Kononenko von der Deutsch-Russischen Auslandshandelskammer im Gespräch mit Reporter ohne Grenzen. Die Regelungen, die zum 1. Juli 2018 in Kraft traten, sind so umfassend wie in kaum einem anderen Land der Welt: Verbindungsdaten (also Informationen darüber, wer wann mit wem telefoniert oder Nachrichten ausgetauscht hat) sollen drei Jahre lang gespeichert werden, die Inhalte von Telefongesprächen, Nachrichten, Fotos oder Videos sechs Monate lang. Von Telekommunikationsunternehmen und Internet Service Providern verlangt das enorme Investitionen in neue Technik und Speicherkapazität. Zudem stellen sie die Frage, wie sinnvoll es ist, große Mengen an Datenverkehr zu speichern, der zum überwiegenden Teil verschlüsselt ist. Die Umsetzung dieser Regelung stockt, bis Sommer 2019 hatte lediglich ein Bruchteil der Unternehmen die nötige Technik installiert. „In der Duma und in der Regierung sitzen einige Politiker, denen die digitalen Fachkenntnisse fehlen, um die Wirkung ihrer Gesetze zu überschauen“, stellt Kononenko fest.

Artjom Kosljuk von der Organisation Roskomsvoboda bezeichnet es als „großes Problem, dass es nach der Verabschiedung eines Gesetzes lange dauert, bis dessen Folgen sichtbar werden“. Meist würden mehrere Jahre vergehen, bis neue Regelungen tatsächlich umgesetzt werden. Außerdem wendeten die Behörden sie meist zuerst gegenüber den Diensten und Plattformen an, die nur ein kleiner Teil der Bevölkerung nutzt und deren Sperrung kaum Protest hervorruft. So wurde im November 2016 das US-amerikanische Karriere-Netzwerk LinkedIn gesperrt, das sich weigerte, Server nach Russland zu verlegen. Seit April 2017 blockierten die Behörden die Walkie-Talkie-App Zello, über die Lkw-Fahrer Proteste und Streiks koordiniert hatten. Auch die Messenger-Dienste Imo, Blackberry und Line sowie die Video-Chat-Platform VChat wurden gesperrt, weil sie sich nicht als „Organisatoren von Informationsverbreitung“ registrieren lassen wollten. Ins Register aufgenommen wurden etwa zur gleichen Zeit die Messenger-Dienste Threema und Telegram – wobei sich beide ausdrücklich weigerten, Nutzerdaten an die Behörden zu übergeben oder die Ende-zu-Ende-Verschlüsselung aufzugeben.

Bei dem Versuch, den von 15 Millionen Menschen in Russland genutzten Messenger Telegram zu blockieren, scheiterte Roskomnadsor im Frühjahr 2018. Es kam zu massiven Ausfällen im russischen Internet (vgl. Kasten) und in Moskau gingen 12.000 Menschen aus Protest gegen Internetzensur auf die Straße. Im März 2019 versuchte die Behörde auf technisch etwas ausgefeiltere Weise, den Dienst Protonmail zu sperren, der Ende-zu-Ende-verschlüsselten E-Mail-Verkehr anbietet – ebenfalls ohne Erfolg.

Weil sie die Möglichkeit bieten, Internet-Zensur zu umgehen, gerieten auch Anbieter von Virtual Private Networks (VPNs) ins Visier der Behörden. Ein Gesetz vom Juli 2017 (in Kraft getreten im November 2017) untersagte Anbietern von VPNs und Anonymisierungsdiensten, Zugang zu von Roskomnadsor gesperrten Seiten zu ermöglichen. „Das führt deren Dienste natürlich ad absurdum“, sagt Dmitrij Kononenko von der Deutsch-Russischen Auslandshandelskammer. Praktische Folgen hatte dieses Gesetz zunächst nicht. Erst Ende März 2019 forderte die Medienaufsicht die zehn am meisten genutzten VPN-Anbieter auf, sich als „Organisatoren von Informationsverbreitung“ registrieren zu lassen und keinen Zugang zu verbotenen Seiten mehr zu ermöglichen. Das russische Software-Unternehmen Kaspersky Lab stimmte dem als einzige Firma umgehend zu und ließ seinen VPN-Anbieter Kaspersky Secure Connection registrieren. Alle anderen VPN-Anbieter erteilten Roskomnadsor
eine Absage, mehrere von ihnen schlossen aus Datenschutzgründen sämtliche Server auf dem Gebiet der Russischen Föderation.

Eine völlig neue Stufe im Bemühen der Regierung, Internet-Inhalte und Online-Kommunikation zu kontrollieren, stellt das Gesetz über ein abgekoppeltes russisches Internet vom Mai 2019 dar. Es wurde in Reaktion auf die verschärfte Konfrontation mit den USA verabschiedet, die Russland als einen ihrer strategischen Hauptgegner bezeichnen und sich das Recht auf präventive Cyberangriffe vorbehalten. Das Gesetz soll das unabhängige Funktionieren des Internets im Fall von – bislang nicht näher definierten – Gefahren sicherstellen und gibt dem Staat die Kontrolle über die Infrastruktur des Netzes: Internet Service Provider sollen den Datenverkehr künftig nur noch über Knotenpunkte (IXPs) leiten, die bei der Medienaufsicht registriert sind. Im Gefahrenfall soll ein neues Kontrollzentrum den Datenverkehr zentral steuern.

Außerdem verlangt das Gesetz von sämtlichen Internet Service Providern oder Anbietern von Internetknotenpunkten, neue Technik zu installieren. Diese Geräte, die zunächst vom Staat zertifiziert werden müssen, sollen es der Medienaufsicht erlauben, den Internetverkehr im Ernstfall zentral zu steuern und Seiten zu sperren. Bisher sind für das Sperren von Seiten die Provider zuständig: Sie müssen dafür sorgen, dass sie ans staatliche Informationssystem angeschlossen sind und stets über die aktuelle Version des „Registers verbotener Seiten“ verfügen, um dementsprechend Inhalte blockieren zu können. Mithilfe der neuen Geräte könnte die Medienaufsicht Inhaltssperren ohne Mitwirkung – und sogar ohne Wissen – der Provider umsetzen. Weder die Unternehmen noch die Öffentlichkeit hätten einen Überblick darüber, welche Seiten der Staat wann blockiert und wie lange.

Die neu zu installierenden Geräte sollen flächendeckend Deep Packet Inspection (DPI) erlauben. Damit können Inhalte zielgerichteter blockiert werden als durch das bisherige Sperren von IP-Adressen. Mehrere große Mobilfunkanbieter in Russland nutzen die Technik bereits seit Mitte der 2000er Jahre, um den Datenverkehr über ihre Netze zu beeinflussen. Sie können so zum Beispiel das Herunterladen extrem großer Audio- und Videodateien verhindern oder Anbieter von IP-Telefonie blockieren, die in Konkurrenz zu ihren eigenen Angeboten stehen. Den Inhalt von verschlüsselten Verbindungen kann allerdings auch DPI-Technik nicht untersuchen – und das trifft in Russland inzwischen auf 85 bis 90 Prozent des Internetverkehrs zu. Länder wie China zeigen, dass sich DPI-Technik dazu nutzen lässt, Anonymisierungsdienste zu erkennen und zu blockieren. Der Journalist Andrej Soldatow vermutet, die russischen Behörden könnten die neuen Geräte vor allem anwenden, um die Verbreitung von Live-Videos bei Protesten zu unterdrücken.

Wann und auf welche Weise das Gesetz über ein abgekoppeltes russisches Internet tatsächlich landesweit umgesetzt werden kann, ist indes unklar. Geplant war, dass die neuen Regelungen zum 1. November 2019 in Kraft treten – die meisten Internet Service Provider verfügten zu diesem Zeitpunkt jedoch noch nicht über die notwendige Technik. Die Überwachung mit DPI-fähiger Technik wurde dem Nachrichtenportal RBK zufolge zunächst im Verwaltungsgebiet Ural getestet. Seit Ende Oktober wurden dort bei den „Großen Vier“ – den wichtigsten russischen Telekommunikationsunternehmen Rostelecom, MTS, Megafon und Vimpelcom – sowie bei mehreren kleinen Anbietern entsprechende Geräte installiert und in Intervallen versuchsweise eingeschaltet. Bis Ende 2019 sollen die Tests abgeschlossen sein. Laut Roskomnadsor-Chef Alexander Scharow wird überprüft, ob die neuen Geräte verbotene Seiten zuverlässig sperren und wie sie Übertragungsgeschwindigkeit und Nutzerfreundlichkeit beeinflussen. Die Tests betreffen zunächst lediglich Festnetzverbindungen, das mobile Internet ist davon bisher ausgenommen.

Russische Expertinnen und Experten kritisieren das Gesetz über ein abgekoppeltes Internet und weisen auch auf die negativen Folgen für die Innovationsfähigkeit der IT-Branche hin. Die Kosten für die neuen Geräte soll zwar laut Gesetz der Staat tragen, im Staatsprogramm „Digitale Wirtschaft“ war dafür bereits im Dezember 2018 ein Budget von 30 Milliarden Rubel (ca. 400 Millionen Euro) für die kommenden drei Jahre vorgesehen. Tatsächlich könnte die landesweite Einführung von DPI-fähiger Filtertechnik jedoch weitaus mehr kosten, denn vor allem die Instandhaltung der Geräte und die Unterhaltung großer Server für die Datenspeicherung sind teuer. „Die Firmen befürchten, dass diese Kosten letzten Endes bei ihnen landen“, sagte Artjom Kosljuk von der NGO Roskomsvoboda im Gespräch mit Reporter ohne Grenzen. „Sie werden das an ihre Kundschaft weitergeben. Alles rund ums Internet wird in den nächsten Jahren erheblich teurer werden – mit negativen Folgen für die Wirtschaft und für russische Technologiefirmen.“

ENDE

in: Alles unter Kontrolle? Internetzensur und Überwachung in Russland, Dezember 2019