Wiederholt hatten Bundesinnenministerium und Bundesamt für Verfassungsschutz betont, dass Telefon- und Gerätenummern allein nicht ausreichten, um per Drohne Angriffe gegen einen Verdächtigen zu fliegen. In einem Gutachten für den NSA-Untersuchungsausschuss kommt der Informatik-Professor Hannes Federrath nun zu einem anderen Ergebnis.
Haben sich Bundesamt für Verfassungsschutz und Bundesinnenministerium mitschuldig gemacht am Tod deutscher Staatsbürger bei Drohnenangriffen? Machen sie das vielleicht heute noch, in dem sie zur Lokalisierung geeignete Daten an Dritte weitergeben? Der sogenannte Romann-Erlass vom 24. November 2010, benannt nach dem damaligen Referatsleiter im Bundesinnenministerium Dieter Romann, dem heutigen Bundespolizeipräsidenten, schließt das eigentlich aus. Darin heißt es, dass Daten zu Terrorverdächtigen nicht weitergegeben werden dürfen, wenn diese „unmittelbar zur Ortung geeignet“ sind.
Zeitlich steht der Erlass aus dem Innenministerium in auffälliger Nähe zum Tod von Bünyamin Erdogan, einem deutschen Staatsbürger, der im afghanisch-pakistanischen Grenzgebiet bei einem US-Drohnenangriff getötet wurde. Ob er das eigentliche Ziel oder ein Nebenbetroffener war, ist bis heute unklar. Klar aber ist: Erdogans Name und wohl auch Daten zu seinem Mobiltelefon waren wenig vorher von deutschen an US-Sicherheitsbehörden übermittelt worden. Zeugen aus BfV und BMI im Untersuchungsausschuss bestritten vehement, dass es einen direkten Zusammenhang zwischen der Tötung Bünyamin Erdogans und dem Romann-Erlass gegeben habe – der sei nur die Verschriftlichung einer eh schon so gehandhabten Rechtsauffassung gewesen. Und überhaupt sei die Weitergabe von Einzeldaten wie der IMEI-Gerätenummer oder der Telefonnummer alleine gar nicht zur Lokalisierung geeignet, sagte etwa ein BfV-Mitarbeiter mit dem Arbeitsnamen Henrik Isselburg aus. Und auch der frühere Verfassungsschutz-Präsident Heinz Fromm sagte, zu seiner Zeit seien er und das BfV der Überzeugung gewesen, „dass sich Handynummern zur exakten Ortung von Personen nicht eignen.“
Doch daran bestehen spätestens seit Veröffentlichungen zum US-Drohnen-Überwachungssystem „Gilgamesh“, basierend auf Unterlagen aus dem Snowden-Fundus, erhebliche Zweifel. Auch der ehemalige US-Drohnen-Operator Brandon Bryant hatte im Ausschuss ausgesagt, dass eine Telefonnummer oder IMEI-Gerätenummer grundsätzlich ausreiche um Verdächtige zu orten.
Gilgamesh simuliert von der Drohne aus eine Funkzelle, in die sich Telefone am Boden dann verbinden und dabei sowohl Gerätenummern wie auch weitere Daten anzeigen, die dann mit bekannten Datenbeständen abgeglichen werden können. Dadurch, dass die Drohne sich selbst bewegt, kann herausgefunden werden, ob die Verbindung stärker oder schwächer wird. Genau das, so besagt das nun vorliegende Gutachten von Hannes Federrath, kann mit Richtungsantennen so detailliert genutzt werden, dass schon mit der Handynummer ein Mobilfunkgerät – und damit üblicherweise dessen Träger – lokalisierbar wird.
Somit ergibt sich unter günstigen atmosphärischen und geographischen Bedingungen die Möglichkeit, eine Fernlenkwaffe mit einem tödlichen Radius von 5 m mit hinreichender Treffergenauigkeit für eine gezielte Tötung einsetzen zu können.
Federrath analysiert zudem auch alternative Lokalisierungsformen, beispielsweise ist das Auslesen von Mobilfunkgerät-Standortdaten per verschiedener Mobilfunkstandards bzw. deren Funktionen wie RRLP, RLF und SS7 möglich. Doch für das, worum es beim Untersuchungsausschuss vor allem geht, sind viele der Funktionen der Mobilfunknetze vor Ort gar nicht relevant, sagt Federrath mit Verweis auf die mit den Drohnen fliegenden IMSI-Catcher:
Die konkrete Ausgestaltung des Mobilfunkverkehrs in den Ländern Afghanistan, Pakistan, Jemen und Somalia während des Untersuchungszeitraumes ist für die hier beschriebene Lokalisierung mittels IMSI-Catcher bedeutungslos, da das Lokalisierungsverfahren autonom arbeitet, d.h. nicht auf die Infrastruktur des Mobilfunknetzes angewiesen ist.
Bei guten Bedingungen sei auf diese Art eine auf fünf Meter genaue Ortung möglich, schreibt Federrath.
Somit ergibt sich unter günstigen atmosphärischen und geographischen Bedingungen die Möglichkeit, eine Fernlenkwaffe mit einem tödlichen Radius von 5m mit hinreichender Treffergenauigkeit für eine gezielte Tötung einsetzen zu können.
Der heutige BfV-Präsident Hans-Georg Maaßen, der am Donnerstag erneut im Untersuchungsausschuss befragt wird, sagte im Juni 2016 aus, die Mitarbeiter hätten „Daten guten Gewissens übermittelt, dass sie weder geeignet sind noch genutzt werden können zur Lokalisierung für Drohneneinsätze“. Die Zweifel daran wachsen – unabhängig von der rechtlichen Frage, wie weit die Schutzpflichten der Bundesrepublik in dem konkreten Fall gereicht hätten.
Update 22.09.2016, 17:20: Antwort des Bundesinnenministeriums auf Nachfrage
Ich hatte das Bundesinnenministerium gefragt, ob 1.) der Romann-Erlass nach wie vor Gültigkeit habe; 2.) Die Einschätzung der Nichtlokalisationsfähigkeit von Mobilfunkgerätnummer und IMEI aufrechterhalten wird. Die Antwort kam vor wenigen Minuten, hier im Volltext, was eine Sprecherin des BMI dazu mitteilte:
- Der Erlass besitzt weiterhin Gültigkeit. Die Übermittlung von personenbezogenen Daten durch das Bundesamt für Verfassungsschutz (BfV) an ausländische Partnerdienste in Form von zwei einzelfallbezogenen Auflistungen, auf die sich der von Ihnen angesprochene Erlass aus dem Jahr 2010 bezog, erfolgte auf Grundlage der für das BfV geltenden gesetzlichen Übermittlungsvorschriften des § 19 Absatz 3 des Bundesverfassungsschutzgesetzes (BVerfSchG), der die Zulässigkeitsvoraussetzungen für die Übermittlung von personenbezogenen Daten an ausländische öffentliche Stellen regelt. Es bedurfte keiner Fortschreibung, da auch für künftige Übermittlungen § 19 Absatz 3 BVerfSchG maßgeblich ist.
- Ein jüngst zu dieser Frage vorgelegtes Gutachten liegt auch dem BMI vor und wird sowohl hier als auch in den betreffenden Fachbehörden geprüft. Dieses Prüfungsergebnis bleibt vor einer Stellungnahme abzuwarten. Grundsätzlich übermitteln die Sicherheitsbehörden des Bundes Erkenntnisse im Rahmen ihrer gesetzlichen Befugnisse. Zudem erfolgt bei jeder Übermittlung ein Hinweis auf die einzuhaltende Zweckbindung. Dem BMI liegen keine Erkenntnisse vor, dass seitens der Empfänger (USA) der Übermittlungen gegen diese Zweckbindung verstoßen wird. Zwischen den DEU Sicherheitsbehörden und ihren US amerikanischen Partnern besteht ein enges und vertrauensvolles Kooperationsverhältnis. Die von den USA im Rahmen dieser Kooperation erlangten Erkenntnisse, insbesondere aus den aktuellen Krisen- / Kampfgebieten, sind essentiell für die Aufgabenerfüllung in DEU.
