Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

September 04 2013

Vorratsdatenspeicherung: Bundeskriminalamt will hunderttausende Inhaber verwurmter Rechner identifizieren

Ablauf der Entstehung und Verwendung von Botnetzen. Lizenz: Creative Commons BY-SA 3.0.

Lizenz: Creative Commons BY-SA 3.0.

Das Bundeskriminalamt hat versucht, mehr als 200.000 Menschen zu identifizieren, deren Rechner Teil eines Botznetzes waren. Das wurde uns vom BKA bestätigt und steht als “Beweis” für die Notwendigkeit der Vorratsdatenspeicherung in einem Papier der EU-Kommission. Seit letztem Jahr ist diese Vorgehensweise ein abgestimmtes Verfahren zwischen Bund und Ländern.

Die EU-Richtlinie zur Vorratsdatenspeicherung wurde politisch mit “schwerstem internationalen Terrorismus” begründet, schon im Text steht nur noch die Bekämpfung von Straftaten. Jetzt haben wir noch einen Anwendungsfall entdeckt. In einem Bericht der Europäischen Kommission heißt es:

Die Deutsche Polizei erhielt Informationen aus Luxemburg nach der Analyse eines beschlagnahmten Command and Control Servers eines Botnets, die digitale Identitäten von ahnungslosen Nutzern enthielten. 218.703 deutsche IP-Adressen, die auf diesen Server zugegriffen hatten, wurden an die Polizei übermittelt, um die Besitzer der Computer zu informieren/warnen, aber die meisten der anschließend von den Polizeibehörden übermittelten Auskunftsersuchen liefen ins Leere, weil die Vorratsdaten nicht gespeichert wurden.

Nachdem wir uns die Augen gerieben hatten, ob das wirklich stimmt, haben wir vor drei Wochen beim BKA nachgefragt. Heute ist endlich die Antwort eingetroffen, in der es heißt:

Über eine Distributed Denial of Services-Attacke durch ein Botnetz wurde eine Webseite im Internet attackiert. Diese war daraufhin im Internet nicht mehr erreichbar. Über die Auswertung der Logdaten der angegriffenen Seite konnte ein Command&Control-Server identifiziert werden, der das zum Angriff genutzte Botnetz steuerte. Im Zuge der Auswertung wurden täterseitige Zugriffe auf den Command&Control-Server festgestellt. Die hierbei genutzten IP-Adressen lieferten Anhaltspunkte zur Identifizierung der Täter.

Dem BKA wurden in einem solchen Fall beispielsweise aus Luxemburg im Jahr 2010 insgesamt 218.703 deutsche IP-Adressen übersandt. Allein in Hessen und Nordrhein-Westfalen wurden im weiteren Verlauf zu insgesamt 169.964 Auskunftsersuchen mangels vorhandener Daten keine Auskünfte erteilt. Die betroffenen Internetnutzer konnten somit nicht davor gewarnt werden, dass sie Teil eines kriminellen Botnetzes sind.

Das BKA hat also in einem einzigen Fall versucht, mit dem Datenpool der Vorratsdatenspeicherung 218.703 Menschen, deren Internet-Anschluss von einem mit Malware befallenen Rechner verwendet wurde, zu identifizieren. Die Vorratsdatenspeicherung, die mit Terrorismus begründet wird. Und wenn 169.964 der 218.703 Anfragen leerliefen, macht das 48.739 identifizierte Menschen. Fünfzigtausend Menschen haben einen Brief bekommen, dass ihr Rechner mit Schadsoftware befallen ist? Und sie per Vorratsdatenspeicherung identifiziert wurden?

Laut BKA ist das mittlerweile sogar ein Standard-Verfahren beim Umgang mit solchen Fällen:

Folgendes Verfahren ist zwischen Bund und Ländern bei Kenntnisnahme massenhaft infizierter Computer/-systeme seit 2012 abgestimmt:

  • Das BKA nimmt die Daten aus dem Ausland entgegen.
  • Das BKA ordnet die IP-Adressen mittels eines automatisierten Skriptes dem jeweilig zuständigen Provider zu.
  • Das BKA nimmt Kontakt zur IuK-Schwerpunktstaatsanwaltschaft auf, um ein Strafverfahren einleiten zu lassen und um so den repressiven Ansprüchen gerecht zu werden.
  • Das BKA verschickt eigenständig im Rahmen seiner Zentralstellenaufgabe zur Unterstützung der Länderbehörde, in dessen Zuständigkeitsbereich der Provider seinen Sitz hat, unter Nutzung von Serienbriefen Mitteilungen gemäß § 10 Abs. 3 i.V.m. § 10 Abs. 2 Nr. 1 i.V.m. § 2 BKAG an die jeweiligen Provider, um diese über die Infektion der Rechner ihrer Kunden zu informieren und sie darum zu ersuchen, diese darüber in Kenntnis zu setzen.
  • Das jeweils zuständige Landeskriminalamt wird darüber in Kenntnis gesetzt und kann ggf. weitere Maßnahmen veranlassen.
  • Sollten im Einzelfall weitere Ermittlungsansätze vorhanden sein, die eine örtliche Zuständigkeit eines Landes begründen, gibt das BKA diesen Vorgang an das zuständige Landeskriminalamt zur dortigen Einleitung der weiteren Maßnahmen in eigener Zuständigkeit ab.

Wir wollten natürlich wissen, wie oft so etwas vorkommt, wie viele Fälle es schon gab und wie viele Menschen schon identifiziert wurden. Die Antwort:

Die Anzahl der Fälle in Bund und Ländern ist nicht registriert worden. Eine Identifizierung der kompromittierten Rechner bei Botnet-Kriminalität ist mangels Vorratsdatenspeicherung in der Regel nicht möglich.

Das ist die größte Zweckentfremdung der Vorratsdatenspeicherung, von der ich in Deutschland bisher erfahren habe. Umso schlimmer, dass das Bundeskriminalamt diesen Fall als Beispiel heranzieht, warum die anlasslose Massenüberwachung sämtlicher Kommunikation in ihren Augen notwendig ist. Und dass die Europäische Kommission das kritiklos in einem Papier übernimmt, dass den Titel “Beweise für die Notwendigkeit der Vorratsdatenspeicherung” trägt. Unglaublich.

Patrick Breyer, Vorratsdatenspeicherungs-Gegner, Jurist und Pirat kommentiert gegenüber netzpolitik.org:

Es ist völlig unverhältnismäßig, wenn das BKA hunderttausende von Internetnutzern ohne ihre Einwilligung identifiziert, um sie vor Schadsoftware zu “warnen”. Die Sicherheit unserer Privatcomputer ist unsere Sache, nicht der Polizei. Es zeigt sich, dass die verfassungswidrige Bestandsdatenauskunft vollkommen ausufert und gestoppt werden muss. Außerdem beweist die BKA-Massenidentifizierung, dass die geforderte IP-Vorratsdatenspeicherung mit der Verfolgung schwerer Straftaten nichts zu tun hat und diese nur als Vorwand genutzt werden, um Internetnutzer wegen Bagatellen zu verfolgen.

Wehe, nach Homepageüberwachung, Funkzellenabfrage und nun Botnetzen erzählt mir noch einmal jemand etwas davon, dass die Vorratsdatenspeicherung nur gegen Terror ist und nur in Einzelfällen angewendet wird.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 21 2013

Automatisierte Bestandsdatenabfrage: Deutsche Behörden identifizieren alle fünf Sekunden einen Anschlussinhaber

Statistik der Bundesnetzagentur: Anzahl bearbeiterer Ersuchen gemäß § 112 TKG

Statistik der Bundesnetzagentur: Anzahl bearbeiterer Ersuchen gemäß § 112 TKG

Deutsche Behörden haben im letzten Jahr sieben Millionen Inhaber von Festnetz-, Mobilfunk- oder E-Mail-Anschlüssen identifiziert. Das geht aus offiziellen Zahlen der Bundesnetzagentur hervor, die den 250 Behörden ein automatisiertes Auskunftsverfahren zur Verfügung stellt. Durch die Neuregelung der Bestandsdatenabfrage und die Aufnahme von IP-Adressen werden die Zahlen weiter steigen.

Die Bestandsdatenauskunft wurde vor allem zu ihrer Neuregelung Anfang des Jahres diskutiert, existiert aber schon seit mindestens 15 Jahren. Mit dem manuellen Auskunftsverfahren können Polizeibehörden und Geheimdienste von Bund und Ländern direkt bei Telekommunikations-Anbietern eine Reihe an Daten abfragen, darunter Name und Anschrift von Anschlussinhabern. Das kostet die Bedarfsträger aber (Steuer-)Geld.

Automatisierte Bestandsdatenabfrage

Daneben existiert aber auch ein automatisiertes Auskunftsverfahren. Dabei müssen die rund 140 betroffenen Telekommunikations-Anbieter die Bestandsdaten in Kundendateien speichern, welche Bundesnetzagentur “jederzeit automatisiert abrufen kann”. Die Bundesnetzagentur wiederum bietet den Bedarfsträgern eine automatisierte Schnittstelle, mit denen diese die Daten abfragen können, ohne dass die Telekommunikations-Anbieter (oder gar die Betroffenen) davon mitbekommen. Die Anzahl der befugten Stellen ist hier mit rund 250 ungleich höher: Neben den Polizeibehörden und Geheimdiensten von Bund und Ländern sind das auch Gerichte, Notrufabfragestellen, Bundesanstalt für Finanzdienstleistungsaufsicht, Zollkriminalamt, Zollfahndungsämter und Behörden der Zollverwaltung. Im Gegensatz zum manuellen Auskunftsverfahren ist das automatisierte Verfahren für diese Behörden kostenlos.

Mit einer “einfachen” Bestandsdatenauskunft können die Bedarfsträger also eine Festznetz-Nummer, eine Mobilfunk-Nummer, eine E-Mail-Adresse oder eine Gerätenummer (IMEI) in die Suchmaske eingeben und Name und Anschrift des Anschlussinhabers, Geburtsdatum und weitere Informationen erhalten. Der Abruf ist laut Gesetz auch “unter Verwendung unvollständiger Abfragedaten” oder “mittels einer Ähnlichenfunktion” möglich.

Anzahl der Anfragen steigt kontinuierlich

Und diese Möglichkeit wird fleißig genutzt. Laut offiziellen Angaben der Bundesnetzagentur werden “etwa 7 Millionen Abfragen jährlich und bis zu 70.000 Abfragen pro Tag” automatisiert durchgeführt. Diese Zahlen steigen stetig an. Wir haben die offiziellen Zahlen der Bundesnetzagentur mal genommen, um die uns mitgeteilten aktuellen Zahlen erweitert und neu visualisiert:

BDA-Ersuchen-2012-590

Deutsche Behörden haben also im letzten Jahr sieben Millionen mal die Inhaber von Festnetz-, Mobilfunk- oder E-Mail-Anschlüssen identifiziert. Das ist einmal Name und Anschrift alle 4,5 Sekunden. Nur mit der automatisierten Abfrage, zusätzlich kommen noch manuelle Verfahren. (Die Anzahl der Abfragen, die die Bundesnetzagentur bei den Telekommunikations-Anbietern stellt, ist mit 36,3 Millionen noch höher, aber weniger aussagekräftig, da in Zeiten von Rufnummernmitnahme einzelne Anfragen an mehrere Unternehmen gestellt werden.)

Und das ist nur die alte Regelung. Seit der Neuregelung des Gesetzes Anfang des Jahres können auch die Inhaber von IP-Adressen im Internet über diese Auskunftsverfahren identifiziert werden. Es braucht keine Glaskugel, um einen weiteren Anstieg der Abfragen vorauszusagen.

Die Sammel-Verfassungsbeschwerde der Piraten Patrick Breyer und Katharina Nocun kann weiter mitgezwichnet werden.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

May 17 2013

Netzpolitischer Wochenrückblick: KW 20

Am Ende der Woche gibt es, wie immer, den Netzpolitischen Wochenrückblick! Die wichtigsten Themen der letzten sieben Tage in Text und Ton (mp3):

  • Skype liest Nachrichten aus dem Chat mit

Wer Skype nutzt muss beim ersten Programmstart die Nutzungsbedingungen akzeptieren, mit denen man Microsoft – dem Neueigentümer von Skype – das Einverständnis erteilt Nachrichten mitlesen zu dürfen. Wie heise Security herausgefunden am Dienstag berichtet hat, macht Microsoft von diesem Recht auch Gebrauch. [Zum Artikel]

  • Offline demonstrieren gegen #Drosselkom-Pläne

Gestern wurde vor der Hauptversammlung der Telekom in Köln gegen die Drosselpläne demonstriert. [Zum Artikel]

  • Bundesgerichtshof entscheidet: Google muss in Suchvorschläge eingreifen

Wie der Bundesgerichtshof am Dienstag entschieden hat, muss Google automatische Suchvorschläge entfernen oder bearbeiten, wenn Persönlichkeitsrechte verletzt werden. [Zum Artikel]

  • Wie für die Bestandsdatenauskunft getrickst wurde

Spiegel-Online berichtete am Montag über einen internen Vermerk des SPD-geführten Innenministerium von Nordrhein-Westfalen, das geschrieben und verteilt worden war um widerspenstige Rot-Grüne Bundesländer doch noch von der Sinnhaftigkeit der Bestandsdatenauskunft zu überzeugen. Und da durften alle Killerargumente nicht fehlen, die man bei sowas gerne nutzt: Terroristen, Islamisten, Kinderpornographie. [Zum Artikel]

  • Dokument zur EU-Datenschutzverordnung geleakt: Ministerrat zieht Datenschutz weiter die Zähne

Statewatch hat ein Dokument zum Verhandlungsstand der Datenschutzverordnung im Ministerrat geleakt. Daraus geht hervor, dass der Ministerrat weiter an Kernprinzipien der Datenschutzreform sägt. Die ausdrückliche Zustimmung zur Datenverarbeitung wollen die Innen- und Justizminister ebenso eindampfen wie das Prinzip der Datensparsamkeit. [Zum Artikel]

  • Homepageüberwachung: Polizei NRW hat mindestens 34 mal Webseiten-Besucher gerastert

Polizeibehörden des Landes Nordrhein-Westfalen haben seit 2001 mindestens 34 mal die Besucher ihrer Webseiten überwacht. Das berichtet der Innenminister auf eine kleine Anfrage, die wir veröffentlichen. Demnach wurde zwischen 2002 und 2009 immer mindestens eine staatliche Webseite überwacht. [Zum Artikel]

  • SPD stellt Entwurf zu neuem Informationsfreiheits- und Transparenzgesetz vor

Die Bundestagsfraktion der SPD hat am Mittwoch einen neuen Entwurf zum Informationsfreiheits- und Transparenzgesetz vorgestellt. Ziel ist es das vor sieben Jahren in Kraft getretene Informationsfreiheitsgesetz (IFG) zu reformieren und an entscheidenden Stellen zu verbessern. [Zum Artikel]

  • re:publica 2013: Sessionvideos

Für alle diejenigen von euch die nicht auf der re:publica 2013 waren, aber auch für alle die da waren und naturgemäß nicht alle Vorträge, Diskussionen und Workshops besuchen konnten, hat Michael Kreil sämtliche Videos der Sessions in eine sehr übersichtliche Form gebracht. [Zum Artikel]

  • Video: Astronaut singt Space Oddity im All

Wunderschön: Der kanadische Astronaut Chris Hadfield ist auf dem Rückweg von der ISS-Raumstation und hat zum Abschied “Space Oddity” von David Bowie vertont. Noch haben die GEMA-Youtube-Filter das Lied nicht entdeckt, insofern kann man es noch schauen, solange der Vorrat reicht:

Habt ein schönes Wochenende!

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01 02mydafsoup-01

April 19 2013

Netzpolitischer Wochenrückblick: KW 16

Die wichtigsten Themen der Woche im Netzpolitischen Rückblick, die Audioversion folgt in Kürze!

  • Quellen-TKÜ: Bund und Länder verzichten “bis auf Weiteres” auf Einsatz, Eigenentwicklung verzögert sich weiter

Die Eigenentwicklung eines behördlichen Staatstrojaners und die Überprüfung des kommerziellen Trojaners FinFisher verzögern sich weiter. Das geht aus einer Antwort des Innenministeriums vor, die wir veröffentlichen. Erstmals geben aber Bund und Länder zu, “bis auf Weiteres” auf Quellen-Telekommunikationsüberwachungen zu verzichten. [Zum Artikel]

  • Bestandsdatenauskunft: Bundesrat behandelt morgen “Vorratsdatenspeicherung durch die Hintertür” (Update)

Die umstrittene Bestandsdatenauskunft könnte die Vorratsdatenspeicherung durch die Hintertür einführen. Der Deutsche Journalisten-Verband und die Gesellschaft für Informatik fordern den Bundesrat auf, das geplante Gesetz abzulehnen. Es verletze das Telekommunikationsgeheimnis und gefährdet den Informantenschutz. [Zum Artikel]

  • Liveblog: Das Ende der Internetenquete

Markus war gestern und Bundestag und bloggte live von der 90-minütigen Debatte um die Enquete-Kommission Internet und digitale Gesellschaft. [Zum Artikel]

  • Über 80 Organisationen aus ganz Europa fordern endlich Sicherung der Netzneutralität

Über 80 Bürgerrechts- und Verbraucherschutzorganisationen forderten die EU-Kommission heute auf, endlich EU-weit das Prinzip der Netzneutralität zu sichern. Die europäischen Dachverbände European Digital Rights (EDRi) und die europäische Verbraucherschutzorganisation (BEUC) warnten in einem heutigen Brief (pdf), dass freie Kommunikation und Meinungsäußerung immer mehr eingeschränkt und immer häufiger in die Offenheit und Neutralität des Internets eingegriffen werde. [Zum Artikel]

  • Interne Protokolle: Bundesbehörden nehmen Gesetz zur Informationsfreiheit nicht ernst genug

Acht Jahre nach dem Inkrafttreten tun sich deutsche Bundesbehörden noch immer schwer mit dem Informationsfreiheitsgesetz. Das geht aus Protokollen einer ressortübergreifende Arbeitsgruppe hervor, die Zeit und Zeit Online veröffentlicht haben. Der Bundesbeauftragte für die Informationsfreiheit hält das Gesetz zwar für einen Erfolg, seht aber “noch viel Spielraum für Verbesserungen”. [Zum Artikel]

  • Unseriöse Geschäftspraktiken: Bundestag bringt Gesetz auf den Weg, das nichts an der Abmahn-Industrie ändert

Die Abmahn-Industrie gegen Filesharing im Internet soll auch weiterhin nicht wirksam eingeschränkt werden. Das beschließt der Deutsche Bundestag gerade in erster Lesung. Der Gesetzentwurf sollte eigentlich den zunehmenden Missbrauch von Abmahnungen bekämpfen – jetzt wurde ein ohnehin untauglicher Gesetzestext noch einmal verschlimmert. [Zum Artikel]

  • Druck aus den USA: Spanien führt repressivere Urheberrechtsdurchsetzung ein

Die USA führen nun schon seit einer Weile eine Watchlist, den sogenannten Bericht 301, der alle bösen Länder auflistet, in denen nicht streng genug gegen Urheberrechtsverstöße vorgegangen wird. Natürlich gibt es keine wirklich objektive Methode für die Erstellung dieser Liste. Grundsätzlich funktioniert sie so: Verschiedene Gruppen der Unterhaltungsindustrie erklären dem Amt des Handelsvertreters der Vereinigten Staaten (USTR) welche Länder sie nicht mögen, dann passiert ein wenig Magie und die USTR produziert den Bericht 301. Fun fact: Im Februar erklärte die Computer & Communications Industry Association (CCIA), dass nach der Einführung des Leistungsschutzrechts eigentlich auch Deutschland auf diese Liste müsste. [Zum Artikel]

  • “Polizeiphantasien aus Entenhausen”: Forschungsprojekt entwickelt Drohnen, die Fahrzeuge angreifen sollen

Zukünftig sollen Drohnen fahrende Autos und Boote aufhalten – indem sie Motorelektronik stören, Netze verschießen, Schaumstoff sprühen oder Reifen durchstechen. Daran forscht das Forschungsprojekt Aeroceptor, das mit 3,5 Millionen Euro von der EU-Kommission finanziert wird. Kritiker fürchten Unfälle mit Verletzten und Toten – und fordern ein Ende der Forschung. [Zum Artikel]

  • Internet-Zensur: Italienische Provider sperren 27 Filesharing-Seiten – und Indymedia

In Italien werden Internet-Provider verpflichtet, den Zugang zu bestimmten Webseiten zu sperren. Letzte Woche traf es 27 Filesharing-Seiten auf einmal. Die Internet-Zensur wurde ursprünglich gegen Kinderpornografie eingeführt, aber mittlerweile gegen alle möglichen Inhalte eingesetzt – auch politische Webseiten. [Zum Artikel]

  • Mobilfunkanbieter wollen Fahrverhalten von Autofahrern erfassen und an Versicherungen melden

Das Telekommunikationsunternehmen Telefonica hat heute auf der 19. Handelsblatt Jahrestagung verkündet, dass es bis Ende diesen Jahres eine Technik einführen will, die das Fahrverhalten von Autofahrern erfassen kann. Das System Telefónica Insurance Telematic ist laut Telefonica der nächste Schritt zum “connected car”: Basierend auf der Machine-to-Machine Technologie (M2M) soll das Fahrverhalten analysiert werden, um damit die Preise von Autoversicherungen genauer berechnen zu können. Ein Modul, das in das Auto eingebaut wird, erfasst dabei Faktoren wie Geschwindigkeitsüberschreitungen, Bremsverhalten und Nachtfahrten und überträgt diese per Mobilfunk an die Versicherungsgesellschaft. [Zum Artikel]

  • Neues Mandat für die EU Internet-Sicherheit Agentur ENISA

Am Dienstag stimmte das Europäische Parlament über einen neuen Verordnungsvorschlag zur Stärkung der ENISA, der Europäischen Agentur für Netz- und Informationssicherheit (auch EU “Cyber Security” Agentur) ab. Die Regelung führt zu einer Verstärkung der Agentur und wurde mit insgesamt 626 aus 687 Stimmen übernommen. [Zum Artikel]

  • CDU/CSU, FDP, SPD und Grüne sprechen sich gegen Softwarepatente aus

Tagensordnungspunkt 17 der Sitzung des Bundestages am Donnerstag lautete “Wettbewerb und Innovationsdynamik im Softwarebereich sichern – Patentierung von Computerprogrammen effektiv begrenzen”. In einem gemeinsamen Antrag (PDF) von CDU/CSU, FDP, SPD und Grünen fordern sie die Bundesregierung dazu auf, Softwarepatente effektiv zu begrenzen und zu gewährleisten, dass Computerprogramme urheberrechtlich geschützt blei­ben und dieser Schutz nicht durch eine Erteilung von Patenten auf bestimmte Softwarekomponen­ten ausgehebelt werden darf. Die Linke durfte den Antrag nicht unterstützen. Aus dem Büro von Petra Sitte heißt es, er gehe zwar in die richtige Richtung, einige Änderungen wären jedoch notwenig. [Zum Artikel]

  • Nächster Schritt für CISPA: Repräsentantenhaus stimmt zu

Nachdem der Geheimdienstausschuss dem CISPA Gesetzentwurf (Cyber Intelligence Sharing and Protection Act) am 10. April bereits zugestimmt hatte, hat gestern auch das Repräsentantenhaus abgestimmt. Mit 288 zu 127 Stimmen wurde CISPA dort nach zwei Tagen Debatte angenommen. [Zum Artikel]

  • Einbetten von Youtube Videos verletzt laut BGH eventuell Urheberrechte

Der Bundesgerichtshof sagte gestern in einer mündlichen Verhandlung, dass das Einbetten von YouTube-Videos in fremde Websiten möglicherweise eine Rechtsverletzung darstelle. Das Einbetten sei nicht mit einer Verlinkung vergleichbar und verletze eventuell Urheberrechte, so der Vorsitzende Richter Joachim Bornkamm. [Zum Artikel]

  • Bundestags-Ausschuss: Abgeordnete diskutieren über Exportkontrollen für Überwachungstechnologien

Westliche Überwachungstechnologien dürfen nicht in autoritäre Regime exportiert werden. Das forderte Reporter ohne Grenzen im Bundestagsausschuss “Abrüstung, Rüstungskontrolle und Nichtverbreitung” und präsentierte Möglichkeiten zur Exportkontrolle. Zum ersten Mal diskutierte damit auch der Bundestag über das Thema, vor der Wahl werden aber keine Konsequenzen folgen. [Zum Artikel]

Habt ein schönes Wochenende!

(Das sind btw Marmosetten)

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

April 17 2013

Bestandsdatenauskunft: Bundesrat behandelt morgen “Vorratsdatenspeicherung durch die Hintertür” (Update)

Die umstrittene Bestandsdatenauskunft könnte die Vorratsdatenspeicherung durch die Hintertür einführen. Der Deutsche Journalisten-Verband und die Gesellschaft für Informatik fordern den Bundesrat auf, das geplante Gesetz abzulehnen. Es verletze das Telekommunikationsgeheimnis und gefährdet den Informantenschutz.

Die Bestandsdatenauskunft, also die einfache Abfrage nach Passwörtern und Personen hinter IP-Adressen, wurde vor vier Wochen vom Bundestag beschlossen. Morgen beschäftigt sich der Innenausschuss des Bundesrates mit dem schwarz-gelb-roten Gesetz, bereits am 3. Mai soll es endgültig verabschiedet werden.

Nach der Kritik vom Arbeitskreis Vorratsdatenspeicherung und den Demonstrationen am Wochenende wird das Gesetz jetzt von weiteren Gruppen abgelehnt.

Der Deutsche Journalisten-Verband (DJV) fordert in einer Pressemitteilung den Innenausschuss auf, das Gesetz abzulehnen:

Aus Sicht des DJV kann der Informantenschutz in diesem Bereich bei Annahme des Gesetzes nicht gewährleistet werden. Daran änderte auch der Kompromiss zum Richtervorbehalt und zur nachträglichen Benachrichtigung Betroffener nichts, kritisierte DJV-Bundesvorsitzender Michael Konken. „Nach dem Gesetz in der vorliegenden Fassung müssen Journalisten befürchten, dass Ermittlungsbehörden die elektronischen Daten ihrer Informanten leichter ausspähen können. Sie könnten dann ihre Quellen nicht mehr wirksam schützen.“ Ein Beleg dafür sei, dass bei Gefahr in Verzug die richterliche Genehmigung zur Bestandsdatenauskunft auch im Nachhinein eingeholt werden dürfe. Nach Auffassung des Europäischen Gerichtshofs für Menschenrechte sei es jedoch für den Quellenschutz unabdingbar, dass ein Richter angerufen werde, bevor die Polizei oder die Staatsanwaltschaft Zugang zu den Quellen erhält. Das sei nicht gewährleistet. Der Bundesrat müsse dem Gesetz deshalb seine Zustimmung verweigern.

Die Gesellschaft für Informatik (GI) befürchtet eine Aushöhlung des Telekommunikationsgeheimnisses und eine Verletzung des Grundrechts auf Vertraulichkeit:

„Der Grundgedanke des Telekommunikationsgeheimnisses liegt bislang darin, den Austausch von Informationen so zu schützen, als ob er von Angesicht zu Angesicht stattfinden würde, d. h. die Nachrichten von Unbefugten nicht zur Kenntnis genommen werden können“, sagte Hartmut Pohl, Sprecher des Arbeitskreises.

Die geplante Neuregelung würde den Behörden allerdings internetweite Zugriffsmöglichkeiten gestatten, die deutlich über das bisher für den engeren Bereich der Telekommunikation Zulässige hinausgehen.

„Mit den geplanten Änderungen wird das Telekommunikationsgeheimnis allerdings nicht nur im Kern ausgehöhlt, sondern auch das Grundrecht der Bürgerinnen und Bürger auf Vertraulichkeit und Integrität informationstechnischer Systeme (sog. Computergrundrecht) massiv verletzt“, sagte Pohl. Der Arbeitskreis fordere daher die Bundesländer auf, am 3. Mai im Bundesrat gegen das geplante Gesetz zu stimmen.

Die GI kritisiert vor allem die Herausgabe von Passwörtern:

In Bezug auf Bestandsdaten bedeutet dies, dass Telekommunikationsanbieter nicht nur die Daten aus den Verträgen mit ihren Kunden sowie PINs und PUKs für SIM-Karten (Handys, Smartphones) herausgeben müssen, sondern auch gespeicherte Zugangsdaten (Passwörter) für E-Mail- oder Cloud-Accounts. Über solche Accounts finden sich allerdings häufig auch Zugangsdaten zu Facebook, LinkedIn, Xing oder Twitter.

Diesen Aspekt betont auch ein Video aus dem Umfeld der Piratenpartei besonders. Um die Inhalte von Accounts anzufragen, braucht es aber die Bestandsdatenauskunft gar nicht, das geht auch heute schon direkt beim Anbieter – und wird fleißig genutzt, wie die Transparenzberichte von Google, Microsoft, Twitter und LeaseWeb zeigen.

Das viel größere Problem ist, dass der dafür notwendige Richtervorbehalt in der Praxis keine inhaltliche Überprüfung erfordet und damit seine Intention der unabhängigen Kontrolle verfehlt. Was die Ermittlungsbehörden anfordern, bekommen sie auch.

Umso schlimmer ist es, dass die Abfrage, welcher Anschlussinhaber hinter einer dynamischen IP-Adresse oder einer Telefonnummer steckt, noch nicht einmal einen Richtervorbehalt erfordert. Durch die neu eingerichtete elektronische Schnittstelle ist zu erwarten, dass massenhafte Abfragen von Namen und Adressen wie bei Funkzellenabfragen und Homepageüberwachungen noch deutlich einfacher und häufiger werden.

Die GI kritisiert diese Abfrage von Verkehrsdaten als “Vorratsdatenspeicherung durch die Hintertür”:

Darüber hinaus sollen Telekommunikationsunternehmen in Vorbereitung auf Auskunftsersuchen berechtigt und verpflichtet werden, Verkehrsdaten auszuwerten. Da eine Auswertung auch die Speicherung impliziert, bleibt bei der Formulierung unklar, inwieweit und wie lange Verkehrsdaten gespeichert und abrufbar gemacht werden müssen. Möglicherweise handelt es sich bei dieser Neuregelung um eine Vorratsdatenspeicherung durch die Hintertür.

Die piratige Seite bestandsdatenauskunft.de hat visualisiert, wie eine solche Abfragesoftware aussehen könnte:

intern.bestandsdatenauskunft.de

Der Arbeitskreis Vorratsdatenspeicherung ruft dazu auf, Protest-E-Mails an die Landesregierungen zu schicken.

Update: Auch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) kritisiert das Gesetz:

Der Bundestag hat einen Entwurf am 21. März 2013 verabschiedet, der zwar gegenüber dem von der Bundesregierung eingebrachten Entwurf einige Verbesserungen vornahm, jedoch weiterhin gravierende verfassungsrechtliche Mängel aufweist. Vorgesehen ist nun die Einführung eines Richtervorbehalts für die Auskunft über Inhaber dynamischer IP-Adressen und die Abfrage von Zugangssicherungscodes wie PIN oder Passwörter. Der Entwurf macht aber keinen materiell-rechtlichen Unterschied zwischen der reinen Bestandsdatenabfrage und der wesentlich schwerwiegenderen Abfrage, welchem Nutzer eine IP-Adresse zu einem bestimmten Zeitpunkt zugeordnet war. Die Verfolgung von Ordnungswidrigkeiten eröffnet bisher derartige Abfragen. Nicht hinreichend berücksichtigt wurde der erhöhte Schutzbedarf der hochsensiblen Zugangssicherungscodes wie PIN/PUK oder Passwörter. Die vorgesehene Benachrichtigungspflicht für Auskünfte über IP-Adresseninhaber und Zugangssicherungscodes sieht weit reichende Ausnahmen vor, ohne dass eine Instanz das Unterlassen der Benachrichtigung kontrolliert.

Der Leiter des ULD Thilo Weichert:

Im Interesse der Sicherheitsbehörden wie des Datenschutzes wäre es nicht schön, wenn das Gesetz erneut vom Bundesverfassungsgericht kassiert würde. Ohne die von uns angemahnten Änderungen ist dies sehr wahrscheinlich. Ich hoffe, dass sich der Bundesrat seiner Verantwortung bewusst ist.

vgwort pixel

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

April 05 2013

Bündnis gegen das Bestandsdatenschnüffelgesetz

Im Umfeld der Piratenpartei hat sich das “Bündnis gegen das Bestandsdatenschnüffelgesetz” gegründet. Ziel ist die Verhinderung der Bestandsdatenauskunft. Das ist momentan technisch möglich, weil der Bundesrat dem vor kurzem im Bundestag abgestimmten Gesetz noch zustimmen muss. Politisch ist eine Verhinderung aber unrealistisch, weil die SPD im Bundestag mit der Koalition gestimmt hat und sich daher sicher keine Mehrheit im Bundesrat dagegen finden wird.

Nichtsdestotrotz gibt es an der beschlossenen Bestandsdatenauskunft viel zu kristisieren und eine erneute Bundesverfassungsgerichtsklage mit Chancen, diese wiederum zu stoppen, wird auch einige Zeit dauern. Das Bündnis möchte gleich zweimal auf die Straße gehen, einmal am Sonntag, den 14.4.2013 und einmal am Samstag, den 27.04.2013. Wo genau, sagt das Wiki.

Dazu gibt es auch ein Mobilisierungsvideo:

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl