Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 17 2014

February 05 2014

Britisches “Network for police monitoring” startet Kampagne gegen politische Datensammlung der Polizei

domestic-extremistNicht nur in Deutschland werden linke AktivistInnen in einer eigenen Datenbank geführt. Auch die britische Polizei hat Ende der 90er Jahre eine entsprechende Datensammlung eingerichtet. Gespeichert werden Personen, die als “domestic extremists” gelten, übersetzt heißt das soviel wie “einheimische Extremisten”. Häufig ist unklar, wie Betroffene überhaupt in die Datenbanken gelangen (exemplarisch: “Wiesbadener Märchenstunde – Wie das BKA manche Speicherung in seinen Polizeidatenbanken begründet”).

Im Falle der früheren, beim Bundeskriminalamt (BKA) als Zentraldatei innerhalb von INPOL geführten Datei “International agierende gewaltbereite Störer” (IgaSt) reichte bereits ein Platzverweis am Rande einer Demonstration. Auch der gemeinsame Grenzübertritt, etwa im Fahrzeug einer bereits in IgaSt gespeicherten Person, galt als verdächtig und führte zur Speicherung. Die Datei wurde dann benutzt, um Reiseverbote für zukünftige Proteste zu verhängen. Legendär war hierzu der Spruch des früheren Berliner Innensenators Ehrhart Körting (SPD) zwölf Jahre nach dem Fall der Mauer:

Es gibt [in Deutschland] kein Grundrecht auf Ausreise.

Aufgrund einer Speicherung in IgaSt Ausreiseverbote zu verhängen war zuletzt zum NATO-Jubiläum 2009 in Strasbourg dutzendfach angewendet worden. Das Verwaltungsgericht in Kehl hatte dies allerdings in fast allen Fällen als rechtswidrig erklärt.

Mittlerweile ist die Datei in “PMK-links-Z” umbenannt. “Z” steht für Zentraldatei, Besitzer der Daten ist also das BKA. “PMK” bedeutet “Politisch motivierte Kriminalität”. Um die Praxis der rechtswidrigen, politischen Datensammlungen bei deutschen Polizeien aufzudecken hatte das data:recollective vor einigen Jahren die auch von Netzpolitik unterstützte Kampagne “Reclaim Your Data” gestartet. Sie warb für den “Auskunftsgenerator” des Projekts “Datenschmutz”, womit die bei Bundes- und Landespolizei gespeicherten Daten bequem nachgefragt werden können. Von einer Abfrage bei Verfassungsschutzämtern wird aber gewarnt, da diese teilweise eine Begründung verlangen

Seit Jahren machen auch britische Bürgerrechtsgruppen gegen die politisch motivierte Datensammlung zu “domestic extremists” mobil. Letztes Jahr schrieb die Tageszeitung Guardian, dass rund 9.000 Personen dort verarbeitet würden. Sie wird von der “National Domestic Extremism Unit” (NDEU) betrieben.

In den letzten Jahren flogen in Großbritannien mehrere Polizeispitzel auf, die auch maßgeblich bei der Planung von Aktionen mitgeholfen hatten. Pikant: Zahlreiche Namen von Zielpersonen sowie Betroffenen aus deren Umfeld wurden von den Spitzeln in die Datenbank geschaufelt, ohne dass irgendwelche Gründe dies rechtfertigen würden. Hinzu kommen Fotos, die eine eigene Einheit namens “Forward Intelligence Team” beschafft. Dabei handelt es sich um Fotografen, die sich mit großen Teleobjektiven gegenüber von Wohnorten oder Treffpunkten postieren und beim Verlassen der Örtlichkeiten hochauflösende Fotos machen.

Nun hat das britische “Network for police monitoring” (Netpol) eine Kampagne gegen die Datensammlung gestartet. Für heute wurde der “domestic extremism awareness day” ausgerufen, ein eigener Hashtag fragt nach Statements von Betroffenen. Viel wichtiger ist aber der Aufruf zur Abfrage der eigenen Daten. In Großbritannien heißt das “Subject Access Request”.

Netpol stellt hierfür ähnlich wie das deutsche Datenschmutz-Wiki einen Vordruck auf seiner Webseite bereit. Innerhalb von zwei Wochen muss die Polizei den Eingang bestätigen. Ob wirklich eine brauchbare Antwort kommt, kann aber bezweifelt werden. In Deutschland werden viele Angaben aus Gründen des “Quellenschutzes” verweigert. Gemeint sind Spitzel oder Informanten, die durch die Preisgabe der Informationen in Gefahr geraten könnten.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

February 03 2014

BSI-Fail bei geklauten Passwörtern wird immer größer

Hacker aus Osteuropa hatten mehrere Millionen Passwörter zu Nutzeraccounts in die Hände bekommen. Danach ist die Datenbank mit diesen Zugangsinformationen in die Hände des BSI gelangt. Und wahrscheinlich erinnert ihr euch noch an die Meldung vor zwei Wochen, in der wir darüber gelästert haben, dass die Webseite der Behörde zur Überprüfung ob man selbst zu den Betroffenen gehört vom Ansturm an Abfragen in die Knie gegangen war.

Schon damals hatte man sich an vielen Stellen gefragt, warum es so lange gedauert hatte, bis das BSI mit der Information über die geknackten Onlinekonten an die Öffentlichkeit gegangen war, immerhin hatten sie nach eigenen Angaben bereits seit Dezember über den Vorfall Bescheid gewusst. BSI-Präsident Michael Hange rechtfertigte die Verzögerung jedoch damit, es habe lange gedauert bis das Verfahren einer “großen Zahl von Anfragen gewachsen ist”.

Das klang damals schon ein bisschen fragwürdig. Mittlerweile hat sich herausgestellt, dass der Datenklau nicht erst seit Dezember bekannt war. Der Spiegel hat gestern bekannt gegeben, dass BKA und BSI bereits im August vor geknackten Konten gewarnt hatten. Aber nicht normale Bürger, sondern ausschließlich Mitglieder von Behörden, Ministerien und dem Deutschen Bundestag, denn man hatte herausgefunden, dass sich 600 E-Mail-Adressen aus diesem Umfeld in der Datenbank betroffener Adressen befanden. Warum man nicht zum gleichen Zeitpunkt auch die Bürger informiert hatte, versucht das BSI damit zu begründen, man habe “zunächst eine aufwendige Webseite programmieren und Datenschutzfragen klären müssen”. Verzeiht, wenn ich Bilder sprechen lasse, aber manchmal sagt ein solches mehr als 1000 Worte:

Original CC-BY-NC-SA 2.0 via Flickr/dkbschmidt

Original CC-BY-NC-SA 2.0 via Flickr/dkbschmidt

Konstantin von Notz sagte gestern dem Spiegel gegenüber, es stehe der Verdacht einer massiven Schutzpflichtverletzung im Raum, falls die Behörden wirklich seit August Bescheid gewusst hätten. Schutzpflichtverletzung ist ein sehr nüchterner Ausdruck für einen Vorfall, der illustriert, dass wir in Deutschland eine Zwei-Klassen-Gesellschaft haben, wenn es um Datenschutz und Privatsphäre geht. Ein wenig wie bei der Abhörung des Kanzlerinnenhandys, auch dort schien die massenhafte Abhörung der Bevölkerung im Verhältnis zu einem einzigen Mobiltelefon keine rechte Relevanz zu haben.

Man sollte sich daher auch an die eigene Nase fassen, wenn man den Amerikanern vorwirft, sie legten unterschiedliche Maßstäbe für die Privatsphäre der Menschen im Land und außerhalb an und man selbst nichteinmal den eigenen Bürgern untereinander das gleiche Schutzrecht zugesteht, ohne dass es einen ernstzunehmenden Grund dafür gibt. Das ist kein technischer Ausrutscher – das ist eine Missachtung demokratischer Werte und eine Manifestation asymmetrischer Grundrechtsverteilung.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted bymondkroetestraycatBloodredswanambassadorofdumbCholerik

November 09 2013

“Cyber Storm”: Deutsche Behörden, USCYBERCOM, NSA und DHS trainieren Prävention und Abwehr von “Cyberangriffen”

Cyberstorm_IIIWieder haben deutsche Behörden an der wohl weltweit größten “Cyberübung” teilgenommen. So steht es auf der Webseite des US-Ministeriums für Heimatschutz (DHS). Das DHS ist für die Planung und Durchführung des Manövers verantwortlich. “Cyber Storm IV” endet dieses Jahr. Alle zivilen und militärischen US-Sicherheitsbehörden waren mit von der Partie, darunter auch das 2010 eingerichtete “Cyber Command” (USCYBERCOM) sowie die Geheimdienste CIA und NSA.

Die “Cyber Storm”-Manöver werden seit 2006 abgehalten. Die erste Übung fand noch unter alleiniger Beteiligung von US-Behörden statt. 2008 versammelte “Cyberstorm II” neben den USA auch Großbritannien, Australien, Kanada und Neuseeland. Die befreundeten Staaten sind auch Mitglieder des Geheimdienstnetzwerks “Five Eyes”, das vermutlich hinter weitgehenden, weltweiten digitalen Spähmaßnahmen steckt.

Für die internationale Vorbereitung von “Cyberstorm” existieren multilaterale Netzwerke. Hierzu gehört die “Arbeitsgruppe EU-USA zum Thema Cybersicherheit und Cyberkriminalität” sowie ein sogenanntes “EU-/US-Senior-Officials-Treffen”. An “Cyber Storm III” nahm erstmals auch Deutschland teil, ebenfalls an Bord waren Frankreich, Ungarn, Italien, Niederlande und Schweden sowie zahlreiche mit IT-Sicherheit befassten Firmen (eine Liste aller damals Beteiligten findet sich im Abschlussbericht).

“Cyberstorm IV” ist noch größer angelegt als seine drei Vorläufer: Die Übung begann bereits letztes Jahr und klappert zwischendurch etliche US-Bundestaaten ab. Das Finale namens “Evergreen” war für diesen herbst angekündigt, offensichtlich aber ohne ausländische Beteiligung.

Welche deutschen Behörden bei “Cyberstorm IV” mitmischen, geht aus den Dokumenten des US-Heimatschutzministeriums nicht hervor. Es dürfte sich aber wie bei “Cyberstorm III” um das Bundesamt für Sicherheit in der Informationstechnik (BSI) handeln. Laut der Antwort auf eine Kleine Anfrage hatte das BSI vor drei Jahren bereits “25 Mitarbeiter” abgestellt, ein Mitarbeiter sei sogar in der “zentralen Übungssteuerung in Den Haag” eingesetzt gewesen. Welche Infrastruktur der niederländischen Hauptstadt eingebunden war, wird nicht mitgeteilt. Es könnte aber der Vorläufer des European Cybercrime Centre (EC3) bei EUROPOL gemeint sein. Dies würde auch erklären, auf welche Weise das Bundeskriminalamt (BKA) ebenfalls bei “Cyber Storm III” mitmischte.

Laut der Bundesregierung hätten das BSI und das BKA nur an einem “Strang” partizipiert, wo kein Militär anwesend war. Geübt wurde demnach mit dem US-Heimatschutzministerium. Australien, Italien, Kanada, Neuseeland und Großbritannien seien dabei als Beobachter aufgetreten. Jegliche Beteiligung des BSI und BKA an militärischen Aktivitäten wird abgestritten. Das ist jedoch Augenwischerei: Alle Erkenntnisse aus Teilbereichen des Manövers können auch geheimdienstlich oder militärisch genutzt werden.

Zu den Szenarien von “Cyber Storm” gehören “cyberterroristische Anschläge”, über das Internet ausgeführte Angriffe auf kritische Infrastrukturen, “DDoS-Attacken” sowie “politisch motivierte Cyberangriffe”. Es werden auch “Sicherheitsinjektionen” mit Schadsoftware vorgenommen. Es kann angenommen werden, dass die Hersteller des kurz nach der Übung “Cyberstorm III” auftauchenden Computerwurm “Stuxnet” ebenfalls von derartigen Anstrengungen profitierten – jedenfalls wird vielfach eine teilweise Urheberschaft von US-Behörden vermutet. Selbst die Bundesregierung bestätigt, dass sich “Stuxnet” durch “höchste Professionalität mit den notwendigen personellen und finanziellen Ressourcen” auszeichne und vermutlich einen geheimdienstlichen Hintergrund hat.

Auch in Europa bzw. der Europäischen Union werden die Kapazitäten zur Zusammenarbeit bei “Cybersicherheitsvorfällen” stetig vernetzt. Regelmässig werden entsprechende Übungen abgehalten. “BOT12″ simuliert Angriffe durch “Botnetze”, “Cyber Europe 2010″ und “Cyber Europe 2012″ versammelte unter anderem die Computer Notfallteams CERT aus den Mitgliedstaaten (hier der Abschlussbericht). Nächstes Jahr ist eine “Cyber Europe 2014″ geplant. Für die Planung und Organisation aller “Cyber Europe” ist die Europäische Agentur für Netz- und Informationssicherheit (ENISA) verantwortlich, die von dem ehemaligen BSI-Chef Udo Helmbrecht geführt wird. Außerdem errichtet die EU ein “Advanced Cyber Defence Centre” (ACDC), an dem auch die Fraunhofer Gesellschaft, EADS Cassidian sowie der Internet-Knotenpunkt DE-CIX beteiligt sind.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

October 21 2013

Innenministerium beantwortet Anfrage zu Quadrokoptern, BKA prüft demnach “technische Möglichkeiten zur Abwehr”

Wunderbare Aktion bei Freedom Not Fear 2013 in Brüssel: Ein Quadrokopter beim Auswärtigen Dienst, der im Dezember über EU-Drohnen beschließen lassen will

Wunderbare Aktion bei Freedom Not Fear 2013 in Brüssel: Ein kleiner Quadrokopter vorm Auswärtigen Dienst, der im Dezember über EU-Drohnen beschließen lassen will (Bild: Fabian Keil)

Das Bundeskriminalamt (BKA) warnt in einem “Lagebild Luftsicherheit 2012″ vor dem Einsatz von ferngesteuerten Drohnen und Modellflugzeugen in Deutschland, da diese zur Beförderung von Sprengstoffen genutzt werden könnten. Hintergrund war die Verurteilung eines US-Staatsbürgers, der angeblich den Regierungssitz und das Pentagon in Washington mit Modellflugzeugen angreifen wollte. Als Nutzlast habe der Festgenommene Plastiksprengstoff vorgesehen, Flugzeuge und Fernzünder seien bereits besorgt gewesen. “Ähnliche Szenarien müssen auch in Deutschland als mögliche Tatoption in Betracht gezogen werden”, zitiert FOCUS den als geheim eingestuften Bericht des BKA. Weil die dort aufgestellten Behauptungen mithin nicht überprüft werden können, hatte die Linksfraktion eine Kleine Anfrage “Ermittlungen unter Beteiligung von Bundesbehörden zu ferngesteuerten Modellflugzeugen und Quadrokoptern” eingereicht.

Die Antwort ist nun eingetrudelt und gibt einige Hinweise auch zum Flug von Quadrokoptern beim US-Komplex “Dagger” in Darmstadt und der Wahlkampfveranstaltung der CDU in Dresden, als die Piratenpartei kurz vor der Wahl mit einer “Parrot”-Drohne auf sich aufmerksam machte. Kern der Anfrage waren aber zwei Ermittlungsverfahren, mit denen das Landeskriminalamt (LKA) Baden-Württemberg befasst ist. In mindestens zwei Fällen wurde demnach versucht, Anschläge mit Sprengstoffen zu begehen.

Generalbundesanwaltschaft interessiert sich für vermeintliche “Islamisten”, aber nicht für Rechtsextreme

Bereits im Sommer führte die Polizei Razzien gegen zwei tunesische Staatsangehörige durch. Sie waren verdächtig, Modellflugzeuge mit Sprengstoff präparieren zu wollen und wurden seit 2012 vom LKA und Verfassungsschutz Baden-Württemberg beobachtet. In den Medien wurden die Verdächtigen als “radikale Islamisten” tituliert. Einige hätten an der Universität Stuttgart studiert und geforscht, wie ferngesteuerte Flieger per GPS programmierte Routen fliegen könnten. Es ist aber immer noch unklar, ob sie tatsächlich Anschläge planten oder eher technikbegeisterte Studenten waren. Auch die Bundesregierung untermauert die Behauptung nicht. Dennoch werden die Ermittlungen unter Beteiligung der Generalbundesanwaltschaft geführt.

Am 10. September 2013 hatte das LKA die erfolgreiche Verhinderung eines weiteren Anschlags mitgeteilt: Razzien in Freudenstadt, Emmendingen und Freiburg hätten gezeigt, dass vier Verdächtige ferngesteuerte Modellflugzeuge mit selbst gebasteltem Sprengstoff bestücken wollten. Gegen den mutmaßlichen Hersteller der Bomben wurde Haftbefehl erlassen. Es handelte sich bei den Festgenommenen um Rechtsextreme, die im Raum Freiburg teils seit Jahren aktiv sind. Sie haben geplant, mit den Flugzeugen antifaschistische AktivistInnen zu attackieren.

Die Bundesregierung bestätigt, eine “Spreng- und Brandvorrichtung” sichergestellt zu haben. Laut Sprengstoffexperten des LKA hätte der Anschlag in einem Umkreis von 20 bis 30 Metern Menschen schwere Verletzungen hervorrufen können, Todesopfer wären nicht auszuschließen gewesen. Während bei den Nazis also Bauteile für Bomben gefunden wurden, ist dies über die beiden Tunesier nicht gemeldet worden. Unerklärlicherweise hat sich die Generalbundesanwaltschaft aus dem Verfahren gegen die Deutschen zurückgezogen, das Verfahren gegen die tunesischen Staatsangehörigen wird hingegen auf höchster Ebene betrieben. Daraus ließe sich schließen, dass der in Planungen weit fortgeschrittene Anschlag der Nazis weniger Verfolgungseifer der Behörden weckt.

Ausweislich der Antwort ist das BKA “im Rahmen seiner originären Zuständigkeit” seit mehreren Jahren mit “potentiellen Gefahren, welche von UAV und Modellflugzeugen für Schutzpersonen und Schutzobjekte ausgehen können” befasst. Unter anderem prüft die Behörde “die technischen Möglichkeiten zur Abwehr von UAV” – der von AktivistInnen auch politisch genutzte Luftraum dürfte also zukünftig einige Überraschungen bergen. Gibt es bald Luftkämpfe von Quadrokoptern mit dem BKA? Es ist nicht klar, wie das BKA unerwünschte Flieger vom Himmel holen will, ohne die steuernde Person ausfindig zu machen. Bei den Protesten um den Gezi-Park in Istanbul hatte die Polizei eine “Phantom”-Drohne, wie sie auch in Deutschland im Elektronikfachhandel verkauft wird, beispielsweise mit einer Pistole abgeschossen:

Änderungen im Luftverkehrsgesetz

Ausführlich beschreibt das Bundesinnenministerium in der Antwort die Voraussetzungen, unter denen aus seiner Sicht Quadrokopter aufsteigen dürfen und wie sich diese gemäß entsprechender Verordnungen von Modellflugzeugen abgrenzen. Um ein Flugmodell handelt es sich demnach, wenn das Gerät für Zwecke des Sports oder der Freizeitgestaltung betrieben wird. Ansonsten gelten sie als Luftfahrzeuge, Flüge sind dann genehmigungspflichtig. Antragsteller waren im letzten Jahr vorwiegend Ingenieurbüros, Filmproduktionsfirmen, Hochschulen und das Technische Hilfswerk.

Mit der Änderung der Luftverkehrsordnung wurde Drohnen 2010 mit der Formulierung “unbemanntes Luftfahrtgerät” ein eigener Status eingeräumt. Die später beschlossene Neufassung des Luftverkehrsgesetzes schafft ihnen zudem einen Platz im Luftverkehrsrecht. Jedoch war die Rechtslage bezüglich der Regulierung unbemannter Systeme lange uneinheitlich. Letztes Jahr wurden deshalb “Gemeinsamen Grundsätze des Bundes und der Länder für die Erteilung der Erlaubnis zum Aufstieg von unbemannten Luftfahrtsystemen” veröffentlicht. Geregelt werden beispielsweise pauschale Genehmigungen oder Einzelerlaubnisse für Geräte über 5 Kilogramm.

Auch auf EU-Ebene werden bald neue Verordnungen erwartet. Für ein Abfluggewicht oberhalb von 150 Kilogramm ist die Europäische Agentur für Flugsicherheit (EASA) mit Sitz in Köln zuständig. Bei der Definition unbemannter Flugsysteme und der Auslegung der damit verbundenen Rechtsfolgen sollen nationale und europäische Bestimmungen vereinheitlicht werden.

Weil das Thema für viele Freizeit- und Profi-PilotInnen von Interesse ist, hier die Textstelle zu rechtlichen Voraussetzungen aus der Antwort des Bundesinnenministeriums im Volltext:

§ 22 des Gesetzes betreffend das Urheberrechts an Werken der bildenden Künste und der Photographie (KunstUrhG) sieht vor, dass Bildnisse nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden dürfen. § 23 KunstUrhG sieht einen auf bestimmte Tatbestände beschränkten Ausnahmekatalog vor. Das Einwilligungserfordernis dient dazu, das Recht am Bild eines jeden Einzelnen effektiv durchzusetzen. Darüber hinaus besteht mit § 201a StGB ein Straftatbestand, der vor der unbefugten Herstellung von Bildaufnahmen schützt. Voraussetzung ist allerdings, dass Bildaufnahmen von einer anderen Person hergestellt (oder übertragen) werden, die sich in einer Wohnung oder einem gegen Einblick besonders geschützten Raum befindet, und dass dadurch deren höchstpersönlicher Lebensbereich verletzt wird. Die Entscheidung, ob diese Voraussetzungen im Einzelfall vorliegen, obliegt den Strafverfolgungsbehörden der Länder.

Unabhängig von der Art der von einem unbemannten Luftfahrtsystem überflogenen Veranstaltung ist für die luftrechtliche Zulässigkeit des Aufstiegs auf den Zweck des Fluges abzustellen. Nach § 1 Absatz 2 Satz 3 LuftVG gelten unbemannte Fluggeräte als Luftfahrzeuge, wenn sie nicht zu Zwecken des Sports oder der Freizeitgestaltung betrieben werden. Der Aufstieg eines solchen unbemannten Luftfahrtsystems ist gemäß § 16 Absatz 1 Nummer 7 der Luftverkehrs-Ordnung (LuftVO) erlaubnispflichtig.

Erfolgt der Flug im kontrollierten Luftraum, ist eine Flugverkehrskontrollfreigabe gemäß 16a Absatz 1 Nummer 5 LuftVO einzuholen. Wiegt das Gerät mehr als 25 kg oder erfolgt der Betrieb außer Sichtweite des Steuerers, ist der Aufstieg gemäß § 15a Absatz 3 Satz 1 LuftVO grundsätzlich verboten.

Mit den “Gemeinsamen Grundsätzen des Bundes und der Länder für die Erteilung der Erlaubnis zum Aufstieg von unbemannten Luftfahrtsystemen gemäß § 16 Absatz 1 Nummer 7 LuftVO” haben Bund und Länder einheitliche Regelungen für die Harmonisierung des Verwaltungshandeln für den zivilen Betrieb von unbemannten Luftfahrtsystemen erarbeitet. Dabei wurde grundsätzlich festgelegt, dass keine Erlaubnis erteilt wird, wenn ein unbemanntes Luftfahrtgerät über Menschen und Menschenansammlungen betrieben werden soll.

Wird das unbemannte Fluggerät jedoch zu Zwecken des Sports oder der Freizeitgestaltung betrieben, so handelt es sich um ein Flugmodell, § 1 Absatz 1 Nummer 8 der Luftverkehrs-Zulassungs-Ordnung (LuftVZO).

Der Aufstieg von Flugmodellen ist nicht erlaubnisbedürftig, soweit die Gesamtmasse 5 kg nicht übersteigt und ein Abstand von 1,5 km zum nächstgelegenen Flugplatz eingehalten wird, § 16 Absatz 1 Nummer 1 Buchstabe a und d LuftVO. Soll der Aufstieg im kontrollierten Luftraum erfolgen, ist auch für Flugmodelle eine Flugverkehrskontrollfreigabe nach § 16a Absatz 1 Nummer 2 LuftVO erforderlich.

Darüber hinaus kann die zuständige Polizei- und Ordnungsbehörde auf der Grundlage des jeweiligen Landesrechts tätig werden, soweit der Aufstieg eines unbemannten Fluggerätes eine Gefahr für die öffentliche Sicherheit und Ordnung darstellt. Sollte also der Aufstieg durch Überflug einer Menschenansammlung Gefährdungspotential haben, so kann die zuständige Behörde den Flug mittels Ordnungsverfügung untersagen.

Interessant zu wissen, mit welchen Repressalien die AktivistInnen beim Dagger-Komplex, der BND-Zentrale oder der CDU-Show in Dresden nach den Aktionen bedacht wurden. Wie wurden diese begründet, wie wurde darauf juristisch reagiert? Fallen politische Ambitionen unter “Freizeit” und sind mithin nicht genehmigungspflichtig? Vielleicht könnt ihr Informationen in den Kommentaren posten.

Übrigens ist es auch möglich, dass die Polizei selbst in Bedrängnis kommt wenn sie mit fliegenden Kameras spioniert. Bei Einsätzen in Leipzig ist der steuernde Pilot manchmal ungeschützt, es wäre ein Leichtes ihn durch Fragen oder Proteste abzulenken. Die kleinen Drohnen sinken in diesem Fall kontrolliert zu Boden. In Leipzig wäre dies (wenn nicht per GPS anders programmiert) über dem Einlass des Stadions passiert:

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

October 05 2013

“Vom kleinen Zettelkasten über einfache Tabellen bis hin zu den automatisierten Sammlungen des polizeilichen Informationssystems”

Schon damals unübersichtlich: Polizeiliche Informationssysteme 1982

Schon damals unübersichtlich: Polizeiliche Informationssysteme 1982

Drei Kleine Anfragen der Linksfraktion widmen sich derzeit polizeilichen Datensammlungen des Bundeskriminalamtes (BKA), des Zollkriminalamtes (ZKA) und der Bundespolizei. Die Abgeordnete Ulla Jelpke hatte sich bereits im August nach dem “Umfang der zum Zwecke der Prävention geführten polizeilichen Dateien (2013)” erkundigt. Heraus kam, dass das BKA 2012 rund 23,6 Millionen Personendatensätze speicherte, 2011 waren es noch 15,7 Millionen. Alle Dateien sind in der Antwort des Bundesinnenministeriums im Anhang aufgeführt (siehe auch den Bericht von Christiane Schulzki-Haddouti bei heise.de).
Die Linksfraktion hat nun eine weitere Anfrage zur Klärung der Zunahme eingereicht. Beide parlamentarische Initiativen befassen sich vornehmlich mit der vermeintlichen “Gefahrenabwehr”. Was also noch fehlt, sind Daten zu allen anderen “Strafverfolgungsdateien der Bundessicherheitsbehörden”.

Die schon vorliegende Antwort zeigt einen signifikanten Anstieg beispielsweise in den Datensammlungen “Politisch motivierte Kriminalität” (PMK) zu “Straftäter linksmotiviert” (8.181 Personen) und “Straftäter rechtsmotiviert” (17.840 Personen). Als “Straftäter politisch motivierte Ausländerkriminalität” werden 3.356 Personen gespeichert. Die Bundesregierung nennt diese Zuordnungen politischer Orientierung einen “personengebundenen Hinweis”.

In der Datei “Innere Sicherheit” (auch als “INPOL” bezeichnet), dem größten polizeilichen Informationssystem, werden allerdings mit 89.423 Personen noch mehr Betroffene politisch kategorisiert. Dort wird zu “rechts” von 50.107 Personen gesprochen, zu “links” von 22.837 Personen und zu “Ausländerkriminalität” von 7.160 Personen. Wie in den PMK-Dateien werden in INPOL nicht nur Beschuldigte und Verdächtige gespeichert, sondern auch “Hinweisgeber/ Zeuge/ sonstige Auskunftspersonen” sowie angetroffene “Kontakt-/ Begleitpersonen” oder “Sonstige Personen”. Alle Informationen werden im Bereich des polizeilichen Staatsschutzes genutzt und zur “Verhütung und Verfolgung von Straftaten mit länderübergreifender, internationaler oder anderer erheblicher Bedeutung” vorgehalten.

Dateien, Tabellen, Datensätze?

Im Wirrwarr polizeilicher Vorratsdatensammlungen wird gern von Dateien gesprochen. Das BKA führt beispielsweise Dateien mit Personen- und Sachdaten, die in der INPOL-Datensammlung zusammengefasst sind und allen Landeskriminalämtern zugänglich sind. Hierzu gehören Verbunddateien (werden von Landeskriminalämtern gespeist) und Zentraldateien (BKA speichert selbst). Hinzu kommen die Amtsdateien, wo das BKA Informationen verarbeitet die andere Stellen zunächst nicht erhalten können.

Das Bundesinnenministerium klärt auf, dass Dateien als “datenbankbasierte IT-Systeme” bezeichnet werden. Diese können in “Teilmengen” gesplittet werden, die unterschiedlichen Benutzergruppen oder “Anwendungsprogrammen” zugänglich gemacht werden. Deshalb sollten Abgeordnete nicht stets nach “Datensätzen” fragen, denn je nach Fragestellung “müssen in einer konkreten Abfrage die technischen Informationsobjekte innerhalb der Datenbank zu Datensätzen gruppiert werden”. Weiter heißt es:

Dateien können nicht nur nach Zweck und Rechtsgrundlage, sondern auch nach Umfang und technischer Umsetzung große Unterschiede aufweisen. Vom kleinen Zettelkasten über einfache Tabellen bis hin zu den automatisierten Sammlungen des polizeilichen Informationssystems. Das Gesetz differenziert in § 46 Absatz 1 Satz 1 des Bundesdatenschutzgesetzes (BDSG) lediglich zwischen automatisierten und nicht automatisierten Dateien.

Auch die Auswertungsfunktionen werden stetig erweitert. Das BKA nutzt als Analysesoftware beispielsweise die Anwendungen ArcGis von der Firma ESRI (früher Map&Market der Firma PTV), um Vorgänge georeferenziert darzustellen. Mit Infozoom der Firma humanIT, Analyst’s Notebook von IBM oder auch Microsoft Excel werden Massendaten, etwa aus der Telekommunikationsüberwachung, verarbeitet. Ziel ist das Erkennen von “Kreuztreffern”, also identischen Personen oder Objekten in unterschiedlichen Datensammlungen.

Die Dateien enthalten aber auch Datenfelder zur “freitextlichen Erfassung”, in denen die Polizei willkürliche Notizen zusammenträgt. Diese “nicht katalogisierbare Datenfelder” dürften von der automatisierten Analyse ausgeschlossen sein. Im Gesetz zur neu errichteten “Rechtsextremismusdatei” ist jedoch erstmals von “erweiterten Auswerte- und Analysefunktionen” die Rede:

Die erweiterte Datennutzung im Sinne des § 7 RED-G bedeutet die Herstellung von Zusammenhängen zwischen Personen, Orten und Sachen, die Aggregierung und die Verknüpfung der Daten sowie die statistische Auswertung. Das könnte zum Beispiel heißen, dass Tatorte oder Aufenthaltsorte von Verdächtigen kartenmäßig, grafisch oder auf andere Weise dargestellt und damit räumliche Verteilungen ersichtlich werden, dass Beziehungsgeflechte von Verdächtigen visualisiert oder dass Reiseaktivitäten des rechtsextremistischen Personenpotenzial in der Datei nachvollziehbar werden.

Der Passus soll wohl erlauben, neuere Software zum Durchforsten von “Big Data” einzusetzen. Ursprünglich sollte dies im 4. Quartal 2013 implementiert werden, nach einem Urteil des Bundesverfassungsgerichts zur “Antiterrordatei” vom April diesen Jahres wurde das Ansinnen aber “zunächst zurückgestellt”.

How to get out?

Fraglich ist oft, wie Daten von Betroffenen wieder aus polizeilichen Informationssystemen gelöscht werden können. Häufig geschieht dies erst, wenn mit Auskunftsersuchen nachgefragt wird. Denn sonst kann es lange dauern, schließlich dient die Speicherung einer diffusen “Gefahrenabwehr”:

Diese werden grundsätzlich nur so lange gespeichert, bis ein Gefahrenabwehrvorgang abgeschlossen ist und ggf. in ein Ermittlungsverfahren überführt wird. Daher herrscht in dieser Datei eine sehr hohe Datenfluktuation.

Die Anzahl eingegangene Ersuchen auf Auskunft (sogenannten “Petentenanfragen”) hat offensichtlich leicht abgenommen: Während beim BKA 2011 noch 1.399 Ersuchen eingingen, waren es 2012 noch 1.298. Aufgrund einer “Systemumstellung” können für das laufende Jahr 2013 “keine aussagekräftigen Zahlen mitgeteilt werden”.

Wer wissen will, welche Daten Polizei und Geheimdienste über sie und ihn speichern, sei auf den “Generator für Auskunftsersuchen” des hilfreichen Informationsdienstes datenschmutz.de verwiesen. Dort gibt es auch allerlei weitere Erläuterung zur unübersichtlichen deutschen Dateienlandschaft.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01 02mydafsoup-01

October 03 2013

Das Bundesamt für Sicherheit in der Informationstechnik und seine Kooperation mit militärischen Einrichtungen

cyber_atlantic_ENISAIn den von Edward Snowden nach und nach veröffentlichen Geheimdokumenten zu den Fähigkeiten der US-Geheimdienste ist auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die Rede. Die Behörde bezeichnete sich selbst “Schlüsselpartner” des US-Militärgeheimdienstes National Security Agency (NSA).

Unbestritten ging das BSI aus der “Zentralstelle für das Chiffrierwesen” hervor, die beim Bundesnachrichtendienst angesiedelt war. Im “Nationalen Cyber-Abwehrzentrum” (NCAZ) arbeitet die Behörde mit allen Polizeien und Geheimdiensten des Bundes zusammen, darunter auch dem Militärischen Abschirmdienst. Wie die Bundeswehr betreibt das BSI ein “Computer Emergency Response Team” (CERT). Ziel der CERT’s, die auch auch von der Privatwirtschaft errichtet werden, ist der “verbesserte IT-Schutz”. Hierzu gehört nicht nur die “Lösung von konkreten IT-Sicherheitsvorfällen” oder Warnungen vor Sicherheitslücken. “In Einzelfällen” werden laut Bundesregierung auch “Penetrationstests” vorgenommen.

Grund genug also, sich für Kooperationen des BSI auf internationalem Parkett zu interessieren. Das dachte sich auch der MdB Jan Korte, der gemeinsam mit anderen Abgeordneten die Kleine Anfrage “Die Rolle des Bundesamts für Sicherheit in der Informationstechnik in der PRISM-Ausspähaffäre” gestellt hatte. Die Antwort ist nun eingetrudelt. Wie üblich werden eine Reihe von Informationen aber in die Geheimschutzstelle verschoben und sind dort nur für die Angehörigen des Bundestages einsehbar. Darüber sprechen dürfen sie in der Öffentlichkeit nicht.

So erfahren wir beispielsweise nichts über weitere Treffen zwischen dem BSI und weiteren geheimdienstlichen US-Einrichtungen. Lediglich ein “Expertentreffen” zwischen dem US-Militärgeheimdienst NSA, dem BND und dem BSI am 10. und 11. Dezember 2012 in Bonn wird bestätigt. Eine “fachliche Kontaktaufnahme” seitens des BSI zur NSA sei auch gar nicht nötig gewesen, erklärt die Bundesregierung. Denn diese sei bereits “auf ministerieller Ebene erfolgt”. Das ist interessant, denn das BSI untersteht dem Bundesinnenministerium. Der Satz lässt sich so interpretieren, dass IM Friedrich selbst bei der NSA angeklopft hatte.

Doch auch die öffentlich beantworteten Fragen geben Anlass zu Zweifeln. Denn es wird wiederholt, was das BSI bereits in einer eigenen Pressemitteilung betonte. So heißt es, man habe “weder die NSA noch andere ausländische Nachrichtendienste unterstützt”. Allerdings geht es bei dem Dementi lediglich um die Frage, ob das BSI half, “Kommunikationsvorgänge oder sonstige Informationen am Internet-Knoten De-CIX” auszuspähen. Bezüglich des Überwachungswerkzeugs XKeyscore war das BSI aber sehr wohl involviert: MitarbeiterInnen seien laut der Bundesregierung “bei einer externen Präsentation des Tools durch den Bundesnachrichtendienst im Jahr 2011″ anwesend gewesen.

Die Zusammenarbeit mit der NSA wird nicht bestritten, denn diese sei die für die USA zuständige “Nationale Kommunikationssicherheits- und Cybersicherheitsbehörde”. Die NSA ist aber nicht die einzige Militärbehörde, mit der das BSI Beziehungen pflegt. Die internationale Kooperation knüpft laut der vorliegenden Antwort an die Mitgliedschaft der Bundesrepublik Deutschland in der NATO an. “Kooperationsfelder” würden sich demnach “aus den Aufgaben der NATO in der Informations- und Cybersicherheit” ableiten. Für die “anlass- und themenbezogene Zusammenarbeit” innerhalb der NATO seien “geregelte Gremienstrukturen” eingerichtet worden.

Zur Wahrnehmung seiner Aufgaben nimmt das BSI an “internationalen IT-Sicherheitsübungen” teil. Die Europäische Union hatte beispielsweise die Übung “Cyber Europe 2010″ ausgerichtet, um die “Abwehrbereitschaft der EU” zu verbessern. 22 Mitgliedstaaten beteiligten sich, verantwortlich war die Europäische Agentur für Netz- und Informationssicherheit (ENISA) mit Sitz in Athen. Chef der ENISA ist Udo Helmbrecht, früherer Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Mittlerweile werden derartige Manöver zur “Abwehr von IT-Angriffen gegen Regierungsnetze” unter Beteiligung der USA durchgeführt. In der Übung “Cyber Atlantic 2011″ lag hierfür unter anderem das Szenario eines Hackerangriffs zugrunde:

Für das erste Szenario wurde als Angreifer eine Hackergruppe mit “Anonymous ähnlichem” Hintergrund angenommen und im zweiten Szenario wurde die Reaktion auf Angriffe gegen kritische Infrastrukturen geübt.

Kurz vor der “Cyber Europe 2010″ hatten mehrere EU-Mitgliedstaaten (Frankreich, Deutschland, Ungarn, Italien, Niederlande, Schweden und Großbritannien) an der zivil-militärischen US-Übung “Cyber Storm III” teilgenommen, die vom Ministerium für Innere Sicherheit der Vereinigten Staaten (DHS) geleitet wurde. Die EU-Kommission und ENISA nahmen als Beobachter teil. Auch das BSI war mit 25 MitarbeiterInnen an Bord und beschäftigte sich in “Cyberstorm III” mit einem “Computerwurm-Szenario” (kurz darauf wurde erstmals die Existenz des Stuxnet-Virus offenkundig). Auch ein Mitarbeiter des Bundeskriminalamts (BKA) sei laut der Bundesregierung an “Cyberstorm III” beteiligt gewesen, ein weiterer Mitarbeiter des BSI saß mit in der “zentralen Übungssteuerung” in Den Haag.

Hier schließt sich der Kreis zur Zusammenarbeit mit internationalen Militärs, denn in “Cyber Storm III” war auch das US-Verteidigungsministerium mit mehreren Behörden eingebunden: Dem “Defense Cyber Crime Center”, dem “United States Cyber Command”, dem “United States Strategic Command” und natürlich führenden MitarbeiterInnen der NSA.

Zur derart dominanten militärischen Beteiligung bei “Cyberstorm III” befragt, redet sich die Bundesregierung heraus:

An dem Strang von Cyber Storm III, an dem Deutschland [mit BSI und BKA] beteiligt war, haben keine militärischen Stellen teilgenommen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01mondkroete

September 30 2013

INDECT war gestern: “Elektrischer Reporter” über deutsche Forschungsprojekte zur Mustererkennung

Das EU-Forschungsprojekt INDECT hatte es vermocht, grosse Teile der Netzgemeinde in Aufruhr zu versetzen: Das Vorhaben entwirft eine Machbarkeitsstudie zur Synchronisation verschiedener Überwachungstechnologien. Die zehn Arbeitsgruppen in INDECT fussen vor allem auf bildgebenden und bildauswertenden Verfahren und gehen der Frage nach, inwieweit diese zunehmend automatisiert werden können. Von Interesse ist die sogenannte “Mustererkennung”, also die Detektion bestimmter Bewegungen oder auch Objekte, sofern diese zuvor definierte Merkmale aufweisen.

Am Donnerstag widmete sich die ZDF-Sendung “Elektrischer Reporter” dem Thema “Mustererkennung”, Grundlage war die Antwort auf eine entsprechende Anfrage der Linksfraktion vom Frühjahr (hier ein früherer Bericht). Untermauert wurde damals, dass auch das Bundesministerium für Bildung und Forschung zahlreiche Projekte fördert, in denen Funktionalitäten wie bei INDECT beforscht werden:

Viele der Vorhaben zur computergestützen Auswertung von Audio- und Videoströmen werden längst im öffentlichen Raum getestet. Der Bundesinnenminister nahm die Anschläge in Boston zum Anlass, die baldige Einführung der Technik im Serienbetrieb zu fordern:

Sowohl die Erstbeschaffung der Kameras mit Aufzeichnungsmöglichkeit, eine gute Auswertung der Bilder und der permanente Betrieb ist teuer, und sowohl die Bahn als auch die Flughäfen oder ein Schnellrestaurant sollten ein Interesse an mehr Sicherheit haben [...] Wir sprechen derzeit intensiv mit der Deutschen Bahn, um die Überwachung der Bahnhöfe zu verbessern. Ähnliche Gespräche gibt es mit den Flughäfen.

Es ist unklar, welche Systeme IM Friedrich hier androht. Das Projekt “Automatisierte Detektion interventionsbedürftiger Situationen durch Klassifizierung visueller Muster” (ADIS) soll etwa für Akzeptanz unter den NutzerInnen sorgen, indem – zumindest vorläufig – nicht alle Bereiche des Bahnhofs überwacht werden. Reisende können also selbst entscheiden, ob sie von einer Kamera beobachtet werden wollen. Dies wird als Wahrung der Privatsphäre beworben.

Zu den Projektpartnern in Forschungen zur “Mustererkennung” gehören neben der Leibniz Universität Hannover häufig Institute des Fraunhofer-Verbunds. Das Institut für Optronik, Systemtechnik und Bildauswertung (IOSB) ist beispielsweise auf Verfahren zur “automatischen Objekterkennung und Objektverfolgung” spezialisiert. Auf diese Weise können Personen in Videoströmen überwacht, aber auch “rückwärtsgerichtet” zurückverfolgt werden:

Ein weiterer Schwerpunkt [des IOSB] liegt in der Datenauswertung von Kameranetzwerken. Kameranetzwerke finden sich vermehrt im öffentlichen Raum, beispielsweise an Bahnhöfen, Flughäfen oder auch innerstädtischen Bereichen. Insbesondere die effiziente Auswertung der Masse an Daten sowie die Erhöhung der Sicherheit durch automatische Situationsinterpretation sind die Schwerpunkte der hier anfallenden Forschungsthemen.

Die Abteilung “Videoauswertesysteme” des IOSB forscht unter anderem zu Aufklärungs- und Überwachungsbereich in “bewegten Plattformen”. Gemeint ist nicht nur die Bundeswehr-Drohne LUNA, die in Afghanistan mit einem bildgebenden Sensor unterwegs ist den das Fraunhofer-Institut mitentwickelt hatte. Das IOSB will auch die “Detektion von Booten und Schiffen von marinen Plattformen” optimieren. Derartige Syteme werden gegenwärtig unter anderem im neuen EU-Überwachungssystem EUROSUR errichtet bzw. synchronisiert.

Auch das Fraunhofer-Institut für Graphische Datenverarbeitung (IGD) ist mit entsprechenden Forschungen befasst. Im Themenfeld “Integrated Border Management” werden unter anderem Anwendungen entwickelt, die mit biometrischen Verfahren einem “steigenden Migrationsdruck” entgegenwirken sollen. Gemeint sind automatisierte Kontrollgates an Flughäfen, mit denen Reisende mit biometrischen Ausweisen bevorzugt abgefertigt werden. Mit dem Schwerpunkt “Visual Analytics” werden Möglichkeiten beforscht, massenhaft anfallende Daten per Visualisierung handhabbar zu machen.

Für die Fraunhofer-Techniken interessiert sich auch das Bundeskriminalamt (BKA). Das BKA wendet bereits Verfahren zum “Lichtbildvergleich” an. Im Fraunhofer-IGD soll das Amt nun in den Genuss erweiterter Ermittlungsmethoden kommen: Das Projekt “Multi-Biometrische Gesichtserkennung” (GES-3D) will ein Verfahren entwerfen, um “Personen auf Foto- bzw. Videoaufnahmen, die in unmittelbarem Zusammenhang mit dem Begehen einer Straftat stehen” in polizeilichen Datenbanken zu suchen. Damit kommt das Projekt dem INDECT-Projekt bedenklich nahe.

Da will auch die Bundespolizei nicht zurückstehen: Bis Ende 2014 forscht das Bundespolizeipräsidium mit der Polizei Hamburg zur “Multi-Biometriebasierten Forensischen Personensuche in Lichtbild- und Videomassendaten” (MisPel). Diese “Bildinhaltsanalyse” soll eine “zeitnahe Erkennung von ermittlungstechnisch relevanten Personen” bewerkstelligen und würde auf die öffentliche Videoüberwachung zugreifen. Wieder ist mit dem IOSB ein Fraunhofer-Institut mit von der Partie.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01 02mydafsoup-01

September 27 2013

BKA-Herbsttagung dieses Jahr zu “Cybercrime – Bedrohung, Intervention, Abwehr”

FriedrichZierckeDie jährliche Herbsttagung des Bundeskriminalamtes (BKA) soll sich dieses Mal mit Erscheinungsformen von “Cyberkriminalität” und deren polizeilicher Handhabung befassen. Angekündigt ist die Veranstaltung für den 12. und 13. November 2013 in Wiesbaden, erwartet werden “500 hochrangige Gäste”. Die Konferenz wird gewöhnlich vom Bundesinnenminister eröffnet. Zwar soll die Tagesordnung noch nachgereicht werden, mitgeteilt wird schon ein Fokus auf eine “wirksame Bekämpfung von Cybercrime und den damit verbundenen Straftaten, die unter Ausnutzung moderner Informations- und Kommunikationstechnik oder gegen diese begangen werden”. Dies sei “eine der größten Herausforderungen für die Polizei”. Es gibt laut Ankündigung Referate von “Polizei, Wissenschaft und Praxis”. Eine thematische “Begleitausstellung” soll die Tagung abrunden.

Vermutlich wird es besonders um Eingriffsmöglichkeiten gehen, darunter forensische Werkzeuge zur Erleichterung von Ermittlungen in beschlagnahmten Medien, die Nutzung von Trojanern oder das Mitlesen digitaler Kommunikation im Internet. Eine Rolle dürften aber auch Fähigkeiten zur frühen Erkennung von polizeilich relevantem Verhalten gehen, etwa durch die zunehmend automatisierte Auswertung öffentlich zugänglicher Quellen.

Der in der Überschrift genutzte Terminus “Abwehr” lässt aber auf ein neues Betätigungsfeld schließen, wo das BKA in Konkurrenz zum Bundesamt für die Sicherheit in der Informationstechnik (BSI) stünde: Denn es geht offensichtlich nicht nur um strafrechtliche Ermittlungen wegen “Cyberkriminalität” oder “Cyberangriffen”, sondern um aktive Beantwortung derselben.

Zuletzt hatte sich die BKA-Herbsttagung 2007 mit dem Thema “Tatort Internet – Eine globale Herausforderung für die Innere Sicherheit” beschäftigt. Ein begleitender Tagungsband versammelt umfangreiche Literatur auch zum Thema “Hacktivismus”.

Einer der Referenten war Rainer Griesbaum, der ständige Vertreter des Generalbundesanwalts beim Bundesgerichtshof. Früher hauptsächlich mit Verfahren gegen die Rote Armee Fraktion befasst, arbeitet er nun auch zur vorverlagerten polizeilichen Strategien gegen “Cyber-Terrorismus”. In seinem Referat hieß es dazu:

Die intensive Nutzung des Internets als Kommunikations- und Aktionsforum führt zu erheblichen Problemen bei der Sachverhaltsaufklärung. Die Praxis zeigt aber, dass es für die Aufklärung des so genannten Cyber-Terrorismus keinen Königsweg durch eine bestimmte Ermittlungsmaßnahme, nennen wir sie Online-Durchsuchung oder Online-Überwachung, gibt. Nur ein Verbund von traditionellen und neuen Ermittlungs-methoden bietet den Erfolg. Es darf nämlich nicht verkannt werden, wie technisch und zeitlich aufwändig Online-Ermittlungsmaßnahmen sein können. Allerdings: Die voranschreitende Verlagerung der Kommunikation auf digitale Medien muss für den Bereich der strafrechtlichen Ermittlungen nachvollzogen werden.

Vorgestern hat bei Europol in Den Haag die erste gemeinsame “Cybercrime-Konferenz” von Europol und der internationalen Polizeiorganisation Interpol stattgefunden. Auch dort ging es unter anderem um eine “Abwehr” von Cyberangriffen. Das BKA gehört zu den wichtigsten Playern bei Europol und nimmt an zahlreichen Arbeitsgruppen teil, die sich mit Internetkriminalität und -überwachung beschäftigen. Bei polizeilichen Datenlieferungen und -abfragen bei Europol liegt Deutschland auf Platz 1. Anfang des Jahres ging bei Europol das neue “European Cybercrime Centre” (EC3) in Betrieb, das die früheren Aktivitäten in dem Bereich in einer eigenen Organisationseinheit bündelt.

Es ist zu erwarten, dass auf der BKA-Herbsttagung auch das letztes Jahr von Europol gestartete “Project 2020″ vorgestellt wird. Das Projekt dreht sich um die verschiedenen Erscheinungsformen digitaler Identitäten und deren sicherheitspolitischen Bedeutung. Eines der zugrundeliegenden Szenarien bedient dabei Klischees von “Hackern” und “Revolutionären”, die nichts geringeres planen als das Internet lahmzulegen – während gleichzeitig E-Wahlen abgehalten werden.

Am 1. Oktober soll hierzu ein aufwändig gemachter Film auf dem Youtube-Kanal von Europol erscheinen, ein Trailer ist vorgestern erstmals öffentlich vorgestellt worden. Produziert wird der Film von der Firma Trend Micro. In einem zum “Project 2020″ veröffentlichten “White Paper” werden von den beteiligten Polizeien und Unternehmen auch neue Formen von “Post-Privacy” herbeigewünscht:

A redefinition of privacy at the hands of digital natives.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

September 26 2013

Autotransporter-Fall: Bundeskriminalamt rastert 3.800.000 Auto-Kennzeichen und 600.000 Mobilfunk-Daten

Das eingesetzte Kennzeichenerfassungssystem V-REX

Das eingesetzte Kennzeichen-Erfassungssystem V-REX

Das Bundeskriminalamt hat in einem einzigen Fall mehrere Millionen Auto-Kennzeichen fotografiert und gerastert. Diese Daten wurden mit hunderttausenden Verbindungsdaten aus mehreren Funkzellenabfragen abgeglichen. Die Fahndung hatte Erfolg, ein Schütze wurde gefasst. Doch der Fall zeigt exemplarisch, dass immer mehr Rasterfahnden mit verschiedensten Datensätzen durchgeführt werden – mit hunderttausenden Betroffenen pro Fall.

Auf netzpolitik.org haben wir wiederholt sowohl über die Rasterung von Handys mittels Funkzellenabfragen als auch die Rasterung von Autos mittels Kennzeichenscannern berichtet. Jetzt gibt es einen Fall, in dem Behörden beide Massen-Überwachungs-Methoden anwendeten – und die Daten miteinander abglichen.

Der Autotransporter-Fall

Im Juni wurden wir auf die Geschichte eines LKW-Fahrers aufmerksam, der aus seinem fahrenden Laster heraus auf andere Transporter geschossen hat. Den detailliertesten Bericht lieferte damals Holger Schmidt auf dem SWR Terrorismus Blog:

Das „Mobile Einsatzkommando“ (MEK) des BKA postierte an strategischen Stellen auf den betroffenen Autobahnabschnitten verdeckte Kennzeichenlesegeräte. Massenhaft wurden Kfz-Kennzeichen erhoben. Bekam man die Meldung über einen neuen Zwischenfall, wurden diese Daten mit der Fahrtroute des „Opfer-Lkw“ abgeglichen. Hinzu kamen die Verbindungsdaten von Mobilfunkmasten entlang der Autobahn. Auch deren Daten wurden in den Abgleich einbezogen. Am Ende konzentrieten die Daten die Aufmerksamkeit des BKA auf eine konkrete Person.

Um weitere Details und genaue Zahlen zu erfahren, haben wir mit dem Bundestags-Abgeordneten Jan Korte und der Linksfraktion eine kleine Anfrage im Bundestag gestellt. Nach einiger Verzögerung aufgrund eines “Büroversehens” ist die Antwort der Bundesregierung jetzt eingetroffen, die wir an dieser Stelle exklusiv veröffentlichen: Kennzeichenerfassung und Funkzellenabfrage im sogenannten Autotransporter-Fall (PDF).

(Mehr als eine Woche nach unserer Anfrage veröffentlichte Lisa Rokahr auf stern.de ein paar weitere Informationen aus einen Interview mit dem Ermittler Stefan Michel, das sich aber eher wie eine “Tatort”-Story als ein Hintergrund-Bericht liest.)

3.800.000 Kfz-Kennzeichen

Aus der Antwort ergeben sich folgende Zahlen zu den Kennzeichenerfassungen:

Im Zeitraum vom 3. Dezember 2012 bis 23. Juni 2013 wurden sechs automatische Kennzeichenlesegeräte (AKLS) mit jeweils 2 Stationen (eine Station je Fahrtrichtung) an folgenden Bundesautobahnen betrieben […].

Im Zuge der Ermittlungen erfolgten zwischen Februar und Mai 2013 konkret insgesamt an 14 Tagen Datensicherungen mit einem Gesamtumfang von insgesamt 3.810.438 Kennzeichen.

Zu 50 Kennzeichen wurden auf Grund der kriminalistischen Bewertung die Halter ermittelt.

600.000 Mobilfunk-Daten

Und zu den Funkzellenabfragen:

Durch das BKA wurden im Rahmen von Maßnahmen gem. § 100g StPO (Sog. „Funkzellen”) insgesamt 593.075 Datensätze erhoben bzw. abgeglichen.

Die Analyse der Datensätze ergab 312 Sogenannte “Kreuz”- bzw. “Mehrfachtreffer”. Zu diesen “Treffern” erfolgte die Feststellung der Anschlussinhaber.

Nochmal zusammengefasst: Das BKA fotografierte über ein halbes Jahr lang jeden Tag mehr als 25.000 Kennzeichen und rastert aus einer Datenbank von fast vier Millionen Kennzeichen mit Zeit und Ort 50 verdächtige Fahrzeuge. Gleichzeitig werden über eine halbe Millionen Mobilfunk-Datensätze eingeholt, die mit den Kennzeichen-Daten gerastert werden. Dabei werden 312 Personen identifiziert, die an mehreren Tatorten auftauchen. Im Gegensatz zu den meisten anderen Funkzellenabfragen haben die Ermittler damit Erfolg und verhaften den geständigen Täter.

Normalisierung der Rasterfahndung

Es ist gut, dass der Täter gefasst wurde. Die Normalisierung der Rasterfahndung mit hunderttausenden betroffenen Unschuldigen ist jedoch besorgniserregend. Der Verein Digitale Gesellschaft schreibt in seinem Forderungskatalog für die Koalitionsverhandlungen:

Die künftige Bundesregierung muss die Funkzellenabfrage als Ermittlungsinstrument abschaffen. Dazu ist eine Reform des § 100g StPO notwendig. Darüber hinaus muss jede nicht-individualisierte Erhebung von Verbindungsdaten sowie Rasterung und Cross-Referenzierung verschiedener Datenbanken untersagt werden. Die Strafverfolgung und Ermittlungsarbeit muss sich an einzelnen Verdächtigen orientieren und rechtsstaatliche Standards einhalten, statt Verdächtige aus unverhältnismäßigen Massen-Datenbanken zu generieren.

Ein wiederkehrendes Problem mit der Funkzellenabfrage tritt auch hier erneut auf: Bisher wurde noch keine einzige Person, deren Daten erhoben wurden, darüber informiert. Man beruft sich darauf, dass das Verfahren noch läuft. Aber die Erfahrung zeigt: Oft sehen die Staatsanwaltschaften “kein Interesse an einer Benachrichtigung”.

Fall für den Bundesrechnungshof

Ein Fall für den Bundesrechnungshof könnte die Kosten-/Nutzen-Rechnung des Bundeskriminalamts sein. Statt einen Scanner für 20.000 Euro zu kaufen hat man sechs Stück für 200.000 Euro gemietet – pro Monat:

Durch das BKA erfolgte keine Anschaffung von automatischen Kennzeichenlesegeräten. Die Geräte des Herstellers CAT Traffic, wurden für die Dauer der Maßnahme angemietet. Die monatlichen Mietkosten betrugen 33.915 €.

Der Militärische Abschirmdienst hat bereits im Jahr 2006 ein einzelnes System „Road Eye“ des Herstellers SIM Security & Elektronic System GmbH zum Zweck der technischen Erprobung der Kennzeichenerkennung sowie zur Bewertung der Fähigkeiten dieser Technologie in der Praxis beschafft. Die Beschaffungskosten betrugen 20.280 € zzgl. MWSt. Es wurde jedoch entschieden, das System nicht einzusetzen.

Datenübertragung oder nicht?

Irritierend ist auch die Aussage der Bundesregierung, dass man auf die Daten nur zugegriffen hat, wenn es einen neuen Vorfall gab:

Die Daten wurden auf einem Vor-Ort-Server gespeichert.

Zugriff auf die gesicherten Daten hatten seitens der Strafverfolgungsbehörden ausschließlich hierfür berechtigte Kräfte der BAO Transporter. Die temporär vor Ort gespeicherten Daten wurden in möglichen Beschussfällen auf Servern beim BKA gesichert.

In der Produktbeschreibung des Herstellers steht jedoch:

Das Fahndungslisten-Update und die Datenübertragung erfolgt über eine gesicherte GPRS-Kommunikation, die auf einem mehrstufigen Fehlertoleranzprinzip basiert.

Vorratsdatenspeicherung von Autos

Bereits im März 2008 urteilte das Bundesverfassungsgericht:

Demgegenüber liegt ein Eingriff in das Grundrecht vor, wenn ein erfasstes Kennzeichen im Speicher festgehalten wird und gegebenenfalls Grundlage weiterer Maßnahmen werden kann.

Das Fazit der obersten Richter:

Die automatisierte Erfassung von Kraftfahrzeugkennzeichen darf nicht anlasslos erfolgen oder flächendeckend durchgeführt werden.

Trotz dieser deutlichen Worte betreiben einige Bundesländer weiterhin eine Vorratsdatenspeicherung von Autos. Erst im Juli veröffentlichten wir die Standorte der stationären Kennzeichenscanner in Brandenburg.

Rasterfahndung abschaffen

Der wiedergewählte Bundestagsabgeordnete Jan Korte kommentiert den Fall gegenüber netzpolitik.org:

Auch, wenn die Ermittlungsmethoden in diesem Fall offenbar zu einem Ermittlungserfolg beigetragen haben, zeigen die massenhafte Funkzellenabfrage in Verbindung mit der millionenfachen Ausforschung von Kfz-Kennzeichen eine neue und problematische Entwicklung in der Strafverfolgung auf. Die Rasterfahndung wird immer mehr zur Standardmaßnahme. Es kann nicht sein, dass Autofahrer und Handy-Nutzer heimlich ins Visier von Strafverfolgungsbehörden geraten, ohne das ein konkreter Verdacht gegen sie vorliegt. Der Gesetzgeber muss den zunehmenden Einsatz dieser unverhältnismäßigen und nicht eingrenzbaren Ermittlungsmethode künftig dringend beenden. Die Linkspartei fordert die Abschaffung der Funkzellenabfrage als Ermittlungsmethode.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted bydarksideofthemoon darksideofthemoon

September 19 2013

Staatswohl: Bundesregierung verweigert Auskunft, ob deutsche Geheimdienste Verschlüsselung knacken können

Die Öffentlichkeit darf nicht erfahren, ob deutsche Behörden Verschlüsselungsverfahren knacken können, weil sonst das Staatswohl gefährdet wird. Mit dieser Begründung lehnt die Bundesregierung eine Auskunft über diese Frage ab. Mindestens Bundesamt für Verfassungsschutz und Zollkriminalamt setzen sich aber mit der Frage auseinander, das Bundeskriminalamt umgeht Verschlüsselung mit Staatstrojanern.

Vor zwei Wochen erhielten wir einen kleinen Einblick, wie die anglo-amerikanischen Geheimdienste verbreitete Verschlüsselungs-Technologien knacken und umgehen. Der Linkspartei-Bundestagsabgeordnete Andrej Hunko hat das zum Anlass genommen, die deutsche Bundesregierug mal zu fragen, auf welchem Stand deutsche Behörden bei der Überwindung von Verschlüsselung sind. Jetzt ist die Antwort da.

Also, wenn man das Wort “Antwort” gelten lässt. Auf mehr als zwei Seiten führt die Bundesregierung zunächst aus, dass “im Hinblick auf das Staatswohl” die eigentliche Antwort geheim ist. Das Geheimhaltungsinteresse der Behörden ist hier größer als das Fragerecht der Abgeordneten. Die Häppchen für die gemeine Öffentlichkeit lassen sich in etwa so zusammenfassen:

Bundeskriminalamt

Die Bundesoberbehörde kann Verschlüsselung nicht selbst brechen bzw. dechiffrieren. Sehr wohl jedoch haben sie mit Staatstrojanern die Verschlüsselung umgangen und wollen das auch weiterhin tun. Über weitergehende Mittel tauschen sie sich mit anderen Staaten in der “Remote Forensic Software User Group” aus.

Militärischer Abschirmdienst

Der Nachrichtendienst der Bundeswehr hat sich mit der Fragestellung noch nicht befasst.

Bundesamt für Verfassungsschutz

Der Inlandsnachrichtendienst beschäftigt sich mit dem Thema. Alles andere ist geheim.

Zollkriminalamt

Die Bundesmittelbehörde hat sich “auch mit dem Überwinden von verschlüsselten Verfahren befasst.” Zudem führt man “Marktbeobachtungen” durch, welche Produkte das können. Schließlich hat man sich auch in multilateralen Standardisierungsgremien damit befasst, hier wird “insbesondere” das Europäisches Institut für Telekommunikationsnormen (ETSI) genannt.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01 02mydafsoup-01

September 06 2013

TKÜ ist kein #Neuland: Einsätze digitaler Überwachungstechnik durch Polizei, Zoll und Geheimdienste steigen rapide an

Anders als das Verteidigungsministerium liefert das Bundesinnenministerium seine Antworten auf parlamentarische Initiativen meist pünktlich ab. Das ist aber auch die einzige gute Nachricht zur Beantwortung der Kleinen Anfrage “Neuere Formen der Überwachung der Telekommunikation durch Polizei und Geheimdienste”. Denn dort bleibt das Gebaren der In- und Auslandsgeheimdienste unter Verschluß und ist höchstens in der Geheimschutzstelle des Bundestages einzusehen.

So bleiben größtenteils Antworten zu Bundeskriminalamt (BKA), Zollkriminalamt (ZKA) und Bundespolizei übrig, aber auch diese sind zutiefst besorgniserregend.

Neue Details gibt es etwa über sogenannte “Stille SMS” zum Ausforschen des Standortes von Mobiltelefonen. Ihr Umfang bei Landeskriminämtern wurde zuerst bekannt durch eine parlamentarische Anfrage in Nordrhein-Westfalen, später kamen Angaben zu Bundesbehörden hinzu. Nun heißt es, dass sich diese mittlerweile verdoppeln: Denn Verfassungsschutz, BKA und Bundespolizei haben im ersten Halbjahr 2013 bereits soviele “Ortungsimpulse” verschickt wie im gesamten Jahr 2012. Zahlen zum Bundesnachrichtendienst (BND) bleiben geheim.

Auch das Zollkriminalamt und die acht Zollfahndungsämter Berlin-Brandenburg, Dresden, Essen, Frankfurt/Main, Hamburg, Hannover, München und Stuttgart verschicken immer häufiger “Stille SMS”, um dann über eine Funkzellenabfrage den Standort des Telefons ausfindig zu machen. 2012 wurden beim Zoll 199.023 “Ortungsimpulse” versendet, im ersten Halbjahr 2013 schon 138.779. Die wirklichen Zahlen dürften aber weit höher liegen, denn der Zoll betätigt sich auch in Amtshilfe für Bundespolizei und Landespolizeien. Hierzu versandte “Stille SMS” werden aber nicht statistisch erfasst.

“Stille SMS” bei Bundesbehörden

Auf wieviele Personen sich die “Ortungsimpulse” verteilen und welche Software hierfür genutzt wird, will die Bundesregierung nicht mitteilen. Über eine Kleine Anfrage in Niedersachsen kam heraus, dass die dortige Länderpolizei über einen privaten Anbieter versendet.

Soll der Standort von Mobiltelefonen genauer eingegrenzt werden, können sogenannte “IMSI-Catcher” eingesetzt werden. Bekannte Hersteller der Geräte sind beispielsweise die deutschen Firmen Rohde & Schwarz, Syborg oder auch Gamma International. Die Anzahl von Einsätzen der “IMSI-Catcher” durch Geheimdienste werden in den Unterrichtungen durch das Parlamentarische Kontrollgremium mitgeteilt. Verglichen mit der nun vorgelegten Antwort zeichnet sich für die Geheimdienste auch hier eine Verdoppelung ab. Bei BKA, Bundespolizei und Zoll bleiben die Zahlen in etwa gleich.

Im Gegensatz zu Data Mining-Software, Anwendungen zur Funkzellenabfrage oder Software zum Durchleuchten des Internetverkehrs müssen Exporte von “IMSI-Catchern” beantragt werden. Seit 2011 bis zum 30. Juni 2013 wurden Rohde & Schwarz sowie Syborg Ausfuhrgenehmigungen für Argentinien, Brasilien, Indonesien, Kosovo, Malaysia, Norwegen und Taiwan erteilt.

“Telekommunikationsüberwachungsanlagen” bei BKA und Zoll

Details gibt es nun auch zu den Anlagen, mit denen die Behörden automatische Ausleitung von Telekommunikationsüberwachung (TKÜ) von den Providern vornehmen. Eine “Telekommunikationsüberwachungsanlage” und benötigte Server betreibt das BKA am Standort Wiesbaden. Diese wird auch von der Bundespolizei genutzt. Das Zollkriminalamt und die acht Zollfahndungsämter verfügen jeweils über eigene Server “zum Empfangen der Daten aus der Telekommunikationsüberwachung”.

Bereits in einer früheren Anfrage hatten sich Abgeordnete nach der Technik erkundigt, die in den “Telekommunikationsüberwachungsanlagen” eingesetzt wird. Zunächst wurde mitgeteilt, es handele sich um “typische Standardcomputertechnik”. Erst auf weitere Nachfrage wurden auch “TKÜ-Fachanwendungen” preisgegeben: Demnach werden “Softwarelösungen der Anbieter Syborg, DigiTask, Atis und Secunet genutzt”. Allein das BKA hat hierfür seit 2007 mehr als 10 Millionen Euro für Beschaffung, Lizenzen und Betrieb locker gemacht. Für Bundespolizei und Zoll kommen weitere sechs Millionen hinzu.

Viel spannender ist aber der Hinweis, dass das BKA auch über eine Software namens “Netwitness Investigator” verfügt. Die Beschreibung klingt wie ein kleines PRISM, mit dem abgefischte Daten analysiert werden:

Das BKA setzt die Software “Netwitness Investigator” ausschließlich als forensisches Analysewerkzeug zur Untersuchung/Auswertung von bereits erhobenen Daten ein, jedoch nicht zur Aufzeichnung solcher Daten.

“Netwitness Investigator” wurde von der Gesellschaft für technische Sonderlösungen gekauft. Dabei handelt es sich wohl um eine Tarnfirma des BND. Entgegen einem Bericht des Nachrichtenmagazins FAKT sowie Meldungen der Süddeutschen Zeitung bestreitet das BKA aber, neben “Netwitness Investigator” weitere Produkte der Firmen Narus und Polygon einzusetzen. Auch die Verwendung der Software “Thin Thread” durch den BND wird dementiert.

Interessant ist auch die Auskunft, inwiefern das BKA immer häufiger von der Bildersuche (“Lichtbildvergleich” oder auch “Gesichtserkennungssystem”) Gebrauch macht. Damit werden Fahndungsfotos, etwa aus der Videoüberwachung, mit biometrischen Lichtbildern in polizeilichen Datenbanken abgeglichen. Eingesetzt wird die Software “Face-VACS/DB Scan” von der Firma Cognitec, eingekauft wurde das Produkt bereits 2007. Über eine Schnittstelle steht die Software auch der Bundespolizei und angeschlossenen Landeskriminalämtern zur Verfügung.

Gamma-Trojaner muss nachgebessert werden

Etwas mehr erfahren wir nun auch über das “Kompetenzzentrum Informationstechnische Überwachung” (CC ITÜ), das als Reaktion auf die negative Berichterstattung über polizeilich genutzte Trojaner eingerichtet wurde. Die Spionagetools werden dort nun vom BKA selbst programmiert. Die in der Anfrage verwendeten Begriffe kommen aber nicht gut an, schließlich handele man nach Recht und Gesetz:

Das BKA entwickelt bzw. beschafft zur rechtmäßigen Durchführung von Maßnahmen der informationstechnischen Überwachung im Rahmen der Strafverfolgung bzw. Gefahrenabwehr Überwachungssoftware nach Maßgabe der gesetzlichen Befugnisse. Das BKA distanziert sich daher von einer Verwendung der Begriffe Computerspionageprogramme bzw. staatliche Trojaner.

Fast alle Stellen des neuen CC ITÜ seien nach “internen und externen Personalgewinnungsmaßnahmen” besetzt. Vorübergehend wird bekanntlich ein Trojaner der Münch-Firma Gamma International GmbH genutzt. Wieviel dieser kostet, vermag das BKA nicht zu sagen, denn es käme “darüber hinaus beschaffte Soft- und Hardware” hinzu. Weil diese “technischen Mittel” nur gemeinsam im Einsatz seien, könne keine “Separierung der ausschließlich für den Bereich der Informationstechnischen Überwachung beschafften Sachmittel” erfolgen.

Auch die Landeskriminalämter Bayern, Baden-Württemberg und Hessen sowie das Zollkriminalamt sind beim CC ITÜ mit im Boot. Die Firmen CSC Deutschland Solutions GmbH und 4Soft nehmen laut BKA eine “unterstützende und beratende Funktion wahr”.

Richtig zu funktionieren scheint der Gamma-Trojaner aber noch nicht:

Die kommerzielle Quellen-TKÜ-Software der Fa. Gamma International GmbH entspricht in der bisher vorliegenden Version noch nicht vollständig den Vorgaben und Anforderungen der Standardisierenden Leistungsbeschreibung (SLB). Derzeit werden durch den Hersteller entsprechende Anpassungen der Software vorgenommen, die nach Fertigstellung einer fortgesetzten Quellcode-Prüfung zu unterziehen sind.

Die “rechtskonforme Entwicklung” und den “rechtskonformen Einsatz” der staatlichen Hackersoftware soll nun ein Fachbereich “Monitoring, Test und Protokollierung” sicherstellen. Ursprünglich wurde die Einrichtung eines “Expertengremiums” versprochen. Nun heißt es, darauf sei verzichtet worden.

“Abwehrrechte gegen den Staat” als konkurrierendes “Supergrundrecht”?

Der Bundesinnenminister hatte Popularität erlangt, als er angesichts der Enthüllungen von Edward Snowden von einem “”Supergrundrecht” auf Sicherheit sprach und die NSA-Überwachung als “anti-amerikanisch” abtun wollte. Darauf angesprochen, ob die Bundesregierung diese Aussage teilt, werden die vom Bundesverfassungsgericht postulierten “Abwehrrechte gegen den Staat” zitiert:

Dem Bundesverfassungsgericht zufolge ist die vom Staat zu gewährleistende Sicherheit der Bevölkerung vor Gefahren für Leib, Leben und Freiheit ein Verfassungswert, der mit den Grundrechten in einem Spannungsverhältnis steht. […] Grundrechte sind in erster Linie Abwehrrechte gegen den Staat. Sie sichern die Freiheitssphäre des einzelnen vor Eingriffen der öffentlichen Gewalt. Allgemeininteressen, denen Grundrechtseingriffe dienen, sind in der konkreten Abwägung stets mit den betroffenen Individualinteressen abzuwägen.

Abgewogen hat die Bundesregierung auch, ob die Suchbegriffe des Auslandsnachrichtendienstes bei der Durchleuchtung des Internetverkehrs öffentlich gemacht werden.

Dies hatten die Abgeordneten in der Anfrage gefordert, da diese mehrere tausend Stichwörter lediglich den Mitgliedern der G10-Kommission zur Kenntnis gegeben werden. Nun wird jedoch die Sicherheit der Freiheit vorgezogen:

Die Verwendung von Suchbegriffen durch den BND dient der Aufklärung von Sachverhalten in nachrichtendienstlich relevanten Gefahrbereichen. Die Suchbegriffe spiegeln unmittelbar Arbeitsweisen, Strategien, Methoden und Erkenntnisstand des BND in allen Bereichen der dem BND zugewiesenen Aufgabenbereiche wider. Ihre Offenlegung würde daher dessen Arbeitsfähigkeit und Aufgabenerfüllung in erheblichem Maße beeinträchtigen oder sogar vereiteln. Aus diesem Grund sind die erfragten Informationen von solcher Bedeutung, dass auch ein nur geringfügiges Risiko des Bekanntwerdens unter keinen Umständen hingenommen werden kann.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

September 04 2013

Vorratsdatenspeicherung: Bundeskriminalamt will hunderttausende Inhaber verwurmter Rechner identifizieren

Ablauf der Entstehung und Verwendung von Botnetzen. Lizenz: Creative Commons BY-SA 3.0.

Lizenz: Creative Commons BY-SA 3.0.

Das Bundeskriminalamt hat versucht, mehr als 200.000 Menschen zu identifizieren, deren Rechner Teil eines Botznetzes waren. Das wurde uns vom BKA bestätigt und steht als “Beweis” für die Notwendigkeit der Vorratsdatenspeicherung in einem Papier der EU-Kommission. Seit letztem Jahr ist diese Vorgehensweise ein abgestimmtes Verfahren zwischen Bund und Ländern.

Die EU-Richtlinie zur Vorratsdatenspeicherung wurde politisch mit “schwerstem internationalen Terrorismus” begründet, schon im Text steht nur noch die Bekämpfung von Straftaten. Jetzt haben wir noch einen Anwendungsfall entdeckt. In einem Bericht der Europäischen Kommission heißt es:

Die Deutsche Polizei erhielt Informationen aus Luxemburg nach der Analyse eines beschlagnahmten Command and Control Servers eines Botnets, die digitale Identitäten von ahnungslosen Nutzern enthielten. 218.703 deutsche IP-Adressen, die auf diesen Server zugegriffen hatten, wurden an die Polizei übermittelt, um die Besitzer der Computer zu informieren/warnen, aber die meisten der anschließend von den Polizeibehörden übermittelten Auskunftsersuchen liefen ins Leere, weil die Vorratsdaten nicht gespeichert wurden.

Nachdem wir uns die Augen gerieben hatten, ob das wirklich stimmt, haben wir vor drei Wochen beim BKA nachgefragt. Heute ist endlich die Antwort eingetroffen, in der es heißt:

Über eine Distributed Denial of Services-Attacke durch ein Botnetz wurde eine Webseite im Internet attackiert. Diese war daraufhin im Internet nicht mehr erreichbar. Über die Auswertung der Logdaten der angegriffenen Seite konnte ein Command&Control-Server identifiziert werden, der das zum Angriff genutzte Botnetz steuerte. Im Zuge der Auswertung wurden täterseitige Zugriffe auf den Command&Control-Server festgestellt. Die hierbei genutzten IP-Adressen lieferten Anhaltspunkte zur Identifizierung der Täter.

Dem BKA wurden in einem solchen Fall beispielsweise aus Luxemburg im Jahr 2010 insgesamt 218.703 deutsche IP-Adressen übersandt. Allein in Hessen und Nordrhein-Westfalen wurden im weiteren Verlauf zu insgesamt 169.964 Auskunftsersuchen mangels vorhandener Daten keine Auskünfte erteilt. Die betroffenen Internetnutzer konnten somit nicht davor gewarnt werden, dass sie Teil eines kriminellen Botnetzes sind.

Das BKA hat also in einem einzigen Fall versucht, mit dem Datenpool der Vorratsdatenspeicherung 218.703 Menschen, deren Internet-Anschluss von einem mit Malware befallenen Rechner verwendet wurde, zu identifizieren. Die Vorratsdatenspeicherung, die mit Terrorismus begründet wird. Und wenn 169.964 der 218.703 Anfragen leerliefen, macht das 48.739 identifizierte Menschen. Fünfzigtausend Menschen haben einen Brief bekommen, dass ihr Rechner mit Schadsoftware befallen ist? Und sie per Vorratsdatenspeicherung identifiziert wurden?

Laut BKA ist das mittlerweile sogar ein Standard-Verfahren beim Umgang mit solchen Fällen:

Folgendes Verfahren ist zwischen Bund und Ländern bei Kenntnisnahme massenhaft infizierter Computer/-systeme seit 2012 abgestimmt:

  • Das BKA nimmt die Daten aus dem Ausland entgegen.
  • Das BKA ordnet die IP-Adressen mittels eines automatisierten Skriptes dem jeweilig zuständigen Provider zu.
  • Das BKA nimmt Kontakt zur IuK-Schwerpunktstaatsanwaltschaft auf, um ein Strafverfahren einleiten zu lassen und um so den repressiven Ansprüchen gerecht zu werden.
  • Das BKA verschickt eigenständig im Rahmen seiner Zentralstellenaufgabe zur Unterstützung der Länderbehörde, in dessen Zuständigkeitsbereich der Provider seinen Sitz hat, unter Nutzung von Serienbriefen Mitteilungen gemäß § 10 Abs. 3 i.V.m. § 10 Abs. 2 Nr. 1 i.V.m. § 2 BKAG an die jeweiligen Provider, um diese über die Infektion der Rechner ihrer Kunden zu informieren und sie darum zu ersuchen, diese darüber in Kenntnis zu setzen.
  • Das jeweils zuständige Landeskriminalamt wird darüber in Kenntnis gesetzt und kann ggf. weitere Maßnahmen veranlassen.
  • Sollten im Einzelfall weitere Ermittlungsansätze vorhanden sein, die eine örtliche Zuständigkeit eines Landes begründen, gibt das BKA diesen Vorgang an das zuständige Landeskriminalamt zur dortigen Einleitung der weiteren Maßnahmen in eigener Zuständigkeit ab.

Wir wollten natürlich wissen, wie oft so etwas vorkommt, wie viele Fälle es schon gab und wie viele Menschen schon identifiziert wurden. Die Antwort:

Die Anzahl der Fälle in Bund und Ländern ist nicht registriert worden. Eine Identifizierung der kompromittierten Rechner bei Botnet-Kriminalität ist mangels Vorratsdatenspeicherung in der Regel nicht möglich.

Das ist die größte Zweckentfremdung der Vorratsdatenspeicherung, von der ich in Deutschland bisher erfahren habe. Umso schlimmer, dass das Bundeskriminalamt diesen Fall als Beispiel heranzieht, warum die anlasslose Massenüberwachung sämtlicher Kommunikation in ihren Augen notwendig ist. Und dass die Europäische Kommission das kritiklos in einem Papier übernimmt, dass den Titel “Beweise für die Notwendigkeit der Vorratsdatenspeicherung” trägt. Unglaublich.

Patrick Breyer, Vorratsdatenspeicherungs-Gegner, Jurist und Pirat kommentiert gegenüber netzpolitik.org:

Es ist völlig unverhältnismäßig, wenn das BKA hunderttausende von Internetnutzern ohne ihre Einwilligung identifiziert, um sie vor Schadsoftware zu “warnen”. Die Sicherheit unserer Privatcomputer ist unsere Sache, nicht der Polizei. Es zeigt sich, dass die verfassungswidrige Bestandsdatenauskunft vollkommen ausufert und gestoppt werden muss. Außerdem beweist die BKA-Massenidentifizierung, dass die geforderte IP-Vorratsdatenspeicherung mit der Verfolgung schwerer Straftaten nichts zu tun hat und diese nur als Vorwand genutzt werden, um Internetnutzer wegen Bagatellen zu verfolgen.

Wehe, nach Homepageüberwachung, Funkzellenabfrage und nun Botnetzen erzählt mir noch einmal jemand etwas davon, dass die Vorratsdatenspeicherung nur gegen Terror ist und nur in Einzelfällen angewendet wird.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 27 2013

Interne Gamma-Folien: Die Fin-Familie staatlicher Überwachungstechnologien als “komplettes IT Intrusion Portfolio”

finfisher-complete-it-intrusionDie Firmen-Gruppe Gamma verkauft mit der FinFisher-Familie eine Reihe an Überwachungstechnologien, die sie selbst als “komplettes Portfolio” des Hackens beschreibt. Das geht aus geleakten Dokumenten hervor, die aus einem Verkaufsgespräch mit einem Landeskriminalamt stammen sollen. Wir wollen den Vertrag der Firma mit dem BKA sehen und haben Widerspruch auf eine Ablehnung eingereicht.

Die Staatstrojaner-Suite FinFisher und die dahinter stehende Firmen-Gruppe Gamma suchen nicht gerade das Licht der Öffentlichkeit. Zwei neue Dokumente geben jetzt ein paar weitere Einblicke in das Firmengeflecht und die Überwachungstechnik.

Ein anonymes Posting auf Pastebin.com verlinkt auf zwei Dateien, die als “eingescannte Originaldokumente aus Verkaufsgesprächen zwischen Gamma-Vertrieb und Mitarbeitern eines Landeskriminalamts aus dem Jahr 2011″ bezeichnet werden:

Die Echtheit der Dokumente können wir leider nicht bestätigen, Anfragen von netzpolitik.org an die Münchener Firma Gamma International GmbH blieben bisher leider unbeantwortet. Das Corporate Design ist aber ziemlich authentisch, zudem findet sich in den WikiLeaks Spy Files ein weiteres Dokument mit dem selben Titel und weitestgehend deckungsgleichen Inhalten wie das aktuelle Papier über FinFisher.

Die Folien bestätigen, was fleißige Freiwillige auf Buggedplanet.info zusammen getragen haben. Demnach hat die Gamma Group, die sich in mehrere Unterfirmen mit eigenen Spezialgebieten gliedert, 78 Angestellte und neun Büros auf vier Kontinenten. Die Folien werben damit, dass der Staatstrojaner FinFisher seine Ursprünge in der Linux-Linve-CD BackTrack hat, das “von Regierungen weltweit am meisten genutzte Werkzeug für IT-Intrusion”. Seit Jahren hacken Staaten fremde Rechner und immer mehr Gesetze erlauben dies. Für diese Zielgruppe bietet Gamma die Fin*-Produktpallette an:

Tactical IT-Intrusion

FinUSB Suite

finusb-suite-usageDie FinUSB Suite ist ein USB-Stick, den man in ein “Zielsystem” steckt, um dieses zu infizieren und die Kontrolle zu übernehmen. Geht überall, wo man physikalischen Zugriff auf die Hardware hat, als Beispiel wird Reinigungspersonal angegeben. Schon in der Vergangenheit ist das LKA Bayern in Firmen-Büros eingebrochen, um Trojaner-Software auf Rechnern zu installieren.

FinIntrusion Kit

finintrusion-kit-featuresDas FinIntrusion Kit ist ein tragbares “IT Intrusion Kit”. Damit können “rote Teams” vor Ort WLANs knacken, Traffic mitschneiden, Login-Daten abschnorcheln sowie Dienste wie Webserver aufbrechen und Passwörter brute-forcen. “Das Operation Center bietet einfach zu bedienende Point-and-Click Angriffe”. Vom Scriptkiddie zum Scriptcop. (An dieser Stelle ist als Einziges ein von Hand gemaltes Kreuz auf den ausgedruckten und wiedereingescannten Folien.)

FinFireWire

finfirewire-featuresFinFireWire ist ein weiterer Hacking-Koffer, mit Laptop und Firewire-Anschlüssen. Damit können Rechner im laufenden Betrieb infiziert werden, ohne mit einem Reboot Informationen zu verlieren. Auf allen großen Betriebssystemen (Windows, Linux und Mac OS X) sollen Passwort-Abfragen umgangen werden können. Auch der Arbeitsspeicher kann ausgelesen werden, um damit Daten wie Crypto-Schlüssel und -Passwörter zu extrahieren.

Remote Monitoring & Infection

FinSpy

finspy-featuresFinSpy ist ein “ausgefeiltes Intrusion-System”, dass “vollen Zugriff” auf infizierten Systeme gibt. Danach gibt es “vollen Zugriff auf jegliche Kommunikation, inklusive Skype” und andere (SSL-)verschlüsselte Kommunikation. Voller Zugriff auf alle Dateien, Keylogger und “Überwachung durch Webcam und Mikrofon” sind natürlich auch wieder dabei. Die Software läuft ebenfalls auf allen großen Betriebssystemen (Windows, Linux und Mac OS X) und bleibt von den 40 großen Antiviren-Programmen unentdeckt.

FinFly

Die FinFly Tools sind Infektionswege für die Trojaner-Suite FinFisher. Die Infektion kann über verschiedene Wege passieren.

FinFly USB

finfly-usb-featuresFinFly USB ermöglicht die Infektion per USB-Stick. Das geht sowohl bei an- als auch ausgeschalteten Systemen. Pikantes Detail: “Kann ausgeschaltete Zielsysteme infizieren, selbst wenn die Festplatte mit TrueCrypt vollverschlüsselt ist.”

FinFly Web

finfly-web-integrationMit FinFly Web lässt sich “konfigurierbare Software” heimlich auf Zielsysteme einspeisen, indem sie “in Webseiten integriert” wird. Die einfachste Übung hier ist die Erstellung spezieller Webseiten, die ausgewählte User infiziert, die mittels Spear Phishing auf die Seite geleitet werden. Gamma hat demnach Exploits für alle gängigen Browser und verschiedene Module zur Infektion. (Ein Screenshot hat die Beispiele: Firefox Addon und Java Applet)

FinFly LAN

finfly-wlan-workflowFinFly LAN ermöglicht die Infektion in lokalen Netzwerken. Oder über das “Injizieren” falscher Software-Updates. Das Tool scannt alle Rechner, die mit einem Netzwerk verbunden sind, kabelgebunden oder drahtlos. Dann kann man Schadsoftware in den Downloads oder Webseiten-Aufrufen der Zielsysteme “verstecken”. Ebenfalls lassen sich falsche Software-Updates injizieren, wie Firmen-eigenes Video mit einem iTunes-Update als Beispiel zeigt.

FinFly ISP

finfly-isp-workflowFinFly ISP macht ähnliche Sachen wie FinFly LAN, nur eben auf der Ebene eines Anschluss-Providers. Nach der Installation im Backbone-Netz eines koopierierenden Providers können zu infizierende Systeme einfach ausgewählt werden (beispielsweise anhand des RADIUS-Benutzernamens, der MAC-Adresse oder der Telefonnummer). Oder man installiert es gleich in einem ganzen Netzwerk, wie in einem Hotel oder einem Firmennetz. Auch hier lassen sich Infektionen über Downloads, Webseiten und Software-Updates einschleusen.

FinSpy Mobile

finspy-mobile-featuresFinSpy Mobile ist Tool, um mobile Geräte mit dem Staatstrojaner zu infizieren. Das geschieht beispielsweise über Bookmark SMS, WAP Push, Kabel/Bluetooth oder die Synchronisation mit einem infiziertem Rechner. Auch hier werden alle gängigen Betriebssysteme unterstützt: BlackBerry, iOS (iPhone), Android und Windows Mobile/Windows Phone.

Einmal infiziert, hat der Angreifer Zugriff auf sämtliche Kommunikation wie Telefongespräche, SMS, MMS und E-Mails. Sogar verschlüsselte BlackBerry Messenger Nachrichten werden abgeschnorchelt. Dazu kommt eine “live” Ortsüberwachung per GPS, Funkzellen und WLAN-Routern. Schließlich kann auch das Mikrofon von remote eingeschaltet werden.

IT Intrusion Training Programm

fintraining-usageSchließlich bietet Gamma noch Schulungen an, wie Behörden offensiv Hacken können. Als Beispiele werden der “Zugriff auf einen Webserver” und die “Evaluierung der Sicherheit kritischer Infrastrukturen” genannt. Zwei bis vier Beamte lernen “vollständig praktisch” in Europa oder vor Ort “Techniken, die sofort für echte Operationen genutzt werden können”. Auf dem Lehrplan stehen IT Intrusion, Software Exploitation, Web Application Intrusion und Wireless IT Intrusion. Anwendungsbeispiele sind das Zurückverfolgen anonymer Mails, Zugriff auf Mail-Accounts, Sicherheitsanalysen von Servern und das Überwachen von Hotspots, Internetcafés und Hotel-Netzwerken.

Deutschland als Kunde

Der Leaker der Dokumente behauptet, “bei mindestens einem Verkaufsgespräch waren BKA-Mitarbeiter anwesend, die mit FinFisher bereits vertraut waren und beratend teilnahmen.” Leider haben wir keine Möglichkeit, das zu überprüfen. Die Gamma International GmbH hat netzpolitik.org seit heute morgen nicht geantwortet.

Dass das BKA ein Produkt der FinFisher-Familie für knapp 150.000 Euro gekauft hat, haben wir wiederholt berichtet. Nachdem unsere Informationsfreiheits-Anfrage über den Vertrag abgelehnt wurde, haben wir jetzt offiziell Widerspruch eingericht. Die Begründung von BKA und Beschaffungsamt halten wir für fehlerhaft. Die Öffentlichkeit hat ein Recht, zu erfahren, mit welchen Mitteln unsere Behörden arbeiten wollen. Erst recht, wenn sie so invasiv sind.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01 02mydafsoup-01

Mehr parlamentarische Kontrolle? Geheimdienste auflösen, den polizeilichen Staatsschutz gleich mit?

cilip103Morgen soll der Abschlussberichts eines “Expertengremiums” veröffentlicht werden, in dem eine Überprüfung der Sicherheitsgesetze vorgenommen wird. Es geht um den sogenannten “Otto-Katalog” des früheren Innenministers Schily (SPD), der nach dem 11. September 2001 unter dem “Anti-Terror”-Deckmantel zahlreiche neue Gesetze erließ. Die Innenminister der Koaltion hatten die Initiative mit weiteren Maßnahmen erneuert oder fortgeschrieben, darunter das “Terrorismusbekämpfungsergänzungsgesetz” sowie dessen Ergänzung 2011.

Zur von Justiz- und Innenministerium ernannten Regierungskommission aus acht Mitgliedern gehörten die zuständigen MinisterInnen, der FDP-Politiker Burkhard Hirsch und die frühere Generalbundesanwältin Monika Harms. Mittlerweile ist der 308 Seiten starke Bericht einigen Medien vorab zugänglich gemacht worden. Auf Spiegel Online war zu lesen, das Verteidigungsministerium habe zuvor versucht, eine Kritik am Militärischen Abschirmdienstes (MAD) zu verhindern und verlangt, ein kritisches Kapitel nicht mit aufzunehmen. Die Gruppe lehnte jedoch ab und stellt nun sogar die Existenzberechtigung des Militärgeheimdienstes in Frage.

Die Tagesschau berichtet weiterhin, dass insbesondere das 2004 geschaffene “Gemeinsame Terrorabwehrzentrum” (GTAZ) in Berlin-Treptow eine eigene gesetzliche Grundlage erhalten soll. Dort arbeiten über 40 Polizeien und Geheimdienste zusammen. Letzte Woche hatte bereits die Süddeutsche Zeitung aus dem Bericht verlautbart, dass eine “derart enge Kooperation” verfassungsrechtlich “nicht unproblematisch” sei. Empfohlen wird demnach, die Arbeit auf schwerste Terrorgefahren zu beschränken und die behördenübergreifende Kontrolle zu verbessern. Hierzu gehört auch die weitere Stärkung einer parlamentarischen Kontrolle der Geheimdienste.

Fraglich ist aber, ob diese datenschutzrechtlichen Brotkrümel überhaupt ausreichen – oder ob es bei der zunehmend geheimdienstlichen Tätigkeit etwa des Bundeskriminalamtes (BKA) nicht um die ganze Bäckerei gehen müsste. Pünktlich zur morgigen Vorstellung des Berichts der Regierungskommission ist die neue Ausgabe der Zeitschrift “Bürgerrechte & Polizei/CILIP” erschienen, die sich diesmal ebenfalls mit der Vergeheimdienstlichung deutscher Sicherheitsbehörden befasst.

Unter dem Titel “Allgegenwärtig, aber wenig bekannt – Der polizeiliche Staatsschutz in Deutschland” analysieren die Autoren Mark Holzberger und Albrecht Maurer die politischen Abteilungen von Bundes- und Länderpolizeien. Sie legen dar, wie der polizeiliche Staatsschutz seit Jahren stetig an Einfluss gewinnt, wobei die Grenzen zum Geheimdienst verschwimmen. Denn die Staatsschutzabteilungen seien “keine üblichen polizeilichen Untergliederungen”. Zu ihren Aufgaben gehört stattdessen die “Verhütung und Verfolgung” politisch motivierter Kriminalität.

Diese unterliegt aber politischer Konjunktur. Derzeit gilt eine Definition der Innenministerkonferenz (IMK) von 2001, wonach eine “extremistische” Zielsetzung nicht unbedingt erkennbar sein muss. Folgerichtig wird die IMK als eine “verschwiegene und damit undurchsichtige Plattform rein exekutiver Politikentwicklung” kritisiert.

Damit ist laut den Autoren den Staatsschutzabteilungen der Polizei ein weites Feld eröffnet, das von “terroristischen” Straftaten über Auseinandersetzungen bei Demonstrationen bis hin zu Alltagsdelikten reicht:

Wie feingliedrig der polizeiliche Staatsschutz bis auf die kommunale Ebene präsent ist, zeigt das Beispiel Sachsen-Anhalt: Hier ist beim LKA zunächst die Abteilung 5 zuständig. Diese gliedert sich in vier Dezernate und das “Gemeinsame Informations- und Auswertungszentrum islamistischer Terrorismus” (GIAZ). Auf der Ebene der drei regionalen Polizeidirektionen nimmt jeweils das Fachkommissariat 5 der Zentralen Abteilung Kriminalitätsbekämpfung (ZKB) die Aufgaben des Staatsschutzes wahr. In den örtlichen Polizeirevieren wird der Staatsschutz im Sachgebiet 5 des jeweiligen Revierkriminaldienstes (RKD) bearbeitet.

Wie im durchgesickerten Abschlussbericht wird auch die sogenannte “Früherkennung” des BKA bzw. dessen “Vorfeldermittlungen” kritisiert. Diese werden in der Abteilung ST (“Staatsschutz”) vorgenommen, die über eine beachtliche Zahl an MitarbeiterInnen sowie Datensammlungen verfügt. Schon in den 70er Jahren wurde ihr Repertoire um die “Rasterfahndung”, die “beobachtende Fahndung” und die Telefonüberwachung erweitert. Die polizeilichen Datensammlungen werden mehr und mehr miteinander verknüpft, heute wird dieses Data Mining mit Software erleichtert.

Von den vier der Abteilung ST nachgeordneten Gruppen sind laut Holzberger und Maurer drei in Meckenheim und eine in Berlin-Treptow angesiedelt:

  • ST 1 mit sieben Referaten angesiedelt in Meckenheim: Politisch motivierte Kriminalität links und rechts;
  • ST2 mit vier Referaten, ebenfalls in Meckenheim: Internationale Politisch motivierte Kriminalität/Spionage/Proliferation/ABC-Kri­minalität und Verbrechen gegen die Menschlichkeit;
  • ST 3 mit acht Referaten, angesiedelt in Berlin-Treptow: Politisch motivierte Ausländerkriminalität/internationaler Terrorismus – reli­giös motivierter/islamistischer Extremismus; bei der 2004 ins Leben gerufenen Gruppe arbeiten heute rund 300 MitarbeiterInnen;
  • ST4: Zentral- und Serviceangelegenheiten, Meckenheim, mit sechs Referaten – u.a. für Finanzermittlungen und für die Überprüfung von auf deutschen und anderen Schengener Auslandsvertretungen gestellten Visa-Anträgen.

Zu den Einsatzformen des polizeilichen Staatsschutzes gehört laut CILIP “das volle Programm der verdeckten Methoden”. Legitimiert werden die Maßnahmen durch die Strafprozessordnung und Landespolizeigesetze, die eine “vorbeugende Bekämpfung” von Straftaten mit “erheblicher Bedeutung” erlauben – ein politisch dehnbarer Begriff, dessen Verfolgung auch vom Parteibuch der amtierenden Landesregierung abhängt.

Zur Koordination von Staatsschutzabteilungen des Bundes und der Länder existiert laut den beiden Autoren “eine völlig unübersichtliche und intransparente Vielzahl von Vereinbarungen und Leitlinien mit jeweils unterschiedlichem Grad an Verbindlichkeit”. Hierzu gehört beispielsweise ein “Leitfaden über die Zusammenarbeit von Polizei und Verfassungsschutz” oder eine “Gesamtkonzeption zur Bekämpfung der politisch motivierten Gewaltkriminalität”, die für “rechts” und “links” ausformuliert wurde. Doch damit nicht genug:

Über alledem schwebt ein Bericht der BKA-Abteilung ST von 2007 über “Standort und Perspektiven des Polizeilichen Staatsschutzes”. Darin wird die Idee eines “einheitlichen Bekämpfungsansatzes” dafür verwandt, sämtliche Grenzen polizeilichen Handelns verschwimmen zu lassen – sei es die zwischen Bund und Ländern, zwischen Gefahrenabwehr und Strafverfolgung, zwischen innerer und äußerer Sicherheit und wie selbstverständlich auch zwischen Polizei- und Geheimdienstarbeit.

Holzberger und Maurer kommen – wenig verblüffend – zu nahezu ähnlichen Schlußfolgerungen wie die Mitglieder der Regierungskommission: Die Arbeit des polizeilichen Staatsschutzes ist demnach geprägt von einer “Übernahme geheimdienstlicher Aufgaben und Praktiken”. Es fehlt an einer Kontrolle durch die Parlamente:

Bis zum Auffliegen der gravierenden handwerklichen Mängel, die sich auch und gerade die polizeilichen Staatsschutzabteilungen von Bund und Ländern im Kontext der NSU-Affäre geleistet haben, gab es im Bundestags und in den Landtagen nicht einmal im Ansatz ein Interesse, diesen Apparaten auf die Finger zu sehen. [...] Kaum jemand nimmt diese permanente und vollständige Verschmelzung polizeilicher und geheimdienstlicher Tätigkeit heute noch als Bruch des Trennungsgebotes wahr.

CILIP stellt daher die “Auflösung oder mindestens Kontrolle” der mittlerweile institutionalisierten Zusammenarbeitsformen in den Raum. Dies betrifft auch die IMK und ihre Arbeitsgruppen, die als “Relaisstationen zur Durchsetzung strategischer Projekte des Bundes” bezeichnet werden.

Zum gleichen Fazit kommt ein anderer Aufsatz von Norbert Pütter unter dem Titel “Kontrollprobleme neuen Ausmaßes – Polizeilicher Staatsschutz als Geheimpolizei”. Pütter geht davon aus, dass Geheimdienste erfahrungsgemäß “nicht nur ineffektiv, sondern auch unkontrollierbar und undemokratisch” seien. Dies gelte auch für den Staatsschutz:

Die Kontrolle des polizeilichen Staatsschutzes ist kaum leichter zu bewerkstelligen als die des “Verfassungsschutzes”. Seine rechtliche Regulierung ist mit weiten Maschen gestrickt. Er verfügt über ein breites nachrichtendienstliches Instrumentarium, hat Zuständigkeiten im Vorfeld der “vorbeugenden Bekämpfung” und seine Kontrolle wird durch den Verweis auf die Geheimhaltungsbedürftigkeit verunmöglicht. Die politische Polizei ist deshalb keine demokratische Alternative zum nachrichtendienstlichen Staatsschutz. Die Abschaffung der Geheimdienste zu fordern, muss deshalb mit der Forderung einher gehen, die Polizei demokratisch zu reformieren: Instrumente und Befugnisse klar und bestimmt zu benennen, “Vorfeldarbeit” zu untersagen, Transparenz, Öffentlichkeit und Verantwortlichkeit herzustellen. Dies gilt für den polizeilichen Staatsschutz wie für die Polizei insgesamt.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01 02mydafsoup-01

August 23 2013

“Datenschutzrechtliche Brotkrümel”? Regierungskommission empfiehlt mehr Kontrolle für quasi-geheimdienstlich agierendes Bundeskriminalamt

GETZ_PresseinformationDie Süddeutsche Zeitung veröffentlichte heute morgen Auszüge von Ergebnissen einer Regierungskommission, die im Auftrag der Bundesregierung die sogenannten “Sicherheitsgesetze” überprüfen sollte. Das 308 Seiten starke Papier liegt der Redaktion demnach exklusiv vor. Die Zeitung schreibt dazu, deutsche Sicherheitsbehörden sollen “wirksamer kontrolliert werden und ihre Befugnisse präziser geregelt werden”.

Zwar geht es um den Sicherheitsapparat als Ganzes (die Zeitung schreibt versehentlich auch von “Gemeindiensten”), jedoch wird vor allem auf das Bundeskriminalamt (BKA) Bezug genommen: Wie die Geheimdienste soll das Amt zukünftig unter die Aufsicht eines parlamentarischen Kontrollgremiums gestellt werden. Mehr als die Hälfte aller MitarbeiterInnen des BKA arbeiten in Abteilungen zu “Analyse-/Auswertungs- bzw. Früherkennungsaufgaben im Bereich der Politisch motivierten Kriminalität”.

Die eigens ernannte Kommission besteht aus drei vom Bundesjustizministerium und drei vom Bundesinnenministerium benannten Mitgliedern. Besonders das 2004 eingerichtete Gemeinsame Terrorismusabwehrzentrum (GTAZ) in Berlin-Treptow sorgte bei den Beteiligten für Kopfschütteln. Es handelt sich dabei um eine Einrichtung aller Sicherheitsbehörden in Deutschland: BKA, Bundesamt für Verfassungsschutz, Bundesnachrichtendienst, Zollkriminalamt, Militärischer Abschirmdienst, 16 Landeskriminalämter und Landesämter für Verfassungsschutz, Bundespolizei, Bundesamt für Migration und Flüchtlinge sowie Generalbundesanwaltschaft.

Formal sind die polizeilichen und geheimdienstlichen Ämter räumlich voneinander getrennt. Tägliche Lagebesprechungen, die Zusammenarbeit der Fachabteilungen und eine gemeinsam genutzte Caféteria führen das in Deutschland gültige Trennungsgebot von Polizei und Diensten allerdings ad absurdum.

Eine Mehrheit der Regierungskommission sieht im GTAZ “eine Verfestigung, ein Ausmaß und eine Bedeutung”, die eigentlich ein eigenes Gesetz erfordert. Dort müssten laut der Süddeutschen Grenzen der Zusammenarbeit definiert werden. Die bisherige Zuständigkeit für alle Erscheinungsformen des “internationalen Terrorismus” solle auf schwerste Terrorgefahren beschränkt, die behördenübergreifende Kontrolle verbessert werden. Auch die richterlichen Anordnungen, die derzeit vom Amtsgericht Wiesbaden ausgehen, werden als zu dürftig eingeschätzt. Vorgeschlagen wird, den Ermittlungsrichter des Bundesgerichtshofs zu beauftragen. Für weitgehende Spähaktionen, etwa den Einsatz von Trojanern oder Lauschangriffen, sollte die Strafkammer eines Landgerichts sowie der Bundesdatenschutzbeauftragte eingeschaltet werden. Letzteres fand allerdings nicht bei allen beteiligten Zustimmung.

Die Süddeutsche schreibt nichts über das “Gemeinsame Extremismus- und Terrorismusabwehrzentrum”, das als Antwort auf das Auffliegen des NSU eingerichtet wurde. Im GETZ sind wie im GTAZ alle Sicherheitsbehörden des Bundes und der Länder verzahnt. Wie immer schlägt die Koalition auch dort wahllos um sich: Neben dem “Linksextremismus/-terrorismus” soll auch “Ausländerextremismus/-terrorismus” ausgeforscht werden. Auch die EU-Polizeiagentur Europol darf im GETZ mitarbeiten, über deren genaue Aufgabenbereiche ist aber nichts bekannt.

Terrorismusbekämpfungsgesetz, Terrorismusbekämpfungsergänzungsgesetz, Ergänzung des Terrorismusbekämpfungsergänzungsgesetzes

Ursprünglich hatte die Innenministerkonferenz der Länder (IMK) gefordert, das GTAZ und das GETZ, das bislang keinen eigenen Standort hat, zusammenzulegen:

Das GETZ sollte unter einem Dach und deshalb an einem Standort stehen. Die mit dem GTAZ in Berlin bereits bestehende Struktur und Logistik sollte dafür genutzt und entsprechend erweitert werden. Ein phänomenübergreifendes Zentrum an einem Standort gewährleistet übergreifende Lagebilder und Bewertungen, ermöglicht Synergieeffekte insbesondere in technischen und methodischen Fragen. […] Organisatorisch ist das GETZ grundsätzlich dem GTAZ nachzubilden.

Das war dem Bundesinnenministerium aber bereits zuviel Kontrolle. Ein Umzug nach Berlin wird zwar grundsätzlich befürwortet. Doch wollen die Bundesbehörden im GTAZ unter sich bleiben:

Sowohl das GTAZ, als auch das GAR [Gemeinsames Abwehrzentrum gegen Rechtsextremismus] profitieren erheblich von der Rückkoppelung an die jeweiligen Fachabteilungen von BKA und BfV. Dieser Effekt ginge verloren, würden alle Zentren unter einem Dach an einem gemeinsamen Standort zusammengefasst.

Zu den von der Kommission jetzt monierten Gesetzen gehören auch das Terrorismusbekämpfungsgesetz von Ende 2001, das Terrorismusbekämpfungsergänzungsgesetz von 2006 und dessen Erneuerung von 2011.

Schon 2006 konnten die Polizeien und Dienste “unter wesentlich erleichterten Voraussetzungen umfängliche Auskünfte bei Kreditinstituten, Finanzdienstleistern, Luftverkehrsgesellschaften, Post- und Telekommunikationsunternehmen einholen”, wie es vom Bundesdatenschutzbeauftragten (BfdI) kritisiert wird. BfV, MAD und BND hatten die Befugnis zur eigenständigen Ausschreibung von Personen und Sachen im Nationalen Polizeilichen Informationssystem (INPOL) sowie im Schengener Informationssystem (SIS).

Die neue Fassung des Terrorismusbekämpfungsergänzungsgesetzes wurde vom Bundesinnenministerium zwar als mehr rechtsstaatliche Kontrolle und Grundrechtsschutz gelobt. Der BfdI sieht aber letztlich mehr Befugnisse für die Behörden und die zunehmende Gefahr der Nutzung von Persönlichkeitsprofilen:

Die Nachrichtendienste können jetzt nicht nur an Fluggesellschaften selbst herantreten, sondern die Daten bei zentralen Buchungssystemen (etwa bei Amadeus) abfragen. Zusätzlich sollen diese Behörden die Befugnis erhalten, Kontostammdaten aus einem zentralen System abzufragen. Nach den Erfahrungen mit ähnlichen Befugnissen anderer Behörden ist damit zu rechnen, dass nun auch die Nachrichtendienste diese Befugnisse rege nutzen werden. Durch die Einführung einer Auskunftspflicht für sämtliche der oben genannte Auskunftsverlangen wird zudem das Trennungsgebot weiter eingeschränkt. Denn die Nachrichtendienste erhalten damit einen direkten Zugriff auf personenbezogene Daten ohne Mitwirkung der verantwortlichen Stellen, der sogar über die Herausgabepflicht bei der strafprozessualen Beschlagnahme hinausgeht und entsprechenden Zwangsbefugnissen in nichts nachsteht.

“Mit datenschutzrechtlichen Brotkrümeln lassen wir uns nicht mehr abspeisen!”

Die tiefen Eingriffe des neuerlich erweiterten Terrorismusbekämpfungsergänzungsgesetzes in die Bürgerrechte riefen 2011 auch Bürgerrechtsgruppen auf den Plan. kritisiert wurde die Erweiterung der ohnehin angeschlagenen Trennung von Polizei und Geheimdiensten, der Aufbau neuer Datenbanken, den Aufstieg der Biometrie als neue Identifikationstechnologie und die Aufweichung der Trennung von Polizei und Militär.

Hierzu sei an die Rede der Zeitschrift Bürgerrechte & Polizei/CILIP auf der Demonstration “Freiheit statt Angst” vom 10.9.2011 in Berlin erinnert:

  • Wenn neue polizeiliche oder geheimdienstliche Vollmachten erst einmal eingeführt sind, bleiben sie erhalten.
  • Wer auf Regierungen und etablierte Parteien setzt, wer darauf hofft, dass die nächste Koalition Fehler und Auswüchse korrigieren würde, hofft vergebens.
  • Was sich hierzulande nicht durchsetzen lässt, wird über den Umweg des G8 oder der Europäischen Union eingeführt.
  • Wer sich nicht wehrt, lebt verkehrt. Der Widerstand gegen die Einschränkung von Freiheitsrechten muss sich ebenso grenzüberschreitend organisieren, wie es die Macherinnen und Macher von Terrorismusbekämpfungsergänzungsgesetzen tun: Gegen die Militarisierung des EU-Grenzregimes, gegen die Überwachung und Kontrolle digitaler Kommunikation, gegen die ausufernden polizeilichen Datenhalden, die zusehends international getauscht werden.
  • Kämpfen wir also international für unsere Rechte, für eine wirklich demokratische Gesellschaft. Mit datenschutzrechtlichen Brotkrümeln lassen wir uns nicht mehr abspeisen!

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted bymondkroete mondkroete

August 15 2013

“All Out PredPol” – Hersteller von Vorhersagesoftware mobilisiert Nachbarschaft zur “Verbrechensbekämpfung”

Mit dieser Karte sollen Polizeien und Nachbarschaftsgruppen in Santa Cruz heute

Mit dieser Karte sollen Polizeien und Nachbarschaftsgruppen in Santa Cruz heute “Verbrecher” fangen

Irgendetwas gemerkt, ist es sicher geworden auf den Straßen oder im Internet? Denn der heutige 15. August ist der “Internationale Aktionstag für polizeiliche Vorhersage” (“Predictive Policing International Day of Action”).

Die ulkige Ankündigung ist ernst gemeint und kommt von einer US-Firma, die sich im Bereich des Orakelns von unerwünschtem Verhalten etablieren will. Die Rede ist von PREDPOL, dem Start-Up einiger Wissenschaftler, die sich mit den Ergebnissen ihrer Forschungen an der UCLA-Universität Santa Clara selbständig gemacht haben.

PREDPOL konnte mehrere US-Polizeien zur Einführung der Software überreden, darunter die Departments Los Angeles, Seattle, Carlsbad und Santa Cruz. Inzwischen zählt auch die britische Grafschaft Kent zu den Kunden der Firma, die den Herstellern ähnlicher Systeme I.B.M. und Microsoft Konkurrenz machen will.

Die Software von PREDPOL greift auf Statistiken früherer Ereignisse zurück. Hierzu gehören verzeichnete Straftaten, aber auch eingegangene Notrufe deren Standorte geolokalisiert erfasst werden. Daraus werden “Hot Spots” generiert, die dann mit höherer Frequenz bestreift werden.

Die Polizei in Kent behauptet, man habe die Kriminalitätsrate dadurch bereits um 6% gesenkt. Nachprüfbar sind diese und andere Angaben nicht, eine belastbare Studie fehlt.

Datenbank zu Aufständen, Protesten und Friedensinitaiven

Um seine Marktführerschaft zu behaupten, kauft I.B.M. derzeit zahlreiche Firmen die auf eine sogenannte “Big Data-Analytik” spezialisiert sind. Ein seit 2006 von der Firma in Memphis genutztes System basiert auf Analyst’s Notebook, das in seiner rudimentären Form auch vom deutschen Bundeskriminalamt (BKA) eingesetzt wird.

Inzwischen ist es möglich, auch Daten aus Sozialen Netzwerken wie Facebook und Twitter in die Analysesoftware von I.B.M. einzubinden. Auch das BKA interessiert sich dafür. Bekannt ist diese Auswertung persönlicher Mitteilungen etwa aus Libyen, wo die NATO aus Tweets zukünftige Ereignisse ablesen wollte.

Derartige Systeme werden unter anderem von dem Informatiker Kalev Leetaru gehyped, der hierfür unter dem Namen “Global Data on Events, Location and Tone” (GDELT) eine Datenbank mit Millionen Einträgen zu Aufständen, Protesten und Friedensinitaiven errichtet. Ziel ist die Identifizierung von “Bedrohungen”. In einem Interview erklärt Leetaru dazu:

Meine Arbeit konzentriert sich auf die Analyse sowohl von Emotionen als auch von Verhaltensweisen. Den emotionalen Ton globaler Medienberichte heranzuziehen, um Konflikte und Stabilität zu analysieren, ist ziemlich neu. Fast jede Firma wertet heute den Tonfall in den Medien aus, um in Erfahrung zu bringen, was die Leute über sie denken, aber es gibt nicht viele, die mit dieser Methode versuchen, die globale Politik vorherzusagen.

Das Projekt von Leetaru wird mittlerweile auch in Deutschland verbreitet. Zu den Protagonisten gehört der selbsternannte “Sicherheitsberater” Florian Peil, der politische Ereignisse als ein “großes Datenproblem” umschreibt:

Immer geht es darum, bislang unerkannte Muster und Zusammenhänge im Datenchaos aufzuspüren, um auf diese Weise zu neuen Erkenntnissen zu gelangen. Dahinter steht der Gedanke, die reale Welt in Form von Daten nachzumodellieren – um dann zu sehen, was passiert, wenn diese Welt sich verändert. Enthusiasten sind sich sicher, dass die Auswertung der Vergangenheit bald einen Blick in die Zukunft ermöglicht. Für sie sind Gesellschaften und Geschichte einfach wie ein großes Datenproblem zu behandeln.

Auf der Verkaufsmesse “Europäischer Polizeikongress” hielt Peil dazu einen Vortrag im Panel zu “Cybercrime”. Seine Aussage: “Wir sehen hier eine enorme Menge an Inhalten. Die Relevanz dieser Inhalte ist aber nicht mitgewachsen”.

ARD auf Schnitzeljagd nach “Verbrechern”

I.B.M. bietet mittlerweile die Erweiterung seiner Plattformen um das System “Coplink” an. Damit können einzelne Polizeidirektionen auch Daten anderer Dienststellen abrufen, etwa wenn – auch ohne richterlichen Beschluss – eine Person oder ein bestimmtes Kennzeichen gesucht wird.

In eine ähnliche Richtung geht der Konzern Microsoft, der letztes Jahr mit der Polizei in New York ein Abkommen zur Entwicklung eines Analysewerkzeugs namens “Domain Awareness System” geschlossen hat. Eingebunden werden 3.000 Überwachungskameras, automatische Kennzeichenscanner und mehrere Datenbanken. Damit sollen Verdächtige aufgespürt werden, angeblich habe es dabei sogar Erfolge gegeben.

Am heutigen “Aktionstag” will PREDPOL erneut auf sich aufmerksam machen. Polizeien in jenen Städten, wo das System eingesetzt wird, sollen vermehrte Präsenz zeigen – vermutlich um Medien anlocken und das Produkt bewerben zu können. Unter dem Motto “All Out PredPol” heißt es:

The plan is to get as much positive and healthy activity and presence in each of the PredPol zones. To accomplish this, we are teaming with our public safety partners and community groups to activate these areas.

Richtig gelesen: Auch “community groups”, also Nachbarschaftsinitiativen sollen mit Karten aus dem Internet versorgt werden, um heute gemeinsam auf die Jagd nach verdächtig aussehenden Personen zu gehen.

Kürzlich hatte die ARD einen Beitrag zu einer derartigen Schnitzeljagd mit PREDPOL-Software in Santa Cruz gesendet, der natürlich “Minority Report” wird Wirklichkeit” heißen musste. Deutlich wurde vor allem der vorurteilsbeladene Charakter und der Alltagsrassismus von Fernsehteam und Polizei. Denn das computergestützte Vorhersagesystem liefert keine Anhaltspunkte, wie denn die erwarteten “Verbrecher” auzusehen haben oder zu erkennen wären.

Demenstprechend liefen der Moderatorin Karin Dohr die üblichen Verdächtigen vor die Kamera, darunter Menschen mit dunkler Hautfarbe, Kapuzenpullis und andere, offensichtlich unterprivilegierte Personen in einem heruntergekommenen Stadtteil.

Das aufgespürte “Verbrechen” (O-Ton Moderatorin), für das am Ende sogar Handschellen klickten: Der Besitz eines angeblich gestohlenen Fahrrads.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01 02mydafsoup-01

August 07 2013

Staatstrojaner FinFisher: Vertrag bleibt geheim, Informationszugang würde die öffentliche Sicherheit gefährden

finfisher-infectedWenn bekannt wird, wie das Bundeskriminalamt den international berüchtigten Staatstrojaner einsetzt, wird die Funktionsfähigkeit der Sicherheitsbehörden beeinträchtigt und damit die öffentliche Sicherheit gefährdet. Mit dieser Begründung werden unsere Informationsfreiheits-Anfragen nach dem Dokument abgelehnt. Würde man sensible Informationen schwärzen, blieben “keine nennenswerten Informationen mehr übrig”.

Im Januar haben wir enthüllt, dass das Bundeskriminalamt den Staatstrojaner FinFisher der Firma Elaman/Gamma beschafft hat und einsetzen will. Seitdem versuchen wir, Einblick in den Vertrag zu bekommen. Jetzt haben sowohl das Bundeskriminalamt als auch das Beschaffungsamt des Innenministeriums unsere Anfragen nach Informationsfreiheitsgesetz beantwortet – und beide abgelehnt.

Gleich vier Gründe werden angeführt, warum die Öffentlichkeit keine Details zum Staatstrojaner-Deal erfahren darf:

Gefährdung der öffentlichen Sicherheit

Das BKA ist der Auffassung, dass ein Einblick in den Vertrag “die Funktionsfähigkeit der Sicherheitsbehörden” und “damit die öffentliche Sicherheit” insgesamt “beeinträchtigt bzw. gefährdet”:

Eine Einsichtnahme in den Vertrag würde den Erfolg der auf der Quellen-TKÜ basierenden polizeilichen Maßnahmen gefährden, weil Rückschlüsse auf das verwendete Gesamtsystem, dessen Hardware, eventuelle Schwachstellen sowie die polizeilichen Methoden/Einsatztaktik möglich wären. Dies führte zu einer eingeschränkten Wirksamkeit polizeilicher gefahrenabwehrender sowie strafverfolgender Maßnahmen der Quellen-TKÜ.

Im Ergebnis würde dies die Funktionsfähigkeit der Sicherheitsbehörden beeinträchtigen bzw. gefährden, wodurch die schützenswerten Interessen der Bundesrepublik Deutschland an einer wirksamen Bekämpfung von schwerer sowie schwerster Kriminalität mittels der Quellen-TKÜ und damit die öffentliche Sicherheit (und der darin aufgehenden inneren Sicherheit, vgl. oben) insgesamt beeinträchtigt bzw. gefährdet wären.

Dass das Prinzip Security by Obscurity nicht funktioniert, hat man da anscheinend nicht verstanden.

Geheim weil geheim

Der Vertrag ist mit einer Geheimhaltungsstufe versehen, die man auch nicht ändern will:

Der Vertrag mit der Fa. Elaman gilt als Verschlusssache mit dem Geheimhaltungsgrad „VS-NUR FÜR DEN DIENSTGEBRAUCH“, da die im Vertrag enthaltenen Informationen als „geheim zu haltende Tatsachen“ im Sinne des Sicherheitsüberprüfungsgesetzes (SÜG) in Verbindung mit der Verschlusssachenanweisung (VSA) eingestuft sind.

Die Gründe für die Einstufung als Verschlusssache wurden aus Anlass des IFG-Antrages nochmals geprüft, diese liegen weiterhin vor. Der Ausnahmetatbestand nach § 3 Nr. 4 IFG liegt somit aufgrund der Einstufung weiterhin vor.

Es ist also geheim, weil es geheim ist. Das erinnert an: “Wir sind eine PARTEI, weil wir eine PARTEI sind!

Firmengeheimnisse

Ein weiter Grund: Gammas Partner-Firma Elaman will nicht, dass ihr Vertrag bekannt wird:

Schließlich scheitert ein Anspruch auf Informationszugang nach dem IFG auch daran, dass durch das Bekanntwerden des Vertrages der Schutz geistigen Eigentums und von Betriebs- und Geschäftsgeheimnissen der Firma Elaman als Dritter gemäß § 6 IFG berührt würde. Die Firma Elaman hat ihre Einwilligung gemäß § 6 S. 2 IFG verweigert, weil durch eine Veröffentlichung des Vertrages kaufmännische Kalkulationen, einzelne Entwicklungsschritte und detaillierte Leistungsmerkmale ersichtlich würden, die wiederum Rückschlüsse auf das Gesamtsystem und dessen Hardwarekonfiguration ermöglichen würden.

Eine Firma schreibt also dem Staat vor, dass dieser keine Informationen über mit Steuergeldern bezahlte Überwachungsmaßnahmen veröffentlichen darf. Wer ist hier der Souverän?

Unkenntlichmachung sinnlos

Immerhin hat man eine Schwärzung sensibler Vertragsteile erwogen, dabei bleiben aber “keine nennenswerten Informationen mehr übrig”:

Im Falle einer Unkenntlichmachung derjenigen Vertragsinhalte, die schützenswerte Belange betreffen, wären die zu schwärzenden Passagen des Vertrages so umfangreich, dass ein Informationszugang praktisch nicht erfolgen würde, weil keine nennenswerten Informationen mehr übrig blieben. Eine Schwärzung gemäß § 7 Abs. 2 IFG des Vertrages kommt deshalb nicht in Betracht.

Die “transparenteste US-Regierung aller Zeiten” hatte vorgemacht, wie das aussieht.

“NSA-Denke in deutscher Form”

Constanze Kurz, Sprecherin des Chaos Computer Club, kommentiert diese Ablehnung gegenüber netzpolitik.org:

Die Behörden lassen sich bei ihrem Ankauf elektronischer Waffen, die gegen Computer von deutschen Bürgern eingesetzt werden sollen, weiterhin nicht in die Karten schauen. Sie warten diesmal mit allem auf, was an Ablehnungsgründen aus dem IFG rauszuholen ist, um auch nur den Anschein von Transparenz und Überprüfbarkeit ihrer Kooperation mit einem notorischen Hoflieferanten bekannter Folterregimes zu vermeiden.

Da zeigt sich die alte NSA-Denke in deutscher Form. Angeblich könne auch keine geschwärzte Version des Vertrages gesendet werden. Vermutlich dürfen wir schon dankbar sein, dass die Existenz des Papiers nicht geleugnet wird. Die Funktionalitäten von FinFisher sind mittlerweile durchaus bekannt, allerdings ist es ein Recht der deutschen Öffentlichkeit, zu erfahren, wo das BKA die Exploits einkaufen lässt und was dafür bezahlt wird.

Natürlich lassen wir das nicht einfach so auf uns sitzen und bitten den Bundesbeauftragten für die Informationsfreiheit um Vermittlung, eh wir vielleicht offiziell Widerspruch einreichen. Selbstverständlich nehmen wir auch weiterhin anonyme Zusendungen und braune Briefumschläge entgegen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01towsermofo

July 12 2013

BKA, Bundespolizei und BND experimentieren mit 3D-Druckern und wollen diese für “interne Produktionsabläufe” nutzen

Die Bundespolizei und das Bundeskriminalamt (BKA) führen bald Tests mit 3D-Druckern durch. Hierzu wollen die beiden Behörden einen eigenen Drucker beschaffen und Dateien nutzen, um Waffen bzw. Waffenteile herzustellen. Dies geht aus der Antwort des Bundesinnenministeriums auf eine Kleine Anfrage der Linksfraktion hervor.

Die Abgeordneten hatten sich allgemein nach polizeilichen Aktivitäten hinsichtlich der 3D-Drucker befasst. Hintergrund war eine Meldung mehrerer Medien vom Mai diesen Jahres, wonach im Kanzleramt ein “Geheimtreffen” mit dem BKA zur Thematik stattgefunden hätte. Dies wird jedoch dementiert: Es habe sich in besagten Berichten um das turnusmäßige Treffen von Ministeriumsvertretern und Präsidenten von Sicherheitsbehörden gehandelt. Das BKA hatte dort eine entsprechende Präsentation gehalten. Jedoch wird von Staatssekretär Ole Schröder bekräftigt, dass es die Behörden eilig haben:

BKA und BPOL widmet sich aktuell mit hoher Priorität der Thematik “3D-Drucker”. Schwerpunkt und Bewertungen der Untersuchungen sind dabei einerseits Gefahren, die von einer kriminell intendierten Nutzung dieser Technik für die Allgemeinheit und die öffentliche Sicherheit entstehen können, sowie andererseits eine Abschätzung der Nutzungsmöglichkeiten dieser Technologie für eigene (polizeiliche) Zwecke.

Laut der Antwort ist das BKA selbst aktiv, um einen internationalen Austausch zur Gefährdung durch 3D-Drucker anzuregen. Hierzu hat das Amt auf einer informellen Polizeikonferenz Kontakt mit der australischen Polizei aufgenommen. Dort wurde bereits mit einem Drucker des Typs “Liberator” eine Pistole ausgedruckt. Beim ersten Schuss hatte sich die Waffe aber selbst zerlegt. Das BKA hat jetzt “erste Unterlagen” aus Australien erhalten.

Abteilungen des BKA haben sich überdies mit dem Bundesinnenministerium Österreichs in Verbindung gesetzt, das ebenfalls Tests mit einem “Liberator” durchführte. Das Ausdrucken hat dort rund 30 Stunden gedauert. Anschließend konnten angeblich mehrere erfolgreiche Schüsse mit 9 Millimeter-Patronen abgegeben werden. Auch hierzu erhielt das BKA einen Bericht. Nach eigener Einschätzung seien die in Österreich hergestellten Produkte geeignet, “letale Verletzungen” zu erzeugen.

Bei der besagten Konferenz handelt sich um die jährlich stattfindende “Pearls in Policing”. Das Treffen findet seit 2006 statt und orientiert sich explizit an den geheimnisumwobenen “Bilderberg”-Konferenzen, in denen sich VertreterInnen aus Politik und Wirtschaft in Kamin-Athmosphäre über zukünftige Politiken austauschen.

Polizeien mehrerer Länder diskutieren bei “Pearls in Policing” die sicherheitspolitische Handhabung politischer Trends, darunter etwa zunehmende Umweltzerstörung und das Bevölkerungswachstum. Ziel ist eine bessere internationale Vernetzung. Das BKA ist bei “Pearls in Policing” vor allem hinsichtlich der Überwachung und Analyse von Social Media-Aktivitäten präsent. Dessen Vizepräsident Jürgen Stock ventilierte hierzu vor zwei Jahren Erkenntnisse über “Neue Technologien”:

Examine the evolving nature of social media and associated new technologies; the implications on crime and public safety/security and the associated challenges and opportunities for police to respond strategically; and make recommendations for the future.

Gefahr durch 3D-Drucker droht laut dem Bundesinnenministerium insbesondere im Bereich “Luftsicherheit”, weshalb sich die Bundespolizei mit neuen Verfahren zur Erkennung entsprechender Teile bei Luftsicherheitskontrollen an Flughäfen beschäftigt. Aufziehende Probleme sieht der Staatssekretär aber auch in etwaigen Verletzungen von Urheberrechten durch “Produkt- und Markenpiraterie”. Zugangsbeschränkungen für Jugendliche könnten überdies durch die freie Verfügbarkeit von Dateien im Internet umgangen werden.

Bislang vorliegende Erkenntnise zur sicherheitspolitischen Einschätzung von 3D-Druckern hat das BKA nun im regelmäßig erscheinenden Informationsblatt “Neue Technologien” zusammengetragen, das auch den Länderpolizeien zugänglich gemacht wird. Laut dem Bundesinnenministerium forschen Landeskriminalämter einiger Bundesländer selbst zur Thematik.

In der Anfrage hatten sich die Abgeordneten auch nach positiven Konsequenzen der neuen Drucktechnologie erkundigt. Interessanterweise prüfen mehrere Sicherheitsbehörden laut der Antwort, inwiefern die Verfahren selbst genutzt werden könnten:

Das BKA wird 3D-Drucktechniken auch hinsichtlich ihrer polizeilichen Einsatzmöglichkeiten untersuchen. Die Bundespolizei befasst sich ebenfalls mit den Nutzungsmöglichkeiten für eigene Zwecke. [...] Darüber hinaus prüft der BND die Einsetzbarkeit von 3D-Druckern zur Verbesserung interner Produktionsabläufe.

In der Anfrage ging es auch darum, inwiefern die Behörden des Bundesinnenministeriums Urheberrechte beachten, etwa wenn Waffen aus im Internet zirkulierenden Dateien gedruckt werden. Ole Schröder verspricht, die Rechte Dritter würden “selbstverständlich gewahrt”.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01 02mydafsoup-01

July 11 2013

US-Bedienstete von Polizei, Zoll und Militär übernehmen Sicherheitsaufgaben in Deutschland und der EU

Pressekonferenz
Die gegenwärtige Auseinandersetzung um die digitale Bespitzelung durch Behörden der USA und Großbritanniens dreht sich vornehmlich um die Geheimdienste. Entsprechende Absprachen oder Abkommen (etwa gemäß dem sogenannten “NATO-Truppenstatut”) werden unter Verschluss gehalten; sogar der Regierungssprecher wollte hierzu in der Bundespressekonferenz am Montag keine Angaben machen.

Im Polizei- und Zollbereich jedoch unterhält vor allem Deutschland beste Beziehungen zu den USA. Der frühere Innenminister Wolfgang Schäuble nutzte die EU-Präsidentschaft Deutschlands 2007, um einen “transatlantischen Raum der Freiheit, der Sicherheit und des Rechts” einzufädeln. Auf der Webseite des Weißen Hauses liest sich das so:

Counterterrorism and Law Enforcement Cooperation: Germany and the United States have a robust cooperative relationship on counterterrorism, law enforcement and homeland security matters.

Diesen Kurs bestätigte die Bundesregierung kürzlich in der Antwort auf eine Kleine Anfrage:

Deutschland hat sich mit allen Mitgliedstaaten der EU dem Ziel verpflichtet, einen europäischen “Raum der Freiheit, der Sicherheit und des Rechts” zu errichten. Angesichts des immensen Austausches und Verkehrs mit den USA verwirklicht die enge Kooperation mit den amerikanischen Behörden die Einsicht, dass der gemeinsame Raum der Freiheit, der Sicherheit und des Rechts ohne seine transatlantische Dimension weder machbar noch wünschenswert ist.

Abkommen zur Zusammenarbeit in Angelegenheiten von Polizei, Zoll und Forschung

Das deutsche Zollkriminalamt kooperiert seit 1973 zur “Drogen- und Terrorismusbekämpfung” mit US-Behörden. Die Zusammenarbeit wird seitens der USA mittlerweile vom Department of Homeland Security (DHS) wahrgenommen, zu den weiteren Partnern gehören die Customs and Border Protection (CBP) und das Immigration and Customs Enforcement (ICE). Bezüglich der Strafverfolgung basiert die deutsch-amerikanische Zusammenarbeit auf einem Vertrag, der zuletzt 2003 erneuert wurde. Definiert wird dort die internationale Rechtshilfe in Strafsachen, darunter etwa der “justizministerielle Geschäftsweg” für Einreichung und Entgegennahme von Ersuchen. Auch die Übermittlung der Daten von Telekommunikationsanbietern werden hiervon erfasst. In einem Zusatzvertrag wurden Regelungen zur Erteilung von Bankauskünften, zur Videovernehmung und zu gemeinsamen Ermittlungsgruppen festgelegt. 2009 wurde ein weiteres Regierungsabkommen zur “Wissenschaftlichen und technologischen Zusammenarbeit auf dem Gebiet der zivilen Sicherheit” zwischen dem Bundesministerium für Bildung und Forschung (BMBF) und dem DHS geschlossen. Als erstes “Pilotprojekt” definierte der Vertrag ein Verbundvorhaben zum “Schutz kritischer Infrastrukturen”.

Diese und weitere Vereinbarungen zwischen Deutschland und den USA sollen jetzt als Blaupause für die Kooperation auch mit anderen Mitgliedstaaten der Europäischen Union dienen. Hierzu gehört etwa die Vereinbarung “Preventing and Combating Serious Crime” (PCSC) von 2008, die trotz erheblicher datenschutzrechtlicher Bedenken von Oppositionsparteien, des Bundesrates und des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit 2009 vom Bundestag ratifiziert wurde. Das Abkommen war ein persönliches Projekt von Wolfgang Schäuble:

Wir streben ein deutsch-amerikanisches Abkommen zur Intensivierung des Informationsaustausches an, denn wir brauchen einen gut funktionierenden Informationsaustausch zwischen unseren Staaten. Nur auf diese Weise ist es möglich, ein höchstmögliches Maß an Sicherheit für unsere Bürger zu gewährleisten.

Nach Vorbild des Vertrages von Prüm, der ebenfalls unter Schäuble EU-weit Gültigkeit erlangte, sehen die PCSC-Abkommen automatisierte Abfragen der nationalen Polizeidatenbanken mit Fingerabdrücken und DNA- Profilen vor. Bilaterale PCSC-Verträge sollen die Verfolgung, aber auch vorausschauende Verhinderung von “schwerwiegender Kriminalität” sowie einer “ernsthaften Bedrohung für die öffentliche Sicherheit” erleichtern.

Die Personenerkennungssysteme der US-amerikanischen Bundespolizei FBI gelten als die weltweit größten biometrischen Polizeidatenbanken. Zu den im Rahmen des PCSC mit dem FBI zu tauschenden Datenkategorien gehören sensible, personenbezogene Daten, darunter etwa zum Sexualleben oder der politischen Gesinnung von Betroffenen. Mit Einverständnis der übermittelnden Vertragspartei können Daten auch an Drittstaaten, internationale Organisationen oder Privatunternehmen weitergegeben werden.

Die deutsche nationale Kontaktstelle für den bilateralen Informationsaustausch ist das Bundeskriminalamt (BKA). Artikel 11 des PCSC-Abkommens betont, dass “Privatpersonen aus dem Abkommen keine Rechte erwachsen”. Wie üblich obliegt es dem BKA, die Betroffenen nach Gutdünken über den Datentausch zu informieren oder dies zu unterlassen, wenn dies die “ordnungsgemäße Erfüllung” seiner Aufgaben gefährden würde. Das deutsch-amerikanische PCSC-Abkommen ist derzeit Gegenstand einer Klage vor dem Europäischen Menschenrechtsgerichtshofs.

Zusammenarbeit von BMI und DHS in einer “Security Cooperation Group” wird Vorbild für EU

Die operative Zusammenarbeit zwischen dem BKA und Bundesamt für Verfassungsschutz und dem DHS wird seit 2008 in einer “Security Cooperation Group” ausgestaltet (Großbritannien unterhält hierfür mit dem DHS eine “Joint Contact Group”). Die Gruppe trifft sich halbjährlich auf Ebene der Vizeminister bzw. Staatssekretäre des Innern zum “Austausch zur Gefährdungslage”.

Auf der Agenda der “Security Cooperation Group” stehen unter anderem die Themen “Nutzung des Internet durch terroristische Vereinigungen”, “Cyber-Sicherheit”, “Vorstellung des Gemeinsamen Terrorabwehrzentrums (GTAZ)”, “Terroristische Reisebewegungen”, “Luftsicherheit” oder “Bekämpfung des gewalttätigen Extremismus”. Weitere Zusammenarbeitsformen werden “durch nach Bedarf stattfindende Treffen einzelner Arbeitsgruppen” verabredet. Bekannt ist die Einrichtung von acht deratigen Arbeitsgruppen: “Staatsbürgerschaft, Kommunikation und Integration”, “Grenzüberschreitende Kriminalität und Geldwäsche” (zwei Gruppen), “CBRN-Gefahren und Kooperation”, “Radikalisierung und terroristische Aktivitäten”, “Krisenmanagement”, “Cybersicherheit”, “Luftsicherheit”.

2010, kurz nach Abschluss des Vertrags von Lissabon, unterzeichneten die Europäische Union und die USA die sogenannte “Toledo-Erklärung”. Verabredet wurde, die Zusammenarbeit ähnlich der deutsch-amerikanischen “Security Cooperation Group” auf alle 27 EU-Mitgliedstaaten auszuweiten. Angestrebt wurde die “Weiterführung der exzellenten Kooperation” insbesondere zur “Luftsicherheit”, die Ausweitung auf andere Transportwege, die Überlassung von “predeparture information” zum Abgleich mit Polizeidatenbanken sowie ein Austausch von Methoden zum technischen und “verhaltensbasierten” Aufspüren von Risiken.

Zur “Luftsicherheit” gehört unter anderem die Versagung von Flugreisen auf Basis einschlägiger “No Fly”-Listen sowie der Austausch von “Passenger Name Records” (PNR) vor jedem Flug in die USA. Unter anderem hierzu (allerdings nicht nur) ist das 2002 eingerichtete Department of Homeland Security sogar unmittelbar in Ländern der Europäischen Union tätig. 394 Beamte des DHS sowie anderer Behörden und Dienststellen sind an mindestens sieben Flug- und 23 Seehäfen innerhalb der EU aktiv (Zahlen von 2011). Allein 2011 wurden 1.323 sogenannte “high-risk travelers” von DHS-Angestellten ausfindig gemacht und daraufhin per “No-board-Empfehlung” gegenüber den betreffenden Fluglinien an der Reise gehindert.

Keine US-Hoheitsrechte in Deutschland, dennoch Festnahme eines vermeintlichen Hackers in Frankfurt

Diese “Empfehlung” kommt aber einer polizeilichen Anordnung gleich, denn die Fluglinien können sich nicht dagegen wehren. Die Versagung von Flügen in die USA wird auf Grundlage von Kriterien wie “ethnische Zugehörigkeit”, “Religionszugehörigkeit” oder Essenswünschen vorgenommen. Es handelt sich also um ein vorurteilsbelastetes Profiling.

75 der 394 in der EU eingesetzten US-MitarbeiterInnen arbeiten in Deutschland. Hierzu gehören die Customs and Border Protection (CBP), das Immigration and Customs Enforcement (ICE), die Transportation Security Administration (TSA), der Secret Service (USSS), die Coast Guard (USCG), der Citizenship and Immigration Service (USCIS), das Office of Policy, die Federal Emergency Management Agency (FEMA), das Federal Law Enforcement Training Center (FLETC) und das National Protection and Programs Directorate (NPPD). Ihre Tätigkeiten werden als “Sicherung und Handhabung unserer Grenzen, Verstärken und Verwalten unserer Einwanderungsgesetze, Schutz und Sicherung des Cyberspace, und Gewährleistung von Widerstandsfähigkeit gegen Katastrophen aller Art” beschrieben.

Die Bundesregierung erläutert, dass das DHS über keine Hoheitsrechte in Deutschland verfügt und redet sich heraus, es handele sich um das “Rechtsverhältnis zwischen den Fluglinien und US-Behörden”. Doch die US-Heimatschutzbehörde arbeitet auch mit deutschen Polizeien zusammen, etwa bei der Beobachtung von Operationen der EU-Grenzschutzagentur Frontex am Flughafen Frankfurt. In den von Wikileaks veröffentlichten Cables firmiert die US-Behörde gar als “DHS Frankfurt”.

Bezüglich des USSS hat es in mindestens einem Fall bereits einen direkten Zugriff am Frankfurter Flughafen gegeben: Nach einem Bericht des “Spiegel” wurde 2008 ein vermeintlicher estnischer Hacker festgenommen, was zu diplomatischen Verstimmungen führte.

Absprachen zur geheimdienstlicher Zusammenarbeit und Telekommunikationsüberwachung in der informellen “Gruppe der Sechs”

Zu den Zusammenarbeitsformen zwischen der EU und den USA gehört die Einrichtung einer “U.S.-EU cyber-security working group”, die 2010 vereinbart wurde. Die konkrete Arbeit wird in vier Unterarbeitsgruppen (sog. “Expert Sub Groups”, ESG) vorgenommen (“Public-Private-Partnerships”, “Cyber-Incident-Management”, “Awareness Raising”, “Cybercrime”). Von deutscher Seite sind das BMI und das Bundesamt für Sicherheit in der Informationstechnik beteiligt. Seitens der EU nehmen die Generaldirektionen Digitale Gesellschaft und Inneres teil. Auch das Ratssekretariat, die polizeilichen und justiziellen Agenturen EUROPOL und EUROJUST sowie der “Koordinator für Terrorismusbekämpfung” nehmen teil.

Die Polizeiagentur EUROPOL hat selbst mehrere Abkommen mit den USA geschlossen, darunter das “Agreement between the United States of America and the European Police Office” und das “Supplemental Agreement between the European Police Office and the United States of America on the exchange of personal data and related infromation”. Die USA haben beantragt, direkt an einer internationalen Datensammlung von EUROPOL teilzunehmen.

Auch die EU-Grenzschutzagentur FRONTEX hat 2009 mit dem DHS ein Arbeitsabkommen (“Working Arrangement”) abgeschlossen. Ein Jahr später wurde ein ergänzender “Cooperation Plan” unterzeichnet. Eine weitergehende Zusammenarbeit ist laut Bundesregierung “in den Bereichen des Informationsaustausches zu Fragen des Grenzmanagements, Schleusung, Migrationsrouten, modus operandi, Präventionsstrategien sowie in der Aus- und Fortbildung ebenso wie in der Forschung und Entwicklung” anvisiert.

Über eine eigene, informelle Struktur versuchen die sechs einwohnerstärksten EU-Mitgliedstaaten mehr Einfluss auf sicherheitspolitische Entscheidungen der Europäischen Union zu nehmen. 2003 gründeten die Regierungen Deutschlands, Frankreichs, Großbritanniens, Italiens und Spaniens (später auch Polens) die heutige “Gruppe der Sechs”. Mehrmals jährlich finden zweitägige Treffen auf Ministerebene statt, an denen teilweise auch die EU-Kommissarin für Inneres, Cecilia Malmström zugegen ist. Seit 2007 nehmen – auf Initiative des damaligen deutschen Innenministers Wolfgang Schäuble – das Heimatschutzministerium DHS sowie die für Justiz zuständige US-Generalbundesanwaltschaft teil. In der Antwort der Bundesregierung auf eine Kleine Anfrage findet sich hierzu sogar die Mitteilung, dass sich die dadurch auf “G6 +1″ erweiterte Gruppe auch mit geheimdienstlichen Aktivitäten und der Telekommunikationsüberwachung befasst:

Insbesondere wurden Maßnahmen gegen terrorismusverdächtige Drittstaatsangehörige im Aufenthaltsstaat zur Verhinderung von „sicheren Häfen“, die Zusammenarbeit unter den Nachrichtendiensten, die Notwendigkeit der Entwicklung gemeinsamer Datenschutzstandards sowie Lösungsansätze zur Gefahrenabwehr im Zusammenhang mit der grenzüberschreitenden Nutzung von elektronischen Kommunikationssystemen diskutiert.

US-Militär übernimmt polizeiliche Aufgaben in Deutschland

Im Herbst letzten Jahres wurde bekannt, dass auch die US-Armee auf deutschem Hoheitsgebiet polizeiliche Aktivitäten zur Strafverfolgung und Gefahrenabwehr betreibt. Bereits 2011 wurde beim European Command (EUCOM) der US-Streitkräfte bei Stuttgart die Dienststelle “Joint Interagency Counter Trafficking Center” (JICTC) eingerichtet. Verfolgt werden sollen der illegale Drogenhandel, Geldwäsche, Waffenhandel und “Terrorismus”. Der Beitrag des JICTC besteht in logistischer Unterstützung für US-Polizeibehörden und ihre ausländischen Partner, technische Hilfe bei der Aufklärung und Überwachung, Austausch von Lagekenntnissen sowie Ausbildungshilfen für die Polizei- und Sicherheitskräfte der Partnerstaaten.

Über das konkrete Aufgabenspektrum des JICTC wurde jedoch nicht einmal die Bundesregierung informiert. Dies ist insbesondere deshalb pikant, da die Strafverfolgung in Deutschland ausschließlich zivilen Behörden obliegt. Immerhin wurde seitens der US-Regierung mitgeteilt, dass im JICTC 33 MitarbeiterInnen aus mehrenen Behörden tätig sind: Department of State, Department of Treasury, Department of Energy, Customs and Border Protection, Federal Bureau of Investigation (FBI), Immigrations and Customs Enforcement (ICE), Drug Enforcement Administration. Alle sind gleichzeitig dem US-Verteidigungsministerium unterstellt.

Die US-Regierung ist laut der Antwort auf eine Kleine Anfrage der Auffassung, “dass die Mitarbeiter von JICTC als ziviles Gefolge im Sinne des NATO-Truppenstatuts einzuordnen sind”. Die Bundesregierung hält dies unter bestimmten Voraussetzungen ebenfalls für denkbar. Die zivil-militärische Vermischung der Strafverfolgung sei demnach möglich, da die grundgesetzliche Trennung von Polizei und Militär nicht für ausländische Streitkräfte gelte. Daher würden sich laut der Bundesregierung “keine Beschränkungen für eine polizeilich-militärische Zusammenarbeit ergeben”. Anerkannt wird überdies, dass in den USA ein anderes Verständnis von “Sicherheit” gilt:

Es wird zunächst darauf hingewiesen, dass die US-Regierung in ihrem Vorgehen nicht strikt zwischen Verteidigung und polizeilicher Gefahrenabwehr unterscheidet, sondern einen erweiterten Sicherheitsbegriff zugrundelegt.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted byminderleister minderleister
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl