Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 04 2014

Maulkorb für FISA-Anfragen wird gelockert, aber nur ein bisschen

Letztes Jahr haben Facebook, Google, Yahoo, LinkedIn und Microsoft beim amerikanischen FISA-Gericht, das die Kompetenzen der Auslandsgeheimdienste regelt, gefordert, genauere Auskunft über die Menge herausgegebener Datensätze geben zu dürfen, die durch eine Anordnung des FISA-Gerichts oder unter einem National Security Letter des FBI angefordert wurden.

Am 27. Januar veröffentlichte das Justizministerium eine Antwort, die den Antragsstellern “entgegenkommt”. Es gibt nun zwei Möglichkeiten, Zahlen zur Anzahl der Anfragen in Halbjahren zu veröffentlichen:

  • in Tausenderschritten die Anzahl an Anfragen, betroffenen Nutzern und Selektoren, gegliedert in FISA-Anfragen und National Security Letters (bei Letzteren war das jedoch bereits vorher möglich)
  • in 250er-Schritten, wenn die Anfragen zusammengefasst werden

Bei FISA-Anordnungen muss der Endpunkt des betroffenen Zeitraums außerdem mindestens ein halbes Jahr zurückliegen.

FacebookGoogle, YahooLinkedIn und Microsoft haben nun Gebrauch von der Neuregelung gemacht. Aber auch Apple hat die Gelegenheit bereits genutzt, denn die Entscheidung gilt allgemein und nicht nur für die fordernden Parteien.
Allen gemeinsam war, dass sie von weniger als 1000 FISA-Anordnungen pro Halbjahr reden. Das gibt einen Eindruck davon, wie unaussagekräftig in dieser Hinsicht die festgelegten Zahlenschranken sind. Stärker differiert jedoch die Anzahl an betroffenen Accounts. Zieht man die FISA-Anordnungen des ersten Halbjahres 2013 heran, führt Yahoo mit 30-31k, gefolgt von Microsoft mit 15-16k, Google mit 9-10k und Facebook mit 5-6k. Am schwächsten war das Interesse für LinkedIn, diese bekamen zusammengenommen weniger als 250 Anfragen. Wichtig ist hier noch, im Auge zu behalten, dass die Anzahl der Accounts nicht identisch mit den betroffenen Nutzern sein muss, da Mehrfachaccounts auch auftauchen. Die Nutzeranzahl liegt also auf jeden Fall unterhalb der obigen Zahlen.

Wirklich befriedigende Transparenz bringen die Angaben nicht. Es scheint mehr, als bewege man sich einen minimalen Schritt vorwärts, um damit argumentieren zu können, man habe sich um bessere Transparenz bemüht, so wie Präsident Obama in seiner Rede angekündigt hat.  Google hat bereits ein Statement abgegeben und fordert den Kongress auf, weiter zu gehen:

Wir glauben weiterhin, dass mehr Transparenz benötigt wird, damit jeder verstehen kann, wie Überwachungsgesetze funktionieren und ob sie dem öffentlichen Interesse dienen. Vor allem wollen wir zeitnah die genauen Zahlen und die Arten der Anfragen bekanntgeben, sowie die Anzahl betroffener Nutzer.

Ein sehr guter Einwand kommt an dieser Stelle auch von Microsoft. Brad Smith weißt in seinem Kommentar darauf hin, dass mehr Transparenz hinsichtlich der Anfragen zwar wünschenswert ist, aber nicht aus den Augen verloren werden darf, dass Informationen auch an den Gesetzen vorbei ermittelt werden und dass von Regierungsseite zu wenig geschehen sei, um zu verhindern, dass Internetfirmen gehackt werden, um massenhaft Nutzerdaten zu überwachen.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01 02mydafsoup-01

January 15 2014

Empfehlungen aus dem Weißen Haus für mehr Aufsicht über die NSA? Neee, zu viel Arbeit.

Entgegen unserer Befürchtungen aufgrund des Government Shutdown und der Zusammensetzung der Gruppe hat die von Obama eingesetzte ‘Review Group in Intelligence and Communications Technologies’ am 13. Dezember doch noch ihren Abschlussbericht vorgelegt. Das Gremium wurde berufen, um zu untersuchen, inwieweit die Überwachungsmaßnahmen der NSA mit Bürger- und Menschenrechten vereinbar sind und welche Maßnahmen eventuell getroffen werden müssen, um die ausufernde Überwachung in den Griff zu bekommen.

Der Bericht enthielt 46 Forderungen zur Reformierung der Geheimdiensttaktiken – zwar weniger radikal als von vielen NGOs gewünscht, dennoch erfreulicherweise deutlicher als von den meisten befürchtet. So wurde die Beendigung der verdachtslosen, massenhaften Sammlung von Informationen gefordert, ebenso bessere und wirkungsvollere Aufsichtsmechanismen für konkrete Einzelfälle, in denen eine Überwachung als notwendig zur Wahrung der nationalen Sicherheit empfunden wird.

Die Kernessenz, die erfreulicherweise im Bericht zusammengefasst wird, ist diese (S. 155):

Der wichtigste ist dennoch vielleicht einfachste Punkt ist die Sache, Privatsphäre und Menschenwürde zu respektieren – egal wo Menschen sich aufhalten. Das Recht auf Privatsphäre wurde als Menschenrecht anerkannt, das alle Nationen repektieren sollten.

Selbstverständlich sind die Empfehlungen des Gremiums nicht bindend. Obama kündigte in einer Pressemitteilung des Weißen Hauses an, das Dokument zusammen mit einem Team begutachten zu wollen und bis zu seiner jährlichen Ansprache zur Lage der Nation am 28. Januar entscheiden zu wollen, welche der Punkte umgesetzt werden sollen. Eine offizielle Erklärung von ihm wurde mittlerweile für diesen Freitag angekündigt.

Gestern wurde durch Dianne Feinstein – wir erinnern uns: die Vorsitzende des Senate Intelligence Committee, die einen Gesetzesänderungsantrag einreichte, der die Befugnisse der NSA noch vergrößert hätte – eine Stellungnahme von aktuellen und früheren Richtern des Foreign Intelligence Surveillance Court (FISC) veröffentlicht, der mit Entscheidungen über die Auslandsgeheimdienstüberwachung betraut ist.

Der Kommentar wurde von John D. Bates verfasst, der früher Oberrichter des FISC war. Bates fing sich bereits einige Kritik ein, nachdem er 2010 zwar selbst die anlasslose Massenüberwachung verurteilte, sie dann aber weiter autorisierte. Damit prägte er den Begriff ‘Bates Stamp’ um. Der ist eigentlich ein Nummerierstempel, wurde aber im Zusammenhang mit den bedingungslosen Verlängerungen der NSA-Überwachungsberechtigungen oftmals synonym für eine Blankounterschrift der FISC-Richter benutzt.

Die Botschaft des Kommentars lässt sich traurigerweise einfach zusammenfassen:

Alles unnötig und zu aufwändig.

Besonders zurückgewiesen wird die Forderung nach einer unabhängigen Datenschutzaufsicht. Denn oftmals seien neben der Zielperson nur wenige andere Personen beteiligt und der Aufseher könne seiner Aufgabe sowieso nicht nachkommen, da er nicht unabhängig mit der Zielperson kommunizieren könne. Deshalb würde er nur die Arbeit des FISA-Gerichts behindern.

Auch anderen auswärtigen Rechtsanwälten steht man skeptisch gegenüber:

Ein Anwalt, der von den Gerichten unter sich bestimmt wurde, ist vermutlich hilfreich, aber ein Anwalt von unabhängiger Stelle wäre letztlich kontraproduktiv.

Unter sich wollen die Mitglieder des geheimen Gerichts auch bei der Auswahl der eigenen Richter bleiben, solche Kompetenz obliege nur dem Oberrichter und bedürfe keiner öffentlichen Aufsicht. Ebenso müsse die Öffentlichkeit auch nichts über die Gerichtsentscheidungen selbst erfahren, denn sie könne damit gar nichts anfangen und es würde zu “Verwirrung und Missverständnissen kommen.

Ein Wechsel von einer Pauschalerlaubnis von jeglicher Überwachung hin zu einer Einzelfallprüfung wird mit dem Argument der zu knappen Ressourcen abgelehnt.

Aber das beste Argument kommt zum Schluss:

Man muss aufpassen, dass man das Gericht nicht in eine ‘Aufsichtsrolle’ bringt, die über seine verfassungsmäßige Verantwortung hinausgeht, über Gerichtsfälle und -streitigkeiten zu entscheiden.

Das heißt im Klartext: Man will keine qualifizierten Urteile fällen, bei denen konkrete Fakten und Notwendigkeiten geprüft wurden, sondern weiter mit der Routine fortfahren, Stempel und Unterschriften zu leisten. Und damit keiner merkt, dass man das tut, soll alles geheim bleiben wie immer.

Am Freitag wird Obama vermutlich bekanntgeben, welche Forderungen er umsetzen will. Bis dahin warten wir ab und – hoffen?

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

November 20 2013

EFF klagt gegen NSA, Anfechtungsklage von EPIC wird abgewiesen

In dem heutigen Artikel über die Deklassifizierung von NSA-Dokumenten war von einer Klage der Electronic Frontier Foundation die Rede. Diese Klage, die auf mehr Transparenz der Geheimdienste abzielte, war erfolgreich. Am 6. November hat die EFF eine weitere Klage eingereicht, die sich direkt gegen die NSA richtet. Der EFF stehen 21 andere Organisationen zur Seite, die verschiedene Wirkungsbereiche haben, zum Beispiel Greenpeace, Students for Sensible Drug Policy Foundation, First Unitarian Church of Los Angeles oder Council on American-Islamic Relations.

Die Klage richtet sich gegen die Massenüberwachung von Telefongesprächen, die am 5. bzw. 6. Juni vom FISA-Gericht und dem amerikanischen Nachrichtendienstdirektor bestätigt wurde. Die Legitimation wurde unter Abschnitt 215 des Patriot Act und Band 50, Abschnitt 1861 des US Code erteilt. Das Hauptanliegen der Organisationen ist, dass durch die gesammelten Metadaten der Telefongespräche die sozialen Netzwerke von Aktivisten nachvollzogen werden können und damit Menschen abgeschreckt werden, sich zu beteiligen. Das widerspräche dem First Amendment:

Der Kongress darf kein Gesetz erlassen, das die Einführung einer Staatsreligion zum Gegenstand hat, die freie Religionsausübung verbietet, die Rede- oder Pressefreiheit oder das Recht des Volkes einschränkt, sich friedlich zu versammeln und die Regierung um die Beseitigung von Missständen zu ersuchen.

Weitere Verstöße sehen die Kläger gegen das Fourth und Fifth Amendment und den Return of Property. Die Universalität der Anklage und die Relevanz für jegliche Art von Organisation erklärt auch das breite Spektrum an Beteiligten.

Erfreulicherweise hat die Klage jetzt “prominente” Unterstützung in Form von fünf Amicus-Curiae-Briefen gefunden. Amici Curiae sind Personen oder Organisationen, die sich in Gerichtsverfahren als fachkundige Außenstehende (nicht zwingend Unparteiische) beteiligen – das entspricht in etwa der Rolle eines Sachverständigen. Die Unterstützer hier sind Experten für die Geschichte von Überwachung, die National Association of Criminal Defense Lawyers, PEN Amerika, über deren Bericht zu den Auswirkungen des Überwachungsskandals auf die Redefreiheit wir berichtet hatten, das Reporters Committee for Freedom of the Press mit 13 weiteren Nachrichtenorganisationen und die US-Senatoren Ron Wyden, Mark Udall und Martin Heinrich.

Die Unterstützung der Senatoren ist von großer, auch symbolischer, Bedeutung, denn sie sind ihrereseits mit der Geheimdienstaufsicht betraut und konstatieren:

[Wir] haben keine Beweise gesehen, dass die massenhafte Sammlung der Telefondaten amerikanischer Bürger relevante Informationen geliefert hat, die sich nicht auch mit weniger invasiven Methoden hätten ermitteln lassen.

Weniger erfreuliche Nachrichten hat hingegen EPIC (Electronic Privacy Information Center) zu melden. Deren Petition an den US-Obergerichtshof, die eine vorläufige Aufhebung der Anordnung forderte, die von Verizon zur Herausgabe der Telefondaten verpflichtete, wurde abgelehnt. EPIC selbst ist Kunde des Telekommunikationsunternehmens und argumentierte, dass unmöglich alle Verbindungsdaten, die Verizon kennt, relevant für die nationale Sicherheit sein können. Eine Begründung für die Ablehnung der Prüfung der Petition gab es seitens des Obergerichtshofes bisher nicht.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted byminderleister minderleister

US-Regierung deklassifiziert geheime Dokumente

Im Juni diesen Jahres hat mir Präsident Obama aufgetragen, so viele Informationen wie möglich über gewisse sensible Programme zu deklassifizieren und zu veröffentlichen [...] Seitdem habe ich die Deklassifizierung und Veröffentlichung zahlreicher Dokumente angeordnet, die Überwachungsmaßnahmen unter Abschnitt 501 und 702 von FISA betreffen.

publishalldocumentzDas war gestern auf der Seite des Office of the Director of National Intelligence zu lesen, im Namen des Geheimdienstdirektors James Clapper. Anfang Oktober hatte er bereits zehn andere Dokumente auf dem Tumblr-Blog der Behörde freigegeben. Unter den jetzt zur Verfügung gestellten Dokumenten befinden sich unter anderem Stellungnahmen und Anordnungen des FISA-Gerichts, Berichte an den Kongress und  Schulungsunterlagen.

Clappers Aussage, er veröffentliche die Dokumente auf Anweisung Obamas, beinhaltet wohl nicht die gesamte Wahrheit. Die Electronic Frontier Foundation führt die Veröffentlichung auch auf ihre erfolgreiche Klage gegen das US-Justizministerium wegen der Geheimhaltung der Dokumente zurück. Diese hatte bereits im September eine Gerichtsanordnung zur Preisgabe von mehreren Hundert Seiten vormals geheimen Materials erwirkt.

Unter dem Material befinden sich aufschlussreiche Informationen über die Kompetenzen der NSA. Beispielsweise eine Anordnung des FISA-Gerichts, die es der NSA erlaubt, auch die Verbindungsdaten von Amerikanern und nicht nur -  wie von FISA vorgesehen – die von Ausländern. Die damalige Vorsitzende Richterin Colleen Kollar-Kotelly befand ihrerzeit die Sammlung von Metadaten als nicht schützenswert im Sinne des Fourth Amendment, das besagt:

Das Recht des Volkes auf Sicherheit der Person und der Wohnung, der Urkunden und des Eigentums vor willkürlicher Durchsuchung, Festnahme und Beschlagnahme darf nicht verletzt werden, und Haussuchungs- und Haftbefehle dürfen nur bei Vorliegen eines eidlich oder eidesstattlich erhärteten Rechtsgrundes ausgestellt werden und müssen die zu durchsuchende Örtlichkeit und die in Gewahrsam zu nehmenden Personen oder Gegenstände genau bezeichnen.

Später bezeichnete ihr Nachfolger John Bates die NSA-Aktivitäten als “systemische Über-Sammlung” und auch Kollar-Kotelly merkte besorgt an, dass die NSA ihre Kompetenzen überschreitet, indem sie beispielsweise auch Inhaltsdaten speichert.

Aber das sind nur einige Aspekte aus den veröffentlichten Dokumenten. Bis alle analysiert worden sind wird es angesichts der enormen Datenmengen noch eine Weile dauern.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

November 15 2013

Regierungsanfragen: Facebook-Manager spricht vor EU-Ausschuss von zu niedrigen Zahlen

Facebook erhielt in den ersten sechs Monaten des laufenden Jahres 8500 Anfragen von europäischen Behörden. Eine Zahl, die laut New York Times deutlich zu niedrig sein dürfte. Insgesamt seien von diesen Anfragen rund 10.000 Facebook-Konten betroffen. Das sagte Richard Allan, Public-Policy-Leiter von Facebook für Europa, den Nahen Osten und Afrika am Montag bei einer Anhörung zur NSA-Affäre vor dem Justizausschuss des EU-Parlaments.

Der Ausschuss hatte sich in seiner neunten und zehnten Sitzung am Montag und Dienstag hauptsächlich mit den Überwachungsprogrammen der US-Regierung beschäftigt und dazu James Sensenbrenner eingeladen. Der Republikaner und Kongressabgeordnete war vor 12 Jahren einer der Initiatoren des Patriot Act.

Allan sprach vor dem Justizausschuss von bekannten Zahlen. Diese hatte Facebook bereits in seinem ersten „Transparenz-Bericht“ im August dieses Jahres veröffentlicht. Dass, ähnlich wie die Angaben über US-Anfragen an Internetkonzerne, auch die Angaben über die Anfragen von EU-Staaten nur eine vage Größenordnung darstellen könnten, schreibt die New York Times unter Verweis auf die Facebook-Sprecherin Linda Griffin.

The figures for Europe understate the volume of requests because of the existence of so-called Mutual Legal Assistance Treaties between European countries and the United States. Requests made through those treaties look similar to any other request by American authorities, so Facebook is unable to tell how many of those requests came from European Union governments.

Die Intransparenz der „Transparenz-Berichte“

Die von Facebook, Yahoo, Apple und Co. vorgelegten „Transparenz-Berichte“ und alle Aussagen über die Zahl der Informationsanträge von Regierungsseite sind allgemein zu hinterfragen. Besonders wenn es sich um Angaben zur Arbeit der US-Regierung handelt.

Denn unter dem Foreign Intelligence Surveillance Act (FISA) beziehungsweise dessen Verschärfung im Abschnitt 215 des Patriot Act von 2001 können US-Sicherheitsbehörden völlig geheim an Daten von Verdächtigen gelangen.

Über diese Art von Anfragen dürfen die Internetunternehmen unter keinen Umständen sprechen.

Aktuell klagen Facebook, Google und andere gegen diese sogenannte „Gag order“ (Knebelklausel) und das FISA-Gesetz.  Das existiert schon seit 1978 – es wurde damals eigentlich verabschiedet, um Auslandsspionage ohne jeden Gesetzesrahmen zu unterbinden, schreibt die Electronic Frontier Foundation (EFF). 

Informationen, die unter diesem Gesetz angefragt werden, müssen mit Auslandsspionage oder Terrorismus von Ausländern zusammenhängen. Überwachung von US-Bürgern kann dennoch legal sein, wenn diese dem internationalen Terrorismus verdächtigt werden.

Da alles im Geheimen passiert, ist es aber kaum möglich, die Gründe der Anfragen transparent zu machen, schriebt die EFF.

No one really knows what these terms mean other than the FISA court, which won’t release its decisions. And it’s even worse for FISA subpoenas, which can be used to force anyone to hand over anything in complete secrecy, and which were greatly strengthened by Section 215 of the USA PATRIOT Act.

Nutzer sind Facebook-Entscheidungen ausgeliefert

Allans Rede vor dem Parlamentsausschuss zielte in erster Linie darauf ab, das öffentliche Ansehen des Konzerns außerhalb der USA zu kitten. Dazu passt etwa, dass der Manager bei allen Erklärungsversuchen zur Kooperation von Facebook mit Regierungen immer die Suche nach Kindern oder deren Schutz ins Feld führt:

These requests run the gamut of matters – from things like a  local sheriff trying to find a missing child, to a police department investigating an assault, to a national security official investigating a terrorist threat.

Insgesamt tauchen die Wörter „child” und „children” vier Mal in der Rede auf. Diese redundanten Erklärungsversuche offenbaren das eigentliche Problem. Facebook (und andere) haben das Ausmaß der Regierungsanfragen in sogenannten „Tranzparenz-Berichten” zwar veröffentlicht. Eigentlich zeigen diese Dokumente aber nur, dass völlig unklar ist, wie der Konzern die Regierungsbriefe, -faxe oder -Mails weiter bearbeitet.

In den Berichten existieren Quoten, die darstellen, auf wie viele Anfragen hin der Konzern Daten herausgegeben haben will. Das heißt Facebook nimmt nicht nur zur Kenntnis, der Konzern gibt auch vor, die Einzelfälle zu sichten und zu bearbeiten. 8500 – optimistisch geschätzte – Anfragen in einem halben Jahr. Das sind rund 1400 pro Monat, die aus Europa allein die irische Facebook-Filiale erreichten. Ob nun Kidnapping, Terrorismus oder Urheberrechtsverletzung: An allen diesen Gesuchen hängt ein juristischer Komplex. Wer sich bei Facebook den einzelnen Fällen wie genau annimmt und letztlich entscheidet, ob Daten an Behörden weitergegeben werden, hat auch Richard Allan vor dem Parlaments-Ausschuss nicht verraten. In dieser Hinsicht sind die Nutzer der Plattform den internen Entscheidungsprozessen des Konzerns völlig ausgeliefert.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

September 11 2013

Geheimes Überwachungs-Gericht: “Die demokratische Kontrolle der Geheimdienste hat nie effektiv funktioniert”

Der Sitz des FISA Courts in Washington DC. Bild: AgnosticPreachersKid. Lizenz: Creative Commons BY-SA 3.0.

Der Sitz des FISA Courts in Washington DC. Bild: AgnosticPreachersKid. Lizenz: Creative Commons BY-SA 3.0.

Die demokratische Kontrolle der amerikanischen National Security Agency wurde so häufig und systemisch verletzt, dass sie nie effektiv funktioniert hat. Zu diesem Fazit kommt ein Richter des äußerst Überwachungs-freundlichen Foreign Intelligence Surveillance Court in einem von der EFF freigeklagten Dokument. Systematisch wurden Grundrechte verletzt – und die US-Regierung hat schlicht gelogen.

Auch wenn die Enthüllungen von Snowden erstmals konkrete Beweise vorgelegt haben, die Probleme sind schon lange bekannt. Unsere Freunde bei der Electronic Frontier Foundation versuchen seit Jahren, Dokumente freizuklagen, die den Umgang der US-Regierung mit den gefährlichen Überwachungs-Freibriefen in Patriot Act und Foreign Intelligence Surveillance Act zeigen.

Nachdem sich die Regierung noch im März vehement gewehrt hat, hat man jetzt – nach Snowden – ein paar Dokumente deklassifiziert und freigegeben. Bei der EFF gibt’s die zwölf PDFs auch durchsuchbar.

Darin wird offiziell belegt, dass die NSA mit ihrer Überwachungsmaschinerie tausendfach die Grundrechte von US-Bürgern missachtet. Die Washington Post erläutert nochmal die US-Vorratsdatenspeicherung, in der Telekommunikationsanbieter den Diensten seit 2001 täglich alle Verbindungsdaten zur freien Verwendung übermitteln:

The “bulk records” program began without any court or congressional approval shortly after the Sept. 11, 2001, attacks but was put under court supervision in May 2006 when American phone companies balked at providing the data solely at the request of the executive branch.

Under the program, the NSA receives daily transfers of all customer records from the nation’s phone companies. Those records include numbers called, the calls’ time and duration, but the content of conversations.

Beginning in late January 2009, Justice Department officials began notifying the court of problems, in particular that the NSA had been running an automated “alert list” on selected phone numbers without meeting the court-required standard of “reasonable and articulable suspicion” that those numbers were tied to terrorists.

Die EFF beschreibt, dass von 17.000 mit diesen Daten überwachten US-Bürgern es nur für ein Zehntel einen “begründeten Verdacht” gab:

According to intelligence officials, this FISA court opinion focuses on the NSA’s use of an “alert list” which is a list of “phone numbers of interest”� that they queried every day as new data came into their phone records database. The court had told the NSA they were only allowed to query numbers that had “reasonable articulable suspicion (RAS)” of being involved in terrorism. Apparently, out of the more than 17,000 numbers on this list in 2009, the NSA only had RAS for 1,800 of them.

Reggie B. Walton, ein Richter an dem geheimen Foreign Intelligence Surveillance Court, der in geheimen Sitzungen geheime Entscheidungen trifft und von fast 21.000 Überwachungs-Anordnungen in zehn Jahren nur zehn Anordnungen abgelehnt hat, kommt zu dem Fazit:

In summary, since January 15, 2009, it has finally come to light that the FISC’s authorizations of this vast collection program have been premised on a flawed depiction of how the NSA uses BR metadata. This misperception by the FISC existed from the inception of its authorized collection in May 2006, buttressed by repeated inaccurate statements made in the government’s submissions, and despite a government-devised and Court-mandated oversight regime. The minimization procedures proposed by the government in each successive application and approved and adopted as binding by the orders of the FISC have been so frequently and systemically violated that it can fairly be said that this critical element of the overall BR regime has never functioned effectively.

Deutlicher kann man nicht sagen: Geheimdienst-Kontrolle funktioniert nicht.

Die geheime Interpretation des Gerichts, was denn “relevante” Daten seien, war in diesen Dokumenten leider wieder nicht dabei. Die EFF klagt aber weiter – und wertet die zwölf neuen Dokumente weiter aus.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 27 2013

Neuer NSA-Leak: Obamas Vorratsdatenspeicherung

Barack Obama hat die de facto Vorratsdatenspeicherung von George W. Bush bis 2011 fortgeführt. Zudem gibt es Hinweise auf neue Überwachungsprogramme für Verkehrsdaten. Das geht aus den neuesten Enthüllungen von Glenn Greenwald und seinem Kollegen Spencer Ackerman hervor. Diese basieren vermutlich auf dem Stapel an geleakten Dokumenten von Edward Snowden, auf denen Greenwald sitzt.

Obama setzt(e) de facto Vorratsdatenspeicherung fort

Das anlasslose Sammeln von Internet-Verkehrsdaten begann 2001 in der Ära von George W. Bush und war eines der Überwachungsprogramme des unter dem Codenamen “Stellar Wind” rangierenden Überwachungswahnsinns. Die Obama-Administration setzte das Projekt bis 2011 fort. Aufgezeichnet wurden die Online-Verkehrsdaten, sobald eine an der Kommunikation beteiligte Person sich außerhalb der USA befand. Die Maßnahme zielte wohl zunächst auf den Mail-Verkehr. Klar ist aber auch, dass IP-Adressen Erstellung aussagekräftiger Persönlichkeits- und Bewegungsprofile ermöglichen. Wie bei der Verizon-Vorratsdatenspeicherung, mit dem die Überwachungs-Enthüllungen der vergangenen Wochen begannen, geschah die Datenerfassung auf Basis eines alle 90 Tage erneuerten Beschlusses des Fisa Courts. Laut Aussage eines Regierungsbeamten, beendete die Obama-Adminstration das Programm offiziell 2011.

Ein neues Level der Überwachung: EvilOlive und ShellTrumpet

Das ist scheinbar kein Grund zur Freude: In einem zweiten Artikel berichten Greenwald und Ackerman über Hinweise auf mehrere neue Programme, die große Mengen von Verbindungsdaten rastern. Dokumente, die von ihrem Betrieb zeugen, datieren auf 2012. Nahtloser Übergang? Auf diesem neuen Level der Überwachung ergänzen sich scheinbar zwei Raster-Programme namens “EvilOlive” und “ShellTrumpet”. Zu Ersterem schreibt der Guardian:

This new system, SSO stated in December, enables vastly increased collection by the NSA of internet traffic. “The 1EF solution is allowing more than 75% of the traffic to pass through the filter,” the SSO December document reads. “This milestone not only opened the aperture of the access but allowed the possibility for more traffic to be identified, selected and forwarded to NSA repositories.”

Wo genau die Daten gesammelt werden, die von den genannten NSA-Systemen gefiltert werden, geht aus den von Greenwald und Ackerman analysierten Dokumenten nicht genau hervor. Heiße Tipps sind das Tempora-Programm des britischen Nachrichtendiensts oder das Anzapfen von Glasfaserkabeln der USA selbst. Das wären aber dann nicht mehr ausschließlich nur Online-Verkehrsdaten. Der Guardian-Artikel spricht ausdrücklich von “internet metadata”.

Langsam wird es einfacher aufzuzählen, was unsere Geheimdienste nicht sammeln und rastern.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 21 2013

Neue Dokumente beweisen: Auslandsgeheimdienste wie die NSA können nicht demokratisch kontrolliert werden

Der Sitz des FISA Courts in Washington DC. Bild: AgnosticPreachersKid. Lizenz: Creative Commons BY-SA 3.0.

Der Sitz des FISA Courts in Washington DC. Bild: AgnosticPreachersKid. Lizenz: Creative Commons BY-SA 3.0.

Die NSA überwacht und speichert die weltweite Kommunikation ganz ohne echte richterliche oder gar öffentliche Kontrolle. Das wird jetzt durch zwei neue Dokumente von Justizministerium und geheimen Gerichten belegt, die der Guardian veröffentlicht hat. Besonders pikant: Verschlüsselte Kommunikation steht unter Generalverdacht – und wird gespeichert, bis der NSA sie entschlüsseln kann.

Glenn Greenwald hat wieder zugeschlagen. Zusammen mit James Ball hat er im Guardian zwei streng geheime Dokumente des FISA Courts veröffentlicht, die wir hier mal gespiegelt haben:

Die Dokumente widerlegen gleich zwei offizielle Rechtfertigungen der umfassenden NSA-Überwachung: dass das alles nur auf richterliche Anordnung erfolge und dass keine US-Bürger betroffen seien.

Alibigericht FISA Court

Die Papiere wurden von Generalbundesanwalt Eric Holder im Juli 2009 unterschrieben und beim geheimen “Gericht betreffend die Überwachung der Auslandsgeheimdienste” (FISA Court) eingereicht. Marc Pitzke beschreibt auf Spiegel Online, dass dieses Gericht nur ein ultrageheimes, alibihaftes “Schattengericht” ist und die meisten Anträge der Regierung kommentarlos durchwinkt.

Die amerikanische Regierung und die bei PRISM teilnehmenden Internet-Konzerne haben immer wieder betont, dass sie Daten nur auf richterliche Anweisung herausgeben. Dafür veröffentlichen sie auch Zahlen, dass es “nur” zehntausende Gerichtsanweisungen pro Firma und Jahr gibt. Das Problem dabei ist, dass schon ein einziger Beschluss das komplette Absaugen aller Daten eines Anbieters erlaubt. Der PATRIOT Act (Absatz 215) und der FISA Amendments Act (§ 702) machen’s möglich.

Wenn die Daten einmal bei der NSA sind, werden sie von den Analysten auch verwendet, also E-Mails gelesen, Skype-Gespräche gehört, Fotos angeguckt und so weiter. Ob sie das im einzelnen dürfen, unterliegt demnach fast ausschließlich im Ermessen des einzelnen Analysten, er ist weder seinem Vorgesetzten, noch Gerichten oder anderer demokratischer Kontrolle Rechenschaft schuldig. Kein Wunder, dass der Whistleblower Edward Snowden sagt:

Ich, an meinem Schreibtisch, hatte die Möglichkeit, jeden abzuhören: dich, deinen Steuerberater, einen Bundesrichter oder sogar den Präsidenten, wenn ich seine E-Mail Adresse habe.

Auch US-Bürger betroffen

Das nur für die amerikanische Öffentlichkeit relevante Argument, dass die NSA ja keine US-Bürger abhören darf, wird auch widerlegt. Wie gesagt: Die NSA sammelt erst einmal alles von allen, wie auch das Abschnorcheln aller Verbindungsdaten von Mobilfunkanbietern wie Verizon zeigt. Theoretisch müssen Kommunikationsverkehre, bei denen bestätigt ist, dass einer der Beteiligten ein US-Bürger ist, gelöscht werden. Das gilt aber nicht, wenn die NSA behaupten kann, dass sie aus großen Datensätzen die Kommunikation von Amerikanern nicht aus den anderen herausfiltern kann. Also eine Generalvollmacht.

Ob US-Bürger betroffen sind, kann an dem Ort der Kommunikation (IP-Adresse, Funkzelle, …) festgemacht werden. Wenn es keine Hinweise auf einen Ort gibt, nimmt man einfach an, dass es nicht in den USA ist. Falls es doch einen Hinweis gibt, können die Kommunikations-Inhalte trotzdem eingesehen werden, um die These auch zu überprüfen.

Und falls dann in den Inhalten verwertbare Geheimdienstinformationen, Informationen über kriminelle Aktivitäten oder Gefahren für Personen oder Eigentum, oder auch irgendwelche Informationen über Cybersicherheit sind, kann man sie wieder legal speichern. Sogar, wenn besonders geschützte Kommunikation betroffen ist, wie etwa mit Anwälten.

Verschlüsselung ist verdächtig

Eine weitere Ausnahme gilt, wenn die Kommunikation verschlüsselt ist. Dann darf diese so lange gespeichert werden, bis die NSA sie in einer Kryptoanalyse verwenden kann.

Dan Goodin betont diesen Punkt auf Ars Technica nochmal: Wer Anonymisierung wie Tor verwendet, wird gespeichert, egal ob US-Bürger oder nicht, weil man damit nicht nachweist, wo man ist. Und wer seine Kommunikation verschlüsselt wie mit OTR oder OpenPGP, dessen Kommunikation ist verdächtig und wird so lange gespeichert, bis die NSA sie entschlüsseln kann.

Ich muss nochmal auf meinen ersten Kommentar zu PRISM verweisen: America, fuck yeah!

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 13 2013

Google erklärt wie sie Daten an die NSA weitergeben

Die vom britischen Guardian veröffentlichten Folien zu PRISM legen nahe, dass die NSA direkten Zugriff auf die Server von verschiedenen großen amerikanischen Konzernen habe. So steht auf einer Folie wörtlich:

Collection directly from the servers of these U.S. Service Provider: Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, Skype, YouTube, Apple.

Genau das wird jetzt aber von einigen der Konzernen abgestritten. Insbesondere Microsoft, Yahoo, Google und Facebook geben an, bis zu den Veröffentlichungen des Guardian noch nie von PRISM gehört zu haben und keiner amerikanischen Behörde Zugriff zu ihren Servern ermöglicht zu haben. Besonders Google wehrt sich gegen diese Vorwürfe. Die Washington Post dazu:

It says it does not allow the NSA to collect information through a secure portal nor does it put information into a “drop box” for government agents to access. It said it has a team of employees who review every FISA order. “The US government does not have the ability to pull that data directly from our servers or network,” the Google statement said.


Googles Methoden, wie sie von Strafverfolgungsbehörden angeforderte Daten übermitteln, wirken im Jahr 2013 regelrecht altmodisch:

“When required to comply with these requests, we deliver that information to the U.S. government — generally through secure FTP transfers and in person [...]”

Während eine Übermittlung von Daten per sFTP auf Server von Strafverfolgungsbehörden noch plausibel klingen mag, wirkt die Übermittlung von Daten auf Datenträgern wie CDs, USB-Sticks, Festplatten oder sogar ausgedruckt auf Papier reichlich ungelenkt für einen Hightech-Konzern wie Google.

Insgesamt müssen die Aussagen Googles – genauso wie von den anderen betroffenen Konzernen – aber sowieso mit Vorsicht genossen werden. Google steht mit dem Rücken zur Wand und wird alles versuchen sich als den aufrechten Kämpfer für die Rechte seiner Nutzer zu inszenieren. Dazu gehört es dann selbstverständlich auch alle angeforderten Daten eigenständig zu übermitteln um den Eindruck von Kontrolle zu vermitteln. Darüber hinaus seien die Details die Google als Versuch der Verteidigung preisgibt teilweise fast zu genau, wie Constanze Kurz in einem Interview mit der Süddeutschen erläutert:

Für meinen Geschmack sind die Dementis viel zu spezifisch, sie sind regelrecht überspezifisch [Anm.: Buzzfeed hat einen schönen Vergleich aller Dementis]. Die Firmen dementieren Dinge, die so niemand gefragt hat. Google zum Beispiel behauptet in seiner Stellungnahme, dass die NSA ihres Wissens nach “keinen direkten Zugang” zu den Daten ihrer Kunden gehabt hätte. Dann war es vielleicht kein direkter Zugang, dafür aber wahrscheinlich ein Zugang über eine Schnittstelle. Mit solchen Aussagen enttarnen die Unternehmen sich selbst als Lügner. Denn dass eine Internetfirma von diesem Kaliber nichts von einer Anzapfung mitbekommt, halte ich für unmöglich.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

June 12 2013

Google will Zahlen zu Anfragen der NSA veröffentlichen dürfen

Anfang Juni wurde eine Beschwerde von Google angelehnt, 19 sogenannte National Security Letter (NSL) nicht beantworten zu wollen bzw modifizieren zu können. Mithilfe der NSL kann das FBI ohne richterlichen Beschluss Zugriff auf Kundendaten fordern und die betroffenen Unternehmen dürfen nicht darüber berichten. Gestern veröffentlichte Google einen offenen Brief an Justizminister Eric Holder sowie den Direktor des FBI, Robert Mueller. Darin fordert David Drummond, Leiter der Rechtsabteilung von Google, dass es dem Konzern erlaubt sein sollte in seinen Transparenzberichten aggregierte Zahlen über NSL sowie Anfragen nach dem Foreign Intelligence Surveillance Act (FISA) veröffentlichen zu dürfen. Eine Veröffentlichung würde zeigen, dass Google auf weitaus weniger Anfragen eingeht als gestellt werden: “Transparency here will likewise serve the public interest without harming national security.”

Auch Facebook und Microsoft unterstützen die Forderungen von Google, Facebook ruft alle Regierungen dazu auf, Programme zum Schutz der Gesellschaft transparenter zu machen.

We would welcome the opportunity to provide a transparency report that allows us to share with those who use Facebook around the world a complete picture of the government requests we receive, and how we respond. We urge the United States government to help make that possible by allowing companies to include information about the size and scope of national security requests we receive, and look forward to publishing a report that includes that information.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

May 21 2013

Operation Aurora: Chinesische Hack-Angriffe auf Google galten nicht nur Aktivisten, sondern der Unterstützung von Spionen

Google China Beijing. Autor: Fan Yang. Creative Commons: BY-SA 3.0.

Google China Beijing. Autor: Fan Yang. Creative Commons: BY-SA 3.0.

Die Hack-Angriffe auf Google und andere Firmen im Jahr 2009 sollten wohl herausfinden, welche chinesischen Spione von den USA beobachtet werden. Das berichten ein Mitarbeiter von Microsoft sowie aktuelle und ehemalige Regierungsbeamte. Google hatte nach der “Operation Aurora” den chinesischen Markt verlassen – angeblich weil Menschenrechtsaktivisten ausgespäht wurden.

Im Januar 2010 kündigte Google einen “neuen Ansatz für China” an, das zunächst als Rückzug aus dem Reich der Mitte gewertet wurde. Vorausgegangen waren intensive digitale Spionage-Angriffe aus China, die den Namen Operation Aurora erhielten. Im Firmen-Bog erklärte Google damals, dass “ein primäres Ziel der Angreifer der Zugriff auf die Gmail-Konten von chinesischen Menschenrechtsaktivisten” war.

Das war wohl nicht die ganze Wahrheit. Letzten Monat sagte Dave Aucsmith vom Microsoft Institute for Advanced Technology in Governments, dass auch Microsoft von den Angriffen betroffen war. Statt “normalen” Aktivisten waren die Angreifer “auf der Suche nach den Konten, für die wir rechtliche Anordnungen zum Abhören hatten”.

Das bestätigten jetzt “aktuelle und ehemalige Regierungsbeamte” der Washington Post:

Als Google den Angriff untersuchte, machten die Techniker eine überraschende Entdeckung: die Datenbank mit jahrelangen Informationen über staatliche Überwachungsbeschlüsse wurde gehackt.
Die Datenbank enthielt Informationen über Tausende von Überwachnungs-Beschlüssen durch Gerichte im ganzen Land, die Strafverfolgungsbehörden erlauben, die E-Mails von Verdächtige zu überwachen.

Die sensibelsten Anordnungen kamen jedoch von einem Bundesgericht, das die Überwachung von ausländischen Zielen wie Spionen, Diplomaten, mutmaßlichen Terroristen und Agenten anderer Regierungen genehmigt. Diese Aufträge, unter dem Gesetz zum Abhören in der Auslandsaufklärung (FISA) ausgestellt werden, sind geheim.

Mit diesen Informationen kann ein Staat seine Agenten warnen, Informationen löschen und Menschen außerhalb des Landes bringen, so ein Beamter gegenüber der Washington Post. Auch Aucsmith analysiert:

Das ist brilliante Spionageabwehr. Wenn man herausfinden will, ob ihre Spione entdeckt wurden sind, haben sie zwei Möglichkeiten: Sie können versuchen, beim FBI einzubrechen und die Informationen da zu finden. Vermutlich das ist schwierig. Oder sie infiltieren die Personen, für die Gerichte Überwachungsanordnungen beschlossen haben und versuchen, die Informationen auf diese Weise finden. Wir denken, sie haben letzteres getan, zumindest in [Microsofts] Fall.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl