Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 04 2014

Maulkorb für FISA-Anfragen wird gelockert, aber nur ein bisschen

Letztes Jahr haben Facebook, Google, Yahoo, LinkedIn und Microsoft beim amerikanischen FISA-Gericht, das die Kompetenzen der Auslandsgeheimdienste regelt, gefordert, genauere Auskunft über die Menge herausgegebener Datensätze geben zu dürfen, die durch eine Anordnung des FISA-Gerichts oder unter einem National Security Letter des FBI angefordert wurden.

Am 27. Januar veröffentlichte das Justizministerium eine Antwort, die den Antragsstellern “entgegenkommt”. Es gibt nun zwei Möglichkeiten, Zahlen zur Anzahl der Anfragen in Halbjahren zu veröffentlichen:

  • in Tausenderschritten die Anzahl an Anfragen, betroffenen Nutzern und Selektoren, gegliedert in FISA-Anfragen und National Security Letters (bei Letzteren war das jedoch bereits vorher möglich)
  • in 250er-Schritten, wenn die Anfragen zusammengefasst werden

Bei FISA-Anordnungen muss der Endpunkt des betroffenen Zeitraums außerdem mindestens ein halbes Jahr zurückliegen.

FacebookGoogle, YahooLinkedIn und Microsoft haben nun Gebrauch von der Neuregelung gemacht. Aber auch Apple hat die Gelegenheit bereits genutzt, denn die Entscheidung gilt allgemein und nicht nur für die fordernden Parteien.
Allen gemeinsam war, dass sie von weniger als 1000 FISA-Anordnungen pro Halbjahr reden. Das gibt einen Eindruck davon, wie unaussagekräftig in dieser Hinsicht die festgelegten Zahlenschranken sind. Stärker differiert jedoch die Anzahl an betroffenen Accounts. Zieht man die FISA-Anordnungen des ersten Halbjahres 2013 heran, führt Yahoo mit 30-31k, gefolgt von Microsoft mit 15-16k, Google mit 9-10k und Facebook mit 5-6k. Am schwächsten war das Interesse für LinkedIn, diese bekamen zusammengenommen weniger als 250 Anfragen. Wichtig ist hier noch, im Auge zu behalten, dass die Anzahl der Accounts nicht identisch mit den betroffenen Nutzern sein muss, da Mehrfachaccounts auch auftauchen. Die Nutzeranzahl liegt also auf jeden Fall unterhalb der obigen Zahlen.

Wirklich befriedigende Transparenz bringen die Angaben nicht. Es scheint mehr, als bewege man sich einen minimalen Schritt vorwärts, um damit argumentieren zu können, man habe sich um bessere Transparenz bemüht, so wie Präsident Obama in seiner Rede angekündigt hat.  Google hat bereits ein Statement abgegeben und fordert den Kongress auf, weiter zu gehen:

Wir glauben weiterhin, dass mehr Transparenz benötigt wird, damit jeder verstehen kann, wie Überwachungsgesetze funktionieren und ob sie dem öffentlichen Interesse dienen. Vor allem wollen wir zeitnah die genauen Zahlen und die Arten der Anfragen bekanntgeben, sowie die Anzahl betroffener Nutzer.

Ein sehr guter Einwand kommt an dieser Stelle auch von Microsoft. Brad Smith weißt in seinem Kommentar darauf hin, dass mehr Transparenz hinsichtlich der Anfragen zwar wünschenswert ist, aber nicht aus den Augen verloren werden darf, dass Informationen auch an den Gesetzen vorbei ermittelt werden und dass von Regierungsseite zu wenig geschehen sei, um zu verhindern, dass Internetfirmen gehackt werden, um massenhaft Nutzerdaten zu überwachen.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01 02mydafsoup-01

January 15 2014

Empfehlungen aus dem Weißen Haus für mehr Aufsicht über die NSA? Neee, zu viel Arbeit.

Entgegen unserer Befürchtungen aufgrund des Government Shutdown und der Zusammensetzung der Gruppe hat die von Obama eingesetzte ‘Review Group in Intelligence and Communications Technologies’ am 13. Dezember doch noch ihren Abschlussbericht vorgelegt. Das Gremium wurde berufen, um zu untersuchen, inwieweit die Überwachungsmaßnahmen der NSA mit Bürger- und Menschenrechten vereinbar sind und welche Maßnahmen eventuell getroffen werden müssen, um die ausufernde Überwachung in den Griff zu bekommen.

Der Bericht enthielt 46 Forderungen zur Reformierung der Geheimdiensttaktiken – zwar weniger radikal als von vielen NGOs gewünscht, dennoch erfreulicherweise deutlicher als von den meisten befürchtet. So wurde die Beendigung der verdachtslosen, massenhaften Sammlung von Informationen gefordert, ebenso bessere und wirkungsvollere Aufsichtsmechanismen für konkrete Einzelfälle, in denen eine Überwachung als notwendig zur Wahrung der nationalen Sicherheit empfunden wird.

Die Kernessenz, die erfreulicherweise im Bericht zusammengefasst wird, ist diese (S. 155):

Der wichtigste ist dennoch vielleicht einfachste Punkt ist die Sache, Privatsphäre und Menschenwürde zu respektieren – egal wo Menschen sich aufhalten. Das Recht auf Privatsphäre wurde als Menschenrecht anerkannt, das alle Nationen repektieren sollten.

Selbstverständlich sind die Empfehlungen des Gremiums nicht bindend. Obama kündigte in einer Pressemitteilung des Weißen Hauses an, das Dokument zusammen mit einem Team begutachten zu wollen und bis zu seiner jährlichen Ansprache zur Lage der Nation am 28. Januar entscheiden zu wollen, welche der Punkte umgesetzt werden sollen. Eine offizielle Erklärung von ihm wurde mittlerweile für diesen Freitag angekündigt.

Gestern wurde durch Dianne Feinstein – wir erinnern uns: die Vorsitzende des Senate Intelligence Committee, die einen Gesetzesänderungsantrag einreichte, der die Befugnisse der NSA noch vergrößert hätte – eine Stellungnahme von aktuellen und früheren Richtern des Foreign Intelligence Surveillance Court (FISC) veröffentlicht, der mit Entscheidungen über die Auslandsgeheimdienstüberwachung betraut ist.

Der Kommentar wurde von John D. Bates verfasst, der früher Oberrichter des FISC war. Bates fing sich bereits einige Kritik ein, nachdem er 2010 zwar selbst die anlasslose Massenüberwachung verurteilte, sie dann aber weiter autorisierte. Damit prägte er den Begriff ‘Bates Stamp’ um. Der ist eigentlich ein Nummerierstempel, wurde aber im Zusammenhang mit den bedingungslosen Verlängerungen der NSA-Überwachungsberechtigungen oftmals synonym für eine Blankounterschrift der FISC-Richter benutzt.

Die Botschaft des Kommentars lässt sich traurigerweise einfach zusammenfassen:

Alles unnötig und zu aufwändig.

Besonders zurückgewiesen wird die Forderung nach einer unabhängigen Datenschutzaufsicht. Denn oftmals seien neben der Zielperson nur wenige andere Personen beteiligt und der Aufseher könne seiner Aufgabe sowieso nicht nachkommen, da er nicht unabhängig mit der Zielperson kommunizieren könne. Deshalb würde er nur die Arbeit des FISA-Gerichts behindern.

Auch anderen auswärtigen Rechtsanwälten steht man skeptisch gegenüber:

Ein Anwalt, der von den Gerichten unter sich bestimmt wurde, ist vermutlich hilfreich, aber ein Anwalt von unabhängiger Stelle wäre letztlich kontraproduktiv.

Unter sich wollen die Mitglieder des geheimen Gerichts auch bei der Auswahl der eigenen Richter bleiben, solche Kompetenz obliege nur dem Oberrichter und bedürfe keiner öffentlichen Aufsicht. Ebenso müsse die Öffentlichkeit auch nichts über die Gerichtsentscheidungen selbst erfahren, denn sie könne damit gar nichts anfangen und es würde zu “Verwirrung und Missverständnissen kommen.

Ein Wechsel von einer Pauschalerlaubnis von jeglicher Überwachung hin zu einer Einzelfallprüfung wird mit dem Argument der zu knappen Ressourcen abgelehnt.

Aber das beste Argument kommt zum Schluss:

Man muss aufpassen, dass man das Gericht nicht in eine ‘Aufsichtsrolle’ bringt, die über seine verfassungsmäßige Verantwortung hinausgeht, über Gerichtsfälle und -streitigkeiten zu entscheiden.

Das heißt im Klartext: Man will keine qualifizierten Urteile fällen, bei denen konkrete Fakten und Notwendigkeiten geprüft wurden, sondern weiter mit der Routine fortfahren, Stempel und Unterschriften zu leisten. Und damit keiner merkt, dass man das tut, soll alles geheim bleiben wie immer.

Am Freitag wird Obama vermutlich bekanntgeben, welche Forderungen er umsetzen will. Bis dahin warten wir ab und – hoffen?

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

September 11 2013

Geheimes Überwachungs-Gericht: “Die demokratische Kontrolle der Geheimdienste hat nie effektiv funktioniert”

Der Sitz des FISA Courts in Washington DC. Bild: AgnosticPreachersKid. Lizenz: Creative Commons BY-SA 3.0.

Der Sitz des FISA Courts in Washington DC. Bild: AgnosticPreachersKid. Lizenz: Creative Commons BY-SA 3.0.

Die demokratische Kontrolle der amerikanischen National Security Agency wurde so häufig und systemisch verletzt, dass sie nie effektiv funktioniert hat. Zu diesem Fazit kommt ein Richter des äußerst Überwachungs-freundlichen Foreign Intelligence Surveillance Court in einem von der EFF freigeklagten Dokument. Systematisch wurden Grundrechte verletzt – und die US-Regierung hat schlicht gelogen.

Auch wenn die Enthüllungen von Snowden erstmals konkrete Beweise vorgelegt haben, die Probleme sind schon lange bekannt. Unsere Freunde bei der Electronic Frontier Foundation versuchen seit Jahren, Dokumente freizuklagen, die den Umgang der US-Regierung mit den gefährlichen Überwachungs-Freibriefen in Patriot Act und Foreign Intelligence Surveillance Act zeigen.

Nachdem sich die Regierung noch im März vehement gewehrt hat, hat man jetzt – nach Snowden – ein paar Dokumente deklassifiziert und freigegeben. Bei der EFF gibt’s die zwölf PDFs auch durchsuchbar.

Darin wird offiziell belegt, dass die NSA mit ihrer Überwachungsmaschinerie tausendfach die Grundrechte von US-Bürgern missachtet. Die Washington Post erläutert nochmal die US-Vorratsdatenspeicherung, in der Telekommunikationsanbieter den Diensten seit 2001 täglich alle Verbindungsdaten zur freien Verwendung übermitteln:

The “bulk records” program began without any court or congressional approval shortly after the Sept. 11, 2001, attacks but was put under court supervision in May 2006 when American phone companies balked at providing the data solely at the request of the executive branch.

Under the program, the NSA receives daily transfers of all customer records from the nation’s phone companies. Those records include numbers called, the calls’ time and duration, but the content of conversations.

Beginning in late January 2009, Justice Department officials began notifying the court of problems, in particular that the NSA had been running an automated “alert list” on selected phone numbers without meeting the court-required standard of “reasonable and articulable suspicion” that those numbers were tied to terrorists.

Die EFF beschreibt, dass von 17.000 mit diesen Daten überwachten US-Bürgern es nur für ein Zehntel einen “begründeten Verdacht” gab:

According to intelligence officials, this FISA court opinion focuses on the NSA’s use of an “alert list” which is a list of “phone numbers of interest”� that they queried every day as new data came into their phone records database. The court had told the NSA they were only allowed to query numbers that had “reasonable articulable suspicion (RAS)” of being involved in terrorism. Apparently, out of the more than 17,000 numbers on this list in 2009, the NSA only had RAS for 1,800 of them.

Reggie B. Walton, ein Richter an dem geheimen Foreign Intelligence Surveillance Court, der in geheimen Sitzungen geheime Entscheidungen trifft und von fast 21.000 Überwachungs-Anordnungen in zehn Jahren nur zehn Anordnungen abgelehnt hat, kommt zu dem Fazit:

In summary, since January 15, 2009, it has finally come to light that the FISC’s authorizations of this vast collection program have been premised on a flawed depiction of how the NSA uses BR metadata. This misperception by the FISC existed from the inception of its authorized collection in May 2006, buttressed by repeated inaccurate statements made in the government’s submissions, and despite a government-devised and Court-mandated oversight regime. The minimization procedures proposed by the government in each successive application and approved and adopted as binding by the orders of the FISC have been so frequently and systemically violated that it can fairly be said that this critical element of the overall BR regime has never functioned effectively.

Deutlicher kann man nicht sagen: Geheimdienst-Kontrolle funktioniert nicht.

Die geheime Interpretation des Gerichts, was denn “relevante” Daten seien, war in diesen Dokumenten leider wieder nicht dabei. Die EFF klagt aber weiter – und wertet die zwölf neuen Dokumente weiter aus.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 23 2013

NSA: Neue Dokumente belegen, dass die NSA Service Provider bezahlt hat.

Das Utah Data Center. Quelle: Wired.

Das Utah Data Center. Quelle: Wired.

The Guardian hat neue Dokumente veröffentlicht, die belegen, dass US amerikanische Service Provider dafür ‘entschädigt’ wurden, dass sie das Prism Programm mit Daten versorgen. Wir hatten vor einer Woche berichtet, dass der ‘haus-eigene’ Foreign Intelligence Surveillance Court (FISC) der NSA vorwarf, nicht genau genug zwischen ausländischer und US amerikanischer Kommunikation zu unterscheiden. Da die NSA somit ‘nachbessern’ musste, wurde mit den Service Providern zusammengearbeitet, um Datenverkehr besser identifizieren zu können. Dies war notwendig, um weiterhin durch den FISC zertifiziert zu werden. So liest man in einem Newsletter der NSA, dass an die Service Provider mehrere Millionen USD gezahlt wurden.

Last year’s problems resulted in multiple extensions to the certifications’ expiration dates which cost millions of dollars for Prism providers to implement each successive extension – costs covered by Special Source Operations.

Die Special Source Operations Abteilung der NSA ist dabei für die reibungslose Zusammenarbeit mit Service Providern zuständig – laut Edward Snowden das ‘Kronjuwel’ der NSA. In einem späteren Newsletter liest man, dass mittlerweile alle Provider die nötigen Maßnahmen getroffen haben – nur Yahoo und Google hinken etwas hinterher.

All Prism providers, except Yahoo and Google, were successfully transitioned to the new certifications. We expect Yahoo and Google to complete transitioning by Friday 6 October.

Bestätigt wurde die Zusammenarbeit mit der NSA zumindest von Google, Yahoo, Facebook und Microsoft. Auf Anfrage des Guardian bestätigte Yahoo, dass es Zahlung durch die NSA als Aufwandsentschädigung erhalten habe. Microsoft wollte kein Kommentar abgeben und Google beharrt weiterhin darauf, dass die Presse dramatisiere und sich vieles relativieren würde, wenn die NSA es Google erlaube, Dokumente zu veröffentlichen.

Somit wurde durch Edward Snowden ein weiteres Puzzle-Teil veröffentlicht, dass zeigt, wie eng die NSA mit privaten Unternehmen zusammenarbeitet, um jeglichen Datenverkehr überwachen zu können. Außerdem ist dies der erste handfeste Beweis, dass die Unternehmen davon gewusst haben und für ihre ‘Umstände’ entschädigt wurden.

The responses further expose the gap between how the NSA describes the operation of its Prism collection program and what the companies themselves say.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted bymondkroete mondkroete

July 31 2013

FISC und XKeyscore : Die Unterschiede zwischen Gesetz und Wirklichkeit

Quelle: Wikipedia

Quelle: Wikipedia

Der United States Foreign Intelligence Surveillance Court (FISC oder FISA Court) hat ja so einige Probleme. Alle Richter werden vom vorsitzenden Richter (Chief Justice John Roberts) ausgewählt. Von den 11 Richtern sind zur Zeit 10 Republikaner. Es gibt keine Verteidigung, keine Anhörung der Gegenseite. Und sie müssen der Öffentlichkeit keine Rechenschaft ablegen. Dies führt unweigerlich zur Polarisierung der Gruppe – man nähert sich immer stärker einer gemeinsamen gedanklichen Haltung. So obliegt die Auslegung der Geheimdienstgesetze und somit die Überwachungsaktivität der NSA und des FBI allein dem FISC. Steve Cohen hatte Anfang des Monats versucht die einseitige Zusammensetzung des FISC zu ändern, sodass verschiedene Instanzen Richter berufen können und es zu mehr Transparenz und ideologischer Vielfalt kommt.

“It really is up to these FISA judges to decide what the law means and what the NSA and FBI gets to do. So Roberts is single handedly choosing the people who get to decide how much surveillance we’re subject to.” (Julian Sanchez, Cato Institute)

Wenig verwunderlich ist daher, dass der FISC von 2002 bis 2012 fast 21.000 Überwachungen zugelassen hat und lediglich 10 abgelehnt wurden. Nun wurden drei Dokumente des FISC veröffentlicht, in denen der FISC die massenhafte, verdachtsunabhängige Überwachung rechtfertigt und versucht zu relativieren. [PDFs: 1, 2, 3]

So wird mehrmals betont, dass keine Inhalte sondern nur Meta-Daten analysiert werden.

These programs are authorized to collect in bulk certain dialing, routing, addressing and signaling information… but not the content of the calls or e-mail messages themselves.

Allerdings passt das in keinster Weise zu den heutigen Veröffentlichungen über XKeyscore. In den Präsentationsunterlagen wird gerade damit geworben, dass z.B. Facebook-Nachrichten, Mails und Chat-Logs ausgewertet werden können. Dank SSL-Keys, die die Provider zur Verfügung stellen müssen, kann man auch auf verschlüsselte Verbindungen zugreifen. Außerdem wird in den Dokumenten argumentiert, dass NSA Analysten nur Zugriff auf die Daten erhalten, wenn ein “deutlich begründbarer Verdacht” besteht.

Before an NSA analyst may query bulk records, the must have reasonable articulable suspicion – referred to as “RAS” that the number or e-mail address they submit is associated with [geschwärzt]… The RAS requirement is designed to protect against the indiscriminate querying of the collected data so that only information pertaining to one of the foreign powers listed in the relevant Court order… is provided to NSA personnel.

Die XKeyscore Folien zeigen hier eindeutig, dass das “RAS requirement” durch eine simple Drop-Down Liste in XKeyscore realisiert wurde. Außerdem wird in den Folien erläutert, wie man nach Informationen suchen kann, wenn man keine Mail-Adresse (strong identifier) hat. Die Folien schlagen hier vor nach ‘Anomalien’ zu suchen.

Diese Beispiele geben einen Eindruck, dass es anscheinend eine deutliche Lücke gibt zwischen dem, was der FISC sagt und dem was wirklich gemacht wird und was das System leisten kann. Es geht nicht um Meta-Daten, sondern um Inhalte. Es geht nicht um begründbaren Verdacht, sondern um verdachtsunabhängige Analyse und Überwachung.

Am Ende wird lediglich eingeräumt, dass  es zu “compliance issues” (Problemen bei der Einhaltung) kam, die allerdings durch menschliches Versagen und die komplexen Systeme begründbar sind.

In 2009, a number of technical compliance problems hand human implementation errors in these two bulk collection programs were discovered as a result of Department of Justice (DOJ) reviews and internal NSA oversight. However, neither DOJ, NSA, nor the FISA Court has found any intentional or bad-faith violations.

Na, dann ist ja alles gut. Denn…

Importantly, there are no intelligence collection tools that, independently or in combination, provide an euqivalent capability.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl