Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

January 31 2014

Mehrere deutsche Beteiligte bei EU-Forschungsprojekten zum Anhalten von “nicht kooperativen Fahrzeugen” aus der Ferne

Screenshot der Webseite des EU-Forschungsprojekts SAVELEC

Screenshot der Webseite des EU-Forschungsprojekts SAVELEC

Viele Medien hatten sich diese Woche auf die Meldung gestürzt, dass in einer EU-Arbeitsgruppe das Stoppen von Kraftfahrzeugen aus der Distanz vorangetrieben wird. “Die Polizei von morgen hält Diebe oder Raser per Knopfdruck an: An einem Schaltpult auf der Wache fährt ein Beamter den Motor des Wagens herunter wie abends seinen Computer”, beschreibt die Tageszeitung Welt die Technologie zum ferngesteuerten Abwürgen der Motoren.

Hintergrund der Berichte war ein Posting der britischen Bürgerrechtsorganisation Statewatch über das “European Network of Law Enforcement Technology Services” (ENLETS), einem in den letzten Jahren immer wichtiger werdenden Netzwerk von Polizeibehörden der EU-Mitgliedstaaten. Statewatch veröffentlichte auch das bis 2020 währende Arbeitsprogramm von ENLETS. So neu ist das aber gar nicht; bei Netzpolitik war das Papier schon vor vier Wochen zu lesen. Auch auf Telepolis wurde schon vor über einem Jahr über die ENLETS-Pläne berichtet.

Laut dem Arbeitsprogramm setzt sich ENLETS dafür ein, dass die Technik serienmäßig in alle in der EU zugelassenen Fahrzeuge eingebaut wird. Das Polizeinetzwerk ist aber nicht selbst mit entsprechenden Forschungen befasst. Seit Jahren fungiert ENLETS als Schnittstelle, um Bedürfnisse und entsprechende Lösungen aus den Mitgliedstaaten zu koordinieren. Regelmäßig veröffentlicht ENLETS Listen, in denen die Beteiligten Defizite ihrer Technologie benennen.

ENLETS wurde erst im September 2008 unter französischer Präsidentschaft gegründet. Zur zunächst damals noch informellen Struktur gehörten Belgien, Griechenland, Zypern, die Niederlande, Polen, Finnland und Großbritannien. Als deutsche “Nationale Kontaktstelle” fungiert die Deutsche Hochschule der Polizei in Münster. Ab 2010 wurde die engere Einbeziehung der Europäischen Kommission begonnen, kurze Zeit später nahmen auch die EU-Agenturen EUROPOL und FRONTEX teil. Mittlerweile sind 19 EU-Mitgliedstaaten bei den ENLETS-Treffen zugegen. Im Sommer hatte der Rat Schlussfolgerungen verabschiedet, um Polizeien mit der “sicherheitsbezogenen Forschung und Industriepolitik” besser zu verzahnen. Für ENLETS bedeutete dies eine signifikante Aufwertung: Das Netzwerk betreibt nun eine “Technologie-Beobachtungsstelle”, das auf sieben Jahre angelegte Programm ist ein Ausdruck davon. Zu ihrem Auftrag gehört unter anderem die “Unterstützung proaktiver Kontakte” zwischen Industrie und Anwendern.

Mit elektromagnetischen Impulsen gegen die Bordelektronik von Fahrzeugen oder Schiffen

Allerdings wurde bislang wenig berichtet, auf welche Weise die “nicht kooperativen Fahrzeuge” gestoppt werden sollen. Eines der Vorhaben trägt den Titel “Safe control of non cooperative vehicles through electromagnetic means” (SAVELEC). Das Projekt will bis 2015 Anwendungen entwickeln, um mit künstlich erzeugten elektromagnetischen Impulsen die in der Nähe befindliche Elektronik zu blockieren oder sogar zu zerstören. Dies beträfe auch die Bordelektronik von Fahrzeugen oder Schiffen. Ziel ist, die bislang nur militärisch genutzte Technologie für polizeiliche Zwecke nutzbar zu machen.

savelec_1In der Projektbeschreibung wird hervorgehoben, dass Schiffe und Kraftfahrzeuge durch die immer umfangreichere Bordelektronik anfälliger für den Angriff mit elektronischen Waffen werden. Jedoch seien die marktverfügbaren Systeme noch zu groß für den polizeilichen Einsatz. Die Forschungen sollen sich deshalb auf brauchbare Antennen, Verstärker und Stromquellen konzentrieren. Das Endprodukt soll tragbar sein, um es in Polizeifahrzeugen mitführen zu können.

Das Finanzvolumen von SAVELEC beträgt 4,2 Millionen Euro, von denen rund 3,3 Millionen durch die EU-Kommission übernommen werden. Das gesamte Vorhaben besteht aus acht “Work Packages”, deren Fokus entweder auf den späteren Anwendungen, technischen Erfordernissen, der konkreten Umsetzung oder Experimenten liegt. Eine der Arbeitsgruppen soll die Entwicklung eines Prototypen sicherstellen.

Angeführt wird das Projekt von der Polytechnischen Universität im spanischen Valencia. Auch das Landeskriminalamt (LKA) Sachsen-Anhalt beteiligt sich an den Forschungen. Weitere deutsche Partner sind die Otto-Von-Guericke-Universität Magdeburg, das Deutsche Zentrum für Luft- und Raumfahrt (DLR) und die Firma IMST aus Kamp-Lintfort. Mit von der Partie ist auch eine slowakische Militärakademie und der Raketenhersteller MDBA, der wie deutsche Rüstungsfirmen unter anderem an neuen Laserwaffen forscht.
Das LKA Sachsen-Anhalt ist mit anderen europäischen Gendarmerien und Polizeien als “Endnutzer” von SAVELEC registriert. Ebenfalls beteiligt ist die spanische Guardia Civil, die französische Gendarmerie Nationale sowie Forschungsabteilungen der Innenministerien Frankreichs und Griechenlands. Zu den Aufgaben dieser “Endnutzer” gehört in der Regel, zunächst den polizeilichen Bedarf zu skizzieren. Ihr erstes Treffen wurde vom Raketenfabrikanten MDBA organisiert.

Die Technik gilt offiziell als “nicht-tödliche Waffe”. Die Definition ist allerdings umstritten: Statewatch macht darauf aufmerksam, dass die Mikrowellentechnologie genauso als Weiterentwicklung tödlicher Waffen verstanden werden kann: Denn wenn die elektrischen Anlagen von Krankenhäusern oder auch Herzschrittmacher attackiert werden, dürfte dies für die Betroffenen lebensgefährlich sein.

Zudem ist unklar, inwiefern Fahrzeuglenker nach einer elektromagnetischen Attacke die Kontrolle über das Fahrzeug verlieren und einen Unfall verursachen könnten. Zu klären ist aber auch, ob der polizeiliche Einsatz der Mikrowellenwaffen überhaupt mit der Gesetzgebung in den EU-Mitgliedstaaten vereinbar ist. Auch hier will SAVELEC abhelfen. Als Ergebnis sollen gesetzliche Rahmenbedingungen erarbeitet werden, die auch die Sicherheit von Anwendern und Adressaten der Waffen berücksichtigen.

Polizeiphantasien aus Entenhausen

SAVELEC ist nicht das einzige obskure EU-Vorhaben zum Stoppen von unwilligen Fahrzeugen. Mit einem ähnlichen Finanzvolumen forschen mehrere Firmen und Polizeibehörden unter dem Akronym AEROCEPTOR zu Drohnen, die ebenfalls gegen “nicht kooperative” Autos und Boote eingesetzt werden könnten. Getestet wird eine Helikopterdrohne (“Vertical Takeoff and Landing”, VTOL) der Firma Yamaha.

Die Flugroboter sollen mit Netzen ausgerüstet werden, in denen sich Räder oder Propeller verwickeln. Die Rede ist auch von einem “Spezial-Polymerschaumstoff”, der auf der Windschutzscheibe verhärtet und FahrzeuglenkerInnen zum Halten zwingt. Sofern dies nicht weiterhilft, könnten die Fahrzeuge mit “Durchstechen der Reifen” angehalten werden. Auch eine Störung der Bordelektronik wie bei SAVELEC sei denkbar.

aeroceptorDas Akronym AEROCEPTOR kann als “Unterbrechung aus der Luft” interpretiert werden. Als Adressat wird der Kampf gegen “organisierte Kriminalität” angeführt. Dabei geht es wohl um Fahrzeuge, in denen unerwünschte Migranten oder Drogen transportiert werden. Laut der Projektbeschreibung seien derartige Maßnahmen immer mehr erforderlich. Das Projekt ist brisant, denn erstmals geht es bei der polizeilichen Nutzung von Drohnen nicht mehr nur um Überwachung.

Die Gesamtkosten werden auf 4,8 Millionen Euro taxiert. Die Generaldirektion “Unternehmen und Industrie” der EU-Kommission übernimmt davon rund zwei Drittel, den Rest finanzieren die beteiligten Projektpartner aus der Rüstungsindustrie, Innenministerien und Instituten. An Bord sind der israelische Drohnenhersteller IAI und die polnische Firma PIAP, die bereits im Auftrag der EU-Grenzschutzagentur FRONTEX als Prototypen zwei Landroboter für die Grenzüberwachung gebaut hatte. Als “Endnutzer” sind wollen die die Innenministerien Israels und Spaniens von AEROCEPTOR profitieren.

Ein weiterer Teilnehmer von AEROCEPTOR ist die französische Firma Etienne Lacroix, die auf Pyrotechnik spezialisiert ist. Zum Portfolio der Firma gehören Leuchtraketen ebenso wie Blendschockgranaten, Sound-Granaten oder der Einsatz von Rauch und Gas. Die Technik erinnert an frühe Gerüchte angesichts der Einführung von Mikrodrohnen für polizeiliche Zwecke. Damals hieß es, Drehflügler-Drohnen könnten womöglich mit Elektroschock-Pistolen oder grellen Lichteffekten bestückt werden.

Im Sommer 2015 sollen in AEROCEPTOR erste Tests stattfinden. Der Ort wird noch festgelegt: Entweder wird in Frankreich an einem Standort des staatlichen Luftfahrtinstituts Onera geflogen oder aber in Spanien beim mit ähnlichen Aufgaben befassten Institut INTA.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01 02mydafsoup-01

December 17 2013

239 Anti-Terrormaßnahmen der EU seit dem 11. September

Vor dem 11. September hatte nur wenige EU-Mitgliedstaaten Anti-Terrorgesetze. Heute gibt es eine Vielzahl von Gesetzen, angestoßen von der EU. Die Zusammenarbeit der Ermittlungsbehörden wurde intensiviert und eine Unzahl von Maßnahmen gegen den Terror wurden auf den Weg gebracht. Eine Evaluation der Maßnahmen hat bisher nicht stattgefunden. Die Gesellschaft war in den Gesetzgebungsprozess kaum eingebunden.

Forschungsprojekt mit lächerlichem Budget

Wie viele Anti-Terrormaßnahmen gibt es eigentlich und welchen Einfluss haben die Maßnahmen auf unsere Sicherheit? Bisher wissen dies die EU-Institutionen noch nicht mal selbst und sonderlich großes Interesse an diesen Informationen haben sie auch nicht. Im Mai diesen Jahres wurde ein EU-Forschungsprojekt mit dem lächerlichen Budget von 800.000 Euro auf den Weg gebracht, um diese Fragen zumindest teilweise zu klären. Zum Vergleich: INDECT kostet den Steuerzahler knapp 11 Millionen Euro.

Die britische Bürgerrechtsgruppe Statewatch hat im Auftrag des Projekts eine Studie (.pdf) veröffentlicht und eine Übersicht der bestehenden Anti-Terrormaßnahmen erstellt. Und das sind nicht wenige: 239 Anti-Terrormaßnahmen wurden seit dem 11. September auf den Weg gebracht, davon sind 88 rechtlich bindend für die Mitgliedstaaten. Hinzu kommen 8 Abkommen mit Drittstaaten, etwa das PNR- oder SWIFT Abkommen.

Beteiligung der Parlamente und Zivilgesellschaft

Auffällig bei den Gesetzten ist, das die Beteiligung der Gesellschaft marginal ist. Obwohl die EU-Kommission stets behauptet, die Zivilgesellschaft in den Diskussionsprozess einzubinden wurden zu diesen 88 bindenden Anti-Terrorgesetzen nur drei Konsultationsverfahren durchgeführt. Zudem wurden lediglich 22 Impact Assemesemnts, also Untersuchungen über den Nutzen und die Auswirkungen der Gesetze, durchgeführt. Und auch das EU-Parlament war nur bei 70 Gesetzen involviert, wovon es jedoch lediglich bei 23 Gesetzen tatsächlich mitentscheiden durfte.

Evaluierung der Gesetze

Bei 59 der 88 Gesetzte ist ein Evaluationsmechanismus vorgesehen. Jedoch wurde dieser nicht immer angewendet, bei 16 Gesetzen wurde niemals die vorgeschriebene Evaluation durchgeführt. Ende Dezember 2011 einigte sich das EU-Parlament, nach einer hitzigen Debatte und erfolgreichen Versuchen der Konservativen den Bericht zu torpedieren, auf eine Entschließung, die Terrorgesetze der EU zu evaluieren. Bisher ist von einem ernsthaften Evaluierungsprozess wenig zu erkennen. Allein das Projekt SECILE kann diese Aufgabe nicht übernehmen. Es braucht einen konsequenten, offenen und transparenten Evaluationsprozess durch die EU-Institutionen selbst.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

November 25 2013

Das Pentagon lässt deutsche Hochschulen angeblich zum Walschutz forschen – mit einem Flugabwehrsystem von Rheinmetall

Dual Use-Projekte wie GMES können den Klimawandel ebenso beobachten wie

Dual Use-Projekte wie GMES können den Klimawandel ebenso beobachten wie “Terrorismus”

Wieder gab es eine Enthüllung zu Aktivitäten von US-Militärs in Deutschland: Im Rahmen ihres Buch- und Filmprojekts “Geheimer Krieg” trugen der Norddeutsche Rundfunk und die Süddeutsche Zeitung Details über Forschungsprojekte des US-Verteidigungsministeriums an öffentlichen Hochschulen und Forschungseinrichtungen in Deutschland zusammen. Demnach erhielten mindestens 22 Einrichtungen seit dem Jahr 2000 rund zehn Millionen Dollar aus dem Haushalt des Pentagon. Vertragspartner sind das US-Verteidigungsministerium und dessen angegliederte Behörden oder Unterabteilungen. Unter anderem habe die US-Armee an der Universität des Saarlandes die mathematische Verarbeitung von Sprachstrukturen erforschen lassen. Ähnliche Berichte hatte es bereits vor über zwei Monaten gegeben: Das ARD-Nachrichtenmagazin FAKT recherchierte, wie am Karlsruher Institut für Technologie (KIT) an Sprachtechnologien für den Militärgeheimdienst NSA geforscht wird.

Laut “Geheimer Krieg” erhielt die Münchener Ludwig-Maximilians-Universität Geld zur Verbesserung militärischer Sprengstoffe, ein Fraunhofer-Institut habe an Panzerglas und an Sprengköpfen geforscht. An der Universität Marburg sei untersucht worden, wie sich Orientierungssysteme für Drohnen und “präzisionsgelenkte Munition” verbessern ließen. In Frankfurt am Main hat die demnach US-Luftwaffe eine Untersuchung von Erdbeben im Iran in Auftrag gegeben. Unklar ist, auf welche Weise dies geschehen sein soll, vermutlich handelte es sich aber um satellitengestützte Bildverfahren. Auch an der Universität Bremen sei laut dem NDR “ein Satellitenforschungsprojekt von der amerikanischen Luftwaffe” finanziert worden.

Navigation von Wüstenheuschrecken und Walschutz

Wie zu erwarten hagelt es seit heute Morgen Dementis. Der Rektor der RWTH Aachen bestätigte die Berichte nicht, ließ aber mitteilen es werde nicht wie von Medien berichtet an einem “Gleichgewichtssystem für Schiffe” geforscht. Eine hessische Zeitung meldete, in Marburg sei an Orientierungssystemen von Wüstenheuschrecken gearbeitet worden, das Pentagon habe sich davon “Erkenntnisse für die Orientierung der unbemannten Flugkörper, der so genannten Drohnen” erhofft. Offizieller Partner sei ein in London ansässiges European Office of Aerospace Research & Development, offensichtlich ein Ableger eines gleichnamigen US-Instituts. Bei den Forschungen an der Philipps-Universität handele es sich laut der Zeitung “mit ziemlicher Sicherheit um einen Einzelfall”. Das kann sogar stimmen, denn selbst die vom Projekt “Geheimer Krieg” angegebene Summe von 10 Millionen US-Dollar innerhalb von 13 Jahren ist doch recht niedrig. Das deutsche Verteidigungsministerium gibt für den gleichen Zweck nach eigenen Angaben rund 900 Millionen Euro jährlich aus.

Nicht alle deutschen Hochschulen haben einer sogenannten Zivilklausel zugestimmt. Meist auf öffentlichen oder studentischen Druck verpflichten sich die WissenschaftlerInnen darin, auf militärische Forschung zu verzichten. Jedoch ist die Frage, wie zwischen zivilen und militärischen Anwendungen unterschieden werden soll. Gerade im Bereich von Satellitentechnologie ist dies vielfach unmöglich: So werden Synthetic Apertur-Radarsysteme (SAR) gleichermaßen benutzt, um das Schmelzen der Polkappen zu dokumentieren oder das Feldlager von Osama Bin Laden aufzuspüren. Auch die Europäische Union verfolgt mit “Global Monitoring of Environment and Security” (mittlerweile umbenannt in “Copernicus”) ein derartiges, mächtiges Forschungsvorhaben. Die Plattform entsteht parallel zum Satellitenpositionierungsdienst Galileo und soll die bereits existierende Satellitenaufklärung einiger Mitgliedsstaaten um ein eigenes EU-System erweitern. “Copernicus” dient einer “Bekämpfung von Terrorismus und Klimawandel”.

Auch das Bremer Alfred Wegener Institut (AWI) forscht an derartigen Projekten, allerdings vorwiegend im Bereich der Polar- und Meeresforschung. Nach dem heutigen Bericht über Arbeiten für das Pentagon hatte das AWI heute ein FAQ veröffentlicht, wie es wohl zuvor an die Autoren von “Geheimer Krieg” gegangen war. Demnach handele es sich bei den US-Aufträgen “ausdrücklich nicht um Rüstungsforschung”. Vielmehr sei es um ein Projekt zum Schutz der Wale vor Unterwasserlärm gegangen. In einem anderen Vorhaben seien arktisweite Messungen der Bodentemperaturen in Dauerfrostgebieten vorgenommen worden. Ähnliche Forschungen betreibt das AWI für das Deutsche Zentrum für Luft- und Raumfahrt und die Europäische Union.

Ein grün angestrichenes U-Boot bleibt ein Kriegsgerät

Wirklich entkräften können die Statements der Hochschulen und Institute den Verdacht der Beihilfe zum globalen Krieg nicht. Denn ein grün angestrichenes U-Boot, das in der Nähe von Walen das laute Sonar abschaltet, bleibt immer noch ein Kriegsgerät. Überdies können die Forschungen vom Militär auch für strategische, geopolitische Interessen genutzt werden, wenn etwa Gebiete des Iran oder der Arktis kartiert werden.

Wie auch solche Forschungen durch Greenwashing in militärische Vorhaben einverleibt werden, hatten vor zwei Jahren Bremer WissenschaftlerInnen dokumentiert: Unter dem Motto “Ziviles Bremen” veröffentlichten sie einen Aufruf gegen jede Militarisierung der Umweltforschung.

Besonders originell übrigens, dass das Alfred Wegener Institut aus Bremen zwar behauptet, mit einem “thermographischen Videostrom der Schiffsumgebung” lediglich blasende Wale erkennen zu wollen. Im heute eilig ventilierten FAQ des Instituts findet sich jedoch kein Wort darüber, dass für den “Walschutz” der US-Marine ein Flugabwehrsystem von dem deutschen Konzern Rheinmetall Defence genutzt wird.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

November 12 2013

EU-Lobbyismus: Neue Expertengruppe mit zweifelhafter Besetzung berät EU-Kommission bei Cybersecurity

Die EU-Kommission hat eine Expertengruppe ins Leben gerufen, die die Institution bei der Erstellung von Gesetzesvorlagen und Fragen zur Netz- und Informationssicherheit beraten soll. Die Zusammensetzung der Gruppe ist äußerst zweifelhaft: Unternehmen haben die Oberhand, ein Multi-Stakeholder-Ansatz ist nicht erkennbar. Einige Unternehmen sind sogar durch verschiedene Dachorganisationen mehrfach vertreten. Hinzu gesellen sich Rüstungsunternehmen.

Seit dem 8. November ist die neue Expertengruppe aktiv, ein erstes Kick-off-Meeting fand bereits Ende September statt. Aufgabe der Gruppe wird es sein, sich mit dem Thema Cybersecurity auseinanderzusetzen. Im kommenden Jahr will die EU-Kommission ihre Empfehlungen zur Cybersecurity veröffentlichen und die Expertengruppe soll an der Erstellung des Papiers mitwirken (.pdf).

Sollte es zu einem Gesetzesvorschlag kommen, sollen die Experten auch daran mitwirken.

Die Expertengruppe ist aufgeteilt in drei Arbeitsgruppen:

WG1 on risk management, including information assurance, risks metrics and awareness raising;
WG2 on information exchange and incident coordination, including incident reporting and risks metrics for the purpose of information exchange;
WG3 on secure ICT research and innovation.

Während die beiden ersten Arbeitsgruppen insbesondere an den Gesetzesvorschlägen und Empfehlungen mitwirken sollen, ist die Arbeit der dritten Arbeitsgruppe (.pdf) auf die Festlegung von künftigen Forschungsvorhaben im neuen Forschungsrahmenprogramm Horizon2020, dem Nachfolger des FP7, ausgerichtet:

Finally, the Commission clarified that all topics addressed by WG3 could potentially be included in H2020, since cybersecurity is a cross-cutting issue that pervades all ICT-related topics. Against this background, it will be important to make sure that all relevant stakeholders are involved in the work of the group.

Das Vorhaben der Kommission klingt zunächst nachvollziehbar, schaut man sich jedoch die Mitglieder der Expertengruppe an, stellt man schnell fest, das sich hier ein wenig ausgewogenes Grüppchen von Leuten trifft, um über die Zukunft der Cybersecurity zu „diskutieren“. Einen Multi-Stakeholder-Ansatz sucht man vergebens.

In der für die Forschung zuständigen Arbeitsgruppe 3 ist etwa der umstrittene Rüstungs-Lobbyverband EOS vertreten. Die EOS selbst ist an verschiedenen Forschungsprojekten der EU beteiligt. Und auch die Mitglieder der Organisation arbeiten eifrig an Forschungsprojekten der EU mit und gehören zu den großen Profiteuren des Programms: In einer Studie (.pdf), die ich mit dem unabhängigen EU-Abgeordneten Martin Ehrenhauser verfasst habe, wurde bereist deutlich gezeigt, wie die EOS auf den Entstehungsprozess von neuen Forschungsvorhaben Einfluss nimmt und sie selbst oder ihre Mitglieder später an den Projekten beteiligt werden. Nicht ohne Grund sind unter den Top Ten FP7-Teilnehmern fünf Mitglieder der EOS zu finden.

Nun wirkt der Lobbyverband erneut an der Ausgestaltung der neuen Forschungsprojekte mit. Man kann also davon ausgehen, dass erneut die Mitglieder der EOS und die EOS selbst zu den großen Gewinnern des neuen Forschungsrahmenprogramms gehören werden.

Damit bei der Formulierung der Gesetzesvorschläge und Forschungsvorhaben auch wirklich nichts schief geht, sitzen nicht nur Lobby-Dachorganisationen für Unternehmen und verschiedene Unternehmen selbst in der Expertengruppe. Einige Unternehmen sind als einzelne Mitglieder und über eine Dachorganisation vertreten. Bleiben wir beim Beispiel EOS: Neben dem Lobbyverbdand selbst sind auch die Mitlieder der EOS Atos, BAE Systems über BAE Systems Detica, Siemens und Thales in der Expertengruppe vertreten. Es dürfte also geballte Einigkeit herrschen. Doch es gibt noch weitere Mehrfachmitlgieder in der Expertengruppe wie etwa die Deutsche Börse, die London Metal Exchange und die NYSE Euronext, die jeweils einzeln und über die FESE vertreten sind. Ebay ist sogar gleich mehrmals, nämlich als eigenständiges Mitglied und über die Dachorganisationen IAB europe, TechAmerica und EdiMA vertreten. Derartige Mehrfachmitgliedschaften in der Expertengruppe, die insgesamt aus 214 Mitglieder besteht, gibt es unzählige. Demgegenüber stehen lediglich 36 Universitäten und andere akademischen Einrichtungen und neun NGOs. Zu den NGOs gehören allerdings auch Organisationen wie trust in digital life , zu deren Mitgliedern etwa Thales, Nokia und SAP gehören.

An den kommenden Gesetzesvorschlägen, Empfehlungen und Ausschreibungen der EU-Kommission wird man den Erfolg des Lobbyismus bzw. der Expertengruppe ablesen können.

Disclaimer: Während der Veröffentlichung der Studie „Lobbyismus der Sicherheitsindustrie in der Europäischen Union“ war ich Mitarbeiter von MEP Martin Ehrenhauser.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

March 26 2013

Einzigartig in der Masse: Aus Mobilfunk-Bewegungsdaten können ganz einfach Einzelpersonen identifiziert werden

Die Art und Weise, wie sich Menschen bewegen, ist sehr einzigartig. Einem Forscherteam ist es gelungen, Einzelpersonen in großen Datensätzen von Bewegungsdaten zu identifizieren, wie diese von Mobilfunk-Anbietern gespeichert werden. Statt immer weitere Datenberge anzuhäufen, plädieren sie für weitere Forschung, da Bewegungsdaten nur noch wichtiger und aussagekräftiger werden.

unique-in-the-crowd-590

Gestern wurde im Open Access Journal Scientific Reports die Studie Unique in the Crowd: The privacy bounds of human mobility (PDF) veröffentlicht. Vier Forscher vom MIT Media Lab und der Katholischen Universität Löwen untersuchen darin einen großen Datensatz an Bewegungsdaten und de-anonymisieren Einzelpersonen aus dem Datenhaufen.

Bewegungsdaten fallen beispielsweise für jedes einzelne Mobilfunk-Gerät bei den Mobilfunk-Betreibern an. Smartphones übertragen ihren Standort aber auch an Internet-Dienste, so verarbeitet allein der Anbieter Skyhook mehr als 400 Millionen Anfragen nach Ortsdaten pro Tag und Werbe-Netzwerke bekommen Ortsdaten von der Hälfte aller Smartphones. Mal ganz abgesehen von Diensten, denen man den eigenen Standort ganz freiwillig mitteilt, wie Foursquare oder Ingress.

Die Forscher haben jetzt einen Datensatz erhalten, der die Bewegungsdaten von 1,5 Millionen Menschen über 15 Monate enthielt. Das ist ein “bedeutender und repräsentativer Teile der Bevölkerung eines kleinen europäischen Landes”. Diese Daten kamen von einem Mobilfunk-Anbieter, der Zeitraum umfasste April 2006 bis Juni 2007. Mit diesem “Big Data” Datensatz konnten sie zeigen, dass die räumliche Bewegung einzelner Menschen “sehr einzigartig” ist.

In einem Datensatz, wie er bei jedem Mobilfunk-Anbieter anfällt (also relativer Abstand der Funkzellen-Antennen und ein Orts-Eintrag etwa alle Stunde), kann man mit nur vier bekannten Datenpunkten Zeit/Ort circa 95 Prozent aller Menschen identifizieren. Das könnten beispielsweise die Adresse von Privatwohnung, Arbeitsplatz und Geo-Tags von Tweets oder Bildern sein. Mit nur vier solcher Daten kann man in einem riesigen Datensatz die Bewegungen einer Person zuordnen über mehrere Monate nachvollziehen, genau wie das Malte Spitz demonstriert hat.

Das Fazit der Forscher:

These results should inform future thinking in the collection, use, and protection of mobility data. Going forward, the importance of location data will only increase and knowing the bounds of individual’s privacy will be crucial in the design of both future policies and information technologies.

Diese neue Studie reiht sich nahtlos in weitere Forschung zum Thema Geodaten ein:

Auch Polizeibehörden nutzen solche Datenberge, wie die Enthüllungen zur Funkzellenabfrage gezeigt haben. Und spätestens nach der Bundestagswahl wird es auch in Deutschland wieder Forderungen geben, diese Daten anlasslos monatelang zu speichern.

vgwort pixel

flattr this!

Reposted bykrekkurfinn0g02mydafsoup-01

July 24 2012

FoeBuD braucht Studentenausweise und Mensakarten für Forschungsprojekt

An den meisten Universitäten bekommt man mittlerweile kleine Plastikkarten mit integriertem RFID-Chip als Studentenausweis oder Mensakarte. Die Unis nennen die Technik aber nur ungerne beim Namen und versuchen den Chips andere Bezeichnungen zu geben (z.B. Mifare-Chip) oder die Vorteile der kontaktlos verwendbaren Karten herauszustellen. An der kontaktlosen Verwendbarkeit kann man den Einsatz von RFID-Chips erkennen.

Wie weit es dabei mit dem Datenschutz her ist, möchte der FoeBuD in einem Forschungsprojekt herausfinden. Dazu braucht er Studentenausweise und Mensakarten von möglichst vielen Universitäten. Also schickt eure Karten – ausreichend frankiert – an den FoeBuD:

Wir freuen uns über alle Einsendungen. Schreibt bitte die Hochschule dazu und welche Funktionen mit der Karte genutzt werden können. Auch wer seine Karte nur für ein, zwei Wochen entbehren kann, kann sie uns schicken. Die Karten werden nicht verändert oder beschädigt und wir senden sie hinterher natürlich zurück. Die Aktion läuft bis Ende Oktober 2012.

Die Adresse zum Einsenden der Karten ist:
FoeBuD e.V., RFID-Forschungsprojekt, Marktstraße 18, 33602 Bielefeld

flattr this!

December 18 2009

Botnets, Internetanbieter und Politik – auf sanften Sohlen zu neuen nationalen Strukturen der Internet-Regulierung?

Dieser Gastbeitrag stammt von Andreas Schmidt, der an der Technischen Universität Delft zu institutionellen und organisatorischen Aspekten von Internet-Sicherheit forscht. Er bloggt seit kurzem auch dazu auf netdefences.com. (RB)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Verband der Internetbetreiber (eco) haben vereinbart, im Rahmen einer Kooperation eine Art nationales Botnet-Zentrum zu errichten. Ist es nach der politischen Instrumentalisierung missbrauchter Kinder ein neuer Versuch, eine Organisation aufzubauen, die einen direkten staatlichen (oder privatwirtschaftlichen) Eingriff in die Kommunikation aller ermöglicht? Wo beim Sperrgesetz Schwarz und Weiß noch sehr einfach zu trennen waren, sind die Dinge hier verschlungener, nuancierter, vielschichtiger.

Es gibt eine Reihe von Gründen, die BSI und eco zu diesem Schritt bewegt haben dürften. Gestützt wird ihr Vorgehen von pragmatischen Erwägungen und einer Reihe plausibler wissenschaftlicher Argumente. Doch es könnte auch der Kern eines neuen nationalen Internet-Governance-Regimes werden, dessen gesamtes Gebilde und auch dessen Risiken und Nebenwirkungen sich erst im Laufe der Zeit offenbaren werden. Das Botnet-Problem

Botnets sind die technische Unsicherheitsinfrastruktur, von der zahlreiche technische, wirtschaftliche und politischen Risiken für das Internet ausgehen. Botnets bestehen, vereinfacht gesagt, aus einer Vielzahl von Zombie-Rechnern, sowie einer oder mehrerer Command&Control-Hierarchien von Rechnern, die darunter liegende Rechner steuern. Das Versenden von Spam basiert häufig auf Botnets, Phishing wiederum nutzt Spam-Emails, mit Phishing lassen sich Bankkonten leer räumen. In Cyberwarfare-Szenarien – wie wahrscheinlich oder unwahrscheinlich sie auch immer sein mögen (vgl. Schneier) – sind gegnerische Angriffswerkzeuge Rechner, die mit Malware oder Botnet-Clients infiziert und mit Command&Control-Rechnern zu Botnets verbunden sind. Die selben Technologien sind somit die Ursache für Sicherheitsprobleme auf unterschiedlichen Ebenen: Gefährdung der grundlegenden Funktionsfähigkeit des Internets, Funktionsfähigkeit der darauf aufbauenden Infrastrukturen, der auf das Internet aufbauenden Geschäftsaktivitäten, finanzielle Gefährdungen von Einzelpersonen und Unternehmen durch Online-Diebstahl, Beschneidung nationaler Handlungsfähigkeit durch Ausschaltung kritischer Informationsinfrastrukturen, Gefährdung der technischen IT-Sicherheit, oder Angriffe durch “superempowered
small-groups”
(John Robb).

Lassen wir die Cyberwarfare-Szenarien mit ihren geringen Wahrscheinlichkeiten, aber hohen potentiellen Schäden beiseite, und beschränken uns auf das bodenständigere, reale Problem, von dem auch in den eco-BSI-Meldungen die Rede war: Cybercrime, also das, was in der dinglichen Welt Überfall, Einbruch und Diebstahl entspräche. Tyler Moore und Richard Clayton, deren Studien zu Anti-Phishing und Take-down von der Leyens Argumentation zur Unmöglichkeit von zeitnahem Löschen diskreditierte hatten, haben mit ihren Chef Ross Anderson eine kleine Studie zu den “Economics of Online Crime” erstellt. Aus verschiedenen
Quellen haben sie Zahlen zusammengetragen, die die ökonomische Bedeutung von Cybercrime belegen sollen (Moore, Clayton & Anderson, 2009, S. 5):

Nun kann man bei diesen Zahlen natürlich eine gewisse Skepsis walten lassen, Symantec etwa ist kein unabhängiges Forschungsinstitut. Entscheidend sind die jährlichen Schäden. Ein Blick auf das untere Drittel der Tabelle lässt ahnen, dass
niemand so recht weiß, von welchen Schadensummen man eigentlich auszugehen hat. Nur dass sie offenbar nicht niedrig sind, scheint klar zu sein.

Van Eeten, Bauer und Chattopadhyay haben den Stand des Wissen über finanzielle Aspekte von Malware und Spam zusammengetragen. Sie fassen ihre Erkenntnisse so zusammen:

“Although the financial aspects of malware and spam are increasingly documented, serious gaps and inconsistencies exist in the available information. This sketchy information base also complicates finding meaningful and effective responses. For this reason, more systematic efforts to gather more reliable information would be highly desirable.” (van Eeten & Bauer, 2008)

Zu einer Zahl wagen sie sich dennoch vor:

“Global direct costs probably in 0.2-0.4% range of global GDP ($66 tr)” (Bauer, van Eeten & Chattopadhyay, 2008)

Welche Schlussfolgerungen man daraus für die Schäden durch Botnets ziehen kann, ist unklar. Genaue Zahlen über die von Botnetze angerichteten Schäden liegen meines Wissens nicht vor. Aber gehen wir der Einfachheit halber pragmatisch davon aus, dass die Kosten von Cybercrime immens hoch sind und sie zu einem großen Anteil durch Botnets ermöglicht werden. Zumal neben

den finanziellen Schäden Botnets auch die technische Sicherheit und  Leistungsfähigkeit des Netzes beeinträchtigen könnten.

Anti-Botnet-Maßnahmen

Was wird derzeit gegen Botnets getan? Man kann es in mehrere Aufgabenbereiche unterteilen: Problemanalyse, Entwicklung von Gegenmaßnahmen, Monitoring der Botnetaktivitäten, Milderung der Wirkung des Botnets, Zerstören des Botnets.

Die Analyse von Botnets erfolgt über die Auswertung des Verhaltens infizierter Clients, deren Kommunikation mit benachbarter Peer-Dronen und Kommando-Servern. (Banday, Qadri & Shah, 2009) Kommando-Server sind etwa im Falle des Storm-Worm-Botnets nachgebaut worden, wodurch Dronen kontrolliert und gesteuert werden könnten (ähnlich im Falle von Conficker, vgl. Leder & Werner, 2009, und die “Containing Conficker”-Arbeitsgruppe an der Uni Bonn von Tillmann Werner und Felix Leder).

Die Identifikation von Botnets, die Analyse ihrer Funktionsweise, die Entwicklung neuer Kommando-Software erfolgt bislang eher durch Eigeninitiative und globale Kooperation von Forschern und technischen Experten. Viele Honeypot-Systeme werden von global kooperierenden Wissenschaftlern betrieben, zum Teil in Zusammenarbeit mit der Privatwirtschaft. Die Identifikation von Bots innerhalb dedizierter Netzwerksegmente – etwa das Netz eines ISP – erfolgt mit
Werkzeugen wie BotHunter, einem “network-based malware infection diagnosis system” (BotHunter wird auch in einer Präsentation des eco-Justiziars Frank Ackermann erwähnt). Weil Fefe es erwähnte: Es scheint wohl – wenn ich den Artikel auf die Schnelle richtig deute – möglich, über HTTP kommunizierende Botnets anhand von Anomalien im Netzwerktraffic zu entdecken (Gu 2008).

Während Problemanalyse und Entwicklung noch die Neugier der Forscher wecken, ist das Monitoren und Überwachen der laufenden Aktivitäten eines Botnets eine Arbeit, der kaum jemand aus Forscherdrang oder Neugierde freiwillig längere Zeit nachgehen möchte. Wenn Botnets aber nicht ausgeschaltet werden können, ob aus technischen oder legalen Gründen, fallen über längere Zeiträume Arbeiten an, die vermutlich nur innerhalb fester Organisationen mit dediziert dafür zuständigem Personal übernommen werden können. Hier stoßen die bisherigen ad-hoc Arbeitsgruppen an ihre Grenzen. Die Botnet-Forscher wären in der Lage, einige Botnets unter ihre Kontrolle zu bringen und auszuschalten, indem sie über gekaperte Command&Control-Strukturen den Bot-Clients gutartigen Code zur Selbstlöschung zuspielen (vgl. den Proof-of-concept von Tillmann Werner und Felix Leder).

Aus rechtlichen Gründen und wegen der hohen persönlichen Haftungsrisiken nehmen Botnet-Forscher jedoch keine Maßnahmen zur Säuberung infizierter Clients vor. Einige europäische Polizeien haben sich Gerüchten zufolge schon versuchsweise vorgewagt und ein paar Remote-Säuberungstests unternommen. Allerdings verbietet die Rechtslage auch eine gut gemeinte Manipulation fremder Rechner. Der einzige legale Weg zum Säubern von Zombies ist die manuelle Entfernung durch die Benutzer der Rechner oder durch Removal-Software, die etwa vom Betriebssystemhersteller im Rahmen von Softwareupdates bereitgestellt werden. Wenn eco und BSI eine über die bloße Hotline hinausgehende Kooperation planen sollten, die auch Zwangsmaßnahmen enthält, wollten sie es wohl kaum verlautbaren, geschweige denn praktizieren, sondern eine Anpassung der Rechtslage abwarten.

Ursachen und Erklärungen für unzureichende Anti-Botnet-Maßnahmen

In den Griff hat das Problem der Botnets bislang niemand bekommen. Die Hersteller von Software wollen oder können von der Tradition der Bugs und Vulnerabilities nicht abrücken, private Anwender und Kleinunternehmen fehlen Lust, Zeit, Kenntnis und Anreize, ihre Rechner sicher und sauber zu halten, und ISPs sind Botnets bislang in Grenzen egal, solange sich damit nicht nennenswert Geld verdienen oder verlieren lässt.

Der Wissenschaft ist sind solche Problemlagen vertraut. Es gibt Konstellationen von Interessen, Ressourcen und Fähigkeiten, wo alle am Ende verlieren, selbst wenn alle das Beste wollten und Gutes können. Als Freerider-Problem oder Tragödie des Allgemeinguts (Tragedy of the commons) wird es bezeichnet (Hardin, 1968). In solchen Situationen zuckt die Hand des am Rande stehenden, beobachtenden verantwortungsvollen Staates, vielleicht doch einzugreifen (auch wenn die jüngste Nobelpreisträgerin der Wirtschaftswissenschaften, Elinor
Ostrom
, eher die These von der Tragödie für eine Tragödie hält und das Eingreifen externer, machtvoller Akteure wie dem Staat häufig kontraproduktiv findet, ohne dass sie dabei des neoliberalen Staathasses verdächtig wäre.) So gesehen geht es bei dieser Internetsicherheits-Private-Public-Partnership allein um sachorientierte Regulierung, was zum Tagesgeschäft des Staates gehören sollte. Der Staat schiebt die beteiligten Akteure ein wenig an, verteilt Anreize, justiert Verantwortlichkeiten neu, wenn die Akteure anderweitig nicht in der Lage sind, aus der gesamtgesellschaftlich nachteiligen Lage herauszukommen. In den
letzen Jahren haben sich einige Wissenschaftler mit den ökonomischen Hintergründen und den Anreizen für die einzelnen Akteure beschäftigt, etwas für die Sicherheit ihrer Internetgeräte zu tun oder nicht.

Handlungsempfehlungen der Internetsicherheitsökonomie

Moore, Clayton und Anderson jedenfalls empfehlen der Politik regulativ einzugreifen:

“Policymakers should also give Internet service providers, especially the big ones, a stronger incentive to stop infected computers attacking other users” (Moore et al., 2009).

Allerdings: Anreize geben ist etwas anderes als Kooperation, als eine Private-Public Partnership. Die Politik könnte sich darauf beschränken, ISPs Strafen aufzuerlegen, so sie bestimmte Sicherheitsleistungen nicht in gefordertem Maße erbringen, etwa infizierte Maschinen in ihrem Subnetz zu isolieren (vgl. Moore 2009). Regulierern und zuständigen Referenten in den Ministerien dürften diese Argumentationen vertraut sein. 2007 erhielten vier Wissenschaftler von der Europäischen Agentur für Netzwerk- und Informationssicherheit (ENISA) den Auftrag, einen Bericht über “Security Economics and The Internal Market” zu verfassen. Sie kamen, wie bei Vertretern von “information security economics”, zum Ergebnis, dass Probleme der Internetsicherheit nicht nur auf technische Fehler zurückzuführen sind, sondern vor allem auch auf falsche oder fehlende Anreize, die Internetakteure zu einem Sicherheit fördernden Handeln bewegen würden. Diese ökonomischen Regulationstheorien gehen davon aus, dass angesichts der zahlreichen und komplexen Problemlagen der Staat sich aus der Regulierung gesellschaftlich relevanter Dinge heraus halten möge, wenn dieBeteiligten denn in der Lage sind, ihre Angelegenheiten selbst untereinander zu regeln. Wenn nicht, dann möge der Staat sich darauf beschränken, hier und dort eine Stellschraube zu drehen, und erst, wenn alles andere nicht klappt, selbst die Zügel in die Hand nehmen. Das läuft bisweilen arg schief, wie die seit zwei Jahren anhaltende Finanzmarktkrise zeigt.

Die ENISA-Studie kommt zu einer ganzen Reihe von Handlungsempfehlungen für die EU zum Umgang mit Internetsicherheitsproblemen (Anderson, Böhme, Clayton & Moore, 2008):

  • gesetzlicher Zwang zur Offenlegung von Sicherheitsvorfällen

  • gesetzlicher Zwang zur Offenlegung monetärer Verlust bei Banken

  • Sammlung quantitativer Daten zu Spam und “bad traffic” durch ENISA

  • Bußgelder für ISPs, die nicht rasch genug Ersuchen nachkommen, kompromittierte Maschinen vom Netz zu entfernen (Anwender könnten Konnektivität zurückbekommen, wenn sie fortan volle Haftung für von
    ihrem Rechner ausgehenden Traffic übernehmen)

  • Entwicklung und Durchsetzen von Sicherheitsstandards für Geräte mit Netzwerkverbindung

  • Verpflichtung zur Offenlegung von Schwachstellen durch Hersteller, Einführung einer Hersteller-Haftung für nicht zeitnah gepatchte Softwarefehler

  • Empfehlung zur Trennung von Patch- und Feature-Releases, wobei erstere kostenlos zur Verfügung gestellt werden sollten

  • Schaffung einheitlicher Prozeduren bei Streitigkeiten zwischen Kunden und Zahlungsabwicklern

  • Maßnahmen gegen Spam-Versender

  • Finanzierung von Forschungen durch ENISA über die Effekte von Ausfällen von Internet-Knoten.

  • Errichtung eine Einrichtung zur Kooperation gegen Cybercrime

  • ENISA möge die Interessen von Sicherheitsforschern und IT-Sicherheitsindustrie schützen (um weitere Fehler in der Art
    des Hackerparagraphen zu verhindern)

Michel van Eeten u.a. hatten zwei Jahre zuvor in eine ähliche Richtungen gehende Maßnahmen vorgeschlagen, um ISPs zu Maßnahmen zu bewegen, die die Internetsicherheit stärken helfen (van Eeten, de Bruijn, Kars & van der Voort, 2006). Desweiteren forderten sie Maßnahmen zur Verbesserung der Datenlagen über Internetsicherheitsprobleme. Daten über Botnetze wie Logfiiles liegen verstreut bei Providern und Unternehmen, weshalb nur ein Zusammenspiel der Akteure Klarheit über das Ausmaß der Probleme schaffen kann. Genau dazu fehlten den Akteuren aber offensichtlich das Interesse (van Eeten et al., 2006,
S. 374). Aus diesem Grund ist die Datenlage über das Ausmaß von Sicherheitsproblemen auch heute noch, nach Jahren politischer Diskussion und Instrumentalisierung von Internetsicherheitsproblemen so dürr und gibt es kaum neutrale wissenschaftliche Studien darüber.

Aspekte staatlicher Politik gegenüber ISPs

Staaten verfügen über eine Vielzahl von Möglichkeiten auf ISPs Einfluss zu nehmen. Die britische Regierung hatte ihre ISPs Ende der 1990er mit der Androhung, andernfalls selbst tätig zu werden und den ISPs ihr Handeln durch Gesetzestexte vorzuschreiben, “gebeten”, sich zu einem Verbund zusammenzuschließen, um das ewigen Böse des Internet zu verbannen, Kindesmißbrauchsabbildungen (KMA). Von der demokratietheoretisch zweifelhaften Konstruktion der Internet Watch Foundation abgesehen – eine privater Verein gestattet sich, die Kommunikation der britischen Bevölkerung zu zensieren –, war sie immerhin sehr effektiv im Bemühen, das Hosting von KMA in GB fast vollständig zu unterbinden. Im letzen Jahr haben die USA ihre ISPs gesetzlich verpflichtet, dem National Center for Missing and Exploited Children (NCMEC) beizutreten, dass die U.S CyberTipline betreibt (Moore et al. 2009, S. 16). In Deutschland wurde vor wenigen Tagen mit domainfactory auch der
letzte Webhoster gerichtlich dazu verpflichtet, der gesetzlichen Verpflichtung zur Vorratsdatenspeicherung nachzukommen
. Die Verhandlungen über das Anti-Counterfeiting Trade Agreement (ACTA) laufen offenbar auf nationale Gesetze hinaus, die der Content-Industrie noch leichteren Zugriff auf Trafficdaten der ISPs liefern würde.

Wenn er also will, kann der Gesetzgeber sehr tief in die Tätigkeiten der ISP rein regieren.

Darüber hinaus orientiert sich das Handeln des Staates zu Internetsicherheit auch an anderen politischen Erwägungen als dasjenige, technische Internetprobleme wie Botnets oder Phishing loswerden zu wollen. Die Bemühungen der Content-Industrie, über staatliche Gesetzgebung Zugriff auf Anwenderdaten der ISPs zu
erhalten, sind bekannt. Aufgrund der engen Verflechtungen von Content-Industrie und öffentlicher Meinungsbildung ist die Politik leicht geneigt, diesem Drängen zu Lasten von ISP und Anwendern nachzugeben und die Rollen der Internetakteure zu modifizieren, ihnen andere Aufgaben und Pflichten zuzuweisen und
technische Anpassungen zu verlangen.

In dieselbe Richtungen gehen Entwicklungen auf internationaler Ebene. Die Cybersecurity-Diskurse in den USA treiben immer mehr in die Richtung eines verstärkten staatlichen Engagements, die Selbstregulierung durch Industrie wird kritischer gesehen als noch vor Jahren. Die US-Senatoren John Rockefeller und Olympia Snowe fordern gar die Abschaltbarkeit des Internets in Krisenfällen durch das Weiße Haus.  Großbritannien treibt das Thema ebenso voran. Das Mandat der ENISA wurde im letzten Jahr verlängert und an der Spitze sitzt jetzt der ehemalige Leiter des BSI. Diese Entwicklungen auf internationaler Ebene dürften auch in Bonn und Berlin nicht unbeachtet bleiben.

Die sozialwissenschaftliche Theorie des institutionellen Isomorphismus besagt, dass Organisationen, die sich in einem ähnlichen Feld bewegen, mit der Zeit sich in ihrer Kultur, ihren Abläufen, ihrem Personal immer ähnlicher werden. Denkbar,
dass dies auch für die Organisation von Internetsicherheit zutrifft.

Ein Aspekt, den man in Debatten über das institutionelle Design von Internetgovernance selten vernimmt, sind die Wirkmächte des sozialen Konservatismus. Die egalitäre Verfügbarkeit des führenden Kommunikationsmediums, das Fehlen von leicht ausfahrbaren Sperren und Hemmnissen, ist eine Anomalie, der sich Staaten und die sie tragenden Stützen der Gesellschaft in der Neuzeit nur selten ausgesetzt sahen. Vorausschauende konservative Politikstrategie denkt das “Si vis pacem para bellum” nicht nur für äußere Konflikte, zumal Peak Oil, plötzlicher Klimawandel oder die Lage der Finanzwirtschaft für unliebsame gesellschaftliche Überraschungmomente sorgen könnten. Politischen Ziele wie Beherrschbarkeit, Steuerbarkeit und Kontrollierbarkeit der Lage erforderten ein starreres Reglement der Kommunikationssphäre, als dies bislang der Fall ist.

Kalküle der ISPs

Die ISPs scheuen Regulierungsversuche des Staates. Sie sind mit Kosten verbunden, zumeist jedenfalls, mit Rechtsunsicherheiten, mit neuen Kundenproblemen. Zudem erfordern sie meist die Aufmerksamkeit der Leitungsebene. Alles Dinge, die ein ISP vermeiden möchte. Jedoch auch Nichtstun verursacht Kosten – etwa für den Support von Kunden, die sich aufgrund von Sicherheitsproblemen ihrer Rechner an die Hotlines der ISP wenden. Vagen Schätzungen zufolge werden etwa 1-2% der Umsätze mittelgroßer ISPs für
sicherheitsbezogene Supportanrufe aufgewendet (Moore et al., 2009, S. 9). Desweiteren können die von Botnets erzeugten Traffic-Mengen die Durchleitungsvereinbarungen mit dritten ISPs belasten und zu höheren Kosten führen. Schließlich kann ein Übermaß an Computerviren, Malwarebefall oder
laxer Umgang mit Spamversendern das Image eines ISP beschädigen. Auf der anderen Seite müssen ISP mit negativen Kommentaren der Öffentlichkeit rechnen, wenn sie diese Probleme mit Lösungen angehen, die die Privatsphären ihrer Kunden verletzen.

Den ISPs ist bewusst, dass sie je für sich das Botnet-Problem nicht in den Griff bekommen können. Dass in ihre Kundennetzen zahllose Bot-Clients sind, ist ihnen bekannt, sie gehen aber nicht, mit welchen Mitteln auch immer, systematisch dagegen vor. Maschinen werden allenfalls dann abgeklemmt, wenn sie massenhaft Spam verschicken oder andere Dinge tun, die Dritte dazu bringen könnten, beim ISP sich zu beschweren. Der überwiegende Prozentsatz der Bot-Clients bleibt unberührt und wartet weiter mehr oder minder stumm auf die Befehle von Peer-Bots oder einem Command&Control-Rechner. Wollte ein ISP dagegen vorgehen, würde er sich Kosten aufhalsen, die seine sorglosen Konkurrenten nicht
haben. First-mover disadvantage.

Zugleich aber drängen Gesellschaft, Wirtschaft und Politik, dass diese Internetsicherheitsprobleme wie Botnets und Viren doch bitte gelöst werden sollten. Dadurch gerät die ISP-Branche unter Zugzwang, wenn man sie als diejenige identifiziert, die den Schlüssel zur Lösung des Botnet-Problems in der Hand hält.
Damit würde sich der Charakter des ISPs wandeln, weg vom bloßen Durchleiter von Internettraffic, der nur dann eingreifen muss, wenn er von Dritten aufgefordert wird, hin zu einer proaktiven und inhaltlichen Prüfer aller Internetkommunikation. Der derzeitige Internet-Governance-Kompromiss würde damit aufgekündigt (Mueller, 2004).

ISPs stehen politisch noch aus zwei anderen Richtung massiv unter Druck: Zum einen drängt die Content-Industrie seit Jahren und in immer stärkerem Maße darauf, dass ISPs die Durchleitung von anscheinend nicht lizensiertem Material unterbinden oder zumindest den Content-Lieferanten Auskunft über die Identitäten derjenigen zukommen lassen möge, die anscheinend Lizenzverstöße
begehen. Die ISPs halten bislang noch kräftig dagegen.

Zum anderen drängen Regierungen – teils von der Content-Industrie beeinflußt, teils von eigenen Motiven angetrieben – weltweit darauf, das bei den ISPs Technologien installiert werden, die staatlichen Stellen die Filterung des Zugriffs auf bestimmte Inhalte ermöglichen.

ISPs sehen sich daher Akteuren gegenüber, die reichlich Mittel an der Hand haben, ISPs den Wunsch zu durchqueren, entspannt und angenehm Umsätze bei guten Margen zu machen. Die netzpolitisch spannende Frage ist, unter welchen Bedingungen sich ISPs gegen die Interessen ihrer Kunden zu wenden und stattdessen mit anderen Kräften gegen sie zu agieren beginnen. Oder: Wann und
wie handelt ein ISP wie Vodafone im letzten Jahr bei der Sperrinfrastruktur-Auseinandersetzung, schert aus dem Branchenkonsens aus und versucht, Kunden eine nicht gewünschte technische und organisatorische Änderung der Internetarchitektur unterzuschieben?

Die eco-BSI Kooperation

Welcher Art ist die Kooperation eigentlich? Die Meldung bei heise am 8.12.2009 lässt sich in Stichpunkten wie folgt zusammenfassen: Provider weisen Kunden auf Bot-Infektionen hin, nicht kooperative Kunden werden evtl. mit Sanktionen belegt, eventuell besteht Virenscannerzwang für Kunden, ggf. können Anwender
die Dienste des Call-Centers mit 40 Mitarbeitern kostenfrei in Anspruch nehmen, und schließlich wird über eine Netzsperre für infizierte Rechner, deren Umleitung zu einer Site mit Removal-Software sowie telefonische Unterstützung für
betroffene Anwender nachgedacht.

Wir wissen derzeit nicht viel über die Organisation des geplanten Botnet-Zentrums, über die juristische Person, in deren Händen es liegen wird, über die Gesellschafter, deren Rechte, deren Zugriffsmöglichkeiten auf operative Daten und
Entscheidungen, über Geldströme. Ein Schleier der Intransparenz ist solchen öffentlich-privaten Kooperation immer eigen. Der jüngsten Stellungnahme von eco zufolge wird es nun zwar keine eigenständige Neugründung zwischen BSI und eco geben, sondern eine wie auch immer gestaltete “rein privatwirtschafliche Initiative”. Weitere Details stehen jedoch noch aus.

Eine solche Konstruktion als “privatwirtschaftliche Initiative” schließt nicht aus, dass das BSI das Vorhaben finanziell oder anderweitig unterstützt, etwa indem es
wissenschaftliche Mitarbeiter und Ingenieure zur Problemanalyse und zum Aufbau weiterer Anti-Botnet-Dienste bereitstellt, dass Services wie Honeypot-Betrieb und Analyse, Einkauf und Auswertungen externer Informationsquellen durch das BSI erfolgen und an eco weitergeleitet werden. Der Betrieb der Hotline ist der politisch am wenigsten bedeutsame Aspekt an dieser BSI-eco-Kooperation. Interessanter und wichtiger sind Art und Umfang der gesammelten Daten und Kompetenzen für Maßnahmen, die Privatsphären oder Freiheitsrechte
von Anwendern betreffen.

Dass die Benachrichtigung der Anwender über Fehler auf mehreren Kanälen erfolgen soll und sogar auf dem rechtsgültigen Postwege, liest sich angesichts der marktüblichen Anwendersupport-Praktiken wie das Gegenstück zu einem kommenden AGB-Passus, in dem irgendeine Maßnahme angedroht wird, falls
der Anwender nicht dieses oder jenes binnen einer Frist erledigt. Zugegeben, es ist ein pragmatischer und vermutlich auch effektiver Ansatz, in Einklang mit den Empfehlungen des ökonomischen Internetregulierungsansatzes den Endpunkten die Verantwortung für ihr Tun auch monetär aufzubürden, um Malware-Schleudern aus dem Netz zu bekommen.

Fazit: Folgen für die Kommunikationsfreiheit?

Botnetze sind aufgrund der Kosten, die sie offenbar verursachen, durchaus ein ein Problem, dessen Behebung die Politik beobachten und gegebenenfalls fördern sollte. Die bisherigen Wege stoßen anscheinend an ihre Grenzen, andere Wege sind bei der Botnet-Bekämpfung erforderlich. Der Handlungskatalog von Anderson u.a. listet eine Reihe denkbarer Maßnahmen auf. Aber hinter dem unscheinbaren Begriff der Anreize stehen massive Eingriffsrechte durch ISPs in die Systeme der Anwender, die legitimiert werden sollen durch den großen Nutzen für die Allgemeinheit. So bestechend einfach es ist, das Problem der Botnets durch Ermächtigungen der ISPs zu bekämpfen – es bleibt die Frage, ob der Nutzen die Beschneidung individueller Freiheiten oder deren Bedrohung durch den Aufbau weitreichender Institutionen rechtfertigt.

Die allgemeine Interessenslage läßt allerdings vermuten, dass es auf mehr Rechte und Pflichten für ISPs hinausläuft. Die Softwarehersteller dürften dankbar sein,
wenn nicht sie für Unsicherheiten der Systeme haften müssen. Strafverfolgungsbehörden dürften den Zugriff auf die Daten der ISPs schätzen. Gewichtige politische Fraktionen wollen den Staat offenbar eine größere Rolle bei Regulierung und Betrieb des Kommunikationsraums Internet einräumen. Die
Content-Industrie würde gerne DPI-Boxen in die Rechenzentren der ISPs stellen, um dort umsatzfördernde Daten zu gewinnen. Der soziale Konservatismus wird die (aus seiner Sicht) Anomalie beseitigen wollen, keinen direkten Zugriff auf den Kommunikationsraum zu haben. Debatten um innere und äußere Sicherheit sehen
im Schutz des Internets ein gemeinsames Ziel. Eine gewichtige Allianz wächst da heran, die ISPs zu einem Gehilfen ihrer Interessen machen möchte.

Informatiker haben effektive Werkzeuge zur Botnet-Bekämpfung bereitgestellt, ökonomisch argumentierende Sozialwissenschaftler empfehlen eine ganze Reihe von bedenkenswerten Maßnahmen zur Erhöhung der Internetsicherheit. Was aber fehlt – zumal in Deutschland, wo es meines Wissens nicht einen Lehrstuhl für Internetpolitik oder Internet Governance gibt –, ist kreatives Nachdenken darüber, welches institutionelle Arrangement technische Internetsicherheit mit individueller Sicherheit vor Freiheitsbeschränkungen im Internet verbinden könnte. Es bleibt Aufgabe der netzpolitisch interessierten Öffentlichkeit, von Politik und Wirtschaft demokratische Prinzipien wie Transparenz, Überwachung der Überwacher und Sicherung von Freiheitsrechten in der Netzpolitik einzufordern.

Auch wenn der angedachten eco-BSI-Kooperation ein pragmatischer Ansatz zur Lösung des Botnet-Problems zugrunde liegt, würden eco und die Internetwirtschaft mit der im Raume stehenden Möglichkeit, Rechner vom Netz abzutrennen, zu Exekutivorganen nationaler Internetsicherheitspolitik werden. Ihnen würde die Macht zuteil, Rechner den Zugang zum Internet zu sperren und Kunden so die Teilhabe am öffentlichen Netzleben zu verwehren. Sie
müssten, um dieser Aufgabe nachzukommen, intern Prozeduren und Werkzeuge schaffen, mit denen die Netzabtrennungen effizient und effektiv durchgeführt werden können. Der technischen Sicherheit des Internets und geschäftlichen Transaktionen mag es dienlich sein, auf die Sicherheit der Kommunikationsfreiheit könnte es dagegen ein paar unerfreuliche Wirkungen haben.

Literatur

  • Anderson, R., Böhme, R., Clayton, R., & Moore, T. (2008). Security Economics and The Internal Market. European Network and Information Security Agency (ENISA).
  • Banday, M. T., Qadri, J. A., & Shah, N. A. (2009). Study of Botnets and Their Threats to Internet Security.
  • Bauer, J., van Eeten, M., & Chattopadhyay, T. (2008). Financial Aspects of Network Security: Malware and Spam. (Presentation, ITU-T Study Group 3 Geneva, Switzerland, 2 April 2008).
  • Hardin (1968). Tragedy of the Commons. Science, (162), 1243-1248.
  • Leder, F., & Werner, T. (2009). Know Your Enemy: Containing Conficker (The Honeynet Project)
  • Moore, T., Clayton, R., & Anderson, R. (2009). The Economics of Online Crime. Journal of Economic Perspectives, 23(3), 3-20.
  • Mueller, M. L. (2004). Ruling the Root: Internet Governance and the Taming of Cyberspace. The MIT Press.
  • van Eeten, M. J. G., de Bruijn, H., Kars, M., & van der Voort, H. (2006). The governance of cybersecurity: a framework for policy. International Journal of Critical Infrastructures, 2(4), 357-378.
  • van Eeten, M., & Bauer, J. (2008, July). ITU Study on the Financial Aspects of Network Security: Malware and Spam (ICT Applications and Cybersecurity Division, Policies and Strategies Department, ITU Telecommunication Development Sector)
Reposted by02mydafsoup-01lit
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl