Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 27 2014

February 25 2014

February 18 2014

February 13 2014

Debatte zum NSA-Untersuchungsausschuss heute im Bundestag: Kritische Punkte

Heute Nachmittag steht im Bundestag ein netzpolitisch spannendes Programm auf der Tagesordnung. Zuerst geht es um die Einsetzung des Ausschusses Internet und Digitale Agenda, danach wird über die Anträge zur Einsetzung des NSA-Untersuchungsausschusses debattiert. Der erste Punkt dürfte in Hinblick auf die Entscheidung wenige Überraschungen bringen, denn der Antrag kommt von allen vier Parteien gemeinsam. Beim NSA-Untersuchungsausschuss gibt es jedoch gesonderte Anträge, einen von Union und SPD und einen der Oppositionsparteien BÜNDNIS 90/DIE GRÜNEN und DIE LINKE.

Die inhaltlichen Unterschiede in den Anträgen beziehen sich nicht auf die Einsetzung des Ausschusses an sich, sondern auf die Themen, die der Ausschuss bearbeiten und aufklären soll. Die Setzung dieser Punkte entscheidet darüber, wie wirksam der Ausschuss sein kann und ob unliebsame Punkte eventuell umschifft werden könnten.

Schaut man sich den Abstimmungsentwurf der Regierungsseite an, fällt eine auffällige Aussparung der eigenen Geheimdienste auf. Die Fragen beziehen sich überwiegend explizit auf NSA und GCHQ. Indirekt ist der BND natürlich mit “staatliche Stellen des Bundes” referenziert, aber das schließt keine Vertreter oder externe Auftragnehmer mit ein. Das könnte bei manchen Fragen durchaus einen Unterschied machen, wie etwa dieser:

Waren deutsche staatliche Stellen des Bundes an der Entwicklung bzw. technischen Umsetzung derartiger Programme [Überwachungsprogramme] dieser ausländischen Dienste in irgendeiner Form beteiligt?

Es fällt zu großen Teilen unter den Tisch, welche Operationen der BND für sich selbst durchführt und welche Daten er von anderen entgegennimmt. Das legt auch die Auslassung von Abkommen deutscher Stellen mit Geheimdiensten anderer Staaten nahe, die nicht die USA oder Großbritannien sind, obwohl auch dort stellenweise eine enge Zusammenarbeit angenommen werden kann, beispielsweise Frankreich oder Schweden. Bei der Aufdeckung der Five und Nine-Eyes-Zusammenschlüsse wurde das bereits mehr als deutlich. Durch einen “Ring”-Tausch tauschen die Sicherheitsbehörden mehrerer verbündeter Länder in diesen Zirkeln Informationen untereinander aus, die sie selbst nicht aktiv ermitteln dürften. Es fällt auch vollkommen aus der Betrachtung, welche Daten der BND anderen, auch den USA und Großbritannien liefern könnte, da immer nur von Daten die Rede ist, die von NSA und GCHQ gesammelt werden.

Die Regierungsfraktion klammert in ihrem Entwurf ebenso die Kontrolle der eigenen Geheimdienste aus. Es soll lediglich geprüft werden, wie man verhindern könne, “dass nicht alles, was technisch möglich ist, auch zur Anwendung gelangt” und “dass Informationen, die aus der Erfassung von elektronischen Kommunikationsvorgängen oder deren Inhalten durch ausländische Nachrichtendienste stammen, an inländische, nicht zur Entgegennahme dieser Information berechtigte Behörden weitergegeben werden”. Von einer konkreten notwendigen Reform der Geheimdienstkontrolle ist keine Rede, und das obwohl diese bereits seit längerem als wirkungslos angemahnt wird, wie etwa vom Ex-Datenschutzbeautragten Peter Schaar.

Auch die Begriffswahl der Regierungsseite gibt an manchen Stellen Anlass zu Fragen: Als Aufklärungsgegenstand wird ” die massenhafte Erfassung von Daten über Kommunikationsvorgänge (einschließlich Meta- und Standortdaten) und deren Inhalte” genannt. Die Begriffe Metadaten und Standortdaten sind zwar in der medialen Diskussion immer wieder benutzt worden, sie sind aber nicht durch eine rechtliche Definition untermauert. Eine eindeutigere Benennung fände sich in §3 der Telekommunikationsgesetzes, wo nicht von Meta-, sondern von Verkehrsdaten die Rede ist. Solch eine Uneindeutigkeit könnte Auslegungsspielräume über die genaue Art der gesammelten Daten eröffnen.

Spannend wird überdies, welche Mitgliederzahl der Ausschuss wirklich haben wird. In dieser Frage besteht noch kein Konsens zwischen den zwei Antragsparteien. Die Regierungsfraktion plant, den Ausschuss mit nur acht Mitgliedern (und der gleichen Anzahl Stellvertreter) einzusetzen, das hätte aber zur Folge, dass die Opposition kein Quorum von 25% erreichen könnte. Minderheitsentscheidungen und damit ein wichtiges Handlungswerkzeug blieben ihr verwehrt.

In der Gesamtheit fällt auf, dass der Oppositionsantrag einen deutlichen Fokus auf die Faktenaufklärung legt, wohingegen CDU/CSU und SPD die rechtlich-theoretische Diskussion in den Mittelpunkt rücken. Etwa zu klären, welche Maßnahmen denn getroffen hätten werden müssen oder in Zukunft getroffen werden sollten, um Bürger, öffentliche Vertreter und Unternehmen vor unrechtmäßiger Überwachung durch britische und amerikanische Geheimdienste zu schützen. Besonders springt Frage I.3 ins Auge:

Welche im Untersuchungszeitraum geltenden Abkommen und Vereinbarungen mit den ehemaligen Westalliierten könnten eventuell als rechtliche Grundlage für derartige Maßnahmen [Überwachung] dienen?

Die designierte Suche nach solchen Rechtfertigungen klingt eher nach Relativierungsbemühungen denn nach ernsthaftem Aufklärungswillen. Die heutige Debatte wird daher ausschlaggebend für die Wirksamkeit des Ausschusses sein und die Möglichkeiten begründen, die der Opposition bleiben werden, um die Aufdeckung eventuell unliebsamer Fakten zu ermöglichen.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

February 10 2014

“Deny / Disrupt / Degrade / Deceive” – GCHQs Methoden werden immer schmutziger

Eine gutaussehende Agentin verführt eine Zielperson, um ihr Informationen zu entlocken oder sie in eine Falle zu leiten – das ist ein Muster, dass jedem passionierten James-Bond-Fan vertraut ist. Wie NBC News letztes Wochenende bekanntgab, wurde es auch von GCHQ eingesetzt. Die zuständige Einheit Joint Threat Research and Intelligence Group (JTRIG) ist die gleiche, die auch für die Angriffe auf Anonymous zuständig war, welche wenige Tage vorher ans Licht kamen. Wie jetzt klar wurde sind sie auch für eine ganze Reihe anderer Operationen verantwortlich, die in den Bereich “schmutzige Tricks” bei der Geheimdienstarbeit fallen.

Das Sammeln von Informationen durch Beeinflussung und Zerrütung  sowie technische Störungen werden als Einsatzzweck in der zugehörigen veröffentlichten Präsentation genannt. Sie werden “4Ds” genannt:

Deny / Disrupt / Degrade / Deceive

Die How-Tos lesen sich beinahe wie ein schlechter Witz, wenn man nicht wüsste, dass sie ernst gemeint sind. Ein Schritt bei “Honey Trap”-Operationen, bei denen die Zielperson klassischerweise verführt und damit in eine Falle gelockt wird, beinhaltet, das Opfer danach öffentlich bloßzustellen. Beispielsweise indem Fotos auf Onlineprofilen geändert werden. Dieser Punkt ist mit der Vortragsnotiz “Kann ‘Paranoia’ auf eine gänzlich neue Ebene heben” versehen.

Nicht nur Einzelpersonen, auch Firmen lassen sich mit ähnlichen Mitteln bekämpfen, indem man für die Zerstörung öffentlichen Ansehens und damit wichtiger Geschäftsbeziehungen und Finanzierungsquellen sorgt.

Das Versenden von Viren gehört ebenso zum Geschäft der JTRIG-Einheit. Hingewiesen wird auf den Virus AMBASSADORS RECEPTION, der sich selbst verschlüssele, alle E-Mails und Dateien auf einem Rechner lösche und jeglichen Login verhindere – den Präsentationsfolien zufolge “in vielen verschiedenen Bereichen eingesetzt und sehr effektiv.”

Wenngleich es keine offizielle Stellungnahme von GCHQ zu den Dokumenten gibt, sagte ein britischer Geheimdienstvertreter, die Folien würden zeigen, dass GCHQ den US-Spionen “ein wenig voraus” sei, was das offensive Vorgehen gegen Gegner angehe. Zusammen mit dem weiteren Verharren auf dem Standpunkt, man bewege sich vollständig im legalen und angemessenen Rahmen, ist das an Arroganz und Zynismus kaum zu überbieten.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

February 05 2014

GCHQ ging mit Donnergrollen gegen Anonymous vor (Update: Reaktion)

NBC News hat heute ein weiteres Dokument aus den Snowden-Leaks veröffentlicht, das zeigt wie eine eigens dafür eingerichtete Abteilung des GCHQ Anonymous attackierte. Zuvor war selbst die Existenz dieser zuständigen Abteilung unbekannt, die sich Joint Threat Research Intelligence Group (JTRIG) nennt.

Ziel der Einheit war es, die Kommunikation von Anonymous zu unterbrechen, die primär in IRC-Channels vonstatten ging. Dafür griffen die Geheimdienstler auf drei verschiedene Mittel zurück.

Ironischerweise auch mit einem, auf das das Kollektiv selbst gern zurückgriff – Denial-of-Service-Angriffen. Die PowerPoint-Folien, die 2012 auf einer geheimen Konferenz vorgestellt wurden, zeigen einen Chatausschnitt nach der Aktion namens “Rolling Thunder”, in dem ein Teilnehmer berichtet, sich die letzten 30 Stunden nicht verbunden haben zu können.

Ein weiteres Standbein der Unterwanderung von Anonymous war der Angriff von aktiven Einzelpersonen durch HUMINT – Human Intelligence. Es werden zwei Beispieloperationen demonstriert, mit den Nutzern GZero und und p0ke. Die Ziele wurden in einen Dialog verwickelt, bis konkrete Beweise für illegale Vorhaben vorlagen und sie anhand der Informationen, die über sie gesammelt wurden, identifiziert werden konnten. Der Erfolg im Fall GZero wird kurz zusammengefasst:

Anklage, Arrest, Verurteilung

Zuletzt griffen die Agenten noch auf “Information Operations” zurück. Die Slides sind in dieser Hinsicht redigiert, aber laut NBC News wurden dabei Mitglieder gezielt über Twitter, Mail, Instant Messenger oder Skype kontaktiert und mit folgendem Hinweis eingeschüchtert:

DDOS und Hacking sind illegal, bitte hör damit auf und lass es sein.

Die Zahlen, die GCHQ zum Erfolg dieser simplen Maßnahme liefert, sind überraschend hoch: 80% der Kontaktierten seien einen Monat später nicht mehr in den IRC-Channels aufgetaucht. Wie hoch die normale Fluktuation von eher losen Mitgliedern in den Channels ist, erfährt man an dieser Stelle leider nicht.

Am Ende wird auch noch betont, dass der “Schlüssel zum Erfolg” bei der Initiative gegen den Hacktivismus die Teamarbeit von SIGINT (Signal Intelligence), JTRIG, CDO (Cyber Defense Operations) und INOC (Internet Operations Centre) war.

Und ratet mal, was GCHQ in einer Stellungnahme gegenüber NBC zu der Sache sagt – Überraschung!

All unsere Arbeit verläuft in einem engem Rechtsrahmen, der sicherstellt, dass unsere Aktivitäten autorisiert, notwendig und verhältnismäßig sind und dass es eine strenge Aufsicht gibt, einschließlich Regierungschef, Interception und Intelligence Services Commissioner und dem parlamentarischen Geheimdienstkommittee.

Was dagegen wirklich überrascht ist der Aufwand, den GCHQ betreibt, um ein loses Kollektiv von Hackern zu zerschlagen, die zwar zum Teil in Augen von Regierungen und angegriffenen Konzernen lästig sein mögen, aber fern sind von einer terroristischen Vereinigung oder sonst herangezogenen Bedrohungen für die nationale Sicherheit. Da fragt man sich eines: Hat GCHQ zu viele Personal- und Geldmittel oder sind sie einfach nur, wie der frühere Cybersicherheitsberater unter George Bush meint, “dumm”, da sie Methoden gegen Hacker anwenden, die man sich für Staaten vorbehalten sollte. Aber genau genommen sind beide Teilfragen doch rhetorisch…

Update dank eines Hinweises in den Kommentaren: Anonymous News Germany bezeichnen die Aktion als Epic Fail und meinen, Anonymous sei  ”mit Wattebäuschen beworfen” worden, was niemanden wirklich gekümmert habe.

 

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

February 03 2014

Snowden-Leaks: Chaos Computer Club erstattet Strafanzeige gegen Bundesregierung

Heute hat der Chaos Computer Club zusammen mit digitalcourage e.V., der Internationalen Liga der Menschenrechte und weiteren Einzelpersonen Strafanzeige gegen die Bundesregierung sowie den Präsidenten vom BND, MAD und dem Bundesamt für Verfassungsschutz sowie deren Amtsvorgänger  erstattet. Im Interview mit dem WDR erklärt Constanze Kurz, was sich der CCC von der Anzeige erhofft:

Im besten Fall wird der Generalbundesanwalt Ermittlungen aufnehmen und belegen oder widerlegen können, dass gegen Gesetze verstoßen wurde, oder eben nicht. Dann geht es natürlich darum, dass vor allen Dingen auch Informationen ermittelt werden. Wir also ein Mehr an Informationen haben, weil bisher haben wir immer alles nur aus der Zeitung.

Da es bisher kaum Aufklärungswille durch die entsprechenden öffentlichen Akteure gegeben hat, vom Gerangel über Sinn und Aufgabe des Untersuchungsausschusses im Bundestag bis zum altbekannten Kleinreden der Affäre wäre die Aufnahme von Ermittlungen eine Premiere. Außerdem wird explizit in der Anzeige gefordert, Edward Snowden nicht nur als sachverständigen Zeugen anzuhören, sondern ihm darüber hinaus freies Geleit zu ermöglichen und ihm einen Schutz vor der Auslieferung in die USA zu garantieren.

Schon in der letzten Woche hatte der Europäische Gerichtshof für Menschenrechte einem Schnellverfahren aus dem Oktober vergangenen Jahres, welches der CCC zusammen mit den Bürgerrechtsorganisationen Big Brother Watch, Open Rights Group und PEN zu den Spionageaktivitäten des britischen Geheimdienst GCHQ angestrebt hatte, statt gegeben. Und auch in Amerika ergreifen Bürgerrechtsorganisationen den Rechtsweg gegen Geheimdienste. So hat eine breite Koalition von 22 Organisationen, repräsentiert durch die Electronic Frontier Foundation, Klage gegen die Telefonvorratsdatenspeicherung durch die NSA eingereicht, ähnlich wie es die American Civil Liberties Union gemacht hat.

Der CCC ruft außerdem dazu auf, selbst Strafanzeige zu stellen. Interessenten können sich dafür direkt an die Kläger wenden.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Die Zerstörung der Pressefreiheit gibt es jetzt als Video

Treffender könnte man es gar nicht verbildlichen: Menschen stehen in einem Keller, mit Winkelschleifern und Bohrmaschinen in den Händen, und zerstören Festplatten, CDs und andere Speichermedien, während Geheimdienstmitarbeiter ihnen dabei zusehen. Das zeigt Videomaterial von The Guardian, das dokumentiert, wie bei der “Vernichtung” aktueller geleakter Dokumente vorgegangen wurde, die am 20. Juli 2013 von GCHQ initiiert wurde. Die Vernichtung digitaler Daten durch Werkzeuge ist in Zeiten vernetzter und verteilter Speichermöglichkeiten skurril. Was aber dennoch bleibt ist die Symbolik des Akts der modernen Bücherverbrennung und gewaltsamen Beschneidung der freiheitlichen Berichterstattung. Und die tut beim Zusehen weh.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted bymondkroeteskizzo

January 28 2014

“Leave Traffic Here” – Wenn du nicht willst, dass die NSA es weiß, erzähl es auch nicht deinem App-Anbieter

Woran merkt man, dass die aktuellen Enthüllungen um NSA und GCHQ sich auf die jüngere Vergangenheit beziehen?

  1. Es hat mit Smartphones und Angry Birds zu tun.
  2. Die Präsentationen sehen nicht mehr ganz so grausam aus.

Aber zurück zu den Inhalten: In einem gemeinschaftlichen Bericht haben New York Times, The Guardian und ProPublica neue Dokumente aus dem Snowden-Fundus kommentiert. Die demonstrieren, wie Inhaltsdaten aus Smartphone-Apps NSA und GCHQ bei der Informationsbeschaffung dienen. Dass sich die Geheimdienste mittlerweile auf Smartphones konzentrieren, liegt nahe. In der GCHQ-Präsentation heißt es, man erwarte, dass 2015 90% des Internetverkehrs von Mobilgeräten stammen werde.

Ausgenutzt wird dabei die Tatsache, dass jede Menge existierender Apps eine Vielzahl an Informationen über den Nutzer und dessen Gerät sammeln, auch wenn diese nicht für den eigentlichen Bestimmungszweck notwendig wären. Wie im Beispiel der Taschenlampen-App, die fleißig Ortsinformationen übertrug, um sie danach gewinnbringend an Marketingfirmen weiterzuleiten.

Die Übertragung solcher Informationen ist im Regelfall nicht weiter geschützt, die Angaben laufen teilweise sogar im Klartext durch das Netz und es ist nur logisch, dass die Geheimdienste das ausnutzen. Oder wie es der Untertitel der NSA-Präsentation treffend sagt: “Identifizierung/Verarbeitung/Erledigung – Alles nichts Besonderes”

Neben statischen Angaben zu Geschlecht, Alter, sexueller Orientierung, die von manchen Apps gesendet werden, sind die Geheimdienste vor allem auch an übertragenen Ortsinformationen interessiert. So weist die NSA darauf hin, dass GPS-Daten von Android unverschlüsselt übertragen werden und sich aus Fotos, die ein Nutzer macht und auf eine Plattform hochlädt, durch Auslesen der EXIF-Informationen Zeit und Ort der Aufnahme extrahieren lassen: “Es liegt alles in den Metadaten, nicht in den hübschen Bildern.”

Weitere Angaben, an denen man interessiert ist, umfassen unter anderem Adressbücher, heruntergeladene Dokumente, unterstützte und eingesetzte Verschlüsselung, besuchte Websites und Telefoneinstellungen. Schon jetzt könne man die Ortsinformation über praktisch jedes Telefon ermitteln. Herausforderungen scheinen aber noch darin zu liegen, die Angaben automatisch so zu taggen, dass sie für Analysten nützlich sind.

Illustration aus der NSA-Präsentation

Illustration aus der NSA-Präsentation

Was diese Nachrichten uns Neues bringen, ist nicht, dass die NSA Informationen auf unseren Mobiltelefonen ausspäht, sondern dass es ihnen durch die Praxis der App-Entwickler und Anbieter mobiler Dienste unvorstellbar leicht gemacht wird. Niemand kann plausibel erklären, warum eine App wie AngryBirds wissen muss, ob der Nutzer verheiratet, geschieden oder Single ist. Daten, die nicht entstehen, können nicht abgegriffen werden. Und da liegt die Verantwortung nicht nur bei Politik und Gesetzgebung, der NSA das Schnüffeln zu verbieten, sondern auch bei den Entwicklern, Datensparsamkeit umzusetzen. Und bei jedem Einzelnen selbst, kurz innezuhalten, bevor er Informationen von sich preisgibt. Und zu überlegen, ob diese zur Erfüllung seines Ziels wirklich notwendig sind.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Squeaky Dolphin – Facebook, YouTube und Blogs im Visier des britischen Geheimdiensts

squeakydolphinDass der britische Geheimdienst GCHQ an verschiedenen Stellen der Erde auf den Internettraffic zugreift, indem er alle wichtigen Glasfaserkabel, an die er rankommt, anzapft, ist seit längerem bekannt. Glenn Greenwald hat für NBC News mit einigen Kollegen aufgeschrieben, was damit beispielsweise gemacht werden kann. Im Jahr 2012 sei den amerikanischen Überwachungs-Freunden ein Pilotprogramm vorgestellt worden, mit dem die Briten YouTube-Nutzung in Echtzeit überwachten und auch Dienste wie Facebook und Twitter ausforschten:

Called “Psychology A New Kind of SIGDEV” (Signals Development), the presentation includes a section that spells out “Broad real-time monitoring of online activity” of YouTube videos, URLs “liked” on Facebook, and Blogspot/Blogger visits. The monitoring program is called “Squeaky Dolphin.”


Mit diesem Programm sei man nicht an einzelnen Personen, sondern an Trends interessiert. So habe man einen Tag vor Protesten in Bahrain Trends bei YouTube, Facebook und in Blogposts beobachtet. Bei der Analyse hilft das Big-Data-Tool Splunk, das sich auch explizit an Regierungen wendet. Dass man aus den gesammelten Informationen keine Rückschlüsse auf einzelne Personen ziehen kann, dürfte unwahrscheinlich sein, wobei es dafür bekanntlich auch andere Programme gibt. Aber trotzdem gut zu wissen, dass die Five-Eyes-Geheimdienste vorher wissen, wenn irgendwo auf der Welt Proteste drohen. Freut einen vor allem, wenn die Geheimdienste des eigenen Landes mit diesen Diensten kooperieren und das auch noch vertiefen wollen, da macht die nächste Anti-Geheimdienst-Demo sicherlich doppelt Spaß.

Wie immer betont GCHQ, dass alles im Rahmen von Gesetzen passiert und nur ausländische Ziele beobachtet werden. Abgesehen davon, dass dann die Gesetze untauglich sind, sollte man sich das als Brite vielleicht mal genauer anschauen. In der Präsentation ist auch eine Folie enthalten, in der “Cricket Related Activities in London, England” ausgewertet werden und man sich Facebook-Likes von Artikeln reinzieht, die Liam Fox zum Thema haben, einen Abgeordneten des politischen Arms von GCHQ. Auf einer anderen Folie ist ein von einem Briten durchgeführter Turing-Test bei Twitter zu sehen (hier beschrieben, komischer Weise hat NBC News auch den Bot anonymisiert).

Der Artikel geht auch darauf ein, wie leicht es die Konzerne dem Geheimdienst gemacht haben:

Encryption would prevent simple collection of the data by an outside entity like the government. Google has not yet encrypted YouTube or Blogger. Facebook and Twitter have now fully encrypted all their data. Facebook confirmed to NBC News that while its “like” data was unencrypted, the company never gave it to the U.K. government and was unaware that GCHQ might have been siphoning the data.

In der Präsentation ist übrigens auch sehr viel hochklassige Psychologie enthalten. Unter anderem wurde an Hand eines Katzenbilds erklärt, dass es einen Unterschied zwischen extrovertierten und introvertierten Individuen gibt. Auf einer weiteren Folie wird Pilotenheld Chesley Sullenberger dem Costa-Concordia-Kapitän gegenübergestellt, vermutlich um verständlich zu machen, was der Begriff “Verlässlichkeit” bedeutet. Ausserdem werden Erkenntnisse zu unterschiedlichen Charaktereigenschaften von Nutzern verschiedener Browser vermittelt. Internet-Explorer-Nutzer sind demnach weniger offen für Neues als Nutzer von Chrome, Safari oder Firefox, dafür aber am liebenswertesten verträglichsten [Korr., siehe Diskussion]. Diese Folien sorgen definitiv für Beruhigung, wenn man sich bisher Sorgen machte, durchgeknallte Geheimdienste mit Monsterbudgets könnten mit den gesammelten Daten Quatsch machen und bei der Einschätzung von Personen zu willkürlichen Ergebnissen kommen.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 24 2014

Updates im Verfahren gegen GCHQ vor dem EGMR: Schnellverfahren!

Anfang Oktober hatten wir darüber berichtet, dass die britischen NGOs Open Rights Group, Big Brother Watch und PEN  zusammen mit Constanze Kurz, Sprecherin des CCC, Beschwerde am Europäischen Gerichtshof für Menschenrechte gegen den britischen Geheimdienst GCHQ eingelegt hatten. Grund war, wie nicht anders anzunehmen, die ausufernde Massenüberwachung von Bürgern. Britische Gerichte hatten die Beschwerde abgewiesen, doch der Europäische Gerichtshof für Menschenrechte will sich deren nun im Schnellverfahren annehmen – das gibt eine Pressemitteilung des CCC erfreulicherweise bekannt.

Das Gericht hat die britische Regierung aufgefordert, bis zum 2. Mai Stellung zu den Anschuldigungen zu nehmen und zu erklären, wie die Aktivitäten des GHCQ mit dem Recht auf Privatsphäre vereinbar sind, wie es in Artikel 8 der  Europäischen Konvention der Menschenrechte verankert ist.

(1) Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz.

(2) Eine Behörde darf in die Ausübung dieses Rechts nur eingreifen, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist für die nationale oder öffentliche Sicherheit, für das wirtschaftliche Wohl des Landes, zur Aufrechterhaltung der Ordnung, zur Verhütung von Straftaten, zum Schutz der Gesundheit oder der Moral oder zum Schutz der Rechte und Freiheiten anderer.

Die Beschwerdeführer gehen davon aus, dass der Gerichtshof die Praktiken als unvereinbar mit diesem Menschenrecht befinden wird und erkennt, dass Lücken in der Gesetzgebung vorhanden sind, die eine Einschränkung oder Kontrolle der Abhörung von Bürgern nicht ermöglichen. Daraus wird hoffentlich die Notwendigkeit neuer gesetzlicher Rahmenbedingungen ersichtlich, die auf Verhältnismäßigkeit, wirksamer öffentlicher und behördlicher Aufsicht und Informiertheit der Bürger fußen -  damit in Zukunft das Menschenrecht auf Privatsphäre auch in einer digitalisierten und hochvernetzten Welt durchgesetzt werden kann.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 16 2014

“SMS Text Messages – A Goldmine to Exploit”

Dass die NSA auf unseren Handys mitliest, weiß man. Heute wurden aber zusätzliche Dokumente veröffentlicht, die zeigen, wie die Geheimdienstbehörde SMS auswertet und welche Daten sie daraus analysieren kann. “Dishfire” ist diesmal der Name der Programms. Aus der zugehörigen Präsentation geht hervor, dass im April 2011 194 Millionen SMS dadurch abgefangen und ausgewertet wurden.

Zur Analyse dieser Datenmengen werden sowohl Metadaten als auch “Metacontent” genutzt, sprich: der Kommunikationsinhalt. Daraus lassen sich dann weitere Metainformationen ableiten, sogenannte “content derived metadata”. Für die Auswertung dieser Daten ist ein weiteres Programm, “Prefer”, zuständig. Das extrahiert aus Anrufhistorien Kontaktbeziehungen, ermittelt SIM-Kartenwechsel durch den Abgleich von IMSI und IMEI (dazu hatten wir hier Genaueres erklärt), findet durch Roaminginformationen Grenzübertritte heraus und extrahiert Reise- und Ortsinformationen aus SMS, die beispielsweise Flugpläne oder Routeninfos enthalten. Heikel sind dann noch Finanztransaktionen wie Handypayment, das sich in den letzten Jahren immer mehr verbreitet hat – und somit der NSA eine wichtige Quelle für Konto- und Kreditkartennummern sowie Geldtransfers bietet.

Aber nicht nur die NSA, sondern auch das befreundete GCHQ hat laut The Guardian Zugriff auf die SMS-Datenbank und freut sich, dadurch Zielpersonen zu ermitteln, die sie vorher noch gar nicht als Zielpersonen im Visier hatte. Das stellt einen Unterschied zu GCHQ-Programmen dar, die sich auf Informationen über Zielpersonen konzentrieren, wie eine Notiz von GCHQ klar macht:

Entgegen der meisten äquivalenten Programme von GCHQ enthält DISHFIRE eine Menge unselektierter SMS [...] DISHFIRE sammelt so ziemlich alles, was es kann, deshalb kann man SMS eines Selektors sehen, der gar keine Zielperson ist.

Auch wenn man ein bisschen müde ob der ständigen Neuenthüllungen  mit absurden Programmnamen ist – es wäre fast erstrebenswert, wenn diese Woche noch möglichst viele weitere davon an die Öffentlichkeit gebracht würden. Denn das könnte den Druck auf Obama steigern, der am Samstag seine Entscheidung über den zukünftigen Umgang mit den Geheimdienstberechtigungen verkünden wird. Und dass es da Gegenkräfte gibt, die – im besten Fall – alles so belassen wollen wie es ist, haben wir  anhand des Briefes der FISC-Richter gesehen, die einen großen Teil der Forderungen von Obamas Arbeitsgruppe zum Verhalten der Geheimdienste zurückgewiesen hatten.

 

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 08 2014

Die europäische Politik kann und muss was gegen Überwachung tun: Bericht nennt konkrete Schritte

Seit heute kann man endlich den Entwurf des Abschlussberichts der Untersuchung des Überwachungsskandal durch das Europäische Parlament einsehen. Das warten hat sich gelohnt: Das Dokument, für das der britische Parlamentarier Claude Moraes verantwortlich zeichnet, hat es in sich. (PDF gab’s zuerst bei statewatch.org; später auch beim Parlament selbst)

Moraes macht unter anderem deutlich, wie groß der Schaden ist, den die Geheimdienste auch in Bezug auf diverse Vertrauensverhältnisse angerichtet haben:

trust has been profoundly shaken: trust between the two transatlantic partners, trust among EU Member States, trust between citizens and their governments, trust in the respect of the rule of law, and trust in the security of IT services

Nun brauche man dringlichst einen gut durchdachten Plan, um den Schaden einzudämmen. Zumal allein der Kampf gegen Terrorismus, der als Grund für die umfassende Überwachung genannt werde, keine ausreichende Erklärung liefere. Politische Spionage und Wirtschaftsspionage seien da durchaus plausible weitere Motive. In dem sonst englischsprachigen Dokument ist übrigens auch ein deutscher Begriff enthalten: “präventive Rasterfahndung”. Der Sozialdemokrat Moraes verweist auf die Entscheidung des Bundesverfassungsgerichts aus dem Jahr 2006 und warnt vor dem Präventivstaat.

Die Handlungsempfehlungen klingen denn auch größtenteils vernünftig: Die Safe-Harbour-Vereinbarung und das SWIFT-Abkommen sollen ausgesetzt werden um klare politische Signale an die Vereinigten Staaten zu senden und der Schutz von Whistleblowern in Europa verbessert werden. Europäische Institutionen sollen sich ebenso wie die Mitgliedstaaten Gedanken über das Fehlen von unabhängigen IT-Diensten und Kryptographie-Fähigkeiten machen.

Streiten lässt sich darüber, ob die im Dokument aufgezeigten Wege im Hinblick auf die Kontrolle der Geheimdienste weitreichend genug wären. Forderungen nach Eindämmung der Dienste selbst fehlen. Stattdessen soll man sich mit den Tschwane-Prinzipien beschäftigen, die dann irgendwie für Transparenz sorgen, was von regulatorisch wirkenden Gremien später irgendwie sichergestellt werden soll. Andererseits dürfte in diesem Bereich jede Maßnahme eine positive Wirkung haben.

Lesenswerte Meinungen zum Text finden sich unter anderem auf spiegel.de, wo Konrad Lischka meint:

Der Entwurf ist ein Dokument politischer Handlungskraft. Er zeigt: Gegen die NSA-Attacken gibt es politische Mittel. Man braucht nur Regierungen, die diese Mittel nutzen.

Friedhelm Greis, golem.de:

Der Text lässt an Deutlichkeit kaum zu wünschen übrig. [...] Darin prangert Moraes die Existenz eines weitreichenden, komplexen und technisch sehr weit entwickelten Systems der USA und einiger EU-Länder zum Sammeln, Speichern und Analysieren von Kommunikations- und Standortdaten von Menschen in aller Welt an.

Morgen wird der Bericht zwischen 14:00 und 15:00 Uhr im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) vorgestellt und festgelegt, bis wann Abgeordnete Änderungsanträge einreichen können (Stream dann hier). Wer die bisherigen Sitzungen des Untersuchungsausschusses verfolgt hat, wird vermutlich eine Ahnung haben, welche Abgeordneten versuchen werden den Bericht noch zu torpedieren, bzw. zumindest zu verwässern. Besonders viel Spaß dürfte man beispielsweise mit den Beiträgen von Timothy Kirkhope von den britischen Konservativen haben. Es wird spannend sein zu sehen, was daraus wird.

Eins steht allerdings bereits fest: Die Arbeit des Untersuchungsausschusses hat sich gelohnt. Durch die öffentlichen Sitzungen ist es gelungen, Expertise einzuholen und einer interessierten Öffentlichkeit zugänglich zu machen. Einige Abgeordnete konnten durch Engagement und gut vorbereitete Nachfragen unseren Wissensstand erweitern, andere haben immer wieder für ungläubiges Staunen gesorgt. Mal schauen, ob sich die Fraktionen im Bundestag auf ein ähnlich sinnvolles Verfahren einigen können – nötig wäre es.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 07 2014

Widerstand gegen Überwachung in nie dagewesenem Ausmaß

Dieser Beitrag von Glyn Moody ist zuerst in unserem Buch “Überwachtes Netz” erschienen, das als eBook für 7,99 Euro und als gedrucktes Buch für 14,90 Euro zu kaufen ist.

UeberwachtesNetz-square_5112pxObwohl ich als Jounalist bereits seit 20 Jahren über das Internet berichte und als Brite in etwa genauso lange unter Beobachtung der starren Augen von Überwachungskameras gelebt habe, bin ich dennoch überrascht von Edward Snowdens Enthüllungen. Ich hatte schon immer eine sehr zynische Sicht auf Regierungen und ihre Machtinstrumente, wie Polizei und Geheimdienste. Ich habe immer versucht, vom Schlimmsten auszugehen was Überwachung und Angriffe auf meine Privatsphäre anbelangt. Aber ich habe nie geahnt, dass die Regierungen der USA und Großbritanniens mit der Unterstützung anderer Länder zu einer derart totalen und globalen Überwachung fähig wären, wie sie aus den Dokumenten, die Snowden an die Öffentlichkeit gebracht hat, hervorgeht.

Ich glaube, damit stehe ich nicht allein. Manche behaupten nun, dieses Ausmaß der Überwachung sei “offensichtlich” gewesen und der Industrie “wohl bekannt”, aber diesen Eindruck teile ich nicht. Wenn man von den gleichermaßen schockierten und empörten Kommentaren ausgeht, sieht man, dass Bürgerrechtler und Computerexperten – vor allem im Security-Bereich – sich auch niemals vorgestellt hätten, dass die Dinge so schlimm aussehen. Dies führt uns zur naheliegenden Frage: Wie konnte das nur passieren?

In Zusammenhang mit der Empörung aus Kreisen derer, die sich mit solchen Angelegenheiten beschäftigen, gibt es etwas anderes, was der Erklärung bedarf: Das weitestgehende Ausbleiben einer Empörung in der normalen Bevölkerung. Natürlich versteht man in manchen Ländern besser als in anderen die Auswirkungen dessen, was Snowden enthüllt hat (manche – vor allem Großbritannien – sind sogar noch schlimmer). Aber angesichts des Ausmaßes und der Kompromisslosigkeit der Ausspähung unserer Onlineaktivitäten fiel die weltweite Resonanz seltsam verhalten aus. Wir müssen verstehen warum, denn sonst wird es noch schwieriger, zumindest einen Teil dieser Unverhältnismäßigkeiten zurückzufahren.

Die finale Frage, über die dringend nachgedacht werden muss, ist: Was kann man eigentlich tun? Wenn sogar in Ländern wie Deutschland, die normalerweise sehr sensibel auf Angelegenheiten der Privatsphäre reagieren, die öffentliche Resonanz verhältnismäßig gering ausfällt – was sind dann die Alternativen zu einer stärkeren Regierungskontrolle, die in nächster Zeit nicht erwartet werden kann?

Mitte der 90er Jahre bestand eine utopistische Naivität über den Nutzen des Internet. Seit einiger Zeit ist aber klar, dass das Internet auch seine Schattenseiten hat und benutzt werden kann, um Menschen nicht mehr, sondern weniger frei zu machen. Das hat dazu veranlasst, sich von einem komplett offenen Netz weg zu bewegen, in dem alle Informationen unverschlüsselt gesendet werden, hin zu einem, in dem Verbindungen mit HTTPS verschlüsselt werden, um persönliche Informationen vor neugierigen Augen zu schützen. Es ist bemerkenswert, dass der Druck, immer HTTPS zu benutzen, erst in den letzten Jahren angewachsen ist.

Das ist vielleicht auch ein Hinweis darauf, wie die momentane Totalüberwachung zustande kam. Denn obwohl viele wussten, dass unverschlüsselte Daten abgehört werden können, herrschte das generelle Gefühl, es sei nicht möglich, die interessanten Daten herauszufiltern – angesichts der riesigen und immer weiter wachsenden Menge an Daten, die jeden Tag durch digitale Rohre fließen und das Internet darstellen.

Aber es wurde ein entscheidender Faktor übersehen: Moores Law und seine Entsprechungen für Speicherung und Verbindungskapazität. Grob zusammengefasst sagt es, dass die Kosten für Rechenleistung sich in etwa alle 18 Monate halbieren. Umgekehrt heißt das, bei konstanten Ausgaben verdoppelt sich die verfügbare Rechenleistung alle anderthalb Jahre. Und man muss sich in Erinnerung rufen, dass dies ein geometrisches Wachstum darstellt: Moores Law besagt, dass nach 10 Jahren die Rechenleistung sich bei gleichbleibenden Kosten um den Faktor 25 erhöht.

Nun nimmt man noch hinzu, dass die Geheimdienste in ihren Ausgaben für die neueste und schnellste Ausrüstung kaum beschränkt sind, denn es kann immer argumentiert werden, dass die zusätzliche Leistung wesentlich ist, um Informationen zu bekommen, die Leben retten könnten, und so weiter. Eine der ersten und außergewöhnlichsten Enthüllungen Snowdens, die der Guardian an die Öffentlichkeit brachte, gab einen Einblick, wie diese zusätzliche und ständig anwachsende Rechenleistung im sogenannten Tempora-Programm genutzt wird:

Im Sommer 2011 hat GCHQ mehr als 200 Internet-Knotenpunkte angezapft, die jeweils Daten mit der Geschwindigkeit von 10 Gigabit pro Sekunde übertrugen. “Das ist eine massive Menge an Daten!” hieß es in einer internen Präsentation. In diesem Sommer wurden NSA-Analysten im Bude-Verfahren vor Gericht gestellt. Im Herbst 2011 startete GCHQ zusammen mit den USA Tempora als Mainstream-Programm

Das Anzapfen der transatlantischen Kabel erschloss GCHQ Zugriff zu speziellen Quellen. Es erlaubte der Regierungsbehörde, Internetpuffer einzurichten, um Daten nicht nur live beobachten zu können, sondern sie auch zu speichern – Inhaltsdaten für drei Tage und Metadaten für 30 Tage.

Das deutet darauf hin, dass Großbritanniens GCHQ Daten mit der Geschwindigkeit von 2 Terrabit pro Sekunde abgriff: heute ist das sicherlich noch viel mehr. Dank Massenspeicherkapazitäten könnte GCHQ den kompletten Internetverkehr von drei Tagen speichern, sowie Metadaten von 30 Tagen.

Es gibt einen einfachen Grund, warum GCHQ so etwas tut: Sie haben gemerkt, dass es nicht nur technisch, bedingt durch Moores Law, sondern auch rechtlich machbar ist. Die britische Rechtsvorschrift, die solche Aktivitäten überwacht – der Regulation of Investigatory Powers Act (RIPA) – wurde 2000 verabschiedet und auf Basis von Erfahrungen der späten 90er Jahre verfasst. Er war dazu bestimmt, das einmalige Abhören von Einzelpersonen zu regeln und behandelt primär die Überwachung von Telefonen und dem Postsystem. Mit anderen Worten wurde er für eine analoge Welt entworfen. Das Ausmaß und die Möglichkeiten digitaler Überwachung sind heutzutage derart weit fortgeschritten, dass der gesetzliche Rahmen von RIPA – trotz seiner Befugnisse – obsolet ist. Im Wesentlichen ist GHCQ also fähig, ohne gesetzliche oder technische Beschränkungen zu operieren.

Der stufenweise, aber unaufhaltsame Wechsel von stückweisem, kleinformatigen Abhören analoger Verbindungen hin zur Totalüberwachung könnte auch helfen, die Gleichgültigkeit der Öffentlichkeit gegenüber den Enthüllungen zu verstehen. Auch über die oberflächliche Idee hinaus, dass derjenige, der nichts zu verbergen hat, auch nichts befürchten muss – jeder hat etwas zu verbergen und seien es bloß die privaten Momente in seinem Leben – gibt es eine andere gebräuchliche Erklärung, warum die Menschen nicht besonders besorgt über die Aktivitäten von NSA und GCHQ sind. Nämlich, dass “niemand sich dafür interessiert”, was sie tun. Daher sind sie zuversichtlich, dass sie durch das Speichern und Analysieren von Internetdaten nichts zu befürchten haben.

Das ist auch in einer grundlegend analogen Sicht auf die Dinge begründet. Natürlich haben diese Menschen Recht, dass kein Spion an einer Tastatur sitzt und ihre E-Mails oder Facebook-Nachrichten liest. Das ist natürlich nicht möglich, selbst wenn es gewollt wäre. Aber das ist auch gar nicht notwendig, denn Daten können von ermüdungsfreien Programmen “gelesen” werden, die dank Moores Law zentrale Informationen mit wachsender Geschwindigkeit und schwindenden Kosten extrahieren.

Die Menschen sind demgegenüber sorglos, denn die meisten können sich gar nicht vorstellen, was die heutigen Supercomputer mit ihren Daten tun können, und denken wieder in analogen Bildern – ein Spion der sich langsam durch einen riesigen Sumpf voller Informationen kämpft. Und das ist auch verständlich, denn selbst Computerexperten haben Schwierigkeiten, mit der Geschwindigkeit der Entwicklungen mitzuhalten und die Auswirkungen abzuschätzen.

Ein Post auf dem Blog von Google Search aus dem letzten Jahr kann helfen, einen Eindruck zu bekommen, wie mächtig heutige Systeme sind:

Wenn Du eine einzige Anfrage in die Google-Suchmaske eingibst oder sie bloß in Dein Telefon sprichst, setzt Du so viel Rechenleistung in Gang wie es brauchte, um Neil Armstrong und elf andere Astronauten zum Mond zu schicken. Nicht nur für den eigentlichen Flug, sondern auch für all die Berechnungen während der Planung und Durchführung des elfjährigen Apollo-Programms mit 17 Missionen.

Fügt man jetzt hinzu, dass täglich drei Milliarden Suchanfragen an Google verschickt werden und dass die Rechenkapazität der NSA wahrscheinlich noch wesentlich größer ist als die von Google, bekommt man einen Eindruck der geballten Leistung, die für die Analyse der “trivialen” Daten verfügbar ist, die über uns alle gesammelt werden und wie das zu sehr nicht-trivialen Rückschlüssen über intimste Teile unseres Lebens verhelfen kann.

In Bezug darauf, wie viel Information gespeichert werden kann, schätzt William Binney, früherer technischer Direktor der NSA, dass ein Datencenter, das im Moment in Utah gebaut wird, in der Lage sein wird, fünf Zettabyte Daten verarbeiten und speichern zu können. Wenn man das auf Papier ausdrucken und in klassischen Aktenschränken aufbewahren würde, bräuchte man etwa 42 Millionen Millionen Schränke, die 17 Millionen Quadratkilometer Grundfläche einnehmen würden.

Weder Rechenleistung noch die umfassende Speicherung persönlicher Daten allein bedrohen unsere Privatsphäre und Freiheit direkt. Doch wenn man sie zusammenbringt, kann die NSA nicht nur mehr oder weniger unmittelbar alle möglichen Informationen in 42 Millionen virtuellen Aktenschränken finden, sondern auch alle Wörter und alle Seiten in allen Schränken miteinander in Verbindung bringen – das kann man sich für einen Menschen nicht einmal ansatzweise vorstellen.

Es ist diese beispiellose Fähigkeit, all diese Daten über uns zusammenzutragen und mit den Daten unserer Familie, Freunden und Bekannten, und deren Familie, Freunden und Bekannten (und manchmal sogar deren Bekannten der Bekannten unserer Bekannten) zu kombinieren, die das Ausmaß des Wissens ausmacht, das die NSA jederzeit zur Verfügung hat. Für die meisten von uns ist es unwahrscheinlich, dass dieses Wissen jemals abgerufen wird. Aber es bedarf bloß einer winzigen Auffälligkeit irgendwo tief in der Kette unserer Bekanntschaften, um eine Verbindung herzustellen und all unsere unschuldigen Datensätze zu beflecken. Das führt dazu, dass sie auf einem riesigen Stapel an Daten landen, der in einer unvorstellbar tiefgreifenden Art und Weise querverwiesen, durchsucht und auf der Suche nach typischen Mustern analysiert wird.

Wenn man dieses nachvollziehbare, aber bedauerliche Unverständnis eines Teils der Öffentlichkeit betrachtet, was die außergewöhnlichen Fähigkeiten der NSA angeht und das, was diese an Ergebnissen extrahieren kann, kommt man zu einer Schlüsselfrage: Was können wir tun, um unsere Privatsphäre zu stärken? Bis vor wenigen Wochen hätten die meisten, die auf diesem Gebiet arbeiten, gesagt: “Alles verschlüsseln.” Aber die aktuellen Enthüllungen darüber, dass NSA und GCHQ es geschafft haben, praktisch jedes weit verbreitete Verschlüsselungssystem zu unterlaufen, scheint auch diese letzte Hoffnung zu zerstören.

Oder vielleicht auch nicht. Es herrscht annähernd Einigkeit unter den Kryptographie-Experten, dass das theoretische Fundament der Verschlüsselung – seine mathematischen Grundlagen – unberührt bleibt. Das Problem liegt in der Implementierung und in dem Zusammenhang, in dem Kryptographie eingesetzt wird. Edward Snowden weiß wahrscheinlich besser als die meisten anderen, wie die Situation wirklich aussieht. Er hat es so ausgedrückt:

Verschlüsselung funktioniert. Richtig umgesetzt sind starke Kryptosysteme eines der wenigen Dinge, auf die man sich verlassen kann. Leider ist Endpoint-Security so furchtbar schwach, dass die NSA ständig Wege findet, sie zu umgehen.

Das ist ein extrem wichtiger Hinweis, was wir tun müssen. Es sagt uns, dass an Kryptographie an sich nichts falsch ist, nur an den korrumpierten Implementierungen von sonst starken Verschlüsselungstechniken. Das wurde durch kürzliche Leaks bestätigt, die zeigen, dass Softwarefirmen daran mitarbeiten, die angeblich sichere Software, die sie verkaufen, zu schwächen – das ist ein grundlegender Betrug des Vertrauen, das Kunden ihnen entgegenbringen.

Die guten Neuigkeiten sind, dass wir eine Alternative haben. In den letzten Jahrzehnten ist mit freier Software und offenem Quelltext ein ganzes Software-Ökosystem entstanden, das sich der Kontrolle traditioneller Computerindustrie entzieht. Das macht eine Unterwanderung durch die NSA wesentlich schwieriger, da der Quellcode offen entwickelt wird. Das ermöglicht es jedem, den Code durchzusehen und nach Backdoors zu suchen — geheime Wege, um zu spionieren und Software zu kontrollieren.

Das heißt nicht, dass freie Software komplett immun gegenüber Sicherheitsproblemen ist. Viele Open Source Produkte stammen von Firmen und es ist vorstellbar, dass auf manche Druck ausgeübt wurde, ihre Teile ihrer Arbeit zu schwächen. Freie Software kann unterwandert werden, wenn sie von dem Quellcode, der sich leicht auf Backdoors überprüfen lässt, in Binärprogramme übersetzt werden, die dann tatsächlich auf dem Computer ausgeführt werden und für die das nicht mehr möglich ist. Es gibt auch die Möglichkeit, in Downloadverzeichnisse von quelloffener Software einzubrechen und diese auf subtile Art und Weise durch gefälschte zu ersetzen.

Trotz dieser Probleme ist Open Source immer noch die größte Hoffnung, die wir haben, wenn es um starke Verschlüsselung geht. Aber in Folge der Snowden-Enthüllungen muss die Free Software Community zusätzliche Vorsicht walten lassen, um das Risiko zu minimieren, dass Code anfällig gegenüber Angriffen und Subversion durch Spionageeinrichtungen ist.

Über solche Maßnahmen hinaus sollte die Open Source Welt auch anfangen, eine neue Generation von Anwendungen zu schreiben, die starke Kryptographie beinhalten. Solche existieren schon, aber sie sind oftmals schwer zu bedienen. Es bleibt mehr zu tun, um sie für einen durchschnittlichen Nutzer brauchbar zu machen: Er mag sich zwar nicht für die Möglichkeit interessieren, dass NSA und GCHQ seine Onlineaktivitäten überwachen, aber wenn es ein Angebot an guten Werkzeugen gibt, die es einfach machen, solchen Bemühungen vorzubeugen, könnte es sein, dass viele Menschen sie benutzen. Genauso wie viele zum Firefox-Browser gewechselt sind — nicht weil er offene Standards unterstützt, sondern weil er besser ist.

Es gibt keinen Grund, hoffnungslos zu sein, auch wenn das Ausmaß der Spionage, das Snowden enthüllt hat, einem den Atem verschlägt und die Leaks über die tiefgreifende und absichtliche Zerstörung der kompletten Vertrauens- und Sicherheitssysteme des Internets schockierend sind. Selbst angesichts der weitgehenden Ignoranz in der Öffentlichkeit und der Gleichgültigkeit gegenüber der Gefahr, die Totalüberwachung für die Demokratie darstellt, können wir, soweit wir wissen, immer noch starke Verschlüsselung in quelloffener Software benutzen, um unsere Privatsphäre zu schützen.

Das könnte in der Tat eine Möglichkeit für Open Source sein, von einem größeren Publikum angenommen zu werden. Denn wir wissen nun, dass kommerzieller Software nicht mehr vertraut werden kann und sie effektiv Spyware ist, für die man bezahlen muss. Und so wie Moores Law der NSA und GCHQ erlaubt, immer größere Mengen unserer Daten abzugreifen und zu analysieren, kann auch freie Software davon profitieren.

Indem Moores Law weiterhin den Preis für Computergeräte senkt – seien es PCs, Smartphones oder Tablets – sind mehr Menschen in Entwicklungsländern auf der ganzen Welt in der Lage, sich diese zu leisten. Viele von ihnen werden freie Software benutzen, denn westliche Softwarefirmen verlangen oftmals übertrieben hohe Preise für ihre Produkte, wenn man sie mit dem lokalen verfügbaren Einkommen vergleicht.

Dadurch, dass Open Source sich weiter verbreitet, wird auch die Anzahl derer wachsen, die gewillt und fähig sind, etwas beizutragen. Die Software wird sich verbessern und mehr Menschen werden sie benutzen. Mit anderen Worten, es gibt einen selbstverstärkenden Kreislauf, der sich selbst nährt. Dieser wird dabei helfen, den sich immer erweiternden Überwachungsaktivitäten von NSA und GCHQ entgegenzuwirken. Genauso wie Computer Werkzeuge von Repression sein können, können sie auch Werkzeuge des Widerstands sein, wenn sie mit freier Software betrieben werden, die ihren Namen nicht umsonst trägt.

Dieser Text wurde von der Redaktion ins Deutsche übersetzt.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 06 2014

Auswärtiges Amt: Bundesregierung darf US-amerikanische Militäreinrichtungen “ohne vorherige Anmeldung” inspizieren [Update]

Foto: Joachim Müller, Creative Commons CC-BY-SA

Foto: Joachim Müller, Creative Commons CC-BY-SA

Bislang zeigte sich die Bundesregierung in der Aufklärung der digitalen Spionage von NSA und GCHQ in Deutschland wenig schwungvoll. Zwar existiert ein entsprechender “Beobachtungsvorgang” der Bundesanwaltschaft, dieser soll aber zahnlos bleiben: Wie zur mutmasslichen Steuerung von US-Drohnen über Anlagen in Deutschland wollte die frühere Bundesjustizministerin keine Anweisung an den Generalbundesanwalt Harald Range richten, ein Ermittlungsverfahren einzuleiten. Es gebe keinen hinreichenden Anfangsverdacht für das Vorliegen einer Straftat. Ob ihr Nachfolger die Praxis beibehält, ist offen. So kann kein Rechtshilfeersuchen gestellt werden, um etwa Edward Snowden als Zeugen in Moskau zu vernehmen.

Bislang galt der Sprech, die Bundesregierung nehme die Spionagevorwürfe “sehr ernst”. Man sei dazu “in Gesprächen” mit der US-Regierung, habe aber “teilweise erkennen können, dass etliche Vorwürfe, die von Herrn Snowden in den Raum gestellt wurden, nicht mit Substanz anzureichern sind”. Gleichfalls wurde betont, es handele sich höchstens um Einzelfälle:

Die Aktivitäten der Nachrichtendienste der verbündeten Staaten unterlagen bislang keiner systematischen, sondern ausschließlich einer anlassbezogenen Beobachtung bzw. Bearbeitung in begründeten Einzelfällen. Wenn sich Anhaltspunkte für eine Spionagetätigkeit befreundeter Staaten ergeben, gehen die Verfassungsschutzbehörden diesen mit den zur Verfügung stehenden Mitteln nach.

Zu den wenigen Nachforschungen gehörten etwa Überflüge von diplomatischen Einrichtungen der USA und Großbritanniens mit Helikoptern, um verdächtige Aufbauten auf Dächern zu finden die zur Spionage geeignet wären. US-amerikanische Militäreinrichtungen, die im Rahmen des sogenannten Nato-Truppenstatuts beispielsweise in Bayern und Baden-Württemberg angesiedelt sind, waren aber von den Kontrollen aus der Luft ausgenommen. Im Gegenteil hieß es stets, die Bundesregierung würde sich auf Zusagen der US-Regierung verlassen, sich an deutsches Recht und Gesetz zu halten.

Nun meldet die Mitteldeutsche Zeitung unter Berufung auf eine Anfrage des Bundestagsabgeordneten Jan Korte, deutsche Behörden hätten das Recht, militärische Liegenschaften der USA zu inspizieren. Hierzu sei maßgeblich, dass dies “zur Wahrnehmung der deutschen Belange” für “erforderlich” gehalten wird. Dazu antwortete demnach das Auswärtige Amt:

Die Überprüfung der Einhaltung deutschen Rechts durch amerikanische Militäreinrichtungen in Deutschland gehört zur Wahrnehmung deutscher Belange.

Ein Zusatzprotokoll zu Artikel 53 des Nato-Truppenstatuts könnte demnach zur rechtlichen Begründung herangezogen werden. Dort heißt es, dass “in Eilfällen und bei Gefahr im Verzug” ausländische Truppen “auch den sofortigen Zutritt ohne vorherige Anmeldung gewähren” müssten. Eine Begleitung deutscher Kontrolleure durch amerikanische Behördenvertreter sei laut der Mitteldeutschen Zeitung zwar möglich, aber nicht zwingend.

Also könnte die Bundesregierung sofort nachsehen, inwiefern der Dagger-Komplex in Darmstadt oder ein vermutlich neues Abhörzentrum in Wiesbaden zur digitalen Spionage dient. Sollte es tatsächlich zu einem Untersuchungsausschuss des Bundestages kommen, wäre diese Art der Informationsbeschaffung unausweichlich. Ob die Abgeordneten aber selbst das Recht haben, die Anlagen zu inspizieren, erklärt das Auswärtige Amt nicht.

Wie notwendig und dringend der Untersuchungsausschuss ist, zeigt die Antwort auf eine andere Kleine Anfrage vom Dezember – denn munter werden weiter Daten mit der NSA getauscht:

Die in der Frage angesprochene Presseberichterstattung hat keinen Anlass gegeben, die sich im Gesetzesrahmen vollziehende Zusammenarbeit mit ausländischen Nachrichtendiensten einzustellen. Die Zusammenarbeit dient insbesondere auch dem Schutz Deutscher vor terroristischen Anschlägen und trägt dazu wesentlich bei.

Update: Die Antwort ist nun auch online verfügbar. Den wichtigsten Absatz hat die Mitteldeutsche Zeitung aber verschwiegen, wohl wegen des sonst abflachenden Erregungskorridors:

Bei jedem Zutritt sind die Erfordernisse der militärischen Sicherheit zu berücksichtigen, insbesondere die Unverletzlichkeit von Räumen und von Schriftstücken, die der Geheimhaltung unterliegen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 02 2014

Der Überwachungskatalog der NSA

Seit dem 30c3-Talk “To Protect and Infect” von Jacob Applebaum und der Veröffentlichung des Katalogs der NSA durch den Spiegel sind wir mit einer neuen Stufe der Überwachung konfrontiert. Wenn wir früher gesagt haben, die NSA liest jeden Brief mit, muss es nun lauten: Die NSA legt in jeden Brief (mindestens) eine Wanze. Der Katalog der bis dato nicht bekannten NSA-Abteilung ANT ließt sich wie ein Wunschzettel für Geheimagenten:

NSA-Arsenal-3

Problemloses Überwachen von Räumen

Der NSA steht eine Auswahl spezifischer Hardware-Implantate zur Verfügung, um geschlossene Räume diskret aus der Entfernung zu überwachen Raumgeräusche und Stimmen (LOUDAUTO, 30$), Monitorsignale (RAGEMASTER, 30$) oder Tastaturabschläge (SURLYSPAWN, 30$) werden aufgenommen und von den Implantaten als analoge Signale wieder ausgesendet. Um diese Signale auszuwerten, benutzte die NSA bis 2008 noch durchweg den Radarsender CTX4000 (Kosten unbekannt), welcher nun durch das NSA/GCHQ-Gemeinschaftsprojekt PHOTOANGELO (40.000$) eingemottet und ersetzt wurde. Über diesen Sender können die Signale dieser ANGRYNEIGHBOUR-Wanzen im Frequenzbereich zwischen 1 bis 4 GHz abgestrahlt, und ihre Aufnahmen aus sicherer Entfernung über das zurück geworfene Radarsignal rekonstruiert werden. Laut den internen NSA-Dokumenten wissen wir, dass diese Wanzen unter anderem bei der Bespitzelung der Vertretung der Europäischen Union in Washington eingesetzt wurden. 

Mobiltelefonie

Weiterhin gibt es Implantate für Mobiltelefone. SIM-Karten können zum Beispiel mit den Software-Implantaten GOPHERSET (0$) und MONKEYCALENDER (0$) Über ersteres ist ein freier Zugriff auf das Telefonbuch, vorhandene SMSe und das Anrufprotokoll möglich, über zweiteres kann das Mobiltelefon unbemerkt Standortdaten verschicken. Ferner kann die NSA auch mit konkreten Handytypen als Ziel arbeiten: Die Standortdaten und weitere User-Informationen im Satellitentelefon Thuraya 2520 werden beispielsweise über das Windows-Implantat TOTECHASER (?$) auslesbar. Geräte von Windows (TOTEGHOSTLY 2.0, 0$) und Apple (DROPOUTJEEP, 0$) können über entsprechende Implantate komplett ferngesteuert werden. Gerade auf die Erfolgsquote (100%) bei Apple-Produkten ist die NSA stolz. Der ungehinderte Zugriff auf SMSe, Kontaktlisten, GPS, das Mikrophon oder die Kamera wird nur dadurch gekrönt, dass aus der Entfernung heraus frei Dateien auf das Telefon aufgespielt oder heruntergenommen werden können.

Und wem das eigene Handy noch nicht Tracking-Device genug ist, kann auch ein eigenes NSA-Phone unter dem Label PICASSO (2000$) ordern. Hier fanden sich 2008 insgesamt vier Handytypen (Das Eastcom Modell 760+ sowie die drei Samsung-Modelle E600, X450 und C140) zur Weitergabe an Informaten und ermöglichten die Komplettüberwachung der Besitzer und ihres Umfeldes, räumlich wie visuell, über GSM-Netze. Es ist anzunehmen, dass sich das Repertoire der NSA in den letzten 6 Jahren nicht verkleinert hat.

Telefon-”Stolperdrähte” und falsche Funkzellen

Ferner benötigt die NSA nicht einmal direkten Zugriff auf Handys. Im Katalog findet sich ein ganzes Sammelsurium an Geräten, die sich als Funkantennen tarnen können. CANDYGRAM (40.000$), der “Telefon-Stolperdraht”, sendet automatisch stille SMS an Handys von Zielpersonen in seiner Reichweite und leitet die daraus gewonnene Standortdaten sofort an die Kommandozentrale weiter. Für das Abhören von Mobiltelefonen gibt es auch für alle Frequenzbereiche Funkzellensimulatoren wie das CYCLONE HX9 (70.000$, 900 MHz), EBSR (40.000$, 900/1800/1900 MhZ), TYPHON HX (?$, 850/900/1800/1900 MHz) oder NEBULA (900/2100 MHz). In kleineren Maßstäben ermöglichen Geräte wie WATERWITCH (?$) die direkte Lokalisierung von Zielpersonen “auf der letzten Meile” oder GENESIS (15.000$) die Überwachung des lokalen Frequenzspektrums.

Fernbedienungen für Computer

Für die direkte Überwachung und Steuerung von Computern hat die NSA auch eine größere Auswahl an Tools und Implantaten zur Verfügung. Dabei werden Programme wie SWAP (0$) direkt in die BIOS implementiert und laden jedes Mal beim Start, bevor das eigentliche Betriebssystem hochfährt, NSA-Software nach. IRATEMONK (0$) ersetzt dagegen den Master Boot Record (MBR) und über SOMBERKNAVE (50.000$) werden nicht verwendete WLAN-Schnittstellen verwendet um direkt beim Remote Operations Center der NSA anzuklopfen und den Computer komplett unter deren Regie zu stellen. Und mit NIGHTSTAND kann aus bis zu 12,8 Kilometern Entfernung ein W-LAN Netz infiltriert und angeschlossene Computer mit Schadsoftware infiziert werden. NIGHTSTAND wird Jacob Applebaum zufolge auch schon in Drohnen verbaut.

Server und Firewalls


NSA-Arsenal-2
Ähnlich sind Server und Firewalls durch die NSA kompromittiert worden. Für HP (IRONCHEF, 0$) und Dell-Server (DEITYBOUNCE, 0$, GODSURGE 500$ für Kauf und Installation) gibt es jeweils BIOS- bzw. Hardware-Implantate, die der NSA einen Direktzugriff auf die Server ermöglichen, in den Hardware-Firewalls von Cisco werden durch die Software JETPLOW (0$) regelmäßig stabile Hintertüren integriert.

Die Gadgets der der NSA funktionieren unter anderem deshalb so gut, weil sie eine Vielzahl von der NSA bekannten Schwachstellen in Hardware wie Software großer Unternehmen ausnutzen können, wobei unklar ist, wer von den entsprechenden Firmen die backdoors in Rücksprache mit der NSA installiert hat (lassen).

Bei den im Katalog genannten Unternehmen kam mittlerweile auch zu Reaktionen:

Im Fall von Apple wird die Zusammenarbeit mit der NSA zur Erstellung von backdoors vehement abgestritten, genauso verhält es sich mit der Kenntnis von Programmen wie DROPOUTJEEP. Im gleichen Statement nennen sie die NSA indirekt “malicious hackers”.

Der Firewall-Hersteller Cisco hingegen hat nach Einsicht der veröffentlichten Informationen am Dienstag eine Untersuchung zu den von der NSA genutzten Schwachstellen angekündigt. Zu keinem Zeitpunkt habe Cisco, wie auch Dell in einer Erklärung angab, mit der Regierung zusammen gearbeitet um Sicherheitslücken in die eigenen Produkte einzubauen.

Bei Hewlett-Packard sieht man hingegen keine Anzeichen für einen Fremdzugriff auf die eigenen Server, noch auf eine Kompromittierung der eigenen Sicherheitsstandards.

Es ist eine unangenehme Situation, die sich in der NSA-Debatte zum wiederholten Male zeigt: Entweder haben führende Unternehmen bewusst mit der NSA zusammengearbeitet und Sicherheitslücken in die eigenen Produkte eingebaut, oder größere Sicherheitslücken blieben über Jahre hinweg unentdeckt. Beides ist gefährlich.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

December 25 2013

Bundesregierung hält “verdeckte Führung” von JournalistInnen mit geheimdienstlichen “Beschaffungsaufträgen” für denkbar

NSA files decoded: Edward Snowden's surveillance revelations explained | World news | theguardian.com 2013-11-01 18-31-13Mehrere Abgeordnete hatten im November und Dezember parlamentarische Anfragen gestellt, um die Spionageaktivitäten von NSA und GCHQ auszuleuchten und die Aktivitäten der Bundesregierung zu überprüfen. Heraus kam etwa, wie die NSA EU-Passagierdaten nutzt oder das Bundesamt für Sicherheit in der Informationstechnik mit dem US-Militär gegen “Cyberangriffe” trainiert. Nun sind auch weitere Antworten auf Fragen von Jan Korte und Hans-Christian Ströbele beantwortet und ins Informationssystem des Bundestages eingestellt (1, 2).

Dementiert wird mehrfach, dass die deutschen Behörden untätig seien. Dennoch gibt es einen weiteren Freifahrtschein für Dienste aus den USA und Großbritannien: Die “von der Bundesregierung eingeleitete Sachverhaltsaufklärung” habe ergeben, dass der “jeweils in Rede stehende Sachverhalt im Einklang mit den einschlägigen Rechtsgrundlagen steht”. Man sei allerdings noch nicht fertig:

Die Dokumente werden entsprechend der jeweiligen Zuständigkeiten analysiert. Da die bislang veröffentlichten Informationen lediglich Bruchstücke des Sachverhalts wiedergeben, hält die Bundesregierung weitere Sachverhaltsaufklärung für erforderlich, um belastbare Ergebnisse zu erzielen.

Einschränkend wird jedoch erklärt, dass die Spionageabwehr nur bei einem “begründeten Verdacht illegaler nachrichtendienstlicher Tätigkeit” tätig wird. Dies gelte “auch gegenüber den Diensten der USA und Großbritanniens”. Allerdings würden diese “einen Großteil ihres Informationsbedarfs” aus offenen Quellen abdecken. Derartige “Hintergrundinformationen” könnten ihnen “helfen, konspirativ beschaffte Informationen einzuordnen und zu bewerten”. Gefragt wurde, inwiefern nach Kenntnis der Bundesregierung etwa das Nachrichtenmagazin Spiegel Ziel von Spähmaßnahmen sein könnte. Nun wird in den Raum gestellt, dass “Medienvertreter” selbst für ausländische Dienste tätig sein könnten:

Gerade Journalisten und sonstige Medienvertreter können hierbei interessante Zielpersonen sein. Auch eine verdeckte Führung solcher Kontaktpersonen mit gezielten Beschaffungsaufträgen ist denkbar.

Inlandsgeheimdienst will vorbeugen

Jedoch habe die Auseinandersetzung um die Snowden-Leaks positive Effekte, auch wenn sich die Vorwürfe gegen NSA und GCHQ nicht bestätigten: Denn das “Bewusstsein für die Anwendung von IT-Sicherheitsmaßnahmen” habe sich “teilweise verbessert”. Daher gelte es, möglichen unrechtmäßigen Maßnahmen “effektiv vorzubeugen”.

Zu entsprechenden Maßnahmen gehören Schulungen durch den Inlandsgeheimdienst. Das Bundesamt für Verfassungsschutz (BfV) warnt hierzu Vorträge bei Behörden und “Multiplikatoren” sowie in “anlassbezogenen Einzelgesprächen” regelmäßig vor Gefahren, “die sich aus der Tätigkeit fremder Nachrichtendienste ergeben”. Das BfV hat eine Sonderauswertung “Technische Aufklärung durch US-amerikanische, britische und französische Nachrichtendienste mit Bezug zu Deutschland” eingerichtet und Luftaufnahmen von mehreren “Liegenschaften der USA in Deutschland” angefertigt, “um deren Dachaufbauten dokumentieren zu können”. Gemeint sind jene Anlagen, die vermutlich zur Spionage genutzt werden.

Erstmals findet sich in den Antworten der Bundesregierung aber eine Drohgebärde, nämlich hinsichtlich des Abhörens der Kanzlerin. Denn dann hätten die USA gelogen:

Sofern die Hinweise auf eine mögliche Überwachung des Mobiltelefons der Bundeskanzlerin durch die NSA verifiziert werden können, würde dies auf die Aussagen der NSA aus den zurückliegenden Wochen ein neues Licht werfen. Verantwortliche der NSA hatten Vertretern der Bundesregierung und der deutschen Nachrichtendienste mündlich wie schriftlich versichert, dass die NSA nichts unternehme, um deutsche Interessen zu schädigen und sich an alle Abkommen halte, die mit der Bundesregierung – vertreten durch deutsche Nachrichtendienste – geschlossen wurden.

Wann und weshalb Merkel ihre Mobiltelefone ausgetauscht hat, soll geheim bleiben. Denn dies ließe “Rückschlüsse auf das Kommunikations-, Abstimmungs- und Entscheidungsverhalten der Bundeskanzlerin” zu. Gleichwohl heißt es, dass ihr zur dienstlichen Kommunikation “kryptierte Kommunikationsmittel (mobil und festnetzgebunden)” zur Verfügung stünden – jedoch nur, sofern die “Möglichkeit zur Kryptierung auch beim Kommunikationspartner” bestehe. Hierfür sind rund 12.000 “Mobiltelefone/Smartphones mit Kryptofunktion (Sprache und/oder Daten)” beschafft worden. Das Smartphone SecuSUITE auf Basis des Blackberry 10 erlaube demnach die Kommunikation von Inhalten bis zum Geheimhaltungsgrad “VS – Nur für den Dienstgebrauch”. Dies ist allerdings die niedrigste aller Einstufungen.

Weitergabe geheimdienstlicher Daten auch an private Unternehmen möglich

Eine Reihe von Fragen widmeten sich auch der Weitergabe personenbezogener bzw. personenbeziehbarer Daten von und an ausländische Geheimdienste. Während das BfV, der Militärische Abschirmdienst und der Bundesnachrichtendienst (BND) hierzu jeden Vorgang protokollieren müssen, gilt dies nicht umgekehrt:

Eine Protokollierung von Übermittlungen personenbezogener Daten von ausländischen Nachrichtendiensten an deutsche Nachrichtendienste ist gesetzlich nicht vorgeschrieben. Solche Übermittlungen werden allerdings je nach Bedeutung des Einzelfalls dokumentiert.

Personenbezogene Daten dürfen vom BfV, BND und MAD sogar an “nicht-öffentliche ausländische Stellen” übermittelt werden. Gemeint sind private Unternehmen.

In Deutschland haben die Enthüllungen von Edward Snowden zur Einberufung eines “Runden Tischs ‘Sicherheitstechnik im IT-Bereich’” geführt. An einer Sitzung im September hatten laut der Bundesregierung “etwa 30 Vertreter aus Politik, Wirtschaft, Wissenschaft und Verbänden” teilgenommen. Auch der BND ist nicht untätig: Zur “Entwicklung gemeinsamer Standards für die Zusammenarbeit der Auslandsnachrichtendienste der EU-Mitgliedstaaten” habe der BND bereits einen “Vorschlag zum Verfahren” verfasst und die “EU-Partnerdienste” zu einer “ersten Besprechung” eingeladen.

Politische Konsequenzen möchte die Bundesregierung aber vermeiden. So sollen alle wichtigen transatlantischen Bündnisse und Verträge beibehalten werden. Hierzu gehören das TFTP-Abkommen zur Weitergabe von Finanzdaten ebenso wie “Safe Harbor” zum Tausch von personenbezogenen Daten. Die Verhandlungen über die “transatlantische Handels- und Investitionspartnerschaft” (TTIP) werden weiter unterstützt und seien für Deutschland “von überragender politischer und wirtschaftlicher Bedeutung”. Ein Aussetzen sei “nicht zielführend, um die im Raum stehenden Fragen im Bereich NSA-Abhörvorgänge und damit verbundene Fragen des Datenschutzes zu klären”.

Weiterhin kein Ermittlungsverfahren bei der Bundesanwaltschaft

Auch der Generalbundesanwalt agiert zahnlos: So habe die Bundesanwaltschaft keine britischen oder US-Behörden kontaktiert, um die Vorwürfe gegen NSA und GCHQ aufzuklären oder den “Prüfvorgang” gegen die beiden Dienste in ein Ermittlungsverfahren zu überführen. Erst dann kann aber ein Rechtshilfeersuchen gestellt werden, um etwa die Vernehmung von Edward Snowden als Zeugen in Moskau zu bewerkstelligen. Weiterhin gebe es aber keinen hinreichenden Anfangsverdacht für das Vorliegen einer Straftat, für die der Generalbundesanwalt zuständig ist. Für “informelle Befragungen möglicher Auskunftspersonen” sehe der Generalbundesanwalt ebenfalls “keinen Anlass”. Auch die Haltung der Bundesregierung zu einer Aufnahme von Snowden in Deutschland “hat sich nicht geändert”.

Nach Medienberichten herrscht hierzu aber keine Einigkeit: Denn die Bundesjustizministerin hatte erklärt, die Bundesregierung habe sich nicht auf eine vorsorgliche förmliche Zusage an die USA zur Auslieferung Snowdens im Falle seiner Festnahme einigen können. Derartige Dissonanzen sollen aber geheim bleiben:

Die Meinungsbildung der Bundesregierung, sowohl hinsichtlich der Erörterung im Kabinett als auch bei der Vorbereitung von Kabinetts- und Ressortentscheidungen, die sich vornehmlich in ressortübergreifenden und -internen Abstimmungsprozessen vollzieht, gehört zum Kernbereich exekutiver Eigenverantwortung, der einen parlamentarisch grundsätzlich nicht ausforschbaren Initiativ, Beratungs- und Handlungsbereich einschließt.

So liefern der BND, das BfV und der MAD auch weiterhin Daten aus der Überwachung satellitengestützter Internet- und Telekommunikation an Geheimdienste der USA und Großbritanniens – die Medienberichterstattung über die Snowden-Leaks tut dem laut Aussagen der Bundesregierung keinen Abbruch:

Die in der Frage angesprochene Presseberichterstattung hat keinen Anlass gegeben, die sich im Gesetzesrahmen vollziehende Zusammenarbeit mit ausländischen Nachrichtendiensten einzustellen. Die Zusammenarbeit dient insbesondere auch dem Schutz Deutscher vor terroristischen Anschlägen und trägt dazu wesentlich bei.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

December 17 2013

NSA nutzt EU-Passagierdaten, das BSI trainiert Abwehrfähigkeiten in den USA und der BND lädt EU-Partnerdienste zum Klassentreffen

gchq-listeningDie Bundestagesabgeordneten Jan Korte, Hans-Christian Ströbele und Andrej Hunko haben jüngst mehrere Kleine Anfragen zu den Spionageaktivitäten britischer und US-amerikanischer Dienste eingereicht (1, 2, 3, 4, 5). Die Fragenkataloge zählen zu den Parlamentarischen Initiativen und müssen innert zwei Wochen beantwortet werden. Die Bundesregierung verfügt über die sogenannte Ressorthoheit und entscheidet selbst, welches Ministerium dabei federführend ist (im Falle des Verteidigungsministeriums werden die Antworten bisweilen mehrere Wochen verschleppt).

Häufig bleiben Informationen auch geheim. Sie sind dann entweder in der Geheimschutzstelle des Bundestages hinterlegt und sind dort für Abgeordnete einsehbar. Einfache Verschlusssachen werden hingegen per Post an die Fragestellenden übersandt, diese dürfen darüber aber nicht öffentlich sprechen.

Die Antworten sind nun eingetroffen, aber noch nicht sämtlich durch die Abgeordneten veröffentlicht. Gewöhnlich haben sie 7-10 Tage Zeit für die eigene Verarbeitung. Anschließend werden sie im offiziellen Informationssystem des Bundestages eingestellt. Spätestens dann sind auch die Antworten auf die Anfragen “Vorgehen der Bundesregierung gegen die US-Überwachung der Internet- und Telekommunikation in Deutschland und insbesondere die der Bundeskanzlerin” und “Aktivitäten der Bundesregierung zur Aufklärung der NSA-Ausspähmaßnahmen und zum Schutz der Grundrechte” öffentlich verfügbar. Korte und Ströbele erkundigen sich dort unter anderem zur Affäre rund um das Merkelphone.

“Geheimdienste der Europäischen Union und die Beteiligung von Bundesbehörden”

Die Antwort auf die Anfrage “Geheimdienste der Europäischen Union und die Beteiligung von Bundesbehörden” zeichnet ein gutes Bild über die Struktur der beiden EU-Geheimdienste INTCEN und EUMS INT. Beide gehören zum Auswärtigen Dienst. Das INTCEN gilt als “Zentrum für Informationsgewinnung und -analyse” und firmiert als ziviler Dienst. Das EUMS INT ist das “Intelligence Directorate” des militärischen Arms der EU. Gemeinsam bilden sie die “Single Intelligence Analysis Capacity” (SIAC). Auch deutsche Behörden sind dabei:

Deutschland ist derzeit mit insgesamt vier Mitarbeitern in der SIAC vertreten (INTCEN: je ein Mitarbeiter von BND und BfV; EUMS INT: zwei Angehörige der Bundeswehr).

Gewöhnlich werden die beiden Lagezentren nicht als Geheimdienste bezeichnet. Denn sie stellen keine eigenen Ermittlungen an, sondern werden von den Diensten der EU-Mitgliedstaaten mit Informationen beliefert. Daraus entstehen dann Lageberichte zu bestimmten Themen. Jedoch verfügen die Institutionen über hochauflösende Spionagebilder aus der EU-Satellitenaufklärung, die ebenfalls ausgewertet und an “politische Entscheidungsträger auf EU-Ebene” sowie den EU-Mitgliedstaaten zugeleitet werden.

Das EU-Satellitenzentrum erwirbt Bilddaten auch von privaten Anbietern aus Europa, den USA oder aus Israel. Genutzt werden auch Regierungssatelliten, darunter das deutsche System SAR-Lupe oder das “französisch-italienisch-spanisch-belgisch-griechische System” Hélios II. Die Analyse erfolgt unter anderem digital:

Nach Kenntnis der Bundesregierung werden öffentlich zugängliche Informationen durch INTCEN und EUMS INT mittels handelsüblicher Hard- und Software ausgewertet und fließen regelmäßig in die in der Antwort zu Frage 2 genannten Produkte ein.

Berichte erhalten das Bundeskanzleramt und der Bundesnachrichtendienst (BND), das Auswärtige Amt, das Verteidigungsministerium, der Militärische Abschirmdienst (MAD), das Bundesinnenministerium, das Bundesamt für Verfassungsschutz (BfV) sowie “themenbezogen unter Umständen weitere Stellen”. Umgekehrt werden die EU-Geheimdienste vom BND und BfV mit “Beiträgen” beliefert.

Die Geheimdienste der EU sind unionsrechtlich nicht für Spionagetätigkeiten ausländischer Dienste zuständig – jedenfalls wird diese Auffassung von der Bundesregierung vertreten. Dies gelte auch, wenn es um Außenbeziehungen oder das Datenschutzrecht gehe. Ganz anders aber wenn es um die “Eigenbetroffenheit” der EU geht. Laut Veröffentlichungen von Edward Snowden wurden neben den Vereinten Nationen auch Einrichtungen der EU ausgespäht. Als Urheber gelten die US-amerikanische NSA und das britische GCHQ. Dennoch sind weder das INTCEN noch das EUMS INT in dieser Hinsicht tätig geworden.

Doch auch in Deutschland wird die Überwachung perfektioniert: Anfang des Jahres wurde ein “Runder Tisch” zum Thema “Sicherstellung der Kommunikationsüberwachung in der Zukunft” eingerichtet. Alle Geheimdienste sowie Polizei- und Strafverfolgungsbehörden des Bundes sind vertreten, teilweise auch die Landesbehörden. Das Bundesministerium für Bildung und Forschung fördert im Bereich “IT-Sicherheit” mehrere Vorhaben, in denen unter anderem die Firmen DE-CIX Management GmbH, EADS Deutschland GmbH, escrypt GmbH Embedded Security, Gesellschaft für sichere mobile Kommunikation, Nokia Siemens Networks und Utimaco Safeware finanzielle Mittel erhalten. Auch diese sind in der Antwort aufgeführt.

In der Anfrage ging es auch um Berichte über angezapfte Glasfaserkabel, wovon die Bundesregierung aber angeblich keine Kenntnis habe. Weil man selbst über keine Snowden-Dokumente verfüge, würde munter mit den Diensten aus Großbritannien und den USA zusammengearbeitet. Ein Fragenkatalog zu den Spionagetätigkeiten, den die Bundesregierung vor sechs Monaten an US-Behörden schickte, ist immer noch nicht beantwortet. Die Justizministerin habe jedoch im Oktober 2013 “an die gestellten Fragen erinnert” – erfolglos. Im gleichen Schreiben wurde ein weiterer Fragenkatalog “zur angeblichen Ausspähung des Mobiltelefons von Frau Bundeskanzlerin Dr. Angela Merkel übersandt”, ebenfalls ergebnislos.

Geantwortet habe aber die britische Botschaft. Gebeten wurde, die Angelegenheit “unmittelbar zwischen den Nachrichtendiensten der Bundesrepublik Deutschland und des Vereinigten Königreichs zu besprechen”. Dies ist wohl auch passiert: Es habe danach “verschiedene Expertengespräche” gegeben.

“Geheimdienstliche Spionage in der Europäischen Union und Aufklärungsbemühungen zur Urheberschaft”

Hierzu erfahren wir mehr in der Anfrage “Geheimdienstliche Spionage in der Europäischen Union und Aufklärungsbemühungen zur Urheberschaft”. Dort heißt es:

Der Bundesnachrichtendienst hat im Auftrag der Bundesregierung Gespräche mit den EU-Partnerdiensten aufgenommen. Ziel ist die Entwicklung gemeinsamer Standards in der nachrichtendienstlichen Arbeit. Im weiteren Verlauf der Gespräche und Verhandlungen gilt es zu prüfen, inwieweit diese gemeinsamen Standards in einen größeren Rahmen einfließen sollen.

Glaubt man dem Innenministerium, will sich die Bundesregierung beim anvisierten Klassentreffen Nachhilfe holen. Denn man habe angeblich keine eigenen Informationen zum Spionagenetzwerk “Nine Eyes”, sondern wisse lediglich dass dort neben den “Five Eyes” (USA, Großbritannien, Australien, Kanada, Neuseeland) auch Norwegen, Frankreich, Dänemark und die Niederlande organisiert seien. Gleichwohl beabsichtige man, “mit der US-amerikanischen Seite eine Vereinbarung abzuschließen, die die nachrichtendienstliche Zusammenarbeit auf eine neue Basis stellt”. Dieses von den Medien als “No Spy-Abkommen” bezeichnete Agreement ist allerdings nach heutigen Berichten vom Tisch.

Gefragt wurde auch zu Meldungen, wonach US-Geheimdienste über einen “root access” auf Passagierdaten in sogenannten “Computerized reservation systems” verfügen, die von Fluglinien weltweit betrieben werden. Verwiesen wird auf den Bericht der EU-Kommission über die Durchführung des PNR-Abkommens vom 27. November. Dort heißt es, dass Behörden der USA “entsprechend der Regelungen des PNR-Abkommens auf die Buchungssysteme der Fluggesellschaften zugreifen”. Die Bundesregierung übersetzt die entsprechende Passage folgendermaßen:

DHS (das US-Heimatschutzministerium) hat erklärt, dass es PNR-Daten an US-Geheimdienste unter Beachtung der Bestimmungen des Abkommens weiterleitet, wenn ein bestimmter Fall unzweifelhaft einen klaren Terrorismusbezug hat. Im Überprüfungszeitraum hat DHS im Einklang mit dem Abkommen 23 fallbezogene Weiterleitungen von PNR-Daten an die US National Security Agency (NSA) vorgenommen, um bei Terrorismusbekämpfungsfällen weiterzukommen.

Zur Spionage auf EU-Ebene gibt sich die Bundesregierung in der Antwort unwissend. Man habe keine Ahnung über ausgespähte Einrichtungen und dort genutzte Abhöranlagen. Auch “Detailkenntnisse über die Netzwerkinfrastruktur von EU-Einrichtungen” liegen nicht vor. Berichte über das mögliche Abhören des Internetverkehrs von EU-Einrichtungen in Brüssel würden daher nicht kommentiert – eine leichtfertige Antwort, denn dies beträfe auch die deutsche Delegation. Doch auch die EU bleibt hierzu weitgehend untätig:

Keine EU-Agentur, also keine der dezentralen Einrichtungen der EU mit einem spezifischen Arbeitsgebiet, befasst sich nach Kenntnis der Bundesregierung mit der Abwehr von Spionage gegen EU-Institutionen. Europäische Kommission, Europäischer Auswärtiger Dienst und das Generalsekretariat des Rates verfügen über eigene Mitarbeiter, die u.a. die jeweiligen Kommunikationsnetze gegen Ausspähung schützen. Sobald in den EU-Behörden in Brüssel der Verdacht der Spionage entsteht, wird zunächst intern ermittelt und ggf. um Amtshilfe des Gastlandes, also der belgischen Behörden, gebeten.

“Kooperationen zur sogenannten Cybersicherheit zwischen der Bundesregierung, der Europäischen Union und den Vereinigten Staaten”

Jedoch arbeiten sowohl die EU als auch die Mitgliedstaaten auf mehreren Ebenen mit den USA und Großbritannien im Bereich der IT-Sicherheit zusammen. Dies geht aus der Antwort auf die Anfrage “Kooperationen zur sogenannten Cybersicherheit zwischen der Bundesregierung, der Europäischen Union und den Vereinigten Staaten” hervor. An zahlreichen Arbeitsgruppen nehmen auch Behörden des Bundesinnenministeriums teil.

Zu den Zusammenarbeitsformen gehören auch die zivilen oder militärischen “Cyberübungen”. Jährlich findet die Übungsserie “Cyber Coalition” der NATO statt, in der “Blue Teams” gegen “Red Teams” kämpfen und sich hierfür “marktverfügbarer Schadsoftwaresimulation” bedienen. An der US-Übung “Cyberstorm III” nahmen das Bundeskriminalamt und das Bundesamt für Sicherheit in der Informationstechnik (BSI) teil. “Cyberstorm” wird vom US-Heimatschutzministerium verantwortet, mit dabei sind aber alle Teilstreitkräfte und ihre Geheimdienste, darunter auch die NSA. Mit der EU haben die USA mittlerweile ein eigene, wiederkehrende Übung aus der Taufe gehoben, die sogenannte “EU-US CYBER ATLANTIC”.

Bei welchen dieser IT-Manöver Szenarien simuliert wurden, die “cyberterroristische Anschläge” oder “politisch motivierte Cyberangriffe” zum Inhalt hatten, soll aber geheim bleiben. Gleichwohl bestätigt die Bundesregierung wie auch in früheren Anfragen, dass der Terminus “Terrorismus” zwar auch im Cyberspace für die Aufrüstung herhalten muss, dort aber in Wirklichkeit nicht existiert. Es habe keine versuchte oder erfolgreich ausgeführte Attacke gegeben, die nicht von Staaten vorgenommen worden seien – so jedenfalls lautete die Frage.

Zuende gedacht bedeutet dies, dass alle derzeit aufgebauten Kapazitäten nicht den “Cyberterrorismus” kontern, sondern von Regierungen gegeneinander in Stellung gebracht werden können. Also dienen auch die zivilen oder militärischen “Cyberübungen” – gewollt oder ungewollt – dem Aufbau entsprechender Fähigkeiten.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

December 13 2013

“SWEDUSA”: Schwedischer Geheimdienst attackiert im Programm “Quantum” mit NSA und GCHQ fremde Rechnersysteme

Wappen des schwedischen Geheimdienstes

Wappen des schwedischen Geheimdienstes “National Defence Radio Establishment” (Bild: Wikipedia, Lokal_Profil, CC-BY-SA-2.5)

Der Schwedische Geheimdienst FRA ist nicht nur mit der Abwehr von Cyberangriffen befasst, sondern attackiert selbst fremde Computer. Dies geht aus Recherchen der Journalisten Sven Bergman, Fredrik Laurin und Joachim Dyfvemark zurück, die sich nach eigenen Angaben in Rio de Janeiro mit Glenn Greenwald getroffen haben. Ihre Ergebnisse haben sie auf dem Portal des Senders Uppdrag Granskning veröffentlicht.

Die drei schreiben etwa über die Erfolgsmeldung des schwedischen Dienstes, Zugang zu “Kabeln” nach Russland zu haben. Wie deutsche Partnerdienste habe die FRA auch Zugriff auf das Spionageprogramm XKeyscore. Es kann überwacht werden, welche Rechner bestimmte Webseiten besuchen.

Berichtet wird zudem von einem streng geheimen Programm namens “WINTERLIGHT”, das von dem US-Geheimdienst NSA initiiert worden sei. Im April diesen Jahres habe es dazu ein hochrangiges Treffen in den USA gegeben. Eine schwedische Delegation des Swedish National Defence Radio Establishment, wie das FRA genannt wird, wurde vom NSA-Chef Keith Alexander zu einer “strategischen Planungskonferenz” empfangen. Die Kooperation firmiert demnach unter dem Namen “SWEDUSA”.

Exakt neutral

In einem US-Dokument, das offensichtlich wenige Tage vor der Konferenz erstellt wurde, ist die Beziehung der US-amerikanischen Dienste mit schwedischen Partnern ausführlicher beschrieben. Demnach begann die Zusammenarbeit mit Großbritannien und den USA 1954 unter dem “UKUSA agreement”. Das britische GCHQ war demzufolge für das Abhören der Kommunikation (“COMINT information”) zuständig, während die NSA den Austausch zum Abhören elektronischer Quellen (“ELINT exchange”) übernahm. 2004 wurde diese Aufteilung allerdings über den Haufen geworfen. Die Kooperation ging aber unverdrossen weiter, seitens der NSA heißt es dazu:

NSA’s relationship with the FRA, an extremely competent, technically innovative, and trusted Third Party partner, continues to grow. The FRA provided NSA with access to its cable collection in 2011, providing unique collection on high-priority Russian targets such as leadership, internal politics, and energy.

Zukünftig hat die NSA ohne Umweg über das GCHQ Zugang zu von Schweden abgehörter Kommunikation. Diese Abkommen müssten laut der NSA aber unbedingt geheim bleiben, da sich Schweden offiziell als politisch neutral darstellt.

Gelobt wird, dass der Auslandsgeheimdienst seit Januar 2013 seine Zusammenarbeit mit dem Inlandsgeheimdienst SAPO verbessert habe. Die FRA verfüge über etliche Anlagen, die eine “ganze Bandbreite an Kommunikation” erfassen könnten. Bald könnte die FRA überdies für die staatliche “Cyberabwehr” zuständig sein. Erfreut zeigt sich die NSA, dass die FRA in ganz Europa gegen den “Terrorismus” aktiv sei. So hätte der Dienst auch schwedische Analysten zur NSA nach Darmstadt entsandt, wo diese im “European Cryptologie Center” (ECC) bei der Auswertung abgehörter schwedischer Sprachverkehre helfe.

“WINTERLIGHT” als “man in the middle”-Angriff

“WINTERLIGHT” gehört laut einem geleakten Dokument zum US-Projekt “Quantum”, mit dem die NSA fremde Systeme hackt. “Quantum” wiederum ist eines der Werkzeuge für die NSA-Abteilung für “maßgeschneiderte Operationen” (“Tailored Access Operations”). Das System filtert den Internetverkehr offenbar nach jenen IP-Adressen, deren Systeme infiltriert werden sollen. Deren Verkehre werden auf Server der Geheimdienste umgeleitet, um in die Computer einzudringen – ein “man in the middle”-Angriff. Der Journalist Ryan Gallagher beschreibt “Quantum” folgendermaßen:

Quantum inserts is a kind of hacking where they can infect a computer with a kind of malware, or a kind of spyware, in order to get access to their computer and take control of their data and then exfiltrate that data. You would normally see these kind of tactics being adopted by criminal hackers. But spy agencies use it for a different purpose; they use a similar tactic to infiltrate computers to gather intelligence. Usually particular targets – people. That’s what this quantum process is.

Attackiert würden laut Uppdrag Granskning jene “Ziele”, die eine Gefahr für die Sicherheit Schwedens oder der USA darstellten. Um welche es sich handelt ist unklar. Die Rede ist nicht nur von “Terroristen”, sondern auch von der Ausforschung des TOR-Netzwerkes.

Die Infektion wird in den Dokumenten als “Shots” beschrieben. Daraus geht ebenfalls hervor, dass die benötigten Server zum Umleiten des Traffic vom britischen Geheimdienst GCHQ betrieben werden:

Last month, we received a message from our Swedish partner that GCI-IQ received FRA QUANTUM tips that led to 100 shots, five of which were successfully redirected to the GCHQ server.

Ryan Gallagher beschreibt die Bedeutung des Wortes “tip off” als Infizieren der Zielsysteme und Auslesen von Informationen. Dass der schwedische Geheimdienst dies selbst vornahm, und nicht nur half, bestätigt den Journalisten auch Bruce Schneier:

The fact that Sweden is involved in these programmes means that Sweden is involved in active attacks against internet users. It is not just passive monitoring. This is an active attack. […] Yeah, without any doubt! That document shows that the FRA is doing active attacks.

“Cyberübungen” mit USA und Deutschland

Ausweislich einer anderen Folie ist Schweden Mitglied eines Geheimdienstnetzwerks namens “SSEUR”. Dabei handelt es sich vermutlich um die sogenannten “14 Eyes”, an denen auch Deutschland beteiligt ist. Im Dokument ist die Rede von “Trainings” im Rahmen des “SSEUR”, die aber nicht näher benannt werden.

Auf diese Übungen angesprochen werden die schwedischen Dienste vermutlich behaupten, diese dienten lediglich der Abwehr von “Cyberangriffen”, keinesfalls aber eigenen Attacken. Wie beim Militär wird mit diesem Begriff einer “Verteidigung” aber unterschlagen, dass die derart erlangten Fähigkeiten genauso defensiv wie offensiv genutzt werden können. So sind auch die zahlreichen “Cyberübungen” der Europäischen Union und der NATO grundlegend für den Aufbau entsprechender Kapazitäten.

Schweden, aber auch Deutschland nahm gerade an der US-Übung “Cyberstorm IV” teil. Federführend ist zwar das Heimatschutzministerium, beteiligt sind aber alle Teilstreitkräfte samt ihrer Geheimdienste, darunter natürlich auch die NSA. In der Antwort auf eine Kleine Anfrage behauptet die Bundesregierung, wie schon bei “Cyberstorm III” lediglich an einem nicht-militärischen “Strang” teilgenommen zu haben. Dort wurden auch Angriffe mit Schadsoftware trainiert, natürlich lediglich zur Verteidigung.

Die Bundesregierung behauptet, bei derartigen Trainings noch nie ein “Einspielen von Schadsoftware” vorgenommen zu haben. Stattdessen würde hierfür “marktverfügbare Schadsoftwaresimulation” eingesetzt. Welche Hersteller und Produkte gemeint sind, bleibt unklar.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl