Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

January 10 2014

Leseempfehlung: Die Kosten von Überwachung

Dank moderner Kommunikationstechnologie ist Überwachung einfacher geworden. Das fällt schon auf, wenn man sich beim Schauen eines Tatorts aus den 80ern dabei ertappt, dass man bei umständlichen Ermittlungsarbeiten denkt: “Wieso orten sie nicht einfach das Handy vom Mörder?” oder “Warum schauen sie nicht nach, mit wem er telefoniert hat?”

In Zahlen gefasst hat das jetzt eine Studie, die gestern im Yale Law Journal Online publiziert wurde. Kevin S. Bankston und Ashkan Soltani haben untersucht, wie viel die Überwachung des Aufenthaltsortes einer Person kostet, basierend auf repräsentativen Gerichtsfällen. Die Autoren kommen zu dem Schluss, dass Mobilfunküberwachung bei einem Zeitraum von einem Monat  weniger als ein Tausendstel der persönlichen Überwachung durch Polizeibeamte kostet. Interessanter Fakt ist hier auch der Preisunterschied zwischen den Mobilfunkprovidern. Während man bei T-Mobile 2.800$ pro Monat für ein Mobilfunktracking hinlegt, gibt es das bei Betreiber Sprint schon zum attraktiven Festpreis von 30$. Wenn das keine Überwachungs-Flatrate ist…

thecostofsurveillance

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 23 2013

Contract with FBI and Department of Justice: How Telekom and T-Mobile USA Commit to Electronic Surveillance

German telecommunications company Deutsche Telekom and its subsidiary company T-Mobile USA committed themselves to make communication data and contents available to American authorities. This agreement is part of a contract with the FBI and Department of Justice from 2001, which we hereby publish. Telekom comments that it of course cooperates with security services – also in other countries.

This is an English translation of the original German post.

Two weeks ago Deutsche Telekom CEO René Obermann was totally surprised by the mass-surveillance of western intelligence agencies. Yesterday, David Scharven reported on WAZ.de about an “surveillance contract of Deutsche Telekom with US authorities”.

We are hereby publishing this contract exclusively: PDF, Text (bad OCR, sorry.)

Commitment to Electronic Communications Surveillance

Logo während des Übergangs von VoiceStream zu T-Mobile USA.

Logo during the transition of VoiceStream to T-Mobile USA.

The contract is between Deutsche Telekom AG and VoiceStream Wireless (which became T-Mobile USA in 2002) on one side and the Federal Bureau of Investigation and the US Department of Justice on the other. The 27 page document was signed in December 2000 and January 2001 – before 9/11.

After recitals and definitions, Article 2 of the contract describes “Facilities, Information Storage and Access”. T-Mobile USA commits to operate its infrastructure for “all Domestic Communications” “in the United States”. The communication has to flow through a facility in the US “from which Electronic Surveillance can be conducted”. Deutsche Telekom further commits to “provide technical or other assistance to facilitate such Electronic Surveillance”.

Access to this data is granted on the basis of “Lawful U.S. Process”, “orders of the President in exercise of bis/her authority under § 706 of the Communications Act of 1934″ or “National Security and Emergency Preparedness rules”.

Any Wire Communications or Electronic Communications

The types of data to be stored are “stored Domestic Communications”, “any Wire Communications or Electronic Communications”, “Transactional Data and Call Associated Data”, “Subscriber Information” and “billing records”. These data must be “stored in a manner not subject to mandatory destruction under any foreign laws”. Billing records shall be stored “for at least two years”. Other legal obligations for data retention remain unaffected by this contract.

We include the full article 2 at the bottom of this post. Further articles commit Deutsche Telekom/T-Mobile USA to security instructions. They shall not disclose this data to foreign parties, especially foreign governments. Every three months Deutsche Telekom “shall notify DOJ in writing of legal process or requests by foreign non governmental entities”. Furthermore FBI and DOJ insist on 24/7 “designate points of contact” “to conduct Electronic Surveillance”.

On FBI or DOJ demand, Deutsche Telekom “shall provide access to Information concerning technical, physical, management, or other security measures and other reasonably available information”. The institutions can, “upon a reasonable notice and during reasonable hours”, visit and inspect any part of Deutsche Telekoms “Domestic Communications infrastructure and security offices”. Further Deutsche Telekom is committed to “submit to the FBI and the DOJ a report assessing DT compliance with the terms of this Agreement” every year.

United States would suffer irreparable injury

Hans-Willi Hefekäuser. Quelle: neue musikzeitung.

Hans-Willi Hefekäuser.

Last but not least “Deutsche Telekom AG agrees that the United States would suffer irreparable injury if for any reason DT failed to perform any of its significant obligations under this Agreement”.

The contract was signed in December 2000 and January 2001 by Hans-Willi Hefekäuser (Deutsche Telekom AG), John W. Stanton (VoiceStream Wireless), Larry R. Parkinson (FBI) and Eric Holder (DOJ).

Questions to Deutsche Telekom

This revelation raises multiple questions, which we have asked Deutsche Telekom:

  • Is this contract still in force? Was the contract changed since 2001?
  • How much data was transferred to US authorities by this or other contracts?
  • Did CEO René Obermann know about this contract, when he said two weaks ago: “We are not cooperating with foreign intelligence services”?

Which other countries with such contracts?

A spokesman from Deutsche Telekom confirmed to WAZ:

A spokesman of Deutsche Telekom explained, such surveillance contracts with foreign intelligence services are also in place “in other countries”. Telekom could not say in which countries surveillance duties are regulated by such contracts. It will be checked, they said.

Deutsche Telekom AG weltweit. Bild: Peeperman. Lizenz: Creative Commons BY-SA 3.0

Deutsche Telekom AG worldwide. Picture: Peeperman. License: CC BY-SA 3.0.

Deutsche Telekom AG is active in dozens of countries, including China and Russia. Did Telekom sign surveillance contracts in these states as well?

A spokesman of Deutsche Telekom commented to netzpolitik.org:

This contract essentially says that the American subsidiary of Deutsche Telekom AG abides American law.

Of course Deutsche Telekom cooperates with intelligence services, when obliged by law to do so.

Frank Rieger, a spokesperson of Chaos Computer Club told netzpolitik.org:

Deutsche Telekom, as well as any other telecommunications companies, must reveal all secret agreements with domestic and foreign intelligence services. These providers have to decide where to put their loyalty: their customers or the intelligence services.


Here is the full paragraph 2 of the contract:

ARTICLE 2: FACILITIES, INFORMATION STORAGE AND ACCESS

2.1 Except (to the extend and under conditions concurred in by the FBI and the DOJ in writing:

(a) all Domestic Communications Infrastructure that is owned, operated, or controlled by VoiceStream shall at all times be located in the United States and will be directed, controlled, supervised and managed by VoiceStream; and

(b) all Domestic Communications Infrastructure not covered by Section 2.1(a) shall at all times be located in the United States and shall be directed, controlled, supervised and managed by a U.S. Subsidiary, except strictly for bona fide commercial reasons;

(c) all Domestic Communications that are carried by or through, in whole or in part, the Domestic Communications Infrastructure shall pass through a facility under the control of a US, Subsidiary and physically located in the United States, from which Electronic Surveillance can be conducted pursuant to Lawful U.S. Process. DT will provide technical or other assistance 1o facilitate such Electronic Surveillance.

2.2 DT shall take all practicable steps to configure its Domestic Communications Infrastructure to be capable of complying, and DT’s employees in the United States will have unconstrained authority to comply, in an effective, efficient, and unimpeded fashion, with:

(a) Lawful U.S. Process,

(b) the orders of the President in exercise of bis/her authority under § 706 of the Communications Act of 1934, as amended, (47 U.S.C. § 606), and under § 302(e) of the Aviation Act of 1958 (49 U.S.C. § 40107(b)) and Executive Order 11161 (as amended by Executive Order 11382), and

(c) National Security and Emergency Preparedness rules, regulations and orders issued pursuant to the Communications Act of 1934, as amended (47 U.S.C. § 151 et seq.)

2.3 U.S. Subsidiaries shall make available in the United States the following:

(a) stored Domestic Communications, if such communications are stored by a U.S. Subsidiary (or any entity with which a U.S. Subsidiary has contracted or made other arrangements for data or communications processing or storage) for any reason;

(b) any Wire Communications or Electronic Communications (including any other type of wire, voice er electronic Communication not covered by the definitions of Wire Communication or Electronic Communication) received by, intended to be received by, or stored in the account of a customer or subscriber of a U.S. Subsidiary, if such communications are stored by a U.S. Subsidiary (or any entity with which a U.S. Subsidiary has contracted or made other arrangements for data or communications processing or storage) for any reason;

(c) Transactional Data and Call Associated Data relating to Domestic Communications, if such data are stored by a U.S. Subsidiary (or any entity with which a U.S. Subsidiary has contracted or made other arrangements for data or communications processing or storage) for any reason;

(d) Subscriber Information concerning customers or subscribers of a U.S. Subsidiary, if such information are stored by a U.S. Subsidiary (or any entity with which a U.S. Subsidiary has contracted or made other arrangements for data or communications processing or storage) for any reason; and

(e) billing records relating to customers and subscribers of a U.S. Subsidiary for so long as such records are kept and at a minimum for as long as such records and required to be kept pursuant to applicable U.S. law or this Agreement.

2.4 U.S. Subsidiaries shall ensure that the data and communications described in Section 2.3(a) – (e) of this Agreement are stored in a manner not subject to mandatory destruction under any foreign laws, if such data and communications an: stored by a U.S. Subsidiary (or any entity with which a U.S. Subsidiary has contracted or made other arrangements for data or communications processing or storage) for any reason. U.S. Subsidiaries shall ensure that the data and communications described in Section 2.3(a) – (e) of this Agreement shall not be stored by a U.S. Subsidiary (or any entity with which a U.S. Subsidiary has contacted with or made other arrangements for data or communications processing or storage) outside of the United Stales unless such storage is strictly for bona fide commercial reasons weighing in favor of storage outside the United Stales.

2.5 DT shall store for at least two years all billing records maintained by U.S. Subsidiaries for their customers and subscribers.

2.6 Upon a request made pursuant to 18 U.S.C. § 2703(f) by a governmental entity within the United States to preserve any information in the possession, custody, or control of DT (hat relates to (a) a customer or subscriber of a U.S. Subsidiary, or (b) any communication of such customer or subscriber described in (a) above, or (c) any Domestic Communication, DT shall store such preserved records or other evidence in the United States.

2.7 Nothing in this Agreement shall excuse DT from any obligation it may have to comply with U.S. legal requirements for the retention, preservation, or production of such information or data.

2.8 Except strictly for bona fide commercial reasons, DT shall not route a Domestic Communication outside the United States.

2.9 DT shall comply, with respect to Domestic Communications, with all applicable FCC rules and regulations governing access to and storage of Customer Proprietary Network Information (“CPNI”), as defined in 47 U.S.C. § 222(f)(1).

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Abhör-Vertrag mit FBI und Justizministerium: Telekom und T-Mobile USA verpflichten sich zur Überwachung (Update)

Die Deutsche Telekom und ihre Tochterfirma T-Mobile USA verpflichten sich, Kommunikationsdaten und Inhalte den amerikanischen Behörden zur Verfügung zu stellen. Das geht aus einem Vertrag aus dem Januar 2001 hervor, den wir an dieser Stelle exklusiv veröffentlichen. Die Telekom kommentiert, dass man selbstverständlich mit Sicherheitsbehörden zusammenarbeitet, auch in anderen Staaten.

Vor zwei Wochen war Telekom-Chef René Obermann noch total überrascht von der Netzüberwachung westlicher Geheimdienste. Gestern berichtete David Schraven auf WAZ.de über einen “Abhör-Vertrag der Telekom mit US-Behörden”.

Wir veröffentlichen diesen Vertrag an dieser Stelle exklusiv: PDF, Text (schlechtes OCR).

Verpflichtung zur elektronischen Überwachung

Logo während des Übergangs von VoiceStream zu T-Mobile USA.

Logo während des Übergangs von VoiceStream zu T-Mobile USA.

Geschlossen wurde der Vertrag zwischen der Deutschen Telekom AG und der Firma VoiceStream Wireless (seit 2002 T-Mobile USA) auf der einen Seite und dem Federal Bureau of Investigation und dem Justizministerium der Vereinigten Staaten auf der anderen Seite. Das 27-seitige Dokument wurde im Dezember 2000 und Januar 2001 unterschrieben, also noch vor 9-11.

Nach Erwägungsgründen und Definitionen beschreiben die Vertragspartner in Artikel zwei “Einrichtungen, Informationsspeicherung und Zugriff”. T-Mobile USA wird darin verpflichtet, alle Infrastruktur für inländische Kommunikation in den USA zu betreiben. Die Kommunikation darüber muss durch eine Einrichtung in den USA fließen, in der “elektronische Überwachung durchgeführt werden kann”. Die Telekom verpflichtet sich, “technische oder sonstige Hilfe zu liefern, um die elektronische Überwachung zu erleichtern.”

Der Zugriff auf die Daten kann auf der Basis rechtmäßiger Verfahren (“lawful process”), Anordnungen des US-Präsidenten nach dem Communications Act of 1934 oder den daraus abgeleiteten Regeln für Katastrophenschutz und die nationale Sicherheit erfolgen.

Jede drahtgebundene oder elektronische Kommunikation

Die vorgeschriebenen Datentypen sind “gespeicherte Kommunikation”, “jede drahtgebundene oder elektronische Kommunikation”, “Transaktions- und Verbindungs-relevante Daten”, “Bestandsdaten” und “Rechnungsdaten”. Diese Daten dürfen nicht gelöscht werden, selbst wenn ausländische Gesetze das vorschreiben sollten. Rechnungsdaten sollen mindestens zwei Jahre gespeichert werden. Andere gesetzliche Bestimmungen zur Speicherung von Daten bleiben davon unberührt.

Den Volltext dieses Artikels haben wir unten an den Artikel angehangen. In weiteren Punkten werden Telekom/T-Mobile USA zu Sicherheits-Anforderungen verpflichtet. Die Datenberge sollen vor fremden Zugriff geschützt werden, vor allem von fremden Staaten. Mindestens alle drei Monate muss die Telekom dem Justizministerium schriftlich mitteilen, welche ausländischen Institutionen Zugriff auf die Daten verlangt haben. FBI und Justizministerium wollen dazu rund im die Uhr Ansprechpartner zur Überwachung vom Telekommunikationskonzern.

Wenn FBI oder Justizministerium es verlangen, soll die Telekom “Zugang zu Informationen über technische, physikalische, Management, oder andere andere Sicherheitsmaßnahmen und andere nach vernünftigem Ermessen verfügbare Informationen übermitteln”. Die Institutionen dürfen “nach angemessener Vorankündigung” “jeden Teil der Kommunikationsinfrastruktur und Sicherheits-Einrichtungen” besuchen und überprüfen und Angestellte befragen. Zudem liefert die Telekom jährlich einen Bericht, in dem sie darlegt, wie sie die Einhaltung dieses Vertrages garantiert.

Versäumnis wäre nicht wieder gutzumachender Schaden

Hans-Willi Hefekäuser. Quelle: neue musikzeitung.

Hans-Willi Hefekäuser.

Schließlich stimmt die Deutsche Telekom AG noch zu, “dass die Vereinigten Staaten einen nicht wieder gutzumachenden Schaden erleiden, wenn die Telekom aus irgendeinem Grund versäumt, ihre Verpflichtungen aus diesem Abkommen durchzuführen.”

Unterschrieben wurde der Vertrag im Dezember 2000 und Januar 2001 von Hans-Willi Hefekäuser (Deutsche Telekom AG), John W. Stanton (VoiceStream Wireless), Larry R. Parkinson (FBI) und Eric Holder (Justizministerium).

Fragen an die Telekom

Das wirft gleich mehrere Fragen auf, die wir auch der Telekom gestellt haben.

  • Ist dieser Vertrag noch in Kraft? Wurde er seitdem geändert?
  • Wie viele Daten werden welchen US-Behörden im Rahmen dieser und anderer Verträge übermittelt?
  • Wusste Obermann davon, als er vor zwei Wochen sagte, “Wir kooperieren nicht mit ausländischen Geheimdiensten”?

In welchen anderen Staaten gelten solche Verträge?

Zudem bestätigte ein Telekom-Sprecher gegenüber der WAZ:

Ein Sprecher der Telekom erklärte, entsprechende Abhörvereinbarungen mit ausländischen Sicherheitsdiensten gebe es auch „für andere Länder“. In welchen Ländern Abhörmaßnahmen vertraglich geregelt sind, konnte die Telekom noch nicht sagen. Dies werde geprüft, hieß es.

Deutsche Telekom AG weltweit. Bild: Peeperman. Lizenz: Creative Commons BY-SA 3.0

Deutsche Telekom AG weltweit. Bild: Peeperman. Lizenz: CC BY-SA 3.0.

Die Deutsche Telekom AG ist in dutzenden Staaten aktiv, darunter auch China und Russland. Hat die Telekom auch in diesen Staaten entsprechende Abhör-Verträge unterzeichnet?

Gegenüber netzpolitik.org kommentierte ein Sprecher der Telekom:

Dieser Vertrag besagt, dass sich die amerikanische Tochter der Deutschen Telekom AG an amerikanisches Recht hält.

Natürlich gibt es eine Zusammenarbeit mit Sicherheitsbehörden, wenn wir gesetzlich dazu verpflichtet sind.

Frank Rieger, Sprecher des Chaos Computer Club kommentiert gegenüber netzpolitik.org:

Die Telekom wie auch alle anderen Telekommunikationsunternehmen muss alle Geheimabkommen mit In- und Ausländischen Behörden und Geheimdiensten komplett offenlegen. Die Anbieter müssen sich entscheiden, wem ihre Loyalität gehört: ihren Kunden oder dem Gekungel mit den Geheimdiensten.


Hier noch der Volltext von Artikel 2:

ARTICLE 2: FACILITIES, INFORMATION STORAGE AND ACCESS

2.1 Except (to the extend and under conditions concurred in by the FBI and the DOJ in writing:

(a) all Domestic Communications Infrastructure that is owned, operated, or controlled by VoiceStream shall at all times be located in the United States and will be directed, controlled, supervised and managed by VoiceStream; and

(b) all Domestic Communications Infrastructure not covered by Section 2.1(a) shall at all times be located in the United States and shall be directed, controlled, supervised and managed by a U.S. Subsidiary, except strictly for bona fide commercial reasons;

(c) all Domestic Communications that are carried by or through, in whole or in part, the Domestic Communications Infrastructure shall pass through a facility under the control of a US, Subsidiary and physically located in the United States, from which Electronic Surveillance can be conducted pursuant to Lawful U.S. Process. DT will provide technical or other assistance 1o facilitate such Electronic Surveillance.

2.2 DT shall take all practicable steps to configure its Domestic Communications Infrastructure to be capable of complying, and DT’s employees in the United States will have unconstrained authority to comply, in an effective, efficient, and unimpeded fashion, with:

(a) Lawful U.S. Process,

(b) the orders of the President in exercise of bis/her authority under § 706 of the Communications Act of 1934, as amended, (47 U.S.C. § 606), and under § 302(e) of the Aviation Act of 1958 (49 U.S.C. § 40107(b)) and Executive Order 11161 (as amended by Executive Order 11382), and

(c) National Security and Emergency Preparedness rules, regulations and orders issued pursuant to the Communications Act of 1934, as amended (47 U.S.C. § 151 et seq.)

2.3 U.S. Subsidiaries shall make available in the United States the following:

(a) stored Domestic Communications, if such communications are stored by a U.S. Subsidiary (or any entity with which a U.S. Subsidiary has contracted or made other arrangements for data or communications processing or storage) for any reason;

(b) any Wire Communications or Electronic Communications (including any other type of wire, voice er electronic Communication not covered by the definitions of Wire Communication or Electronic Communication) received by, intended to be received by, or stored in the account of a customer or subscriber of a U.S. Subsidiary, if such communications are stored by a U.S. Subsidiary (or any entity with which a U.S. Subsidiary has contracted or made other arrangements for data or communications processing or storage) for any reason;

(c) Transactional Data and Call Associated Data relating to Domestic Communications, if such data are stored by a U.S. Subsidiary (or any entity with which a U.S. Subsidiary has contracted or made other arrangements for data or communications processing or storage) for any reason;

(d) Subscriber Information concerning customers or subscribers of a U.S. Subsidiary, if such information are stored by a U.S. Subsidiary (or any entity with which a U.S. Subsidiary has contracted or made other arrangements for data or communications processing or storage) for any reason; and

(e) billing records relating to customers and subscribers of a U.S. Subsidiary for so long as such records are kept and at a minimum for as long as such records and required to be kept pursuant to applicable U.S. law or this Agreement.

2.4 U.S. Subsidiaries shall ensure that the data and communications described in Section 2.3(a) – (e) of this Agreement are stored in a manner not subject to mandatory destruction under any foreign laws, if such data and communications an: stored by a U.S. Subsidiary (or any entity with which a U.S. Subsidiary has contracted or made other arrangements for data or communications processing or storage) for any reason. U.S. Subsidiaries shall ensure that the data and communications described in Section 2.3(a) – (e) of this Agreement shall not be stored by a U.S. Subsidiary (or any entity with which a U.S. Subsidiary has contacted with or made other arrangements for data or communications processing or storage) outside of the United Stales unless such storage is strictly for bona fide commercial reasons weighing in favor of storage outside the United Stales.

2.5 DT shall store for at least two years all billing records maintained by U.S. Subsidiaries for their customers and subscribers.

2.6 Upon a request made pursuant to 18 U.S.C. § 2703(f) by a governmental entity within the United States to preserve any information in the possession, custody, or control of DT (hat relates to (a) a customer or subscriber of a U.S. Subsidiary, or (b) any communication of such customer or subscriber described in (a) above, or (c) any Domestic Communication, DT shall store such preserved records or other evidence in the United States.

2.7 Nothing in this Agreement shall excuse DT from any obligation it may have to comply with U.S. legal requirements for the retention, preservation, or production of such information or data.

2.8 Except strictly for bona fide commercial reasons, DT shall not route a Domestic Communication outside the United States.

2.9 DT shall comply, with respect to Domestic Communications, with all applicable FCC rules and regulations governing access to and storage of Customer Proprietary Network Information (“CPNI”), as defined in 47 U.S.C. § 222(f)(1).

Update: Die Telekom bittet uns, Falschaussagen zu korrigieren. Wir hängen den Korrekturwunsch hier einfach mal an, damit sich jede/r selbst ein Bild zwischen der Darstellung von uns und der der Telekom machen kann:

In Ihrem Artikel sind falsche Aussagen enthalten, bitte stellen Sie diese richtig. Die korrekten Aussagen hatte ich Ihnen ja geschickt.

Weder die Telekom noch T-Mobile USA verpflichten sich zur Überwachung. T-Mobile USA ist verpflichtet, sich an amerikanisches Recht zu halten und die Deutsche Telekom mischt sich nicht ein. Das besagt das CFIUS-Abkommen.

Ich habe zudem nie gesagt, dass wir selbstverständlich mit Sicherheitsbehörden zusammenarbeiten, sondern dass wir uns an das jeweilige nationale Recht halten. Das gilt selbstverständlich auch für T-Mobile USA.

Sie veröffentlichen das Abkommen auch nicht exklusiv, es ist längst im Netz abrufbar und wurde von uns vor mehr als zehn Jahren kommuniziert sowie von der Presse aufgegriffen.

Stellen Sie diese falschen Aussagen bitte umgehend richtig.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

April 17 2013

ACLU fordert Mobilfunkunternehmen auf, über Android-Sicherheitsrisiken zu informieren

Die Bürgerrechtsgruppe ACLU (American Civil Liberties Union) hat gestern eine Beschwerde gegen die gegen die Mobilfunkanbieter Sprint, T-Mobile, AT&T und Verizon eingereicht. Zwei große Probleme führen sie an: Zum einen würden von Google gelieferte Android-Updates verzögert oder gar nicht an die Kundinnen und Kunden weitergegeben. Dadurch würden Sicherheitsheitslücken nicht geschlossen und Smartphones seien Malware, Bugs und Exploits ausgesetzt. Als zweiten Grund für die Beschwerde gibt ACLU an, dass die Mobilfunkunternehmen ihre Kundinnen und Kunden nicht darüber informieren, dass Sicherheitsrisiken bei den von ihnen angepassten Android-Versionen bestehen. Ziel der Beschwerde ist eine Untersuchung durch die Federal Trade Commission (Bundeshandelskommission) anzustoßen, die letztendlich die Mobilfunkunternehmen dazu zwingt, Kundinnen und Kunden über die Sicherheitsrisiken des angepassten Androids zu informieren und ihnen die Möglichkeit gibt, ihre Handys umzutauschen oder zurückzugeben.

In der Beschwerde heißt es, die Unternehmen..

..have failed to warn consumers that the smartphones sold to them are defective, that they are running vulnerable software, and that other smartphones are available that receive regular, prompt updates to which consumers could switch.

Das größte Problem sei, dass Mobilfunkunternehmen die Software-Updates für ihre Android-Geräte von Beginn des Kaufs an kontrollieren, und sie es somit auch in der Hand haben, den Zeitpunkt für Updates zu bestimmen und nicht etwa Google. Bei vielen Android-Geräte ändern Mobilfunkunternehmen das von Google hergestellte Standard-Android und versehen es mit eigenen Benutzeroberflächen und anderen Merkmalen. Das verhindert, dass Benutzer Updates direkt von Google empfangen. So läuft etwa die Android Version 2.3, die 2011 veröffentlicht wurde, noch immer auf etwa 44 Prozent aller Android-Geräte, die aktuelle Version 4.2 nur auf rund zwei Prozent.

ACLU fordert, dass Mobilfunkunternehmen ihre Kundinnen und Kunden warnen sollen, dass angepasste Android-Versionen bekannte, nicht gepatchte Sicherheitslücken haben. Bei solchen Unternehmen, die keine regelmäßigen Updates durchführen, soll es ermöglicht werden, den Vertrag ohne zusätzliche Kosten zu kündigen. Zudem soll ermöglicht werden, Smartphones mit angepassten Android-Versionen, die nicht älter als zwei Jahre sind, gegen ein anderes Smartphone auszutauschen, das regelmäßige Updates erhält (von Anbietern von mobilen Betriebssystemen, also nicht nur Google) – oder den vollen Preis zurück zu verlangen.

When you walk into the Verizon store or the AT&T store, and you’re picking your phone, right now you pick the phone which is the cheapest, or the fastest, or the one with the best battery,” Soghoian says. “If consumers at the time of purchase realize that one phone will get updates and the other will never get updates, that might be a factor in their choice. But the market won’t function if consumers don’t have enough information.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

July 24 2012

Malte Spitz bei TED: Your phone company is watching

Der Grünen-Politiker Malte Spitz hat von der Telekom seine Vorratsdaten eingefordert, über die Aktion und die Auswertung der Daten hat netzpolitik.org laufend berichtet. Jetzt konnte er seine Geschichte in einem TED-Talk einem globalen Publikum erzählen. Dafür erhielt er Standing Ovations.

Das Video von ted.com (Direktlink):



Hintergrund:

flattr this!

Reposted bymondkroetecoloredgrayscale

January 31 2012

Niederländische ISPs blocken Piratebay nicht freiwillig

Nach einem Gerichtsurteil, das zwei niederländischen Internetanbietern vorschreibt, das Filesharing-Portal “The Pirate Bay” für ihre Kunden zu sperren, wollen sich zwei weitere Anbieter nicht freiwillig an den Sperren beteiligen.

Die von der Contentindustrie finanzierte niederländische Anti-Piraterie-Organisation BREIN hatte nach dem Urteil auch andere Internetanbieter aufgefordert, sich den im Urteil verfügten Netzsperren ohne weiteres gerichtliches Vorgehen anzuschließen. Diesen Forderungen erteilten die beiden großen Provider KPN und T-Mobile heute eine Absage: Für eine so schwerwiegende Maßnahme wie Internetzensur sei man ohne richterliche Anordnung nicht bereit. Zudem stehe man für ein offenes Internet und empfehle der Contentindustrie, robuste und attraktive Geschäftmodelle zu finden, die gleichermaßen für Kunden und Hersteller fair seien.

Ob dieser Widerstand angesichts der aktuellen Rechtsprechung auf lange Sicht erfolgreich sein wird, bleibt abzuwarten. Den meisten Kunden dürfte das allerdings ohnehin  egal sein, da sich die Blockaden mit wenigen Klicks über Proxy-Server im Ausland umgehen lassen.

January 26 2012

Neue Verkehrsdaten von Malte Spitz: Vorratsdatenspeicherung geht auch ohne Gesetz weiter

Korrelation zwischen Gesprächsteilnehmer und Uhrzeit und wie ähnlich diese sind Der Grünen-Politiker Malte Spitz hat erneut Daten erhalten, die sein Mobilfunkanbieter über seinen Anschluss speichert. Diese belegen, dass die Vorratsdatenspeicherung im Bereich Mobilfunk auch ohne explizites Gesetz weiter geht, nur die Speicherdauer ist teilweise kürzer.

Bereits letztes Jahr hat er einen ersten Datensatz eingeklagt, dessen anschauliche Aufbereitung mit einem Grimme Online Award ausgezeichnet wurde.

Datentypen und Speicherdauer

Der aktuelle Datensatz belegt, dass Mobilfunkanbieter auch nach dem Urteil des Bundesverfassungsgerichts zum deutschen Vorratsdatenspeicherungs-Gesetz diese Daten weiterhin speichern:

Eine zentrale Botschaft ist, zumindest bei T-Mobile Deutschland, dass, was die Kategorien angeht, heute der gleiche Datenumfang gespeichert wird, wie zu Zeiten der Vorratsdatenspeicherung, nämlich bis zu 29 Einzelinformationen. Trotz des Urteils des Bundesverfassungsgerichts wird eine Vielzahl an Daten umfassend vorgehalten.

Vor dem Gesetz 2008 haben die Anbieter “nur” Daten für die Rechnung und die Netz-Infrastruktur vorgehalten. Durch das Gesetz wurde der Datenkatalog, entgegen der Behauptung von Innenpolitikern, ausgeweitet und um weitere Datentypen erweitert. Auch heute noch speichern die Anbieter den vollen Datenkatalog:

Selbst Informationen, die vor 2008 nicht gespeichert wurden, sondern dessen Speicherung erst nach Inkrafttreten der deutschen Implementierung der Richtlinie zur Vorratsdatenspeicherung als Verpflichtung auf Grund der Umsetzungsordnung begonnen hat, wird weiter vorgenommen, ohne das eine Abrechnungsrelevanz vorliegt. Damit wird eindeutig gegen das Ziel der Datensparsamkeit verstoßen.

Aus rein marktwirtschaftlicher Perspektive (also dem Hauptinteresse der Anbieter) macht das sogar Sinn. Die Anbieter mussten zur Umsetzung des Gesetzes viel Geld investieren, um den neuen Speicherverpflichtungen nachzukommen. Das mussten sie komplett aus eigener Tasche bezahlen, also durch die Einnahmen von Endkunden. Nun hat das Bundesverfassungsgericht die Vorratsdatenspeicherung nur vorläufig gekippt, Forderungen nach einer Wiedereinführung lassen nicht nach. Wahrscheinlich wollen die Anbieter also jetzt nicht nochmal Geld für eine Datenreduzierung ausgeben, nur um dann bei einem neuen Gesetz schon wieder die Implementierung bezahlen zu müssen. Daher haben manche Anbieter einfach den Zeitraum gekürzt, den die Daten gespeichert werden:

Lediglich die Speicherdauer hat sich von 180 Tagen auf 30 Tage reduziert. Damit ist die heutige Speicherpraxis unverhältnismäßig und widerspricht meiner Meinung nach gegen die Datensparsamkeit.

Das ist auch den Behörden bekannt, wie der Leitfaden zum Datenzugriff der Generalstaatsanwaltschaft München belegt. Demnach speichert T-Mobile Verkehrsdaten und Funkzellendaten für einen Monat. Während Vodafone und O2 die Daten für eine Woche vorhalten, sind es bei E-Plus sogar drei Monate. Einige Festznetz-Anbieter speichern alle Verkehrsdaten sogar weiterhin volle sechs Monate.

Keine harmlosen Daten

Die gespeicherten Daten werden weder alle für die Rechnung benötigt (bei Prepaid oder Flatrate schon gar nicht), noch sind diese Daten harmlos:

Es werden deutlich mehr Daten gespeichert als für die notwendigen Schritte erforderlich. Insbesondere so sensible Daten wie die Funkzellen, Geokoordinaten und der entsprechende Abstrahlwinkel. Diese Speicherung kann in Städten dazu führen, dass man auf wenige Meter (30 bis 50 Meter) genau getrackt werden kann.

Die Sensibilität der Bewegungsdaten wurde durch die ursprüngliche Visualisierung bereits eindrücklich verdeutlicht. Dieses Mal hat Malte auch die Telefonnummern der eingehenden und ausgehenden Anrufe und SMS erhalten, aus denen man Rückschlüsse auf die Kommunikationspartner und Kommunikationsstrukturen schließen kann:

Neben der Kenntlichmachung meines Lebens – wo und wann ich mich wie oft aufhalte, zu welchen Zeiten ich wie üblicherweise kommuniziere – lassen sich diesmal auch soziale Profile und Kommunikationsnetze erstellen. Dadurch, dass ansatzweise ableitbar ist, mit wem ich kommuniziert habe, lassen sich soziale Bindungen eindeutig aufzeigen und in Verbindung setzen – welche Rufnummern rufe ich zu ähnlichen Zeiten an, welche immer nur werktags usw.

Auch ohne die Namen und Adressen hinter den anderen Rufnummern zu kennen, offenbaren diese Daten sensible Details:

Liegen entsprechende Daten von mehreren Rufnummern vor, lassen sich soziale Verbindungen zueinander eindeutig nachzeichen. Dies ist auch im Zusammenhang mit der aktuellen Debatte um die Funkzellenabfrage in Berlin relevant.

Regelmäßigkeit der Kommunikation auf den Tag verteilt zu den zehn häufigsten Anschlüssen Zur Verdeutlichung haben die Jungs von OpenDataCity zwei Grafiken erstellt. Oben im Artikel sieht man die Korrelation zwischen Gesprächsteilnehmer und Uhrzeit und wie ähnlich diese sind. Sowie die Regelmäßigkeit der Kommunikation auf den Tag verteilt zu den zehn häufigsten Anschlüssen:

Mal sehen, vielleicht lassen sich ja noch weitere Informationen aus den Daten extrahieren und darstellen.

Politische Forderungen

Dass all diese Daten für lange Zeiträume weiterhin gespeichert werden, wird von Datenschützern wie dem Arbeitskreis Vorratsdatenspeicherung heftig kritisiert. Das sieht auch der Richter Ulf Buermeyer so:

Rath: Warum sind bei den Providern diese Daten noch Tage und Wochen später vorhanden? Wir haben doch derzeit gar keine Vorratsdatenspeicherung …
Buermeyer: Das ist in der Tat bedenklich. Jedenfalls sollten die Datenschützer das dringend mit den Providern klären. Zulässig ist eine Speicherung derzeit nur zu bestimmten eigenen Zwecken der Diensteanbieter, etwa zur Sicherung der Netzqualität. Begehrlichkeiten der Ermittlungsbehörden und die Tatsache, dass die Provider mit Abfragen ja auch Geld verdienen, dürfen dabei keine Rolle spielen.

Malte stellt in seinem Blog-Beitrag folgende Forderungen auf:

  • das Ende der Speicherung von Funkzellen und von Geokoordinaten
  • klare Vorgaben und Festlegung, welche Daten zu Abrechnungszwecken tatsächlich relevant sind und dass diesen Daten eine möglichst niedrige Höchspeicherdauer zugrunde liegen muss.
  • Es bedarf einer transparenten Überprüfung der Speicherung entsprechender Verkehrsdaten bei allen Mobilfunkanbietern durch die zuständige Aufsicht
  • ein Abschaffung der Richtlinie zur Vorratsdatenspeicherung in ganz Europa.

Der Datenschützer Patrick Breyer zeigt sich übrigens verwundert, warum noch niemand gegen die in seinen Augen “illegale” Speicherpraxis der Anbieter geklagt hat. Vielleicht sollte das einfach mal gemacht werden.

Reposted bymondkroetebrightbyteFreeminder2302mydafsoup-01RKL337hiumdatenwolfincjaggerreturn13leyrereat-slowMaybeADayOffpaket

January 12 2011

UK: Traffic-Kürzung bei T-Mobile,Deep Packet Inspection bei Vodafone UND T-Mobile [Update]

T-Mobile UK hat sich entschieden, bei allen Tarifen das maximale Datenvolumen auf 500MB zu beschränken – und zwar unabhängig vom monatlichen Preis und auch für laufende Verträge. Der teuerste Vertrag beinhaltete bisher 3GB und wird wie alle anderen mit Beginn des nächsten Monat gekürzt. Die Ankündigung liest sich ziemlich zickig und belehrend:

Browsing means looking at websites and checking email, but not watching videos, downloading files or playing games. We’ve got a fair use policy but ours means that you’ll always be able to browse the internet, it’s only when you go over the fair use amount that you won’t be able to download, stream and watch video clips.

Interessant: T-Mobile hält die Bedingungen seiner eigenen AGBs nicht ein, und kündigt die Änderung mit weniger als 30 Tagen Vorlauf an und öffnet somit Widersprüchen der Kunden Tor und Tür. Während Verbraucheranwälte sich einig sind, dass dies zur Sonderkündigung berechtigt, ist unklar, ob die Kunden dann auch das subventionierte Smartphone behalten dürfen. T-Mobile kündigte an, bald weitere Erläuterungen folgen zu lassen. Vermutlich wird diesmal ein PR-Team damit betraut werden, das die Pressemitteilung nicht mit

if you want to download, stream and watch video clips, save that stuff for your home broadband.

enden lässt. In der Tat sind die Worte klar gewählt: “Browsen ist Webseiten und Emails lesen. Für alles andere gibt es zu Hause Breitband.” In den USA beliebte Streaming-Anbieter wie Spotify oder die BBC werden also von T-Mobile de facto ausgeschlossen. Ein Sprecher gab bekannt, dass der durchschnittliche Nutzer nur 200MB nutzt, und die Begrenzung auf 500MB daher immer noch keine Einschränkung darstellen würde – aber was will er uns damit sagen? [Update]: Das angekündigte Statement ist veröffentlicht worden. T-Mobile rudert zurück und lässt die neue Regelung nur für Neukunden gelten. Das begegnet den Einwänden der Verbraucherschützer, jedoch nicht dem Image-Schaden, der in den letzten Tagen entstanden ist. (Danke, Felix) [/Update]

Das Stichwort Netzneutralität ist bei dieser Debatte nicht weit entfernt, auch wenn T-Mobile ja nur angibt, das Volumen zu begrenzen. Man kann also zukünftig – völlig netzneutral – auch noch Videos gucken – aber eben nur 500MB.

Die für das Brechen netzneutraler Prinzipien notwendige Sprachregelung, die “solchen” von “solchem” Inhalt unterscheidet, kommt aber wohl kaum zufällig zum Einsatz.

Anders sieht es bei Vodafone UK aus, dort gab eine (unbedarfte?) Hotline-Mitarbeiterin gegenüber Monica Horten freimütig Auskunft über die zum Einsatz kommende Deep Packet Inspection aus dem Hause BlueCoat. K9 scheint die angewandte Lösung zu sein, und ist Teil von PacketShaper, einer Kontroll-, Überwachungs- und Shaping-Lösung. Die wird von BlueCoat beworben mit

Das Überwachungsmodul des PacketShaper’s gibt Aufschluss über alle Netzanwendungen, und ermöglicht so eine einfache Identifizierung und Messung aller Datenverkehrstypen. [...]

Prüfen Sie den Auslastungsgrad und die Performance Ihres Netzwerks und dessen Datenverkehrstypen, wie geschäftskritische, private und nicht gestattete Anwendungen, anhand von links, Nutzern und Anwendungen. [...]

Ähnlich wie bei T-Mobile wird die Beeinträchtigung und Überwachung der Nutzer natürlich als Feature beworben: content controls (“Inhaltskontrolle”) sind als Extra-Service per Standard aktiviert. Und, wie es das EU-Gesetz vorschreibt, werden die Nutzer auch darüber informiert. Irgendwo im Internet. Immerhin: Man kann die content controls abbestellen. BlueCoat ist übrigens ein kalifornisches Unternehmen, und verwaltet auch die Kategorisierung der Seiten in ‘gut’ und ‘böse’. Nach welchen (christlichen?) Maßstäben das geschieht, ist natürlich nicht nachvollziehbar. So kommen dann die bekannten Fälle zustande, dass der CCC als Terrorismus geblockt wird.

[Update] Content Controls gibt es auch bei T-Mobile UK per default. Wer findet weitere “transparente Ankündigungen”? [/Update]

Monika Horten, die über den Vodafone-Fall berichtet, war Expertin für das Telekom-Paket, und hat sich dort für Netzneutralität, gegen 3-Strikes und andere Gängeleien erfolgreich eingesetzt. Bei Fragen der Netzneutralität sorgten die Lobbyisten der Telkos für die schwammigen Regeln, die wir jetzt auf EU-Ebene haben. Argument war, dass die Transparenzverpflichtung ausreichend würde, um den Rest dem Markt zu überlassen. Das Ergebnis sieht man jetzt.

Eine seit 2005 ‘transparent” eingesetzte Filtertechnik wird 5 Jahre später durch Zufall entdeckt.

Reposted bykrekkmondkroetealphabet
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl