Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

January 31 2014

Snowden: Der kanadische Geheimdienst trackt Fluggäste über kostenloses W-LAN

Durch ein von CBC News veröffentlichtes Dokument des kanadischen Geheimdienstes CSEC wurde bekannt, dass 2012 im großen Stil Gerätedaten von Passagieren an einem großen kanadischen Flughafen systematisch gesammelt wurden. Diese wurden dazu genutzt um Bewegungsprofile der betreffenden Personen über einen Zeitraum von insgesamt einem Monat zu erstellen. Dazu hatte sich das CSEC Zugang zum kostenlosen W-LAN des Flughafens verschafft und die Geräte-Identifikatoren aller angemeldeten Geräte gesammelt.

Aus dem Dokument heraus wird nicht einwandfrei ersichtlich, mit welchen Methoden CSEC Zugriff auf W-LAN des unbekannten Flughafens erhalten hat, noch wie sie Geräte auch zwei Wochen später in den W-LANs von Hotels, Bibliotheke, Coffee-Shops oder auch US-amerikanischen Flughäfen orten konnten. Sowohl die Sprecher des Flughaven Vancouvers wie des Hardwareliferanten Boingo, der für die W-LAN–Infrastruktur an mehreren kanadischen Flughäfen verantwortlich ist, sprechen jede Kooperation mit den Geheimdiensten ab. Aber wie wir wissen, hat der NSA schon seit geraumer Zeit die technische Infrastruktur, auf W-LANs in der Entfernung zuzugreifen. Zur Not auch per Drohne.

Nach Einschätzung von Ronald Deibert, dem Direktor des Canada Centre for Global Security Studies spricht jedoch einiges dafür, dass CSEC einen direkten Zugriff auf die Haupttelefonkabel und Internetkabel in Kanada haben muss. Diese Aktion selbst war ein Testlauf für gemeinsam mit der NSA entwickelte Software zur Personenverfolgung via IP Profiling. Ein “game-changer”, wie die interne Präsentation es nennt. Mögliche Anwendungsbereiche skizziert das Dokument zum Beispiel auch, wie vollautomatisiertes Alarmschlagen, sobald ein “Terrorist” ein Flugzeug oder ein Hotel betreten will, oder das Rückverfolgen der Position von auffälligen Personen. In beiden Fällen greift der Geheimdienst auf öffentliche W-Lan-Zugänge zurück und überwacht sie in Echtzeit (zwar wird angemerkt, dass das Programm in der Praxis noch viel zu langsam laufen würde, nach Informationen des CBC ist das Programm aber mittlerweile lauffähig und nutzbar).

Ähnlich wie jüngst die Datenschutzbehörde der USA das NSA-Vorratsdatenprogramm als gesetzeswidrig bezeichnet hat, sehen RechtsexpertInnen wie Ronald Deibert oder Wesley Wark das Mandat des kanadischen Geheimdienstes als eindeutig überschritten an. Das Verfahren des ID-Profiling ist so ausufernd, dass Wark dem CSEC sogar nahe legt, dass sie den Rest der Five Eyes damit beeindrucken wollten.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 30 2014

Land unter Kontrolle – Die Geschichte der Überwachung der BRD

Vor kurzem lief auf 3sat die Dokumentation “Land unter Kontrolle – Die Geschichte der Überwachung der BRD” (Mediathek, YouTube). Zu Wort kommen unter anderem der Historiker Josef Foschepoth, der nochmal erklärt, warum die Bundesrepublik so fürsorglich vollüberwacht werden kann, ein Beamter der Bundespost, der vom Briefeöffnen und -vernichten erzählt, oder auch der frühere SPD-Bundestagsabgeordnete Claus Arndt, der die Hintergründe des G10-Gesetzes vorstellt.

Die Bundesrepublik ist ein überwachtes Land, das beweist der NSA-Skandal. Und es war nie anders. Untersuchungen des Historikers Josef Foschepoth zeigen: Quer durch die Republik lagen während des Kalten Krieges (und liegen immer noch) geheime Abhöreinrichtungen. Tonnen an Briefen aus dem Osten wurden abgefangen, geöffnet und zum Teil vernichtet. Ebenso wurden Millionen von Telefongesprächen abgehört, Fernschreiben und Telegramme abgeschrieben und von den Alliierten, aber auch den westdeutschen Geheimdiensten nachrichtendienstlich ausgewertet und genutzt. Seit Konrad Adenauer unterschrieben alle Kanzler geheime Dokumente, die den Alliierten großzügige Rechte zugestanden, Rechte, die das westdeutsche Grundgesetz, zum Beispiel das Fernmeldegeheimnis, brachen. Mindestens bis zum Mauerfall war in Sachen Überwachung die Bundesrepublik nicht souverän. Ist sie es heute?


Wer sich in nächster Zeit mal selber einen Fernseh-Themenabend mit dem Motto “Kein schöner Land” zusammenstellen will, dem sei dazu der nicht ganz unpassende Vortrag “Der tiefe Staat” von Andreas Lehner auf dem 30C3 empfohlen (media.ccc.de, YouTube), der einige hinterfragenswerte infrastrukturelle Merkwürdigkeiten ebenso beleuchtet wie politische Konstellationen und Verbindungen zwischen Industrie, Geheimdiensten und Politik.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01 02mydafsoup-01

NSA und Co. kümmern sich auch um die globale Erwärmung

Heute wurde in Zusammenarbeit mit Huffington Post und der dänischen Tageszeitung Dagbladet Information ein neues NSA-Dokument veröffentlicht. Dieses zeigt, dass die NSA zusammen mit ihren “Second Party”-Partnern, den Five Eyes,  auf dem UN-Klimagipfel 2009 in Kopenhagen (COP 15) die Vorbereitung und Zielsetzung der beteiligten Länder im Auge behielt.  Das Papier führt auch aus, dass die Ergebnisse des Treffens, das eine Einigung über die Senkung der Treibhausgasemissionen zum Ziel hatte, um der globalen Erwärmung entgegenzuwirken, maßgeblich für die USA seien und “weitreichende Auswirkungen auf Außenpolitik, Umweltfragen und Energieversorgungssicherheit” haben würden.

Es sei daher von großer Bedeutung über die Allianzen und Verhandlungspositionen anderer im Bilde zu sein. Einsichten habe man bereits in ein Dokument, das die indisch-chinesische Zusammenarbeit belege und einen vorläufigen Entwurf Dänemarks. Die NSA versichert zuletzt, dranzubleiben, denn:

Der Ausgang der COP 15 bleibt ungewiss, aber Geheimdienstaufklärung wird zweifellos eine wichtige Rolle dabei spielen, unsere Verhandlungsführer während der zweiwöchigen Veranstaltung so gut wie möglich zu informieren.

Durch vorige Leaks war bereits bekannt, dass NSA und ihre Partner auch andere UN-Gipfel überwachen wie 2007 in Bali, von daher ist dieser Aspekt nicht sonderlich schockierend. Interessant ist das jetzt bekannt gewordene Dokument in anderer Hinsicht, denn der Ausgang und Ablauf des Klimagipfels in Kopenhagen war auf ganzer Linie enttäuschend. Einen Skandal löste der sogenannte “Danish Text” aus, der vermutlich von dem hier erwähnten Entwurf Dänemarks referenziert wird. Dieser sollte Entwicklungsländern geringere Emissionen als den Industrienationen erlauben und entfachte damit nach seinem Bekanntwerden massive Konflikte.

Und auch das Gesamtergebnis der Konferenz blieb unbefriedigend. Man fand keine, wie auf der Vorläuferkonferenz in Bali als Ziel gesetzt, Nachfolgeregelung für das Kyoto-Protokoll und auch eine Selbstverpflichtung der Nationen auf eine Halbierung des weltweiten CO2-Ausstoßes bis 2050 konnte nicht durchgesetzt werden. Der „Copenhagen Accord“, der die Ergebnisse des COP 15 zusammenfasst und keinerlei Verbindlichkeit enthält, formuliert als kleinsten Nenner lediglich, dass man die Erderwärmung auf weniger als 2 °C gegenüber dem vorindustriellen Wert einschränken wolle, die notwendigen Schritte und ein gemeinsames Vorgehen dafür wurden nicht formuliert.

Der Wissensvorsprung der USA lässt dieses schwache Ergebnis in anderem Licht erscheinen, denn diese hatten sich schon 1997 geweigert, das Kyotoprotokoll zu unterzeichnen. Im Nachgang erwähnte nun auch ein dänischer Vertreter, der an COP 15 beteiligt war, er sei oftmals vollkommen erstaunt gewesen, in welchem Maße die USA über vertrauliche Verhandlungen im Bilde gewesen seien. Mal sehen, ob die dänische Ministerpräsidentin Helle Thorning-Schmidt nun immer noch auf ihrem Standpunkt beharrt, es gebe keinen Grund zu glauben, dass die USA in Dänemark unrechtmäßige Überwachungsmaßnahmen durchgeführt hätten. Vielleicht bringt dazu eine heute zum Thema stattfindende Diskussion im dänischen Parlament neue Einsichten.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 28 2014

“Leave Traffic Here” – Wenn du nicht willst, dass die NSA es weiß, erzähl es auch nicht deinem App-Anbieter

Woran merkt man, dass die aktuellen Enthüllungen um NSA und GCHQ sich auf die jüngere Vergangenheit beziehen?

  1. Es hat mit Smartphones und Angry Birds zu tun.
  2. Die Präsentationen sehen nicht mehr ganz so grausam aus.

Aber zurück zu den Inhalten: In einem gemeinschaftlichen Bericht haben New York Times, The Guardian und ProPublica neue Dokumente aus dem Snowden-Fundus kommentiert. Die demonstrieren, wie Inhaltsdaten aus Smartphone-Apps NSA und GCHQ bei der Informationsbeschaffung dienen. Dass sich die Geheimdienste mittlerweile auf Smartphones konzentrieren, liegt nahe. In der GCHQ-Präsentation heißt es, man erwarte, dass 2015 90% des Internetverkehrs von Mobilgeräten stammen werde.

Ausgenutzt wird dabei die Tatsache, dass jede Menge existierender Apps eine Vielzahl an Informationen über den Nutzer und dessen Gerät sammeln, auch wenn diese nicht für den eigentlichen Bestimmungszweck notwendig wären. Wie im Beispiel der Taschenlampen-App, die fleißig Ortsinformationen übertrug, um sie danach gewinnbringend an Marketingfirmen weiterzuleiten.

Die Übertragung solcher Informationen ist im Regelfall nicht weiter geschützt, die Angaben laufen teilweise sogar im Klartext durch das Netz und es ist nur logisch, dass die Geheimdienste das ausnutzen. Oder wie es der Untertitel der NSA-Präsentation treffend sagt: “Identifizierung/Verarbeitung/Erledigung – Alles nichts Besonderes”

Neben statischen Angaben zu Geschlecht, Alter, sexueller Orientierung, die von manchen Apps gesendet werden, sind die Geheimdienste vor allem auch an übertragenen Ortsinformationen interessiert. So weist die NSA darauf hin, dass GPS-Daten von Android unverschlüsselt übertragen werden und sich aus Fotos, die ein Nutzer macht und auf eine Plattform hochlädt, durch Auslesen der EXIF-Informationen Zeit und Ort der Aufnahme extrahieren lassen: “Es liegt alles in den Metadaten, nicht in den hübschen Bildern.”

Weitere Angaben, an denen man interessiert ist, umfassen unter anderem Adressbücher, heruntergeladene Dokumente, unterstützte und eingesetzte Verschlüsselung, besuchte Websites und Telefoneinstellungen. Schon jetzt könne man die Ortsinformation über praktisch jedes Telefon ermitteln. Herausforderungen scheinen aber noch darin zu liegen, die Angaben automatisch so zu taggen, dass sie für Analysten nützlich sind.

Illustration aus der NSA-Präsentation

Illustration aus der NSA-Präsentation

Was diese Nachrichten uns Neues bringen, ist nicht, dass die NSA Informationen auf unseren Mobiltelefonen ausspäht, sondern dass es ihnen durch die Praxis der App-Entwickler und Anbieter mobiler Dienste unvorstellbar leicht gemacht wird. Niemand kann plausibel erklären, warum eine App wie AngryBirds wissen muss, ob der Nutzer verheiratet, geschieden oder Single ist. Daten, die nicht entstehen, können nicht abgegriffen werden. Und da liegt die Verantwortung nicht nur bei Politik und Gesetzgebung, der NSA das Schnüffeln zu verbieten, sondern auch bei den Entwicklern, Datensparsamkeit umzusetzen. Und bei jedem Einzelnen selbst, kurz innezuhalten, bevor er Informationen von sich preisgibt. Und zu überlegen, ob diese zur Erfüllung seines Ziels wirklich notwendig sind.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 26 2014

Erst auf Twitter, dann im Fernsehen: Snowden kommuniziert zunehmend mit der Öffentlichkeit

Am Donnerstag fand das hier angekündigte Twitter-Interview mit Edward Snowden statt. Unter dem Hashtag #AskSnowden konnten Fragen gestellt werden, die dann – mit viel Glück – beantwortet wurden. Aufgrund der Masse an Beiträgen war es wohl sehr schwer, eine Auswahl zu treffen. Diese findet man, mit den zugehörigen Antworten, auf http://freesnowden.is/asksnowden.html.

Nochmal in kurzer Zusammenfassung für euch: Snowden würde gern in die USA zurückkehren, das sei für ihn, die Allgemeinheit und die Regierung die beste Lösung. Doch unter den jetzigen Whistleblower-Schutzgesetzen sei das nicht möglich – denn diese beträfen Auftragnehmer [korrigiert: vorher "Angestellte"] der nationalen Geheimdienste nichteinmal. Außerdem sei kein fairer Prozess für ihn möglich, da der Espionage Act, unter dem er angeklagt ist, öffentliches Interesse nicht als legitimen Grund sehe, mit Geheimnissen an die Öffentlichkeit zu gehen.

Dabei habe er alles versucht, Kollegen und Vorgesetzte auf die Missstände aufmerksam zu machen. Auch habe er sich niemals, wie ihm manchmal vorgeworfen werden, Zugang zu deren Passwörtern verschafft. Er erkennt an, dass diejenigen Angestellten, die bei den Geheimdiensten arbeiteten, im Grunde beste Absichten hätten und sieht auch Geheimdienstarbeit an sich als notwendig an. Es sei der Umfang der stattfindenden Massenüberwachung, der zu weit ginge und auf internationaler Ebene reguliert werden müsse.

Doch Snowden gibt sich trotz der schwierigen Umstände optimistisch. Starke Kryptographie sei weiterhin ein wirkames Mittel, Kommunikation selbst gegenüber der NSA zu schützen; die Regierung stehe unter öffentlichem Druck und könne nicht mehr alles so lassen wie es derzeit sei und zuletzt vertraue er darauf, dass die Demokratie sich von dem Schaden, den sie genommen hat, wieder zu erholen:

Was unser Land stark macht, ist unser Wertesystem und nicht eine Momentaufnahme unserer Behördenstruktur oder Gesetzgebung. Wir können die Gesetze reformieren, die Ausuferung der Behörden eindämmen und die hochrangigen Beamten für die missbräuchlichen Programme zur Rechenschaft ziehen.

Ein interaktiver Dialog mit Snowden war bisher selten. Die meisten seiner Botschaften wurden durch Dritte überbracht – wie beim Besuch von Christian Ströbele, John Goetz und Georg Mascolo. Nun ist wieder ein deutscher Journalist, Hubert Seipel vom NDR, nach Moskau gereist und hatte die Gelegenheit, das weltweit erste Interview mit Snowden zu führen und aufzuzeichnen. Auszüge davon werden heute Abend ab 21:45 Uhr bei Günther Jauch ausgestrahlt. Diskutieren werden darüber, neben dem Journalisten Seipel selbst, John Kornblum, US-Diplomat und ehemaliger Botschafter, Hans-Christian Ströbele, Marina Weisband und Julian Reichelt von bild.de.

Das volle 30-minütige Interview wird anschließend um 23:05 Uhr ausgestrahlt, bis zur zugehörigen Dokumentation werden wir uns jedoch noch bis zum Frühjahr gedulden müssen. Uns erwartet also ein spannender Abend und ich bin gespannt, ob der vorher gezeigte Tatort es damit aufnehmen werden kann.

Was auffällt: Deutsche Medien stehen in der Berichterstattung über Snowden und den Bemühungen, mit ihm in Dialog zu treten, anderen voran. Das generiert zwar auf der einen Seite große mediale Aufmerksamkeit, auf der anderen Seite führt es zu noch viel Wichtigerem: Druck auf die Regierung und das EU-Parlament, endlich selbst eine Befragung Snowdens zustande zu bekommen. Letzteres hat zumindest am 9. Januar im LIBE-Ausschuss mit großer Mehrheit für eine Anhörung abgestimmt. Unklar bleibt noch, ob im Livechat oder aus Sicherheitsgründen mit vorher gesammelten Fragen mittels Videoaufzeichnung.

In Deutschland ist man noch nicht so weit. Zwar scheint mittlerweile zumindest ein Untersuchungsausschuss zur NSA-Affäre hochwahrscheinlich, aber zur Causa Snowdenbefragung werden wohl noch einige Diskussionen nötig sein. Da können journalistische Vorreiter nur nützlich sein, die Regierung mahnend auf ihre eigene Langsamkeit aufmerksam zu machen.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted bywikileaks wikileaks

January 23 2014

Unabhängige Datenschutzbehörde der US-Regierung sieht NSA-Vorratsdatenspeicherung als illegal an.

Das Privacy and Civil Liberties Oversight Board (PCLOB) hat den NSA-Überwachungsprogrammen in einem 238-seitigen Bericht, der der Washington Post und der New York Times vorliegt, ein vernichtendes Urteil ausgestellt, die Sammlung von Vorratsdaten als illegal bezeichnet und den Stopp dieser Programme gefordert.

Im Detail beziehen sie sich dabei auf Absatz 215 des USA Patriot Act, dem gemäß staatliche Behörden nur dann auf Aufzeichnungen von Metadaten zugreifen dürfen, wenn diese für eine aktuelle, autorisierte Ermittlung relevant sind. Dessen Anwendung auf die Programme der NSA stellen sie in Frage, da die millionenfache tägliche Speicherung und Auswertung von Metadaten nicht an einzelne Ermittlungen gebunden ist. Vielmehr sei die Funktion dieser Massenspeicherung die Verbesserung der Anti-Terror-Kapazitäten der Vereinigten Staaten allgemein.

“At its core, the approach boils down to the proposition that essentially all telephone records are relevant to essentially all international terrorism investigations, [this approach is] at minimum, in deep tension with the statutory requirement that items obtained through a Section 215 order be sought for ‘an investigation,’ not for the purpose of enhancing the government’s counterterrorism capabilities generally.”

Da dieses Vorgehen aus der Sicht des PCLOBs explizit nicht durch den Patriot Act abgedeckt wird, kommen sie zu dem Ergebnis, dass die Vorratsdatenspeicherung von Telefonanrufen durch die NSA illegal ist. Dies steht im krassen Widerspruch zu den Aussagen der Regierung, die stets auf die Rechtmäßigkeit der Überwachungsprogramme verwiesen habe.

Nicht nur die Praxis der Speicherung als solche wird von der Behörde kritisiert, sondern auch die Sinnhaftigkeit des Programmes. In einer Untersuchung von 12 Fällen von Terrorismus kamen sie nicht nur zu dem Ergebnis, dass die Vorteile der aus den NSA-Programmen gewonnenen Daten für die Aufklärung minimal waren, sondern auch, dass sie oft lediglich Informationen bestärkten, die unabhängig durch das FBI gewonnen wurden.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted bykrekk02mydafsoup-01

Amnesty International: Der Staat darf seine Verantwortung für die Menschenrechte nicht outsourcen (#VDS)

bochenekDer Leiter der Abteilung Recht und Politik im internationalen Sekretariat von Amnesty International, Michael Bochenek, hat sich in einem Gastbeitrag für die Zeitung The Hill enttäuscht von den Ankündigungen von US-Präsident Barack Obama bezüglich der Überwachungsproblematik gezeigt.

Bochenek geht in dem Artikel darauf ein, wie die Überwachung seine Arbeit und die seiner Organisation erschwert und teilweise unmöglich macht. Treffen mit Opfern von Menschenrechtsverletzungen, Aktivisten und Politikern seien nur möglich, wenn diese darauf vertrauen könnten, dass ihre Identitäten geschützt seien – was er ihnen nicht mehr versprechen könne:

[...] as we now know, there’s no way I can guarantee that details of those meetings and even the content of our communications won’t be captured in some way by U.S. surveillance operations, stored indefinitely, and potentially shared with other governments. In the wrong hands, today or years from now, the accounts I’ve gathered could destroy careers, prompt acts of persecution, and even endanger the lives of those with whom I’ve worked.

Zwar klinge die Ankündigung Obamas, für mehr Transparenz und Kontrolle zu sorgen, erstmal gut. Die Schritte würden aber bei weitem nicht ausreichen: Wenn die angekündigten Richtlinien eine Unterscheidung zwischen Amerikanern und dem Rest der Welt vorsähen, wonach es aussieht, würde in der Praxis wie bisher ein geringes Schutzniveau gelten. Andere Probleme sei Obama überhaupt nicht angegangen: So werde nur die Nutzung, nicht aber die Sammlung von persönlichen Daten eingeschränkt und die massenhafte Sammlung von Daten sogar autorisiert.

Wenn nun Telefongesellschaften und Internetprovider statt der Staat selbst speichern müssten, sei dadurch keinerlei ernsthafter Schutz der Privatsphäre gewonnen. Verwaltungsaufwand werde privatisiert, dabei könne die Regierung ihre Verantwortung für die Menschenrechte nicht outsourcen (hallo SPD, das ist das, was ihr demnächst genauso mit unserer Privatsphäre machen werdet. Danke dafür nochmal).

Amnesty engagiert sich schon seit einiger Zeit in der Debatte. Beispielsweise verurteilte die Organisation im Juli die Behandlung von Edward Snowden:

Snowden ist ein Whistleblower. Er hat Informationen veröffentlicht, die in größtem Interesse der Öffentlichkeit in den USA und weltweit sind. Und anstatt auf die enthüllten Vorgänge einzugehen, setzt die US-Regierung einzig alles daran, Edward Snowden zu ergreifen. “Eine erzwungene Auslieferung an die USA würde Snowden einem großen Risiko aussetzen, Opfer von Menschenrechtsverletzungen zu werden, und muss daher unterbleiben”

Im Dezember schrieb Bochanek zum Thema Überwachung:

Die Art und das Ausmaß der Kommunikationsüberwachung, wie sie von den USA, Großbritannien und anderen Nationen betrieben wird, gibt Anlass zu ernsthaften ­Bedenken bezüglich der Menschenrechte. Es ist offensichtlich, dass das Recht auf Privatsphäre nicht respektiert wird, betroffen sind aber auch die Rechte auf Meinungs- und Vereinigungsfreiheit. Die Privatsphäre ist essenziell für die Freiheit und Würde eines Menschen. Sie ist entscheidend für seine persönliche Identität, Integrität, Intimität, Autonomie und Kommunikation, und sie ist von entscheidender ­Bedeutung für die Gesellschaft insgesamt.

Außerdem leitete die Organisation auf Grund des Verdachts der Verletzung des Human Rights Acts 1988 rechtliche Schritte gegen die britische Regierung ein.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 16 2014

“SMS Text Messages – A Goldmine to Exploit”

Dass die NSA auf unseren Handys mitliest, weiß man. Heute wurden aber zusätzliche Dokumente veröffentlicht, die zeigen, wie die Geheimdienstbehörde SMS auswertet und welche Daten sie daraus analysieren kann. “Dishfire” ist diesmal der Name der Programms. Aus der zugehörigen Präsentation geht hervor, dass im April 2011 194 Millionen SMS dadurch abgefangen und ausgewertet wurden.

Zur Analyse dieser Datenmengen werden sowohl Metadaten als auch “Metacontent” genutzt, sprich: der Kommunikationsinhalt. Daraus lassen sich dann weitere Metainformationen ableiten, sogenannte “content derived metadata”. Für die Auswertung dieser Daten ist ein weiteres Programm, “Prefer”, zuständig. Das extrahiert aus Anrufhistorien Kontaktbeziehungen, ermittelt SIM-Kartenwechsel durch den Abgleich von IMSI und IMEI (dazu hatten wir hier Genaueres erklärt), findet durch Roaminginformationen Grenzübertritte heraus und extrahiert Reise- und Ortsinformationen aus SMS, die beispielsweise Flugpläne oder Routeninfos enthalten. Heikel sind dann noch Finanztransaktionen wie Handypayment, das sich in den letzten Jahren immer mehr verbreitet hat – und somit der NSA eine wichtige Quelle für Konto- und Kreditkartennummern sowie Geldtransfers bietet.

Aber nicht nur die NSA, sondern auch das befreundete GCHQ hat laut The Guardian Zugriff auf die SMS-Datenbank und freut sich, dadurch Zielpersonen zu ermitteln, die sie vorher noch gar nicht als Zielpersonen im Visier hatte. Das stellt einen Unterschied zu GCHQ-Programmen dar, die sich auf Informationen über Zielpersonen konzentrieren, wie eine Notiz von GCHQ klar macht:

Entgegen der meisten äquivalenten Programme von GCHQ enthält DISHFIRE eine Menge unselektierter SMS [...] DISHFIRE sammelt so ziemlich alles, was es kann, deshalb kann man SMS eines Selektors sehen, der gar keine Zielperson ist.

Auch wenn man ein bisschen müde ob der ständigen Neuenthüllungen  mit absurden Programmnamen ist – es wäre fast erstrebenswert, wenn diese Woche noch möglichst viele weitere davon an die Öffentlichkeit gebracht würden. Denn das könnte den Druck auf Obama steigern, der am Samstag seine Entscheidung über den zukünftigen Umgang mit den Geheimdienstberechtigungen verkünden wird. Und dass es da Gegenkräfte gibt, die – im besten Fall – alles so belassen wollen wie es ist, haben wir  anhand des Briefes der FISC-Richter gesehen, die einen großen Teil der Forderungen von Obamas Arbeitsgruppe zum Verhalten der Geheimdienste zurückgewiesen hatten.

 

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

No Spy vs. No Spy

Das Protokoll der gestrigen Debatte im Bundestag zum angeblich gegroundeten “No Spy”-Abkommen ist online. Zu den Stilblüten gehört, dass ein Abgeordneter der CDU/CSU zwar “ungern” Sascha Lobo zitiert, wie dieser allerdings betont dass “das Internet und seine Zukunft” gefährdet sei, wenn man “dieses Problems nicht Herr werden” würde. Lobo und der konservative MdB wollen die Geheimdienste stärken:

Das ist für uns – das sage ich noch einmal in Richtung der Amerikaner – der große Wert dieses Abkommens: erstens Freiheit im Internet und zweitens Sicherheit, aber bitte unter Freunden auch auf die richtige Art und Weise. [...] Wir würden uns freuen, wenn weitere im Gleichschritt mit uns marschieren würden und verhandeln.

Bereits im Dezember hatten wir berichtet, dass der Bundesnachrichtendienst auf EU-Ebene für ein Spionage-Agreement (“Entwicklung gemeinsamer Standards in der nachrichtendienstlichen Arbeit”) wirbt. Hierzu Klaus-Dieter Fritsche, Staatssekretär im Bundesinnenministerium:

Der Bundesnachrichtendienst hat im Auftrag der Bundesregierung Gespräche mit den EU-Partnerdiensten aufgenommen. Ziel ist die Entwicklung gemeinsamer Standards in der nachrichtendienstlichen Arbeit. Im weiteren Verlauf der Gespräche und Verhandlungen gilt es zu prüfen, inwieweit diese gemeinsamen Standards in einen größeren Rahmen einfließen sollen.

Es habe hierzu bereits drei Treffen gegeben, berichtet heute die Süddeutsche. Der “Anti-Spionage-Pakt für Europa” soll Abhörmaßnahmen nur für “zuvor verabredete Zwecke erlauben”. Es soll auch dafür sorgen, dass “nationale Schutzbestimmungen für Bürger” nicht mehr ausgehebelt werden, etwa indem befreundete Diensten über eigene Staatsangehörige ausgehorcht werden.

Welche In- oder Auslandsgeheimdienste bzw. entsprechende, dem Militär unterstehende Behörden an den Zusammenkünften teilnahmen, ist bislang unklar.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 15 2014

Europaparlament: Breite Front gegen Safe Harbour, aber die EU-Kommission hat Zeit

Im Plenum des Europäischen Parlaments stand heute die Safe-Harbour-Vereinbarung auf dem Programm. Das umstrittene Rechtskonstrukt mit mangelhafter Legitimation ist die Grundlage für den Austausch personenbezogener Daten mit den Vereinigten Staaten und erleichtert damit der NSA den Zugriff auf ebendiese, obwohl es sie eigentlich schützen soll. Die Nutzlosigkeit der Vereinbarung ist unabhängig davon schon seit langem bekannt.

reding_15_jan-2014

Viviane Reding

Der Vertreter des Rats der Europäischen Union Dimitrios Kourkoulas machte klar, dass der Spielball im Feld der Europäischen Kommission liegt. Man ermutige die Kommission, “einen Dialog mit den Amerikanern über die Punkte, die geklärt werden müssen”, zu führen.

Die angesprochene Justizkommissarin Viviane Reding räumte Defizite bei der Umsetzung ein und verwies auf ihre Analyse, der zufolge das System nicht wirklich “safe” sei. Neben dem Mißbrauch durch US-Unternehmen sei auch das massenhafte Speichern personenbezogener Daten durch US-Behörden nicht gerade verhältnismäßig. Sie erwarte von den amerikanischen Behörden, mit denen man in Kürze in Brüssel tagen werde, dass die 13 Handlungsempfehlungen der Kommission (u.a. mehr Transparenz, mehr Rechte für Kunden aus der EU) umgesetzt würden.

Manfred Weber (CSU) meinte, er wolle dass die NSA-Diskussion lebendig bleibe. Das Ausmaß sei für viele unvorstellbar gewesen – und das von Freunden! Die Europäische Volkspartei fordere eine Kündigung des “Safe-Harbour-Abkommens”. Auch EU-Bürger bräuchten Klagemöglichkeiten in den USA. Claude Moraes von der sozialdemokratischen Fraktion stimmte ihm zu, dass es keine Verbraucher erster und zweiter Klasse geben dürfe. Moraes, der auch Berichterstatter zum Überwachungsskandal ist, machte deutlich, dass die Schritte der Kommission nicht ausreichten, da keine wirklichen Konsequenzen im Raum stünden.

intveld_15-jan-2014

Sophie in’t Veld


Sophie in’t Veld (Liberale) meinte, man habe schon vor Snowden gewusst, dass Safe Harbour nicht sicher sei. Jahrelang sei das von der Kommission ignoriert worden. Warum man den Amerikanern selbst jetzt noch mehr Zeit einräumen wolle, sei unbegreiflich. Das Abkommen sollte sofort ausgesetzt werden.

Jan Philipp Albrecht von den Grünen beklagte, dass es keine einzige EU-Regierung gebe, die in Anbetracht der Snowden-Enthüllungen etwas tue. Stattdessen werde toleriert, dass amerikanische Konzerne die Datenschutzbestimmungen in Europa mit massivem Lobbying torpedierten. Die Bürgerinnen und Bürger verlören zunehmend das Vertrauen in ihre Regierungen. Auch deshalb müsse Safe Harbour ausgesetzt werden.

Cornelia Ernst von den Linken wies darauf hin, dass man die Farce, den Papiertiger Safe Harbour nicht mehr ertragen könne. Die Vorschläge der Kommission gingen nicht weit genug und man brauche ein Rahmendatenschutzabkommen mit den USA. Aus Respekt vor den Grundrechten müsse jetzt gehandelt werden.

Niki Tzavela von den Europaskeptikern wies auf einen Terroranschlag hin. Der fraktionslose Abgeordnete Martin Ehrenhauser aus Österreich forderte einen europäischen Aktionsplan und sofortige weitreichende Reformen.

Viviane Reding meinte abschließend, sie habe die Botschaft verstanden. Die Rechtsmittel würden jetzt bis Sommer 2014 geprüft. An der Stelle fragt man sich dann, ob sie überhaupt zugehört hat. Wenn man mal die obskuren Euroskeptiker, zu denen auch die GCHQ-Tories gehören, ausnimmt, war die Aussprache von erfreulicher Klarheit – sogar von konservativer Seite. Aber klar, wir warten natürlich gerne noch ein paar Monate auf den Schutz elementarer Rechte, nur keine Eile.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01 02mydafsoup-01

Empfehlungen aus dem Weißen Haus für mehr Aufsicht über die NSA? Neee, zu viel Arbeit.

Entgegen unserer Befürchtungen aufgrund des Government Shutdown und der Zusammensetzung der Gruppe hat die von Obama eingesetzte ‘Review Group in Intelligence and Communications Technologies’ am 13. Dezember doch noch ihren Abschlussbericht vorgelegt. Das Gremium wurde berufen, um zu untersuchen, inwieweit die Überwachungsmaßnahmen der NSA mit Bürger- und Menschenrechten vereinbar sind und welche Maßnahmen eventuell getroffen werden müssen, um die ausufernde Überwachung in den Griff zu bekommen.

Der Bericht enthielt 46 Forderungen zur Reformierung der Geheimdiensttaktiken – zwar weniger radikal als von vielen NGOs gewünscht, dennoch erfreulicherweise deutlicher als von den meisten befürchtet. So wurde die Beendigung der verdachtslosen, massenhaften Sammlung von Informationen gefordert, ebenso bessere und wirkungsvollere Aufsichtsmechanismen für konkrete Einzelfälle, in denen eine Überwachung als notwendig zur Wahrung der nationalen Sicherheit empfunden wird.

Die Kernessenz, die erfreulicherweise im Bericht zusammengefasst wird, ist diese (S. 155):

Der wichtigste ist dennoch vielleicht einfachste Punkt ist die Sache, Privatsphäre und Menschenwürde zu respektieren – egal wo Menschen sich aufhalten. Das Recht auf Privatsphäre wurde als Menschenrecht anerkannt, das alle Nationen repektieren sollten.

Selbstverständlich sind die Empfehlungen des Gremiums nicht bindend. Obama kündigte in einer Pressemitteilung des Weißen Hauses an, das Dokument zusammen mit einem Team begutachten zu wollen und bis zu seiner jährlichen Ansprache zur Lage der Nation am 28. Januar entscheiden zu wollen, welche der Punkte umgesetzt werden sollen. Eine offizielle Erklärung von ihm wurde mittlerweile für diesen Freitag angekündigt.

Gestern wurde durch Dianne Feinstein – wir erinnern uns: die Vorsitzende des Senate Intelligence Committee, die einen Gesetzesänderungsantrag einreichte, der die Befugnisse der NSA noch vergrößert hätte – eine Stellungnahme von aktuellen und früheren Richtern des Foreign Intelligence Surveillance Court (FISC) veröffentlicht, der mit Entscheidungen über die Auslandsgeheimdienstüberwachung betraut ist.

Der Kommentar wurde von John D. Bates verfasst, der früher Oberrichter des FISC war. Bates fing sich bereits einige Kritik ein, nachdem er 2010 zwar selbst die anlasslose Massenüberwachung verurteilte, sie dann aber weiter autorisierte. Damit prägte er den Begriff ‘Bates Stamp’ um. Der ist eigentlich ein Nummerierstempel, wurde aber im Zusammenhang mit den bedingungslosen Verlängerungen der NSA-Überwachungsberechtigungen oftmals synonym für eine Blankounterschrift der FISC-Richter benutzt.

Die Botschaft des Kommentars lässt sich traurigerweise einfach zusammenfassen:

Alles unnötig und zu aufwändig.

Besonders zurückgewiesen wird die Forderung nach einer unabhängigen Datenschutzaufsicht. Denn oftmals seien neben der Zielperson nur wenige andere Personen beteiligt und der Aufseher könne seiner Aufgabe sowieso nicht nachkommen, da er nicht unabhängig mit der Zielperson kommunizieren könne. Deshalb würde er nur die Arbeit des FISA-Gerichts behindern.

Auch anderen auswärtigen Rechtsanwälten steht man skeptisch gegenüber:

Ein Anwalt, der von den Gerichten unter sich bestimmt wurde, ist vermutlich hilfreich, aber ein Anwalt von unabhängiger Stelle wäre letztlich kontraproduktiv.

Unter sich wollen die Mitglieder des geheimen Gerichts auch bei der Auswahl der eigenen Richter bleiben, solche Kompetenz obliege nur dem Oberrichter und bedürfe keiner öffentlichen Aufsicht. Ebenso müsse die Öffentlichkeit auch nichts über die Gerichtsentscheidungen selbst erfahren, denn sie könne damit gar nichts anfangen und es würde zu “Verwirrung und Missverständnissen kommen.

Ein Wechsel von einer Pauschalerlaubnis von jeglicher Überwachung hin zu einer Einzelfallprüfung wird mit dem Argument der zu knappen Ressourcen abgelehnt.

Aber das beste Argument kommt zum Schluss:

Man muss aufpassen, dass man das Gericht nicht in eine ‘Aufsichtsrolle’ bringt, die über seine verfassungsmäßige Verantwortung hinausgeht, über Gerichtsfälle und -streitigkeiten zu entscheiden.

Das heißt im Klartext: Man will keine qualifizierten Urteile fällen, bei denen konkrete Fakten und Notwendigkeiten geprüft wurden, sondern weiter mit der Routine fortfahren, Stempel und Unterschriften zu leisten. Und damit keiner merkt, dass man das tut, soll alles geheim bleiben wie immer.

Am Freitag wird Obama vermutlich bekanntgeben, welche Forderungen er umsetzen will. Bis dahin warten wir ab und – hoffen?

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 14 2014

Snowden und die Zukunft unserer Kommunikationsarchitektur

Dieser Beitrag von Jérémie Zimmermann ist zuerst in unserem Buch “Überwachtes Netz” erschienen, das als eBook für 7,99 Euro und als gedrucktes Buch für 14,90 Euro zu kaufen ist.

UeberwachtesNetz-square_5112px

Snowdens Enthüllungen werfen ein Licht auf Sachverhalte, die uns dazu zwingen, uns wichtige Fragen zu stellen und Maßnahmen zu ergreifen, die essentiell für die Zukunft unserer Online-Gesellschaften und sogar die Struktur unserer politischen Systeme werden könnten.

Die geleakten Dokumente belegen, was viele Hacker und Bürger schon geahnt haben: Eine umfassende Pauschal-Überwachung der persönlichen Kommunikation im Internet durch die NSA. Was vor einigen Monaten oft noch als Verschwörungstheorie oder Verfolgungswahn abgetan wurde, war tatsächlich nah an der kruden Realität.

Die wichtigste Tatsache, die wir aus Snowdens Enthüllungen erfahren haben, ist das gewaltige Ausmaß der Überwachung: Die Anzahl von 97 Milliarden Datensätzen (Informationsteilchen), die alleine im Monat März 2013 gesammelt wurden (alleine durch PRISM – das nur *eines* der Programme der NSA ist!) gibt einen Einblick, wie umfassend die Bespitzelung der Bürger der Welt ist. Die armselige Verteidigung der US-Regierung, die Aussage “keine Sorge, nur Nicht-US-Bürger sind das Ziel”, sollte ins Verhältnis gesetzt werden zu der Tatsache, dass die Zielauswahl bestimmt wird durch eine Bewertung mit einer „mindestens 51-prozentigen Chance, dass jemand Nichtausländer ist“ – im Prinzip also das Werfen einer Münze plus 1% … Falls du zufällig jemanden kennst, der zufällig jemanden kennt, der möglicherweise etwas tun könnte, was als falsch angesehen wird, dann ist es wahrscheinlich, dass deine gesamte persönliche Kommunikation abgehört wird. Falls du Journalist bist und versuchst, deine Quellen zu schützen, ein Rechtsanwalt oder ein Arzt, der ein Arztgeheimnis schützt, ein Politiker usw., dann bist du dabei.

Die andere bedeutende Tatsache ist die aktive Mitarbeit von Google, Facebook, Apple, Microsoft und ähnlichen riesigen Internet-Konzernen: Ob sie durch Geheimgesetze und ein Geheimgericht zur Mitarbeit gezwungen wurden oder ob sie freiwillig kooperieren tut nicht viel zur Sache. Bedeutsamer ist, dass es nun offensichtlich ist, dass diese Unternehmen nur Erweiterungen der völlig außer Kontrolle geratenen US-Geheimdienste sind – abgedriftet in eine paranoide Richtung, welche die Rechte von Bürgern in der ganzen Welt gefährdet. Durch die Nutzung ihrer Dienstleistungen und Produkte ist jeder der Gefahr ausgesetzt, transparent zu werden, abgehört, beobachtet, jeder Tastenanschlag potenziell aufgezeichnet. Die Enthüllungen über PRISM sagen uns, dass man diesen Unternehmen, ihren Produkten und Dienstleistungen nicht trauen kann. Sie veranschaulichen, was Befürworter von freier Software und andere Verteidiger der Freiheit im Internet schon seit langem sagen:
Die sehr technische und ökonomische Prägung dieser zentralen Dienste verwandelt sie in gigantische Spionage-Maschinen. Das Wesen dieser proprietären Systeme und der nicht quelloffenen Software verwandelt sie in Instrumente der Kontrolle.

jeremiezimmermann

Jérémie Zimmermann auf der re:publica 2010; Bild: re:publica, CC-BY-2.0


Ebenfalls von grundlegender Bedeutung ist das Sabotieren von jeglichen kommerziellen Sicherheitsprodukten, die Verschlüsselungstechnologie bieten. Pro Jahr wurden 250 Millionen Dollar in das Programm “Bullrun” investiert, um kommerzielle Kryptographie zu schwächen, wodurch quasi offene Löcher in der weltweiten Sicherheits-Infrastruktur hinterlassen wurden, egal ob es um das Abrufen Ihrer E-Mails, die Kommunikation mit einer Verwaltung oder einem Unternehmen, um Shopping oder Online-Banking geht.

Schließlich haben wir erfahren, dass die NSA die Kommunikation von Petrobras, dem wichtigsten brasilianischen Energieunternehmen, und die persönliche Kommunikation von Dilma Rousseff, der brasilianischen Präsidentin, ausspioniert hat. Jeder Versuch, die Massenüberwachung mit ihrer Effizienz und Verhältnismäßigkeit im Kampf gegen den Terrorismus zu rechtfertigen, ist damit obsolet: Da weder das Unternehmen, noch das Staatsoberhaupt ernsthaft als des Terrors verdächtig betrachtet werden können, ist es nun offensichtlich, dass diese massive globalisierte Überwachung auch für wirtschaftliche Informationen und politische Überwachung eingesetzt wird, um die Interessen der USA und ihrer Unternehmen zu bedienen.

All diese Einzelheiten zusammengenommen verraten uns eine Menge über den gegenwärtigen Stand der Technologie und die Verbindung zwischen Technologiekonzernen und der US-Regierung. Wir sollten uns nun fragen, wie wir die Kontrolle über unsere persönliche Kommunikation und unsere Daten zurück erlangen, wie wir uns dieser ungerechtfertigten massiven Überwachung entziehen und unsere digitale Souveränität zurückgewinnen können.

Mit Sicherheit wird es einige Zeit brauchen, um eine Alternative zu dieser orwellschen Überwachung zu erschaffen. Aber es ist eine Anstrengung, die im Interesse zukünftiger Gesellschaften, in denen unser Grundrecht auf Privatsphäre eine Bedeutung hat, unternommen werden muss. Tatsächlich ist es eine Aufgabe von politischem und gesetzgebendem Charakter, aber ebenso auch eine technologische und (wenn nicht sogar hauptsächlich) soziale Aufgabe.

Auf rein politischer Seite ist es offensichtlich, dass die Gesetze der USA geändert werden müssen und dass die US-Bürger Kontrolle über die NSA bekommen müssen. Dass ganze Teile der öffentlichen Politik, ein spezielles Gericht, seine Entscheidungen und spezielle Interpretationen des Gesetzes vor der Öffentlichkeit geheim gehalten werden, ist nicht vereinbar mit einer demokratischen Gesellschaft, die am Prinzip der Rechtsstaatlichkeit und der Gewaltenteilung festhält. Für uns, die wir nur Bürger von “more than 51% foreignness” (“über 51% Fremdheit”) für die USA sind, könnte das ein Ziel außerhalb der Reichweite sein … alles, was wir tun können, ist, den politischen Druck auf die US-Regierung zu erhöhen und US-Aktivisten zu unterstützen, darauf zuzuarbeiten.

Hier in der EU erfordern die Enthüllungen von Snowden eine starke politische Reaktion der Entscheidungsträger, die bisher sehr zahm waren … Zum Beispiel da jede einzelne Verpflichtung aus dem “Safe Harbor”-Abkommen, das US-Unternehmen von der Beachtung der EU-Rechtsvorschriften über den Schutz personenbezogener Daten entbindet, ganz offensichtlich gebrochen wurde. Nun ist die EU formal in der Lage, es zu widerrufen.
Dies würde es ermöglichen, mit Oberhand für die EU eine neue Vereinbarung auszuhandeln, während US-Konzerne, die für die Überwachung verantwortlich sind, hart abgestraft werden (was sich für Unternehmen in der EU wiederum positiv auswirken könnte). Ein solch mutiger politischer Schritt scheint bisher nirgendwo in Aussicht zu sein.

Wir müssen auch politische Entscheidungsträger dazu drängen, einen starken, wirksamen Schutz unserer persönlichen Daten gesetzlich zu verfügen. Die Datenschutzverordnung, über die derzeit im EU-Parlament debattiert wird, steht in Begriff, ihrer Substanz beraubt zu werden – unter dem mächtigen Einfluss von genau jenen Firmen, die auf frischer Tat dabei ertappt wurden, wie sie sich an der massiven Überwachung beteiligt hatten. Die Bürger müssen sich in diese öffentliche Debatte einmischen, um sicherzustellen, dass starke Hindernisse gegen den Export ihrer Daten in ausländische Zuständigkeitsbereiche (Gerichtsbarkeiten) errichtet werden und dass ihnen wirksame Werkzeuge gegeben werden, um Kontrolle über ihre persönlichen Daten und Kommunikation wiederzuerlangen.

Auf der anderen Seite müssen EU-Bürger von ihren Politikern neuen Rechtsschutz für Whistleblower und für die Freiheit der Meinungsäußerung und Kommunikation im Allgemeinen verlangen, denn die Verfolgung von Manning, Assange und jetzt Snowden zeigt, dass sie unter ungeheuer unverhältnismäßigen Kosten für ihr eigenes Leben aktiv wurden, obwohl sie damit doch offensichtlich dem Allgemeininteresse dienten.

Schließlich müssen wir unsere politischen Entscheidungsträger dazu drängen, in der EU und in den verschiedenen Mitgliedsstaaten gesetzlich eine starke Industriepolitik zu etablieren, welche Technologien anregt, fördert und finanziert, die das Individuum eher befreien, anstatt es zu kontrollieren und auszuspionieren.

Dieser technologische Aspekt ist der Schlüssel. Wir haben jetzt eine klare Sicht auf die Entwurfsmuster für Technologien, die Individuen kontrollieren: zentrale Dienste (basierend auf der Anhäufung möglichst vieler Daten), geschlossene proprietäre Software und Systeme sowie unzuverlässige Verschlüsselung, bei der Vertrauen in die Hände von Dritten übergeben wird.

All diese Muster führen zu Technologien, die uns unserer persönlichen Daten enteignen, und unsere Kommunikation der Gnade der NSA, ihrer Verbündeten und ihrer hundert privaten Vertragspartner überlassen.

Auf der anderen Seite geben uns die Enthüllungen Snowdens ein anschauliches Beispiel, dass Richard Stallman und andere all die Jahre Recht hatten. Tatsächlich haben wir die Entwurfsmuster für Technologien, die Personen eher befreien können anstatt sie zu kontrollieren, bereits auf dem Tisch liegen:

* Dezentrale Dienstleistungen: Idealerweise Daten selbst hosten oder allenfalls von einer überschaubaren Menge an Menschen, wie einer Handvoll Freunde, einem Unternehmen, einer Universität, einem Verein, etc. Dies ist der Preis dafür, dass wir uns nicht daran beteiligen, (Daten-)Anhäufungen zu bilden, die diese Unternehmen enorm leistungsstark und zu einem strukturellen Teil des Überwachungsstaats machen.

* Freie Software: Allen Nutzern dieselben Freiheiten zu geben, die der ursprüngliche Urheber der Software hatte, ist der einzige Weg für Menschen, eine Möglichkeit zur Kontrolle ihres Gerätes zu haben, statt andersherum. Freie Software macht den Austausch von Wissen und Fähigkeiten zu digitalem Gemeingut. Wie “Bullrun” zeigt, kann man Kryptografie und anderen Sicherheits-Tools, die nicht nach den Grundsätzen freier Software aufgebaut sind, niemals trauen. Punkt. (Die Frage danach, wie man Zugang zu den Spezifikationen der Hardware bekommen kann, auf der wir diese Software betreiben, muss in der Tat gestellt werden, da die zunehmende Verwendung von black-boxed Hardware es einfach macht, Backdoors einzubauen, die gegen uns verwendet werden können. Regierungsbehörden könnten Hersteller dazu zwingen, die wichtigsten Spezifikationen offen zu legen. Vielleicht können wir eines Tages offene Hardware bauen, der wir vertrauen können …)

* Ende-zu-Ende-Verschlüsselung, bei der die Mathematik garantiert, dass nur der Benutzer und die Menschen, mit denen sie oder er kommuniziert, die Möglichkeit haben, die Inhalte ihrer Kommunikation abzurufen und zu lesen, unter Ausschluss von Dritten wie Google, Facebook, Skype, Apple, usw. Das bedeutet, dass die Nutzer dahin kommen müssen, die grundlegenden Konzepte zu verstehen und in der Lage sein müssen, ihre Schlüssel zu verwalten, was nicht so selbstverständlich ist, wie es klingt, wie wir in den letzten Jahrzehnten gesehen haben …

Letzten Endes können die politischen und technologischen Dimensionen vom Aufbau einer Welt, in der die Technologie Nutzer und Gesellschaften freier macht, anstatt sie zu kontrollieren und auszuspähen, in der Praxis möglicherweise nur durch eine dritte, soziale Dimension artikuliert werden.

Dieses Ziel können wir wahrscheinlich nur erreichen, wenn wir es schaffen eine Dynamik zu erzeugen, um unsere Kollegen, Freunde und die Gesellschaft als Ganzes dahin zu führen, dass sie begreifen, warum es von entscheidender Bedeutung ist, die zentralisierten, geschlossenen Services und Produkte hinter sich zu lassen und zu Technologien zu wechseln, die befreien; nur wenn es uns gelingt, genügend Druck auf politische Entscheidungsträger auszuüben, nur wenn wir, als Individuen und als Gemeinschaften, anfangen, uns um die zugrunde liegenden baulichen Prinzipien unserer Kommunikationsinfrastruktur und -technologien zu kümmern. Es mag vielleicht schwierig klingen, aber nicht unerreichbar, denn dies ist wohl eines der wichtigsten Unternehmen für die Zukunft unserer Gesellschaften online, und wir alle spielen dabei eine Rolle.

Dieser Text wurde von der Redaktion ins Deutsche übersetzt.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Überraschung! No-Spy-Abkommen steht vor dem Aus.

Die SZ meldete unter Berufung auf anonyme VerhandlungsteilnehmerInnen, dass das Geheimdienstabkommen zwischen Deutschland und den USA de facto gescheitert ist. Ziel des Abkommens war der verbriefte Verzicht auf beidseitige Überwachung. Was natürlich sinnvoll ist, wenn man einen Geheimdienst vor sich hat der noch nicht einmal den eigenen PolitikerInnen erklären will, dass er sie (nicht) überwacht.

Überraschend ist das nicht und wer glaubt, die ausufernde Überwachung der NSA könne mit einem, überdies sanktionslosen, Papier eingeschränkt werden, ist entweder unglaublich naiv oder politisch hilflos. Deutschland ist für die USA nach wie vor ein attraktives Überwachungsziel, was sowohl historisch begründet ist wie auch durch Leaks wie der Strategic Mission List 2007 illustriert wird. Außerdem hat die amerikanische Regierung schon Mitte Dezember klar kommuniziert, dass sie es nicht zu einem Präzedenzfall kommen lassen will. Was den Auftritt von Pofalla, der einen Monat vorher noch in den höchsten Tönen von einem neuen Standard in der Zusammenarbeit der westlichen Geheimdienste gesprochen hatte, nicht nur ein bisschen lächerlich erscheinen lässt. 

Natürlich könnte man sich jetzt wünschen, dass die Bundesregierung durch diesen Totalausfall endlich auf andere Ideen kommen könnte als ewig die “auf deutschem Boden muss deutsches Recht gelten!”-Doktrin zu wiederholen. Ein Abrücken von der Vorratsdatenspeicherung und ein Paradigmenwechsel in der Sicherheitspolitik wäre ein starkes Signal. Oder das Bereitstellen einer wirklich sicheren Kommunikationsinfrastruktur statt einer bewusst mit Sicherheitslücken ausgestatteten De-Mail. Das wäre wenigstens realistischer als ein “No-Spy-Abkommen” mit den größten Datensammlern der Geschichte. 

Vormerken: Morgen um 15:35 wird es eine aktuelle Stunde zum No-Spy-Abkommen auf Antrag der Linksfraktion im Bundestag geben. 

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 13 2014

New America Foundation: NSA-Massenüberwachung nicht maßgeblich bei Terrorbekämpfung

Das Argument, Überwachung sei notwendig, um Terroristen und andere Bösewichte zu bekämpfen, hängt uns mittlerweile gewaltig zum Hals heraus. Damit hat man schon zig Male versucht, die Vorratsdatenspeicherung und andere Datensammeleien durchzusetzen und auch im Rahmen des NSA-Skandals wurde uns mehrmals ins Gewissen geredet. Die USA seien ja nur besorgt um die Sicherheit der Welt und man habe ja mindestens 50 Terroranschläge verhindert, auch für Europa. Leider schürt eine solche Rhetorik Unsicherheit und macht viele glauben, ohne das schützende allgegenwärtige Auge des Staates breche spontan eine terroristische Apokalypse ein. Dabei gab es ja auch eine Verbrechensbekämpfung vor dem Internet und den günstigen technischen Möglichkeiten, alles und jeden im Blick zu haben.

Deshalb freuen wir uns immer über handfeste Beweise gegen solche Propaganda. Heute ist eine Studie der New America Foundation erschienen. In Do NSA’s Bulk Surveillance Programs Stop Terrorists? werden 225 Fälle von Terrorplänen unter die Lupe genommen, bei denen die Person von al-Qaeda oder ideologisch ähnlichen Organisationen rekrutiert und später unter Terrorvorwurf verurteilt wurde.

Nur in 7,5% der Fälle wurde mit Hilfe von NSA-Maßnahmen die Ermittlungsarbeit initiiert, den Rest übernahmen traditionelle Ermittlungsmethoden wie Hinweise von Familie und Freunden, Informanten und auffälliges Verhalten, bzw. war in 27,6% der Fälle der Anfang der Ermittlungen nicht ermittelbar. Hier kann man sich die Ergebnisse grafisch aufbereitet anschauen und sich die einzelnen Fälle, die untersucht wurden, in Kurzzusammenfassung durchlesen.

Es wäre gut, viele glaubwürdige Studien wie diese zu sammeln, mit denen sich die Ineffizienz von Massenüberwachung bei der Verbrechensbekämpfung demonstrieren lässt, auch für die deutsche Debatte um Vorrats- und Bestandsdaten. Wenn ihr also ähnliche und seriöse kennt freue ich mich über Linkhinweise.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 10 2014

Totalüberwachung braucht weder Aufklärung noch Öffentlichkeit, finden Bundesregierung und Freunde

Wir erinnern uns: Seit Juni letzten Jahres führt die deutsche Regierung auf verschiedenen Ebenen ein seltsames, aber beim Publikum gut ankommendes Schauspiel auf, bei dem in verschiedenen Akten die flächendeckende Überwachung durch NSA und GCHQ, durch weitere ausländische und ganz speziell auch die sympathischen deutschen Dienste nicht aufgeklärt wird.

Eine der Maßnahmen war dabei die EU-US-Arbeitsgruppe. Dazu schrieben wir im August:

Es wurde bereits mehrfach bezweifelt, ob diese transatlantische Expertengruppe wirklich sinnvoll zur Aufklärung der Aktivitäten der Geheimdienste beitragen kann. Die European Voice berichtet beispielsweise, dass sich das Format und die Zusammensetzung mittlerweile geändert haben. Es sollte [...] zunächst eine „High Level Group“ geben. Nun ist sie nur noch eine “ad-hoc Arbeitsgruppe”, wie der Bericht der litauischen Ratspräsidentschaft zeigt. Vom ersten Treffen der EU-US Arbeitsgruppe, das am 8. Juli stattfand, ist nicht viel bekannt. Aus der Aussage der Ratspräsidentschaft kann man auch mit guten Willen keine brauchbaren Informationen herausfiltern.

Wie gestern Erich Moechel bei fm4.orf.at und heute Martin Holland bei heise schreiben, geht aus einem jeweils vorliegenden Dokument des EU-Ministerrats hervor, dass die Zweifel berechtigt waren. Beide zitieren aus dem Ratsdokument:

Sämtliche Fragen zur Nachrichtensammlung durch Geheimdienste und die zugehörigen Kontrollmechanismen werden vom Verhandlungsmandat dieser EU-US-Gruppe ausgenommen, da dies unter die Kompetenz der Mitgliedsstaaten fällt.

Das komplett nutzlose, weil bis zur Unkenntlichkeit zensierte Ratsdokument kann man hier bewundern.

Wie von US-Justizminister Holder Anfang Juli vorgeschlagen, sollten Geheimdienstmitarbeiter untereinander die delikateren Angelegenheiten klären. Das fanden wohl vor allem Großbritannien, Deutschland, Frankreich, Italien und Spanien eine gute Idee, denn die Amerikaner hatten angemerkt, man werde nicht nur über die Tätigkeiten der NSA reden, sondern auch über die der europäischen Staaten. Erich Moechel dazu:

Die NSA-Spionage sollte also von Angehörigen europäischer Geheimdienste, die mit der NSA zusammenarbeiten, mit NSA, CIA und Co disktutiert werden. Keine acht Tage später war der Vorschlag des US-Justizministers, der über die “National Security Letters” sämtliche NSA-Spionageangriffe autorisiert, in das Mandat der europäischen Verhandlungsgruppe aufgenommen.

Laut heise erklären sich in Deutschland Innen- und Justizministerium für nicht zuständig für diesen Vorgang, Auswärtiges Amt und Kanzleramt antworten wohl nicht.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 09 2014

Boykott der RSA-Konferenz: Weitere Signale aus der Wissenschaft gegen NSA und Massenüberwachung

 

Sprechblasen-Aktion von Tripwire Inc aus der RSA-Konferenz 2013. CC-BY-NC-ND 2.0 via Flickr/tripwireinc

Sprechblasen-Aktion von Tripwire Inc auf der RSA-Konferenz 2013. Wie würden die Antworten dieses Jahr wohl aussehen? CC-BY-NC-ND 2.0 via Flickr/tripwireinc

Anfang der Woche hatten wir über den offenen Brief von anfänglich 207 Wissenschaftlern gegen Massenüberwachung berichtet. Aber nicht nur durch Briefe, sondern auch durch Boykotts kann man klar Stellung beziehen. Das geschieht jetzt vermehrt in Bezug auf die RSA-Konferenz, die Ende Februar in San Francisco stattfinden wird.

Grund ist ein Bericht der Nachrichtenagentur Reuters vom 20. Dezember. In diesem wurde über einen 10 Millionen US-Dollar schweren Vertrag zwischen der NSA und RSA Security berichtet. RSA Security ist ein 1982 von Rivest, Shamir und Adleman gegründetes IT-Sicherheitsunternehmen, zu dessen bekanntesten Produkten die Programmbibliothek BSAFE zählt. Die soll eigentlich für Sicherheit sorgen, wurde aber durch die NSA kompromittiert. Das deutete sich schon im September an – da warnte RSA bereits vor ihrem eigenen Produkt, oder besser gesagt vor einem darin als Standardeinstellung enthaltenen Zufallsgenerator. Das zugrunde liegende Verfahren wurde damals auch von der Standardisierungsbehörde NIST als potentiell unsicher deklariert.

Dass RSA Security sich in Kooperation mit der NSA daran beteiligten, dieses kompromittierte Verfahren als Standard zu setzen, war damals jedoch noch nicht bekannt. Und selbstverständlich bestreitet RSA auch heute noch eine geheime Abmachung zur wissentlichen Schwächung der Sicherheitsbibliothek. Natürlich habe es eine Zusammenarbeit mit der NSA gegeben, aber immer in transparenter Form und um bestmögliche Kryptoverfahren zu entwickeln.

Viele Wissenschaftler halten dieses Dementi für scheinheilig und ziehen nun Konsequenzen, indem sie die kommende RSA-Konferenz boykottieren. Auch eingeladene Sprecher haben bereits abgesagt, darunter Sicherheitsexperten von Google, der Datenschutzbeauftragte von Mozilla und  der Forschungsleiter von F-Secure, Mikko Hypponen, der mit seinem offenen Brief vom 23. Dezember der erste war, der diese Konsequenz öffentlich gezogen hat.

Spannend ist in diesem Zusammenhang auch eine Abstimmung bei OWASP, ob ein von ihnen geplanter Workshop angeboten werden soll oder nicht. Die laufenden Abstimmungsergebnisse sind leider nicht öffentlich sichtbar, aber wir warten gespannt auf die Endergebnisse am 14. Januar – vor allem, da OWASP auch (noch) zu den Sponsoren der Konferenz gehört.

Es ist zu begrüßen, dass sich immer mehr Gruppen öffentlich positionieren. Und auch wenn damit noch lange nicht die Geheimaktivitäten der NSA gestoppt werden, kann man vielleicht den öffentlichen Druck auf die aktiven Kollaborateure erhöhen. Denn wer weiß, über welche Zusammenarbeit wir im Laufe der nächsten Veröffentlichungen von Snowden-Dokumenten als nächstes erfahren.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 08 2014

Die europäische Politik kann und muss was gegen Überwachung tun: Bericht nennt konkrete Schritte

Seit heute kann man endlich den Entwurf des Abschlussberichts der Untersuchung des Überwachungsskandal durch das Europäische Parlament einsehen. Das warten hat sich gelohnt: Das Dokument, für das der britische Parlamentarier Claude Moraes verantwortlich zeichnet, hat es in sich. (PDF gab’s zuerst bei statewatch.org; später auch beim Parlament selbst)

Moraes macht unter anderem deutlich, wie groß der Schaden ist, den die Geheimdienste auch in Bezug auf diverse Vertrauensverhältnisse angerichtet haben:

trust has been profoundly shaken: trust between the two transatlantic partners, trust among EU Member States, trust between citizens and their governments, trust in the respect of the rule of law, and trust in the security of IT services

Nun brauche man dringlichst einen gut durchdachten Plan, um den Schaden einzudämmen. Zumal allein der Kampf gegen Terrorismus, der als Grund für die umfassende Überwachung genannt werde, keine ausreichende Erklärung liefere. Politische Spionage und Wirtschaftsspionage seien da durchaus plausible weitere Motive. In dem sonst englischsprachigen Dokument ist übrigens auch ein deutscher Begriff enthalten: “präventive Rasterfahndung”. Der Sozialdemokrat Moraes verweist auf die Entscheidung des Bundesverfassungsgerichts aus dem Jahr 2006 und warnt vor dem Präventivstaat.

Die Handlungsempfehlungen klingen denn auch größtenteils vernünftig: Die Safe-Harbour-Vereinbarung und das SWIFT-Abkommen sollen ausgesetzt werden um klare politische Signale an die Vereinigten Staaten zu senden und der Schutz von Whistleblowern in Europa verbessert werden. Europäische Institutionen sollen sich ebenso wie die Mitgliedstaaten Gedanken über das Fehlen von unabhängigen IT-Diensten und Kryptographie-Fähigkeiten machen.

Streiten lässt sich darüber, ob die im Dokument aufgezeigten Wege im Hinblick auf die Kontrolle der Geheimdienste weitreichend genug wären. Forderungen nach Eindämmung der Dienste selbst fehlen. Stattdessen soll man sich mit den Tschwane-Prinzipien beschäftigen, die dann irgendwie für Transparenz sorgen, was von regulatorisch wirkenden Gremien später irgendwie sichergestellt werden soll. Andererseits dürfte in diesem Bereich jede Maßnahme eine positive Wirkung haben.

Lesenswerte Meinungen zum Text finden sich unter anderem auf spiegel.de, wo Konrad Lischka meint:

Der Entwurf ist ein Dokument politischer Handlungskraft. Er zeigt: Gegen die NSA-Attacken gibt es politische Mittel. Man braucht nur Regierungen, die diese Mittel nutzen.

Friedhelm Greis, golem.de:

Der Text lässt an Deutlichkeit kaum zu wünschen übrig. [...] Darin prangert Moraes die Existenz eines weitreichenden, komplexen und technisch sehr weit entwickelten Systems der USA und einiger EU-Länder zum Sammeln, Speichern und Analysieren von Kommunikations- und Standortdaten von Menschen in aller Welt an.

Morgen wird der Bericht zwischen 14:00 und 15:00 Uhr im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) vorgestellt und festgelegt, bis wann Abgeordnete Änderungsanträge einreichen können (Stream dann hier). Wer die bisherigen Sitzungen des Untersuchungsausschusses verfolgt hat, wird vermutlich eine Ahnung haben, welche Abgeordneten versuchen werden den Bericht noch zu torpedieren, bzw. zumindest zu verwässern. Besonders viel Spaß dürfte man beispielsweise mit den Beiträgen von Timothy Kirkhope von den britischen Konservativen haben. Es wird spannend sein zu sehen, was daraus wird.

Eins steht allerdings bereits fest: Die Arbeit des Untersuchungsausschusses hat sich gelohnt. Durch die öffentlichen Sitzungen ist es gelungen, Expertise einzuholen und einer interessierten Öffentlichkeit zugänglich zu machen. Einige Abgeordnete konnten durch Engagement und gut vorbereitete Nachfragen unseren Wissensstand erweitern, andere haben immer wieder für ungläubiges Staunen gesorgt. Mal schauen, ob sich die Fraktionen im Bundestag auf ein ähnlich sinnvolles Verfahren einigen können – nötig wäre es.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 07 2014

Die Furcht der NSA vor Sysadmins: Out of Control

Der Talk von Sarah Harrison, Jacob Applebaum und Julian Assange auf dem 30C3 trug den Titel “Sysadmins of the World, Unite!” und appellierte an die Verantwortung der Systemadministratoren, Wissen zu veröffentlichen, wenn sie Unrecht beobachteten, da sie in einer privilegierten Position seien, von der aus sie mehr Zugang zu Informationen hätten als jeder andere.

Dass Systemadministratoren dadurch auch eine Gefahr für eben jene bedeuten, die ihre Informationen lieber im Geheimen halten wollen, ist klar. Letzte Woche erschien auf cryptome.org der Hinweis auf einen Artikel aus Cryptologic Quarterly, einer vierteljährlich erscheinenden NSA-internen Zeitschrift, von der manche Exemplare als nicht mehr geheim eingestuft und daher online einsehbar sind.

Die Sonderausgabe von 1996 (sic!), um die es geht, trägt den schönen Namen Out of Control und beschäftigt sich mit der Gefahr, die von dem Wissen der Administratoren ausgeht.

Es erscheint unglaublich, dass so Wenige Kontrolle über so vieles haben — offensichtlich ohne oder mit nur sehr geringer Aufsicht oder Sicherheitsprüfungen.

Dennoch sieht man den Grund, aus dem ein Administrator Geheiminformationen verrät oder manipuliert, am ehesten in Bemühungen des Feindes, diesen zu bestechen oder auf seine Seite zu ziehen. Diese Haltung steht deutlich unter dem Einfluss des Kalten Krieges, in dem in großem Ausmaß versucht wurde, gegenseitig Spione zu rekrutieren und einzuschleusen. Keine Erwähnung findet hingegen eine persönliche Motivation, aber das ist hinsichtlich des Ursprungs des Artikels nicht verwunderlich. Schließlich gehört man zu den Guten und wer sollte schon ein, vielleicht sogar moralisch motiviertes, Interesse daran haben, sich gegen das Gute zu wenden?

Eine weitere Gefahr ahnt man in der Haltung der Nutzer hinsichtlich der damals noch relativ jungen elektronischen Datenverarbeitung in alltäglichen Büroabläufen. So würde es beispielsweise von einer Person nicht als tragisch wahrgenommen, wenn geheime Dokumente nicht, wie angefordert, von einem bestimmten Drucker gedruckt würden – ein Verlust physischer Dokumente erlebe der Einzelne als viel schwerwiegender. Auch wenn die Gefahr, dass Dokumente in unbefugte Hände gelangen könnten, in beiden Fällen gegeben wäre. Diese Lücke in der Wahrnehmung von digitaler und analoger Welt gibt es bekanntermaßen immer noch, man denke nur an die vielbeschworene und dennoch ständig ignorierte Analogie von E-Mails und Postkarten.

Aber das Magazin der NSA schlägt auch ein paar Lösungen vor:

1. Spionageabwehr-Überprüfungen von Systemadministratoren verstärken (die genauere Erläuterung ist zensiert)

2. Physikalische Trennung von Festplatten vom Netz ermöglichen

3. Festplattenverschlüsselung bereitstellen – eine sehr nette Formulierung in der weiteren Erläuterung: “Ja, manche werden ein Passwort oder sonst irgendwas vergessen und dadurch eine wichtige Datei verlieren, aber das ist der Preis individueller Verantwortung.”

und, last but not least, die Lösung für alles:

4. Mehr Geld für M5 (Sicherheitsabteilung) – denn klar: Gut bezahlte Mitarbeiter sind folgsame Mitarbeiter

 

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Widerstand gegen Überwachung in nie dagewesenem Ausmaß

Dieser Beitrag von Glyn Moody ist zuerst in unserem Buch “Überwachtes Netz” erschienen, das als eBook für 7,99 Euro und als gedrucktes Buch für 14,90 Euro zu kaufen ist.

UeberwachtesNetz-square_5112pxObwohl ich als Jounalist bereits seit 20 Jahren über das Internet berichte und als Brite in etwa genauso lange unter Beobachtung der starren Augen von Überwachungskameras gelebt habe, bin ich dennoch überrascht von Edward Snowdens Enthüllungen. Ich hatte schon immer eine sehr zynische Sicht auf Regierungen und ihre Machtinstrumente, wie Polizei und Geheimdienste. Ich habe immer versucht, vom Schlimmsten auszugehen was Überwachung und Angriffe auf meine Privatsphäre anbelangt. Aber ich habe nie geahnt, dass die Regierungen der USA und Großbritanniens mit der Unterstützung anderer Länder zu einer derart totalen und globalen Überwachung fähig wären, wie sie aus den Dokumenten, die Snowden an die Öffentlichkeit gebracht hat, hervorgeht.

Ich glaube, damit stehe ich nicht allein. Manche behaupten nun, dieses Ausmaß der Überwachung sei “offensichtlich” gewesen und der Industrie “wohl bekannt”, aber diesen Eindruck teile ich nicht. Wenn man von den gleichermaßen schockierten und empörten Kommentaren ausgeht, sieht man, dass Bürgerrechtler und Computerexperten – vor allem im Security-Bereich – sich auch niemals vorgestellt hätten, dass die Dinge so schlimm aussehen. Dies führt uns zur naheliegenden Frage: Wie konnte das nur passieren?

In Zusammenhang mit der Empörung aus Kreisen derer, die sich mit solchen Angelegenheiten beschäftigen, gibt es etwas anderes, was der Erklärung bedarf: Das weitestgehende Ausbleiben einer Empörung in der normalen Bevölkerung. Natürlich versteht man in manchen Ländern besser als in anderen die Auswirkungen dessen, was Snowden enthüllt hat (manche – vor allem Großbritannien – sind sogar noch schlimmer). Aber angesichts des Ausmaßes und der Kompromisslosigkeit der Ausspähung unserer Onlineaktivitäten fiel die weltweite Resonanz seltsam verhalten aus. Wir müssen verstehen warum, denn sonst wird es noch schwieriger, zumindest einen Teil dieser Unverhältnismäßigkeiten zurückzufahren.

Die finale Frage, über die dringend nachgedacht werden muss, ist: Was kann man eigentlich tun? Wenn sogar in Ländern wie Deutschland, die normalerweise sehr sensibel auf Angelegenheiten der Privatsphäre reagieren, die öffentliche Resonanz verhältnismäßig gering ausfällt – was sind dann die Alternativen zu einer stärkeren Regierungskontrolle, die in nächster Zeit nicht erwartet werden kann?

Mitte der 90er Jahre bestand eine utopistische Naivität über den Nutzen des Internet. Seit einiger Zeit ist aber klar, dass das Internet auch seine Schattenseiten hat und benutzt werden kann, um Menschen nicht mehr, sondern weniger frei zu machen. Das hat dazu veranlasst, sich von einem komplett offenen Netz weg zu bewegen, in dem alle Informationen unverschlüsselt gesendet werden, hin zu einem, in dem Verbindungen mit HTTPS verschlüsselt werden, um persönliche Informationen vor neugierigen Augen zu schützen. Es ist bemerkenswert, dass der Druck, immer HTTPS zu benutzen, erst in den letzten Jahren angewachsen ist.

Das ist vielleicht auch ein Hinweis darauf, wie die momentane Totalüberwachung zustande kam. Denn obwohl viele wussten, dass unverschlüsselte Daten abgehört werden können, herrschte das generelle Gefühl, es sei nicht möglich, die interessanten Daten herauszufiltern – angesichts der riesigen und immer weiter wachsenden Menge an Daten, die jeden Tag durch digitale Rohre fließen und das Internet darstellen.

Aber es wurde ein entscheidender Faktor übersehen: Moores Law und seine Entsprechungen für Speicherung und Verbindungskapazität. Grob zusammengefasst sagt es, dass die Kosten für Rechenleistung sich in etwa alle 18 Monate halbieren. Umgekehrt heißt das, bei konstanten Ausgaben verdoppelt sich die verfügbare Rechenleistung alle anderthalb Jahre. Und man muss sich in Erinnerung rufen, dass dies ein geometrisches Wachstum darstellt: Moores Law besagt, dass nach 10 Jahren die Rechenleistung sich bei gleichbleibenden Kosten um den Faktor 25 erhöht.

Nun nimmt man noch hinzu, dass die Geheimdienste in ihren Ausgaben für die neueste und schnellste Ausrüstung kaum beschränkt sind, denn es kann immer argumentiert werden, dass die zusätzliche Leistung wesentlich ist, um Informationen zu bekommen, die Leben retten könnten, und so weiter. Eine der ersten und außergewöhnlichsten Enthüllungen Snowdens, die der Guardian an die Öffentlichkeit brachte, gab einen Einblick, wie diese zusätzliche und ständig anwachsende Rechenleistung im sogenannten Tempora-Programm genutzt wird:

Im Sommer 2011 hat GCHQ mehr als 200 Internet-Knotenpunkte angezapft, die jeweils Daten mit der Geschwindigkeit von 10 Gigabit pro Sekunde übertrugen. “Das ist eine massive Menge an Daten!” hieß es in einer internen Präsentation. In diesem Sommer wurden NSA-Analysten im Bude-Verfahren vor Gericht gestellt. Im Herbst 2011 startete GCHQ zusammen mit den USA Tempora als Mainstream-Programm

Das Anzapfen der transatlantischen Kabel erschloss GCHQ Zugriff zu speziellen Quellen. Es erlaubte der Regierungsbehörde, Internetpuffer einzurichten, um Daten nicht nur live beobachten zu können, sondern sie auch zu speichern – Inhaltsdaten für drei Tage und Metadaten für 30 Tage.

Das deutet darauf hin, dass Großbritanniens GCHQ Daten mit der Geschwindigkeit von 2 Terrabit pro Sekunde abgriff: heute ist das sicherlich noch viel mehr. Dank Massenspeicherkapazitäten könnte GCHQ den kompletten Internetverkehr von drei Tagen speichern, sowie Metadaten von 30 Tagen.

Es gibt einen einfachen Grund, warum GCHQ so etwas tut: Sie haben gemerkt, dass es nicht nur technisch, bedingt durch Moores Law, sondern auch rechtlich machbar ist. Die britische Rechtsvorschrift, die solche Aktivitäten überwacht – der Regulation of Investigatory Powers Act (RIPA) – wurde 2000 verabschiedet und auf Basis von Erfahrungen der späten 90er Jahre verfasst. Er war dazu bestimmt, das einmalige Abhören von Einzelpersonen zu regeln und behandelt primär die Überwachung von Telefonen und dem Postsystem. Mit anderen Worten wurde er für eine analoge Welt entworfen. Das Ausmaß und die Möglichkeiten digitaler Überwachung sind heutzutage derart weit fortgeschritten, dass der gesetzliche Rahmen von RIPA – trotz seiner Befugnisse – obsolet ist. Im Wesentlichen ist GHCQ also fähig, ohne gesetzliche oder technische Beschränkungen zu operieren.

Der stufenweise, aber unaufhaltsame Wechsel von stückweisem, kleinformatigen Abhören analoger Verbindungen hin zur Totalüberwachung könnte auch helfen, die Gleichgültigkeit der Öffentlichkeit gegenüber den Enthüllungen zu verstehen. Auch über die oberflächliche Idee hinaus, dass derjenige, der nichts zu verbergen hat, auch nichts befürchten muss – jeder hat etwas zu verbergen und seien es bloß die privaten Momente in seinem Leben – gibt es eine andere gebräuchliche Erklärung, warum die Menschen nicht besonders besorgt über die Aktivitäten von NSA und GCHQ sind. Nämlich, dass “niemand sich dafür interessiert”, was sie tun. Daher sind sie zuversichtlich, dass sie durch das Speichern und Analysieren von Internetdaten nichts zu befürchten haben.

Das ist auch in einer grundlegend analogen Sicht auf die Dinge begründet. Natürlich haben diese Menschen Recht, dass kein Spion an einer Tastatur sitzt und ihre E-Mails oder Facebook-Nachrichten liest. Das ist natürlich nicht möglich, selbst wenn es gewollt wäre. Aber das ist auch gar nicht notwendig, denn Daten können von ermüdungsfreien Programmen “gelesen” werden, die dank Moores Law zentrale Informationen mit wachsender Geschwindigkeit und schwindenden Kosten extrahieren.

Die Menschen sind demgegenüber sorglos, denn die meisten können sich gar nicht vorstellen, was die heutigen Supercomputer mit ihren Daten tun können, und denken wieder in analogen Bildern – ein Spion der sich langsam durch einen riesigen Sumpf voller Informationen kämpft. Und das ist auch verständlich, denn selbst Computerexperten haben Schwierigkeiten, mit der Geschwindigkeit der Entwicklungen mitzuhalten und die Auswirkungen abzuschätzen.

Ein Post auf dem Blog von Google Search aus dem letzten Jahr kann helfen, einen Eindruck zu bekommen, wie mächtig heutige Systeme sind:

Wenn Du eine einzige Anfrage in die Google-Suchmaske eingibst oder sie bloß in Dein Telefon sprichst, setzt Du so viel Rechenleistung in Gang wie es brauchte, um Neil Armstrong und elf andere Astronauten zum Mond zu schicken. Nicht nur für den eigentlichen Flug, sondern auch für all die Berechnungen während der Planung und Durchführung des elfjährigen Apollo-Programms mit 17 Missionen.

Fügt man jetzt hinzu, dass täglich drei Milliarden Suchanfragen an Google verschickt werden und dass die Rechenkapazität der NSA wahrscheinlich noch wesentlich größer ist als die von Google, bekommt man einen Eindruck der geballten Leistung, die für die Analyse der “trivialen” Daten verfügbar ist, die über uns alle gesammelt werden und wie das zu sehr nicht-trivialen Rückschlüssen über intimste Teile unseres Lebens verhelfen kann.

In Bezug darauf, wie viel Information gespeichert werden kann, schätzt William Binney, früherer technischer Direktor der NSA, dass ein Datencenter, das im Moment in Utah gebaut wird, in der Lage sein wird, fünf Zettabyte Daten verarbeiten und speichern zu können. Wenn man das auf Papier ausdrucken und in klassischen Aktenschränken aufbewahren würde, bräuchte man etwa 42 Millionen Millionen Schränke, die 17 Millionen Quadratkilometer Grundfläche einnehmen würden.

Weder Rechenleistung noch die umfassende Speicherung persönlicher Daten allein bedrohen unsere Privatsphäre und Freiheit direkt. Doch wenn man sie zusammenbringt, kann die NSA nicht nur mehr oder weniger unmittelbar alle möglichen Informationen in 42 Millionen virtuellen Aktenschränken finden, sondern auch alle Wörter und alle Seiten in allen Schränken miteinander in Verbindung bringen – das kann man sich für einen Menschen nicht einmal ansatzweise vorstellen.

Es ist diese beispiellose Fähigkeit, all diese Daten über uns zusammenzutragen und mit den Daten unserer Familie, Freunden und Bekannten, und deren Familie, Freunden und Bekannten (und manchmal sogar deren Bekannten der Bekannten unserer Bekannten) zu kombinieren, die das Ausmaß des Wissens ausmacht, das die NSA jederzeit zur Verfügung hat. Für die meisten von uns ist es unwahrscheinlich, dass dieses Wissen jemals abgerufen wird. Aber es bedarf bloß einer winzigen Auffälligkeit irgendwo tief in der Kette unserer Bekanntschaften, um eine Verbindung herzustellen und all unsere unschuldigen Datensätze zu beflecken. Das führt dazu, dass sie auf einem riesigen Stapel an Daten landen, der in einer unvorstellbar tiefgreifenden Art und Weise querverwiesen, durchsucht und auf der Suche nach typischen Mustern analysiert wird.

Wenn man dieses nachvollziehbare, aber bedauerliche Unverständnis eines Teils der Öffentlichkeit betrachtet, was die außergewöhnlichen Fähigkeiten der NSA angeht und das, was diese an Ergebnissen extrahieren kann, kommt man zu einer Schlüsselfrage: Was können wir tun, um unsere Privatsphäre zu stärken? Bis vor wenigen Wochen hätten die meisten, die auf diesem Gebiet arbeiten, gesagt: “Alles verschlüsseln.” Aber die aktuellen Enthüllungen darüber, dass NSA und GCHQ es geschafft haben, praktisch jedes weit verbreitete Verschlüsselungssystem zu unterlaufen, scheint auch diese letzte Hoffnung zu zerstören.

Oder vielleicht auch nicht. Es herrscht annähernd Einigkeit unter den Kryptographie-Experten, dass das theoretische Fundament der Verschlüsselung – seine mathematischen Grundlagen – unberührt bleibt. Das Problem liegt in der Implementierung und in dem Zusammenhang, in dem Kryptographie eingesetzt wird. Edward Snowden weiß wahrscheinlich besser als die meisten anderen, wie die Situation wirklich aussieht. Er hat es so ausgedrückt:

Verschlüsselung funktioniert. Richtig umgesetzt sind starke Kryptosysteme eines der wenigen Dinge, auf die man sich verlassen kann. Leider ist Endpoint-Security so furchtbar schwach, dass die NSA ständig Wege findet, sie zu umgehen.

Das ist ein extrem wichtiger Hinweis, was wir tun müssen. Es sagt uns, dass an Kryptographie an sich nichts falsch ist, nur an den korrumpierten Implementierungen von sonst starken Verschlüsselungstechniken. Das wurde durch kürzliche Leaks bestätigt, die zeigen, dass Softwarefirmen daran mitarbeiten, die angeblich sichere Software, die sie verkaufen, zu schwächen – das ist ein grundlegender Betrug des Vertrauen, das Kunden ihnen entgegenbringen.

Die guten Neuigkeiten sind, dass wir eine Alternative haben. In den letzten Jahrzehnten ist mit freier Software und offenem Quelltext ein ganzes Software-Ökosystem entstanden, das sich der Kontrolle traditioneller Computerindustrie entzieht. Das macht eine Unterwanderung durch die NSA wesentlich schwieriger, da der Quellcode offen entwickelt wird. Das ermöglicht es jedem, den Code durchzusehen und nach Backdoors zu suchen — geheime Wege, um zu spionieren und Software zu kontrollieren.

Das heißt nicht, dass freie Software komplett immun gegenüber Sicherheitsproblemen ist. Viele Open Source Produkte stammen von Firmen und es ist vorstellbar, dass auf manche Druck ausgeübt wurde, ihre Teile ihrer Arbeit zu schwächen. Freie Software kann unterwandert werden, wenn sie von dem Quellcode, der sich leicht auf Backdoors überprüfen lässt, in Binärprogramme übersetzt werden, die dann tatsächlich auf dem Computer ausgeführt werden und für die das nicht mehr möglich ist. Es gibt auch die Möglichkeit, in Downloadverzeichnisse von quelloffener Software einzubrechen und diese auf subtile Art und Weise durch gefälschte zu ersetzen.

Trotz dieser Probleme ist Open Source immer noch die größte Hoffnung, die wir haben, wenn es um starke Verschlüsselung geht. Aber in Folge der Snowden-Enthüllungen muss die Free Software Community zusätzliche Vorsicht walten lassen, um das Risiko zu minimieren, dass Code anfällig gegenüber Angriffen und Subversion durch Spionageeinrichtungen ist.

Über solche Maßnahmen hinaus sollte die Open Source Welt auch anfangen, eine neue Generation von Anwendungen zu schreiben, die starke Kryptographie beinhalten. Solche existieren schon, aber sie sind oftmals schwer zu bedienen. Es bleibt mehr zu tun, um sie für einen durchschnittlichen Nutzer brauchbar zu machen: Er mag sich zwar nicht für die Möglichkeit interessieren, dass NSA und GCHQ seine Onlineaktivitäten überwachen, aber wenn es ein Angebot an guten Werkzeugen gibt, die es einfach machen, solchen Bemühungen vorzubeugen, könnte es sein, dass viele Menschen sie benutzen. Genauso wie viele zum Firefox-Browser gewechselt sind — nicht weil er offene Standards unterstützt, sondern weil er besser ist.

Es gibt keinen Grund, hoffnungslos zu sein, auch wenn das Ausmaß der Spionage, das Snowden enthüllt hat, einem den Atem verschlägt und die Leaks über die tiefgreifende und absichtliche Zerstörung der kompletten Vertrauens- und Sicherheitssysteme des Internets schockierend sind. Selbst angesichts der weitgehenden Ignoranz in der Öffentlichkeit und der Gleichgültigkeit gegenüber der Gefahr, die Totalüberwachung für die Demokratie darstellt, können wir, soweit wir wissen, immer noch starke Verschlüsselung in quelloffener Software benutzen, um unsere Privatsphäre zu schützen.

Das könnte in der Tat eine Möglichkeit für Open Source sein, von einem größeren Publikum angenommen zu werden. Denn wir wissen nun, dass kommerzieller Software nicht mehr vertraut werden kann und sie effektiv Spyware ist, für die man bezahlen muss. Und so wie Moores Law der NSA und GCHQ erlaubt, immer größere Mengen unserer Daten abzugreifen und zu analysieren, kann auch freie Software davon profitieren.

Indem Moores Law weiterhin den Preis für Computergeräte senkt – seien es PCs, Smartphones oder Tablets – sind mehr Menschen in Entwicklungsländern auf der ganzen Welt in der Lage, sich diese zu leisten. Viele von ihnen werden freie Software benutzen, denn westliche Softwarefirmen verlangen oftmals übertrieben hohe Preise für ihre Produkte, wenn man sie mit dem lokalen verfügbaren Einkommen vergleicht.

Dadurch, dass Open Source sich weiter verbreitet, wird auch die Anzahl derer wachsen, die gewillt und fähig sind, etwas beizutragen. Die Software wird sich verbessern und mehr Menschen werden sie benutzen. Mit anderen Worten, es gibt einen selbstverstärkenden Kreislauf, der sich selbst nährt. Dieser wird dabei helfen, den sich immer erweiternden Überwachungsaktivitäten von NSA und GCHQ entgegenzuwirken. Genauso wie Computer Werkzeuge von Repression sein können, können sie auch Werkzeuge des Widerstands sein, wenn sie mit freier Software betrieben werden, die ihren Namen nicht umsonst trägt.

Dieser Text wurde von der Redaktion ins Deutsche übersetzt.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 06 2014

Auswärtiges Amt: Bundesregierung darf US-amerikanische Militäreinrichtungen “ohne vorherige Anmeldung” inspizieren [Update]

Foto: Joachim Müller, Creative Commons CC-BY-SA

Foto: Joachim Müller, Creative Commons CC-BY-SA

Bislang zeigte sich die Bundesregierung in der Aufklärung der digitalen Spionage von NSA und GCHQ in Deutschland wenig schwungvoll. Zwar existiert ein entsprechender “Beobachtungsvorgang” der Bundesanwaltschaft, dieser soll aber zahnlos bleiben: Wie zur mutmasslichen Steuerung von US-Drohnen über Anlagen in Deutschland wollte die frühere Bundesjustizministerin keine Anweisung an den Generalbundesanwalt Harald Range richten, ein Ermittlungsverfahren einzuleiten. Es gebe keinen hinreichenden Anfangsverdacht für das Vorliegen einer Straftat. Ob ihr Nachfolger die Praxis beibehält, ist offen. So kann kein Rechtshilfeersuchen gestellt werden, um etwa Edward Snowden als Zeugen in Moskau zu vernehmen.

Bislang galt der Sprech, die Bundesregierung nehme die Spionagevorwürfe “sehr ernst”. Man sei dazu “in Gesprächen” mit der US-Regierung, habe aber “teilweise erkennen können, dass etliche Vorwürfe, die von Herrn Snowden in den Raum gestellt wurden, nicht mit Substanz anzureichern sind”. Gleichfalls wurde betont, es handele sich höchstens um Einzelfälle:

Die Aktivitäten der Nachrichtendienste der verbündeten Staaten unterlagen bislang keiner systematischen, sondern ausschließlich einer anlassbezogenen Beobachtung bzw. Bearbeitung in begründeten Einzelfällen. Wenn sich Anhaltspunkte für eine Spionagetätigkeit befreundeter Staaten ergeben, gehen die Verfassungsschutzbehörden diesen mit den zur Verfügung stehenden Mitteln nach.

Zu den wenigen Nachforschungen gehörten etwa Überflüge von diplomatischen Einrichtungen der USA und Großbritanniens mit Helikoptern, um verdächtige Aufbauten auf Dächern zu finden die zur Spionage geeignet wären. US-amerikanische Militäreinrichtungen, die im Rahmen des sogenannten Nato-Truppenstatuts beispielsweise in Bayern und Baden-Württemberg angesiedelt sind, waren aber von den Kontrollen aus der Luft ausgenommen. Im Gegenteil hieß es stets, die Bundesregierung würde sich auf Zusagen der US-Regierung verlassen, sich an deutsches Recht und Gesetz zu halten.

Nun meldet die Mitteldeutsche Zeitung unter Berufung auf eine Anfrage des Bundestagsabgeordneten Jan Korte, deutsche Behörden hätten das Recht, militärische Liegenschaften der USA zu inspizieren. Hierzu sei maßgeblich, dass dies “zur Wahrnehmung der deutschen Belange” für “erforderlich” gehalten wird. Dazu antwortete demnach das Auswärtige Amt:

Die Überprüfung der Einhaltung deutschen Rechts durch amerikanische Militäreinrichtungen in Deutschland gehört zur Wahrnehmung deutscher Belange.

Ein Zusatzprotokoll zu Artikel 53 des Nato-Truppenstatuts könnte demnach zur rechtlichen Begründung herangezogen werden. Dort heißt es, dass “in Eilfällen und bei Gefahr im Verzug” ausländische Truppen “auch den sofortigen Zutritt ohne vorherige Anmeldung gewähren” müssten. Eine Begleitung deutscher Kontrolleure durch amerikanische Behördenvertreter sei laut der Mitteldeutschen Zeitung zwar möglich, aber nicht zwingend.

Also könnte die Bundesregierung sofort nachsehen, inwiefern der Dagger-Komplex in Darmstadt oder ein vermutlich neues Abhörzentrum in Wiesbaden zur digitalen Spionage dient. Sollte es tatsächlich zu einem Untersuchungsausschuss des Bundestages kommen, wäre diese Art der Informationsbeschaffung unausweichlich. Ob die Abgeordneten aber selbst das Recht haben, die Anlagen zu inspizieren, erklärt das Auswärtige Amt nicht.

Wie notwendig und dringend der Untersuchungsausschuss ist, zeigt die Antwort auf eine andere Kleine Anfrage vom Dezember – denn munter werden weiter Daten mit der NSA getauscht:

Die in der Frage angesprochene Presseberichterstattung hat keinen Anlass gegeben, die sich im Gesetzesrahmen vollziehende Zusammenarbeit mit ausländischen Nachrichtendiensten einzustellen. Die Zusammenarbeit dient insbesondere auch dem Schutz Deutscher vor terroristischen Anschlägen und trägt dazu wesentlich bei.

Update: Die Antwort ist nun auch online verfügbar. Den wichtigsten Absatz hat die Mitteldeutsche Zeitung aber verschwiegen, wohl wegen des sonst abflachenden Erregungskorridors:

Bei jedem Zutritt sind die Erfordernisse der militärischen Sicherheit zu berücksichtigen, insbesondere die Unverletzlichkeit von Räumen und von Schriftstücken, die der Geheimhaltung unterliegen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl