Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

September 05 2013

PRISM Firmen antworten der Bundesregierung: “Meine Name ist Hase, ich weiß von nichts.”

Die Firmen von PRISM.

Die Firmen von PRISM laut NSA.

Acht der neun Internet-Unternehmen, die laut NSA Teil des Überwachungsprogramms PRISM sind, dementieren eine unmittelbare Zusammenarbeit mit US-Behörden. Das geht aus den Antworten der Firmen auf einen Fragenkatalog der Bundesinnenministeriums hervor, die wir an dieser Stelle veröffentlichen. Das Problem: Falls die Unternehmen einen Beschluss auf Grundlage des Foreign Intelligence Surveillance Act erhalten haben, dürfen sie gar nicht darüber sprechen.

Der Summer of Snowden kam so richtig ins Rollen am 6. Juni, als Glenn Greenwald über das Programm PRISM berichtete, das der NSA “direkten Zugriff auf die Systeme” von neun der größten amerikanischen Internet-Firmen geben soll. Das wurde von amerikanischen Behörden auch nicht bestritten.

Die beteiligten Firmen jedoch wollen davon nichts wissen. Wie viele andere Stellen hat auch das deutsche Innenministerium einen Fragenkatalog an die beteiligten Firmen geschickt, über den wir hier berichtet hatten. Wir haben natürlich sofort eine Informationsfreiheits-Anfrage nach den Antworten gestellt. Nachdem auch Bundestag und Regierung auf die von uns veröffentlichten Fragen verwiesen haben und endlich die Antworten sehen wollten, haben wir heute endlich die Antworten erhalten:

Die Fragen der Staatssekretärin im Bundesministerium des Innern, Frau Rogall-Grothe, vom 11. Juni 2013 haben die folgenden Internetunternehmen beantwortet: Yahoo, Microsoft einschließlich seiner Konzerntochter Skype, Google einschließlich seiner Konzerntochter Youtube, Facebook und Apple. Keine Antwort ist bislang von AOL eingegangen.

Die Unternehmen Facebook und Google haben im Nachgang weitere Informationen zur Verfügung gestellt, die Ihnen auf Wunsch der beiden Firmen ebenfalls übermittelt werden.

Und die Antworten auf diese acht konkreten Fragen sind wenig überraschend: Niemand wusste von irgendwas.

Apple antwortet in einem Einseiter und zitiert seine eigene Presse-Aussage:

We have never heard of PRISM. We do not provide any government agency with direct access to our servers, and any government agency requesting customer data must get a court order.

Genaueres oder der FISA Abschnitt 702 wird noch nichtmal erwähnt.

Facebook zitiert einen Facebook-Post von Mark Zuckerberg:

Facebook is not and has never been part of any program to give the US or any other government direct access to our servers. We have never received a blanket request or court order from any government agency asking for information or metadata in bulk, like the one Verizon reportedly received. And if we did, we would fight it aggressively. We hadn’t even heard of PRISM before yesterday.

Weiter heißt es:

Sie bitten in Ihrem Schreiben um Auskunft zu Anfragen, die möglicherweise von amerikanischen Sicherheitsbehörden an Facebook gestellt wurden. Ich habe diese Fragen an meine Kollegen weitergeleitet, die unser weltweites Strafverfolgungsprogramm verantworten. Meine Kollegen haben mich darüber informiert, dass sie mir die gewünschten Informationen jedoch nicht zur Verfügung steilen können, ohne damit amerikanische Gesetze zu verletzen.

Zudem verweist Facebook auf ein Statement des Direktors der nationalen Nachrichtendienste James Clapper.

In einem zweiten Brief verweist Facebook auf seinen neu eingeführten Transparenzbericht.

Google fängt erstmal mit einem Disclaimer an:

Wie Sie wissen, sind die rechtlichen Rahmenbedingungen im Zusammenhang mit behördlichen Ersuchen zur Herausgabe von Daten gerade im internationalen Kontext äußerst komplex. Zudem unterliegt die Google Inc. umfangreichen Verschwiegenheitsverpflichtungen im Hinblick auf eine Vielzahl von Anfragen in Bezug auf Nationale Sicherheit, einschließlich des Foreign Intelllgence Surveillence Act (FISA). Ich habe ihre Anfrage daher der Rechtsabteilung der Google Inc., die sich mit diesen Fragestellungen befasst, zur Prüfung übermittelt.

Dann das Dementi:

Auch uns haben die Presseberichte über ein Überwachungsprogramm PRISM überrascht und besorgt. Wie Sie den öffentlichen Äußerungen unseres Chief Legal Officers David Drummond entnehmen konnten, ist die in diesem Zusammenhang geäußerte Annahme, dass US Behörden direkten Zugriff auf unsere Server oder unser Netzwerk haben, schlicht falsch.

Entgegen einiger Behauptungen in den Medien ist es unzutreffend, dass Google Inc. den US Behörden uneingeschränkt Zugang zu Nutzerdaten eröffnet. Wir haben niemals eine Art Blanko-Ersuchen zu Nutzerdaten erhalten (im Gegensatz beispielsweise zu dem gleichfalls angeführten Fall, der Verizon betrifft). Die Google Inc. verweigert die Teilnahme an jedem Programm, welches den Zugang von Behörden zu unseren Servern bedingt oder uns abverlangt, technische Ausrüstung der Regierung, welcher Art auch immer, in unseren Systemen zu installieren.

Gleichwohl unterliegen wir wie erwähnt umfangreichen Verschwiegenheits-Verpflichtungen hinsichtlich einer Vielzahl von Ersuchen in Bezug auf Nationale Sicherheit, einschließlich des Foreign Inteiligence Surveillance Act (FISA).

Zwei Monate später haben sie noch einmal geantwortet und unter anderem auf einen Gastbeitrag des Chefjuristen David Drummond in der FAZ verwiesen (und als ausgedrucktes Internet angehängt).

Die Antwort von Google gilt auch für YouTube.

Microsoft antwortet wie Apple mit einem Einseiter und auf englisch:

Microsoft does not participate in a program called “PRISM” or any similar program. Microsoft also learned of the program called PRISM through the media reports you mentioned. This applies equally to Skype.

Die Antwort von Microsoft gilt auch für Skype.

Yahoo! dementiert am wenigsten deutlich:

Die Yahoo! Deutschland GmbH hat im Zusammenhang mit dem Programm „PRISM“ wissentlich keine personenbezogenen Daten ihrer deutschen Nutzer an US-amerikanische Behörden weitergegeben, noch irgendwelche Anfragen von US-amerikanischen Behörden bezüglich einer Herausgabe solcher Daten erhalten.

Die amerikanische Yahoo! Inc. hat die Yahoo! Deutschland GmbH auf das Statement Setting the Record Straight verwiesen.

Als einzige Firma beantwortet Yahoo! die acht Einzelfragen des Ministeriums. Aber da man nicht an PRISM beteiligt sei, ist die Antwort acht mal:

Die Yahoo! Deutschland GmbH arbeitet im Hinblick auf das Programm “PRISM” nicht mit US-amerikanischen Behörden zusammen.

AOL hat als einziges Unternehmen der Bundesregierung in mehr als zwei Monaten gar nicht geantwortet.

Die Bundesregierung fasst die Antworten treffend zusammen:

In den vorliegenden Antworten wird die in den Medien im Zusammenhang mit dem Programm PRISM dargestellte unmittelbare Zusammenarbeit der Unternehmen mit US-Behörden dementiert. Die Übermittlung von Daten finde allenfalls im Einzelfall auf Basis der einschlägigen US-Rechtsgrundlagen auf Grundlage richterlicher Beschlüsse statt.

Oder auch: “Meine Name ist Hase, ich weiß von nichts.”

Die Glaubwürdigkeit dieser Aussagen ist aber trotzdem “eher so mittel”. Schon am 7. Juni sagte Mark Rumold, ein Anwalt bei der Electronic Frontier Foundation, gegenüber ABC News:

Wenn diese Unternehmen im Rahmen der FISA Amendments Act einen Beschluss erhalten haben, dürfen sie laut Gesetz weder den Erhalt des Beschlusses noch irgendwelche Informationen darüber offenlegen.

Vor diesem Hintergrund klingen die Disclaimer, wie die von Google über die Verschwiegenheitsverpflichtungen, nochmal anders. Zumal die US-Regierung im Gegensatz zu den Unternehmen die Zusammenarbeit nie dementiert hat.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 14 2013

PRISM: Google und Microsoft liefern deutschen Ministerien “mehr offene Fragen als Antworten”

Die Firmen, auf deren Rechner der amerikanische Geheimdienst PRISM “direkten Zugriff” hatte, wussten davon nichts. Das gaben deutsche Vertreter von Google und Microsoft auf einem “Krisengespäch” von Justiz- und Wirtschafts-Ministerien an. Auch das Innenministerium hat Fragen an die Firmen und schickt einen Brief.

Die FDP-geführten Justiz- und Wirtschafts-Ministerien haben heute ein “Krisengespäch zur Sicherheit von Daten deutscher Nutzer in den USA” veranstaltet. Justizministerin Sabine Leutheusser-Schnarrenberger und Wirtschaftsminister Philipp Rösler wollten von Google, Microsoft, eco und Bitkom wissen, was PRISM ist und wer davon betroffen ist. Das wenig überraschende Ergebnis:

„Es hat keine konkreten Antworten unserer jetzt hier anwesenden Gesprächspartner über das Programm PRISM gegeben, weil sie davon nicht Kenntnis hatten”, sagte Justizministerin Sabine Leutheusser-Schnarrenberger im Anschluss an das Treffen. Somit bleiben „mehr offene Fragen als Antworten“, stellte der Parlamentarische Staatssekretär Hans-Joachim Otto fest.

Stefan Krempl berichtet auf heise online, dass die Firmen “total überrascht” waren.

Das CSU-geführte Innenministerium hat am Dienstag zwei Briefe an die amerikanische Botschaft und die beteiligten Firmen geschickt, in denen sie mal offiziel anfragen, wie viele Deutsche von PRISM betroffen sind:

Schreiben an Yahoo, Microsoft, Google, Facebook, Skype, AOL, Apple und Youtube

1. Arbeitet Ihr Unternehmen mit den US-Behörden im Zusammenhang mit dem Programm PRISM zusammen?
2. Sind im Rahmen dieser Zusammenarbeit auch Daten deutscher Nutzer betroffen?
3. Welche Kategorien von Daten werden den US-Behörden zur Verfügung gestellt?
4. In welcher Jurisdiktion befinden sich die dabei involvierten Server?
5. In welcher Form erfolgt die Übermittlung der Daten an die US-Behörden?
6. Auf welcher Rechtsgrundlage erfolgt die Übermittlung der Daten deutscher Nutzer an die US-Behörden?
7. Gab es Fälle, in denen Ihr Unternehmen die Übermittlung von Daten deutscher Nutzer abgelehnt hat? Wenn ja, aus welchen Gründen?
8. Laut Medienberichten sind außerdem sog. “Special Requests” Bestandteil der Anfragen der US-Sicherheitsbehörden. Wurden solche, deutsche Nutzer betreffende “Special Requests” an Ihr Unternehmen gerichtet und wenn ja, was war deren Gegenstand?

Schreiben an die US-Botschaft

1. Betreiben US-Behörden ein Programm oder Computersystem mit dem Namen PRISM oder vergleichbare Programme oder Systeme?
2. Welche Datenarten (Bestandsdaten, Verbindungsdaten, Inhaltsdaten) werden durch PRISM oder vergleichbare Programme erhoben oder verarbeitet?
3. Werden ausschließlich personenbezogene Daten von nicht US-amerikanischen Telekommunikationsteilnehmern erhoben oder verarbeitet bzw. werden auch personenbezogene Daten US-amerikanischer Telekommunikationsteilnehmer erhoben oder verarbeitet, die mit deutschen Anschlüssen kommunizieren?

Bezug nach Deutschland

4. Werden mit PRISM oder vergleichbaren Programmen personenbezogene Daten deutscher Staatsangehöriger oder sich in Deutschland aufhaltender Personen erhoben oder verarbeitet?
5. Werden Daten mit PRISM oder vergleichbaren Programmen auch auf deutschem Boden erhoben oder verarbeitet?
6. Werden Daten von Unternehmen mit Sitz in Deutschland für PRISM oder von vergleichbaren Programmen erhoben oder verarbeitet?
7. Werden Daten von Tochterunternehmen US-amerikanischer Unternehmen mit Sitz in Deutschland für PRISM oder von vergleichbaren Programmen erhoben oder verarbeitet?
8. Gibt es Absprachen mit Unternehmen mit Sitz in Deutschland, dass diese Daten für PRISM zur Verfügung stellen? Falls ja, inwieweit sind Daten von Unternehmen mit Sitz in Deutschland im Rahmen von PRISM oder vergleichbaren Programmen an US-Behörden übermittelt worden?
9. Auf welcher Grundlage im US-amerikanischen Recht basiert die im Rahmen von PRISM oder vergleichbaren Programmen erfolgende Erhebung und Verarbeitung von Daten?
10. Geschieht die Erhebung und Nutzung personenbezogener Daten im Rahmen von PRISM oder vergleichbaren Programmen aufgrund richterlicher Anordnung?
11. Welche Rechtsschutzmöglichkeiten haben Deutsche, deren personenbezogene Daten im Rahmen von PRISM oder vergleichbarer Programme erhoben oder verarbeitet worden sind?

Boundless Informant

12. Betreiben US-Behörden ein Analyseverfahren “Boundless Informant” oder vergleichbare Analyseverfahren?
13. Welche Kommunikationsdaten werden von “Boundless Informant” oder vergleichbaren Analyseverfahren verarbeitet?
14. Welche Analysen werden von “Boundless Informant” oder vergleichbaren Analy-severfahren ermöglicht?
15. Werden durch “Boundless Informant” oder vergleichbare Analyseverfahren personenbezogene Daten von deutschen Grundrechtsträgern erhoben oder verarbeitet?
16. Werden durch “Boundless Informant” oder vergleichbare Analyseverfahren personenbezogene Daten in Deutschland erhoben oder verarbeitet?

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

May 17 2013

Neue Erkenntnisse zu Skypes Chat-Überwachung

Am vergangenen Montag berichteten wir darüber, dass Skype Nachrichten aus dem Chat mitliest, wie heise security herausgefunden hatte. Heute veröffentliche heise security einen weiteren Artikel zu dem Thema, in welchem die Erkenntnisse aus den letzten Tagen noch ein zusammengefasst werden.

So präsentiert heise security gleich zu Beginn die Fakten:

Wir beobachteten ausschließlich Zugriffe auf https-URLs. Dabei nutzte Microsoft alle übertragenen Informationen – einschließlich der häufig in https-URLs enthaltenen Session-IDs oder Benutzerkennungen. Die Zugriffe erfolgen via HEAD-Request, fragen also lediglich Verwaltungsinformationen ab, nicht jedoch die Inhalte der Seiten.

Neu ist hingegen, dass anscheinend auch http-URLs abgerufen wurden, auch wenn heise security dieses Verhalten selbst nicht beobachten konnte:

Auch wenn wir keine Zugriffe auf die ebenfalls verschickten, ungesicherten http-URLs registrierten, liegen mittlerweile glaubwürdige Berichte vor, dass Microsoft diese in manchen Fällen ebenfalls abruft.


Es stehe allerdings immer noch die Frage im Raum, wozu die URLs überhaupt abgerufen werden. Am wahrscheinlichsten sei immer noch ein Zusammenhang zu einer Schutzfunktion, wie sie beispielsweise Microsofts SmartScreenFilter darstellt. Es gebe jedoch weiterhin eine Reihe von Ungereimtheiten:

Das beginnt mit der Frage, warum der Test nicht unverzüglich sondern mit einem zeitlichen Versatz von mehreren Stunden stattfindet. Bei einer aktiven Spam- oder Phishing-Kampagne ist Zeit ein kritischer Faktor; ein Test von mehreren Stunden alten URLs hat bestenfalls noch dokumentarischen Charakter.

Auch sei es nicht möglich nur durch das abrufen von HEAD-Request, also ohne den Inhalt der Seite zu kennen, eine Webseite auf ihr Sicherheitsrisiko hin zu bewerten:

Als nächstes stellt sich die Frage, wie Microsoft die Seiten bewerten will, ohne den Inhalt zu kennen. Die Verweise auf eine Reputationsdatenbank sind nicht stichhaltig, wenn für die Seiten – wie bei den speziell für den Test erstellten URLs – bislang keinerlei Referenzdaten vorliegen können. Auch der Hinweis, dass es nur darum ginge, mit dem HEAD-Request eventuelle Weiterleitungen auf bekanntermaßen bösartige Seiten zu entdecken, kann nicht überzeugen. Denn zum einen kann eine solche Weiterleitung auch im nicht abgerufenen HTML-Code erfolgen (meta http-equiv=”refresh”). Und zum anderen binden viele Web-Seiten den eigentlichen Schadcode etwa über iFrame-Tags ein – ebenfalls in den HEAD-Daten nicht sichtbar.

Und so kommt heise security zu dem abschließenden Ergebnisse, dass es sich zwar sehr wahrscheinlich um eine Schutzfunktion handele:

Doch wenn es so ist, ist diese wenig durchdacht.

Die positive Nachricht ist, dass heise security bei den letzten Tests keine Abrufe der URLs mehr feststellen konnte, Microsoft die Funktion also anscheinend mindestens vorübergehend deaktiviert hat. Und auch der Test anderer Chats verlief ereignislos:

Unsere analogen Tests mit den Chats von Google, Facebook und ICQ erbrachten übrigens keine Ergebnisse – sprich: es erfolgten keine Zugriffe auf die speziellen URLs, die wir dort verschickten.

Es bleibt also zu hoffen, dass Microsoft aus der Berichterstattung gelernt hat. Also entweder das Abrufen von URLs unterlässt oder zumindest eine Erklärung für das Abrufen liefert. Und sollte es sich tatsächlich um einen Schutzmechanismus handeln, muss erstens der Nutzer darüber informiert werden und zweitens muss der Nutzer die Möglichkeit haben, eine solche Schutzfunktion abstellen zu können.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

Reposted byurfintowserlolufoflopsboxKingBalancerunnerle

August 17 2010

Abhören mit Skype

Seit Jahren hält sich das Gerücht, dass der Staat Skype nicht anhören könnte. Manche Redaktion schwört auch deswegen immer noch darauf, Skype als sichere Kommunikation mit Quellen zu nutzen, weil Telefon zu unsicher sei. Udo Vetter, tätig als Strafverteidiger, hat jetzt was anderes gehört und darüber gebloggt:

Dabei kam auch zur Sprache, dass die Beteiligten nicht nur gerne das Telefon benutzt haben. Sondern auch Skype. Vom Inhalt dieser Gespräche, berichtete der Ermittlungsbeamte, sei nichts bekannt:

Wir hatten keinen Zugriff auf Skype.

Auch wenn es für das Verfahren nicht interessant war, nahm ich den gewählten Tempus zum Anlass für die Frage, ob sich das mittlerweile geändert. Das bejahte der Zeuge. Seine Behörde könne Skype heute genauso abhören wie das normale Telefon. Die Vorsitzende Richterin merkte dazu an, sie habe in ganz neuen Sachen auch schon Skype-Abhörprotokolle gesehen.

Reposted byurfinprgbrightbytesofiasdermobbbdaElbenfreundcliffordastridmondkroetejotbetookreturn13ninjacoderlititsecdesihexxeSchizoeckevervic
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl