Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

September 04 2013

Vorratsdatenspeicherung: Bundeskriminalamt will hunderttausende Inhaber verwurmter Rechner identifizieren

Ablauf der Entstehung und Verwendung von Botnetzen. Lizenz: Creative Commons BY-SA 3.0.

Lizenz: Creative Commons BY-SA 3.0.

Das Bundeskriminalamt hat versucht, mehr als 200.000 Menschen zu identifizieren, deren Rechner Teil eines Botznetzes waren. Das wurde uns vom BKA bestätigt und steht als “Beweis” für die Notwendigkeit der Vorratsdatenspeicherung in einem Papier der EU-Kommission. Seit letztem Jahr ist diese Vorgehensweise ein abgestimmtes Verfahren zwischen Bund und Ländern.

Die EU-Richtlinie zur Vorratsdatenspeicherung wurde politisch mit “schwerstem internationalen Terrorismus” begründet, schon im Text steht nur noch die Bekämpfung von Straftaten. Jetzt haben wir noch einen Anwendungsfall entdeckt. In einem Bericht der Europäischen Kommission heißt es:

Die Deutsche Polizei erhielt Informationen aus Luxemburg nach der Analyse eines beschlagnahmten Command and Control Servers eines Botnets, die digitale Identitäten von ahnungslosen Nutzern enthielten. 218.703 deutsche IP-Adressen, die auf diesen Server zugegriffen hatten, wurden an die Polizei übermittelt, um die Besitzer der Computer zu informieren/warnen, aber die meisten der anschließend von den Polizeibehörden übermittelten Auskunftsersuchen liefen ins Leere, weil die Vorratsdaten nicht gespeichert wurden.

Nachdem wir uns die Augen gerieben hatten, ob das wirklich stimmt, haben wir vor drei Wochen beim BKA nachgefragt. Heute ist endlich die Antwort eingetroffen, in der es heißt:

Über eine Distributed Denial of Services-Attacke durch ein Botnetz wurde eine Webseite im Internet attackiert. Diese war daraufhin im Internet nicht mehr erreichbar. Über die Auswertung der Logdaten der angegriffenen Seite konnte ein Command&Control-Server identifiziert werden, der das zum Angriff genutzte Botnetz steuerte. Im Zuge der Auswertung wurden täterseitige Zugriffe auf den Command&Control-Server festgestellt. Die hierbei genutzten IP-Adressen lieferten Anhaltspunkte zur Identifizierung der Täter.

Dem BKA wurden in einem solchen Fall beispielsweise aus Luxemburg im Jahr 2010 insgesamt 218.703 deutsche IP-Adressen übersandt. Allein in Hessen und Nordrhein-Westfalen wurden im weiteren Verlauf zu insgesamt 169.964 Auskunftsersuchen mangels vorhandener Daten keine Auskünfte erteilt. Die betroffenen Internetnutzer konnten somit nicht davor gewarnt werden, dass sie Teil eines kriminellen Botnetzes sind.

Das BKA hat also in einem einzigen Fall versucht, mit dem Datenpool der Vorratsdatenspeicherung 218.703 Menschen, deren Internet-Anschluss von einem mit Malware befallenen Rechner verwendet wurde, zu identifizieren. Die Vorratsdatenspeicherung, die mit Terrorismus begründet wird. Und wenn 169.964 der 218.703 Anfragen leerliefen, macht das 48.739 identifizierte Menschen. Fünfzigtausend Menschen haben einen Brief bekommen, dass ihr Rechner mit Schadsoftware befallen ist? Und sie per Vorratsdatenspeicherung identifiziert wurden?

Laut BKA ist das mittlerweile sogar ein Standard-Verfahren beim Umgang mit solchen Fällen:

Folgendes Verfahren ist zwischen Bund und Ländern bei Kenntnisnahme massenhaft infizierter Computer/-systeme seit 2012 abgestimmt:

  • Das BKA nimmt die Daten aus dem Ausland entgegen.
  • Das BKA ordnet die IP-Adressen mittels eines automatisierten Skriptes dem jeweilig zuständigen Provider zu.
  • Das BKA nimmt Kontakt zur IuK-Schwerpunktstaatsanwaltschaft auf, um ein Strafverfahren einleiten zu lassen und um so den repressiven Ansprüchen gerecht zu werden.
  • Das BKA verschickt eigenständig im Rahmen seiner Zentralstellenaufgabe zur Unterstützung der Länderbehörde, in dessen Zuständigkeitsbereich der Provider seinen Sitz hat, unter Nutzung von Serienbriefen Mitteilungen gemäß § 10 Abs. 3 i.V.m. § 10 Abs. 2 Nr. 1 i.V.m. § 2 BKAG an die jeweiligen Provider, um diese über die Infektion der Rechner ihrer Kunden zu informieren und sie darum zu ersuchen, diese darüber in Kenntnis zu setzen.
  • Das jeweils zuständige Landeskriminalamt wird darüber in Kenntnis gesetzt und kann ggf. weitere Maßnahmen veranlassen.
  • Sollten im Einzelfall weitere Ermittlungsansätze vorhanden sein, die eine örtliche Zuständigkeit eines Landes begründen, gibt das BKA diesen Vorgang an das zuständige Landeskriminalamt zur dortigen Einleitung der weiteren Maßnahmen in eigener Zuständigkeit ab.

Wir wollten natürlich wissen, wie oft so etwas vorkommt, wie viele Fälle es schon gab und wie viele Menschen schon identifiziert wurden. Die Antwort:

Die Anzahl der Fälle in Bund und Ländern ist nicht registriert worden. Eine Identifizierung der kompromittierten Rechner bei Botnet-Kriminalität ist mangels Vorratsdatenspeicherung in der Regel nicht möglich.

Das ist die größte Zweckentfremdung der Vorratsdatenspeicherung, von der ich in Deutschland bisher erfahren habe. Umso schlimmer, dass das Bundeskriminalamt diesen Fall als Beispiel heranzieht, warum die anlasslose Massenüberwachung sämtlicher Kommunikation in ihren Augen notwendig ist. Und dass die Europäische Kommission das kritiklos in einem Papier übernimmt, dass den Titel “Beweise für die Notwendigkeit der Vorratsdatenspeicherung” trägt. Unglaublich.

Patrick Breyer, Vorratsdatenspeicherungs-Gegner, Jurist und Pirat kommentiert gegenüber netzpolitik.org:

Es ist völlig unverhältnismäßig, wenn das BKA hunderttausende von Internetnutzern ohne ihre Einwilligung identifiziert, um sie vor Schadsoftware zu “warnen”. Die Sicherheit unserer Privatcomputer ist unsere Sache, nicht der Polizei. Es zeigt sich, dass die verfassungswidrige Bestandsdatenauskunft vollkommen ausufert und gestoppt werden muss. Außerdem beweist die BKA-Massenidentifizierung, dass die geforderte IP-Vorratsdatenspeicherung mit der Verfolgung schwerer Straftaten nichts zu tun hat und diese nur als Vorwand genutzt werden, um Internetnutzer wegen Bagatellen zu verfolgen.

Wehe, nach Homepageüberwachung, Funkzellenabfrage und nun Botnetzen erzählt mir noch einmal jemand etwas davon, dass die Vorratsdatenspeicherung nur gegen Terror ist und nur in Einzelfällen angewendet wird.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 21 2013

Automatisierte Bestandsdatenabfrage: Deutsche Behörden identifizieren alle fünf Sekunden einen Anschlussinhaber

Statistik der Bundesnetzagentur: Anzahl bearbeiterer Ersuchen gemäß § 112 TKG

Statistik der Bundesnetzagentur: Anzahl bearbeiterer Ersuchen gemäß § 112 TKG

Deutsche Behörden haben im letzten Jahr sieben Millionen Inhaber von Festnetz-, Mobilfunk- oder E-Mail-Anschlüssen identifiziert. Das geht aus offiziellen Zahlen der Bundesnetzagentur hervor, die den 250 Behörden ein automatisiertes Auskunftsverfahren zur Verfügung stellt. Durch die Neuregelung der Bestandsdatenabfrage und die Aufnahme von IP-Adressen werden die Zahlen weiter steigen.

Die Bestandsdatenauskunft wurde vor allem zu ihrer Neuregelung Anfang des Jahres diskutiert, existiert aber schon seit mindestens 15 Jahren. Mit dem manuellen Auskunftsverfahren können Polizeibehörden und Geheimdienste von Bund und Ländern direkt bei Telekommunikations-Anbietern eine Reihe an Daten abfragen, darunter Name und Anschrift von Anschlussinhabern. Das kostet die Bedarfsträger aber (Steuer-)Geld.

Automatisierte Bestandsdatenabfrage

Daneben existiert aber auch ein automatisiertes Auskunftsverfahren. Dabei müssen die rund 140 betroffenen Telekommunikations-Anbieter die Bestandsdaten in Kundendateien speichern, welche Bundesnetzagentur “jederzeit automatisiert abrufen kann”. Die Bundesnetzagentur wiederum bietet den Bedarfsträgern eine automatisierte Schnittstelle, mit denen diese die Daten abfragen können, ohne dass die Telekommunikations-Anbieter (oder gar die Betroffenen) davon mitbekommen. Die Anzahl der befugten Stellen ist hier mit rund 250 ungleich höher: Neben den Polizeibehörden und Geheimdiensten von Bund und Ländern sind das auch Gerichte, Notrufabfragestellen, Bundesanstalt für Finanzdienstleistungsaufsicht, Zollkriminalamt, Zollfahndungsämter und Behörden der Zollverwaltung. Im Gegensatz zum manuellen Auskunftsverfahren ist das automatisierte Verfahren für diese Behörden kostenlos.

Mit einer “einfachen” Bestandsdatenauskunft können die Bedarfsträger also eine Festznetz-Nummer, eine Mobilfunk-Nummer, eine E-Mail-Adresse oder eine Gerätenummer (IMEI) in die Suchmaske eingeben und Name und Anschrift des Anschlussinhabers, Geburtsdatum und weitere Informationen erhalten. Der Abruf ist laut Gesetz auch “unter Verwendung unvollständiger Abfragedaten” oder “mittels einer Ähnlichenfunktion” möglich.

Anzahl der Anfragen steigt kontinuierlich

Und diese Möglichkeit wird fleißig genutzt. Laut offiziellen Angaben der Bundesnetzagentur werden “etwa 7 Millionen Abfragen jährlich und bis zu 70.000 Abfragen pro Tag” automatisiert durchgeführt. Diese Zahlen steigen stetig an. Wir haben die offiziellen Zahlen der Bundesnetzagentur mal genommen, um die uns mitgeteilten aktuellen Zahlen erweitert und neu visualisiert:

BDA-Ersuchen-2012-590

Deutsche Behörden haben also im letzten Jahr sieben Millionen mal die Inhaber von Festnetz-, Mobilfunk- oder E-Mail-Anschlüssen identifiziert. Das ist einmal Name und Anschrift alle 4,5 Sekunden. Nur mit der automatisierten Abfrage, zusätzlich kommen noch manuelle Verfahren. (Die Anzahl der Abfragen, die die Bundesnetzagentur bei den Telekommunikations-Anbietern stellt, ist mit 36,3 Millionen noch höher, aber weniger aussagekräftig, da in Zeiten von Rufnummernmitnahme einzelne Anfragen an mehrere Unternehmen gestellt werden.)

Und das ist nur die alte Regelung. Seit der Neuregelung des Gesetzes Anfang des Jahres können auch die Inhaber von IP-Adressen im Internet über diese Auskunftsverfahren identifiziert werden. Es braucht keine Glaskugel, um einen weiteren Anstieg der Abfragen vorauszusagen.

Die Sammel-Verfassungsbeschwerde der Piraten Patrick Breyer und Katharina Nocun kann weiter mitgezwichnet werden.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

May 17 2013

Netzpolitischer Wochenrückblick: KW 20

Am Ende der Woche gibt es, wie immer, den Netzpolitischen Wochenrückblick! Die wichtigsten Themen der letzten sieben Tage in Text und Ton (mp3):

  • Skype liest Nachrichten aus dem Chat mit

Wer Skype nutzt muss beim ersten Programmstart die Nutzungsbedingungen akzeptieren, mit denen man Microsoft – dem Neueigentümer von Skype – das Einverständnis erteilt Nachrichten mitlesen zu dürfen. Wie heise Security herausgefunden am Dienstag berichtet hat, macht Microsoft von diesem Recht auch Gebrauch. [Zum Artikel]

  • Offline demonstrieren gegen #Drosselkom-Pläne

Gestern wurde vor der Hauptversammlung der Telekom in Köln gegen die Drosselpläne demonstriert. [Zum Artikel]

  • Bundesgerichtshof entscheidet: Google muss in Suchvorschläge eingreifen

Wie der Bundesgerichtshof am Dienstag entschieden hat, muss Google automatische Suchvorschläge entfernen oder bearbeiten, wenn Persönlichkeitsrechte verletzt werden. [Zum Artikel]

  • Wie für die Bestandsdatenauskunft getrickst wurde

Spiegel-Online berichtete am Montag über einen internen Vermerk des SPD-geführten Innenministerium von Nordrhein-Westfalen, das geschrieben und verteilt worden war um widerspenstige Rot-Grüne Bundesländer doch noch von der Sinnhaftigkeit der Bestandsdatenauskunft zu überzeugen. Und da durften alle Killerargumente nicht fehlen, die man bei sowas gerne nutzt: Terroristen, Islamisten, Kinderpornographie. [Zum Artikel]

  • Dokument zur EU-Datenschutzverordnung geleakt: Ministerrat zieht Datenschutz weiter die Zähne

Statewatch hat ein Dokument zum Verhandlungsstand der Datenschutzverordnung im Ministerrat geleakt. Daraus geht hervor, dass der Ministerrat weiter an Kernprinzipien der Datenschutzreform sägt. Die ausdrückliche Zustimmung zur Datenverarbeitung wollen die Innen- und Justizminister ebenso eindampfen wie das Prinzip der Datensparsamkeit. [Zum Artikel]

  • Homepageüberwachung: Polizei NRW hat mindestens 34 mal Webseiten-Besucher gerastert

Polizeibehörden des Landes Nordrhein-Westfalen haben seit 2001 mindestens 34 mal die Besucher ihrer Webseiten überwacht. Das berichtet der Innenminister auf eine kleine Anfrage, die wir veröffentlichen. Demnach wurde zwischen 2002 und 2009 immer mindestens eine staatliche Webseite überwacht. [Zum Artikel]

  • SPD stellt Entwurf zu neuem Informationsfreiheits- und Transparenzgesetz vor

Die Bundestagsfraktion der SPD hat am Mittwoch einen neuen Entwurf zum Informationsfreiheits- und Transparenzgesetz vorgestellt. Ziel ist es das vor sieben Jahren in Kraft getretene Informationsfreiheitsgesetz (IFG) zu reformieren und an entscheidenden Stellen zu verbessern. [Zum Artikel]

  • re:publica 2013: Sessionvideos

Für alle diejenigen von euch die nicht auf der re:publica 2013 waren, aber auch für alle die da waren und naturgemäß nicht alle Vorträge, Diskussionen und Workshops besuchen konnten, hat Michael Kreil sämtliche Videos der Sessions in eine sehr übersichtliche Form gebracht. [Zum Artikel]

  • Video: Astronaut singt Space Oddity im All

Wunderschön: Der kanadische Astronaut Chris Hadfield ist auf dem Rückweg von der ISS-Raumstation und hat zum Abschied “Space Oddity” von David Bowie vertont. Noch haben die GEMA-Youtube-Filter das Lied nicht entdeckt, insofern kann man es noch schauen, solange der Vorrat reicht:

Habt ein schönes Wochenende!

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl