Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

July 24 2013

USA und EU führen mehrtägige Gespräche zu PRISM, Geheimdienstaktivitäten der Mitgliedstaaten und abgehörte EU-Institutionen

Seit vorgestern finden auf mehreren Ebenen Gespräche zwischen der Europäischen Union und den USA statt. Hintergrund sind die Berichte über die weltweite Ausspähung digitaler Kommunikation durch den US-Militärgeheimdienst NSA, aber auch Meldungen dass die EU selbst zu den ausgeforschten Einrichtungen gehört. Der Rat der Europäischen Union hat nach eigener Auskunft erst am 6. Juni von den US-Überwachungsprogrammen erfahren.

Anfang Juli hatte der US-Justizminister Eric Holder vorgeschlagen, hierzu eine sogenannte “EU/US High level expert group” einzurichten. Mehrere EU-Mitgliedstaaten drängen auf die eilige Erörterung der Angelegenheit, um die Verhandlungen zum geplanten Freihandelsabkommen “Transatlantic Trade and Investment Partnership” (TTIP) nicht zu gefährden.

Holder versucht, die Geheimdienste der EU-Mitgliedstaaten gegeneinander auszuspielen und fordert einen “two-track approach” bzw. “symmetrischen Dialog”: Die Beteiligten sollen sich nicht nur über Sammlung und Austausch geheimdienstlicher Informationen seitens der USA (vor allem “PRISM”) unterhalten, sondern auch ähnliche Aktivitäten europäischer Dienste offenlegen. Hiergegen hatte sich außer Schweden insbesondere Großbritannien gewehrt, wohl um den britischen Geheimdienst GCHQ nicht wegen seiner gleichlautenden Programme zu kompromettieren.

Da die EU-Kommission und der Europäische Auswärtige Dienst (EAD) zu geheimdienstlichen Maßnahmen über keine Kompetenzen verfügen, sollen sie von den Gesprächen ausgeschlossen werden. Hiergegen hatten sich Kommissionsangehörige vehement gewehrt und erklärt, die Informationsbeschaffung der NSA beträffen nicht nur einzelne Einrichtungen, sondern richteten sich gegen die gesamte EU.

Die Kommission soll nach dem Vorschlag des US-Justizministers aber wenigstens den Diskussionen über die staatliche Kontrolle der Geheimdienste sowie datenschutzrechtlichen Fragestellungen beiwohnen dürfen. Am Ende soll ein Bericht erstellt werden, der an das Europäische Parlament übermittelt wird.

Das Treffen der “expert group” sollte gestern und vorgestern in Brüssel stattfinden. Über die Zusammensetzung der Gruppe ist nicht viel bekannt. Die Delegationen der EU und der USA sollten zahlenmässig in etwa gleich gross sein. Für die beiden Tracks “Datenschutz” und “Geheimdienstliche Informationsbeschaffung” wurden jeweils fünf (auch deutsche) “Experten” benannt, die aus dem privaten Sektor kommen. Seitens der EU-Präsidentschaft und der Kommission sollte je einE VertreterIn teilnehmen. Auch Gilles de Kerchove, der “EU-Koordinator für Terrorismusbekämpfung” sowie eine Person der sogenannten “Artikel 29 Gruppe” dürfen anwesend sein. Übermorgen soll die “expert group” dann erneut zusammenkommen.

Die Ergebnisse der Gespräche sollen auf dem “Treffen ranghoher Beamter der EU und der USA” einfließen, das heute zu den Bereichen “Justiz und Inneres” in Vilnius stattfindet. Der Ort wurde gewählt, da Litauen derzeit die EU-Präsidentschaft innehat. An diesen halbjährlichen “hochrangigen” Zusammenkünften nehmen Delegierte der USA, der EU-Kommission, des Generalsekretariats des Rates, des EAD sowie der EU-Agenturen Europol, Eurojust, Europol und Frontex teil.

Die EU kooperiert im Sicherheitsbereich auf mehreren Ebenen mit den USA. Jährlich werden gemeinsame Gipfeltreffen abgehalten, an denen auch die Präsidenten der EU und der USA teilnehmen.

Regelmässig (zuletzt im April) fliegt der Europol-Direktor Wainwright in die USA, um dort an “EU-US Law-enforcement Meetings” teilzunehmen. Das letzte Treffen drehte sich um Cyber Crime, Urheberschutzrechte und “Terrorismus”, Mitreisende waren der Generaldirektor für Außenbeziehungen und der Anti-Terrorismus-Koordinator. Aus der Antwort der EU-Innenkommissarin Cecilia Malmström auf eine Anfrage der Europaabgeordenten Sabine Lösing geht hervor, dass bei der Veranstaltung “rund 150 Personen mit sehr unterschiedlichem Hintergrund” zugegen waren. Europol unterhält ein eigenes Verbindungsbüro in Washington, das laut Malmström ebenfalls vertreten war.

Ziel der Veranstaltung sei gewesen, “Gedanken zu den gemeinsamen Sicherheitsproblemen im Zusammenhang mit den genannten Themen” auszutauschen und “im Hinblick auf eine Lösung dieser Probleme die Zusammenarbeit zwischen EU und USA zu intensivieren”. Laut Malmström erörtern EU und USA regelmäßig “den Zugang von Strafverfolgungsbehörden zu Daten in der Cloud”. Europol und amerikanische Behörden besprächen demnach “regelmäßig ihre Zusammenarbeit, bewerten die Ergebnisse und gehen Sicherheitsprobleme an”.

Bliebe noch zu erwähnen, dass Verhandlungen zu einem anvisierten Datenschutzabkommen zwischen der EU und den USA immer noch auf der Stelle treten.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

May 16 2013

iRIGHTS.info: “Wie funktioniert Strafverfolgung in der Cloud?”

Erst vor wenigen Tagen berichteten wir über interne Dokumente des FBI, welche nahelegen das amerikanische Strafverfolgungsbehörden, ohne richterlichen Beschluss, auf sämtliche im Internet gespeicherten E-Mails zugreifen. Möglich ist dieses durch eine teils undurchsichtige Gesetzgebung innerhalb der USA, welche viel Spielraum für Interpretationen von Seiten der Behörden zulässt. Aber wie sieht die Gesetzgebung in Deutschland aus und wie funktioniert die Strafverfolgung in Deutschland, wenn es um Daten in der Cloud geht? Dieser Frage ist das Informationsportal rund um Datenschutz und Recht im Internet iRIGHTS.info in einem Artikel nachgegangen.

Doch das Fazit des Artikels zeichnet auch vom deutschen Rechtssystem kein gutes Bild:

Bei der Strafverfolgung in der Cloud sind derzeit noch mehr Fragen ungeklärt als geklärt. Wann und wo welches Recht gilt, ist bei den grenzüberschreitenden Diensten nicht leicht zu bestimmen.


Dieses liege zu einem Großteil an mittlerweile veralteten Gesetzen. Diese seien noch “aus der Aktenordern-Zeit” und würden in Zeiten der Datensicherung in der Cloud keinen geeigneten rechtlichen Rahmen bieten. Hinzu komme die Schwierigkeit, dass Daten von deutschen Nutzern nicht zwangsläufig auf deutschen Servern gespeichert werden.

Clouddienste operieren über Kontinente hinweg. Welche Daten wo genau liegen und welches Recht für welche Dienste eigentlich gilt, ist häufig noch ungeklärt.

An dieser Stelle ist also sicherlich die Politik gefordert, neue Gesetze zu schaffen. So wie es die EU ja möglicherweise schon vormacht. Doch solange es noch keine neuen Gesetze gibt, sind auch die Nutzer gefordert. Sie sind gefordert zu hinterfragen, welche Daten sie über sich preisgeben können oder auch müssen und welche nur eine Zugabe an geschickte Marketing-Abteilungen ist – in der Cloud wie in sozialen Netzwerken.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

March 26 2013

Hamburger Polizei und Geheimdienst nutzen bei Ermittlungen immer öfter Soziale Netzwerke – vielleicht bald mit spezieller Software

Die Hamburger Polizei und der Verfassungschutz nutzen für ihre Ermittlungen zunehmend Soziale Netzwerke. Dies teilte der Senat jetzt auf eine Anfrage der Linksfraktion mit. Die Fragestellerin hatte sich nach behördlichen Streifengängen bei Facebook, LinkedIn, MySpace, Twitter oder StudiVZ erkundigt.

Die Initiative ist der Versuch, eine ähnliche Anfrage im Bundestag nun auch auf Landesebene nachvollziehbar zu machen. Ausgangspunkt war ein Aufsatz in der Zeitschrift “Kriminalistik” von 2010, nachgedruckt in der Zeitschrift der “Gewerkschaft” der Polizei (GdP). Zwei Polizeidozenten illustrieren dort, dass soziale Netzwerke “wahre Fundgruben” für Ermittlungs- und Fahndungszwecke sind. Die Autoren analysieren, dass eine ganze Reihe realer polizeilicher “Lagen” auch im Internet abgebildet werden bzw. dort recherchiert werden können. Nützlich seien sie überdies für “präventionspolizeiliche Maßnahmen”, also die vorausschauende “Gefahrenabwehr”.

Der Hamburger Senat bestätigt das. Adressiert wird demnach ein weites Feld von “extremistische[n] und terroristische[n] Gruppen im In- und Ausland”. Eine entsprechende Abfrage Sozialer Netzwerke scheint für den Verfassungsschutz mittlerweile die Regel zu sein. Der Geheimdienst wird offensichtlich nicht nur bei konkreten Ermittlungen aktiv:

Ganz allgemein [sic!] werden im Rahmen der Informationsgewinnung zu Ermittlungszwecken Recherchen im Internet zu Personen, Personengruppen oder Organisationen auch in sozialen Netzwerken durchgeführt. [...] Es handelt sich um offene und (auch technisch) verdeckte Informationserhebungen zum Zweck themenspezifischer Aufklärung von Bestrebungen im Sinne des § 4 HmbVerfSchG sowie anlässlich entsprechender Identitätsermittlungen.

Weitere Einzelheiten zu den digitalen Ermittlungen des Inlandsgeheimdienstes möchte der Senat aber nicht machen und verweist auf den für die parlamentarische Kontrolle des Verfassungsschutzes zuständigen Kontrollausschuss. Eine derartige Aufsicht ist tatsächlich vonnöten, denn die Schnüffler geben “zum Zweck der Strafverfolgung oder der Gefahrenabwehr” Daten auch an polizeiliche Dienststellen weiter.

Auf die Frage nach der Rechtsgrundlage für “virtuelle ErmittlerInnen”, die sich mit falscher Identität in Sozialen Netzwerken anmelden, beruft sich Hamburg auf das Urteil des Bundesverfassungsgerichts vom 27. Februar 2008, das damals ein “Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme” betonte. Nach Hamburger Auslegung darf die Polizei

  • sich zur Aufgabenerfüllung der allgemein zugänglichen Quellen im Netz bedienen
  • sich unter Angabe eines Pseudonyms anmelden, ohne dafür die wahre Identität preisgeben zu müssen
  • sich der von Kommunikationsbeteiligten (z.B. Hinweisgebern, Geschädigten) überlassenen Zugangsdaten bedienen, um damit beispielsweise an geschlossenen Benutzergruppen teilnehmen zu können
  • auch über einen längeren Zeitraum an Kommunikationsbeziehungen (z.B. in Foren) teilnehmen

Zahlen zu den Internetermittlungen nennt der Senat nicht, da keine Statistiken geführt würden. Mitgeteilt wird aber, dass “virtuelle ErmittlerInnen” nicht zu Straftaten aufrufen dürfen. Auch das Verfassen von Texten bzw. das Weitergeben von Dateien mit strafbarem Inhalt ist verboten. Das Gleiche gilt für sogenannte “Honeypots”, mit denen das Bundeskriminalamt InternetnutzerInnen ausforschte, die sich für Ermittlungen gegen die „militante gruppe” interessierten. Auch seien “keine Fälle bekannt”, in denen Hamburger Sicherheitsbehörden im Zuge von Ermittlungen selbst Webseiten oder Blogs angelegt hätten. Die Ermittlungsarbeit beim Verfassungsschutz würden aber “besonders geschulte Mitarbeiterinnen und Mitarbeiter” übernehmen. Das mag übertrieben sein: Als der Verfassungsschutz Stuttgart 2008 anlässlich der Beobachtung der Anti-NATO-Proteste sein neues “Internetkompetenzzentrum” (IKZ) in Betrieb nahm, waren auf einem Foto der Lokalzeitung nicht nur Nacktfotos im Büro zu erkennen, sondern auch ein Leitz-Ordner mit der Aufschrift “IKZ Bedienungsanleitung”.

Bislang kommt in Hamburg noch keine Software zu Onlineermittlungen oder zur präventiven “Aufhellung” zur Anwendung. Die zuständige Behörde kündigt aber “zur Aufklärung von verfassungsrelevanten Bestrebungen oder schweren Straftaten” eine eventuelle Beschaffung vorsorglich an.

Bislang nutzt die Hamburger Polizei Soziale Netzwerke auch zur “Gefahrenabwehr bei Vermisstenvorgängen”. Ob sich Polizei und Verfassungsschutz von Anbietern sozialer Netzwerke Zugang zu nichtöffentlichen Profilen bzw. Nachrichten geben lassen, wird lediglich für die Polizei bejaht. Weitere Auskunft wird nicht gegeben, da die Frage “kriminaltaktische Belange” berühren würde, “zu denen der Senat grundsätzlich keine Auskunft erteilt”.

Geprüft wird nun, ob Hamburg wie die Polizeidirektion Hannover (Facebook!) in Sozialen Netzwerken “mit eigenen Auftritten präsent sein sollte”. Die Behörden wollen hierfür aber zunächst “Chancen und Risiken” analysieren und eine “Aufwandsberechnung” abwarten.

Um die polizeiliche Präsenz im Internet auszubauen, lädt die Microsoft Niederlassung Köln für den 11. April zum “Microsoft Polizeisymposium 2013″. Die Veranstaltung richtet sich an “Entscheidungsträger der Polizei und Sicherheitsbehörden”, die sich “über neueste Technologien aus den Bereichen Cyber-Crime, Security und Social-Media” informieren sollen. Themen sind neben Cloud Computing im allgemeinen auch die Einrichtung einer “Polizei-Cloud”.

Weil die behördliche Butterfahrt nach Köln nicht ohne Werbung auskommt, wird die Firma StarLIMS als Höhepunkt ihre “Forensik & Crime Scene Windows 8 App” vorstellen. Danach folgen drei Microsoft-Präsentationen über “Fusion-Center”, “Big Data bei der Polizei” und “Kinect im Polizeieinsatz”.

flattr this!

July 25 2012

Europa und die Cloud: Standard zur Überwachung und Kritik von Datenschützern

Die Auslagerung von Daten in die Cloud bereitet den Behörden Sorge. Um weiterhin Abhören zu können, werden europaweite Standards zur Überwachung von Cloud-Diensten erarbeitet. Falls Verschlüsselung eingesetzt wird, soll die umgangen werden. Datenschützer hingegen kritisieren die Cloud, da nie klar ist in welcher Jurisdiktion die Daten liegen.

Das von der Europäischen Kommission gegründete Europäische Institut für Telekommunikationsnormen (ETSI) arbeitet derzeit an einem Standard zur Überwachung von Cloud-Diensten. Laut dem Entwurf sollen die Cloud-Anbieter Schnittstellen zur Verfügung stellen, mit denen Behörden die Daten und Aktivitäten der Nutzerinnen abhören können – in Echtzeit.

Erich Moechel berichtet auf ORF.at:

Wegen des “nomadischen Zugangs zu Diensten in der Cloud” sei es unwahrscheinlich, dass ein Internet-Zugangsprovider alle Überwachungsanfragen bedienen könne. Um dennoch “die Überwachbarkeit zu gewährleisten, muss der Cloud-Anbieter eine Überwachungsfunktion einbauen”, heißt es einen Abschnitt weiter (4.3)

Mit “nomadischem Zugang” ist gemeint, dass Facebookbenutzer über alle möglichen Wege daherkommen können, ob es das eigene DSL ist, drahtlose Breitbanddienste oder ein offenes WLAN-Netz. Man müsste also die Daten eines Facebook-Benutzers nicht nur bei mehreren Zugangsprovidern einsammeln, was nahe an der Echtzeit unmöglich ist. Zudem würde das nur einen Teil der Informationen bringen, die an einer Schnittstelle direkt bei Facebook abgegriffen werden könnten.

Dazu soll auch die SSL-Verschlüsselung angegriffen werden. Und zwar wollen Behörden mit “Deep Packet Inspection”-Systemen (DPI) “Man-in-the-Middle”-Attacken gegen die Verschlüsselung durchführen. Aus dem Entwurf:

Erich Moechel weiter:

“Deep Packet Inspection wird wahrscheinlich ein konstituierendes Element dieses Systems sein”, heißt es denn auch unter 4.3 im ETSI-Dokument unter den “Herausforderungen der Anforderungen” “(“Requirement Challenges”). Darüber wird als nächstes ebenso berichtet werden, wie über die Szenarien der staatlich sanktionierten Angriffe auf Skype, VoIP und Tauschbörsen, denen sämtlich sogenannte Peer-To-Peer-Protokolle zu Grunde liegen.

Skype hat übrigens gerade wieder auf die Frage, ob sie Gespräche abhören können, geantwortet: Kein Kommentar.

Eine andere EU-Institution sieht das mit dem Cloud-Computing kritischer. Die Artikel 29 Datenschutzgruppe veröffentlichte Anfang des Monats eine Stellungnahme mit ihrer Einschätzung der Cloud.

Die Datenschützer sehen “eine Reihe von Datenschutz-Risiken, vor allem einen Mangel an Kontrolle über persönliche Daten sowie unzureichende Informationen über die Fragen, wie, wo und von wem die Daten (weiter-)verarbeitet werden.” Da in der Cloud nie klar ist, wo die Daten physisch liegen ist auch die Jurisdiktion darüber unklar. Die europäische Datenschutzrichtlinie verbietet es jedoch, personenbezogene Daten in Staaten mit schwächerem Datenschutz auszulagern.

Dass dürfte jedoch bei Cloud-Diensten eher die Regel als die Ausnahme sein. Die existierenden Safe Harbor-Vereinbarung zwischen EU und USA sind daher unzureichend. Hier sehen die Datenschützer dringenden Klärungsbedarf.

Bis dahin sollten europäische Firmen ihre Cloud-Dienstleister ganz genau evaluieren und gegebenenfalls schriftlich versichern lassen, wohin die eigenen Daten übermittelt werden.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl