Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 06 2014

Neues Gesetz in der Türkei: “Es ist offensichtlich, dass sie vorhaben, DPI zu verwenden”

letmesurfHeute wurde in der Türkei ein Gesetz verabschiedet, das der Regierung weitgehende Sperr- und Überwachungsrechte im Internet einräumt. Wir haben uns mit Vertretern der Alternatif Bilişim Derneği (Alternative Informatics Association) über die Situation unterhalten.

Seit 2010 wird die Türkei von Reporter ohne Grenzen auf der Liste der Internetfeinde in der Kategorie “unter Beobachtung” geführt. Was war passiert?

Die Regierung hatte 2007 das Gesetz #5651 für Internetüberwachung und Netzsperren eingeführt. Über 40.000 Webseiten sind derzeit geblockt. Vor einigen Jahren wurde ein neuer Filtermechanismus eingeführt. Ursprünglich war das Filtern obligatorisch und Internetnutzer mussten sich zwischen den Optionen “Standard”, “Familie” und “Kinder” entscheiden. Nach einem Aufschrei in der Bevölkerung und Massendemonstrationen gegen den Filter wurde er optional. Anfang 2014 ließen nur 4-5% der Internetnutzer filtern. Allerdings waren die mehr als 40.000 Websites, die oft auch ohne Gerichtsbeschluss auf der Liste gelandet sind, auch ohne Filter nicht ohne Umwege erreichbar.

Eines unserer Mitglieder, Ahmet Yildirim, zog vor den Europäischen Gerichtshof für Menschenrechte, weil sites.google.com, wo seine wissenschaftlichen Studien gehosted sind, geblockt worden war. Der EGMR entschied, dass das Gesetz #5651 den Artikel 10 der Europäischen Menschenrechtskonvention verletzt:

Noch schlimmer ist das neue Gesetz, das die Einschränkungen von Gesetz #5651 noch verschärft.

Was ändert sich in diesem Bereich durch das neue Gesetz?

Bis vor einigen Monaten wurde durch IP-Sperren geblockt. Dadurch wurde die komplette Seite unzugänglich gemacht, wenn irgendwo Material zu finden war, das der Regierung nicht gefiel. Im Fall von Ahmet Yildirim ging es beispielsweise nicht um das, was er gepostet hatte, sondern um etwas ganz anderes. Jetzt sieht es so aus als hätten sich die technischen Möglichkeiten in letzter Zeit fortentwickelt. Sie können jetzt auch URL-basiert sperren. Das meiste, was zuletzt gesperrt wurde, handelte von Korruption in der Regierung, wovon auf YouTube und Soundcloud berichtet wurde.

Das neue Gesetz sieht vor, dass IP-basiert, URL-basiert oder “durch andere Mittel” geblockt werden kann. Es ist offensichtlich, dass sie vorhaben, Deep-Packet-Inspection-Systeme zu verwenden, die nicht nur blocken können, sondern auch neue Möglichkeiten zur Überwachung liefern. Das neue Gesetz zwingt alle Provider, Mitglied in einer Gesellschaft zu werden, die dazu da ist die Sperr- und Überwachungsanordnungen der Regierung zu übermitteln und die Durchführung zu kontrollieren. Alle 196 Provider sind erbitterte Gegner des Gesetzes, weil sie DPI-Systeme kaufen und installieren müssen wenn es verabschiedet wird. Das ist auch deswegen schlecht für die Nutzer, weil diese Kosten auf die eh schon hohen Zugangskosten aufgeschlagen werden.

Wie sieht es mit Social-Media-Nutzung aus?

Die Massenmedien sind in einem erbärmlichen Zustand und werden nicht dazu genutzt, Nachrichten zu verbreiten, sondern sie zu verstecken. 95% der Massenmedien werden entweder direkt von der Regierung kontrolliert oder von Konzernen, die finanzielle Verbindungen zur Regierung haben, etwa durch Ausschreibungen. Durch diese Situation waren die sozialen Medien essentiell für das, was im Juni 2013 rund um den Gezi-Park passierte und für die Verbreitung von Informationen eine entscheidende Rolle spielte. Premierminister Erdogan nannte Twitter damals “eine Gefahr für die Gesellschaft”. Während der Gezi-Park-Proteste wurden viele Menschen verhaftet, die Informationen über die Geschehnisse verbreiteten oder zum Mitmachen aufriefen. Während Twitter sich weigerte, mit der Regierung zu kollaborieren, gaben Facebook und Microsoft Informationen über ihre Benutzer weiter.

Welche Pläne gibt es jetzt in diesem Bereich?

Erdogan hat seine Einstellung zu Twitter offensichtlich geändert, denn seine Partei hat jetzt eine 6000 Mann starke Armee von Twitter-Nutzern, die Nachrichten auf Kommando posten und sich mit der fundamentalistischen Twitter-Armee der Anhänger von Fethullah Gulen bekämpfen. Gulen ist ein mächtiger Imam, der in den letzten Jahrzehnten eine halb-klandestine Organisation aufgebaut hat. Jetzt liefert er sich einen erbitterten Kampf um die Macht mit der Regierung.

Gibt es Parteien, die sich gegen das Gesetz gewehrt haben? Ist Internetfreiheit ein Gegenstand der politischen Debatte?

Man kann schon sagen, dass das Thema auf der politischen Agenda stand. Allerdings hat die regierende AKP eine absolute Mehrheit im Parlament und in dieser Situation ist es natürlich unwahrscheinlich, dass ein Gesetz noch abgelehnt wird. Wie die Zivilgesellschaft und die Provider ist auch die Opposition gegen das Gesetz, aber ihr Widerstand ist dabei offensichtlich nicht besonders wirksam.

Wie steht es um die Zivilgesellschaft?

Unsere Organisation, die Alternative Informatics Association, und viele andere NGOs setzen sich aktiv für die Freiheit des Internets ein und haben versucht, das neue Gesetz zu verhindern. Einige unserer Mitglieder waren auch im Parlament, um Überzeugungsarbeit zu leisten.

Und die Medien? Welche Position nehmen die ein, wenn es um Zensur und Überwachung geht?

Die von der Regierung kontrollierten Medien haben das neue Gesetz unterstützt und es als Mechanismus gegen Diffamierung dargestellt, also beispielsweise gegen Vorwürfe gegen korrupte Minister und andere Offizielle. Einige Medien haben auch einfach nur über den Prozess der Gesetzgebung berichtet, ohne das Gesetz selbst zu kommentieren. Die meisten Journalisten können nichts sagen, denn die Regierung hat es geschafft, dass sie sich bereits selbst zensieren. Das liegt daran, dass mehr als 70 Journalisten im Gefängnis sitzen und viele ihre Jobs verloren haben. Trotzdem schaffen es manchmal, wenn auch selten, unbeschönigte Berichte über die wahre Natur des neuen Gesetzes in die Mainstream-Medien.

Gemeinsam mit Access ruft Alternatif Bilişim Derneği dazu auf, sich an den türkischen Präsidenten zu wenden. Access hat dafür ein praktisches Tool aufgesetzt.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

December 13 2013

Erneuertes Wassenaar-Abkommen: Spionagesoftware könnte zukünftig mehr Exportkontrolle unterliegen

Könnte Umsatzeinbußen erleiden: Die deutsche Trojaner-Schmiede Gamma

Könnte Umsatzeinbußen erleiden: Die deutsche Trojaner-Schmiede Gamma

Vergangene Woche haben die 41 Partner des Wassenaar-Abkommens zwei neue Kategorien für Spionagesoftware in das seit 1996 bestehende Regelwerk aufgenommen. Dort ist nun die Rede von “Intrusion software” und “IP network surveillance systems”.

Damit wird erstmals international anerkannt, dass Schadsoftware zu den sogenannten Dual-Use-Gütern und –Technologien gezählt werden kann. Gemeint ist der doppelte Verwendungszweck: Waren und Güter werden für zivile Zwecke entwickelt, aber auch militärisch genutzt. In einer Mitteilung schreibt das Sekretariat in Wien:

In 2013, new export controls were agreed in a number of areas including surveillance and law enforcement/intelligence gathering tools and Internet Protocol (IP) network surveillance systems or equipment, which, under certain conditions, may be detrimental to international and regional security and stability.

Neben dem Wassenaar-Abkommen existieren weitere internationale Ausfuhrkontrollregime, darunter die Australische Gruppe gegen den Verbreitung chemischer und biologischer Waffen, die Gruppe der Nuklearen Lieferländer sowie das Trägertechnologie-Kontrollregime.

Das Wassenaar-Abkommen unterrichtet die teilnehmenden Länder, wenn eine andere Regierung den Export bestimmter Produkte untersagt. Damit wollen die Partner die Umgehung von Ausfuhrbestimmungen verhindern und verbotenen Exporten auf die Spur kommen. Bindend ist die Regelung aber nicht: Wenn ein Staat die Lieferung inkriminierter Produkte verbietet, darf sie vom anderen jederzeit erlaubt werden. Vertragspartei müssen einander vor Erteilung einer Ausfuhrgenehmigung nicht konsultieren.

Letzten Freitag haben die Delegationen der Annahme zweier Vorschläge Frankreichs und Großbritanniens zugestimmt. Neben den neuen Kategorien wurden auch deren Definitionen ins Abkommen aufgenommen.

Großbritannien hatte die Aufnahme von “Advanced Persistent Threat Software and related equipment (offensive cyber tools)” vorgeschlagen. Gemeint sind Trojaner, mit denen die Zielsysteme in Echtzeit ausgeforscht werden können. In der Beschreibung heißt es dazu:

“Software” specially designed or modified to avoid detection by ‘monitoring tools’, or to defeat ‘protective countermeasures’, of a computer or networkcapable device, and performing any of the following:
a. The extraction of data or information, from a computer or networkcapable device, or the modification of system or user data; or
b. The modification of the standard execution path of a program or process in order to allow the execution of externally provided instructions.

Einschränkend wird erklärt, dass keine “Debuggers” oder Digital Rights Management-Systeme erfasst sind. Kontrolliert werden also jene Anwendungen, die Sicherheitseinstellungen auf dem infizierten Rechner gezielt unterlaufen, um von den NutzerInnen unbemerkt zu bleiben. Bekannte Systeme sind etwa die FinFisher-Produktreihe von Gamma International sowie Trojaner der deutschen Firma Digitask und der schweizer Firma Era IT Solutions.

Die Aufnahme von “IP network surveillance systems” ins Wassenaar-Abkommen wurde von Frankreich angeregt. Hierzu gehört insbesondere die Deep Packet Inspection (DPI), vermutlich aber auch einige jener Werkzeuge die im Zuge des NSA-Skandals bekannt wurden. Bekannte Hersteller derartiger Technologie sind die deutschen Firmen Utimaco, Atis Uher sowie Rohde & Schwarz, die französische Firma Amesys, das italienische Hacking Team oder die israelisch-amerikanische Verint. Im neuen Abkommen heißt es dazu:

IP network communications surveillance systems or equipment, and specially designed components therefor, having all of the following:
1. Performing all of the following on a carrier class IP network (e.g., national grade IP backbone):
a. Analysis at the application layer (e.g., Layer 7 of Open Systems Interconnection (OSI) model (ISO/IEC 7498-1));
b. Extraction of selected metadata and application content (e.g., voice, video, messages, attachments); and
c. Indexing of extracted data; and
2. Being specially designed to carry out all of the following:
a. Execution of searches on the basis of ‘hard selectors’; and
b. Mapping of the relational network of an individual or of a group of people.

Die Bürgerrechtsorganisation Privacy International kritisiert die Definition als zu eng: Die inkriminierte Hard- und Software muss in der Lage sein, große Datenmengen zu verarbeiten. Auch die unerwünschten Anwendungsgebiete sind stark eingeschränkt, was folglich eine Nutzung für andere Zwecke durchaus erlauben würde. Offensichtlich fallen Systeme nur dann unter das Abkommen, wenn sie Daten nicht nur analysieren, sondern auch speichern.

Streng genommen ist die Nutzung der Spionagetechnik durch Polizeien und Geheimdienste nach dem Wassenaar-Abkommen auch nicht illegal. Vielmehr geht es um die unerwünschte Häufung militärischer Kapazitäten, wodurch das sicherheitspolitische “Gleichgewicht” durcheinander geraten könnte. Trotzdem ist die Aufnahme der beiden Kategorien zunächst ein Fortschritt, spätere Initiativen könnten sich darauf beziehen.

Auch Privacy International sieht in Exportkontrollen nicht die “Silberkugel” für die “Probleme der Überwachungssysteme”:

Let us be clear: export controls are not a silver bullet solution for the problem of surveillance systems. Subjecting surveillance systems to export controls is only the first step to implementing effective mechanism to control the trade. Implementation and ensuring that human rights concerns are given sufficient weighting in the license-granting process are much needed. And instituting a system for controlling the trade of these technologies does not in any way take any of the moral responsibility away from the companies that develop and sell these, nor does it allow for shareholders, boards and private investment firms to abdicate their responsibility and turn a blind eye to the fact their increasing profits are based on the suffering of those in oppressed regimes. However, it does crack open the door to further action, and that is an opportunity.

Problematisch ist auch, wer über die Länder mit Exportbeschränkungen entscheiden soll – die Regimes von Gaddhafi, Mubarak und Ben Ali wurden beispielsweise jahrelang bedenkenlos aufgerüstet. Privacy International verweist auf ein von Wikileaks veröffentlichtes Cable, wonach deutlich wird wie die Umsetzung des Abkommens stets politischem Kalkül unterliegt. Teilnehmende Staaten können so auch den Überblick bekommen, welche Firmen in welchem Handelssegment führend sind.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 21 2013

Endlich nachgewiesen: Die NSA überwacht sämtlichen Internet-Verkehr, der über amerikanisches Gebiet geht

WSJ-BlarneyDie NSA hat Zugriff auf große Teile des Internet-Verkehrs, der über ihr Staatsgebiet geht und verarbeitet diese Datenmengen in ihren eigenen Systemen. Das berichtet das Wall Street Journal unter Berufung auf eine Reihe von Beteiligten. Jede Internet-Kommunikation über amerikanische Server landet demnach höchstwahrscheinlich bei der NSA – nur ein bisschen rein amerikanische Kommunikation wird wohl rausgefiltert.

Auch wenn die Snowden-Leaks verschiedene Programme zur Massenüberwachung der NSA enthüllt haben: die systematische Überwachung weiter Teile des gesamten Internet-Verkehrs analog zum britischen Program Tempora konnte noch nicht nachgewiesen werden. Vor zwei Monaten hatten wir berichtet, dass die NSA sehr wohl die Nervenzentren der Internet-Kommunikation anzapft, uns dabei aber auf ältere Informationen bezogen. Das Wall Street Journal schließt jetzt diese Lücke und berichtet über die massenhafte Überwachung großer Teile des über die USA fließenden Internet-Verkehrs.

prism-upstreamAuf der Basis von Interviews mit Beamten aus Diensten und Regierung sowie Mitarbeitern der Firmen, die Überwachungstechnologien bauen, erklärt das WSJ die von uns bereits genannten Programme “Blarney, Fairview, Oakstar und Stormbrew” sowie ein neues: “Lithium”. Diese stehen für Deep Packet Inspection Hardware, die an mehr als einem Dutzend zentraler Internet-Knotenpunkte steht und große Teile des Internet-Verkehrs an die NSA weiterleitet.

Blarney ist demnach das Programm, dass Datenströme vom Telekommunikationskonzern AT&T ausleitet. Schon vor den Anschlägen vom September 2001 wurde damit der Internet-Verkehr von interkontinentalen Glasfaser-Leitungen abgehört. 2006 wurde bekannt, dass AT&T den gesamten Internet-Verkehr ihres Knotenpunkts in San Franciso an die NSA weiterleitet. Laut einem ehemaligen Offiziellen wurde eine ähnliche Einrichtung in einem AT&T-Gebäude in New Jersey errichtet.

Als zweite Firma nennt der Artikel Verizon, die Abhör-Schnittstellen in den größten US-Metropolen errichtet haben.

Mit diesen Systemen hat die NSA Zugriff auf weite Teile des Internet-Verkehrs, der über die amerikanisches Gebiet geht. Der Artikel spricht von 75 Prozent, betont aber immer wieder, dass Inhalte zwischen US-Bürgern schon weggefiltert werden. Man sollte also davon ausgehen, dass sämtliche Internet-Inhalte, die zwischen den USA und anderen Staaten übermittelt werden, in den Datenbanken der NSA landen.

Dazu fordert die NSA von den Telekommunikationsanbietern “verschiedenen Ströme von Internet-Verkehr” an, die ihrer Ansicht nach “wahrscheinlich Geheimdienstinformationen über das Ausland enthalten”. Also wohl sämtliche Kommunikation mit Stellen in anderen Staaten. Diese riesigen Datenmengen werden an die NSA geleitet, die sie in einem zweiten Schritt filtert. Das kann nach einzelnen E-Mail-Adressen passieren oder nach ganzen Blöcken von IP-Adressen, also etwa ganze Länder. Diese Inhalte kann die NSA speichern und nach Belieben angucken oder rastern.

Diese Abhörschnittstellen gab es schon vor 9-11, zunächst vor allem bei ausländischen Internet-Providern. Laut ehemaligen Offiziellen gibt es solche Vereinbarungen weiterhin unter anderem im Nahen Osten und in Europa. Seit 9-11 wurde das System auf amerikanische Provider ausgedehnt.

Als Technik kommt dabei mal wieder Deep Packet Inspection Hardware von Narus zum Einsatz, aber auch von Cisco, Juniper und anderen.

WSJ-Blarney-590

Die rechtliche Basis für diese Komplettüberwachung des Internet-Verkehrs sind mal wieder Anordnungen des Foreign Intelligence Surveillance Court, das geheime Gericht, dass aufgrund geheimer Gesetzes-Interpretationen geheime Entscheidungen trifft und dabei in 33 Jahren nur 11 von über 33.900 Überwachungs-Anordnungen abgelehnt hat.

Die wirklichen Entscheidungen, was überwacht wird, trifft die NSA selbst:

Die NSA hat Spielraum für die Einstellung der Filter, und das System setzt deutlich auf Selbstkontrolle. Das kann zu unzulässigen Datensammlungen führen, die jahrelang andauern.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 20 2013

Marketing der NSA: Wir rühren nur 1,6% des weltweiten Internetverkehrs an

nsa-eagleBereits am 9. August veröffentlichte die NSA ein Memorandum, mit dem sie kleine Einblicke in ihre Arbeit sowie ihre rechtlichen Begründung für die weltweite Überwachung des Internetverkehrs geben will. In diesem Dokument nennt die NSA auch erstmalig Zahlen, wie viel Daten angeblich von ihr abgegriffen und analysiert werden, nämlich 0.00004% des weltweiten Datenverkehrs im Internet. Was auf den ersten Blick nach wenig klingt – und selbstverständlich auch nach wenig klingen soll – entpuppt sich bei näherer Betrachtung als eine größere Menge an Daten, als sie täglich von Google verarbeitet wird. Entscheidend jedoch bleibt: eigentlich spielt die Menge der Daten überhaupt keine Rolle.

Die NSA sah sich mehr und mehr in die Defensive gedrängt und beschloss deshalb nun selbst in die Offensive zu gehen, indem sie ein Memorandum veröffentlichte. Das auf den 9. August datierte Dokument, versucht die Hintergründe und Rechtfertigungen für die weltweite Überwachung des Internetverkehrs durch die NSA zu erklären. Auf Seite 6 des Dokuments findet sich folgende Rechnung, die belegen soll, dass die NSA ja eigentlich gar nicht so viele Daten sammelt und untersucht wie es ihr immer unterstellt wird.

nsa_16

Demnach schätzt die NSA den gesamten Internetverkehr auf 1826 Petabyte pro Tag. Von diesen 1826 Petabyte, werden aber überhaupt nur 1,6% “angerührt” (was genau “angerührt”, im englischen „touch“, bedeutet ist nicht klar), was rund 29.000 Terabyte (oder 29 Petabyte) entspricht. Von diesen 29.000 Terabyte werden aber angeblich wiederum nur 0,025% tatsächlich von der NSA untersucht, was rund 7 Terabyte pro Tag entspricht. Wie unter anderem The Atlantic Wire berichtet, entspricht dieses aber 0,0004% und nicht 0,00004% des gesamten Internetverkehrs, wie es die NSA fälschlicherweise behauptet. Die NSA analysiert also 10 mal mehr Daten, als sie in ihrem Memorandum angibt.

Arstechnica hat einige Vergleiche angestellt, die zeigen was für eine enorme Datenmenge von der NSA verarbeitet wird, auch wenn die Zahlen vielleicht etwas anderes suggerieren. So verarbeitet die NSA mit ihren täglichen 29 Petabyte erheblich mehr als der Internetriese Google, der auf täglich rund 20 Petabyte kommt. Und selbst die amerikanischen Internetknoten scheinen es nicht mehr der NSA aufnehmen zu können:

While 29.21 petabytes is a fraction of the overall traffic on the Internet, it is the equivalent of the traffic that passes through several major Internet exchanges each day. It amounts roughly to 2.77 terabits per second—more than the average throughput of the Equinix exchange network, the CoreSite Any2 Exchange, New York International Internet Exchange (NYIIX), and Seattle Internet Exchange (SIX) combined. In other words, the 1.6 percent of the total of Internet traffic “touched” by the NSA could easily contain much of the traffic passing through the US’ core networks. It can certainly include all the traffic inbound from and outbound to other nations.

Wie groß diese Menge ist, lässt sich aber auch im Vergleich zur deutschen Vorratsdatenspeicherung erkennen. Im März 2010, nach dem Urteil des Bundesverfassungsgerichts gegen die Vorratsdatenspeicherung, gab die Telekom bekannt, dass sie ihre gesamten Vorratsdaten lösche. Größe: 19 Terrabyte. Mit den Worten der NSA: rund 0,00066% der Menge an Daten, welche die NSA pro Tag “anrührt”.

Sollten die Zahlen der NSA korrekt sein, lässt sich aus den Daten auch schließen, dass bei einer Datenbankabfrage der NSA, pro Anfrage rund 12 Megabyte an Daten verarbeitet werden, wie The Atlantic Wire vorrechnet:

Twenty million queries, as Drum points out [ein Artikel von Kevin Drumm bei MotherJones], is a lot of daily queries (or, if you prefer, database searches). It’s about 666,000, in fact, in a 31-day month. That’s about seven queries every second. (How the NSA defines “query” in this context isn’t clear.) In the context of the amount of data the NSA processes, it’s also significant. Each day, using the 0.025 percent of 1.6 percent figure above, the government reviews about 7.304 terabytes of data. If you’re curious, the ratio of data reviewed to number of queries is about 12.2 megabytes — meaning that the government sets aside 12 megabytes for every query it runs.

Zusätzlich ist es aber auch interessant zu schauen, welche Dienste welchen Anteil am Internetverkehr haben. So berichtete Variety im Mai diesen Jahres, dass der Video-on-Demand Anbieter Netflix und Youtube für rund 49% des gesamten amerikanischen Internetverkehrs verantwortlich sind. Solche Videodaten sind für die NSA aber nahezu nutzlos. Sollten solche Dienste aus den Berechnungen ausgeschlossen werden, würde der Anteil der von der NSA untersuchten Daten, im Vergleich mit dem gesamten Internetverkehr, noch einmal steigen.

Wie arstechnica aber herausstellt, spielt die Menge an Daten welche die NSA sammelt und untersucht, eigentlich aber überhaupt keine Rolle.

Regardless how much data flows through the NSA’s tap points, all of it is getting checked. While the NSA may “touch” only 29.21 petabytes of data a day, it runs its digital fingers through everything that flows through the tap points to do so.

Arstechnica geht davon aus, dass die NSA Tools zur Analyse von Datenpaketen einsetzt, um dadurch bestimmen zu können, welche Daten überhaupt relevant sind und daraufhin analysiert werden müssen. Um bei dem Beispiel von eben zu bleiben: erkennen die Tools Videodaten von Youtube oder Netflix, werden diese gar nicht erst “angerührt”, da kein Erkenntnisgewinn zu erwarten wäre. Gleichzeitig würden diese Analysen aber auch nicht in die offizielle Statistik der NSA einfließen. Wie bereits vorhin erwähnt: die genaue Definition von “touch” ist unklar. Dennoch kann davon ausgegangen werden, dass die NSA etwas anderes darunter versteht als wir Bürger, wie es die EFF auch für eine Reihe anderer Begrifflichkeiten erklärt hat.

Es bleibt also festzuhalten, dass die NSA durch das geschickte Spiel mit Zahlen versucht den Eindruck zu erwecken, dass sie eigentlich überhaupt nicht viele Daten sammeln – jedenfalls im Vergleich zum gesamten weltweiten Internetverkehr. Tatsächlich verarbeitet sie aber täglich mehr Daten als Google oder einige Internetknoten in den USA zusammen, ganz zu schweigen von den Daten welche bei der Vorratsdatenspeicherung in Deutschland anfielen. Ebenso wichtig ist aber auch die Feststellung, dass die Angaben der NSA eigentlich überhaupt keinen Wert haben, da erstens der Begriff “touch” nicht näher erläutert wird. Und zweitens, da die NSA vermutlich sowieso jeglichen Datenverkehr mit liest, aber eben nur in bestimmten Fällen näherer Analysen durchführt. Den Zahlen der NSA ist als keine ernsthafte Aussagekraft beizumessen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 25 2012

Europa und die Cloud: Standard zur Überwachung und Kritik von Datenschützern

Die Auslagerung von Daten in die Cloud bereitet den Behörden Sorge. Um weiterhin Abhören zu können, werden europaweite Standards zur Überwachung von Cloud-Diensten erarbeitet. Falls Verschlüsselung eingesetzt wird, soll die umgangen werden. Datenschützer hingegen kritisieren die Cloud, da nie klar ist in welcher Jurisdiktion die Daten liegen.

Das von der Europäischen Kommission gegründete Europäische Institut für Telekommunikationsnormen (ETSI) arbeitet derzeit an einem Standard zur Überwachung von Cloud-Diensten. Laut dem Entwurf sollen die Cloud-Anbieter Schnittstellen zur Verfügung stellen, mit denen Behörden die Daten und Aktivitäten der Nutzerinnen abhören können – in Echtzeit.

Erich Moechel berichtet auf ORF.at:

Wegen des “nomadischen Zugangs zu Diensten in der Cloud” sei es unwahrscheinlich, dass ein Internet-Zugangsprovider alle Überwachungsanfragen bedienen könne. Um dennoch “die Überwachbarkeit zu gewährleisten, muss der Cloud-Anbieter eine Überwachungsfunktion einbauen”, heißt es einen Abschnitt weiter (4.3)

Mit “nomadischem Zugang” ist gemeint, dass Facebookbenutzer über alle möglichen Wege daherkommen können, ob es das eigene DSL ist, drahtlose Breitbanddienste oder ein offenes WLAN-Netz. Man müsste also die Daten eines Facebook-Benutzers nicht nur bei mehreren Zugangsprovidern einsammeln, was nahe an der Echtzeit unmöglich ist. Zudem würde das nur einen Teil der Informationen bringen, die an einer Schnittstelle direkt bei Facebook abgegriffen werden könnten.

Dazu soll auch die SSL-Verschlüsselung angegriffen werden. Und zwar wollen Behörden mit “Deep Packet Inspection”-Systemen (DPI) “Man-in-the-Middle”-Attacken gegen die Verschlüsselung durchführen. Aus dem Entwurf:

Erich Moechel weiter:

“Deep Packet Inspection wird wahrscheinlich ein konstituierendes Element dieses Systems sein”, heißt es denn auch unter 4.3 im ETSI-Dokument unter den “Herausforderungen der Anforderungen” “(“Requirement Challenges”). Darüber wird als nächstes ebenso berichtet werden, wie über die Szenarien der staatlich sanktionierten Angriffe auf Skype, VoIP und Tauschbörsen, denen sämtlich sogenannte Peer-To-Peer-Protokolle zu Grunde liegen.

Skype hat übrigens gerade wieder auf die Frage, ob sie Gespräche abhören können, geantwortet: Kein Kommentar.

Eine andere EU-Institution sieht das mit dem Cloud-Computing kritischer. Die Artikel 29 Datenschutzgruppe veröffentlichte Anfang des Monats eine Stellungnahme mit ihrer Einschätzung der Cloud.

Die Datenschützer sehen “eine Reihe von Datenschutz-Risiken, vor allem einen Mangel an Kontrolle über persönliche Daten sowie unzureichende Informationen über die Fragen, wie, wo und von wem die Daten (weiter-)verarbeitet werden.” Da in der Cloud nie klar ist, wo die Daten physisch liegen ist auch die Jurisdiktion darüber unklar. Die europäische Datenschutzrichtlinie verbietet es jedoch, personenbezogene Daten in Staaten mit schwächerem Datenschutz auszulagern.

Dass dürfte jedoch bei Cloud-Diensten eher die Regel als die Ausnahme sein. Die existierenden Safe Harbor-Vereinbarung zwischen EU und USA sind daher unzureichend. Hier sehen die Datenschützer dringenden Klärungsbedarf.

Bis dahin sollten europäische Firmen ihre Cloud-Dienstleister ganz genau evaluieren und gegebenenfalls schriftlich versichern lassen, wohin die eigenen Daten übermittelt werden.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl