Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

September 04 2013

Spy Files 3: WikiLeaks veröffentlicht neue Dokumente zu Geheimdienst-Auftragsfirmen und Überwachungstechnologien

spyfilesWikiLeaks hat soeben einen dritten Teil der Spy Files veröffentlicht: 249 Dokumente von weltweit 92 Geheimdienst-Auftragsfirmen:

Diese Dokumente decken auf, wie die USA, Europa und Entwicklungsländer – bedingt durch die Privatisierung der Geheimdienstarbeit – viele Millionen Dollar für die Entwicklung einer neuen Generation von Massen-Überwachungstechnik ausgegeben haben, um Gemeinschaften, Gruppen und ganze Bevölkerungen zu überwachen.

Aus der Pressemitteilung:

Dokumente in den Spy Files #3 umfassen sensible Verkaufsbroschüren und -präsentationen, mit denen die Geheimdienste der verschiedenen Länder dazu verleitet werden sollen, Technologien und Dienstleistungen zur Massenüberwachung bei den jeweiligen Firmen zu kaufen. Die Sammlung enthält ebenfalls Dokumente wie Verträge und Auslieferungs- und Installationsbeschreibungen, die einen Einblick geben, wie die entsprechenden System installiert und betrieben werden.

Internet-Überwachungstechnologien, die neuerdings auf dem Geheimdienst-Markt verkauft werden, beinhalten Funktionen um verschlüsselten bzw. verschleierterten Internetverkehr wie Skype, BitTorrent, VPN, SSH und SSL zu erkennen. Die Dokumente decken auch auf, wie Dienstleister dabei mit Geheimdiensten und anderen Behörden zusammenarbeiten, um in den Besitz von Schlüsseln zu dieser Kommunikation zu kommen.

Aus den Dokumenten ist zudem ersichtlich, wie die Massenerfassung von Telefonie, SMS, MMS, EMail, FAX und Satelliten-Telefonie erfolgt. Die veröffentlichten Dokumente zeigen zudem, das diese Dienstleister auch die Analyse von Web- und Mobil-Kommunikation in Echtzeit verkaufen.

RT.com hat bereits eine erste Analyse: New WikiLeaks docs expose secretive, unruly surveillance industry

RT was the only Russian broadcaster provided early access to the documents, which also mention other companies including Cobham, Amees, Digital Barriers, ETL group, UTIMACO, Telesoft Technologies and Trovicor.

In Deutschland scheint die Süddeutsche Vorab-Zugang gehabt zu haben: Trojaner für Diktatoren

Wikileaks wurden auch Daten zugespielt, aus denen hervorgeht, wie oft die großen Hersteller von Spähprodukten in welches Land gereist sind: Alleine dieses Jahr waren Mitarbeiter deutscher Firmen demnach in Turkmenistan, Oman und Äquatorialguinea – Staaten, die in Demokratie-Rankings auf den hintersten Plätzen landen. “Die Reisen der Firmenvertreter in die meisten dieser Länder lassen vermuten, dass die Unternehmen ihrer Verantwortung für Menschenrechte nicht gerecht werden”, sagt Christian Mihr von Reporter ohne Grenzen. Gamma-Chef Münch reiste den Daten zufolge ins autoritär regierte Kasachstan.

Wikileaks-Daten zufolge reisen Mitarbeiter in diese Länder. (Foto: SZ-Grafik: Hassân Al Mohtasib)

In diese Länder reisen Vertreter deutscher Firmen. (SZ-Grafik: Hassân Al Mohtasib)

So, und jetzt fleißig durch die 249 Original-Dokumente des Grauens klicken.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 07 2013

Staatstrojaner FinFisher: Vertrag bleibt geheim, Informationszugang würde die öffentliche Sicherheit gefährden

finfisher-infectedWenn bekannt wird, wie das Bundeskriminalamt den international berüchtigten Staatstrojaner einsetzt, wird die Funktionsfähigkeit der Sicherheitsbehörden beeinträchtigt und damit die öffentliche Sicherheit gefährdet. Mit dieser Begründung werden unsere Informationsfreiheits-Anfragen nach dem Dokument abgelehnt. Würde man sensible Informationen schwärzen, blieben “keine nennenswerten Informationen mehr übrig”.

Im Januar haben wir enthüllt, dass das Bundeskriminalamt den Staatstrojaner FinFisher der Firma Elaman/Gamma beschafft hat und einsetzen will. Seitdem versuchen wir, Einblick in den Vertrag zu bekommen. Jetzt haben sowohl das Bundeskriminalamt als auch das Beschaffungsamt des Innenministeriums unsere Anfragen nach Informationsfreiheitsgesetz beantwortet – und beide abgelehnt.

Gleich vier Gründe werden angeführt, warum die Öffentlichkeit keine Details zum Staatstrojaner-Deal erfahren darf:

Gefährdung der öffentlichen Sicherheit

Das BKA ist der Auffassung, dass ein Einblick in den Vertrag “die Funktionsfähigkeit der Sicherheitsbehörden” und “damit die öffentliche Sicherheit” insgesamt “beeinträchtigt bzw. gefährdet”:

Eine Einsichtnahme in den Vertrag würde den Erfolg der auf der Quellen-TKÜ basierenden polizeilichen Maßnahmen gefährden, weil Rückschlüsse auf das verwendete Gesamtsystem, dessen Hardware, eventuelle Schwachstellen sowie die polizeilichen Methoden/Einsatztaktik möglich wären. Dies führte zu einer eingeschränkten Wirksamkeit polizeilicher gefahrenabwehrender sowie strafverfolgender Maßnahmen der Quellen-TKÜ.

Im Ergebnis würde dies die Funktionsfähigkeit der Sicherheitsbehörden beeinträchtigen bzw. gefährden, wodurch die schützenswerten Interessen der Bundesrepublik Deutschland an einer wirksamen Bekämpfung von schwerer sowie schwerster Kriminalität mittels der Quellen-TKÜ und damit die öffentliche Sicherheit (und der darin aufgehenden inneren Sicherheit, vgl. oben) insgesamt beeinträchtigt bzw. gefährdet wären.

Dass das Prinzip Security by Obscurity nicht funktioniert, hat man da anscheinend nicht verstanden.

Geheim weil geheim

Der Vertrag ist mit einer Geheimhaltungsstufe versehen, die man auch nicht ändern will:

Der Vertrag mit der Fa. Elaman gilt als Verschlusssache mit dem Geheimhaltungsgrad „VS-NUR FÜR DEN DIENSTGEBRAUCH“, da die im Vertrag enthaltenen Informationen als „geheim zu haltende Tatsachen“ im Sinne des Sicherheitsüberprüfungsgesetzes (SÜG) in Verbindung mit der Verschlusssachenanweisung (VSA) eingestuft sind.

Die Gründe für die Einstufung als Verschlusssache wurden aus Anlass des IFG-Antrages nochmals geprüft, diese liegen weiterhin vor. Der Ausnahmetatbestand nach § 3 Nr. 4 IFG liegt somit aufgrund der Einstufung weiterhin vor.

Es ist also geheim, weil es geheim ist. Das erinnert an: “Wir sind eine PARTEI, weil wir eine PARTEI sind!

Firmengeheimnisse

Ein weiter Grund: Gammas Partner-Firma Elaman will nicht, dass ihr Vertrag bekannt wird:

Schließlich scheitert ein Anspruch auf Informationszugang nach dem IFG auch daran, dass durch das Bekanntwerden des Vertrages der Schutz geistigen Eigentums und von Betriebs- und Geschäftsgeheimnissen der Firma Elaman als Dritter gemäß § 6 IFG berührt würde. Die Firma Elaman hat ihre Einwilligung gemäß § 6 S. 2 IFG verweigert, weil durch eine Veröffentlichung des Vertrages kaufmännische Kalkulationen, einzelne Entwicklungsschritte und detaillierte Leistungsmerkmale ersichtlich würden, die wiederum Rückschlüsse auf das Gesamtsystem und dessen Hardwarekonfiguration ermöglichen würden.

Eine Firma schreibt also dem Staat vor, dass dieser keine Informationen über mit Steuergeldern bezahlte Überwachungsmaßnahmen veröffentlichen darf. Wer ist hier der Souverän?

Unkenntlichmachung sinnlos

Immerhin hat man eine Schwärzung sensibler Vertragsteile erwogen, dabei bleiben aber “keine nennenswerten Informationen mehr übrig”:

Im Falle einer Unkenntlichmachung derjenigen Vertragsinhalte, die schützenswerte Belange betreffen, wären die zu schwärzenden Passagen des Vertrages so umfangreich, dass ein Informationszugang praktisch nicht erfolgen würde, weil keine nennenswerten Informationen mehr übrig blieben. Eine Schwärzung gemäß § 7 Abs. 2 IFG des Vertrages kommt deshalb nicht in Betracht.

Die “transparenteste US-Regierung aller Zeiten” hatte vorgemacht, wie das aussieht.

“NSA-Denke in deutscher Form”

Constanze Kurz, Sprecherin des Chaos Computer Club, kommentiert diese Ablehnung gegenüber netzpolitik.org:

Die Behörden lassen sich bei ihrem Ankauf elektronischer Waffen, die gegen Computer von deutschen Bürgern eingesetzt werden sollen, weiterhin nicht in die Karten schauen. Sie warten diesmal mit allem auf, was an Ablehnungsgründen aus dem IFG rauszuholen ist, um auch nur den Anschein von Transparenz und Überprüfbarkeit ihrer Kooperation mit einem notorischen Hoflieferanten bekannter Folterregimes zu vermeiden.

Da zeigt sich die alte NSA-Denke in deutscher Form. Angeblich könne auch keine geschwärzte Version des Vertrages gesendet werden. Vermutlich dürfen wir schon dankbar sein, dass die Existenz des Papiers nicht geleugnet wird. Die Funktionalitäten von FinFisher sind mittlerweile durchaus bekannt, allerdings ist es ein Recht der deutschen Öffentlichkeit, zu erfahren, wo das BKA die Exploits einkaufen lässt und was dafür bezahlt wird.

Natürlich lassen wir das nicht einfach so auf uns sitzen und bitten den Bundesbeauftragten für die Informationsfreiheit um Vermittlung, eh wir vielleicht offiziell Widerspruch einreichen. Selbstverständlich nehmen wir auch weiterhin anonyme Zusendungen und braune Briefumschläge entgegen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 25 2013

Internes Dokument belegt: Innenministerium gibt fast 150.000 Euro für Staatstrojaner FinFisher/FinSpy aus

finfisher-infectedFür den international bekannten Staatstrojaner FinFisher/FinSpy geben Innenministerium und Bundeskriminalamt 147.166,11 Euro aus. Das bestätigt das Ministerium in einem ehemals geheimen Dokument, das wir an dieser Stelle veröffentlichen. Ein Jahr lang will das BKA die Software nutzen, hält sich aber die Option einer Verlängerung um ein weiteres Jahr offen.

Im Januar haben wir berichtet, dass das Bundeskriminalamt den Staatstrojaner FinFisher/FinSpy angeschafft hat. Im Mai berichtete die Zeit, dass der Vertrag unterzeichnet wurde. Den Vertrag dürfen wir leider immer noch nicht sehen: Das Innenministerium behauptet, ihn nicht zu haben. Und das Bundeskriminalamt hat unsere Anfrage immer noch nicht beantwortet.

Dafür haben wir jetzt ein anderes Dokument erhalten, das wir vor drei Monaten angefragt haben: Die Sachstandsmitteilung des Innenministeriums zu den Vertragsverhandlungen. (Direktlink)

In dem Dokument mit der ehemaligen Geheimhaltungsstufe “Nur für den Dienstgebrauch” beantwortet das Innenministerium fünf Fragen des SPD-Bundestagsabgeordneten Peter Danckert. Viel Neues ist nicht dabei, zumal das Schreiben auf den 11. Februar datiert ist. Aber der Vollständigkeit halber dokumentieren wir das hier nochmal im Original:

Berichtsbitte zu Gamma-Trojaner


Kam es hier bereits zum Vertragsschluss?

Im Herbst 2012 wurde eine Marktsichtung durchgeführt und drei Produkte als grundsätzlich geeignet bewertet. Im Rahmen des nachgelagerten Beschaffungsverfahrens hat das Beschaffungsamt des Bundesministeriums des Innern (BeschA) der Fa. Elaman/Gamma am 25. Oktober 2012 den Zuschlag erteilt. Derzeit verhandeln beide Seiten noch über die Vertragsunterlage Ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB-IT), in der der Umfang der zu erbringenden Leistungen (z.B. notwendige Softwareanpassungen. beizustellende Leistungen, Projektmanagement) konkretisiert wird. Es wird von einem kurzfristigen Abschluss der Verhandlungen ausgegangen.

Welchen konkreten Auftrag übernimmt Gamma?

Auftragsgegenstand ist die „zeitlich befristete Überlassung einer Software-Lizenz zur Quellen-TKÜ“ (12 Monate mit der Option zur Verlängerung um weitere 12 Monate) und die Herbeiführung der Betriebsbereitschaft dieser Software sowie die Schulung von BKA-Mitarbeitern.

Welche Einflussmöglichkeiten auf die Firmengruppe wurden seitens BMI vereinbart?

Vertragspartner sind die Fa. Elaman (als Vertreiber der Software der Fa. Gamma International GmbH) und die Bundesrepublik Deutschland, vertreten durch das BeschA. Der Bedarfsträger BKA hat sich über die Beschreibung des Auftragsgegenstands (Funktion der Software) sowie Regelungen zur Abnahme und zum Service vertragliche Steuerungsmöglichkeiten einräumen lassen.

Welche Kosten entstehen durch die Beauftragung von Gamma?

Der Preis für die o.g. Leistung beträgt 147.166,11 Euro (inkl. Umsatzsteuer).

Wie soll die Überleitung an das BKA in 2014 erfolgen?

Eine „Überleitung“ an das BKA ist nicht vorgesehen. Das BKA ist verpflichtet, die Software nach Vertragsablauf nicht mehr zu nutzen und zu löschen.
Unabhängig davon entwickelt das BKA eine Software zur Durchführung von Quellen-TKÜ-Maßnahmen im Kompetenzzentrum Informationstechnische Überwachung (CC ITÜ).

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

May 17 2013

Staatstrojaner FinFisher: Bundeskriminalamt bezahlt möglicherweise illegale Software, um den Quellcode zu bekommen

Das Bundeskriminalamt hat einen Vertrag über den Staatstrojaner abgeschlossen und Geld gezahlt, weil der Hersteller Gamma sonst den Quellcode nicht herausgegeben hätte. Das antwortete das Innenministerium auf eine Frage der Linkspartei. Ob die Schnüffelsoftware überhaupt legal eingesetzt werden darf, wird noch immer überprüft.

Nach unserem ersten Bericht im Januar würde kürzlich auch offiziell bestätigt, dass das Bundeskriminalamt den international bekannten Staatstrojaner FinFisher/FinSpy für 150.000 Euro gekauft hat.

Der Bundestags-Abgeordnete Andrej Hunko (Linkspartei) hat mal nachgefragt, wann die Zahlungen fällig werden und warum das schon vor Abschluss der Quellcode-Prüfung passiert:

Wann werden hinsichtlich des Vertrages zwischen dem Beschaffungsamt des Bundesministeriums des Innern und der Firma Elaman GmbH vom März 2013 bezüglich des Kaufs von staatlich genutzter Hackersoftware jeweils Zahlungen fällig – bitte auch die Höhe im Einzelnen angeben, aufgeschlüsselt nach einmaliger Kaufsumme sowie Lizenzgebühren –, und aus welchem Grund ist der Vertrag bereits geschlossen bzw. fließen bereits Gelder, obschon die Überprüfung des Quellcodes der Software durch die Firma noch nicht abgeschlossen ist, nach Ansicht des Fragestellers die Funktionsweise der Spionagesoftware also unbekannt ist und die rechtliche Vereinbarkeit ihrer Nutzung deshalb nicht zugesichert werden kann?

Gestern antwortete Dr. Christoph Bergner, Parlamentarischer Staatssekretär beim Bundesminister des Innern:

Das Bundeskriminalamt, BKA, setzt zur Überwachung verschlüsselter elektronischer Kommunikation eine Überwachungssoftware nach Maßgabe gesetzlicher Befugnisse ein.

Die Verwendung der Begriffe Hacker- bzw. Spionagesoftware legen den unrechtmäßigen Gebrauch nahe. Die Bundesregierung distanziert sich erneut von solchen Vorwürfen.

Das BKA hat im Herbst 2012 eine kommerzielle Software am Markt erworben, um verschlüsselte Kommunikation überwachen zu können, bis die vom BKA entwickelte Überwachungssoftware – sogenannte Eigenentwicklung – einsatzbereit ist.

Die Funktionen der erworbenen Überwachungssoftware waren dem BKA bereits vor Erwerb der Softwarelösung bekannt.

Die Prüfung des Quellcodes ist jedoch – wie ich bereits mehrfach vorgetragen habe – bei dem Erwerb einer Software nicht üblich und konnte nur Aufgrund der Bereitschaft dieses Herstellers erfolgen.

Er hat jedoch den Abschluss eines Kaufvertrags zur Bedingung gemacht.

Die mit dem Vertragspartner vereinbarten Zahlungsbedingungen sehen vor, dass lediglich eine Teilzahlung des vereinbarten Entgelts unmittelbar fällig wird, eine weitere Rate im Juni 2013 und die Schlusszahlung bei Auslieferung einer Softwareversion, die den Vorgaben der Standardisierenden Leistungsbeschreibung vollständig entspricht.

Der Erwerb im “Herbst 2012″ ist interessant, sagte uns das das BKA vor zwei Wochen noch:

Der Vertrag wurde durch das Beschaffungsamt des Bundesministerium des Innern und der Firma Elaman im März 2013 geschlossen.

Ob der Staatstrojaner überhaupt legal eingesetzt werden darf, ist weiterhin ungewiss. Noch immer überprüft die Firma CSC Deutschland Solutions GmbH , ob die gelieferte Version der FinFisher/FinSpy-Suite den Anforderungen der standardisierenden Leistungsbeschreibung entspricht. Erst, wenn das der Fall ist, dürfte die Software offiziell zum Einsatz kommen.

Frank Rieger, Sprecher des Chaos Computer Club, kommentierte den Kauf gegenüber netzpolitik.org:

Dieses Vorgehen des BKA ist de facto Wirtschaftsförderung für ein Unternehmen, das im Ruf steht Spitzelsoftware zu liefern, mit denen demokratische Oppositionelle in aller Welt ausgeforscht werden. Sich in derartige moralische Abgründe zu begeben, obwohl es keine Rechtsgrundlage für das Abhören per Trojaner in Deutschland gibt, zeugt einmal mehr vom kompletten Verlust des Realitätssinnes bei BKA und Innenministerium.

Andrej Hunko kommentierte gegenüber netzpolitik.org:

Deutlich wird, wie derartige Beschaffungsvorgänge vernebelt werden. Dass die nun mitgeteilten Details nicht im Auskunftsbegehren von netzpolitik herausgegeben wurden, illustriert die arrogante Haltung des BKA zur Informationsfreiheit.

Wieder werden immense Summen für digitale Spähwerkzeuge versenkt. Der Vertrag mit Elaman kam zustande, obwohl rechtliche Rahmenbedingungen zum Einsatz staatlich genutzter Trojaner längst nicht geklärt sind. Dies ist aus Sicht der Bürgerrechte ein fatales Signal an die Hersteller von Überwachungstechnologie.

Ich kritisiere die Meinung des Bundesinnenministeriums, wonach der Quellcode der polizeilich genutzten Software dem Betriebsgeheimnis der Hersteller unterliegen soll. Hier gehen Kapitalinteressen vor Datenschutz. Das gilt natürlich nicht nur für Trojaner (die ich übrigens sehr wohl als staatlich genutzte Hackersoftware bezeichnen würde). Denn die Entwicklung digitaler Analysewerkzeuge für den Bereich „Innere Sicherheit“ schreitet weiter fort. Dies beinhaltet die Nutzung von Suchmaschinen in polizeilichen Datenbanken ebenso wie Anwendungen zur automatisierten Auswertung der Videoüberwachung.

vgwort pixel

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

May 06 2013

Bestätigt: Deutsche Behörden haben Staatstrojaner FinFisher für 150.000 Euro gekauft

Bundeskriminalamt und Innenministerium haben für 150.000 Euro die Spyware FinFisher der Firma Gamma/Elaman gekauft. Das bestätigten die beiden Behörden nun auch gegenüber netzpolitik.org. Ob die Software auch legal eingesetzt werden darf, ist weiterhin ungewiss, die Überprüfung dauert noch an.

Am Donnerstag berichtete die Zeit, dass deutsche Behörden einen international bekannten Staatstrojaner aus dem Hause Gamma/Elaman jetzt offiziell gekauft haben. Jetzt beantworteten die Behörden eine Anfrage von netzpolitik.org, die wir an dieser Stelle veröffentlichen:

netzpolitik.org: Können Sie bestätigen, dass der Vertrag zwischen BMI und Elaman unterzeichnet wurde? Wann wurde der Vertrag unterzeichnet?

BKA: Der Vertrag wurde durch das Beschaffungsamt des Bundesministerium des Innern und der Firma Elaman im März 2013 geschlossen.

netzpolitik.org: Ist der genannte Preis korrekt?

BKA: Der genannte Preis ist korrekt.

netzpolitik.org: Wann werden Zahlungen fällig?

BKA: Über Einzelheiten der Abwicklung des Vertrages, der auf Grundlage der einschlägigen Regelungen des BGB und der Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB-IT) zwischen zwei Vertragspartnern geschlossen wurde, erteilt das BKA generell keine Auskünfte.

Ob in diesem Einzelfall das Informationsfreiheitsgesetz (IFG) zur Anwendung kommen kann, ist noch Gegenstand der Prüfung im BKA.

netzpolitik.org: Ist die Überprüfung der Software durch CSC schon abgeschlossen?

BKA: Die Quellcodeprüfung durch die Fa. CSC dauert noch an. Ein Abschluss ist erst möglich, wenn die Software den Vorgaben der Standardisierenden Leistungsbeschreibung (SLB) vollständig entspricht. Dies ist aktuell noch nicht der Fall.

netzpolitik.org: Wenn nein, warum fließt dann schon Geld?

BKA: Über Einzelheiten der Abwicklung des Vertrages, der auf Grundlage der einschlägigen Regelungen des BGB und der Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB-IT) zwischen zwei Vertragspartnern geschlossen wurde, erteilt das BKA generell keine Auskünfte.

Ob in diesem Einzelfall das Informationsfreiheitsgesetz (IFG) zur Anwendung kommen kann, ist noch Gegenstand der Prüfung im BKA.

Die Hinweise auf das IFG könnten daher kommen, dass wir den Vetrag bereits per Anfrage auf FragDenStat.de angefordert haben.

vgwort pixel

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl