Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

January 10 2014

Totalüberwachung braucht weder Aufklärung noch Öffentlichkeit, finden Bundesregierung und Freunde

Wir erinnern uns: Seit Juni letzten Jahres führt die deutsche Regierung auf verschiedenen Ebenen ein seltsames, aber beim Publikum gut ankommendes Schauspiel auf, bei dem in verschiedenen Akten die flächendeckende Überwachung durch NSA und GCHQ, durch weitere ausländische und ganz speziell auch die sympathischen deutschen Dienste nicht aufgeklärt wird.

Eine der Maßnahmen war dabei die EU-US-Arbeitsgruppe. Dazu schrieben wir im August:

Es wurde bereits mehrfach bezweifelt, ob diese transatlantische Expertengruppe wirklich sinnvoll zur Aufklärung der Aktivitäten der Geheimdienste beitragen kann. Die European Voice berichtet beispielsweise, dass sich das Format und die Zusammensetzung mittlerweile geändert haben. Es sollte [...] zunächst eine „High Level Group“ geben. Nun ist sie nur noch eine “ad-hoc Arbeitsgruppe”, wie der Bericht der litauischen Ratspräsidentschaft zeigt. Vom ersten Treffen der EU-US Arbeitsgruppe, das am 8. Juli stattfand, ist nicht viel bekannt. Aus der Aussage der Ratspräsidentschaft kann man auch mit guten Willen keine brauchbaren Informationen herausfiltern.

Wie gestern Erich Moechel bei fm4.orf.at und heute Martin Holland bei heise schreiben, geht aus einem jeweils vorliegenden Dokument des EU-Ministerrats hervor, dass die Zweifel berechtigt waren. Beide zitieren aus dem Ratsdokument:

Sämtliche Fragen zur Nachrichtensammlung durch Geheimdienste und die zugehörigen Kontrollmechanismen werden vom Verhandlungsmandat dieser EU-US-Gruppe ausgenommen, da dies unter die Kompetenz der Mitgliedsstaaten fällt.

Das komplett nutzlose, weil bis zur Unkenntlichkeit zensierte Ratsdokument kann man hier bewundern.

Wie von US-Justizminister Holder Anfang Juli vorgeschlagen, sollten Geheimdienstmitarbeiter untereinander die delikateren Angelegenheiten klären. Das fanden wohl vor allem Großbritannien, Deutschland, Frankreich, Italien und Spanien eine gute Idee, denn die Amerikaner hatten angemerkt, man werde nicht nur über die Tätigkeiten der NSA reden, sondern auch über die der europäischen Staaten. Erich Moechel dazu:

Die NSA-Spionage sollte also von Angehörigen europäischer Geheimdienste, die mit der NSA zusammenarbeiten, mit NSA, CIA und Co disktutiert werden. Keine acht Tage später war der Vorschlag des US-Justizministers, der über die “National Security Letters” sämtliche NSA-Spionageangriffe autorisiert, in das Mandat der europäischen Verhandlungsgruppe aufgenommen.

Laut heise erklären sich in Deutschland Innen- und Justizministerium für nicht zuständig für diesen Vorgang, Auswärtiges Amt und Kanzleramt antworten wohl nicht.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

October 05 2013

Lesestoff für’s Wochenende: Was übrig blieb

Diese Woche sind hier bei netzpolitik.org, aber teilweise auch allgemein in den deutschsprachigen Medien einige Themen zu kurz gekommen. Eine kleine Auswahl:

Glyn Moody beschäftigt sich auf techdirt mit den Plänen der Betreiber des Amsterdamer Internetknotens AMS-IX, die in die Vereinigten Staaten expandieren wollen. Hauptfrage: Ist dabei eine rechtliche Konstellation möglich, die einen NSA-Zugriff auf AMS-IX verhindert (ungeachtet der Frage, wer im Moment Zugriff hat oder haben könnte):

As a result, it’s hard to see how anyone in Europe can really trust AMS-IX again if it goes ahead with this proposed move to open a US office, which means it could lose a lot of its current and future business. That seems a heavy price for a European organization to pay for something that will largely benefit US companies.

Springer-Chef Mathias Döpfner, dem bei der Bundestagswahl vermutlich für weitere 4 Jahre ein Initiativrecht über Bande eingeräumt wurde, will für seine Belange gerne ein eigenes Ministerium – nach “britischem Vorbild”. Henry Steinhau hat bei irights.info die wichtigsten Zitate eingesammelt:

In wenigen Sätzen verdeutlichte der Springer-Chef seine diesbezüglichen Motive und Ziele. Etwa, dass auf die Agenda des neuen Ministeriums die Reform des Urheberrechts gehöre, damit Verlage ihre Rechte auch im Internet gegen die kostenlose Nutzung ihrer Angebote durchsetzen könnten. Dafür würde das jüngst in Kraft getretene Leistungsschutzrecht für Presseverlage (LSR) – auf dessen Zustandekommen ja die Axel Springer AG besonders vehement drängte – noch nicht ausreichen. Weitere Arbeitsfelder für das neue „Kreativministerium“, wie es in einzelnen Meldungen tituliert wird, seien unter anderem die Umbrüche in den Medienwelten und das Vordrängen großer „Netzgiganten“ in die Medienbranche.

Ladar Levison, der seinen Mail-Dienst Lavabit nach Druck durch US-Behörden geschlossen hatte (wir berichteten), hat seit Mitte der Woche dank einer Gerichtsentscheidung die Möglichkeit, sich ein wenig freier zu den Vorgängen, die zur Schließung führten, zu äußern. Die New York Times berichtete, auf deutsch gibt es die Geschichte u.a. auch bei sueddeutsche.de:

Levison war demzufolge sogar bereit, den Behörden, die ihm richterliche Anordnungen präsentierten, Zugriff auf Snowdens Mails zu geben – so, wie es das Gesetz vorsieht. Die Agenten aber wollten Zugriff auf sämtliche Daten, auf alle E-Mails aller seiner Kunden und auf seine Sicherheitstechnik. Diesen Verrat wollte Levison nicht begehen.

Angela Gruber hat für Zeit Online Astrid B. getroffen, für die das Internet während ihrer Obdachlosigkeit zu einem Zufluchtspunkt wurde:

Das Netz kann ein Ort der Teilhabe für Obdachlose sein, es bedarf dazu wenig: kostenlose WLAN-Netze in den Städten, leicht zugängliche Computer. Spricht man mit Berliner Sozialarbeitern, die Obdachlose betreuen, hört man, dass Internetzugang stark gefragt ist. Viele Wärmestuben, Tagesaufenthaltsstätten oder Notübernachtungen in Berlin bieten deshalb mittlerweile kostenloses Internet für ihre Gäste an, das rege genutzt wird.

Adobe hat 2,9 Millionen Kundendaten und dazu noch ein bißchen Quellcode verloren. Ausführlich berichtet u.a. heise.

Wie das Unternehmen jetzt in einer Stellungnahme zugab, sollen Angreifer in das Adobe-Netzwerk eingedrungen sein und sich den Sourcecode von ColdFusion, Adobe Acrobat und möglicherweise anderen Programmen beschafft haben. Darüber hinaus hatten die Angreifer Zugriff auf Userdaten wie User-IDs und verschlüsselte Passwörter. Betroffen sein sollen auch rund 2,9 Millionen verschlüsselte Kreditkartendaten von Kunden.

NSA-Chef Keith Alexander wird nicht vor dem EU-Parlament aussagen. Seine Absage hat die Abgeordnete Sophie in’t Veld veröffentlicht. Die u.a. auch durch das Fernbleiben des GCHQ-Chefs eher unbefriedigende letzte Anhörung beschreibt u.a. Marin Majica (Zeit Online):

Kundendaten seien bei der Operation nicht abgegriffen worden, versicherte Generalsekretär Lybaert wieder und wieder. Was dort für den Angreifer Interessantes liegen könne, wenn wirklich keine Kundendaten kopiert und keine Telefongespräche mitgehört wurden, erkundigte sich die den Ausschuss leitende Abgeordnete Sophia in‘t Veld. Die Antwort von Belgacom: “Wir wissen es nicht.”

Mehr Informationen als die Anhörung selbst bringt Erich Moechels Artikel (fm4.orf.at):

Es braucht überhaupt keine Phantasie, um dahinterzukommen, welchen hochrangigen Zielen ein solcher staatlich finanzierter Tarnkappenangriff über “MiTM-Attacken” in Brüssel galt. Es wurden nur die wichtigsten Ziele umfassend ausspioniert, also ausgewählte Parlamentarier, die Schlüsselrollen einnehmen, um nur einige mögliche Ziele zu nennen.

Constanze Kurz schreibt in der FAZ über die Beschwerde, die sie zusammen mit britischen NGOs beim Europöischen Gerichtshof für Menschenrechte eingereicht hat:

Es geht letztlich um die grundsätzliche Frage, ob das britische Recht und die Geheimdienstpraxis zum Massenabhören internationales Recht bricht. Erstmals werden also dem Europäischen Gerichtshof für Menschenrechte Fragen vorgelegt, die sich nach den Enthüllungen von Edward Snowden zwingend stellen.

Simbabwe hat die Enthüllungen von Edward Snowden zusammengefasst und als Gesetz verabschiedet:

This week the Zimbabwean government gazetted new legislation that will monitor phone calls, text messages and emails of citizens as well as the websites they visit. The details collected will be recorded and stored in the national database for use on demand by the state’s security agencies.

Und zu guter Letzt: Der Schriftsteller und Journalist John Lanchester hat Einblick in das Material des Guardians bekommen. In einem ausführlichen Artikel gibt er zunächst eine Einordnung der Überwachungsarbeit, um dann insbesondere auch auf die gesellschaftlichen Folgen von dem, was er sieht, einzugehen:

When the Guardian offered John Lanchester access to the GCHQ files, the journalist and novelist was initially unconvinced. But what the papers told him was alarming: that Britain is sliding towards an entirely new kind of surveillance society

Trotz allem ein schönes Wochenende!

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 26 2013

Vorratsdatenspeicherung: Europäischer Gerichtshof verhandelt am 9. Juli – und stellt “revolutionäre Fragen”

Am 9. Juli wird der Europäische Gerichtshof die Klagen von Irland und Österreich gegen die Richtlinie zur Vorratsdatenspeicherung behandeln. Das oberste Gericht soll klären, ob die anlasslose Überwachung sämtlicher Telekommunikation in Europa mit den Grundrechten vereinbar ist.

Die Fragen des Gerichts zeugen wohl von “viel Skepsis gegenüber der Vorratsdatenspeicherei”, wie Heribert Prantl auf süddeutsche.de beschreibt:

Die Richter erkunden die Zielsetzung und den Nutzen der Vorratsdatenspeicherung, sie wollen wissen, “ob und inwieweit es möglich ist, anhand der gespeicherten Daten Persönlichkeitsprofile zu erstellen und zu benutzen, aus denen sich das soziale und berufliche Umfeld einer Person, ihre Gewohnheiten und Tätigkeiten ergeben”. Sie wollen wissen, warum eine Speicherung der Daten über einen Zeitraum von mindestens sechs Monaten erforderlich sein soll. Sie wollen wissen, welche Statistiken es gibt, aus denen sich schließen lässt, “dass sich die Feststellung und Verfolgung von schweren Straftaten seit dem Erlass der Richtlinie verbessert hat”.

Die Verteidiger der Vorratsdatenspeicherung werden sich da schwertun; solche Statistiken gibt es nämlich nicht. Die Richter weisen auch darauf hin, dass sich der “Schutz der personenbezogenen Daten auf das absolut Notwendige beschränken” muss, und sie fragen, ob “angesichts der Bedeutung der betroffenen Grundrechte” davon ausgegangen werden könne, dass “die Sicherheitsvorkehrungen hinreichend präzise sind, um einen Missbrauch zu verhindern”.

Den Ablauf der Verhandlung hatte Erich Moechel auf fm4.orf.at beschrieben:

Der EuGH hat sich offenbar bereits sehr eingehend mit den Klagfällen beschäftigt, denn das Schreiben an die Anwälte umfasst 14 Seiten und enthält einen sehr präzise formulierten Fragenkatalog.

“Da der Gerichtshof von den im schriftlichen Verfahren eingereichten Unterlagen bereits Kenntnis hat, dienen die mündlichen Ausführungen dazu, Gesichtspunkte hervorzuheben oder zu vertiefen, die nach Ansicht des Vortragenden von besonderer Bedeutung für die Entscheidung des Gerichtshofs sind”, heißt es im Schreiben des EU-Höchstgerichts.

Ganz oben auf der Liste der zu klärenden Fragen ist jene, ob die Richtlinie der Verfolgung von schweren Straftaten dienen könne und welche “Auswirkungen es hat, dass zahlreiche Möglichkeiten zur anonymen Nutzung der elektronischen Kommunikation bestehen” (II, 1).

Das macht doch etwas mehr Hoffnung als die absehbare Entscheidung des Gerichts, dass Fingerabdrücke in Pässen rechtmäßig sind.

Ein Urteil ist dann im nächsten Jahr zu erwarten.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 25 2013

PRISM: Neue Geheimdienstrechenzentren in den USA

Nach dem NSA-Rechenzentrum in Utah wurde anfang März ein weiteres geheimdienstliches Rechenzentrum in den USA in Auftrag gegeben. Dieses steht in unmittelbarer Nähe zum Sitz des Überwachungsgeheimdienstes NSA (National Security Agency) und dem Militärgeheimdienst Defense Information Systems Agency (DISA) in Fort Meade, Maryland. Das 565 Millionen Dollar teure “Hochleistungsrechenzentrum” soll von Militärgeheimdiensten betrieben werden und bereits 2015 in Vollbetrieb gehen.

Das neue Rechenzentrum der DISA in Fort Meade, einem Städtchen dessen gesamte Infrastruktur von der NSA kontrolliert wird, dient vor allem der Absicherung von Militärkommunikation und ist wohl eine Reaktion auf Wikileaks und Whistleblower wie Bradley Manning. Bisher hatten mindestens zwei Millionen Menschen Vollzugriff auf den militärischen Datenpool SIPRnet (Betreiber DISA) und konnten ohne Routinen zur Plausibilitätsprüfung alle Daten abfragen und downloaden.

Das schon länger bekannte NSA-Rechenzentrum in Utah, das im September seinen Betrieb aufnehmen soll, hingegen dient der Überwachung von (Internet-)Kommunikation. Die Aufgabe des neuen Rechenzentrums ist es dabei, die über Satelliten, Überseekabel oder zentrale US-Switches der großen Telekomanbieter im großen Stil abgefangenen Daten zu analysieren, zu speichern und zu entschlüsseln. Laut einer Aussage des Journalisten und NSA-Experten James Bamford sei der Bedarf an Rechenleistung in den letzten Jahren abrupt gestiegen, seit die NSA eine weltweit verwendete Verschlüsselungsmethode knacken könne.

utah

Foto: windley Lizenz: CC-BY-NC-SA

Spekulationen über Entschlüsselung
Seither wird spekuliert welcher Verschlüsselungsalgorythmus damit gemeint sein könnte: Gemunkelt wird vor allem über AES (Advanced Encryption Standard) und RSA. Beide Verschlüsselungsstandards sind weit verbreitet und werden tagtäglich eingesetzt um beispielsweise sichere Verbindungen zu Webseiten oder Webservern via SSL und TLS aufzubauen oder werden bei PGP und GnuPG meist zur verschlüsselung von E-Mails eingesetzt.

Der Kryptografieexperte Bruce Schneier geht nicht davon aus, dass die NSA den Verschlüsselungsstandard AES brechen kann. Allerdings könne die NSA sehr wohl über andere Angriffsvektoren an den mit AES verschlüsselten Inhalt kommen. Als Beispiele nennt er side-channel attacks, attacks against the key generation systems (z.B. über schlechte Zufallszahlengeneratoren), schlechte implementierungen des Verschlüsselungsstandards oder einfach das Anzapfen der Computer auf denen die Verschlüsselung stattfindet. Eine andere Möglichkeit in Bezug auf RSA-1024 bestünde laut Schneier darin, dass die NSA Hardware entwickelt haben könnte, die eine Faktorzerlegung von 1024-bit beherrschen könnte.

Das alles sind aber Spekulationen. Nichts genaues weiß man nicht…

Das zukünftige Rechenzentrum für PRISM
Ein anderer Grund für den gewachsenen Rechen- und Speicherbedarf sind Programme wie PRISM, bei welchem massenhaft Daten von großen Internet- und Telekommunikationsfirmen wie Google, Facebook, Yahoo, Microsoft/Skype und anderen abgeschnorchelt werden. Um die Daten speichern und auswerten zu können braucht die NSA immer größere Rechen- und Speicherkapazitäten. Das zwei Milliarden teure Rechenzentrum in Utah bietet massenhaft Speicher und Rechenpower dafür – und bringt das Pentagon näher an ihr 2007 geäußertes Fernziel Daten im Yottabyte-Bereich verarbeiten zu können. Zum Vergleich: Zwischen 2010 und 2015 soll sich, laut einer Studie von Cisco, der globale Internettraffic auf 966 Exabyte pro Jahr vervierfachen. Sprich 2015 beträgt der globale Internettraffic knapp 1 Zettabyte (1000 Exabyte), das wiederrum nur ein tausendstel von der geplanten Kapazität eines Yottabytes ist. Ein Yottabyte umfasst in etwa 500 Trillionen (500,000,000,000,000,000,000) Seiten Text.

Um die Datenmenge speichern zu können umfasst das Rechenzentrum vier Hallen mit je 2’300 Quadratmetern Platz für Server. Allein die Stromkosten sollen 40 Millionen Dollar pro Jahr betragen.

Utah Data Center

Foto: Tom W. Sulcer Lizenz: CC0 -Public Domain

Noch mehr Rechenzentren und Supercomputer
Vier NSA-Satelliten können von Walkie-Talkie- über Mobiltelefongespäche bis hin zu Radar-Systemen alles abfangen. Diese Daten werden schon im Satelliten vorgefiltert, der Rest landet auf den Schreibtischen der 850 NSA-Mitarbeiter in der Aerospace Data Facility, Buckley Air Force Base, Colorado.
Die Kommunikation aus Europa, dem Nahen Osten und Nord Afrika wird im Fort Gordon, Augusta, Georgia von 4’000 Analysten bearbeitet.
Die Daten aus Latain-Amerika landet auf der Lackland Air Force Base, San Antonio in Texas – seit dem 11. September werden hier von den 2’000 NSA-Mitarbeitern auch Daten aus dem Nahen Osten und Europa analysiert. Das dortige Rechenzentrum wurde erst jüngst für 100 Millionen Dollar renoviert und ist eine Art Backup für das Rechenzentrum in Utah.
Auf Hawaii kommen vor allem die Daten aus dem asiatischen Raum an – hier arbeiten 2’700 Menschen.
Im Multiprogram Research Facility, Oak Ridge, Tennessee arbeiten 300 Wissenschaftler und Computerspezialisten vor allem an der Cryptoanalyse und anderen geheimen Projekten – hier steht einer der schnellsten Supercomputer der Welt.
Und natürlich nicht zu vergessen die Zentrale der NSA in Fort Meade, Maryland – auch hier soll ein 896 Millionen Dollar teuerer Supercomputer gebaut werden um den immer weiter steigenden Datenmengen Herr werden zu können.

Das alles fasst ein NSA-Beamter gegenüber Wired gut zusammen:

“Everybody’s a target; everybody with communication is a target.”

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 25 2012

Europa und die Cloud: Standard zur Überwachung und Kritik von Datenschützern

Die Auslagerung von Daten in die Cloud bereitet den Behörden Sorge. Um weiterhin Abhören zu können, werden europaweite Standards zur Überwachung von Cloud-Diensten erarbeitet. Falls Verschlüsselung eingesetzt wird, soll die umgangen werden. Datenschützer hingegen kritisieren die Cloud, da nie klar ist in welcher Jurisdiktion die Daten liegen.

Das von der Europäischen Kommission gegründete Europäische Institut für Telekommunikationsnormen (ETSI) arbeitet derzeit an einem Standard zur Überwachung von Cloud-Diensten. Laut dem Entwurf sollen die Cloud-Anbieter Schnittstellen zur Verfügung stellen, mit denen Behörden die Daten und Aktivitäten der Nutzerinnen abhören können – in Echtzeit.

Erich Moechel berichtet auf ORF.at:

Wegen des “nomadischen Zugangs zu Diensten in der Cloud” sei es unwahrscheinlich, dass ein Internet-Zugangsprovider alle Überwachungsanfragen bedienen könne. Um dennoch “die Überwachbarkeit zu gewährleisten, muss der Cloud-Anbieter eine Überwachungsfunktion einbauen”, heißt es einen Abschnitt weiter (4.3)

Mit “nomadischem Zugang” ist gemeint, dass Facebookbenutzer über alle möglichen Wege daherkommen können, ob es das eigene DSL ist, drahtlose Breitbanddienste oder ein offenes WLAN-Netz. Man müsste also die Daten eines Facebook-Benutzers nicht nur bei mehreren Zugangsprovidern einsammeln, was nahe an der Echtzeit unmöglich ist. Zudem würde das nur einen Teil der Informationen bringen, die an einer Schnittstelle direkt bei Facebook abgegriffen werden könnten.

Dazu soll auch die SSL-Verschlüsselung angegriffen werden. Und zwar wollen Behörden mit “Deep Packet Inspection”-Systemen (DPI) “Man-in-the-Middle”-Attacken gegen die Verschlüsselung durchführen. Aus dem Entwurf:

Erich Moechel weiter:

“Deep Packet Inspection wird wahrscheinlich ein konstituierendes Element dieses Systems sein”, heißt es denn auch unter 4.3 im ETSI-Dokument unter den “Herausforderungen der Anforderungen” “(“Requirement Challenges”). Darüber wird als nächstes ebenso berichtet werden, wie über die Szenarien der staatlich sanktionierten Angriffe auf Skype, VoIP und Tauschbörsen, denen sämtlich sogenannte Peer-To-Peer-Protokolle zu Grunde liegen.

Skype hat übrigens gerade wieder auf die Frage, ob sie Gespräche abhören können, geantwortet: Kein Kommentar.

Eine andere EU-Institution sieht das mit dem Cloud-Computing kritischer. Die Artikel 29 Datenschutzgruppe veröffentlichte Anfang des Monats eine Stellungnahme mit ihrer Einschätzung der Cloud.

Die Datenschützer sehen “eine Reihe von Datenschutz-Risiken, vor allem einen Mangel an Kontrolle über persönliche Daten sowie unzureichende Informationen über die Fragen, wie, wo und von wem die Daten (weiter-)verarbeitet werden.” Da in der Cloud nie klar ist, wo die Daten physisch liegen ist auch die Jurisdiktion darüber unklar. Die europäische Datenschutzrichtlinie verbietet es jedoch, personenbezogene Daten in Staaten mit schwächerem Datenschutz auszulagern.

Dass dürfte jedoch bei Cloud-Diensten eher die Regel als die Ausnahme sein. Die existierenden Safe Harbor-Vereinbarung zwischen EU und USA sind daher unzureichend. Hier sehen die Datenschützer dringenden Klärungsbedarf.

Bis dahin sollten europäische Firmen ihre Cloud-Dienstleister ganz genau evaluieren und gegebenenfalls schriftlich versichern lassen, wohin die eigenen Daten übermittelt werden.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl