Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

October 25 2013

Der Handy-Skandal: Wer schläft der sündigt nicht.

schlaf6-BM-Wirtschaft-BerlinDiese Woche machte es mal wieder Spaß Zeitung zu lesen. Viele hatten ja gedacht, dass es sowas wie einen globalen “Überwachungsskandal” gibt. Seit Juni kamen dank Edward Snowden immer mehr Beweise ans Tageslicht, dass vor allem der US amerikanische Geheimdienst NSA und der britische GCHQ systematisch jegliche Kommunikation überwachen, abspeichern und analysieren – deswegen baut die NSA Datenzentren, die Yottabytes speichern. Was wir bisher u.a. wissen:

anhoerung_panel2Man könnte die Liste noch weiterführen. Aber der Eindruck verhärtet sich, dass es sich bei dieser “Überwachung” um eine größere Sache handelt. Ja, man könnte von einem Skandal sprechen. Selbst das ansonsten eher gemächlich agierende Europäische Parlament hat seit Juni 7 Anhörungen verschiedener Experten im Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (LIBE) abgehalten – und kam zum Ergebnis, dass die Überwachung durch USA und UK nicht wirklich legal sei. Außerdem wurde als Konsequenz ein Aussetzen des SWIFT-Abkommens gefordert – wenn auch mit 280:254 Stimmen äußerst knapp. Aber auch außerhalb der EU hat der “Überwachungsskandal” große Wellen geschlagen. So fand Dilma Rousseff deutliche Worte vor der UN Generalversammlung in New York für die Überwachung und Wirtschaftsspionage durch die USA und Großbritannien.

Es scheint, dass sich einige Teile der Welt – maßgeblich jene, die nicht zu den Five-Eyes gehören – Sorgen machen, in was für einer Welt wir leben, in der die USA Informationsherrschaft um jeden Preis erlangen will – Total Information Awareness. Und was ist mit Deutschland? Kanzleramtsminister Ronald Pofalla hat die “NSA-Affäre” schon sehr früh für beendet erklärt. Einschlägige Fragen der Opposition an die Bundesregierung wurden abgewiegelt oder als ‘geheim weil geheim’ deklariert. Gerade bei der CDU ist man der Meinung, dass dies überhaupt gar kein Thema der deutschen Politik sei, sondern einzig und allein eines der US Regierung. Bundeskanzlerin Angela Merkel empfand das alles als so unwichtig, dass sie sich mit “Details” nicht beschäftigen wollte – das sei gar nicht ihre Aufgabe. Innenminister Friedrich hat den USA Glauben geschenkt, war sich sicher dass sowas unter Freunden nicht geschieht und beteuert, dass alles aufgeklärt würde.

Hört man auf die deutsche Regierung sieht das alles auf einmal gar nicht so schlimm aus. Kein Skandal. Keine Grundrechtsverletzung. Kein flächendeckendes, verdachtsunabhängiges Überwachen. Keine Wirtschaftsspionage. Höchstens ein paar Ungereimtheiten. Und sowieso scheinen einige der Behauptungen Snowdens mehr als fragwürdig.

Das alles hat sich diese Woche geändert. Sowohl in der Presse, als auch in der Politik. Mit der Erkenntnis, dass nicht nur französische, brasilianische, italienische,  indische und mexikanische Regierungen, die Vereinten Nationen, das Europäische Parlament und die verschiedensten Botschaften durch die NSA und die GCHQ überwacht werden, sondern auch das Handy unserer Kanzlerin, wurde nun auch unsere Bundesregierung hellhörig.

Direkt wurde mit Obama telefoniert – sowas mache man nicht unter Freunden. Westerwelle hat sich mit US-Botschafter John B. Emerson getroffen – um darüber zu reden. Signar Gabriel übt Kritik an Kanzleramtsminister Ronald Pofalla – er hätte es zu schnell beendet. Die Grünen wollen eine Sondersitzung des Bundestages (da der ja noch nicht einberufen wurde so kurz nach den Wahlen). Die Süddeutsche Zeitung spricht von der “Affäre um Merkel-Handy“.

Schwere Vorwürfe gegen die USA und ihren Geheimdienst NSA: Sie sollen das Handy von Bundeskanzlerin Angela Merkel überwacht haben. Die Affäre führt zu diplomatischen Verstimmungen.

Währenddessen geht Kanzlerin Merkel beim EU-Gipfel in Brüssel so vorsichtig und bedacht vor, dass die “Handy-Affäre” nichtmals Erwähnung in ihrer Rede findet. Doch noch kein Skandal. Auch kein Handy-Skandal. Keine Handy-Affäre? Regierungssprecher Georg Streicher hatte heute jedoch vorsichtshalber verkündet, dass die Bundesregierung nie den Überwachungsskandal als beendet erklärt habe.

Bei all der Verwirrung steht jedoch zumindest Folgendes fest: Zum Einen ist es bezeichnend, dass das Handy unserer Kanzlerin abgehört werden muss, damit die Bundesregierung endlich die Lethargie in Bezug auf die globale Überwachung ablegt. Dieses Handy scheint wichtiger, als Europäische Union, Vereinte Nationen und Brasilien zusammen – von der Zivilbevölkerung mal ganz abgesehen.

Zum Anderen zeigt der “Handy-Skandal” wie gut weite Teile der Presse der Regierung nach dem Mund redet. Vor dem Hintergrund anhaltender Enthüllungen zur globalen Überwachung und Menschenrechtsverletzungen ist das Betiteln des Abhörens des Handys unserer Kanzlerin als “Handy-Skandal” eine Farce! Denn:

Es ist und bleibt ein Überwachungsskandal historischen Ausmaßes und das Handy unserer Kanzlerin nimmt in diesem einen vernichtend unbeduetenden Platz ein. Es ist kein Handy-Skandal, sondern seit der ersten Minute ist es ein Überwachungsskandal der Bevölkerung.

Dass unsere Regierung so überrascht scheint liegt letztlich nur daran, dass sie die letzten Monate verschlafen haben – aktiv und kollektiv. Einzige Hoffnung ist, dass nun Teile der Regierung und Opposition erkennen, dass Handlungsbedarf besteht – nicht für Angelas Handy, sondern für die Gesellschaft. Für uns.

Es ist kein Handy-Skandal. Es war und ist ein Überwachungsskandal, der uns alle betrifft und bedroht.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

October 24 2013

Wie man NSA-Affären aufklärt und beendet

Auf Süddeutsche.de gibt es einen schönen Überblick über die bisherigen rhetorischen Leistungen der Unions-Spitzenpolitiker bei der Einordnung der NSA-Überwachung. Neben Glanzstücken wie IM Friedrichs “Supergrundrecht“, Pofallas “Die Vorwürfe sind vom Tisch” oder Merkels Sommerinterview erinnern wir uns besonders gern auch an den ewigen JU-Vorsitzenden Philipp Mißfelder, für den das Ganze “kein Thema der Politik” ist. Nicht in Vergessenheit geraten sollte auch Fraktionsgeschäftsführer Michael Grosse-Brömer: “Was wir heute hier erleben ist die Fortsetzung des Rot-Grünen-Sommertheaters, wie erkläre ich einen Skandal, der keiner ist”.

Übrigens auch schön, nochmal die bisherigen Aufklärungsbemühungen vor Augen geführt zu kriegen:

“Ich habe keinen Grund, an den Angaben der USA zur Einhaltung deutschen Rechts zu zweifeln.” – Kanzlerin Merkel am 19. August in der Passauer Neuen Presse.

“Darauf muss ich vertrauen, ich habe jedenfalls keinen Anlass, dem nicht zu vertrauen.” – Kanzlerin Merkel im TV-Duell am 1. September zu den Aussagen der NSA.

Nach derselben Logik verhindert weiterhin auch die EU-Kommission tatsächliche Konsequenzen aus dem millionenfachen Rechtsbruch, wenn sie lieber weiter auf Erläuterungen wartet, statt Aussetzung oder Beendigung von SWIFT- und PNR-Abkommen oder auch der Safe-Harbor-Abmachung ernsthaft voranzutreiben.

Mal schauen, ob die Bundeskanzlerin einen Grund findet, an den Aussagen der NSA, des Geheimdienstdirektors oder der Regierung diesmal zu zweifeln. Vielleicht wird dann absolut und definitiv dafür gesorgt, dass kein Handy einer deutschen Bundeskanzlerin jemals wieder abgehört werden darf, und man sich in Zukunft wieder auf die anlasslose, flächendeckende Überwachung der übrigen Welt konzentrieren muss.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

September 11 2013

Funkzellenabfrage: Allein in Nordrhein-Westfalen finden jeden Tag mehr als zehn Handy-Rasterfahndungen statt (Update)

Mobilfunkantennenanlage. Bild: Erwin Krauß. Lizenz: Creative Commons BY-SA 3.0.

Bei einer Funkzellenabfrage werden sämtliche Handy-Verbindungen innerhalb einer oder mehrerer dieser Funkzellen an die Polizei gegeben. Bild: Erwin Krauß. Lizenz: Creative Commons BY-SA 3.0.

Auch in Nordrhein-Westfalen werden jeden Tag Handy-Verbindungen von hunderttausenden Menschen an Polizeibehörden übermittelt und gerastert. Das geht aus einer Antwort der rot-grünen Landesregierung hervor. In ganz Deutschland dürften demnach jeden Tag dutzende Funkzellenabfragen stattfinden – statistisch ist jeder Einwohner betroffen.

In meinem Vortrag auf der SIGINT-Konferenz habe ich hochgerechnet, dass wahrscheinlich mindestens zehn Funkzellenabfragen pro Tag in Deutschland durchgeführt werden. Ich habe mich geirrt – es sind noch viel mehr. Das Problem ist, dass die offiziellen Statistiken zur Telekommunikationsüberwachung nicht zwischen individualisierten und massenhaften Abfragen unterscheiden.

Daher haben wir bei netzpolitik.org schon vor einem Jahr mehreren Landtags-Fraktionen ein paar detaillierte Fragen über Funkzellenabfragen geschickt, die diese an ihre Regierung stellen können. Neben der Piratenfraktion Schleswig-Holstein hat auch die Piratenfraktion in Nordrhein-Westfalen um den Innenausschuss-Sprecher Frank Herrmann unsere Fragen aufgenommen und eine kleine Anfrage gestellt. Jetzt ist die Antwort der Landesregierung Nordrhein-Westfalen eingetroffen, die wir an dieser Stelle exklusiv veröffentlichen.

Täglich zehn Funkzellenabfragen in Nordrhein-Westfalen

Und die Zahlen sind krass:

Für den Zeitraum vom 7.12.2010 bis 22.8.2013 sind 10.330 Funkzellenabfragen der Polzei Nordrhein-Westfalen erfasst.

Das sind mehr als zehn Funkzellenabfragen pro Tag – nur im Bundesland Nordrhein-Westfalen.

Zusammen mit den existierenden Zahlen aus Berlin und Schleswig-Holstein ergibt das folgende Tabelle an offiziell bestätigten Zahlen für Funkzellenabfragen in Deutschland:

Jahr   Berlin  SH    NRW 2009 302 151 2010 338 158 2011 568 228 3211 2012 ~342 256 4272 2013 2722

 

Während in Schleswig-Holstein also jährlich eine Funkzellenabfrage auf 12.311 Einwohner stattfindet, ist es eine auf 5.942 in Berlin und eine auf 4.109 Einwohner in Nordrhein-Westfalen. Statistisch ist damit jeder mindestens einmal pro Jahr betroffen.

Täglich 50 Funkzellenabfragen in Deutschland?

Wenn ich diese Zahlen völlig unwissenschaftlich mit den offiziellen Zahlen der Verkehrsdatenüberwachung hochrechne, komme ich auf die unglaubliche Zahl von 54 Funkzellenabfragen in Deutschland – jeden Tag. Das ist keinesfalls exakt – bestätigt aber die Aussage des Berliner Datenschutzbeauftragten, dass die massenhafte Handy-Rasterfahndung “zum alltäglichen Ermittlungsinstrument geworden, das routinemäßig und ohne hinreichende Beachtung der gesetzlichen Vorgaben eingesetzt wird.”

Keine Straftaten gegen Leib, Leben oder sexuelle Selbstbestimmung

Auch die Anlässe, zu denen zehntausende Handys gerastert werden, ähneln den Begründungen anderer Bundesländer. Nur fünf Prozent der Funkzellenabfragen (325 von 5.889) wurden wegen Tötungsdelikten oder Straftaten gegen die sexuelle Selbstbestimmung durchgeführt. Gegen 66 Fälle wegen Drogen sind sieben Fälle zu Waffen und zwei zu Kinderpornografie schon vernachlässigbar. Der weitaus größte Teil der Handyüberwachung wird jedoch wegen Eigentumsdelikten durchgeführt: Diebstahl, Bandendiebstahl, Raub und Erpressung. Sicherlich unangenehmen Straftaten, aber keine “schwersten Straftaten gegen Leib, Leben oder die sexuelle Selbstbestimmung“, mit denen die Maßnahme politisch begründet wird.

Zur jeweils abgedeckten Fläche oder der Anzahl der jeweils übermittelten Verkehrsdaten konnte SPD-Innenminister Ralf Jäger leider keine Auskunft geben, weil das nicht erfasst wird. Komisch, dass es in Schleswig-Holstein ging – der politische Wille muss nur da sein.

Keine Information der Überwachten

Bezeichnend ist auch die Antwort auf die Frage, wie viele der hunderttausenden betroffenen Personen jemals über die Überwachung ihrer Mobilfunk-Kommunikation informiert worden sind: Dazu werden keine Erhebungen geführt. Aber wie in allen anderen Bundesländern gehen auch die Behörden in NRW einfach davon aus, dass die Betroffenen “kein Interesse an einer Benachrichtigung” haben. Zudem betreibe man keine “Anschlussinhaberfeststellung”, um die Menschen hinter der Telefonnummer zu informieren. Braucht man auch nicht, man könnte ja einfach anrufen. Aber das ist politisch nicht gewollt, denn damit würde man ja Menschen über das unglaubliche Ausmaß der verdachtslosen Handy-Überwachung informieren. Dass die Datenschutzbeauftragten eine Nicht-Informierung für einen klaren Gesetzesbruch halten – egal.

Für andere wichtige Fragen war in der kleinen Anfrage leider kein Platz mehr: Erfolgt im Einzelfall eine Prüfung der Verhältnismäßigkeit? Liegt jeweils auch eine Straftat von auch im Einzelfall erheblicher Bedeutung zugrunde? Müssen Verdächtige ein Handy benutzt haben? Wie viele Funkzellenabfragen führten zu einer Verurteilung? Werden die Löschbestimmungen eingehalten? Werden Benachrichtigungs- und Löschpflichten protokolliert? Hier ist noch Raum für konkrete Nachforschungen.

Funkzellenabfrage abschaffen

Mit jeder neuen Auskunft verschlimmert sich das Gesamtbild über die massenhafte Handy-Überwachung in Deutschland noch. Ich zitiere daher mal mein eigenes Fazit über den Bericht des Berliner Datenschutzbeauftragten:

Erstaunlich, dass er nach all diesen Gesetzesverstößen der Behörden einfach neue Gesetze vorschlägt. Zumal die Praxis derzeit einfach fortgesetzt wird, als wäre nichts gewesen. Für netzpolitik.org ist die Konsequenz klar: Die Funkzellenabfrage gehört ersatzlos abgeschafft.

Update: Jetzt ist auch die Pressemitteilung der Piratenfraktion da: Millionenfache Standortabfragen in NRW – Bürger werden nicht nur von Prism & Co. ausgespäht:

Diese skandalöse Menge an Funkzellenabfragen ist kaum zu glauben. Bei jeder dieser 10.330 Abfragen wurden Mobilfunkdaten aller der in der Zelle befindlichen Handys an die Polizei übermittelt. Das können pro Abfrage und Zelle schnell weit über tausend Handys sein. So kommen schnell millionenfache Daten von unbescholtenen Bürgern zusammen, die durchsucht und ausgewertet werden.

Jeder ist hier betroffen. Wer zur falschen Zeit in der falschen Funkzelle war, gegen den wird ermittelt, ohne Grund und ohne Verdacht.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 15 2013

Funkzellenabfrage: Zahlen aus Schleswig-Holstein deuten auf 13 Handy-Rasterfahndungen in Deutschland – jeden Tag

Mobilfunkantennenanlage. Bild: Erwin Krauß. Lizenz: Creative Commons BY-SA 3.0.

Mobilfunkantennenanlage. Bild: Erwin Krauß. Lizenz: Creative Commons BY-SA 3.0.

Auch in Schleswig-Holstein werden fast täglich Handy-Verbindungen von Millionen Menschen an Polizeibehörden übermittelt und gerastert. Das geht aus einer Antwort der rot-grün-blauen Landesregierung hervor. Bei einer Hochrechnung der bekannten Funkzellenabfragen ergibt sich, dass in Deutschland jeden Tag rund 13 Mal Handy-Rasterfahndungen durchgeführt werden.

Vor knapp einem Jahr haben wir mehrere Landtags-Fraktionen ein paar Fragen zur Funkzellenabfrage geschickt, die diese an ihre Regierung stellen können. Neben anderen hat auch die Piratenfraktion Schleswig-Holstein unsere Fragen aufgegriffen und eine große Anfrage gestellt. Jetzt ist die Antwort der Landesregierung eingetroffen.

Demnach wurden im nördlichsten Bundesland in den letzten vier Jahren 848 Funkzellenabfragen durchgeführt. Die Anzahl der Abfragen pro Jahr steigt stetig an: Waren es 2009 noch 151 und 2010 noch 158, wurden 2011 schon 228 und 2012 ganze 256 Funkzellenabfragen allein in Schleswig-Holstein durchgeführt.

Von den vier regionalen Staatsanwaltschaften ist dabei Kiel mit 336 Abfragen Spitzenreiter, gefolgt von Lübeck mit 265 und Itzehoe mit 231, während Flensburg sich mit 16 Anfragen eher zurück hält. Gekostet hat das den Steuerzahler insgesamt 187.500 Euro.

Die kürzeste Funkzellenabfrage dauerte drei Minuten, die längste mehr als einen Monat. Die Bandbreite der übermittelten Verkehrsdatensätze liegt zwischen einem und 2.397.982, ziemlich genau zehnmal mehr als die Landeshauptstadt Kiel Einwohner hat. Die Anzahl der betroffenen Mobilfunkanschlüsse lag zwischen einem und 303.092. Diese Zahlen sind aber nicht abschließend, weil die Statistiken zu einigen Funkzellenabfragen für die Landesregierung nicht mehr recherchierbar waren. Welche Fläche die abgefragten Funkzellen einnehmen, konnte man ebenfalls nicht sagen.

Verdächtiger muss kein Handy benutzt haben

In weniger als die Hälfte aller Fälle gab es “konkrete Anhaltspunkte für die Annahme, dass der Tatverdächtige während der Tat ein Mobiltelefon benutzt haben könnte.” Das sei laut Landesregierung auch nicht nötig:

Ein Benutzen des Telefons ist im Zusammenhang mit der nicht individualisierten Funkzellenabfrage nicht erforderlich.

Das sieht der Berliner Datenschutz-Beauftragte Dix anders. In seinem Prüfbericht schrieb er unter Verweis auf ein Urteil des Landgerichts Stade:

Das Mitführen eines Telefons sagt jedoch nichts über dessen Nutzung aus und reicht daher nicht als Begründung für eine Funkzellenabfrage.

Die Landesregierung Schleswig-Holstein hingegen behauptet:

Es genügt das Beisichführen des Mobiltelefons im Standby-Zustand, um die Standortdaten ermitteln zu können.

Es ist technisch richtig, dass ein eingeschaltetes Mobiltelefon vom Mobilfunknetz geortet werden kann. In einer Funkzellenabfrage sollten jedoch nur Geräte auftauchen, die auch kommuniziert haben. Juristisch widerspricht die Landesregierung hier dem Datenschutz-Beauftragten. Wer hat recht?

Nicht nur schwere Straftaten, nicht nur mit Richterbeschluss, nicht nur Ultima Ratio

Als Anlass dienten wie immer nicht nur schwerste Straftaten gegen Leib, Leben oder die sexuelle Selbstbestimmung (die politische Begründung), sondern eine ganze Reihe an Straftaten. Darunter wie in Berlin und Sachsen Diebstahl, Raub und Einbruch in allen möglichen Facetten, aber auch Landfriedensbruch und Drogen-Delikte.

Immerhin wurden die Abfragen fast immer richterlich angeordnet, auch wenn dieser nicht immer viel wert ist. Das wird dadurch bekräftigt, dass auch “richterliche Bestätigungen” von “staatsanwaltschaftlichen Eilanordnungen” als Richterbeschluss durchgehen. Pikant:

Bekannt ist lediglich ein Fall im Erhebungszeitraum, in dem die Staatsanwaltschaft im Rahmen ihrer Eilkompetenz eine nicht individualisierte Funkzellenabfrage angeordnet hat. Die Daten wurden allerdings nicht verwertet, weil sich die zu Grunde liegende Straftat als vorgetäuscht erwiesen hatte.

In 46 Verfahren wurden Funkzellenabfragen durchgeführt, obwohl noch nicht einmal die Zeugen vom Tatort befragt wurden. Zu ähnlichen Fällen in Berlin urteilte der Berliner Datenschutzbeauftragte:

Diese Vorgehensweise widerspricht dem gesetzgeberischem Willen, Funkzellenabfragen lediglich als Ultima Ratio einzusetzen.

Handy-Rasterfahndung

Die Antworten liefern einen kleinen Einblick, wie die Behörden im Norden die Daten verarbeiten:

Die nicht-individualisierte Funkzellenabfrage dient vor allem dazu, die Verkehrsdaten verschiedener Tatorte und -zeiten auf Übereinstimmungen miteinander abzugleichen, um so Straftatenserien mit den mutmaßlich selben Tätern erkennen zu können.

Der Abgleich der erhobenen Verkehrsdaten mit anderen Daten ist ein Zweck dieser Maßnahme. Das bedeutet, dass Funkzellendaten bei gleich gelagerten Straftaten abgeglichen werden, um hierdurch Tatserien zu erkennen und Täterhinweise zu erlangen. Regelmäßig ist davon auszugehen, dass bei Serienstraftaten und bandenmäßiger Begehung von Eigentums- und Vermögensdelikten eine solche Maßnahme in Betracht kommt.

In wie vielen Fällen Bestandsdaten, also Namen und Adressen der Abschlussinhaber, eingeholt wurden, kann laut Landesregierung “nicht dargestellt werden”. Was auch immer das bedeutet. Ähnlich verständlich ist die Aussage, dass eine Bestandsdatenabfrage keine Personen identifiziert:

Zudem können anhand von Telekommunikations-Bestandsdaten grundsätzlich keine Personen identifiziert werden, da die Daten zunächst nur auf die Anschlussinhaber hinweisen […]

Funkzellenabfragen überwiegend ergebnislos

In nur 15 Prozent aller Verfahren konnten durch die Funkzellenabfragen neue Ermittlungsansätze gewonnen werden. Nur acht Prozent aller Verfahren wurden auch aufgeklärt, ein Viertel hingegen wurde eingestellt. Und in nur vier Prozent aller Fälle hat die Funkzellenabfrage auch zur Verurteilung geführt.

In der überwiegenden Mehrheit aller Fälle sind Funkzellenabfragen also nutzlos.

Benachrichtigung unterbleibt, weil kein Interesse ersichtlich ist

Wie auch in den anderen Bundesländern ist die Benachrichtigung von Betroffenen quasi nicht-existent. Von Millionen betroffenen Mobilfunkinhabern der Handy-Rasterfahndung sind lediglich 52 benachrichtigt worden. Als Benachrichtigung zählt die Landesregierung jedoch auch, wenn Akteneinsicht gewährt wurde.

Auch hier reden sich die Behörden raus, indem sie einfach annehmen, dass Betroffene “kein Interesse an einer Benachrichtigung” hätten. Woher wissen sie das, wenn sie nicht gefragt haben? Auch diese Regelung hat der Berliner Datenschutzbeauftragte wiederholt kritisiert.

Datenschutzrechtlich soll jedoch alles in Ordnung sein. Es gab zwar keine “datenschutzrechtliche Überprüfung”, aber man versichert, dass die Staatsanwaltschaften “datenschutzrechtliche Belange” schon “berücksichtigt” haben.

Einmal wurden die Daten aber zweckentfremdet genutzt:

Es ist nur ein Fall bekannt, bei dem die Daten auf der Grundlage des Landesverwaltungsgesetzes (§ 185a i.V.m. 186 (1) LVwG) erhoben und später in ein Strafverfahren transferiert wurden.

Die Löschung der Daten passiert durchschnittlich erst nach über einem Jahr. Einmal sind die Daten mehr als dreieinhalb Jahre gespeichert gewesen.

Handy-Rasterfahndung als Routine-Maßnahme in Deutschland

Mit Schleswig-Holstein haben wir nach Berlin und Sachsen nun endlich solide Zahlen zur massenhaften Handy-Überwachung aus einem dritten Bundesland. Dabei werden die existierenden Kritikpunkte erneut bestätigt. Der Berliner Datenschutzbeauftragte kritisierte damals:

Funkzellenabfragen, die aufgrund ihrer Eingriffsintensität nur in Ausnahmefällen durchgeführt werden dürfen, sind – jedenfalls in bestimmten Deliktsbereichen – offensichtlich zum alltäglichen Ermittlungsinstrument geworden, das routinemäßig und ohne hinreichende Beachtung der gesetzlichen Vorgaben eingesetzt wird.

Leider gibt es keine Zahlen für andere Bundesländer oder gar für ganz Deutschland. In den offiziellen Statistiken zur Telekommunikationsüberwachung muss nur die absolute Zahl an Verkehrsdatenabfragen angegeben werden. Damit werden also individualisierte (Welche Verkehrsdaten hatte das Handy vom konkreten Tatverdächtigen X?) als auch nicht-individualisierte (Was sind die Verkehrsdaten aller Mobilfunkgeräte der Funkzellen Y?) Abfragen zusammengefasst.

Durch die neuen Zahlen ist es jedoch möglich, die Anzahl nicht-individualisierter Verkehrsdatenabfragen hochzurechnen. Aus den Daten von Berlin und Schleswig-Holstein ergibt sich, dass Funkzellenabfragen für 58 Prozent der Verkehrsdatenabfragen aufkommen. Rechnet man diesen Wert auf die Verkehrsdatenabfragen aller Bundesländer hoch, ergeben sich fast 13 Funkzellenabfragen in Deutschland – jeden Tag.

Diese Hochrechnung ist nicht belastbar, jedoch habe ich schon in meinem Vortrag auf der SIGINT-Konferenz ausgerechnet, dass wahrscheinlich mindestens 10 Funkzellenabfragen pro Tag in Deutschland durchgeführt werden. Die neuen Zahlen scheinen das zu bestätigen.

Was wir aber wirklich wollen, ist eine Aufschlüsselung aller Funkzellenabfragen aller Polizeibehörden und Bundesländer nach den Kategorien in unseren Fragen. Bis die gesetzlichen Vorgaben geändert sind, dass das automatisch passiert, können gerne weitere Parlaments-Fraktionen ihre Regierungen anfragen. Nächstes mal bitte wieder fair, statt es als eigene Arbeit auszugeben.

Noch wichtiger ist jedoch die Abschaffung dieser massenhaften verdachtslosen Handyüberwachung.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 22 2013

Millionen SIM-Karten durch veraltete Verschlüsselungstechnik gefährdet

SIM-Karten sind das Herzstück der mobilen Kommunikation. Ohne sie wäre keine Identifikation eines bestimmten Nutzers im Telekommunikationsnetz möglich. Zusätzlich wird das Gerät im Netz angemeldet und authentifiziert. Erst mit ihr ist die Anmeldung im Netz und damit auch die Kommunikation, möglich. Wie der deutsche Sicherheitsforscher Karsten Nohl nun aufzeigt, sind alleine in Deutschland mehrere Millionen SIM-Karten im Umlauf, welche mit einfachen Mitteln gekapert werden können. Weltweit schätz Nohl die Anzahl auf rund eine halbe Milliarde Karten, welche potenziell gefährdet sind.

Wie heise security berichtet, ist hierfür der Einsatz der veralteten Verschlüsselungstechnik DES verantwortlich. Diese bereits Anfang der 1970er Jahre entwickelte Verschlüsselungstechnik besitzt eine Schlüssellänge von lediglich 56 Bit. Auch wenn herkömmliche Rechner rund eine Jahr brauchen um einen DES-Schlüssel zu knacken, gibt es genügend moderne Hardware, wie die Rechenmaschine COPACOBANA, welche lediglich eine Woche benötigen. Wie heise security berichtet, ist Nohl mittlerweile in der Lage die Schlüssel in wenigem Minuten zu knacken:

Nohl [konnte] jedoch innerhalb eines Jahres große Tabellen mit Zwischenergebnissen für die Verschlüsselung berechnen, sodass er in der Lage ist, einen DES-Schlüssel einer SIM-Karte innerhalb weniger Minuten zu knacken (Known Plaintext Attack). Er muss dazu lediglich eine fehlerhaft signierte OTA-SMS an das Zielhandy schicken und dessen Antwort analysieren. Das funktionierte in einer konkreten Demo für heise Security auch völlig reibungslos.


OTA-SMS sind dabei verschlüsselte Nachrichten, die direkt an die SIM-Karte geschickt werden. Nachdem eine SIM-Karte auf diese Art und Weise gehackt wurde, stehen dem Eindringlinge alle normalen Funktionen einer SIM-Karte zur Verfügung, dazu gehören beispielsweise das Versenden von Premium-SMS oder aber auch das Orten des Mobiltelefons.

Doch damit leider noch nicht genug. Die kleinen Programme, welche auf einer SIM-Karte laufen, sind kleine Java-Applikationen, die eigentlich in einer virtuellen Maschine von der Außenwelt abgeschottet werden. Nohl fand jedoch bei einer Analyse dieser virtuellen Maschinen heraus, dass einige elementare Sicherheitsfunktionen nicht umgesetzt werden und es so ein leichtes ist einen Trojaner zu schreiben, welcher aus dieser virtuellen Maschine ausbrechen kann. Ein solcher Trojaner könnte anschließend beispielsweise den Master-Key einer SIM-Karte auslesen, mit dem eigentlich die sicherere Anmeldung im Netz gewährleistet wird. Die Folgen können verheerend sein, wie Nohl heise security demonstrierte:

Nohl demonstrierte diesen Angriff sehr eindrucksvoll, indem er heise Security mit einem Handy ohne SIM-Karte anrief. Als Anrufer erschien dabei die Nummer der zuvor via SMS gekaperten SIM-Karte, deren Master-Key er in seinen SIM-Karten-Simulator transferiert hatte.

Auch das Bezahlen per NFC ist laut heise security betroffen, da die Apps von Paypal, Visa und Co. die Bezahlvergänge auf der SIM-Karte autorisieren.

Wie viele SIM-Karten tatsächlich durch die Verschlüsselung per DES und die nachlässige Implentierung der virtuellen Maschine betroffen sind, kann nur schwer gesagt werden. Nohl geht von mehreren Millionen Karten in Deutschland und bis einer halben Milliarde Karte weltweit aus. In Deutschland sind aber nur ältere Karten von den Problemen betroffen, da die Provider in Deutschland seit einigen Jahren keine SIM-Karten mit DES-Verschlüsselung mehr verkaufen. Laut heise security ist die Lage im nahen europäischen Ausland aber bereits eine andere, da dort noch DES-Karten verkauft werden.

Die deutschen Mobilfunkprovider scheinen mittlerweile reagiert zu haben. Nachdem Nohl die Provider bereits vor einigen Monaten auf die Schwachstellen aufmerksam machte, haben diese damit begonnen die sogenannten OTA-SMS zu filtern. Da diese OTA-SMS nicht von normalen Mobiltelefonen versendet werden müssen, behalten es sich die Provider vor, SIM-Karten von denen dennoch OTA-SMS geschickt werden, zu sperren.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 15 2013

Britische Grenzbeamte dürfen Handys von Einreisenden durchsuchen

Wie Edward Snowden in einem Interview mit dem SPIEGEL erklärte, betreibt der britische Geheimdienst mit seinem Spionageprogramm Tempora den “erste[n] ‘ich speichere alles’-Ansatz” bei der Überwachung des Internetverkehrs. Der Datenhunger der britischen Behörden scheint damit aber noch nicht gestillt, wie ein Bericht des Telegraph zeigt. Demnach haben britische Grenzbeamten das Recht, einem jeden Einreisenden an Flughäfen, Bahnhöfen oder Häfen sein Handy zu entnehmen und dieses zu durchsuchen.

Die Beamten haben laut dem Bericht Zugriff auf die Verbindungsdaten von Anrufen, SMS und E-Mails, sowie auf das Adressbuch und sogar Fotos. Inhalte von Kommunikationen dürfen angeblich nicht durchsucht werden. Um die Durchsuchung durchzuführen sei keine richterliche Genehmigung notwendig. Die Beamten brauchen scheinbar nicht ein mal einen Grund für die Durchsuchung eines Handys vorweisen zu können:

The blanket power is so broad they do not even have to show reasonable suspicion for seizing the device and can retain the information for “as long as is necessary”.


Die rechtliche Grundlage für diese anlaslose Durchsuchung liegt im laut Telegraph Terrorism Act 2000. Der Telegraph spricht von 60.000 Einreisenden, bei denen jährlich die Handys durch Grenzbeamten durchsucht würden. Bei wie vielen Einreisenden tatsächlich auch Daten abgegriffen werden ist nicht bekannt.

Auch wenn der britische Jurist David Anderson, welcher als Gutachter für die Anti-Terror-Gesetze eingesetzt wird, die Regelung als wichtig im Kampf gegen Terrorismus wertet, spricht er sich für eine Überarbeitung des Gesetzes aus:

Information downloaded from mobile phones seized at ports has been very useful in disrupting terrorists and bringing them to justice. But ordinary travellers need to know that their private information will not be taken without good reason, or retained by the police for any longer than is necessary.

Dr. Gus Hossein von Privacy International fand dagegen klarere Worte:

We are extremely concerned by these intrusive tactics that have been highlighted by the independent terrorism reviewer. [...] Seizing and downloading your phone data is the modern equivalent of searching your home and office, searching through family albums and business records alike, and identifying all your friends and family, then keeping this information for years. [...] Under law, seizing a mobile phone should be only when the phone is essential to an investigation, and then even certain rules should apply. Without these rules, everyone should be worried.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 26 2012

Neue Verkehrsdaten von Malte Spitz: Vorratsdatenspeicherung geht auch ohne Gesetz weiter

Korrelation zwischen Gesprächsteilnehmer und Uhrzeit und wie ähnlich diese sind Der Grünen-Politiker Malte Spitz hat erneut Daten erhalten, die sein Mobilfunkanbieter über seinen Anschluss speichert. Diese belegen, dass die Vorratsdatenspeicherung im Bereich Mobilfunk auch ohne explizites Gesetz weiter geht, nur die Speicherdauer ist teilweise kürzer.

Bereits letztes Jahr hat er einen ersten Datensatz eingeklagt, dessen anschauliche Aufbereitung mit einem Grimme Online Award ausgezeichnet wurde.

Datentypen und Speicherdauer

Der aktuelle Datensatz belegt, dass Mobilfunkanbieter auch nach dem Urteil des Bundesverfassungsgerichts zum deutschen Vorratsdatenspeicherungs-Gesetz diese Daten weiterhin speichern:

Eine zentrale Botschaft ist, zumindest bei T-Mobile Deutschland, dass, was die Kategorien angeht, heute der gleiche Datenumfang gespeichert wird, wie zu Zeiten der Vorratsdatenspeicherung, nämlich bis zu 29 Einzelinformationen. Trotz des Urteils des Bundesverfassungsgerichts wird eine Vielzahl an Daten umfassend vorgehalten.

Vor dem Gesetz 2008 haben die Anbieter “nur” Daten für die Rechnung und die Netz-Infrastruktur vorgehalten. Durch das Gesetz wurde der Datenkatalog, entgegen der Behauptung von Innenpolitikern, ausgeweitet und um weitere Datentypen erweitert. Auch heute noch speichern die Anbieter den vollen Datenkatalog:

Selbst Informationen, die vor 2008 nicht gespeichert wurden, sondern dessen Speicherung erst nach Inkrafttreten der deutschen Implementierung der Richtlinie zur Vorratsdatenspeicherung als Verpflichtung auf Grund der Umsetzungsordnung begonnen hat, wird weiter vorgenommen, ohne das eine Abrechnungsrelevanz vorliegt. Damit wird eindeutig gegen das Ziel der Datensparsamkeit verstoßen.

Aus rein marktwirtschaftlicher Perspektive (also dem Hauptinteresse der Anbieter) macht das sogar Sinn. Die Anbieter mussten zur Umsetzung des Gesetzes viel Geld investieren, um den neuen Speicherverpflichtungen nachzukommen. Das mussten sie komplett aus eigener Tasche bezahlen, also durch die Einnahmen von Endkunden. Nun hat das Bundesverfassungsgericht die Vorratsdatenspeicherung nur vorläufig gekippt, Forderungen nach einer Wiedereinführung lassen nicht nach. Wahrscheinlich wollen die Anbieter also jetzt nicht nochmal Geld für eine Datenreduzierung ausgeben, nur um dann bei einem neuen Gesetz schon wieder die Implementierung bezahlen zu müssen. Daher haben manche Anbieter einfach den Zeitraum gekürzt, den die Daten gespeichert werden:

Lediglich die Speicherdauer hat sich von 180 Tagen auf 30 Tage reduziert. Damit ist die heutige Speicherpraxis unverhältnismäßig und widerspricht meiner Meinung nach gegen die Datensparsamkeit.

Das ist auch den Behörden bekannt, wie der Leitfaden zum Datenzugriff der Generalstaatsanwaltschaft München belegt. Demnach speichert T-Mobile Verkehrsdaten und Funkzellendaten für einen Monat. Während Vodafone und O2 die Daten für eine Woche vorhalten, sind es bei E-Plus sogar drei Monate. Einige Festznetz-Anbieter speichern alle Verkehrsdaten sogar weiterhin volle sechs Monate.

Keine harmlosen Daten

Die gespeicherten Daten werden weder alle für die Rechnung benötigt (bei Prepaid oder Flatrate schon gar nicht), noch sind diese Daten harmlos:

Es werden deutlich mehr Daten gespeichert als für die notwendigen Schritte erforderlich. Insbesondere so sensible Daten wie die Funkzellen, Geokoordinaten und der entsprechende Abstrahlwinkel. Diese Speicherung kann in Städten dazu führen, dass man auf wenige Meter (30 bis 50 Meter) genau getrackt werden kann.

Die Sensibilität der Bewegungsdaten wurde durch die ursprüngliche Visualisierung bereits eindrücklich verdeutlicht. Dieses Mal hat Malte auch die Telefonnummern der eingehenden und ausgehenden Anrufe und SMS erhalten, aus denen man Rückschlüsse auf die Kommunikationspartner und Kommunikationsstrukturen schließen kann:

Neben der Kenntlichmachung meines Lebens – wo und wann ich mich wie oft aufhalte, zu welchen Zeiten ich wie üblicherweise kommuniziere – lassen sich diesmal auch soziale Profile und Kommunikationsnetze erstellen. Dadurch, dass ansatzweise ableitbar ist, mit wem ich kommuniziert habe, lassen sich soziale Bindungen eindeutig aufzeigen und in Verbindung setzen – welche Rufnummern rufe ich zu ähnlichen Zeiten an, welche immer nur werktags usw.

Auch ohne die Namen und Adressen hinter den anderen Rufnummern zu kennen, offenbaren diese Daten sensible Details:

Liegen entsprechende Daten von mehreren Rufnummern vor, lassen sich soziale Verbindungen zueinander eindeutig nachzeichen. Dies ist auch im Zusammenhang mit der aktuellen Debatte um die Funkzellenabfrage in Berlin relevant.

Regelmäßigkeit der Kommunikation auf den Tag verteilt zu den zehn häufigsten Anschlüssen Zur Verdeutlichung haben die Jungs von OpenDataCity zwei Grafiken erstellt. Oben im Artikel sieht man die Korrelation zwischen Gesprächsteilnehmer und Uhrzeit und wie ähnlich diese sind. Sowie die Regelmäßigkeit der Kommunikation auf den Tag verteilt zu den zehn häufigsten Anschlüssen:

Mal sehen, vielleicht lassen sich ja noch weitere Informationen aus den Daten extrahieren und darstellen.

Politische Forderungen

Dass all diese Daten für lange Zeiträume weiterhin gespeichert werden, wird von Datenschützern wie dem Arbeitskreis Vorratsdatenspeicherung heftig kritisiert. Das sieht auch der Richter Ulf Buermeyer so:

Rath: Warum sind bei den Providern diese Daten noch Tage und Wochen später vorhanden? Wir haben doch derzeit gar keine Vorratsdatenspeicherung …
Buermeyer: Das ist in der Tat bedenklich. Jedenfalls sollten die Datenschützer das dringend mit den Providern klären. Zulässig ist eine Speicherung derzeit nur zu bestimmten eigenen Zwecken der Diensteanbieter, etwa zur Sicherung der Netzqualität. Begehrlichkeiten der Ermittlungsbehörden und die Tatsache, dass die Provider mit Abfragen ja auch Geld verdienen, dürfen dabei keine Rolle spielen.

Malte stellt in seinem Blog-Beitrag folgende Forderungen auf:

  • das Ende der Speicherung von Funkzellen und von Geokoordinaten
  • klare Vorgaben und Festlegung, welche Daten zu Abrechnungszwecken tatsächlich relevant sind und dass diesen Daten eine möglichst niedrige Höchspeicherdauer zugrunde liegen muss.
  • Es bedarf einer transparenten Überprüfung der Speicherung entsprechender Verkehrsdaten bei allen Mobilfunkanbietern durch die zuständige Aufsicht
  • ein Abschaffung der Richtlinie zur Vorratsdatenspeicherung in ganz Europa.

Der Datenschützer Patrick Breyer zeigt sich übrigens verwundert, warum noch niemand gegen die in seinen Augen “illegale” Speicherpraxis der Anbieter geklagt hat. Vielleicht sollte das einfach mal gemacht werden.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl