Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

September 05 2013

EU-Innenausschuss zur Massenüberwachung: “Echelon war ein Kinderspiel im Vergleich zur aktuellen Überwachung”

ep-libe-prismDer “Ausschuss für bürgerliche Freiheiten, Justiz und Inneres” des Europäischen Parlaments hat heute verschiedene Journalisten und Experten eingeladen, um deren Einschätzung und Erfahrungen zu den US amerikanischen und britischen Überwachungsprogrammen zu hören. Dazu gibt es ein Programm, einen Livestream und den Hashtag #EPInquiry.

Wir werden an dieser Stelle auch – so ‘live’ wie möglich – darüber bloggen.

Eingeladene Gäste sind Jacob Appelbaum, Jacques Follorou (Le Monde) und Alan Rusbridger (Chefredakteur, The Guardian).  Eigentlich hätte auch Glenn Greenwald via Videokonferenz dabei sein sollen – aus ungeklärten Gründen war dies jedoch nicht möglich.

Rederunde 1: Sachverständige

Zuerst spricht Jacques Follorou (Journalist bei der franz. Zeitung Le Monde), vor allem über das Überwachungssystem des französischen Auslandsgeheimdienstes.

Französisches Überwachungssystem ist außerhalb der Kontrolle von Politik und Verwaltung. Geheimdienste haben Überwachungsmöglichkeiten, die eigentlich nur der Exekutive zur Verfügung stehen sollte. Laut Follorou gab es kein großes Echo zum Überwachungsskandal in Frankreich, da die Bevölkerung davon ausgeht, dass es “zum Guten” geschieht. EU Parlament war hier, seiner Meinung nach, einziger Akteur.

Follorou spricht außerdem von Machtspielen zwischen USA und Frankreich: Da die USA mehr Ressourcen haben, können sie Frankreichs Überwachungssystem ‘enthüllen’. Außerdem beklagt er, dass es keinerlei Informationen über Abkommen zwischen ISPs und Geheimdiensten gibt.

Duncan Campbell, der gegen 17Uhr vor dem Ausschuss sprechen wird, hat eben getwittert, dass er neue Enthüllungen hat:


Als nächstes spricht Jacob Appelbaum, Aktivist und Co-Leiter des Tor-Projektes.

Jacob will eine eher ‘breite Perspektive’ einnehmen und merkt an, dass FBI und CIA ähnliche Programme zu NSAs Prism haben. Appelbaum beschreibt die Kombination von Prism und Tempora als “Überwachungsapparat, den die Welt noch nicht gesehen hat.” Der Fokus auf Tempora oder Prism ist falsch, da es “10.000 solcher Programme gibt” und das Five Eyes Abkommen dazu führt, dass USA, Kanada, UK, Australien und Neuseeland geheimdienstliche Daten austauschen. Für Jacob geht es dabei ganz klar NICHT um Terrorismusbekämpfung. Es kann NICHT demokratisch sein, dass Menschen ins Ziel genommen werden, ohne jemals angeklagt zu sein – diese Programme sind von Natur aus undemokratisch und schaden unseren Demokratien.

Er betont, dass die NSA nicht an EU-Gesetzgebung gebunden ist. Technische Systeme werden ganz bewusst mit unsicher konstruiert, um Überwachung zu ermöglichen.

Fragerunde 1

Nun startet die Diskussion – im Sinne einer Anhörung. (somit eher eine Fragerunde) Um 16.30Uhr startet die Videokonferenz mit Alan Rusbridger (Chefredakteur, The Guardian).

Berichterstatter C. Morales (Sozialdemokraten): Haben auch andere EU Mitgliedsstaaten eine vergleichbare Überwachung zu Frankreich? (@Follorou) Was ist die Zielsetzung bei diesen Überwachungssystemen? (@Appelbaum)

Schattenberichterstatter A. Voss (Konservative): Inwieweit werden jetzige Daten durch die Systeme kombiniert? Gibt es Möglichkeiten zu Überwachen, ohne so stark wie bisher die Privatsphäre der Bürger zu verletzen? Werden die Daten wirklich nur gegen Kriminalität verwendet oder haben sie Beweise, dass die zweckentfremdet genutzt werden? (Anm: Was ist denn mit dem Terror?)

Sophie in’t Veld (Liberale): Wie reagieren Medien und Journalisten auf die Überwachung?

Jan-Phillip Albrecht (Grüne): Was ist die Rechtsgrundlage? Was gibt es für Bedenken? Wurde schon Klage gegen diese Programme erhoben? Programme sind mit EMRK nicht kompatibel – soll die Grundrechtecharta hier Anwendung finden, oder nicht?

Gibt es Zusammenarbeit zwischen diesen Programmen und Diensten anderer Staaten, bspw. XKeyScore? (@jacob) Sammeln tun nicht nur Nachrichten-, sondern Kommunikationsdienste. Weiss man über den rechtlichen Rahmen Bescheid? Gibt es Diskussionen, dass europäische Datenschutzgesetze die Weiterleitung gar nichtzulassen?

Cornelia Ernst (Linke): “Mythos” der inform. Selbstbestimmung ist zusammengebrochen – wie geht man damit um, dass ein Recht ausgebootet wird? Kann man überhaupt noch Pressefreiheit und Quellenschutz gewährleisten? Verändert das journalistische Arbeit? (Anmerkung: Warum der Fokus immer nur auf Journalismus?) Was ist mit parlamentarischer Kontrolle wirklich machbar dagegen? Was muss rechtlich getan werden, um die Überwachungsmaschinerie zu stoppen?

Birgit Sippel (Sozialdemokraten): Jacob sagte, dass auch das Europäische Parlament abgehört wird. In wie weit können wir da überhaupt Aufklärung betreiben? Auch andere Sammlungen (Fluggastdaten…): Werden auch diese Daten mit anderen Daten vermischt und kombiniert?

Judith Sargentini: Gibt es Hinweise darauf, dass die NSA europäische Bürger gehackt haben?

Josef Weidenholzer: Wie bewerten sie die Rolle der Whistleblower in der heutigen Gesellschaft? Was sind die Kosten dieser Überwachungsprogramme.

Héléne Flautre (Grüne): Haben sie Inforamtionen wann und wo die Entscheidungen zur Überwachung getroffen wurden?

Joanna Senyszyn (Sozialdemokraten): Frankreich hat kaum reagiert: liegt es daran, dass Frankreich selbst andere Staaten überwacht und nicht “nur” Ausländer überwacht wurden? In wie weit dient die Überwachung tatsächlich der Terrorismusbekämpfungen oder geht es um den Aufbau eines Überwachungsstaats?

Andrew Brons: Werden Informationen auch genutzt um Personen und Organisationen bewusst zu schaden? Bringen Dienste auch absichtlich gefälschte Informationen in den Umlauf, beispielsweise Massenvernichtungswaffen im Irak? Wie können die Überwachten überhaupt mitkriegen das sie überwacht werden? Wie können wir Gesetze gestalten, damit legitime Überwachung möglich ist aber nicht-legitime Überwachung verhindert wird?

(Anmerkung: Es bleiben fünf Minuten für die 30 Fragen … läuft.)

Rederunde 2: Alan Rusbridger

Video-Konferenz mit Alan Rusbridger, strikt auf 30 Minuten begrenzt. (max 15 Minuten Rede, danach direkte Fragerunde)

Alan Rusbridger (Chefredakteur The Guardian) per Videokonferenz

Geheimdienste überwachen breite Bevölkerung. Auf welche Informationen sol man sich eigentlich in dieser Berichterstattung noch stützen? Überwachungsskandal ist ernsthaftes Problem für Journalismus – wie ist es möglich auf vertrauliche Quellen zurückzugreifen? Bei der Berichterstattung geht es nicht darum ‘Schlagzeilen zu machen’, sondern um Aufklärung. In 90% der Fälle wurde immer zuerst die Regierung informiert, bevor die Story veröffentlicht wurde. Gesetzeslage machen Berichterstattung unmöglich bzw. erschweren sie: Z.B. im Falle Miranda und durch Drohung der britischen Regierung. Deswegen Veröffentlichung durch US amerikanischen The Guardian, da hier die Gesetzeslage für die Presse sicherer ist. Im heutigen Zeitalter muss man als Journalist “das beste” Rechtssystem für die Veröffentlichung zu nutzen.

Eine Zeitung sollte in der Lage sein, über so etwas zu berichten. In der alten Welt trafen bei Spionage zwei Staaten aufeinander und spionierten sich gegenseitig aus. In der heutigen Welt der Partnerschaften werden Masseninformationen gesammelt. Alle, die digitalen Output generieren, werden überwacht. Ohne Informationen darüber ist eine Debatte unmöglich. Zwischen Sicherheit und Privatsphäre, Pressefreiheit und Meinungsfreiheit muss ein Gleichgewicht existieren. Die Debatte hierüber muss jetzt beginnen, auch um die Zustimmung der Menschen zu erhalten. Die Debatte der EU-Kommission ist wichtig. Ingenieure werden den Gesetzen immer voraus sein, daher müssen Parlamente Kontrolle herstellen.

Die wichtigsten Punkte: 1. Verantwortungsbewusster Journalismus, 2. Parlamente müssen Journalismus schützen, 3. Inforamtionen müssen diskutiert werden.

Um 17 Uhr kommen weitere 3 Gäste.

Fragerunde 2

Jetzt Fragen an Alan Rusbridger. (“Wie immer hängen wir unserem Zeitplan hinterher.”)

Claude Moraes (Sozialdemokraten): Der Guardian ist Schlüsselakteur. Wie wirkt sich ihr Handeln auf den Journalismus aus? Wie geht es weiter? Möchten sie weitere Informationen haben oder sollen die Regierungen jetzt handeln?

Axel Voss (CDU): Haben sie nicht das Gefühl, dass die Pressefreiheit Grenzen unterliegt, wo es Belange der Sicherheit betrifft? Hat der Guardian für diese Informationen Geld bezalt?

Sophie in ‘t Veld (Liberale): Werden sie gegen die Regierung klagen wegen der zerstörten Computer? Wieso machen ihre Kollegen in Europa sich nicht so viele Sorgen wie sie? Sind europäische Richtlinien zur Pressefreheit notwendig?

Jan-Philip Albrecht (Grüne): Kann ein System, das eine Pauschalanalyse durchführt, mit Pressefreiheit und Menschenrechten in Einklang gebracht werden kann? Haben sie Vorschläge für eine europäische Gesetzgebung?

Rederunde 3: Alan Rusbridger

Die Auswirkung auf Journalismus werden verheerend sein. Es gibt viele Techniken, um Sand ins Getriebe zu streuen, beispielsweise einstweillige Verfügungen. Auch Whistleblower aus anderen Ländern sind wichtig und willkommen. Aber wenn selbst westliche Whistleblower im Gefängnis landen, wie sollen dann welche aus China, Russland, etc. motiviert werden? Der Guardian geht nicht rechtlich gegen die Regierung vor, da die Zerstörung der Festplatten freiwillig war (um einer einstweiligen Verfügung vorzubeugen).

Warum der Aufschrei in Europa so gering ist: Europa ist ein Flickenteppich. In einigen Ländern gibt es sehr viel Unterstützung. Teilweise gibt es nicht genug Weitsicht von Journalisten, zum Beispiel aufgrund unterschiedlicher Kulturen.

Europäische Sicherheitsvorkehrungen: Der Artikel 10 der Europäischen Menschenrechtskonvention (die Freiheit der Meinungsäußerung) ist auch im britischen Recht umgesetzt. Aber viele Journalisten glauben, dass dieser Artikel 10 nicht gleichtwertig ist mit dem 1. Zusatzartikel zur Verfassung der Vereinigten Staaten zu vergleichen. Durch die Überwachung wird der Journalismus an sich bedroht. Metadaten hören vielleicht harmlos an, sie können dem Journalismus aber sehr gefährlich werden. Damit wird der Quellenschutz viel schwieriger.

Der Journalismus ist die einzige Möglichkeit eine öffentliche Debatte zu führen. Liebe Parlamentarier, bitte schützen sie uns als Journalisten. Liebe Geheimdienst-Kontrolleure, nutzen sie unser Material, um abzugleichen, auf welchem Stand Dienste, Kontrollorgane und öffentliche Debatte tatsächlich sind.

Herr Voss, wir haben niemals für Informationen gezahlt! Wir betreiben verantwortungsvolle Berichtung. Wir unterscheiden zwischen Daten, die eine Gefahr für die innere Sicherheit sein können, und Daten die “normale Bürger” betreffen. Wenn nichts veröffentlicht wird, kann kein Gleichgewicht gefunden werden, dann kann keine Debatte geführt werden.

Es ist gut, wenn wir überhaupt auf Artikel 10 verweisen können. Aber Artikel 10 hat nicht viel Durchschlagskraft, wie auch rechtliche Entscheidungen der letzten Zeit gezeigt haben. Schützen sie den Journalismus!

Rederunde 4: Jacques Follorou (Le Monde)

Ich werde mich auf den französichen Aspekt beschränken. Die Technologisierung begann bereits vor 9/11. Kryptgraphie und Internet waren Schreckgespenste der Geheimdienste. Aus Angst, Informationen zu verpassen, sollte die Entwicklung und Veröffentlichung von Verschlüsselungstechnologien aufgehalten werden. Frankreich wollte autonom sein und deshalb eigene starke Geheimdienste haben.

Metadaten betreffen alle. Metadaten sind wichtiger als die Inhalte von Gesprächen! Wohin gehen Menschen, wann und mit wem Treffen sie sich? Die DGSE (der französische Auslandsnachrichtendienst) macht Metadaten lesbar.

Gelegentlich geht es um Terrorismusbekämpfung. Aber es geht auch um Ermittlungen gegen Personen, die als “gefährlich” gelten, also Journalisten. Anwälte, Politiker, etc. Bei der Informationsweitergabe gibt es keine Kontrollinstanz. Das ist nicht illegal, sondern a-legal – also: gesetzlich nicht geregelt. Die Auffassung der Geheimdienste ist: “Richter haben in Geheimdiensten nichts zu suchen.”

Man möchte eine wichtige Rolle spielen im Kampf gegen den Terrorismus. 9/11 gilt als Totschlagargument zur Ausweitung von technischen Möglichkeiten. Sie betreiben eine geheime Datenbank, aus der sich alle Verbündeten bedienen können. Frankreich ist beispielsweise wichtigster Partner für die Sahelzone.

Snowden hat sich für eine verantungsbewusste Veröffentlichung eingesetzt. Das ist ein legitimer Ansatz. Es ist eine direkte Gefahr für die Pressefreheit vorhanden. Die Überwachung wird auch zu wirtschaftlichen Zwecken durchgeführt. Staaten, in denen Journalisten geschützt werden, werden immer größerem Druck ausgestzt.

Rederunde 5: Gerhard Schmid

Gerhard Schmid ist ehemaliger Europa-Abgeordneter und war 2001 Vorsitzender des Sonderausschusses, der den Bericht über das Abhörsystem Echelon geschrieben hat. Er gibt dem Ausschuss Tipps für seine Arbeit.

Im Unterschied zu Echelon damals müssen PRISM und Tempora heute nicht belegt werden, die Informationen liegen vor und sind öffentlich. Die Begrifflichkeiten der NSA-Folien sind komplex, sie müssen aber dennoch genau verstanden werden. Nehmen sie nicht ungeprüft alles in den Abschlussbericht auf, prüfen sie ihre Quellen, um den Bericht zu stärken.

Die Technologien der Überwachung stammen nicht von Geheimdiensten selbst. Es gibt Firmen, die dieses Produzieren, diese müssen also auch befragt werden. Die NSA hat Überwachungsmaßnahmen an Privatfirmen abgegeben, 70 % des Etats geht an Privatfirmen. Die müssen sie einladen.

Machen sie sich nichts vor: Regierungen werden kein Interesse haben, die Untersuchungen zu unterstützen. Die Regierungen haben uns damals angelogen, vor allem die USA und Großbritannien! Auch nationale Parlamente werden nichts sagen dürfen, oder Schwächen ihrer Arbeit zugeben. Sie mögen es nicht, wenn sich die EU einmischt.

Zur Sicherheit der EU-Institutionen: Staaten haben keine Freunde, Staaten haben Interessen. Schon damals haben wir kritisiert, dass es keine europäische Spionageabwehr gibt. Das Parlament ist eh offen, aber mindestens EU-Kommission und Rat der Europäischen Union brauchen das. Jedes größere Unternehmen besitzt eine eigene Spionageabwehr! Aber die EU-Vertretung in Washington hat keinen abhörsicheren Raum, obwohl wir wissen, dass dort auch unter Freunden spioniert wird.

Eine mögliche Antwort könnte sein, dass nationale Kommunikation national geroutet werden muss. Das kann rechtlich festgeschrieben werden.

Lassen sie sich die Sensibilität von Verbindungsdaten erklären. Machen sie sich auch nichts vor, wenn sie eine Flatrate haben. Metatadaten werden mit der EU-Richtlinie zur Vorratsdatenspeicherung trotzdem gesammelt und sie sind sehr aussagekräftig. Wenn diese Daten schon gespeicher werden, darf das keinesfalls außerhalb des Landes getan werden. Eigentlich würde ich sagen, “nicht außerhalb der EU”, aber dann haben wir ja das Problem mit Großbritannien und dem GCHQ wieder.

Rederunde 5: Jacob Appelbaum

Jetzt kommt Jacob endlich dazu, auf die Fragen vor über einer Stunde zu antworten.

Der Echelon-Bericht war sehr aufschlussreich. Das Thema ist sehr dicht. Es müssen Leute gefragt werden, die nicht in der Politik sind. Der Zweck der Überwachung ist es, Kontrolle auszuüben. Überwachung ist Totalitarismus. Es findet defintiv Wirtschaftsspionage statt! Aber das System dient auch der politischen Verfolgung.

Wenn alle Netzwerke von der Konzeption her unsicher sind, kann keine Balance entstehen. Es findet massive Zusammenarbeit zwischen den Geheimdiensten statt. Alle Nachrichtendiensten arbeiten zusammen, um gegen “uns” zu arbeiten. Manche Systeme sind so programmiert, dass Geheimdienste Zugang zu den Daten bekommen. Jeder Nutzer sollte die Möglichkeiten haben, sich vor der Überwachung zu schützen. Europäische Computer sind defintiv gefährdet, aber auch Kernkraftwerke und Co. SIe, liebe Abgeordnete werden überwacht. Nutzen sie Verschlüsselung!

Es ist derzeit für mich besser, in Berlin ein Einwanderer zu sein, als in den USA ein Bürger zu sein. Obama hält sich nicht an seine Erklärung, Journalisten zu schützen.

Die Datenerhebung gibt es schon sehr lange. Sie hat nichts mit 9/11 zu tun. Das Thema muss von diesem Mythos befreit werden.

Die Diskussion “Privatsphäre vs. Sicherheit” ist eine falsche Diskussion. Bei einem totalen Überwachungsstaat kann man nicht davon reden, dass Daten privat wären. Wir müssen uns schützen.

Großer Applaus und enie Dankesrede vom Ausschuss-Vorsitzenden Juan Fernando López Aguilar für Jacob für seine deutlichen Worte.

Rederunde 6: Carlos Coelho

Jetzt beginnt der zweite Teil der Ausschuss-Sitzung: die “Nachbereitung des Nichtständigen Ausschusses über das Abhörsystem ECHELON”. Carlos Coelho war Vorsitzender des Echelon-Ausschusses:

Die Staaten der “Five Eyes” haben mit Echelon ein globales Kommunikationsüberawchungssystem aufgebaut. Das ging einher mit einem Umbau der Geheimdienste von militärischen zu zivilen Zwecken, inklusive Wirtschaftsspionage.

Was hat sich seit 2000 geändert? Echelon konnte bestimmte Dinge noch nicht ausspionieren. Nach 9-11 und der Solidarität mit den USA waren Beweise für die Zusammenarbeit von Geheimdiensten in der Öffentlichkeit nicht mehr interessant. Der gesamte Blick auf Geheimdienste wurde geändert, die Diskussion wurde erstickt.

Der heutige Überwachungsskandal von NSA und GCHQ ist wie ein Déjà-vu.

Rederunde 6: Duncan Campbell

Duncan Campbell ist Investigativjournalist und Verfasser des STOA-Berichts “Abhörmöglichkeiten 2000“.

Die Abkommen zwischen Geheimdiensten auch vor 9/11 sind bekannt. Damals war der Nachweis einfach, da die Spionage offensichtlicher war (Satelitenschüsseln, Antennen). Heute ist Echelon größer geworden und hat seinen Namen geändert. GLeichzeitig sind sehr viele neue Stationen hinzugekommen, betrieben durch die Five Eyes. Heute sehen wir, wie winzig Echelon ist.

XKeyscore enthält alle Informationen die weltweit gesammelt werden. Weltweit werden Abhöreinrichtungen in Botschaften betrieben. Es werden Glasfaser-Kabel angezapft, wenn auch nicht alle Unterseekabel, aber viele, mit Zustimmung der Unternehmen, oder ohne. Schweden besitzt eine Einrichtung zum Anzapfen von Satelliten. Außerdem haben sie Zugang zu Kabeln, an die die Five Eyes nicht herankommen. Schweden ist wichtiger Partner der Five Eyes.

US-Botschaften in fremden Ländern haben integrierte Spionagestationen. PRISM gehört nicht der NSA. Die NSA ist nur ein Kunde von vielen.

Die Risiken und die Schäden der Überwachung sind durch die massiven Speichersysteme in den letzten Jahren noch gestiegen. Die Analyse des Internet-Verkehrs ist in den letzte Jahren enorm ausgebaut worden, Beispiel Tempora.

Das Überraschenste an der gesamten Geschichte ist die Rechtfertigung für die Überwachung. Die Rechtfertigung ist die automatische Auswertung der Daten durch technische Maschinen. Heute machen das keine Menschen mehr, sondern Computer. Aber das macht die Überwachung doch nicht weniger.

Edward Snowden gebührt unser Dank, ohne ihn wüssten wir das alles nicht so genau. Das beste, was Europa jetzt tun kann, ist Edward Snowden Asyl zu gewähren.

Fragerunde 3: Schattenberichterstatter

(Kurzer Test: Liest das überhaupt jemand?)

Sophie in ‘t Veld (Liberale): Danke für diesen Vortrag, der Anlass zu Depressionen lieferte!

Axel Voss: Was sind rechtliche Fragen beim Echelonbericht, gibt es keine Änderung zu heute?

Jan-Philip Albrecht: Ich hoffe, dass all diese Informationen von allen Bürgern wahr genommen werden! Welche Staaten haben Zugriff auf XKeyscore? Wie hängen PRISM und Echelon zusammen?

Cornelia Ernst (Linke): Ganz schön depriminerende, am Ende eines Tages. Was geben sie den Abgeordneten mit, wie wir vorgehen sollen?

Rederunde 7

Duncan Campbell:

Der Input für XKeyscore kommt auch aus dem Echelon-Systemen. XKeyscore ist ein amerikanisches System, die Verfügbarkeit von XKeyscore in Ländern ausserhalb von den Five Eyes sind nicht bewiesen. (Anmerkung: Doch, für Deutschland schon). Vermuten kann man allerdings, dass mindestens Schweden, Israel und Frankreich Zugriff auf die Daten haben. Potentiell könnten 30 Staaten Zugriff auf die XKeyscore-Daten haben.

Carlos Coelho:

Was wir tun können? Die USA sollen die Völkerrechtskonvention unterschreiben. Wir können den Mund auf machen! Wir können Empfehlungen abgeben! Die meisten Empfehlungen des Echelonberichts haben immer noch Gültigkeit.

Abschlussrunde

Claude Morae (Sozialdemokraten): Das ist die erste Untersuchung ,die wir angestellt haben. In den nächsten vier Monaten werden wir viel schaffen, wenn wir daran anknüpfen, was wir heute geschafft haben.

An dieser Stelle ist der Stream bei uns im Büro abgebrochen. Nach dreieinhalb Stunden reicht’s aber auch. Wenn unser Mitschnitt was geworden ist, werden wir den noch hochladen und ergänzen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 19 2013

Jung & Naiv – Folge 73: Eure Fragen an Jacob Appelbaum

Nachdem mich Jacob Appelbaum in Folge 71 und 72 mit erschreckenden Neuigkeiten über unsere Regierungen und ihre geheimen Machenschaften konfrontierte, hatte ich gehofft, im dritten und letzten Teil der jungundnaiven Big-Brother-Trilogie über angenehmere Dinge reden zu können. Schließlich standen Eure Fragen an Appelbaum auf dem Programm. Doch irgendwie sollte sich auch in Folge 73 so ziemlich alles um Überwachung, Big Brother und Big Daddy Data drehen. Komisch.

Ihr wolltet von Jacob Appelbaum wissen (eingesammelt via FB und Twitter):

“Wie erkläre ich meinen Eltern, dass Internetüberwachung doof ist?”

“Does the NSA try to hack into Tor servers? Is it true that NSA holds
on to encrypted info for longer than regular communications?”

“Is China better at surveillance or is the US? i.e, are Americans
better off using Chinese social media, than say Facebook?”

“In the future, what will state surveillance mean for the ‘internet of
things’ – ie., will doors literally be closed to people?”

“A judge just granted Chevron access to the identities and IPs of
activists that protest them. Will we see more of this?”

“How do you see the future of “big data”? Is it an opportunity, or
simply a risk for all of us?”

“do you think that it’s principally compatible with constitutionality
when a state has a secret service?”

“what do you think of the term ‘digital self defense’ and its
implications?”

“Is he scared to return to the US, after his stay in Germany with all
his revelations and the media coverage of his activities? What will
happen when he returns to the US? What does he expect? What’s going to
happen at the border? How long does he plan to stay in Germany?”

“Wieso trifft sich Snowden mit Human Rights Watch?”

“considering the cases of snowden, manning but also michael hastings
and barrett brown – is obama at war with journalism? how can
investigative journalism be secured in the US?”

“Why is the Patriot Act not patriotic? What’s a patriot?”

“ask @ioerror what he thinks about a world with no secrets and a
complete transparent society?”

“Everyone is talking about the U.S. and UK surveillance programs which
they use against their European partners. Is he aware of any activities
from European countries against the U.S. or between European “partners”?
Does he or Snowden have any information about that?”

“Is there any bigger response aboout PRISM & Co. in the USA? Why not?”

“Given that the majority of people worldwide is against the methods of
NSA – is it possible to form a worldwide alliance against surveillance?”

Wer die ganz normalen “Jung & Naiv”-Folgen mit Jacob verpasst hat:

http://www.youtube.com/watch?v=ox_SUlzcJMs

http://www.youtube.com/watch?v=GbGwBuFjo9k

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 16 2013

Jung & Naiv – Folge 72: The Architecture of Big Brother – Jacob Appelbaum

Nachdem mir Jacob Appelbaum in Folge 71 erklärt hat, warum der Überwachungsstaat dann doch keine so tolle Idee ist, wollte ich nun mehr von ihm wissen:

Was hat ein gewisser Edward Snowden da nun eigentlich ans Licht gebracht? Muss ich ihm dankbar sein, dass ich unseren Regierungen nun noch weniger trauen kann? Wie sieht die Architektur hinter “Big Brother” aus? Warum ist es wichtig, sowas zu wissen? Wieso vergleichen sehr viele die heutige Zeit mit der Stasi? Und sollten wir unsere Politiker nicht verstehen, wenn sie bei diesen Problemen einfach nix machen können?

Ich habe mich für diese offenen, naiven Fragen mit Jacob Appelbaum erneut eine halbe Stunde hingesetzt. Jacob ist Kryptographie-Experte und hat letztens gerade einen gewissen Edward Snowden interviewt. Er schien also Ahnung zu haben.

Kernaussagen von Jacob:

“The Foreign Intelligence Surveillance Court actually redefined the word ‘relevant’, such, that it does not mean anything that is a common understanding of the word relevant.”

“When someone says, ‘it’s not like the Stasi’, but then they basically support drone operations that killed women and children, innocent people, people who don’t even have a trial, who are killed because of a data trail [..] And when they shoot them twice, so-called ‘double-tap’, that’s a war crime. And the surveillance data ties into those actions. There is a direct connection between them, because the surveillance data is used for targeting, and targeting is the first step in identification for murder, which is a war crime in this case, especially with double-tapped drone
strikes. It’s especially a war crime when it’s women and children, who are completely innocent in a sovereign nation, being killed by another sovereign nation.”

“The things that we have questions about are not, whether or not it’s happening – that’s undeniable. Now the question is, how is it legal, lawful and proportionate to spy on Germany. Germany is the most spyed-upon nation in Europe.”

“When your [Interior] Minister just was in the U.S., I guess most of the oppositional parties were not very pleased with what he said, which was effectively nothing [...] The point is, that if he did say something, it would be relevant, because it is not the German government that decides about the people’s data, it is the American government who decides, because they have the data, and they do whatever they want with it.”

“As a person with last name of Appelbaum, in Germany I’m very sensitive to this notion that I want to choose when someone learns about my background, and about my history. And I am robbed of that choice when these systems record everything about me, all of my associations, and someone else gets to ask the database and not me about my history.”

“There exists a concept that’s called ‘The data doubleganger’, and this is essentially the data shadow you leave behind. And the thing is, at some point it becomes more you than you. Someone looks at you and they say – oh you’re very radical politically. But, you’re not. You just happen to read very broadly across many different spectrums.”

“When it is [done in] secret, then it is not consensual, because we cannot have a democracy without a well-informed people. Therefore it is clear, that when it is secret, it is not as consensual as it would be, would it be done in the open.”

“So, part of what Snowden has revealed to us, is exactly that huge problem that there is a disconnect between what we believe is happening, and what is possible, and what is actually taking place, and why its is taking place, and who is doing it.”

“What Snowden has shown us, Manning has shown us as well. Manning has shown us the data that has been set, while Snowden has shown us the architecture. The result has always been open for us to see, and so, now the important part is that we have the information to change these things.”

“Fundamentally, we can make it so that dragnet surveillance is worthless by using strong cryptography and mathematics. We can change the political ramifications, so that we can say ‘no’ to torture, we can say ‘no’ to targeted assassinations, we can say ‘no’ to drone strikes, we can say ‘no’ to ‘Zersetzung’-like techniques, infiltration, secret police, intelligence agencies that are massively overfunded.”

“Instead of playing the spying game, like everyone seems to be doing, we should actually secure our communications. This is a radical concept.”

“So, when you hear about things like CISPA, SOPA, PIPA and ACTA – what you hear is people trying to expand authoritarian control, where they can watch, where they can monitor, where they can interfere.”

“But if we want to actually secure the internet, we should make it, so that when you make a phone call, no one can monitor it without you detecting it, and when you detect it, you should have a trail that allows you to understand, who has ordered this, where has it occurred, and what the consequences are. This ensures a kind of accountability.”

“It would be preposterous to hear German politicians saying, there is nothing to be done about atomic weapons, or landmines, or cluster bombs. That’s ridiculous. Adults are talking.”

“When politicians say there’s no solution, we have to push back, and say: ‘No, no – let’s actually secure our communications, let’s secure our communications metadata, let’s make sure that if you want to wiretap a terrorist, you use exceptional means through a judicial process. Not, for example, everyone being kept insecure so that anybody can do this.”

“I think Germany should not tolerate, in an election cycle, this kind of dialogue. It’s a preposterous thing to say, there’s nothing to be done. And in fact, Germany knows exactly what is to be done. It’s election time, right? So, when people say, they don’t want to talk about these things, kick them out.”

“And when someone says, ‘it’s not like the Stasi’, but then they basically support drone operations that killed women and children, innocent people, people who don’t even have a trial, who are killed because of a data trail [..] And when they shoot them twice, so-called ‘double-tap’, that’s a war crime. And the surveillance data ties into those actions. There is a direct connection between them, because the surveillance data is used for targeting, and targeting is the first step in identification for murder, which is a war crime in this case, especially with double-tapped drone strikes. It’s especially a war crime when it’s women and children, who are completely innocent in a sovereign nation, being killed by another sovereign nation.”

“The German people have, I think, the opportunity now to ask Merkel and other people reasonable questions, that will show their true character about these topics which range from spying on the German people, and national sovereignty to political assassination and murder. Those are all completely unreasonable things to be engaged in, especially at planetary scale.”

Morgen dann Teil 3 mit Euren Fragen.

“Jung & Naiv” steckt in der Beta-Phase. Der erste Anteil vom Crowdfunding ist investiert und wir probieren uns ab sofort aus: Wie und welche Technik muss und kann sein? Gefallen euch die ersten Neuerungen, das Intro, der Theme Song? Feedback? Sharing? Abonnieren? Yes, please!
www.jungundnaiv.de

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

May 21 2013

Staatstrojaner für Mac: Aktivist aus Angola mit Spyware überwacht, die weltweit zur Spionage eingesetzt wird

KITM_screenshot_dump_folderDer Apple-Rechner eines Anti-Korruptions-Aktivisten aus Angola wurde mit einem Staatstrojaner infiziert, der Screenshots an die Angreifer verschickt hat. Das hat der Sicherheitsforscher Jacob Appelbaum letzte Woche entdeckt. Laut einer Sicherheits-Firma ist die Malware Teil eines größeren digitalen Spionage-Netzes, das auch Ziele in Deutschland infiziert hat.

Letzte Woche fand das Oslo Freedom Forum statt, eine Konferenz, auf der hunderte “Dissidenten, Innovatoren, Journalisten, Philanthropen und Politiker” diskutieren, wie man am besten “autoritäre Regime herausfordern und freie und offene Gesellschaften fördern kann”. Einer der Gäste war Rafael Marques de Morais, der sich in Angola gegen Korruption einsetzt. In einem Workshop, wie man seine Geräte gegen staatliche Überwachung schützen kann, entdeckte der Aktivist Jacob Appelbaum auf dessen Computer eine neue Überwachungs-Software.

De Morais nutzt einen Apple-Laptop mit OS X und verwendet die Anonymisierungs-Software Tor. Am 8. April erhielt er eine E-Mail mit einem infizierten Dateianhang. Beim Öffnen installierte sich eine eher einfache Spyware, die mit einer validen Apple Developer ID signiert war. Die Spähsoftware machte regelmäßig Screenshots vom Rechner und schickte die an Server in den Niederlanden.

Mit diesen Screenshots lassen sich unter anderem Dokumente, Skype-Chats und E-Mails des Überwachten mitlesen, wie Jacob in einem Video erläutert:

Zeitgleich mit dieser Entdeckung veröffentlichte die IT-Security Firma Norman Shark einen Bericht über Spyware aus Indien. Die norwegische Telefongesellschaft Telenor wurde ebenfalls mit der “Spear Phishing” Methode angegriffen und ausgespäht. Bei der Untersuchung des Angriffs stellte sich heraus, dass Telenor nur eines von vielen Zielen in einem größeren Angriffsnetzwerk ist. Zunächst wurden demnach Ziele “von nationalem Interesse”, wie in Pakistan, überwacht. In den letzten Jahren widmeten sich die Angreifer/innen auch Zielen zur Industrie-Spionage.

Bei genauerer Untersuchung stellte sich heraus, dass der Angriff auf den Laptop von Rafael Marques de Morais mit der selben Infrastruktur durchgeführt wurde, wie die Spionage made in Indien. Eine weitere Spähsoftware wurde von der selben Apple Developer ID signiert. Die Ziele waren nicht wenige:

We do not know all countries affected by attacks from the Hangover group, but we have seen indicators from countries Norway, Pakistan, US, Iran, China, Taiwan, Thailand, Jordan, Indonesia, UK, Germany, Austria, Poland, Romania and more – and the activist in Oslo Freedom Forum was reportedly from Angola.

Dieser Fall zeigt erneut, dass es gegen Spähsofwtare keinen ausreichenden technischen Schutz gibt. Mit genug Aufwand wird jedes Computersystem zur Wanze. Umso wichtiger ist es, Staatstrojaner politisch zu verhindern und bekämpfen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

August 09 2012

Gamma FinFisher: Neue Analyse des Staatstrojaners deutet auf weitere Kunden hin

Der Spionage-Software FinFisher wird möglicherweise auch in Dubai, Katar, Mongolei und Indonesien eingesetzt. Das geht aus weiteren Analysen des vor zwei Wochen enttarnten Staatstrojaners hervor. Auch in Europa wurden Server entdeckt, die möglicherweise als Kommandozentralen für die Software der deutsch-britischen Firma Gamma International dienen.

Vor zwei Wochen haben Aktivisten vom Citizen Lab die Analyse eines Trojaners veröffentlicht, den sie für das Produkt FinFisher der Firma Gamma International halten. Die Computerwanze sollte weltweit Computer bahrainischer Aktivisten infizieren und ausspähen.

Ursprüngliche Analyse bestätigt

Jetzt hat ein zweites Forscher-Team eine Analyse der Software veröffentlicht. Als Grundlage dienten ihnen vier infizierte Dateien, die auch netzpolitik.org vorliegen. Die Gruppe um Claudio Guarnieri und Jacob Appelbaum bestätigt in weiten Teilen die Ergebnisse des Citizen Lab, wie die Malware den Zielrechner infiziert und sich einnistet. Wird die vermeintliche Bild-Datei auf dem Zielrechner geöffnet, kopiert sich der Trojaner in einen System-Ordner und injiziert nach einem Neustart seinen Schadcode direkt in Systemprozesse. So kann sich die Netzwerk-Kommunikation des Trojaners in einem Prozess des Internet Explorers verstecken, der oft leicht durch Firewalls kommt.

Das Team ist sich ziemlich sicher, dass es sich tatsächlich um FinFisher handelt. Neben dem bekannten String “finspyv4.01″ in einem Ordner-Namen hat man die Strings “finfisher” und “finfisher.lnk” entdeckt. Im Vergleich mit der offiziellen Demo-Version von FinFisher sind viele Gemeinsamkeiten im Ablauf des Programms: die aggressive Präsenz auf dem System, die Prozesskette und der Netzwerk-Verkehr. Anhand der Kommunikationsmuster stellt das Team zwei Regeln für das Angrifferkennungssystem Snort zur Verfügung, um die bekannten FinFisher Infektionen im eigenen Netz zu erkennen.

Server auf fünf Kontinenten

Auch Guarnieri und Co. ist aufgefallen, dass der vom Citizen Lab enttarnte Kommando-Server in Bahrain auf HTTP-Anfragen mit dem String “Hallo Steffi” antwortet. Eine Abfrage diese Musters in der Datenbank des Projekts Critical.IO offenbarte elf weitere Server, die dieses Verhalten zeigten. Diese befinden sich in Äthiopien, Australien, Estland, Indonesien, Katar, Lettland, Mongolei, Tschechien (zwei mal), USA und den Vereinigten Arabischen Emiraten. Die Standorte auf einer Google Karte visualisiert:

Ob diese Server tatsächlich von staatlichen Behörden in diesen Ländern verwendet werden, kann derzeit nicht abschließend bewertet werden. Zunächst haben sie nur alle den ominösen String “Hallo Steffi” geantwortet (Update: Und auf ähnlichen Port-Kombinationen gelauscht). Mittlerweile tun sie das nicht mehr, was auf ein Update nach dem Bekanntwerden hindeuten könnte. Der Chef der Gamma International GmbH in München, Martin J. Münch behauptet gegenüber dem Bloomberg-Journalisten Vernon Silver, dass Dritte die FinSpy-Server nicht durch Netzwerk-Scans erkennen könnten, weil sie “mit Firewalls geschützt sind”.

Auf Nachfrage von Bloomberg haben Institutionen der meisten Staaten geantwortet, dass man von einer FinFisher-Nutzung im eigenen Land nichts wisse. Das indonesische Kommunikations- und IT-Ministerium meinte, dass der Einsatz solcher Software Datenschutzgesetze und Menschenrechte des Inselstaates verletzen würde. Andere Länder haben nicht geantwortet, beim amerikanischen FBI hieß es: “kein Kommentar”.

Gamma streitet ab – unglaubwürdig

Auf Anfrage von netzpolitik.org wollte auch Gamma keine Stellung beziehen, der versprochene Rückruf von Martin J. Münch blieb aus. Stattdessen verweist man auf die Firmen-Policy, keine Auskunft über seine Kunden zu geben. Eine Ausnahme machte man für Bloomberg, als Geschäfte mit Bahrain bestritten wurden. Auch sei der untersuchte Trojaner wahrscheinlich keine der aktuell verkauften Versionen von FinSpy. Viel wahrscheinlicher sei es, dass jemand die Demo-Version der Software entwendet und modifiziert hat, so Münch weiter.

Ein von netzpolitik.org befragter IT-Security-Forscher hält das für eine Ausrede:

Da hat Gamma jemand diese Malware geklaut, und – obwohl sie gegen Debugging und Analyse geschützt ist – den angeblichen Call-Home raus gepatcht, dann in zig Ländern selbstentwickelte Command-and-Control Server aufgebaut, die sich mit ‘Hallo Steffi’ melden? Das ist bestimmt nicht so.

Die genaue Rolle dieser elf Server wird Gegenstand weiterer Untersuchungen sein. Zwar haben die infizierten Rechner der bahrainischen FinSpy-Versionen die Überwachungsdaten an den ursprünglichen “Hallo Steffi”-Server in Bahrain geschickt. Das könnte jedoch auch nur ein Proxy-Server sein, wie ihn auch deutsche Behörden bei ihrem Einsatz des DigiTask-Trojaners eingesetzt haben. Die eigentlichen Empfänger könnten überall sitzen. Fragt sich nur wie wahrscheinlich ein Proxy in Äthopien ist, ein Land mit sehr langsamen und zensiertem Internet.

Jede Art von Malware bekämpfen

Die neue Analyse beunruhigt die Forscher. Obwohl sie die Infektionskette als schwach bezeichnen, ist die Spionage-Software insgesamt ziemlich komplex und gut geschützt bzw. verschleiert. Zwar werden die bekannten Exemplare mittlerweile von Antiviren-Programmen erkannt, aber natürlich reagieren die Hersteller auch darauf mit Anpassungen.

Keine Malware kann langfristig unter Kontrolle gehalten werden, früher oder später wird jede Schadsoftware für bösartige Zwecke genutzt, so die Forscher. Verbreitung, Produktion und Erwerb von Malware müssen verhindert und bekämpft werden. Wenn Gamma behauptet, sich an die Exportrichtlinien von Deutschland, Großbritannien und den USA zu halten, dann sind diese Teil des Problems.

Stattdessen testet auch das Bundeskriminalamt FinFisher als neuen Staatstrojaner für Deutschland.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl