Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 27 2014

February 03 2014

Im Ernst: Polizeien der EU-Mitgliedstaaten sollen Vorratsdaten des belgischen Finanzdienstleisters SWIFT beim US-Finanzministerium abfragen

SWIFT-Bank3Im vergangenen Herbst hatte die EU-Kommission ihre Berichte zum “Terrorist Finance Tracking System” (TFTS) bzw. dem “Terrorist Finance Tracking Program” (TFTP) vorgelegt. Das TFTP ist eher bekannt unter dem Begriff “SWIFT-Abkommen”: Seit 2010 existiert der erneuerte Vertrag zum transatlantischen Datentausch von Finanzdaten des belgischen Finanzdienstleisters SWIFT. Das US-Finanzministerium erhält auf Anfrage Informationen über internationale Finanztransaktionen, Stammdaten, Post- oder Mailadressen der KontoinhaberInnen oder deren Telefonnummern. Diese können dann zur Suche in weitere Vorratsdatenspeicherungen genutzt werden.

Reformistische GegnerInnen des EU-US-Abkommens forderten damals als Alternative die Errichtung eines gleichlautenden EU-Systems, das TFTS. Nach dem NSA-Skandal hatten andere KritikerInnen gefordert, das bestehende TFTP aufzukündigen. Auch das EU-Parlament stellte sich monatelang quer, linke und grüne Abgeordnete konnten immerhin einige Firewalls hineinverhandeln. Beschlossen wurde, nach drei Jahren Laufzeit zu prüfen, ob die EU eine eigene Finanzdatensammlung einrichten könnte. Dies allerdings mit dem klaren Ziel, dass US-Behörden weiterhin auf die Daten zugreifen können.

Die EU-Kommission kommt nun zu dem Schluss, dass ein neues, europäisches System zur Analyse von Finanzdaten keinen Mehrwert habe. Auch der Datenschutz könne nicht ohne größere Anstrengungen gewährleistet werden. Außerdem sei es in den USA gar nicht so schlecht darum bestellt. Allen Ernstes heißt es:

The extraction of the data on European soil instead of in the U.S. would not guarantee better protection of personal data per se.

Also sollen die Polizeien der EU-Mitgliedstaaten ihre Abfragen von Finanzdaten der belgischen Firma SWIFT lieber weiterhin über die USA ausführen. Über die Notwendigkeit der einzelnen US-Anfragen entscheidet übrigens die EU-Polizeiagentur Europol, die dafür eine eigene Abteilung eingerichtet hat. Pikant: Ein anderes Department von Europol fragt selbst immer häufiger Finanzdaten beim US-Finanzministerium ab.

Im Frühjahr soll das SWIFT-Abkommen erneut geprüft werden. Ende Februar wird über die Notwendigkeit des EU-Finanzdatensystems TFTS weiter beraten.

Zeitgleich zu den Papieren über das TFTP bzw. ein mögliches europäisches TFTS hatte die Kommission die Mitteilung “Wiederherstellung des Vertrauens beim Datenaustausch zwischen der EU und den USA” herausgegeben. Der “Datenaustausch zu Zwecken der Strafverfolgung” wurde dort ausgesprochen gelobt, die bestehenden Abkommen mit den USA als “wertvolle Instrumente im Umgang mit gemeinsamen Sicherheitsbedrohungen durch schwere grenzüberschreitende Kriminalität und Terrorismus” bezeichnet.

Weder das Abkommen zum Tausch von Passagierdaten noch zum Tausch von Finanzdaten sei laut der Kommission von US-Geheimdiensten missbraucht worden – jedenfalls hätten sich hierzu “keinerlei Hinweise” ergeben. Die Kommission gab sich brav mit der Zusicherung der USA zufrieden, dass “keine direkte Datensammlung, mit der gegen das Abkommen verstoßen worden wäre, erfolgt sei”.

Die Mitteilung enthält auch einen Passus, der die Begehrlichkeiten einer europäischen Schengen-Cloud nochmal ganz neu erklärt. Es geht um Big Data im Kapitalismus:

Der Wert personenbezogener Daten hat zugenommen: Im Jahr 2011 wurden die Daten von EU-Bürgern auf einen Wert von 315 Mrd. EUR geschätzt, und es ist von einem jährlichen Anstieg auf nahezu 1 Bio. EUR bis 2020 auszugehen. Der Markt für die Analyse sehr großer Datensätze steigt jährlich weltweit um 40%. Gleichzeitig ist mit der technologischen Entwicklung beispielsweise im Bereich des Cloud-Computings der internationale Datentransfer in den Mittelpunkt der Aufmerksamkeit gerückt, weil grenzüberschreitende Datenströme aus der alltäglichen Realität nicht mehr wegzudenken sind.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

September 27 2013

Vorratsdatenspeicherung: Europäische Behörden fragen immer öfter Vorratsdaten ab – millionenfach

Europäische Strafverfolgungsbehörden und “Bedarfsträger” fragen immer öfters nach Kommunikationsdaten der Vorratsdatenspeicherung – mehr als vier Millionen mal im letzten Jahr. Das geht aus Statistiken der Mitgliedstaaten hervor, die die EU-Kommission veröffentlicht hat. Unterdessen nimmt die neue “Expertengruppe” der Kommission ihre Arbeit auf – hinterfragt die Massenüberwachung jedoch nicht.

Im September berichteten wir über ein Papier der EU-Kommission, dass “Beweise für Notwendigkeit” der Vorratsdatenspeicherung präsentieren will, diesem Anspruch aber nicht gerecht wird. Die Basis dafür sind Fälle und Zahlen der Mitgliedsstaaten, die der Kommission jährlich Bericht erstatten müssen, wie oft sie auf die Daten der anlasslosen Massenüberwachung zugreifen wollen. Jetzt hat die Kommission die gelieferten Statistiken von 2008 bis 2012 veröffentlicht. Daraus ergeben sich folgende Zahlen:

Jahr 2008 2009 2010 2011 2012 Staaten 17 15 17 13 10 Anzahl 1.566.733 2.341.837 2.952.422 2.179.459 1.941.974 Hochrechnung  1.631.756  2.820.261  3.575.793  4.348.074  4.406.956 

 

Alle sieben Sekunden eine Abfrage von Vorratsdaten

Leider haben nicht alle Staaten alle Zahlen geliefert. Daher haben wir die gelieferten Zahlen mit der Anzahl der Länder mal hochgerechnet. (Vielen Dank an Michael Kreil für Interpolation, Extrapolation und Grafik!) Das ist nicht gerade wissenschaftlich, sollte aber für einen groben Überblick ausreichen. Damit ergibt sich folgendes Bild:

vds-zugriffe-2008-2012-590

Mehr als vier Millionen Anfragen nach Vorratsdaten. Eine Abfrage alle sieben Sekunden. Und jede einzelne Anfrage betrifft unter Umständen mehrere Personen. Bis zu hunderttausende Menschen, wie das Beispiel Funkzellenabfrage zeigt. Das belegt, dass die ursprünglich mit dem internationalen Terrorismus begründete Maßnahme genau das ist, was wir immer kritisiert haben: eine anlasslose Massenüberwachung der gesamten Bevölkerung.

Expertengruppe will Richtlinie “effektiv und effizient” umsetzen

Unterdessen nimmt die neue “Expertengruppe” zur Vorratsdatenspeicherung ihre Arbeit auf. Am 10. Oktober findet das erste Arbeitstreffen in Brüssel statt, davon gibt es jetzt eine Tagesordnung, eine Verfahrensordnung und ein Arbeitsprogramm. Wir haben bereits im April kritisiert, dass sich die ausgewählten Experten “für die effektive, effiziente Umsetzung der Richtlinie” einsetzen müssen. Diese Formulierung findet sich auch so im neuen Arbeitsprogramm wieder.

Relevante Themen der Arbeitsgruppe werden sein:

  1. Speicherpflicht: Müssen alle gewerblichen Anbieter von Telekommunikationsdiensten speichern, oder kann es Ausnahmen für kleine und mittlere Unternehmen geben?
  2. Datenzugriff: Was sind Ansprechpartner und Prozesse für Datenzugriff? Müssen die ETSI-Standards eingehalten werden?
  3. Datentypen: Da öffentliche IPv4-Adressen ausgehen: Muss auch Carrier-grade NAT (etwa bei Mobilfunknetzen) gespeichert werden?
  4. Speicherfrist: Müssen übermittelte Daten länger gespeichert werden?
  5. Datenschutz- und Sicherheit: Dürfen die Daten in Drittstaaten gespeichert werden? Dürfen Abrechnungs- und Vorratsdaten zusammen gespeichert werden?
  6. Funkzellenabfrage: Wie oft finden Funkzellenabfragen statt? Was ist die Verbindung zur Vorratsdatenspeicherung?
  7. Statistik: Weniger als die Hälfte der Mitgliedsstaaten hat die angeforderten Statistiken übermittelt.
  8. Datenaustausch: Die Hälfte aller Europol-Anfragen nach Ermittlungsdaten an Mitgliedsstaaten sind Kommunikationsdaten. Die sind oft uneinheitlich und ineffizient.

(Auf den Punkt “Funkzellenabfrage” sind wir ein bisschen stolz, da wir Hinter den Kulissen innerhalb der Europäischen Kommission das Thema auf die Tagesordnung und damit auch in das Arbeitsprogramm gebracht haben.)

Zwei Jahre soll die Expertengruppe jetzt darüber beraten. Am Ende soll ein “Handbuch” veröffentlicht werden, das “praktische, unverbindliche Informationen und Leitlinien für Anbieter und Behörden” über die anlasslose Massenüberwachung enthält. Eine grundsätzliche Hinterfragung von Notwendigkeit und Verhältnismäßigkeit findet leider nicht statt.

Anlasslose Massenüberwachung abschaffen

Für netzpolitik.org und Digitale Gesellschaft bleibt weiterhin klar:

Die zukünftige Bundesregierung sollte sich für eine Aufhebung der Europäischen Richtlinie zur Vorratsdatenspeicherung einsetzen. Dazu sind politische Vorstöße in den EU-Gremien ebenso geboten wie ein juristisches Vorgehen gegen die bestehende Richtlinie. Der Digitale Gesellschaft e.V. befürwortet die Erhebung einer Nichtigkeitsklage gegen die Richtlinie.

Unterdessen steht das Urteil des Europäischen Gerichtshofs aus, ob die EU-Richtlinie zur Vorratsdatenspeicherung überhaupt mit den mit den Grundrechten vereinbar ist. Vorher darf es keine Umsetzung in Deutschland geben!

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

September 12 2013

Vorratsdatenspeicherung: EU-Kommission legt “Beweise für Notwendigkeit” vor, beweist aber die Notwendigkeit nicht

EU-Innen-Kommissarin Cecilia Malmström. Bild: Ausschuss der Regionen. Lizenz: Creative Commons BY-NC-SA 2.0.

EU-Innen-Kommissarin Cecilia Malmström. Bild: Ausschuss der Regionen. Lizenz: Creative Commons BY-NC-SA 2.0.

Es gibt keinen statistischen Nachweis für die Wirksamkeit der Vorratsdatenspeicherung. Das geht aus einem Papier der Europäischen Kommission hervor, das eigentlich angetreten war, die Notwendigkeit zu beweisen. Bei genauerer Betrachtung bestätigt das Papier eher Kritiker der anlasslosen Massenüberwachung sämtlicher Kommunikation in Europa.

In der EU-Richtlinie zur Voratsdatenspeicherung steht unter anderem, dass die Mitgliedstaaten der EU-Kommission “jährlich eine Statistik” übermitteln sollen, wie viele Daten weitergegen wurden, wie lange die Behörden für Anfragen gebraucht haben und wie viele Anfrage ergebnislos waren. Unter anderem auf Basis dieser Daten hat die Kommission vor zwei Jahren einen Bewertungsbericht herausgegeben – der von Digital Rights Gruppen wie EDRi mit einem Schattenbericht gekontert wurde.

Jetzt hat die Kommission wieder ein Papier vorgelegt, diesmal mit dem großspurigen Titel “Beweise für die Notwendigkeit der Vorratsdatenspeicherung in der EU“. Doch auch diesmal kann die Kommission nicht beweisen, dass die anlasslose Massenüberwachung sämtlicher Kommunikation notwendig und verhältnismäßig ist, wie es europäisches Recht für Grundrechtseingriffe eigentlich vorschreibt. Sondern es werden wieder nur ein paar Einzelfälle aufgelistet, in denen Mitgliedstaaten behaupten, dass die Vorratsdatenspeicherung “hilfreich” war.

Bei genauerer Betrachtung kann das Papier der Kommission aber auch das Gegenteil bestätigen – und mit ein paar Mythen aufräumen, die Befürworter immer anbringen.

Vorratsdatenspeicherung geht über Rechnungsdaten hinaus

Ein verbreiteter Mythos über die Vorratsdatenspeicherung ist, dass die Daten ohnehin für Rechnungszwecke gespeichert werden. Dem entgegnet die Kommission:

Laut Datenschutzbehörden und Betreibern haben bestimmte Daten nur wenig geschäftlichen Wert und werden nur gespeichert, weil die Vorratsdatenspeicherung es vorschreibt. Dazu gehören:

  1. Verkehrsdaten von Festnetz- und Mobil-Anschlüssen mit Flatrates oder Prepaid-Tarifen
  2. Telefonnummer des Anrufers bei eingehenden Anrufen
  3. erfolglose Anrufversuche
  4. IP-Adressen
  5. Cell-IDs (also den Aufenthaltsort von Mobiltelefonen) und
  6. E-Mail Daten.

Registrierung von SIM-Karten hilft nicht bei Strafverfolgung

Auch der Identifizierungszwang für Handykarten hilft laut EU-Kommission nicht gegen Straftaten:

In Deutschland stieg die Anzahl der privaten Internet-Nutzer solcher Flatrate-Tarife von 18% im Jahr 2005 auf 87% im Jahr 2009. Der Anteil der Nutzer von Prepaid-Diensten schwankt in der EU zwischen etwa 20% in Finnland bis zu 80% in Portugal. Einige Mitgliedstaaten (Bulgarien, Dänemark, Griechenland, Italien, Slowakei und Spanien) verlangen eine Registrierung aller Prepaid-SIM-Karten, obwohl es keine Beweise für die Wirksamkeit dieser Maßnahme für die Strafverfolgung gibt.

In jeder zehnten Ermittlung eine Vorratsdaten-Abfrage

Die übermittelten Statistiken der EU-Staaten zeigen, wie häufig die ursprünglich mit Terrorismus begründete Vorratsdatenspeicherung tatsächlich verwendet wird:

Anscheinend werden mehr als zwei Millionen Zugriffe auf Vorratsdaten pro Jahr vorgenommen. Das entspricht etwa zwei Abfragen für jeden Polizeibeamten in der EU oder 11 Abfragen auf 100 aufgezeichneten Verbrechen.

Es scheint, dass es mehr als zwei Millionen Zugriffe pro Jahr auf Vorrat gespeicherten Daten, das entspricht etwa zwei Anträge für jeden Polizeibeamten in der EU oder 11 Anfragen für alle 100 aufgenommen Straftaten. Die Anzahl der Anfragen variiert stark zwischen den Mitgliedstaaten. Einige Mitgliedstaaten (Frankreich, Polen und Großbritannien) behaupten, dass Kommunikationsdaten für die meisten strafrechtlichen Ermittlungen erforderlich sind. Großbritannien behauptet, dass für einen “durchschnittlichen” Mordfall zwischen 500 und 1.000 Anfragen nach Vorratsdaten zustande kommen.

Nützlich vielleicht, notwendig und verhältnismäßig nicht

Nach diesen quantitativen Daten stehen in dem Dokument auch qualitative Daten. Diese bestehen aus einer Liste von Einzelfällen, in denen Ermittlungsbehörden die Vorratsdaten für hilfreich hielten. Für Deutschland sind das 14 Beispiele, bei denen die Ermittler nicht weiterkamen, weil es keine Vorratsdatenspeicherung gibt. Eins der Beispiele ist die hunderttausendfache Identifizierung von Computer-Inhabern, deren Rechner einen Virus hat.

Ob die anderen Ermittlungen, die auch wirklich Straftaten erfassen, mit der Datenspeicherung Erfolg gehabt hätten, geht aus dem Papier nicht hervor.

“Sinnvolle statistische Trends nicht möglich”

Über “konzeptionelle und methodische Fragen” selbst führt die Kommission aus:

Jedenfalls ist es nicht möglich, nur wenige Jahre nach dem Inkrafttreten der Vorratsdatenspeicherung sinnvolle statistische Trends zu identifizieren.

Eigentlich zielte die Kommission damit auf die Analysen des Arbeitskreis Vorratsdatenspeicherung auf Basis der polizeilichen Kriminalstatistik. Von netzpolitik.org befragt, ob dieser Satz nicht für das gesamte Dokument gilt, sagte der verantwortliche Kommissions-Mitarbeiter:

Ja, ich denke schon.

Notwendigkeit nicht bewiesen

Auf unsere Nachfrage, warum der Titel dann “Beweise für die Notwendigkeit der Vorratsdatenspeicherung” heißt, antwortete die Kommission:

Das Dokument erhebt nicht den Anspruch, dass die Notwendigkeit bewiesen wurde.

Schön, dass wir das klargestellt haben. Vielleicht sollte man den Titel ändern.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

September 04 2013

Vorratsdatenspeicherung: Bundeskriminalamt will hunderttausende Inhaber verwurmter Rechner identifizieren

Ablauf der Entstehung und Verwendung von Botnetzen. Lizenz: Creative Commons BY-SA 3.0.

Lizenz: Creative Commons BY-SA 3.0.

Das Bundeskriminalamt hat versucht, mehr als 200.000 Menschen zu identifizieren, deren Rechner Teil eines Botznetzes waren. Das wurde uns vom BKA bestätigt und steht als “Beweis” für die Notwendigkeit der Vorratsdatenspeicherung in einem Papier der EU-Kommission. Seit letztem Jahr ist diese Vorgehensweise ein abgestimmtes Verfahren zwischen Bund und Ländern.

Die EU-Richtlinie zur Vorratsdatenspeicherung wurde politisch mit “schwerstem internationalen Terrorismus” begründet, schon im Text steht nur noch die Bekämpfung von Straftaten. Jetzt haben wir noch einen Anwendungsfall entdeckt. In einem Bericht der Europäischen Kommission heißt es:

Die Deutsche Polizei erhielt Informationen aus Luxemburg nach der Analyse eines beschlagnahmten Command and Control Servers eines Botnets, die digitale Identitäten von ahnungslosen Nutzern enthielten. 218.703 deutsche IP-Adressen, die auf diesen Server zugegriffen hatten, wurden an die Polizei übermittelt, um die Besitzer der Computer zu informieren/warnen, aber die meisten der anschließend von den Polizeibehörden übermittelten Auskunftsersuchen liefen ins Leere, weil die Vorratsdaten nicht gespeichert wurden.

Nachdem wir uns die Augen gerieben hatten, ob das wirklich stimmt, haben wir vor drei Wochen beim BKA nachgefragt. Heute ist endlich die Antwort eingetroffen, in der es heißt:

Über eine Distributed Denial of Services-Attacke durch ein Botnetz wurde eine Webseite im Internet attackiert. Diese war daraufhin im Internet nicht mehr erreichbar. Über die Auswertung der Logdaten der angegriffenen Seite konnte ein Command&Control-Server identifiziert werden, der das zum Angriff genutzte Botnetz steuerte. Im Zuge der Auswertung wurden täterseitige Zugriffe auf den Command&Control-Server festgestellt. Die hierbei genutzten IP-Adressen lieferten Anhaltspunkte zur Identifizierung der Täter.

Dem BKA wurden in einem solchen Fall beispielsweise aus Luxemburg im Jahr 2010 insgesamt 218.703 deutsche IP-Adressen übersandt. Allein in Hessen und Nordrhein-Westfalen wurden im weiteren Verlauf zu insgesamt 169.964 Auskunftsersuchen mangels vorhandener Daten keine Auskünfte erteilt. Die betroffenen Internetnutzer konnten somit nicht davor gewarnt werden, dass sie Teil eines kriminellen Botnetzes sind.

Das BKA hat also in einem einzigen Fall versucht, mit dem Datenpool der Vorratsdatenspeicherung 218.703 Menschen, deren Internet-Anschluss von einem mit Malware befallenen Rechner verwendet wurde, zu identifizieren. Die Vorratsdatenspeicherung, die mit Terrorismus begründet wird. Und wenn 169.964 der 218.703 Anfragen leerliefen, macht das 48.739 identifizierte Menschen. Fünfzigtausend Menschen haben einen Brief bekommen, dass ihr Rechner mit Schadsoftware befallen ist? Und sie per Vorratsdatenspeicherung identifiziert wurden?

Laut BKA ist das mittlerweile sogar ein Standard-Verfahren beim Umgang mit solchen Fällen:

Folgendes Verfahren ist zwischen Bund und Ländern bei Kenntnisnahme massenhaft infizierter Computer/-systeme seit 2012 abgestimmt:

  • Das BKA nimmt die Daten aus dem Ausland entgegen.
  • Das BKA ordnet die IP-Adressen mittels eines automatisierten Skriptes dem jeweilig zuständigen Provider zu.
  • Das BKA nimmt Kontakt zur IuK-Schwerpunktstaatsanwaltschaft auf, um ein Strafverfahren einleiten zu lassen und um so den repressiven Ansprüchen gerecht zu werden.
  • Das BKA verschickt eigenständig im Rahmen seiner Zentralstellenaufgabe zur Unterstützung der Länderbehörde, in dessen Zuständigkeitsbereich der Provider seinen Sitz hat, unter Nutzung von Serienbriefen Mitteilungen gemäß § 10 Abs. 3 i.V.m. § 10 Abs. 2 Nr. 1 i.V.m. § 2 BKAG an die jeweiligen Provider, um diese über die Infektion der Rechner ihrer Kunden zu informieren und sie darum zu ersuchen, diese darüber in Kenntnis zu setzen.
  • Das jeweils zuständige Landeskriminalamt wird darüber in Kenntnis gesetzt und kann ggf. weitere Maßnahmen veranlassen.
  • Sollten im Einzelfall weitere Ermittlungsansätze vorhanden sein, die eine örtliche Zuständigkeit eines Landes begründen, gibt das BKA diesen Vorgang an das zuständige Landeskriminalamt zur dortigen Einleitung der weiteren Maßnahmen in eigener Zuständigkeit ab.

Wir wollten natürlich wissen, wie oft so etwas vorkommt, wie viele Fälle es schon gab und wie viele Menschen schon identifiziert wurden. Die Antwort:

Die Anzahl der Fälle in Bund und Ländern ist nicht registriert worden. Eine Identifizierung der kompromittierten Rechner bei Botnet-Kriminalität ist mangels Vorratsdatenspeicherung in der Regel nicht möglich.

Das ist die größte Zweckentfremdung der Vorratsdatenspeicherung, von der ich in Deutschland bisher erfahren habe. Umso schlimmer, dass das Bundeskriminalamt diesen Fall als Beispiel heranzieht, warum die anlasslose Massenüberwachung sämtlicher Kommunikation in ihren Augen notwendig ist. Und dass die Europäische Kommission das kritiklos in einem Papier übernimmt, dass den Titel “Beweise für die Notwendigkeit der Vorratsdatenspeicherung” trägt. Unglaublich.

Patrick Breyer, Vorratsdatenspeicherungs-Gegner, Jurist und Pirat kommentiert gegenüber netzpolitik.org:

Es ist völlig unverhältnismäßig, wenn das BKA hunderttausende von Internetnutzern ohne ihre Einwilligung identifiziert, um sie vor Schadsoftware zu “warnen”. Die Sicherheit unserer Privatcomputer ist unsere Sache, nicht der Polizei. Es zeigt sich, dass die verfassungswidrige Bestandsdatenauskunft vollkommen ausufert und gestoppt werden muss. Außerdem beweist die BKA-Massenidentifizierung, dass die geforderte IP-Vorratsdatenspeicherung mit der Verfolgung schwerer Straftaten nichts zu tun hat und diese nur als Vorwand genutzt werden, um Internetnutzer wegen Bagatellen zu verfolgen.

Wehe, nach Homepageüberwachung, Funkzellenabfrage und nun Botnetzen erzählt mir noch einmal jemand etwas davon, dass die Vorratsdatenspeicherung nur gegen Terror ist und nur in Einzelfällen angewendet wird.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 11 2013

EU-Kommission fordert mehr zivil-militärische Zusammenarbeit zu Drohnen und hochauflösender Satellitenspionage

“Demonstration of Satellites enabling the Insertion of RPAS in Europe” (DeSIRE)

Die EU-Kommission will ein neues “strategisches Konzept” entwickeln, das “alle Aspekte der militärischen und nichtmilitärischen Sicherheit berücksichtigt”. Eine entsprechende Mitteilung vom 25. Juli listet hierfür einen Aktionsplan mit zahlreichen Maßnahmen auf, die auf den Arbeiten einer 2011 eingerichteten Taskforce “Verteidigung” beruhen. Auch der Europäische Auswärtige Dienst und die Verteidigungsagentur waren einbezogen. Heraus kam ein Papier mit der unmissverständlichen Forderung, “alle einschlägigen EU-Politiken in den Dienst des Verteidigungssektors zu stellen”:

Die Sicherheitsaufgaben, vor denen wir heute stehen, sind zahlreich, komplex, miteinander verflochten und schwer vorhersehbar: Auf regionaler Ebene entstandene Krisen können gewaltsam ausgetragen werden, innovative Technologien können neue Anfälligkeits- und Bedrohungsszenarien mit sich bringen, Umweltveränderungen und die Verknappung natürlicher Rohstoffe politische und militärische Konflikte auslösen. Zugleich breiten sich viele Bedrohungen und Gefahren auch leicht über die Staatsgrenzen aus und verwischen die herkömmliche Trennlinie zwischen innerer und äußerer Sicherheit.

Nun soll die “große Bandbreite an zivilen und militärischen Fähigkeiten” miteinander verzahnt werden. Es geht um sogenannte “Anwendungen mit doppeltem Verwendungszweck”. Die EU hat selbst umfangreiche “Forschungs- und Innovationsprogramme” für die Bereiche Sicherheit und Raumfahrt entwickelt. Hierzu gehören bereits existierende Elemente zur Überwachung von Grenzen und Meeren, “Krisenmanagement” und “Cybersicherheit”. Die militärische Forschung wiederum könne “erhebliche Folgewirkungen unter anderem für die Elektronik, die Raumfahrt, die Zivilluftfahrt und die Tiefseeerschließung” mit sich bringen. Entsprechende Technologien sollen daher in den zivilen Sektor überführt werden.

In der Mitteilung wird die eine “Krise der öffentlichen Haushalte” beklagt, die zu Kürzungen der Verteidigungsetats führe. Gefordert wird daher die Zusammenlegung ziviler und militärischer Forschungen, da diese ohnehin “zahlreiche technologische, industriepolitische, konzeptionelle und operative Ähnlichkeiten” aufwiesen.

Einheitliche “Flugtauglichkeitsvorschriften” für Drohnen

Jedoch profitiert die europäische Rüstungsindustrie bereits jetzt von einem jährlichen Umsatz von rund 96 Milliarden Euro (2012). Laut der Mitteilung seien 400.000 Personen im militärischen Sektor tätig, weitere 960.000 Arbeitsplätze würden indirekt geschaffen. Als Wirtschaftszweig müssten die “Verteidigungsmärkte” deshalb “unbedingt erhalten bleiben”.

Zugegeben wird auch, dass die Militärs die größten öffentlichen Energieverbraucher in der EU darstellen. Ihre jährlichen Gesamtausgaben allein für Strom belaufen sich auf mehr als eine Milliarde Euro. Die europäischen Armeen sind auch der größte öffentliche Eigentümer von Freiflächen und Infrastrukturen.

Ein besonderes Problem wird bei unterschiedlichen Standards in den Mitgliedstaaten ausgemacht. Daher sollten die Regierungen “Anreize zur Entwicklung europäischer zivilmilitärischer Normen” schaffen. Die Federführung entsprechender Maßnahmen solle aber bei der NATO bleiben.

Als Beispiel einer “Interoperabilität zwischen nichtmilitärischen und militärischen Fähigkeiten” wird die Entwicklung von Drohnen und ihre Integration in den zivilen Luftraum genannt. Die EU betreibt als Flaggschiff das Unternehmen “Single European Sky ATM Research” (SESAR), das den zivilen und militärischen Luftraum vereinheitlichen soll. Die Rede ist von einheitlichen “Flugtauglichkeitsvorschriften” für Drohnen.

“Demonstration of Satellites enabling the Insertion of RPAS in Europe” (DeSIRE)

Als wichtigste Forschungen fungieren hierzu die Programme DeSIRE und CLOSEYE, in denen die Nutzung militärischer Drohnen im Innern untersucht werden. Einen Tag vor Erscheinen der neuen Mitteilung hatte die EU-Kommission ihre neue “Roadmap” zur Drohnenpolitik vorgestellt.

Das neue Papier trägt die Handschrift des deutschen Verteidigungsministers Thomas de Maizière, der nach eigener Aussage seit einem Jahr für die neue EADS-Drohne “Future European MALE” (FEMALE) wirbt. Gespräche führte er mit der Europäischen Verteidigungsagentur, dem Auswärtigen Dienst und der EU-Kommission. Die Anstrengungen haben sich wohl gelohnt: Im Ergebnis kündigte die EU an, Fragen der luftfahrtrechtlichen Zulassung zivil und militärisch genutzter Drohnen zukünftig gemeinsam zu betreiben. De Maizière dringt überdies auf “steuerliche Anreize” für die Drohnen-Industrie. Auch dies wurde von der Kommission gehört: Vorgeschlagen wird ein “vorkommerzielles Vergabeprogramm”, um Prototypen von Drohnen zu entwickeln und zu testen. Damit könnte EADS in die Entwicklung der FEMALE einsteigen, ohne auf Zusagen zur späteren Abnahme angewiesen zu sein.

“Nächste Generation hochauflösender militärischer und ziviler Beobachtungssatelliten”

Neben Drohnen dreht sich die Mitteilung auch um “Raumfahrttechnologien, Raumfahrtinfrastrukturen und Weltraumdienste”. Die EU entwickelt beispielsweise den Satellitennavigationsdienst Galileo, der als ziviles Vorhaben geführt wird, aber für Militärs durch die Unabhängigkeit von russischen und US-amerikanischen Diensten von zentralem Nutzen ist.

Im Bereich der Satellitenaufklärung betreibt die EU das Programm Copernicus (früher “Global Monitoring for Environment and Security”, GMES). Im Namen der EU werden insgesamt sechs optische und radarbasierte Aufklärungssatelliten ins All befördert. Doch damit nicht genug, nun ist die Rede von einer Generation hochauflösender “EU-Satellitenfähigkeiten”, die im Verbund mit Drohnen agieren sollen:

Da der Bedarf an hochauflösender Bildaufnahme weiterhin wächst, muss zur Vorbereitung auf die nächste Generation hochauflösender militärischer und ziviler Beobachtungssatelliten, mit deren Einsatz etwa 2025 zu rechnen ist, eine Reihe von Technologien erforscht und entwickelt werden, wie etwa hyperspektrale, hochauflösende Satelliten im geostationären Orbit oder moderne ultrahochauflösende Satelliten in Kombination mit neuen Sensorplattformen wie beispielsweise Remotely Piloted Aircraft Systems [der EU-Neusprech für Drohnen].

Gegenwärtige Auswertestationen von Copernicus (GMES)

Gegenwärtige Auswertestationen von Copernicus (GMES)

Die Systeme sollen für die Gemeinsame Sicherheits- und Verteidigungspolitik und die Gemeinsame Außen- und Sicherheitspolitik genutzt werden. Der “Bedarf” einer neuen, hochauflösenden Satellitenbildgebung erzwingt allerdings die Versorgung mit “kritischen Rohstoffen”. Gemeint sind beispielsweise seltene Erden, die für Produkte digitaler Kommunikation dringend benötigt werden. Die EU-Kommission zu ihrer weiteren Verfügbarkeit nun “gezielte politische Maßnahmen ausarbeiten”.

Laut der Mitteilung soll eine “breitere politische Debatte über die Umsetzung einschlägiger Bestimmungen des Vertrags von Lissabon” angeregt werden. Damit ergänzt das Papier die Fünfjahrespläne der EU für die Bereiche Justiz und Inneres. Im gegenwärtigen “Stockholmer Programm”, das nächstes Jahr ausläuft und über dessen Nachfolge nun Gespräche beginnen, widmet sich ein eigenes Kapitel der außenpolitischen Dimension innerer Sicherheit.

Das jetzt geplante “strategische Konzept” ist allerdings um so gefährlicher, da es sich der “inneren und äußeren Sicherheit” von Seiten der Militärs annähert. Damit könnten Politiken einzelner Mitgliedstaaten ausgehebelt werden, die beispielsweise die Trennung militärischer und nichtmilitärischer Forschung an Universitäten über sogenannte “Zivilklauseln” vorschreiben.

Dass die Kommission es nicht nur bei der jetzigen Initiative belassen will, macht sie am Ende der Mitteilung deutlich: Die dort “festgelegten Bereiche” sollen in einen einen “detaillierten Fahrplan mit konkreten Maßnahmen und Zeitvorgaben” münden.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 24 2013

Brief an Merkel und EU-Kommission: Datenschutzkonferenz fordert Aussetzung des Safe-Harbor-Abkommens

Die EU-Kommission soll das Safe-Harbor-Abkommen zur Übermittlung personenbezogener Daten in die USA suspendieren. Das fordert die Konferenz der Datenschutzbeauftragten als Konsequenz der “umfassenden und anlasslosen Überwachungsmaßnahmen ausländischer Geheimdienste”. Bis die Bundesregierung nachweist, dass die Überwachung effektiv begrenzt wird, wollen sie keine neuen Datenübermittlungen erlauben.

Die Datenschutzbeauftragten des Bundes und der Länder haben einen Brief an Kanzlerin Merkel geschickt und mit einer Pressemitteilung begleitet: Geheimdienste gefährden massiv den Datenverkehr zwischen Deutschland und außereuropäischen Staaten.

Die Europäische Kommission hat in mehreren Entscheidungen Grundsätze des „sicheren Hafens“ („Safe Harbor“) zum Datentransfer in die USA (2000) und Standardvertragsklauseln zum Datentransfer auch in andere Drittstaaten (2004 und 2010) festgelegt. Die Beachtung dieser Vorgaben soll gewährleisten, dass personenbezogene Daten, die in die USA oder andere Drittstaaten übermittelt werden, dort einem angemessenen Datenschutzniveau unterliegen. Allerdings hat die Kommission stets betont, dass die nationalen Aufsichtsbehörden die Datenübermittlung dorthin aussetzen können, wenn eine „hohe Wahrscheinlichkeit“ besteht, dass die Safe-Harbor-Grundsätze oder Standardvertragsklauseln verletzt sind.

Dieser Fall ist jetzt eingetreten. Die Grundsätze in den Kommissionsentscheidungen sind mit hoher Wahrscheinlichkeit verletzt, weil die NSA und andere ausländische Geheimdienste nach den gegenwärtigen Erkenntnissen umfassend und anlasslos ohne Einhaltung der Grundsätze der Erforderlichkeit, Verhältnismäßigkeit und Zweckbindung auf personenbezogene Daten zugreifen, die von Unternehmen in Deutschland an Stellen in den USA übermittelt werden. Zwar enthält die Safe-Harbor-Vereinbarung eine Regelung, die die Geltung der Grundsätze des „sicheren Hafens“ begrenzt, sofern es die nationale Sicherheit erfordert oder Gesetze solche Ermächtigungen vorsehen. Im Hinblick auf das Ziel eines wirksamen Schutzes der Privatsphäre soll jedoch von diesen Eingriffsbefugnissen nur im Rahmen des tatsächlich Erforderlichen und nicht exzessiv Gebrauch gemacht werden. Ein umfassender und anlassloser Zugriff auf personenbezogene Daten kann daher durch Erwägungen zur nationalen Sicherheit in einer demokratischen Gesellschaft nicht gerechtfertigt werden. Auch bei Datenübermittlungen in die USA aufgrund der Standardverträge muss der Datenimporteur zusichern, dass seines Wissens in seinem Land keine Rechtsvorschriften bestehen, die die Garantien aus den Klauseln in gravierender Weise beeinträchtigen. Eine solche Generalermächtigung scheint in den USA zu bestehen; denn nur so lässt sich erklären, dass der US-amerikanische Geheimdienst auf personenbezogene Daten, die aufgrund der Standardverträge übermittelt werden, mit hoher Wahrscheinlichkeit routinemäßig zugreift.

Deshalb fordert die Konferenz die Bundesregierung auf, plausibel darzulegen, dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird. Bevor dies nicht sichergestellt ist, werden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (z. B. auch zur Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind.

Schließlich fordert die Konferenz die Europäische Kommission auf, ihre Entscheidungen zu Safe Harbor und zu den Standardverträgen vor dem Hintergrund der exzessiven Überwachungstätigkeit ausländischer Geheimdienste bis auf Weiteres zu suspendieren.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 11 2013

Durchsuchung der EU-Kommission: Hat die Telekom ihre marktbeherrschende Stellung missbraucht, um “Sender Pays” durchzusetzen? (Updates)

Die EU-Kommission hat mehrere Internet-Anbieter in Europa durchsucht, darunter auch die Deutsche Telekom. Den Anbietern wird vorgeworfen, Geld von einem amerikanischen Konkurrenten verlangt zu haben, weil der viele Daten gesendet hat. Wenn die Ermittlungen beweisen, dass die Unternehmen damit ihre marktbeherrschende Stellung missbraucht haben, könnte das “Sender Pays” Modell gestorben sein.

Die Europäische Kommission hat heute bestätigt, dass sie “unangemeldete Kontrollen” bei Internet-Providern durchgeführt hat. Die Deutsche Telekom bestätigte mittlerweile, dass auch sie durchsucht wurde – in Zusammenarbeit der Kommission mit dem Bundeskartellamt. Weitere Betroffene sind die Anbieter Orange aus Frankreich und Telefónica aus Spanien.

Die Pressemitteilung der Kommission spricht von “Bedenken, dass die Unternehmen das EU-Wettbewerbsrecht verletzt haben könnten, dass den Missbrauch einer marktbeherrschenden Stellung verbietet”. Hier wird auf Artikel 102 des Vertrags über die Arbeitsweise der Europäischen Union verwiesen.

Zum Inhalt sagt die Kommission nur vague:

Internet players interconnect with each other through a combination of wholesale services to cover all possible Internet destinations. Internet connectivity allows market players (e.g. content providers) to connect to the Internet so as to be able to provide their services or products at the retail level. This service is crucial for the functioning of the Internet and for end users’ ability to reach Internet content with the necessary quality of service, irrespective of the location of the provider.

Laut der französischen Tageszeitung Le Figaro (NSA Translate) geht es um Peering-Abkommen (unsere Übersetzung):

Die Geschichte geht auf Mai 2011 zurück, als Cogent, ein amerikanischer Breitband-Anbieter, der in mehreren Ländern operiert, gegen [den französischen Provider] Orange Beschwerde einreichte. Cogent wirft Orange vor, Peering-Abkommen nicht zu respektieren, die im Internet vorherrschen und Betreibern ermöglichen, Daten-Traffic auszutauschen, ohne diesen in Rechnung zu stellen. Peering geht davon aus, dass man ungefähr so viele Daten empfängt wie man sendet. Cogent aber hat angefangen, 13 mal so viel an Orange zu senden, wie es empfangen hat. Der Grund: Ein großer Kunde von Cogent war Megaupload, der Sharehoster, der im Zuge von Ermittlungen des FBI abgeschaltet wurde. Angesichts dieses Ungleichgewichts hat Orange von Cogent finanzielle Gegenleistungen verlangt, um zusätzliche Peering-Kapazitäten bereitzustellen.

Cogent Communications ist einer der wenigen Tier 1 Provider, die für Internet-Traffic nur kostenlos peeren und nicht bezahlen. Kein Wunder also, dass sie das nicht mit sich machen lassen wollten. Also hat sich Cogent an die EU-Kommission gewendet. Gegen die Deutsche Telekom und Telefónica hat Cogent die selbe Beschwerde eingereicht.

Seit Jahren versuchen Internet-Anbieter, nicht nur aus Endkunden, sondern auch aus datenintensiven Netzübergängen Profit zu schlagen. Vor drei Jahren sagte Telekom-Chef René Obermann:

“Wir können nicht alles umsonst anbieten”, argumentiert der Telekom-Chef, “zahlen müssen diejenigen, die die Netze stark beanspruchen”. Wer besonders datenintensive Premiuminhalte anbietet, soll demnach eine Gebühr entrichten. Je mehr Bandbreite ein bestimmter Web-Dienst benötigt und je öfter er genutzt wird, so die Logik, desto mehr soll der jeweilige Anbieter bezahlen.

Hoffentlich geht die Kommission weit genug und verbietet dieses “Sender Pays” Modell gleich komplett. Der Netzneutralität zu liebe.

Update: Die Telekom hat unsere konkrete Frage “Hat die Telekom versucht, von Cogent Geld für einen erhöhten Traffic zu verlangen?” bisher nicht beantwortet. Ein Sprecher bestätigte aber, dass es um Traffic in Backbone-Netzen geht:

Untersucht wird, ob es bei der Zusammenschaltung der großen Internet-Backbone-Netze zu Verstößen gegen EU-Recht gekommen ist (möglicher Mißbrauch marktbeherrschender Stellung). Es geht also um die Frage, wie der Datenverkehr aus Drittländern in den EU-Netzen transportiert wird.

Update 2: Benedikt Fuest und Florian Eder haben auf welt.de weitere Details:

Cogent hatte sich laut einem internen Schriftsatz, der der “Welt” vorliegt, bereits 2009 bei der Bundesnetzagentur über das Peering-Verhalten der Telekom beschwert: Die Telekom weigere sich, ausreichende Kapazitäten an ihren Peering-Knotenpunkten parat zu halten. Die Anbindung der Cogent-Kunden ins Netz der Telekom sei zu langsam: Cogent benötige mindestens 100 Gigabit pro Sekunde, die Telekom halte weniger als die Hälfte dessen parat.

Der deutsche Konzern hält dagegen, dass Cogent bis zu zwölf Mal mehr Daten ins Netz der Telekom sende als diese ins Netz von Cogent. Cogent solle deswegen für den Ausbau und das große Datenvolumen zahlen.

Update 3: Jetzt bestätigt Philipp Blank, Sprecher der Telekom, gegenüber netzpolitik.org:

Geld von anderen Carriern zu verlangen, ist gerechtfertigt. Wir müssen zusätzliche Kapazitäten aufbauen, um den zunehmenden Datenstrom zu bewältigen und dafür kann nicht nur der Endkunde aufkommen.

Gleichzeitig droht uns die Telekom:

Wenn Sie zudem nicht die Behauptung entfernen, dass wir ein Kartell gebildet hätten, werden wir presserechtlich dagegen vorgehen, weil wir das als Rufschädigung werten.

Kann uns mal wer eine juristische Einschätzung dazu geben? Nach unserer Auffassung haben wir gar keine “Behauptung aufgestellt”. In der Überschrift wird das nur als Frage aufgeworfen. Wie ist das juristisch zu bewerten?

Update 4: Fünf Juristen, zehn Meinungen. Da wir unsere knappen Ressourcen lieber in den Kampf für echte Netzneutralität stecken als in juristische Auseinandersetzungen, haben wir in der Überschrift “Hat die Deutsche Telekom ein Kartell gebildet?” zu “Hat die Telekom ihre marktbeherrschende Stellung missbraucht?” geändert. Davon weichen wir aber nicht ab.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl