Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

January 28 2014

“Leave Traffic Here” – Wenn du nicht willst, dass die NSA es weiß, erzähl es auch nicht deinem App-Anbieter

Woran merkt man, dass die aktuellen Enthüllungen um NSA und GCHQ sich auf die jüngere Vergangenheit beziehen?

  1. Es hat mit Smartphones und Angry Birds zu tun.
  2. Die Präsentationen sehen nicht mehr ganz so grausam aus.

Aber zurück zu den Inhalten: In einem gemeinschaftlichen Bericht haben New York Times, The Guardian und ProPublica neue Dokumente aus dem Snowden-Fundus kommentiert. Die demonstrieren, wie Inhaltsdaten aus Smartphone-Apps NSA und GCHQ bei der Informationsbeschaffung dienen. Dass sich die Geheimdienste mittlerweile auf Smartphones konzentrieren, liegt nahe. In der GCHQ-Präsentation heißt es, man erwarte, dass 2015 90% des Internetverkehrs von Mobilgeräten stammen werde.

Ausgenutzt wird dabei die Tatsache, dass jede Menge existierender Apps eine Vielzahl an Informationen über den Nutzer und dessen Gerät sammeln, auch wenn diese nicht für den eigentlichen Bestimmungszweck notwendig wären. Wie im Beispiel der Taschenlampen-App, die fleißig Ortsinformationen übertrug, um sie danach gewinnbringend an Marketingfirmen weiterzuleiten.

Die Übertragung solcher Informationen ist im Regelfall nicht weiter geschützt, die Angaben laufen teilweise sogar im Klartext durch das Netz und es ist nur logisch, dass die Geheimdienste das ausnutzen. Oder wie es der Untertitel der NSA-Präsentation treffend sagt: “Identifizierung/Verarbeitung/Erledigung – Alles nichts Besonderes”

Neben statischen Angaben zu Geschlecht, Alter, sexueller Orientierung, die von manchen Apps gesendet werden, sind die Geheimdienste vor allem auch an übertragenen Ortsinformationen interessiert. So weist die NSA darauf hin, dass GPS-Daten von Android unverschlüsselt übertragen werden und sich aus Fotos, die ein Nutzer macht und auf eine Plattform hochlädt, durch Auslesen der EXIF-Informationen Zeit und Ort der Aufnahme extrahieren lassen: “Es liegt alles in den Metadaten, nicht in den hübschen Bildern.”

Weitere Angaben, an denen man interessiert ist, umfassen unter anderem Adressbücher, heruntergeladene Dokumente, unterstützte und eingesetzte Verschlüsselung, besuchte Websites und Telefoneinstellungen. Schon jetzt könne man die Ortsinformation über praktisch jedes Telefon ermitteln. Herausforderungen scheinen aber noch darin zu liegen, die Angaben automatisch so zu taggen, dass sie für Analysten nützlich sind.

Illustration aus der NSA-Präsentation

Illustration aus der NSA-Präsentation

Was diese Nachrichten uns Neues bringen, ist nicht, dass die NSA Informationen auf unseren Mobiltelefonen ausspäht, sondern dass es ihnen durch die Praxis der App-Entwickler und Anbieter mobiler Dienste unvorstellbar leicht gemacht wird. Niemand kann plausibel erklären, warum eine App wie AngryBirds wissen muss, ob der Nutzer verheiratet, geschieden oder Single ist. Daten, die nicht entstehen, können nicht abgegriffen werden. Und da liegt die Verantwortung nicht nur bei Politik und Gesetzgebung, der NSA das Schnüffeln zu verbieten, sondern auch bei den Entwicklern, Datensparsamkeit umzusetzen. Und bei jedem Einzelnen selbst, kurz innezuhalten, bevor er Informationen von sich preisgibt. Und zu überlegen, ob diese zur Erfüllung seines Ziels wirklich notwendig sind.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 23 2014

Unabhängige Datenschutzbehörde der US-Regierung sieht NSA-Vorratsdatenspeicherung als illegal an.

Das Privacy and Civil Liberties Oversight Board (PCLOB) hat den NSA-Überwachungsprogrammen in einem 238-seitigen Bericht, der der Washington Post und der New York Times vorliegt, ein vernichtendes Urteil ausgestellt, die Sammlung von Vorratsdaten als illegal bezeichnet und den Stopp dieser Programme gefordert.

Im Detail beziehen sie sich dabei auf Absatz 215 des USA Patriot Act, dem gemäß staatliche Behörden nur dann auf Aufzeichnungen von Metadaten zugreifen dürfen, wenn diese für eine aktuelle, autorisierte Ermittlung relevant sind. Dessen Anwendung auf die Programme der NSA stellen sie in Frage, da die millionenfache tägliche Speicherung und Auswertung von Metadaten nicht an einzelne Ermittlungen gebunden ist. Vielmehr sei die Funktion dieser Massenspeicherung die Verbesserung der Anti-Terror-Kapazitäten der Vereinigten Staaten allgemein.

“At its core, the approach boils down to the proposition that essentially all telephone records are relevant to essentially all international terrorism investigations, [this approach is] at minimum, in deep tension with the statutory requirement that items obtained through a Section 215 order be sought for ‘an investigation,’ not for the purpose of enhancing the government’s counterterrorism capabilities generally.”

Da dieses Vorgehen aus der Sicht des PCLOBs explizit nicht durch den Patriot Act abgedeckt wird, kommen sie zu dem Ergebnis, dass die Vorratsdatenspeicherung von Telefonanrufen durch die NSA illegal ist. Dies steht im krassen Widerspruch zu den Aussagen der Regierung, die stets auf die Rechtmäßigkeit der Überwachungsprogramme verwiesen habe.

Nicht nur die Praxis der Speicherung als solche wird von der Behörde kritisiert, sondern auch die Sinnhaftigkeit des Programmes. In einer Untersuchung von 12 Fällen von Terrorismus kamen sie nicht nur zu dem Ergebnis, dass die Vorteile der aus den NSA-Programmen gewonnenen Daten für die Aufklärung minimal waren, sondern auch, dass sie oft lediglich Informationen bestärkten, die unabhängig durch das FBI gewonnen wurden.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

December 05 2013

How-To Analyze Everyone – Teil Ia: Basics der Handyortung

Dieser Artikel soll der Start einer Reihe sein, die sich mit Methoden beschäftigt, die automatisiert Daten über uns auswerten und daraus Schlüsse ziehen. Wo halten wir uns gerade auf, mit wem sind wir unterwegs, was ist unsere Lieblingsfarbe und werden wir im nächsten Jahr in den Urlaub nach Spanien fahren? Google, NSA, Schufa und Co. versuchen, all das und noch viel mehr über uns zu erfahren. Damit wir ein bisschen mehr verstehen, wie das funktioniert, wird hier jede Woche ein anderer Aspekt aus Welt der automatischen Profilbildung beleuchtet. Mal aus Sicht der Wissenschaft, mal aus Sicht der Vermarktung, mal ganz allgemein, mal spezieller. Und wenn ihr wollt, könnt ihr mitbestimmen und mir Themen vorschlagen, die euch interessieren.

Heute beschäftigen wir uns mit den Grundlagen der Handyortung und -auswertung à la NSA. Erstmal recht grob, denn das Thema ist riesig. Ein technisch detaillierterer Teil wird aber (als Ausnahme schon sehr bald) folgen.

Funkzellenabfragen wie die zu den Autobränden in Friedrichshain, Handygate Dresden, Stille SMS und hochgeschätzte Zahlen dürften die NSA nur zum müden Lächeln bringen, wissen wir seit gestern. Egal wohin wir gehen – die NSA reist mit. Und sammelt rund 5 Milliarden Datensätze pro Tag.

Aber wie funktioniert das eigentlich alles?

Wo kommen die Daten her?

Berichten zu Folge direkt aus den Kabeln, die die Datencenter der Mobilfunk-Provider verbinden, zum Teil sicher in einhelliger Zusammenarbeit. Aber die eigentlichen Ortsdaten müssen vorher erst einmal ermittelt werden.

Wenn wir uns bewegen, sucht sich unser Handy immer den Funkmast, zu dem es den besten Empfang hat und wählt sich bei diesem ein. Die zugehörige Funkzelle mit ihrer spezifischen CellID ermöglicht dann eine grobe Schätzung, wo wir uns befinden. Das ist aber recht ungenau, vor allem in ländlichen Gegenden, wo man nur alle paar Kilometer eine Basisstation braucht, da die Handydichte geringer ist als beispielsweise in Berlin – dort trifft man schon in Abständen von wenigen 100 Metern auf neue Funkzellen.

Das ist noch sehr ungenau und lässt sich verfeinern. Beispielsweise dadurch, dass die Zeit bestimmt wird, die ein extra ausgesendetes Signal zu mehreren benachbarten Funkmasten (bzw. die Antwort zurück) benötigt. Dafür braucht man mindestens drei erreichbare Stationen, aber je mehr, desto besser. Hier ein kleines Beispielbild:

triangulation

Damit kann man bei ausreichender Funkzellendichte schon Genauigkeiten von ca. 30 Metern erreichen. Alle Verfahren, die nur mit dem Mobilfunknetz an sich arbeiten, nennt man GSM-Ortung. Noch genauer geht die Positionsbestimmung aber mit W-Lan-Zugangspunkten in Städten, denn davon gibt es erfahrungsgemäß mehrere und die Radien sind kleiner.

Ein weiterer Weg, den Aufenthaltsort eines Mobilgerätes zu ermitteln ist GPS. Das ist ziemlich genau – klar, kennen wir ja von Navigationsgeräten. Aber die Ortung muss immer vom Handy selbst initiiert werden, das analog zur Funkzellenortung seine Position mit Hilfe der Signallaufzeiten zu den GPS-Satelliten ermittelt. Hierzu braucht es jedoch eigens dafür installierte Software, da die GPS-Satelliten nicht wie die Funkmasten der Kontrolle des Netzbetreibers unterliegen.

Aber im Fall der NSA dürfte es vermutlich weder ein Problem sein, auf die GPS-Satelliten zuzugreifen noch sich die berechnete Position vom Endgerät ausgeben zu lassen. Mit einer Kombination aus GSM und GPS arbeitet übrigens auch der deutsche Zoll. Das Patras genannte System war bekannt geworden, als Hacker 2011 Daten aus einem Zollserver ausgelesen hatten.

Was sind das eigentlich für Daten?

Wie findet man eigentlich ein Handy unter vielen wieder? Lassen sich eigentlich auch Handys verfolgen, wenn man zwischendurch die SIM-Karte tauscht? Und was verrät eine Funkzellenabfrage noch so über mich?

Bei der Abfrage während der Anti-Nazi-Demo in Dresden 2011 wurden 896.072 Verkehrsdatensätze, 257.858 Rufnummern und 40.732 Bestandsdaten (Daten über den Anschlussinhaber und den Vertrag sowie IMEI) abgefragt.

Bei der IMEI, International Mobile Station Equipment Identity, liegt ein Teil des Hundes begraben. Diese Nummer ist nämlich eine (in der Theorie) für jedes Mobiltelefon eindeutige Nummer und ändert sich auch nicht beim Wechsel der SIM-Karte. Das ist einerseits praktisch, um gestohlene Handys für andere Karten sperren zu lassen, macht aber die Überwachung leichter. Manche Hersteller halten sich jedoch nicht an eine eindeutige Nummerierung und für manche Handys lassen sich IMEIs nachträglich ändern, sodass allein dadurch der Überwachungserfolg nicht garantiert ist.

IMSI, International Mobile Subscriber Identity, ist uns vom Namen der IMSI-Catcher bekannt und identifiziert nicht wie die IMEI das Gerät, sondern die SIM-Karte. Neben CellID, IMSI und IMEI benutzt die NSA übrigens laut der von der Washington Post veröffentlichten Präsentation weitere 37 Angaben zur Verfolgung eines Mobilgeräts – Details dazu gibt es in Teil Ib.

Wir merken also: Gerät tauschen – bringt nix. Karte tauschen – bringt auch nix. Und wer jetzt auf die Idee kommt, Einweghandys mit Wegwerf-SIMs zu benutzen und jeweils nur ein Telefongespräch damit zu machen: Zu kurze Anschaltzeiten und beinahe synchrones Aus- und Anschalten benachbarter Geräte sind auch verdächtig.

Wo gehen die Daten hin?

5 Milliarden Datensätze mit schätzungsweise ca. 27 Terrabyte Gesamtvolumen pro Tag – das ist selbst für die NSA ein ziemlicher Berg. Die Datenbank, die solche Mengen aufnehmen soll, heißt FASCIA. Zur Einordnung hilft die verlinkte Folie, denn dort ist auch die noch größere Datenbank für alle möglichen Arten von Metadaten aufgeführt – Marina. Die wurde schon im September bekannt, damals berichtete The Guardian:

Jegliche Computer-Metadaten, die von der NSA gesammelt wurden, werden zu der Marina-Datenbank geleitet. Telefondaten werden zu einem separaten System gesendet.

Seit gestern wissen wir ja, welches dieses “separate” System ist…

Was macht die NSA damit?

Nach eigenen Angaben versucht man, Begleiter von bekannten Zielpersonen zu finden – daher der Name CO-TRAVELLER. Dafür scannt man die Datenbank mit dem Suchtool CHALKFUN nach Korrelationen. Das heißt, wer war mit wem in welcher Funkzelle? Haben die beiden Ziele sich gemeinsam, etwa gleichzeitig in eine andere Zelle bewegt? Kombiniert man die 40 erhobenen Datenstückchen von jedem Gerät und ermittelt man über eine Stunde hinweg immer wieder Zusammenhänge, kann man danach davon ausgehen, ein Bild über tatsächliche Treffen oder Zufallswegüberschneidungen zu erhalten.

Und die amerikanischen Bürger?

Die will natürlich keiner abhören. Aber Kollateralschaden lässt sich nunmal nicht vermeiden. Dafür wissen wir dank eines ebenfalls gestern erschienenen Ausschnitts ein bisschen mehr, wie die USA Amerikaner und Nicht-Amerikaner auseinander halten. Ermittelt TAPERLAY, ein Tool das registriert, wo ein Mobilgerät sich eingewählt hat, dass derjenige seit 60 Tagen in keiner amerikanischen Funkzelle angemeldet war, ist er Nicht-Amerikaner im Sinne der Überwachungsanordnung.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

November 20 2013

EFF klagt gegen NSA, Anfechtungsklage von EPIC wird abgewiesen

In dem heutigen Artikel über die Deklassifizierung von NSA-Dokumenten war von einer Klage der Electronic Frontier Foundation die Rede. Diese Klage, die auf mehr Transparenz der Geheimdienste abzielte, war erfolgreich. Am 6. November hat die EFF eine weitere Klage eingereicht, die sich direkt gegen die NSA richtet. Der EFF stehen 21 andere Organisationen zur Seite, die verschiedene Wirkungsbereiche haben, zum Beispiel Greenpeace, Students for Sensible Drug Policy Foundation, First Unitarian Church of Los Angeles oder Council on American-Islamic Relations.

Die Klage richtet sich gegen die Massenüberwachung von Telefongesprächen, die am 5. bzw. 6. Juni vom FISA-Gericht und dem amerikanischen Nachrichtendienstdirektor bestätigt wurde. Die Legitimation wurde unter Abschnitt 215 des Patriot Act und Band 50, Abschnitt 1861 des US Code erteilt. Das Hauptanliegen der Organisationen ist, dass durch die gesammelten Metadaten der Telefongespräche die sozialen Netzwerke von Aktivisten nachvollzogen werden können und damit Menschen abgeschreckt werden, sich zu beteiligen. Das widerspräche dem First Amendment:

Der Kongress darf kein Gesetz erlassen, das die Einführung einer Staatsreligion zum Gegenstand hat, die freie Religionsausübung verbietet, die Rede- oder Pressefreiheit oder das Recht des Volkes einschränkt, sich friedlich zu versammeln und die Regierung um die Beseitigung von Missständen zu ersuchen.

Weitere Verstöße sehen die Kläger gegen das Fourth und Fifth Amendment und den Return of Property. Die Universalität der Anklage und die Relevanz für jegliche Art von Organisation erklärt auch das breite Spektrum an Beteiligten.

Erfreulicherweise hat die Klage jetzt “prominente” Unterstützung in Form von fünf Amicus-Curiae-Briefen gefunden. Amici Curiae sind Personen oder Organisationen, die sich in Gerichtsverfahren als fachkundige Außenstehende (nicht zwingend Unparteiische) beteiligen – das entspricht in etwa der Rolle eines Sachverständigen. Die Unterstützer hier sind Experten für die Geschichte von Überwachung, die National Association of Criminal Defense Lawyers, PEN Amerika, über deren Bericht zu den Auswirkungen des Überwachungsskandals auf die Redefreiheit wir berichtet hatten, das Reporters Committee for Freedom of the Press mit 13 weiteren Nachrichtenorganisationen und die US-Senatoren Ron Wyden, Mark Udall und Martin Heinrich.

Die Unterstützung der Senatoren ist von großer, auch symbolischer, Bedeutung, denn sie sind ihrereseits mit der Geheimdienstaufsicht betraut und konstatieren:

[Wir] haben keine Beweise gesehen, dass die massenhafte Sammlung der Telefondaten amerikanischer Bürger relevante Informationen geliefert hat, die sich nicht auch mit weniger invasiven Methoden hätten ermitteln lassen.

Weniger erfreuliche Nachrichten hat hingegen EPIC (Electronic Privacy Information Center) zu melden. Deren Petition an den US-Obergerichtshof, die eine vorläufige Aufhebung der Anordnung forderte, die von Verizon zur Herausgabe der Telefondaten verpflichtete, wurde abgelehnt. EPIC selbst ist Kunde des Telekommunikationsunternehmens und argumentierte, dass unmöglich alle Verbindungsdaten, die Verizon kennt, relevant für die nationale Sicherheit sein können. Eine Begründung für die Ablehnung der Prüfung der Petition gab es seitens des Obergerichtshofes bisher nicht.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 12 2013

BMBF-Studien zu Open Educational Ressources: Überblick, Recht und Metadaten

Ende 2012 gab es eine erste Expertenanhörung des Bundesministeriums für Bildung und Forschung (BMBF) und der Kultusministerkonferenz (KMK) zum Thema offener Lehr- und Lernunterlagen (Open Educational Resources, OER). Einigkeit herrschte am Ende dieser Anhörung, dass es noch großen Bedarf für Studien zum Thema gibt. Mittlerweile liegen die ersten drei Studien vor, die im Nachgang der Anhörung in Auftrag gegeben worden waren:

Überblick und Grundlagen: Ingo Blees, Nadia Cohen und Tamara Massar vom Deutschen Institut für Internationale Pädagogische Forschung stellen in einem 107 Seiten starken Dossier (PDF) noch einmal überblicksartig den aktuellen Stand in Sachen OER in Deutschland und ausgewählten Ländern dar. Die AutorInnen halten sich mit konkreten Empfehlungen zurück und liefern vor allem eine Sammlung von Materialien und Initiativen im Bereich OER.

Rechtsfragen von OER: Rechtsanwalt und Urheberrechtsexperte Till Kreutzer setzt sich auf über 60 Seiten (PDF) mit den (urheber-)rechtlichen Fragen von OER auseinander. Kreutzer warnt darin unter anderem vor “allzu proprietärem Denken”, wodurch “die größte Stärke von OER-Strategien (Optimierung der Lehr- und Lernmaterialien durch kollaboratives Zusammenwirken und Content-Sharing) aufs Spiel gesetzt” würde (S. 59). Abgesehen davon zeigt er sich skeptisch was die Entwicklung neuer, spezieller OER-Lizenzen betrifft sondern empfiehlt stattdessen die Nutzung bereits etablierter Lizenzmodelle wie eben Creative Commons:

“Aus den vorgenannten Gründen sollte sich die Frage nach geeigneten OER-Lizenzen eher auf die Auswahl einer geeigneten Lizenzvariante aus dem Bestand der existierenden Lizenzmodelle fokussieren als auf die Entwicklung neuer spezieller Lizenzmodelle.” (S. 64f.)

Metadaten für OER: Frauke Ziedorn, Elena Derr und Janna Neumann liefern auf 28 Seiten eine “Handreichung für die öffentliche Hand” (PDF) zum Thema Metadaten im Kontext von OER. Eine Standardisierung von Metadaten-Regelwerken dient vor allem dazu, die Sicht-, Verlink- und Auffindbarkeit von OER-Objekten zu verbesseren. Auf Basis eines Vergleichs bestehender Metadaten-Standards skizzieren die Autorinnen drei Szenarien für den Umgang mit Metadatenstandards: (a) ein einheitlicher, aber sehr simpler Metadatenstandard; (b) ein Nebeneinander von teilweise bereits etablierten Metadatenstandards; oder (c) kein gemeinsames OER-Portal und die Implementierung des vorhandenen Standards der Learning Resource Metadata Initiative (LRMI) wo immer möglich, um die Auffindbarkeit im Internet zu verbessern. Als langfristiges Ziel nennen die AutorInnen, ”eine Standardisierung des Metadaten-Schemas (ob nun ein bestehendes oder ein neu entwickeltes) durch die International Organization for Standardization (ISO) zu erreichen.”

 

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 07 2013

FBI “hilft” US Internet Providern gerne bei der Datenüberwachung mit “Port Reader”

fbicrest_610x392

Quelle: Getty Images

Wie CNET berichtete, hat die US Amerikanische Bundespolizei – das Federal Bureau of Investigation (FBI) – dank der sogenannten “pen register and trap and trace order” (PRTT) die Möglichkeit jegliche Meta-Daten direkt beim Internet Service Provider abzufangen. Per Verordnung kann das FBI den ISP schon bei dem kleinsten Verdacht oder Hinweis beauftragen diese Daten eines Kunden abzuspeichern. Falls die Infrastruktur des ISPs dies nicht erlaubt, will das FBI eigene Blackboxes und “Port Reader Software” installieren. Hier wehren sich – zum Glück – einige Provider und wollen weder Software noch Blackboxes in ihre Systeme integrieren.

Hier gibt es zwei grundsätzliche Probleme: Zum einen verlangt die “pen register and trap and trace order” (PRTT) nur minimale richterliche Schranken. So “winkt” der Richter diese Anträge einfach durch, da lediglich überprüft wird, ob alle Formalien erfüllt sind und nicht, ob genügend Verdacht besteht. So wurden laut CNET 2010 rund 900 dieser Anträge ausgestellt – 2011 waren es schon über 1600.

Judges have concluded in the past that they have virtually no ability to deny pen register and trap and trace requests. “The court under the Act seemingly provides nothing more than a rubber stamp,” wrote a federal magistrate judge in Florida, referring to the pen register law. A federal appeals court has ruled that the “judicial role in approving use of trap and trace devices is ministerial in nature.”

Außerdem schreibt die Electronic Frontier Foundation in ihrem “Surveillance Self-Defense” Projekt zu den PRTTs, dass es nichtmals Fakten oder Indizien geben muss, sondern das FBI dem Gericht nur beteuern muss, dass sie glauben, die Daten würden den laufenden Ermittlungen behilflich sein.

The police don’t even have to state any facts as part of the Electronic Communications Privacy Act of 1986 — they just need to certify to the court that they think the dialing information would be relevant to their investigation. If they do so, the judge must issue the pen/trap order.

Zum anderen ist unklar, was für das FBI alles unter Meta-Daten fällt. Niemand, außer des FBIs, hat Einsicht in die “Port Reader Software” oder die Blackboxes. So weiß man nur, dass in einem Gerichtsurteil von 2006 (Washington D.C.) beschlossen wurde, dass alles einer E-Mail analysiert werden darf – außer Betreff und Inhalt. Das Gesetz ist hier recht weit auslegbar, da es nur von “dialing, routing, addressing, signaling information” spricht.

The term “pen register” means a device or process which records or decodes dialing, routing, addressing, or signaling information transmitted by an instrument or facility from which a wire or electronic communication is transmitted (18 USC § 3127)

CNET liegen allerdings Informationen vor, dass das FBI zumindest auch Paketgröße, Portname und IPv6 Flussdaten analysiert. Wie so oft bei staatlicher Überwachung ist man auf Insider-Informationen angewiesen, um zumindest Hinweise auf die eigentlichen Wirkungsweisen und Tragweite zu erhalten. So kritisiert auch Alan Butler des Electronic Privacy Information Center, dass es keine offiziellen Aussagen über die genaue Funktionsweise dieses “Harvesting Programs” gibt:

Can you get things like packet size or other information that falls somewhere in the grey area between traditional pen register and content? How does the judge know the box is actually doing? How does the service provider know? How does anyone except the technician know what’s going on?

So ist sich Hanni Fakhoury sicher, dass das FBI die Grenzen des gesetzlich erlaubten ausreize und vielleicht sogar überschreite, falls die Blackboxes auch Informationen speichern und nicht nur weiterleiten.

The bigger fear is that the boxes are secretly storing something, or that they’re doing more than just simply allowing traffic to sift through and pulling out the routing information. For the Feds to try to push the envelope is to be expected. But that doesn’t change the fact that we have laws in place to govern this behavior for a good reason.

Als Randnotiz: Selbst in Twitters Transparency-Report tauchen PRTTs auf. So basierten etwa 5% der richterlichen Verfügungen, die Twitter im ersten Halbjahr 2013 erhielt auf PRTTs.

Nach Veröffentlichung des Artikels bei CNET hat das FBI Declan McCullagh kontaktiert, allerdings lediglich mit einer Null-Aussage:

Pen Register and Trap and Trace orders grant law enforcement the authority to collect dialing, routing, addressing, or signaling information associated with a target’s communications. This information includes source and destination IP addresses and port numbers. In circumstances where a provider is unable to comply with a court order utilizing its own technical solution(s), law enforcement may offer to provide technical assistance to meet the obligation of the court order.

Letztlich ist es sehr bedenklich, dass das FBI verstärkt diese Möglichkeit zur Überwachung und Analyse von Meta-Daten benutzt. Aus Sicht des FBI ist es sehr verständlich, da sie im Gegensatz zu Abhöranträgen (wiretaps) weder verdacht begründen, noch Beweise liefern müssen. Das Gesetz hinkt hier der Realität stark nach – wie viele der amerikanischen Experten anmerkten – es auf der Überlegung beruht, dass Meta-Daten wesentlich weniger über einen Benutzer aussagen. Diese Annahme ist jedoch heutzutage nur noch bedingt richtig, dann Meta-Daten geben heutzutage dank Netzwerk-Analyse und Visualisierung von z.B. Bewegungsgraphen sehr viele Möglichkeiten für Rückschlüsse. So hat Matthew Cole, Journalist bei NBC News, erst letzte Woche auf der Black Hat gezeigt, dass nur anhand von Meta-Daten eine geheime und illegale CIA-Operation in Italien aufgedeckt wurde.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 06 2013

Verbindungsdaten verraten geheime CIA-Operation aus dem Jahr 2003 in Italien

CIAViel wird in letzter Zeit über Verbindungsdaten berichtet. Jene Daten die unweigerlich bei jeder Art der Kommunikation im Internet anfallen und im großen Stil von Geheimdiensten auf der ganzen Welt abgegriffen werden. In den zahlreichen Erklärungen und Stellungnahmen der Geheimdienste und auch der Regierungen ist oft davon die Rede, dass eben “nur” jene Verbindungsdaten abgegriffen werden, die Inhalte der Kommunikation aber unangetastet blieben. Die Internetnutzer hätten also nichts zu fürchten. Der NBC-Reporter Matthew Cole hat nun auf der Black Hat Konferenz in Las Vegas die Geschichte einer im Nachhinein aufgeklärten CIA-Operation präsentiert, die die enorme Aussagekraft von Verbindungsdaten demonstriert, wie der Spiegel ausführlich berichtet.

Cole schilderte auf der Black Hat die Geschichte einer CIA-Operation aus dem Jahr 2003, bei der der mutmaßliche Islamist Abu Omar in Italien verhaftet und nach Ägypten entführt wurde. Dort wird er 14 Monate gefangen gehalten und verhört. Die italienischen Behörden wurden von der CIA-Operation nicht in Kenntnis gesetzt, sodass sie von einer Entführung ausgehen und Ermittlungen aufnehmen. Durch eine Zeugin ist den italienischen Polizisten der letzte Aufenthaltsort von Abu Omar bekannt. Sie fordern nun von den Mobilfunkbetreibern die Funkzellendaten um zu überprüfen, welche Handys zu dieser Zeit in der besagten Gegend aktiv waren. Wie Cole schilderte gab es allerdings “ein paar Probleme”, weshalb sich die Auswertung der Daten verzögerte.

Nach der Freilassung von Abu Omar, 14 Monate nach seiner Entführung, meldet er sich telefonisch bei seiner Frau in Italien. Da die italienische Polizei das Telefongespräch mithört, erfährt sie von der Entführung und der Folter in Ägypten, die Abu Omar seiner Frau schildert. Der Verdacht einer Entführung scheint sich also zu erhärten. Zeitgleich machen die Ermittler erste Fortschritte bei der Analyse der Verbindungsdaten. “Sie fanden 18 Personen und 35 Telefone”, wie Cole schilderte, die nur untereinander kommunizierten. Anhand der Funkzellendaten konnten anschließend Bewegungsprofile der Verdächtigen erstellt werden. Es zeigt sich, dass die Handys erst zwei Monate vor der Entführung eingeschaltet wurden und bereits zwei Tage nach der Entführung wieder ausgeschaltet wurden. In dieser Zeitspanne waren die Handys jedoch permanent eingeschaltet. Cole sagt:

“Sie konnten sehen, wie die CIA-Agenten Abu Omar observierten. Nach einem Acht-Stunden-Tag nahmen die Agenten nicht etwa den Akku aus den Telefonen, sondern sie gingen schlafen.”

Durch weitere Unachtsamkeiten der CIA-Agenten – ein Agent nutzte beim Einchecken ins Hotel seinen richtigen Namen; die Agenten hatten Kreditkarten mit ähnlichen Nummern; ein Handy wurde später mit einer anderen SIM-Karte zur Kommunikation mit der CIA genutzt – kamen die italienischen Ermittler den Agenten auf die Spur. 2009 wurden tatsächlich 22 US-Bürger zu 5 Jahren Haft verurteilt, drei weitere werden mit dem Verweis auf diplomatische Immunität freigesprochen. Da die Agenten mittlerweile aber wieder in den USA sind und Italien bisher keinen Auslieferungsantrag gestellt hat, sind alle auf freiem Fuß.

Diese Geschichte führt einmal mehr vor Augen, wie wertvoll Verbindungsdaten seien können und welche Informationen sich in Kombination mit anderen Daten gewinnen lassen können. Es muss sogar davon ausgegangen werden, dass Agenten der CIA darauf trainiert sind, möglichst wenige Daten zu hinterlassen um unerkannt zu bleiben. Wenn also erzählt wird, dass “nur” Verbindungsdaten gesammelt und ausgewertet werden, ist das keineswegs beruhigend.

Spätestens seit 2011, als Malte Spitz die über einen Zeitraum von sechs Monaten entstandenen Verbindungsdaten seines Handys bei T-Mobile einklagte und die ZEIT aus den Daten eine interaktive Grafik entwickelte, wissen wir, wie falsch die Aussage ist, dass Verbindungsdaten keine personenbezogenen Daten seien.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

BND filtert Emails mit Endung .de und Telefonate mit der Vorwahl +49 um keine Deutschen zu überwachen

Erst am Wochenende berichtete der Spiegel, dass auch der BND massenhaft Verbindungsdaten sammelt und diese an die NSA weiterleitet. Alleine im Dezember 2012 sollen rund 500 Millionen Daten den Weg über den großen Teich gefunden haben. Immer wieder wird betont, dass sich der BND dabei an das Grundrecht und die Vorschriften zum Datenschutz halte. Dazu gehört nach dem G-10-Gesetz und demBND-Gesetz, dass keine personenbezogenen Daten deutscher Bürger weitergegeben werden dürften. Da auch Verbindungsdaten als personenbezogene Daten angesehen werden können, da mit ihrer Hilfe Informationen über Ort, Dauer und Art der Verbindung einer Kommunikation erlangt werden können, wäre die Weitergabe von Verbindungsdaten an die USA ein Verstoß gegen die besagten Gesetze. Wie die ZEIT nun berichtet, hat der BND eine spezielle Methode um die Daten deutscher Bürger zu schützen:

“Vor der Weiterleitung werden diese Daten in einem gestuften Verfahren um eventuell darin enthaltende personenbezogene Daten deutscher Staatsangehöriger bereinigt”, teilte ein Sprecher des BND mit.

Soweit so gut. Doch die ZEIT hat auch Informationen, wie dieses “gestufte Verfahren” aussieht:

Nach Informationen von ZEIT ONLINE werden vom BND etwa alle E-Mail-Adressen mit der Endung .de sowie alle Telefonnummern mit der Landesvorwahl 0049 herausgefiltert.


Sollte diese Filterung der einzige Schutz des BND sein, Daten deutscher Bürger nicht weiter zu geben, kann man nur Thomas Stadler recht geben wenn er sagt, “dass der BND die Vorgaben des G-10-Gesetzes nicht befolgen kann und sich deshalb rechtswidrig verhält”.

Ein solches Vorgehen wäre nicht nur grob fahrlässig, es würde auch von einer enormen Inkompetenz auf Seiten des BND zeugen. Längst sind Emailadressen deutscher Bürger nicht mehr an die Endung .de gekoppelt. Wer als deutscher ein Emailkonto bei Gmail, dem Mailangebot von Google, besitzt, hat beispielsweise eine Mailadresse mit der Endung .com. Und auch deutsche Dienste wie GMX vergeben schon seit langer Zeit Adressen mit Endung wie .net oder .org. Ein herausfiltern von Emailadressen mit der Endung .de ist also keineswegs ein Schutz davor, keine deutschen Bürger zu überwachen und ihre Daten dann weiter zu geben. Und auch die Landesvorwahl 0049 schützt keine deutschen Bürger, welche sich im Ausland aufhalten und über das lokale Netz telefonieren. Seien es Entwicklungshelfer oder Touristen.

Es kann nur gehofft werden, dass der ZEIT hier nicht alle Informationen zum “gestuften Verfahren” des BND vorliegen und diese noch weitere Vorkehrungen getroffen haben um die Grundrechte deutscher Bürger zu schützen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 17 2013

PRISM: EFF und 19 weitere Organisationen reichen Sammelklage gegen NSA ein

Die US amerikanische Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) hat gestern eine Sammelklage gegen die NSA eingereicht. Die Sammelklage 19 unterschiedlicher Organisationen richtet sich im Kern gegen das (verfassungswidrige) Übermitteln und Speichern von Verbindungsdaten samt Zeit- und Standortbestimmung – also ganz ähnlich unserer Vorratsdatenspeicherung. Das Augenmerk liegt hier auf dem Mobilfunk-Provider Verizon, der durch den Foreign Intelligence Surveillance Court (FISC), dem US Gericht zur Überwachung der Auslandsgeheimdienste, zu dieser verdachtslosen Speicherung verpflichtet wurde.

Die beteiligten Organisationen sind aus den unterschiedlichsten Bereichen, um nur ein paar zu nennen: First Unitarian Church of Los Angeles, Bill of Rights Defense Committee, California Association of Federal Firearms Licensees, Council on American Islamic Relations-Foundation, Free Press, Free Software Foundation, Green Peace, Human Rights Watch, Open Technology Institute, Public Knowledge, People for the American Way.

Die Argumentation ist, dass durch das systematische und verdachtslose Abhören, Analysieren und Speichern der Metadaten das Recht auf Versammlungsfreiheit verletzt sei – bzw. das amerikanische Äquivalent. Die EFF erklärt hierzu:

The First Amendment right of association is a well established doctrine that prevents the government “interfering with the right to peaceably assemble or prohibit the petition for a governmental redress of grievances.”

Die American Civil Liberties Union (ACLU) hatte Ende Juni eine vergleichbare Klage eingereicht. Man kann nur hoffen, dass durch den verstärkten Druck zumindest mehr Details an die Öffentlichkeit gelangen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl