Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

December 12 2013

DIY-Netzausbau in Indonesien

Keinen Handyempfang zu haben ist in Deutschland mittlerweile zur Seltenheit geworden – aber das ist längst nicht auf der ganzen Welt der Fall. In vielen dünn besiedelten oder schwer zugänglichen Regionen ist es für Telkos einfach nicht rentabel, Netze auszubauen. GSM ist der am weitesten verbreitete Mobilfunkstandard, aber die GSM-Weltkarte zeigt immer noch viele weiße Flecken.

GSM-Netzabdeckung 2009 (via http://www.globaltelesat.co.uk)

GSM-Netzabdeckung 2009 (via http://www.globaltelesat.co.uk)

In Papua, einer Provinz von Indonesien, hat ein Team der Universität Berkeley ein System installiert, das GSM-Basisstationen auf Baumwipfeln nutzt, um Mobilfunk in Regionen bereitzustellen, die sonst mehrere Kilometer vom nächsten offiziellen Mobilfunkmast entfernt wären. Ihr System hat die Forschergruppe um Kurtis Heimerl letzte Woche auf der ICDT-Konferenz für Informations- und Kommunikationstechnologie und Entwicklung in Kapstadt vorgestellt.

Die Basisstation operiert als “Telco-in-a-box” und wird von den Menschen in der Region selbst betrieben. Eine NGO, die auch die örtliche Schule betreibt, und der ISP WamenaCom kümmern sich um die Abrechnungen, die Satellitenverbindung, um die Stationen mit dem Rest der Welt zu verbinden und die Vergabe von SIM-Karten. Da kein indonesischer Telko das Projekt unterstützt, werden Nummern des schwedischen Betreibers Nexmo verwendet.

Die Station nutzt zum Teil einen bereits existierenden Wasserkraft-Generator und eine Satellitenschüssel, die vorher schon dazu diente, die örtliche Schule mit einer Internetverbindung zu versorgen. Um die Energieressourcen möglichst schonend einzusetzen, wird das Netz nachts in eine Art Stand-by-Modus versetzt. Will man dennoch SMS verschicken oder telefonieren – bisher werden nur lokale Anrufe unterstützt – muss man einen Knopf drücken. Auch eingehende Kommunikation weckt das Netzwerk aus seinem Schlaf. Dadurch lässt sich in etwa die Hälfte der Energie sparen, verglichen mit einem 24h-System.

Noch bestehende Probleme sind die für die Einwohner relativ hohen Kosten von 0,09 US$ für eine globale SMS und 0,02 US$ pro Minute Lokalgespräch. Das liegt an den noch nicht amortisierten Investitionen des lokalen Betreibers, außerdem soll das System einen angemessenen Profit generieren, damit Arbeitsplätze erhalten und geschaffen werden können. Ein weiterer Punkt ist die Verbindungsqualität, die durch die Kapazität der Satellitenverbindung beschränkt ist und daher noch keine weltweiten Anrufe zulässt.

no_of_usersAber bereits jetzt wird das System gut angenommen. Das nebenstehende Diagramm aus dem Paper der Entwickler zeigt, dass die Nutzeranzahl nach 180 Tagen Operation bereits auf fast 200 angestiegen war.

Meiner Meinung nach ein sehr schönes Projekt, dessen Entwicklung man auf dem Blog von Kurtis Heimerl weiterverfolgen kann.

 

 

http://www.ictd2013.info/

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

November 11 2013

Quantum Insert: GCHQ und NSA nutzen LinkedIn und Slashdot um OPEC und Mobilfunkknoten abzuhören

gchq-listeningAuch diese Woche startet mit neuen Enthüllungen über NSA und GCHQ. Laut Spiegel betreiben beide Behörden das sogenannte QUANTUM System, um maßgeschneiderte Angriffe auf bestimmte Administratoren und Mitarbeiter in strategisch wichtigen Unternehmen auszuführen. So erhielten die Geheimdienste Zugang zur internen Kommunikation der OPEC,  Belgacom International Carrier Services (BICS) und verschiedenen Abrechnungsunternehmen für Mobilfunkanbieter.

Das QUANTUM System ermöglicht es NSA und GCHQ sogenannte Man-In-The-Middle bzw. Man-On-The-Side Angriffe auszuführen. Zunächst werden in dem jeweiligen Unternehmen oder Organisation, deren interne Kommunikation man überwachen will, Mitarbeiter mit möglichst umfassenden Zugriffsrechten identifiziert – meistens Netzwerk- und System-Administratoren. Über diese werden dann möglichst exakte Profile erstellt: IDs der Endgeräte, Telefonnummern, Google-, Facebook-, LinkedIn-Accounts, etc. Basierend auf diesem Wissen wird dann für jede Zielperson ein maßgeschneiderter Angriff entwickelt. Oft bedeutet dies, dass die Zielperson auf eine gefälschte LinkedIn-Seite oder Slashdot-Seite geleitet wird – hier kommt das QUANTUM System ins Spiel.

NSA und GCHQ haben an zentralen Knoten des Internets Server, auf denen eine perfekte Kopie der jeweiligen Website – z.B. LinkedIn oder Slashdot.org – liegt. Besucht die Zielperson das nächste Mal LinkedIn wird sie in Wirklichkeit auf den NSA- oder GCHQ-eigenen Server weitergeleitet. Obwohl man vermeintlich auf LinkedIn landet, wird im Hintergrund Spähsoftware installiert, über die die Behörden nun vollen Zugriff auf das Unternehmensnetzwerk haben.

Bei der NSA werden diese Angriffe durch die Tailored Access Operations (TAO) Einheit durchgeführt, bei der GCHQ kümmert sich das My Network Operations Center (MyNOC) darum. Die eingesetzte Strategie funktioniert so gut, dass man die OPEC-interne Kommunikation bis zum saudi-arabischen OPEC-Gouverneur, einschließlich der Abrechnungs- und Rechtsabteilungen, überwachen konnte. Durch Überwachung von Mobilfunkknoten (z.B. BICS), von denen es weltweit nur rund zwei Dutzend gibt, sitzen GCHQ und NSA an kritischen Stellen zum Abhören des internationalen Mobilfunkverkehrs. Zusätzlich dazu erhalten sie weitere Verbindungsdaten durch das Überwachen von Unternehmen, wie Starhome Mach, Syniverse und Comfone, die sich um die Abrechnung von Roaming-Verbindungen zwischen Mobilfunkanbietern kümmern. Das Ergebnis ist die lückenlose Überwachung des internationalen Mobilfunkverkehrs – eines der Ziele des GCHQ.

Any mobile device, anywhere, anytime!

 

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

October 31 2013

Japan trackt Touristen für besseren Service

Die japanische Nachrichtenagentur Kyodo News hat am 18. Oktober über Pläne der japanischen Tourismusbehörde Japan Tourism Authority berichtet, die Bewegungen von Touristen anhand der Ortsinformationen auf deren Smartphones nachverfolgen zu wollen. Starten soll ein Testlauf nächsten März in acht verschiedenen touristisch geprägten Gebieten, wie dem Mt. Fuji, der im Sommer von 3000 Touristen pro Tag besucht wird.

Die gesammelten Daten werden dann in fünfminütigen Intervallen an ein Unternehmen gesendet, dass sie analysiert und aufbereitet. Damit soll es Reiseagenturen und den Verwaltungsbezirken ermöglicht werden, Touristenströme besser verstehen und darauf mit besserem Service reagieren zu können als das bisher durch konventionelle Befragungen möglich war.

Datenschutzbedenken werden laut dem Bericht abgewiesen, persönliche Informationen wie Name, Adresse und Geschlecht würden ja entfernt. Nicht eindeutig aus der Meldung hervor geht, ob auch die Rufnummerninformationen explizit entfernt werden, denn wie in Deutschland werden SIM-Karten nur personalisiert vergeben, in der Regel benötigt man sogar einen Wohnsitznachweis.

Die Entwicklung der Technologie wird von colopl und KDDI geleitet. Colopl ist im Ausland weitgehend unbekannt, in Japan aber mittlerweile der größte Social Games Provider, mit 3,4 Mrd. Dollar Börsenwert in der letzten Woche weit vor anderen Marktteilnehmern. Hauptgeschäft sind Spiele, die auf Location-Based-Services aufbauen. Laut Eigenbeschreibung verfügen sie über große Ortsdatenmengen und wollen diese nun im Dienst der Gesellschaft Analysen zur Verfügung stellen.

KDDI ist ein japanischer Telekommunikationsanbieter, Muttergesellschaft des Mobilfunkanbieters au – dem zweitgrößten Mobilfunkanbieter Japans.

In einer Mitteilung von Colopl finden sich nähere Informationen zum technischen Ablauf:

Quelle: colopl

Quelle: colopl.co.jp

  1. Nutzer von au-Smartphones stellen ihre Informationen bereit. Ihnen wird zugesichert, dass die Standortdaten, die an Dritte weitergegeben werden, keine persönlichen Informationen mehr enthalten.
  2. Der Betreiber KDDI (au) leitet die Informationen an colopl weiter. Das beinhaltet Positionsinformationen, Zeit und einen Identifikator für das Gerät. Für diesen wird ein Hash aus den Benutzerinformationen gebildet, damit Einzelpersonen nicht identifizierbar sind.
  3. colopl wertet die Daten statistisch aus und stellt sie den Gemeinden zur Verfügung.

Daraus sollen sich dann Aussagen wie die durchschnittliche Verweildauer der Touristen an einem Ort treffen lassen, wie in der folgenden Graphik dargestellt:

Quelle: colopl.co.jp

Quelle: colopl.co.jp

Ob KDDI ein Unternehmen ist, dem man mit seinen Versprechungen zum Schutz der persönlichen Daten vertrauen sollte, ist fraglich. 2010 fiel das Unternehmen bereits negativ auf, als es ein System bewarb, das mittels der Beschleunigungssensoren in Smartphones nicht nur den Standort von Arbeitnehmern, sondern auch die Art von deren Bewegungen analysieren konnte.

Laut KDDIs Entwicklungschef Hiroyuki Yokoyama vor allem praktisch zur Überwachung von Reinigungskräften:

Dadurch, dass diese Technologie zentrale Überwachung mehrerer Arbeiter an unterschiedlichen Orten möglich machen wird, sind Unternehmen vor allem daran interessiert, mit solcher Technologie die Effizienz ihrer Angestellten zu steigern. [...] Wir sind nun an einem Punkt angekommen, an dem wir Managern die Chance geben können, das Verhalten ihrer Angestellten gründlicher zu analysieren.

Japans Datenschutzniveau wird allgemein als nicht besonders hoch angesehen, es gehört daher auch nicht zu den “sicheren Drittstaaten”, in die eine Datenübermittlung ohne weiteres möglich ist. Außerdem fehlt es an öffentlicher Debatte und Problembewusstsein. Überwachung wird als Fürsorge des Staates bzw. der Unternehmen propagiert, wie auch im Fall von KDDI:

Es geht nicht darum, die Rechte der Angestellten auf Privatsphäre zu beschneiden. Wir sehen unsere Entwicklung lieber als ein sorgendes, mütterliches System an, nicht als Big-Brother-Methode, um Bürger zu überwachen.

Unterdessen kann man sich überlegen, was man mit den Touristendaten aus dem geplanten System anfangen könnte.  Zum Beispiel die Standorte der berühmten japanischen Verkaufsautomaten strategisch optimieren…

CC BY 2.0 via Flickr/kalleboo

Getränkeautomat auf dem Gipfel von Mt. Fuji – CC BY 2.0 via Flickr/kalleboo

 

 

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

September 25 2013

Handygate in Dresden: Dritte Verfassungsbeschwerde gegen Funkzellenabfrage zu Anti-Nazi-Protesten

Mobilfunkantennenanlage in der Großenhainer Straße in Dresden. Alle Handys, die hier kommuniziert haben, wurden überwacht.

Mobilfunkantennenanlage in der Großenhainer Straße in Dresden. Alle Handys, die hier kommuniziert haben, wurden überwacht.

Mit einer Funkzellenabfrage hat die Dresdner Polizei eine großflächige Gesamtüberwachung eines ganzen Stadtteils durchgeführt, um alle sich dort aufhaltenden Personen unter einen grundsätzlichen Tatverdacht zu stellen. Vor diesem Hintergrund wurde nun auch die dritte Verfassungsbeschwerde gegen eine Handy-Rasterfahndung aus dem Jahr 2011 eingereicht. Gleichzeitig wurde eine ganze Reihe weiterer Überwachungsmaßnahmen durchgeführt – inklusive einem IMSI-Catcher.

Im Februar 2011 hat die Polizei in Dresden mit drei Funkzellenabfragen mehr als eine Millionen Verbindungsdaten sowie die Bestandsdaten von fast 60.000 Menschen gesammelt und gerastert. Nach zwei Linkspartei-Landtagsabgeordneten und der grünen Bundestags-Spitzenkandidatin wurde jetzt die dritte Beschwerde beim Bundesverfassungsgericht dagegen eingereicht. Die Jenaer Rechtsanwältin Kristin Pietrzyk klagt als Betroffene ebenfalls gegen die massenhafte Handy-Überwachung. In einer Pressemitteilung heißt es:

Im Hinblick auf die mittlerweile inflationäre Praxis der Durchführung von Funkzellenabfragen, haben wir ein starkes Interesse daran, für den prominentesten dieser Fälle, der sich den Spitznamen „Handygate“ redlich verdient hat, eine Klärung vor dem Bundesverfassungsgericht herbei zu führen.

Die bekannteste der drei Funkzellenabfragen, die während des größten Naziaufmarschs Europas durchgeführt wurden, ist die um das Haus der Begegnung in der Großenhainer Straße. Ganze 48 Stunden lang wurden sämtliche Handy-Verbindungen, die über Mobilfunkzellen gingen, die auch am Haus der Begegnung zu empfangen sind, gespeichert und an die Dresdner Polizei übermittelt. Von diesen 81.229 Verkehrsdaten wurden von 35.748 Handy-Nummern die Bestandsdaten eingeholt, also Name und Adresse der Anschluss-Inhaber. Dieser Datensatz ging später auch an das Landeskriminalamt, das damit eine Rasterfahndung druchführte.

Das Ziel der Maßnahme ist nicht ganz klar. Offiziell wollten die Behörden ein paar Antifaschisten finden, die ein paar Nazis verprügelt haben sollen. Diese sollen sich über ein Handy koordiniert haben. Dagegen hat die Staatsmacht gleich eine ganze Reihe an Maßnahmen aufgefahren: Telekommunikationsüberwachung, Observation, IMSI-Catcher, Video-Überwachung und sogar die Durchsuchung des Hauses und Beschlagnahme von Kommunikationsgeräten. Das geht aus der veröffentlichten Zusammenfassung der Verfassungsbeschwerde hervor:

Zusammenfassend lässt sich sagen, dass […] ein IMSI-Catcher eingesetzt wurde, der den Standort als Großenhainer Str. 93 ermittelte. Das Objekt wurde durchsucht und neben anderen Gegenständen eine Vielzahl von Rechnern, Laptops und Mobiltelefonen beschlagnahmt. […] wurden […] einer vollumfänglichen Telekommunikationsüberwachung unterzogen, einige auch observiert. […] Auch die […] Auswertung der Videoaufnahmen […] war noch nicht erfolgt.

Es leuchtet auch aus ermittlungstechnischen Gründen nicht ein, warum neben einer vollumfänglichen Telekommunikationsüberwachung […] noch die Abfrage und Auswertung einer Funkzelle benötigt wurde. Dieses Vorgehen ergibt nur unter dem Blickwinkel einen weitergehenden Sinn, wenn man den Strafverfolgungsbehörden unterstellt, mittels einer großflächigen Gesamtüberwachung eines ganzen Straßenzuges oder Stadtteils alle sich dort aufhaltenden Personen unter einen grundsätzlichen Tatverdacht zu stellen, ohne hinreichende Momente des Anfangsverdachts in Bezug auf die erfassten Personen darstellen zu können.

Trotz all dieser Maßnahmen wurde übrigens bis heute, mehr als zweieinhalb Jahre danach, noch kein einziger Verdächtiger ermittelt und angeklagt.

Fraglich ist, wozu alle Handys in mehreren Funkzellen überwacht werden müssen, wenn das “verdächtige” Handy ohnehin abgehört wird. Der gleichzeitige Einsatz eines IMSI-Catchers, der eine eigene Funkzelle vorgibt, macht die Sache noch abstruser:

Weiterhin ist fraglich, ob der gleichzeitige Einsatz eines IMSI-Catchers die Auswertung einer Funkzelle noch ermöglicht, die Daten des zur Auskunft verpflichteten Providers verfälscht oder in anderer Art und Weise eine Funkzellenabfrage nicht ad absurdum führt. Schließlich ist auch fraglich, ob durch den Einsatz des IMSI-Catchers nicht bereits Verbindungsdaten erhoben worden sind. Mangels hinreichender Vermerke zum Einsatz des IMSI-Catchers in der zur Einsicht erhaltenen Akte kann diesbezüglich nur spekuliert werden.

Dass die Funkzellenabfrage schon 32 Stunden vor Inbetriebnahme des Zielhandys begann, können die Behörden selbst nicht ausreichend begründen:

Ein konkreter zeitlicher Bezug zur Tatzeit war auch nicht gegeben. Ausweislich der Akteneinsicht wurden die als Tatmittel in Betracht kommenden Mobiltelefone um 8.00 Uhr des 19.02.2011 in Betrieb genommen. Die Notwendigkeit des Beginns der Funkzellenabfrage über 24 Stunden zuvor vermag auch die Staatsanwaltschaft sowie das LKA in der Beschlussanregung nicht zu erklären.

Eine der 330.000 betroffenen Menschen ist die Anwältin Kristin Pietrzyk. Die Polizei bekam nicht nur die Informationen, wann sie wie lange mit wem kommuniziert hat und wo beide dabei waren, sondern gleich noch ihre Bestandsdaten, also Name und Anschrift. Dagegen klagt Pietrzyk, denn sie sieht ihre Rechte auf Fernmeldegeheimnis, informationelle Selbstbestimmung und Grundrecht auf freie Berufsausübung verletzt.

Vor allem hält sie die massenhafte Rasterfahndung der Mobilfunk-Kommunikation eines ganzen Stadtteils für unverhältnismäßig. Durch die enorme Streubreite der Maßnahme sind zwangsläufig viele unbeteiligte Dritte betroffen, im dicht besiedelten Stadtgebiet waren es allein tausende Anwohner. Die Anordnung war zeitlich und räumlich nicht begrenzt genug, zudem war der Abfragezeitraum mit vollen zwei Tagen extrem lang. Durch die räumliche Größe sagt ein Eintrag in der Funkzellen-Datei auch nicht, dass all diese Handys im im Haus der Begegnung waren.

Darüber hinaus wird der Richtervorbehalt als nicht hinreichend kritisiert, da einfach nur ein Vordruck der Staatsanwaltschaft unterschrieben wurde, der sogar noch die selben Rechtschreib- und Grammatik-Fehler wie die Vorlage hatte. Erst recht gab es keine Prüfung von besonders geschützten Berufsgruppen, wie etwa Anwälten. Ein effektives Zeugnisverweigerungsrecht und damit die freie Berufsausübung als Rechtsanwältin seien somit nicht möglich.

Wegen der “Nutzung einer Funkzellenabfrage als alltägliches Ermittlungsinstrumentarium” und der “mangelnden Beachtung von Grundrechten” kommt dieser Verfassungsbeschwerde eine “grundsätzliche Bedeutung zu”.

Neben den beiden bisher eingereichten Beschwerden werden noch weitere folgen, unter anderem von Anwohner/innen, Gewerkschafts-Mitarbeiter/innen und vielleicht auch Journalist/innen und Bundestagsabgeordneten. Das Bundesverfassungsgericht kann dann entscheiden, all diese Einzelbeschwerden in einem einzigen Verfahren zusammenzuziehen, was als sehr wahrscheinlich angesehen wird. Mit einer Anhörung wird frühestens im nächsten Jahr gerechnet, wahrscheinlich sogar noch später.

Kristin Pietrzyk kommentiert:

Jetzt liegt es an den Richtern und Richterinnen vom Bundesverfassungsgericht, die Strafverfolgungsbehörden zu einer gewissenhaften Achtung von Grundrechten zurück zu führen.

Netzpolitik.org wünscht viel Erfolg!

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

September 12 2013

Handygate in Dresden: Zweite Verfassungsbeschwerde gegen Funkzellenabfrage mit 35.000 namentlich Betroffenen

Funkzellenabfragen am 19. Februar 2011 in Dresden. © OpenStreetMap contributors.

Funkzellenabfragen am 19. Februar 2011 in Dresden. © OpenStreetMap contributors.

Eine der Funkzellenabfragen in Dresden ist illegal, weil sie nicht zur Ergreifung konkreter Tatverdächtiger, sondern zur Rasterfahndung und Ermittlung von Strukturen eingesetzt wurde. Mit dieser Rechtsauffassung klagt die grüne Spitzenkandidatin Katrin Göring-Eckardt gegen eine Handy-Rasterfahndung aus dem Jahr 2011. Die Klage kritisiert außerdem, dass die massenhafte Grundrechtsverletzung durch Handyüberwachung zur Standardmaßnahme geworden ist.

Einige der bekanntesten Fälle von Funkzellenabfragen sind die vom “Handygate” in Dresden im Februar 2011. Damals wurden mehr als eine Millionen Verbindungsdaten sowie die Bestandsdaten (Name und Adresse) von fast 60.000 Menschen von der Polizei gesammelt und gerastert. Das Amtsgericht Dresden, dass diese massenhafte Handy-Überwachung auch angeordnet hat, hatte gleich zweimal Klagen dagegen abgewiesen. Das nächsthöhere Landgericht hatte eine der drei Maßnahmen für illegal erklärt, wenn auch mit der Blaupause für die legale Massenüberwachung.

Gegen die längste Funkzellenabfrage mit den meisten namentlich Betroffenen haben bereits im Mai die Linkspartei-Abgeordneten Rico Gebhardt und Falk Neubert Verfassungsbeschwerde beim Bundesverfassungsgericht eingereicht. Jetzt kommt eine zweite Verfassungsbeschwerde dazu, und zwar von Johannes Lichdi im Auftrag von Katrin Göring-Eckardt, beide Grüne. Und darum geht’s:

Die Beschwerdeführerin nahm am 19. Februar 2011 als Präsidentin des Deutschen Evangelischen Kirchentags an den kirchlichen Mahnwachen an der Geschäftsstelle des Kirchentags an der Ostraallee sowie an der Hofkirche, Frauenkirche und Kreuzkirche in Dresden teil. Sie sprach auf diesen Versammlungen, um gegen den neonazistischen Missbrauch des Dresdner Gedenktags an die Zerstörung der Stadt im 2. Weltkrieg zu protestieren. Sie befand sich nicht an den Tatorten der Landfriedensbrüche in der Dresdner Südvorstadt und Dresden-Plauen, die mit der Funkzellenabfrage erfasst werden sollten.

Die Polizei hat bis Januar 2013 1.027.975 Verkehrsverbindungsdatensätze erhoben und 56.148 Bestandsdaten (Klarnamen, Geburtsdatum und Adresse der gemeldeten Mobilfunkinhaber) ermittelt. Verkehrsverbindungsdaten sind die anrufende und angerufene Nummer sowie die Kennung der Funkzelle, in der die kommunizierenden Nummern eingeloggt sind. Die Dresdner Funkzellenabfrage dürfte die bisher größte zu Strafermittlungszwecken in Deutschland gewesen sein. Auch die Verkehrsverbindungsdaten der Beschwerdeführerin wurden erfasst und ausgewertet.

Nachdem im Juni 2011 die Tageszeitung “taz” von der massenhaften Erhebung von Verkehrsverbindungsdaten berichtet hatte, legte Katrin Göring-Eckardt wie 114 andere Betroffene Beschwerde gegen diese Ausforschung ihres Kommunikationsverhaltens ein. Ihre Beschwerde wurde im Mai 2012 vom Amtsgericht Dresden als unbegründet zurückgewiesen. Auf ihre sofortige Beschwerde entschied das Landgericht Dresden im August 2013, dass die Funkzellenabfragen im Grundsatz rechtmäßig gewesen seien. Nach Ausschöpfung des Rechtswegs bleibt nur noch die Verfassungsbeschwerde, um die Grundrechtswidrigkeit des Vorgehens der Dresdner Strafverfolgungsbehörden und der Entscheidungen der sächsischen Justiz feststellen zu lassen.

Die Beschwerdeführerin möchte eine Klärung der bisher nicht entschiedenen Frage erreichen, ob eine massenhafte Erfassung und Auswertung elektronischer Kommunikationsverbindungsdaten Unverdächtiger samt anschließender Identifizierung mit den Prinzipien eines freiheitlichen und an Bürgerrechten orientierten Rechtsstaats vereinbar sein soll. Gerade angesichts der erheblichen Erweiterung der Bestandsdatenabfrage durch CDU/CSU und FDP mit Zustimmung der SPD auf IP-Adressen und Passwörter zum 1.7.2013 ist die Klärung dieser Fragen dringend.

Die Dresdner Gerichte hatten eine vollständige Akteneinsicht im Beschwerdeverfahren verweigert. Die Verfassungsbeschwerde stützt sich daher maßgeblich auf die Feststellungen des Sächsischen Datenschutzbeauftragten, Andreas Schurig, der die Dresdner Funkzellenabfrage in seinem Bericht vom 9. September 2011 als rechtswidrig bezeichnet hatte.

Die 40-seitige Verfassungsbeschwerde ist im kompletten Wortlaut online. Sie stützt sich unter anderem auf den Bericht des Sächsischen Datenschutzbeauftragten zu den Funkzellenabfragen in Dresden.

Die Vizepräsidentin des Deutschen Bundestages und Präsidentin des Deutschen Evangelischen Kirchentags Katrin Göring-Eckardt beklagt darin die Verletzung ihrer Grundrechte Fernmeldegeheimnis, informationelle Selbstbestimmung und Religionsausübung sowie ihrem Zeugnisverweigerungsrecht als Bundestagsabgeordnete. Darüber hinaus sieht die Klageschrift aber auch eine “grundsätzliche verfassungsrechtliche Bedeutung” des Falls.

Die Verfassungsbeschwerde hat grundsätzliche verfassungsrechtliche Bedeutung. Soweit ersichtlich hat das Bundesverfassungsgericht bisher nicht über die Verfassungsmäßigkeit einer heimlichen, allein anlassbezogenen massenhaften Erhebung von elektronischen Kommunikationsverkehrsdaten gegen Unverdächtige über Tage und Stadtteile hinweg entschieden, die mit dem Ziel erfolgt, die Verkehrsdaten nach Strukturen der Kommunikationsbeziehungen auszuwerten und anschließend die bis dahin anonymen Klarnamen, Geburtsdaten und Adressen der Inhaber der elektronischen Kommunikationsendgeräte mit Bestandsdatenabfragen zu ermitteln, um die Betroffenen so zu identifizieren und weiteren Folgeermittlungsmaßnahmen zu unterwerfen.

Die Annahme zur Entscheidung ist geboten, da die Dresdner Strafermittlungsbehörden unter dem Vorwand einer Funkzellenabfrage nach § 100g StPO einen neuartigen dreiaktigen Eingriff in Grundrechte vieler Tausender Betroffener erfunden haben, der nicht nur die gesetzlichen Voraussetzungen des § 100g StPO sprengt, sondern für den keine Ermächtigungsgrundlage besteht. Die Dresdner Verkehrsdatenabfrage zielt nicht wie bisher auf die Bestätigung eines Tatverdachts gegen einen aufgrund anderer Umstände bereits Tatverdächtigen, sondern auf die Erhebung einer möglichst umfangreichen Datenbasis, die für sich genommen nicht in der Lage ist, einen Tatverdacht zu bestätigen oder zu widerlegen, sondern vielmehr Ausgangsmaterial einer rasterartigen elektronischen Auswertung ist. Die Auswertung wiederum zielt auf die Ermittlung umfangreicher Kommunikations-, Bewegungs- und Sozialprofile von Grundrechtsträgern, deren Identität im dritten Schritt massenhaft ermittelt wird.

Zudem wird kritisiert, dass die Funkzellenabfrage als eher “neuartiger Eingriff” mittlerweile zur “Standardmaßnahme” geworden ist:

Eine verfassungsrechtliche Klärung ist angesichts einer Vielzahl gleich gelagerter Fälle geboten. Die heimliche massenhafte Erhebung und Auswertung elektronischer Kommunikationsverkehrsdaten samt Offenlegung der Identitäten ist in den letzten Jahren ohne Ermächtigung und Willen des Gesetzgebers sprunghaft angestiegen und offensichtlich spätestens nach Anschaffung geeigneter Auswertungsprogramme zur polizeilichen Standardmaßnahme geworden ist.

Hierzu zitieren sie auch aus dem Prüfbericht des Berliner Datenschutzbeauftragten, der ebenfalls sagt, dass Funkzellenabfragen “offensichtlich zum alltäglichen Ermittlungsinstrument geworden [sind], das routinemäßig und ohne hinreichende Beachtung der gesetzlichen Vorgaben eingesetzt wird.” Erst gestern hatten wir berichtet, dass diese massenhafte Handy-Überwachung dutzendfach in Deutschland durchgeführt werden dürfte – jeden Tag.

Damit liegen nun mindestens zwei Verfassungsbeschwerden gegen Funkzellenabfragen vom “Handygate in Dresden” beim Bundesverfassungsgericht. Weitere Klagen, wie etwa von der ebenfalls betroffenen Linkspartei-Bundestagsabgeordneten Halina Wawzyniak oder Journalist/innen der Tageszeitung taz, sind ebenfalls möglich, sobald diese einen Beschluss vom Landgericht Dresden erhalten. Das Gericht in Karlsruhe hat die Möglichkeit, diese Beschwerden auch zusammen zu behandeln. Wann eine Anhörung oder gar ein Urteil zu erwarten sind, ist derzeit noch nicht einzuschätzen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 30 2013

Russland: Moskauer Metro soll mit Überwachungssystem ausgestattet werden

Nachdem Edward Snowden in Russland Asyl gewährt wurde, sollte man meinen, dass die Diskussion um die Überwachung der Bürger im Internet auch in Russland angekommen ist. Einigen Politiker und Verantwortlichen scheint diese Diskussion allerdings noch nicht weit genug zu gehen, weshalb gleich ein neues Überwachungsprojekt ins Leben gerufen wurde. Wie Radio Free Europe/Radio Liberty berichtet, soll in Moskauer Metrostationen ein System errichtet werden, mit dessen Hilfe sich Daten von Mobiltelefon auslesen lassen. Gleichzeitig soll es mit dem System aber auch möglich sein, die Handys durch das gesamte Metrosystem zu verfolgen.

Das System wird jedoch von den Behörden nicht als Überwachungssystem vermarktet. Der Chef der Polizeieinheit der Moskauer Metro, Andrei Mokhov, sagte gegenüber der russischen Zeitung Izvestia (Google Translate), dass System diene zum Aufspüren von gestohlenen Mobiltelefonen.

If the card is on the list of stolen phones, the system automatically sends information to the police.


Alexander Ivanchenko, Direktor der Russian Security Industry Association, äußerte gegenüber der Zeitung jedoch Zweifel, wie arstechnica berichtet:

“It is obvious that the cost of the system is not commensurate with the value of all the stolen phones,”[...] “Also, effective anti-theft technology is already known: in the US, for example, the owner of the stolen phone knows enough to call the operator—and the stolen device stops working, even if another SIM-card is inserted.”

Laut arstechnica vermuten Experten, dass es sich bei der eingesetzten Technik um sogenannte IMSI-Catcher handelt. Diese IMSI-Catcher simulieren ein Mobilfunknetzwerk, mit dem sich die Mobiltelefone in der Umgebung verbinden. So ist es möglich den Standort von Mobiltelefonen zu bestimmen. Gleichzeitig ist es aber auch möglich Telefonate mit zu hören und Nachrichten mitzulesen.

Wie Keir Giles vom Conflict Studies Research Centre sagt, behaupten die russischen Behörden mit diesem Vorgehen keine Gesetze zu verletzen, da die SIM-Karten Eigentum der Mobilfunkanbieter und nicht der Nutzer sind:

They are claiming that although they are legally prohibited from indiscriminate surveillance of people, the fact that they are following SIM cards which are the property of the mobile phone operators rather than the individuals carrying those SIM cards makes the tracking plans perfectly legal,” he said, adding that this reasoning is “weaselly and ridiculous.

BBC Russland (Google Translate) berichtet, dass das Überwachungssystem bereits Ende diesen Jahres oder Anfang 2014 an den Start gehen soll.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 22 2013

Millionen SIM-Karten durch veraltete Verschlüsselungstechnik gefährdet

SIM-Karten sind das Herzstück der mobilen Kommunikation. Ohne sie wäre keine Identifikation eines bestimmten Nutzers im Telekommunikationsnetz möglich. Zusätzlich wird das Gerät im Netz angemeldet und authentifiziert. Erst mit ihr ist die Anmeldung im Netz und damit auch die Kommunikation, möglich. Wie der deutsche Sicherheitsforscher Karsten Nohl nun aufzeigt, sind alleine in Deutschland mehrere Millionen SIM-Karten im Umlauf, welche mit einfachen Mitteln gekapert werden können. Weltweit schätz Nohl die Anzahl auf rund eine halbe Milliarde Karten, welche potenziell gefährdet sind.

Wie heise security berichtet, ist hierfür der Einsatz der veralteten Verschlüsselungstechnik DES verantwortlich. Diese bereits Anfang der 1970er Jahre entwickelte Verschlüsselungstechnik besitzt eine Schlüssellänge von lediglich 56 Bit. Auch wenn herkömmliche Rechner rund eine Jahr brauchen um einen DES-Schlüssel zu knacken, gibt es genügend moderne Hardware, wie die Rechenmaschine COPACOBANA, welche lediglich eine Woche benötigen. Wie heise security berichtet, ist Nohl mittlerweile in der Lage die Schlüssel in wenigem Minuten zu knacken:

Nohl [konnte] jedoch innerhalb eines Jahres große Tabellen mit Zwischenergebnissen für die Verschlüsselung berechnen, sodass er in der Lage ist, einen DES-Schlüssel einer SIM-Karte innerhalb weniger Minuten zu knacken (Known Plaintext Attack). Er muss dazu lediglich eine fehlerhaft signierte OTA-SMS an das Zielhandy schicken und dessen Antwort analysieren. Das funktionierte in einer konkreten Demo für heise Security auch völlig reibungslos.


OTA-SMS sind dabei verschlüsselte Nachrichten, die direkt an die SIM-Karte geschickt werden. Nachdem eine SIM-Karte auf diese Art und Weise gehackt wurde, stehen dem Eindringlinge alle normalen Funktionen einer SIM-Karte zur Verfügung, dazu gehören beispielsweise das Versenden von Premium-SMS oder aber auch das Orten des Mobiltelefons.

Doch damit leider noch nicht genug. Die kleinen Programme, welche auf einer SIM-Karte laufen, sind kleine Java-Applikationen, die eigentlich in einer virtuellen Maschine von der Außenwelt abgeschottet werden. Nohl fand jedoch bei einer Analyse dieser virtuellen Maschinen heraus, dass einige elementare Sicherheitsfunktionen nicht umgesetzt werden und es so ein leichtes ist einen Trojaner zu schreiben, welcher aus dieser virtuellen Maschine ausbrechen kann. Ein solcher Trojaner könnte anschließend beispielsweise den Master-Key einer SIM-Karte auslesen, mit dem eigentlich die sicherere Anmeldung im Netz gewährleistet wird. Die Folgen können verheerend sein, wie Nohl heise security demonstrierte:

Nohl demonstrierte diesen Angriff sehr eindrucksvoll, indem er heise Security mit einem Handy ohne SIM-Karte anrief. Als Anrufer erschien dabei die Nummer der zuvor via SMS gekaperten SIM-Karte, deren Master-Key er in seinen SIM-Karten-Simulator transferiert hatte.

Auch das Bezahlen per NFC ist laut heise security betroffen, da die Apps von Paypal, Visa und Co. die Bezahlvergänge auf der SIM-Karte autorisieren.

Wie viele SIM-Karten tatsächlich durch die Verschlüsselung per DES und die nachlässige Implentierung der virtuellen Maschine betroffen sind, kann nur schwer gesagt werden. Nohl geht von mehreren Millionen Karten in Deutschland und bis einer halben Milliarde Karte weltweit aus. In Deutschland sind aber nur ältere Karten von den Problemen betroffen, da die Provider in Deutschland seit einigen Jahren keine SIM-Karten mit DES-Verschlüsselung mehr verkaufen. Laut heise security ist die Lage im nahen europäischen Ausland aber bereits eine andere, da dort noch DES-Karten verkauft werden.

Die deutschen Mobilfunkprovider scheinen mittlerweile reagiert zu haben. Nachdem Nohl die Provider bereits vor einigen Monaten auf die Schwachstellen aufmerksam machte, haben diese damit begonnen die sogenannten OTA-SMS zu filtern. Da diese OTA-SMS nicht von normalen Mobiltelefonen versendet werden müssen, behalten es sich die Provider vor, SIM-Karten von denen dennoch OTA-SMS geschickt werden, zu sperren.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

May 24 2013

re:log – Interaktive Karte visualisiert Besucherströme der re:publica 2013 anhand von W-LAN-Daten

Der Aufenthaltsort und die Wege aller Geräte, die das W-LAN auf der re:publica 2013 verwendet haben, sind jetzt auf einer interaktiven Karte nachvollziehbar. Eine Web-Anwendung visualisiert die Besucherströme der Konferenz, die anonymen Rohdaten gibt es zum Download. Die Visualisierung zeigt, dass Mobilfunkgeräte mobile Tracking-Devices sind – und was die beliebtesten Veranstaltungen waren.

re-log-lobo-590

Da das W-LAN und das Internet auf der diesjährigen re:publica funktionierte, wurde es auch fleißig genutzt. Mehr als 6.700 Geräte haben sich eingebucht. Der Datensatz, wann welches Gerät (identifiziert anhand der Hardware-Adresse des jeweiligen WLAN-Adapters) welchen Wireless Access Point verwendet hat, ist jetzt anonymisiert (also ohne die MAC-Adressen) zum Download erhältlich: republica13-wlan-data.csv.zip (1,5 MB) Dank dafür geht an die Netzwerk-Techniker von picocell und newthinking. Die Daten sehen so aus:

Zeit Accesspoint Raum x (ungefähr) y (ungefähr) fortlaufende Gerätenummer 2013-05-05 T11:46:00.000Z ap-r1-m2-001 lounge 1.48162 0.19452 0 2013-05-05 T11:46:00.000Z ap-r1-m2-001 lounge 1.48162 0.19452 1 2013-05-05 T11:46:00.000Z ap-r1-m2-002 garderobe 1.27946 0.11638 2

 

Die Daten-Spezialexperten von OpenDataCity haben daraus einen interaktiven Plan erstellt. Hier ein kurzes Interview mit den Machern:

netzpolitik.org: Coole Visualisierung! Wie lange habt ihr dafür gebraucht?

OpenDataCity: Vor knapp 10 Tagen haben wir die Daten bekommen. Seitdem hat bei uns vor allem Michael Kreil viel Zeit damit verbracht, die App zum Laufen zu bringen.

netzpolitik.org: Was war die interessanteste Erkenntnis?

OpenDataCity: Das es geht. Theoretisch war uns das klar. Es auszuprobieren, zu sehen und dann noch für alle sichtbar zu machen, ist was ganz anderes.

netzpolitik.org: Was können wir aus der Visualisierung lernen?

OpenDataCity: Einerseits zeigt re:log, wie viele Datenspuren wir oft hinterlassen. Insofern wäre gut, wenn die Anwendung dazu beiträgt, dass Leute erst einmal kurz nachdenken, warum jemand ein “Free Wifi” anbietet. Anderseits ist re:log aber auch ein interessantes Tool, zu Dokumentation und Analyse von solchen Großveranstaltungen.

Weitere Hintergründe gibt’s auch im Blog von Lorenz Matzat auf datenjournalist.de:

Da die Macher einen detailliertes Mitschneiden des W-LAN nicht angekündigt hatten – etwa die Aufzeichnung der gesamten Hardware/MAC-Adressen oder des Traffics auf einem Gerät – kann aus Datenschutzgründen nur der Aspekt Verbindungsdauer und -ort ausgewertet werden.

Fürs kommende Jahr, so wird angekündigt, wolle man aber “gerne vom ‘Aluhut-’ in den ‘Spackeria-Modus’ wechseln” und eine tiefergehende Analyse ermöglichen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

May 23 2013

Handygate in Dresden: Verfassungsbeschwerde gegen Funkzellenabfrage mit 35.000 namentlich Betroffenen

Funkzellenabfragen am 19. Februar 2011 in Dresden. © OpenStreetMap contributors.

Funkzellenabfragen am 19. Februar 2011 in Dresden. © OpenStreetMap contributors.

Funkzellenabfragen verletzen das Grundrecht auf informationelle Selbstbestimmung und das Telekommunikationsgeheimnis. Mit dieser Rechtsauffassung klagen zwei sächsische Landtagsabgeordnete gegen die Handy-Rasterfahndung in Dresden 2011. Bei der kritisierten Maßnahme wurden sämtliche Handy-Verbindungen von zwei Tagen übermittelt und gerastert – mit 35.000 namentlich Betroffenen.

Wiederholt haben wir über die massenhafte Handy-Überwachung in Dresden im Februar 2011 berichtet. Gleich drei Funkzellenabfragen hatten die sächsischen Behörden durchgeführt, um ein paar Antifaschisten zu finden, die während des größten Naziaufmarschs Europas ein paar Nazis verprügelt haben sollen. Ohne Erfolg, bis heute wurde keine einzige Anklage erhoben. Dafür landeten 1.145.055 Verkehrsdatensätze bei der Polizei, von 58.911 der 330.00 betroffenen Menschen wurden die Bestandsdaten (also Name und Adresse) eingeholt.

Das Amtsgericht Dresden, das die Funkzellenabfragen angeordnet hat, hat gleich zweimal Klagen dagegen abgewiesen. Das Landgericht als nächsthöhere Instanz hatte eine der drei Funkzellenabfragen als unrechtmäßig eingestuft – aber nur aufgrund eines Formfehlers.

Die längste Funkzellenabfrage mit den meisten namentlich Betroffenen hielt das Gericht jedoch auch inhaltlich für korrekt und verhältnismäßig:

Die Überwachung aller Handys im Umkreis des Haus der Begegnung bewertete das Gericht dabei auch inhaltlich. Dabei wurden über einen Zeitraum von zwei vollen Tagen 81.229 Verkehrsdaten abgeschnorchelt und von 35.748 die Bestandsdaten eingeholt, also Name und Adresse der Anschluss-Inhaber. Auf fünf Seiten erklärt das Gericht, dass es diese massenhafte Pauschalüberwachung für rechtmäßig hält.

Nach Ansicht des Gerichts war die “Erhebung der Verkehrsdaten […] für die Erforschung des Sachverhaltes erforderlich und die Erforschung des Sachverhaltes wäre auf andere Weise aussichtslos.” Dumm nur, dass auch mehr als zwei Jahre später noch kein einziger Verdächtiger ermittelt und angeklagt wurde. Auch die “Begehung von Straftaten mittels Telekommunikation” war laut Gericht gegeben, weil Handy verwendet wurden und auch anzunehmen war, dass Straftäter Handys nutzen würden. Auch die Dauer der Funkzellenabfrage von 48 Stunden beanstandete das Gericht nicht.

Gegen diese Entscheidung haben die Sächsischen Landtags-Abgeordneten Rico Gebhardt und Falk Neubert von der Linkspartei jetzt Verfassungsbeschwerde beim Bundesverfassungsgericht eingereicht:

In der 47 Seiten umfassenden Beschwerdeschrift wird detailliert die Verfassungswidrigkeit dieser extensiven Datensammlung dargelegt und die Verletzung des Grundrechts auf informationelle Selbstbestimmung (Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG) sowie des Grundrechts der Unverletzlichkeit des Telekommunikationsgeheimnisses (Art. 10 Abs. 1 GG) geltend gemacht.

Falk Neubert erklärt:

Gerade bei der Funkzellenabfrage im Bereich der Großenhainer Straße ist die Intensität der Grundrechtseingriffe besonders hoch, weil hier massiv Daten völlig unbescholtener Bürger gesammelt worden sind. Daher ist der Gang vor das Bundesverfassungsgericht nur folgerichtig und geschieht stellvertretend für die tausenden Betroffenen, die mit Name und Anschrift bei den Behörden gespeichert wurden. Rechtsstaatliche Grundsätze haben auch in Sachsen zu gelten. Denn ein willkürliches Vorgehen der Behörden schwächt das Vertrauen in die Demokratie.

Wir begrüßen diesen Schritt und hoffen, dass das Bundesverfassungsgericht der massenhaften Handy-Rasterfahndung ein Ende bereitet.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

March 27 2013

Berliner Datenschutzbeauftragter fordert starke EU-Datenschutzverordnung mit mehr Nutzereinwilligung und klaren Regeln

In den Verhandlungen um die Gestaltung der EU-Datenschutzgrundverordnung “wird eine Absenkung des Datenschutzniveaus zu Lasten der Bürgerinnen und Bürger vor allem von Unternehmen der Internetwirtschaft und der Werbebranche, aber auch von mehreren Regierungen betrieben.” Alexander Dix, Berliner Beauftragter für Datenschutz und Informationsfreiheit übt in der lesenwerten Einleitung zu seinem Jahresbericht deutliche Kritik am derzeitigen Verhandlungsstand des Gesetzesvorhabens. Und nicht nur das: Er macht auch zehn konkrete Vorschläge, wo er Verbesserungsbedarf am Gesetzesvorhaben sieht:

  1. Die Aufsichtsbehörde sollte das Recht auf anlasslosen Zugang zu
    Geschäfts- und Diensträumen behalten.
  2. Die Bestellpflicht der oder des betrieblichen Datenschutzbeauftrag-
    ten sollte nicht zu einem Ausnahmetatbestand werden.
  3. Die Rechte der betrieblichen und behördlichen Datenschutzbeauf-
    tragten sind zu stärken.
  4. Das Ungleichgewicht zwischen verantwortlicher Stelle und Betrof-
    fenen ist kein geeignetes Kriterium für die Freiwilligkeit der Einwil-
    ligung.
  5. Es sind Rechtsgrundlagen für Auskunfteien zu schaffen.
  6. Es sollten strengere Regelungen für das Scoring eingeführt werden.
  7. Werbung sollte nur mit Einwilligung der Betroffenen möglich sein.
  8. Bei Videoüberwachungen sollte weiterhin eine Hinweispflicht vorge-
    sehen sein.
  9. Es fehlen Pflichten zu Anonymisierung und Pseudonymisierung.
  10. Kontrollrechte gegenüber Auftragsdatenverarbeitern sind zu stärken.

Die Vorschläge, die Dix in seinem Bericht detaillierter ausführt, sprechen sich insgesamt für eine Stärkung der Zustimmung in die Datenverarbeitung und gegen all zu viel wage Abwägungen von Nutzer/innenrechten gegenüber dem “berechtigten Interesse” des Datenverarbeiters aus. Das berechtigte Interesse als Datenverarbeitungsgrund hatten wir schon öfter kritisiert: So begründet etwa Google die Aggregation und Verwertung der Daten aus all seinen Diensten mit jenem “berechtigten Interesse”. Auch trackingbasierte Internetwerbung, die umfassende Persönlichkeitsprofile aus der Analyse des Surfverhaltens generiert, funktioniert zumeist auf dieser Rechtsgrundlage. Lesenswert dazu ist die Bits of Freedom-Broschüre “A loophole in data processing“.

Einige von Dix’ Vorschlägen sind natürlich mit Vorsicht zu genießen. So fordert er u.a. pseudonymisierte und anonymisierte Datenverarbeitung  anzuregen. Dies ist prinzipiell zu begrüßen, darf jedoch nicht zu einer Absenkung des Datenschutzniveaus führen, wie es derzeit nicht nur Lobbyist/inn/en, fordern. Persönliche Daten bleiben persönliche Daten, auch wenn (noch nicht) nicht mein Name drauf steht. Dix begibt sich jedoch nicht in das Lobby-Fahrwasser, Datenberge nur aufgrund von “Pseudonymisierung” zu rechtfertigen und fordert in diesem Zusammenhang Beschränkungen.

Insgesamt sind Dix’ praxisnahe Zeilen sehr lesenswert. Er reiht sich damit ein in das immer größer werdende Lager von Datenschutzexpert/inn/en, die sich für eine Stärkung der EU-Datenschutzverordnung aussprechen und der Mär vom alternativlosen Ende des Grundrechts auf Datenschutz etwas entgegensetzen. Nein, das Internet wird nicht untergehen mit der Datenschutzverordnung.

flattr this!

Jahresbericht: Datenschutz-Beauftragter kritisiert, dass Funkzellenabfragen “von der Ausnahme zur Regel” werden

fza-karte-2Die massenhafte Handy-Überwachung per Funkzellenabfrage ist “entgegen der gesetzlichen Vorgabe zum alltäglichen Ermittlungsinstrument geworden”. Das stellt der Berliner Beauftragte für Datenschutz und Informationsfreiheit in seinem heute veröffentlichten Jahresbericht fest. Weil dabei jedoch sensible Daten von großen Menschenmengen erfasst werden, fordert Dr. Dix eine wirksame Begrenzung der Maßnahme.

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit, Dr. Alexander Dix, hat heute seinen Tätigkeitsbericht für das Jahr 2012 vorgestellt. Auf 220 Seiten (PDF) finden sich 98 Beiträge “zur Gesetzgebung und Rechtsprechung, zu Bürgerbeschwerden und Überprüfungen vom Amts wegen in der Berliner Verwaltung und bei Berliner Unternehmen.” Das sind die Schwerpunktthemen:

  • Funkzellenabfragen – von der Ausnahme zur Regel?
  • Zehn Vorschläge zur Verbesserung der EU-Datenschutz-Grundverordnung
  • BYOD – “Bring your own device”: Arbeiten mit privaten Endgeräten
  • Wann dürfen Apothekenrechenzentren Verordnungsdaten weitergeben?
  • Wenn die Aufsichtsbehörde klingelt – vermeidbare Fehler von Unternehmen bei Prüfungen

Die prominente Behandlung des Themas Funkzellenabfrage macht uns ein bisschen stolz – haben wir mit unserer Berichterstattung doch den Stein ins Rollen gebracht.

Nach einer kurzen Einführung ins Thema schildert Dix die bekannt gewordenen Vorfälle in Dresden und Berlin sowie die politische Reaktion. Darüber haben wir hier kontinuierlich berichtet. Dann verweist der oberste Datenschützer der Hauptstadt auf seinen Prüfbericht zum Thema, indem er “strukturelle Mängel bei der Durchführung der Maßnahmen feststellen musste”:

Dies betrifft insbesondere die Prüfung der Verhältnismäßigkeit der Maßnahme sowie die Umsetzung der Betroffenenrechte. Es entstand oft der Eindruck, dass sich die Strafverfolgungsbehörden der Eingriffsintensität von Funkzellenabfragen entweder nicht bewusst waren oder diese missachtet haben müssen. So wurden sehr häufig Funkzellenabfragen beantragt und durchgeführt, obwohl nicht ersichtlich war, dass während der Tat ein Mobilfunktelefon genutzt wurde. Oft boten sich auch andere, weniger gravierende Ermittlungsansätze an, denen vor Durchführung der Funkzellenabfrage nicht oder nicht abschließend nachgegangen wurde. Eine über den Gesetzeswortlaut hinausgehende Begründung des Einsatzes einer solchen Maßnahme fand in der Regel nicht statt. In einigen Fällen wurden sogar Funkzellenabfragen durchgeführt, obwohl keine Straftat von auch im Einzelfall erheblicher Bedeutung vorlag.

Nach dieser deutlichen Kritik konterte die Staatsanwaltschaft: Der Datenschutzbeauftragte sei gar nicht zuständig für die Staatsanwaltschaft. Zudem sei es “praxisfern”, dass eine Funkzellenabfrage erst durchgeführt werden kann “wenn andere Spuren ausgewertet worden seien und nicht zum Ermittlungserfolg geführt hätten”. Beides weist Dix zurück, mit Verweis auf das Berliner Datenschutzgesetz und die gesetzliche Bestimmung der Funkzellenabfrage selbst:

Auch ist es nicht hinnehmbar, wenn eine Strafverfolgungsbehörde die Vorgabe des Gesetzgebers, eine so einschneidende Maßnahme wie die massenhafte Funkzellenabfrage erst als letztes Mittel (ultima ratio) einzusetzen, als „praxisfern“ bezeichnet und deshalb offenbar zu ignorieren bereit ist.

Das Fazit des Berliner Beauftragten für Datenschutz lautet:

Offensichtlich sind Funkzellenabfragen in vielen Deliktsbereichen entgegen der gesetzlichen Vorgabe zum alltäglichen Ermittlungsinstrument geworden. Aufgrund der Eingriffstiefe und Streubreite darf ihr Einsatz jedoch nicht zur Regel werden. Die stärkere Begrenzung der Durchführung solcher Maßnahmen ist durch den Gesetzgeber und die Strafverfolgungsbehörden sicherzustellen. Die Staatsanwaltschaft unterliegt auch dann der Kontrolle durch den Berliner Beauftragten für Datenschutz und Informationsfreiheit, wenn die von ihr beantragten Maßnahmen unter Richtervorbehalt stehen.

Update: Bei der Pressekonferenz sagte Dix:

Wenn die Staatsanwaltschaft bei ihrer Linie bleibt, wird es erneut zum Konflikt kommen.

Der ganze Bericht ist lesenswert. Zur weiteren Verbreitung haben wir das Kapitel zu den Funkzellenabfragen mal aus dem PDF-Dokument befreit und stellen es hier in Volltext zur Verfügung:


Funkzellenabfragen – von der Ausnahme zur Regel?

Die Strafprozessordnung gibt den Strafverfolgungsbehörden die Möglichkeit, zur Aufklärung besonders schwerer Straftaten von den Telekommunikationsanbietern Auskunft über die Verbindungsdaten sämtlicher Mobilfunktelefonate, die in einer vorgegebenen Zeit in einem bestimmten Gebiet geführt worden sind, zu verlangen. Eine solche Maßnahme hat weitreichende Folgen, da sie zum einen in das verfassungsrechtlich geschützte Fernmeldegeheimnis eingreift und zum anderen sehr viele Personen betroffen sein können, ohne dass diese Anlass für die Durchführung einer solchen Maßnahme gegeben haben. An die Zulässigkeit und Durchführung dieser Funkzellenabfragen sind daher hohe Anforderungen zu stellen.

Der Gesetzgeber hat die Maßnahme unter den Vorbehalt der richterlichen Anordnung gestellt. Diese darf erst dann von den Strafverfolgungsbehörden beantragt werden, wenn die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes der oder des Beschuldigten auf andere Weise aussichtslos oder wesentlich erschwert wäre. Bei der Auswertung der durch eine Funkzellenabfrage erlangten personenbezogenen Daten müssen die Strafverfolgungsbehörden weitere Vorgaben beachten: Die erhobenen Verkehrsdaten sind besonders zu kennzeichnen. Sie sind unverzüglich zu löschen, sobald sie nicht mehr zum Zwecke der Strafverfolgung oder einer möglichen gerichtlichen Überprüfung erforderlich sind. Zudem sind die Betroffenen mit einigen Ausnahmen von der Durchführung einer Funkzellenfrage zu benachrichtigen (insbesondere bei der Abfrage von Bestandsdaten) und auf die Möglichkeit nachträglichen Rechtsschutzes und die hierfür vorgesehenen Fristen hinzuweisen.

Die gesetzlichen Regelungen zur Durchführung von Funkzellenabfragen und deren praktische Umsetzung durch die Strafverfolgungsbehörden stehen spätestens seit Bekanntwerden der im Zusammenhang mit Demonstrationen erfolgten Erhebung von über 800.000 Verkehrsdatensätzen durch das LKA-Sachsen im Februar 2011 in Dresden im Fokus der öffentlichen Kritik. Die dort durchgeführten Funkzellenabfragen, von denen einige zehntausend unbeteiligte Versammlungsteilnehmende betroffen waren, waren Anlass für die gemeinsame Forderung der Datenschutzbeauftragten des Bundes und der Länder an den Gesetzgeber, den Anwendungsbereich solcher Maßnahmen insbesondere im Hinblick auf deren Verhältnismäßigkeit einzuschränken.

Im parlamentarischen Bereich gab es in Folge der Dresdner Vorfälle ebenfalls Initiativen zur Überarbeitung der gesetzlichen Regelungen zu Funkzellenabfragen. Der Freistaat Sachsen legte im Bundesrat den Entwurf eines Gesetzes zur Neuregelung der nichtindividualisierten Verkehrsdatenerhebung vor. Daneben brachte die Fraktion Bündnis 90/Die Grünen den Entwurf eines Gesetzes zur Neuregelung der nichtindividualisierten Verkehrsdatenerhebung in den Bundestag ein. Beide Initiativen wurden bislang jedoch nicht verabschiedet.

Anfang 2012 berichteten die Medien über die Durchführung einer Funkzellenabfrage im Zusammenhang mit einem Brandanschlag auf ein Kraftfahrzeug im Berliner Bezirk Friedrichshain-Kreuzberg. Dies führte erneut zu kontroversen politischen Diskussionen über den Einsatz solcher Maßnahmen. Im Abgeordnetenhaus wurde hierüber im Plenum sowie im Ausschuss für Inneres, Sicherheit und Ordnung und im Ausschuss für Digitale Verwaltung, Datenschutz und Informationsfreiheit debattiert. Dies veranlasste uns zu einer stichprobenartigen Überprüfung der Umsetzung der gesetzlichen Vorgaben zu Funkzellenabfragen durch die Berliner Strafverfolgungsbehörden im Rahmen von 108 Ermittlungsverfahren in den Jahren 2009 bis 2011.

In unserem Abschlussbericht, der dem Abgeordnetenhaus und den Senatsverwaltungen für Justiz und Verbraucherschutz sowie für Inneres und Sport zugeleitet wurde, haben wir strukturelle Mängel bei der Durchführung der Maßnahmen feststellen müssen. Dies betrifft insbesondere die Prüfung der Verhältnismäßigkeit der Maßnahme sowie die Umsetzung der Betroffenenrechte. Es entstand oft der Eindruck, dass sich die Strafverfolgungsbehörden der Eingriffsintensität von Funkzellenabfragen entweder nicht bewusst waren oder diese missachtet haben müssen. So wurden sehr häufig Funkzellenabfragen beantragt und durchgeführt, obwohl nicht ersichtlich war, dass während der Tat ein Mobilfunktelefon genutzt wurde. Oft boten sich auch andere, weniger gravierende Ermittlungsansätze an, denen vor Durchführung der Funkzellenabfrage nicht oder nicht abschließend nachgegangen wurde. Eine über den Gesetzeswortlaut hinausgehende Begründung des Einsatzes einer solchen Maßnahme fand in der Regel nicht statt. In einigen Fällen wurden sogar Funkzellenabfragen durchgeführt, obwohl keine Straftat von auch im Einzelfall erheblicher Bedeutung vorlag.

Die fehlerhafte Durchführung von Funkzellenabfragen ist durch die unklaren gesetzlichen Vorgaben sowie durch die inkonsequente und uneinheitliche Umsetzung dieser Vorschriften bedingt. Insoweit sind Gesetzgeber und Verwaltung gefordert, Änderungen vorzunehmen.

In den zurückliegenden Ermittlungsverfahren sind die Betroffenen, soweit erforderlich und noch nicht erfolgt, von entsprechenden Maßnahmen zu informieren und über ihre Rechtsschutzmöglichkeiten aufzuklären. Darüber hinaus sind nicht mehr erforderliche Daten, die durch Funkzellenabfragen erlangt worden und noch gespeichert sind, unverzüglich zu löschen. Die Löschung bzw. die Entscheidung über eine weitere Speicherung der Daten sollte nebst Begründung dokumentiert werden. Die weiterhin gespeicherten Daten sind eindeutig als aus einer Funkzellenabfrage stammend zu kennzeichnen.

Zur praktischen Durchführung zukünftiger Funkzellenabfragen empfiehlt es sich, folgende Vorgaben in Dienstanweisungen festzuschreiben:

  • Die Begründung des Einsatzes von Funkzellenabfragen sowie der Durchführung der Benachrichtigungs- und Löschpflichten sind einzelfallbezogen zu dokumentieren.
  • Die Umsetzung der Kennzeichnungspflichten ist standardisiert durchzuführen.
  • Internen und externen Kontrollinstanzen ist die Möglichkeit zu geben, regelmäßig und umstandslos die Umsetzung der gesetzlichen Vorgaben prüfen zu können.

Daneben sollte sich das Land Berlin für folgende Änderungen der Strafprozessordnung einsetzen:

  • Die Bestimmungen zur Durchführung von Funkzellenabfragen sind insbesondere im Hinblick auf die Verhältnismäßigkeit der Maßnahme und den Zweckbindungsgrundsatz zu konkretisieren und enger zu fassen.
  • Es ist eine Dokumentationspflicht für die Begründung des Einsatzes von Funkzellenabfragen sowie die Durchführung der Benachrichtigungs- und Löschpflichten einzuführen.
  • Der Anwendungsbereich für Funkzellenabfragen ist zumindest auf konkret benannte Straftaten zu beschränken.
  • Es bedarf über den Verweis auf die Erforderlichkeit zur Strafverfolgung oder eine mögliche gerichtliche Maßnahmenüberprüfung hinaus genauer Vorgaben für die Löschung der aus Funkzellenabfragen erlangten Daten.
  • Um eine unabhängige Evaluation zu ermöglichen, sollte eine Berichtspflicht der Strafverfolgungsbehörden gegenüber dem Parlament eingeführt werden.

Die Staatsanwaltschaft hat in einer ersten Stellungnahme die Auffassung vertreten, der Berliner Beauftragte für Datenschutz und Informationsfreiheit sei nicht befugt, das Vorgehen der Staatsanwaltschaft im Vorfeld einer richterlichen Anordnung zu überprüfen. Zudem sei es „praxisfern“, den Strafverfolgungsbehörden erst dann eine Funkzellenabfrage zu ermöglichen, wenn andere Spuren ausgewertet worden seien und nicht zum Ermittlungserfolg geführt hätten.

In beiden Punkten ist die Auffassung der Staatsanwaltschaft rechtsirrig. Das Berliner Datenschutzgesetz nimmt die Gerichte von der Kontrolle durch den Datenschutzbeauftragten aus, soweit sie nicht in Verwaltungsangelegenheiten tätig werden. Die Staatsanwaltschaft unterliegt dagegen wie jede andere öffentliche Stelle der Datenschutzkontrolle.

Zwar haben die Gerichte die Rechtmäßigkeit der von der Staatsanwaltschaft beantragten Maßnahme zu prüfen, jedoch kann sich die Staatsanwaltschaft deshalb der Kontrolle durch den Datenschutzbeauftragten nicht entziehen. Gerade die durchgeführte Prüfung ausgewählter Ermittlungsverfahren mit Funkzellenabfragen hat gezeigt, wie wichtig die unabhängige Datenschutzkontrolle ist: Da vielfach die gesetzlich vorgeschriebene Benachrichtigung Betroffener unterblieb, konnten diese keinen Rechtsschutz erlangen.

Auch ist es nicht hinnehmbar, wenn eine Strafverfolgungsbehörde die Vorgabe des Gesetzgebers, eine so einschneidende Maßnahme wie die massenhafte Funkzellenabfrage erst als letztes Mittel (ultima ratio) einzusetzen, als „praxisfern“ bezeichnet und deshalb offenbar zu ignorieren bereit ist.

Immerhin soll in einer gemeinsamen Arbeitsgruppe mit Vertretern des Polizeipräsidenten, des Generalstaatsanwalts sowie der Staats- und Amtsanwaltschaft ein Konzept erarbeitet werden, das Versäumnisse bei der Kennzeichnung, Benachrichtigung und Löschung von Funkzellendaten künftig vermeiden soll. Dieses Konzept soll mit uns abgestimmt werden, was bislang noch nicht geschehen ist.

Der Ausschuss für Digitale Verwaltung, Datenschutz und Informationsfreiheit hat dem Plenum des Abgeordnetenhauses empfohlen, den Senat aufzufordern, auch in den Fällen eine Information der Öffentlichkeit auf der Internetseite der Staatsanwaltschaft zu prüfen, in denen eine individuelle Benachrichtigung Betroffener zu Recht unterblieben ist.

Offensichtlich sind Funkzellenabfragen in vielen Deliktsbereichen entgegen der gesetzlichen Vorgabe zum alltäglichen Ermittlungsinstrument geworden. Aufgrund der Eingriffstiefe und Streubreite darf ihr Einsatz jedoch nicht zur Regel werden. Die stärkere Begrenzung der Durchführung solcher Maßnahmen ist durch den Gesetzgeber und die Strafverfolgungsbehörden sicherzustellen. Die Staatsanwaltschaft unterliegt auch dann der Kontrolle durch den Berliner Beauftragten für Datenschutz und Informationsfreiheit, wenn die von ihr beantragten Maßnahmen unter Richtervorbehalt stehen.

vgwort pixel

flattr this!

March 26 2013

Einzigartig in der Masse: Aus Mobilfunk-Bewegungsdaten können ganz einfach Einzelpersonen identifiziert werden

Die Art und Weise, wie sich Menschen bewegen, ist sehr einzigartig. Einem Forscherteam ist es gelungen, Einzelpersonen in großen Datensätzen von Bewegungsdaten zu identifizieren, wie diese von Mobilfunk-Anbietern gespeichert werden. Statt immer weitere Datenberge anzuhäufen, plädieren sie für weitere Forschung, da Bewegungsdaten nur noch wichtiger und aussagekräftiger werden.

unique-in-the-crowd-590

Gestern wurde im Open Access Journal Scientific Reports die Studie Unique in the Crowd: The privacy bounds of human mobility (PDF) veröffentlicht. Vier Forscher vom MIT Media Lab und der Katholischen Universität Löwen untersuchen darin einen großen Datensatz an Bewegungsdaten und de-anonymisieren Einzelpersonen aus dem Datenhaufen.

Bewegungsdaten fallen beispielsweise für jedes einzelne Mobilfunk-Gerät bei den Mobilfunk-Betreibern an. Smartphones übertragen ihren Standort aber auch an Internet-Dienste, so verarbeitet allein der Anbieter Skyhook mehr als 400 Millionen Anfragen nach Ortsdaten pro Tag und Werbe-Netzwerke bekommen Ortsdaten von der Hälfte aller Smartphones. Mal ganz abgesehen von Diensten, denen man den eigenen Standort ganz freiwillig mitteilt, wie Foursquare oder Ingress.

Die Forscher haben jetzt einen Datensatz erhalten, der die Bewegungsdaten von 1,5 Millionen Menschen über 15 Monate enthielt. Das ist ein “bedeutender und repräsentativer Teile der Bevölkerung eines kleinen europäischen Landes”. Diese Daten kamen von einem Mobilfunk-Anbieter, der Zeitraum umfasste April 2006 bis Juni 2007. Mit diesem “Big Data” Datensatz konnten sie zeigen, dass die räumliche Bewegung einzelner Menschen “sehr einzigartig” ist.

In einem Datensatz, wie er bei jedem Mobilfunk-Anbieter anfällt (also relativer Abstand der Funkzellen-Antennen und ein Orts-Eintrag etwa alle Stunde), kann man mit nur vier bekannten Datenpunkten Zeit/Ort circa 95 Prozent aller Menschen identifizieren. Das könnten beispielsweise die Adresse von Privatwohnung, Arbeitsplatz und Geo-Tags von Tweets oder Bildern sein. Mit nur vier solcher Daten kann man in einem riesigen Datensatz die Bewegungen einer Person zuordnen über mehrere Monate nachvollziehen, genau wie das Malte Spitz demonstriert hat.

Das Fazit der Forscher:

These results should inform future thinking in the collection, use, and protection of mobility data. Going forward, the importance of location data will only increase and knowing the bounds of individual’s privacy will be crucial in the design of both future policies and information technologies.

Diese neue Studie reiht sich nahtlos in weitere Forschung zum Thema Geodaten ein:

Auch Polizeibehörden nutzen solche Datenberge, wie die Enthüllungen zur Funkzellenabfrage gezeigt haben. Und spätestens nach der Bundestagswahl wird es auch in Deutschland wieder Forderungen geben, diese Daten anlasslos monatelang zu speichern.

vgwort pixel

flattr this!

August 28 2012

Funkzellenabfrage geht weiter: Jeder Berliner ist jedes Jahr zwei Mal verdächtig

Die umstrittene Massenüberwachung von Mobilfunk-Kommunikationsdaten geht in Berlin ungehindert weiter. Das geht aus Zahlen des Berliner Senats auf Antrag der Piratenfraktion hervor. Dadurch sollen überwiegend Diebstähle aufgeklärt werden, auch Drogendelikte werden mittels Funkzellenabfrage verfolgt.

Gestern wurden im Innenausschuss des Berliner Senats neue Zahlen zur Funkzellenabfrage der letzten vier Jahre veröffentlicht. Aus dem Scan der Tischvorlage für die Abgeordneten haben wir mal die Zahlen rauskopiert:

Anzahl Funkzellenabfragen

Zeitraum Verfahren mit FZA   durchgeführte FZA 2009 262 302 2010 278 338 2011 441 568 2012/01-07   128 200 Gesamt 1.109 1.408

 
Statistisch wird also in Berlin fast jeden Tag eine Funkzellenabfrage gemacht. Letztes Jahr waren die Zahlen besonders hoch.

Einzelfallauswertung

  • Verfahren 2009 bis 2012/04: 302
  • Datensätze: 6.619.155
  • Anschlussinhaberfeststellungen: 5.383
  • Verfahren mit neuen Ermittlungsanhalten: 116

Von 1.408 Funkzellenabfragen lieferte der Berliner Senat nur für 302 konkretere Informationen. Schon allein dabei wurden mehr als sechseinhalb Millionen Verbindungsdaten abgefragt. Hochgerechnet auf alle genannten Abfragen wären das mehr als 30 Millionen Datensätze.

Deliktsbereiche

Deliktsbereich Anzahl FZA Qualifizierte Bandendelikte (§§ 243, 244 StGB)   215 Branddelikte (§§ 306 ff StGB) 33 Raub/Erpressung 31 Mord/Totschlag 15 Vergewaltigung 4 Betäubungsmitteldelikte 3 Schwerer Landfriedensbruch 1

 

Politisch begründet wird die Funkzellenabfrage immer wieder mit schwersten Straftaten gegen Leib, Leben oder die sexuelle Selbstbestimmung. In der Praxis fallen nur sechs Prozent aller Funkzellenabfragen unter diese Definition. Von den 302 “Einzelfallauswertungen” sind nur 15 gegen Mord/Totschlag und vier gegen Vergewaltigung. Mehr als zwei Drittel der Funkzellenabfrage werden gegen Diebstahl und Einbrüche eingesetzt. Sogar gegen Drogen werden ganze Stadtteile gerastert.

Damit wird die Funkzellenabfrage weiter eingesetzt als wäre nichts gewesen.

Dabei wurde immer noch keine einzige betroffene Person je darüber informiert, dass ihre Mobilfunk-Daten bei der Polizei gelandet sind. Noch nichtmal die über 5.000 Anschlussinhaber/innen, deren Namen und Adressen eingeholt wurden, haben eine Benachrichtigung erhalten. Bereits im Januar hatten wir berichtet, dass das jedoch vorgeschrieben ist:

Keine einzige betroffene Person ist je darüber informiert worden. So hält man die Benachrichtigung für einen neuen Eingriff. Zudem sei eine Benachrichtigung gar nicht erforderlich, wenn nur die Rufnummer ermittelt worden ist. Außerdem war der Polizei ein “Interesse an einer Benachrichtigung nicht ersichtlich”.

Vor allem dieser Punkt erzürnte den Berliner Beauftragten für Datenschutz Dr. Alexander Dix. Die Gesetze sagen ausdrücklich, dass eine Benachrichtigung erfolgen muss und die Regel zu sein hat. Jede Nicht-Benachrichtigung müsse einzeln begründet werden. Zudem teilt er meine Einschätzung, dass man nicht nur die 960 Menschen, deren Namen und Adressen man ohnehin schon hat, benachrichtigen kann. Von den übrigen hat man ja bereits die Telefonnummer und im Gesetz steht nirgends, dass die Benachrichtigung per Brief erfolgen muss. Man könnte ja einfach mal anrufen.

Das sieht auch die Piratenfraktion so. Darüber hinaus will diese weiterhin die Funkzellenabfrage “erschweren” und über eine Streichung diskutieren.

flattr this!

August 03 2012

Was sonst noch so war

US-Behörde liest Mails von kritischen Mitarbeitern
Nach einem Futurzone Bericht überwachte die US-Behörde FDA (Food and Drug Administration) 21 Angestellte.

Die für die Arzneimittel-Kontrolle zuständige US-Behörde FDA hat nach einem Bericht der “New York Times” 2010 eine großangelegte Spähaktion gegen kritische eigene Wissenschaftler ausgeführt. Tausende private E-Mails von insgesamt 21 Angestellten an Kongressmitglieder, Rechtsanwälte, Journalisten und sogar an Präsident Barack Obama seien mit Hilfe von Spionage-Software heimlich mitgelesen worden, meldete die Zeitung am Sonntag.

Berlin: Unübersichtliche Demonstrationen sollen wieder gefilmt werden
Der Berliner Senat hat beschlossen einen entsprechenden Gesetzentwurf in das Abgeordnetenhaus einzubringen. Kundgebungen und Demonstrationen sollen zukünftig mit weitwinkligen Aufnahmen überwacht werden dürfen. Ein Gericht hatte 2010 Übersichtsaufnahmen von Demonstrationen für nicht rechtmässig erklärt.
Mehr auf berlin.de

Scan in Mobilfunknetzen: Tausende ungeschützte Geräte

Mit einem simplen Portscanner hat der deutsche Sicherheitsforscher Collin Mulliner die Netze von europäischen Mobilfunkanbietern untersucht. Ergebnis: Haufenweise Geräte wie Smart Meter, Straßenverkehrskontrollsysteme, KfZ-Ortungshardware oder GSM-/GPRS-Ethernet-Router. Schutz durch Passwörter? Fehlanzeige.

Mehr auf: heise.de

Telefonüberwachungen in Berlin steigen
Im vergangen Jahr hörte die Berliner Polizei bei mehr als 1,5 Millionen Telefonaten mit. Im Vergleich zu 2010 ist das eine Steigerung von fast 50%.
Mehr auf berlin.de

Wildkameras erfassen auch Menschen
Mit Wildkameras sollen die Lebewesen im Wald erfasst werden.

Auch Jäger stellen gut getarnte Kameras auf, um einen besseren Überblick über den Wildwechsel zu erhalten. Doch erweist sich, dass immer wieder Menschen unbewusst in diese Foto- und Videofallen tappen. In Kärnten wurde ein Fall publik, bei dem das außereheliche Schäferstündchen eines Politikers im Wald abgelichtet wurde. [...] Die Opfer der Fotofallen merken selten etwas von den Aufnahmen. Die Geräte verfügen über Infrarotblitze, die für Mensch und Tier unsichtbar sind.

Mehr auf datenschutz.de

flattr this!

February 07 2012

Zwischenstand: 12 Millionen Funkzellenabfragen in Berlin

Nach unserer Berichterstattung über Funkzellenabfragen bei brennenden Autos in Berlin kam bisher heraus, dass rund 4,2 Millionen Verkehrsdaten ermittelt worden sind. Wohlgemerkt, ohne jeglichen Fahndungserfolg, einfach, weil es geht und diese umstrittene Ermittlungsmethode vielleicht mal klappen könnte. Aber wie man sich denken konnte, war das nur eine Spitze des Eisberges. Aktueller Zwischenstand sind rund 12 Millionen Verkehrsdaten. Das berichtet der Tagesspiegel auf Basis von Zahlen des Berliner Polizeipräsidiums: Berliner Polizei hat mehr Handydaten ausgewertet als bekannt.

Allein 2011 sind neben 205 Verfahren, die wegen mutmaßlich politisch motivierter Taten eingeleitet wurden, in der Hauptstadt auch in 336 anderen Ermittlungen die Verbindungsdaten von einer oder mehrerer Funkzellen abgefragt worden. Nach welchen Straftaten genau dies geschehen ist, etwa Raub oder Einbruch, ist noch nicht bekannt. Pro Abfrage werden je nach Tageszeit oft mehr als zehntausend Verbindungen gespeichert. Fest steht, dass die Zahl der Funkzellenanfragen steigt, 2010 waren es in Berlin 366, 2009 noch 355.

January 26 2012

Neue Verkehrsdaten von Malte Spitz: Vorratsdatenspeicherung geht auch ohne Gesetz weiter

Korrelation zwischen Gesprächsteilnehmer und Uhrzeit und wie ähnlich diese sind Der Grünen-Politiker Malte Spitz hat erneut Daten erhalten, die sein Mobilfunkanbieter über seinen Anschluss speichert. Diese belegen, dass die Vorratsdatenspeicherung im Bereich Mobilfunk auch ohne explizites Gesetz weiter geht, nur die Speicherdauer ist teilweise kürzer.

Bereits letztes Jahr hat er einen ersten Datensatz eingeklagt, dessen anschauliche Aufbereitung mit einem Grimme Online Award ausgezeichnet wurde.

Datentypen und Speicherdauer

Der aktuelle Datensatz belegt, dass Mobilfunkanbieter auch nach dem Urteil des Bundesverfassungsgerichts zum deutschen Vorratsdatenspeicherungs-Gesetz diese Daten weiterhin speichern:

Eine zentrale Botschaft ist, zumindest bei T-Mobile Deutschland, dass, was die Kategorien angeht, heute der gleiche Datenumfang gespeichert wird, wie zu Zeiten der Vorratsdatenspeicherung, nämlich bis zu 29 Einzelinformationen. Trotz des Urteils des Bundesverfassungsgerichts wird eine Vielzahl an Daten umfassend vorgehalten.

Vor dem Gesetz 2008 haben die Anbieter “nur” Daten für die Rechnung und die Netz-Infrastruktur vorgehalten. Durch das Gesetz wurde der Datenkatalog, entgegen der Behauptung von Innenpolitikern, ausgeweitet und um weitere Datentypen erweitert. Auch heute noch speichern die Anbieter den vollen Datenkatalog:

Selbst Informationen, die vor 2008 nicht gespeichert wurden, sondern dessen Speicherung erst nach Inkrafttreten der deutschen Implementierung der Richtlinie zur Vorratsdatenspeicherung als Verpflichtung auf Grund der Umsetzungsordnung begonnen hat, wird weiter vorgenommen, ohne das eine Abrechnungsrelevanz vorliegt. Damit wird eindeutig gegen das Ziel der Datensparsamkeit verstoßen.

Aus rein marktwirtschaftlicher Perspektive (also dem Hauptinteresse der Anbieter) macht das sogar Sinn. Die Anbieter mussten zur Umsetzung des Gesetzes viel Geld investieren, um den neuen Speicherverpflichtungen nachzukommen. Das mussten sie komplett aus eigener Tasche bezahlen, also durch die Einnahmen von Endkunden. Nun hat das Bundesverfassungsgericht die Vorratsdatenspeicherung nur vorläufig gekippt, Forderungen nach einer Wiedereinführung lassen nicht nach. Wahrscheinlich wollen die Anbieter also jetzt nicht nochmal Geld für eine Datenreduzierung ausgeben, nur um dann bei einem neuen Gesetz schon wieder die Implementierung bezahlen zu müssen. Daher haben manche Anbieter einfach den Zeitraum gekürzt, den die Daten gespeichert werden:

Lediglich die Speicherdauer hat sich von 180 Tagen auf 30 Tage reduziert. Damit ist die heutige Speicherpraxis unverhältnismäßig und widerspricht meiner Meinung nach gegen die Datensparsamkeit.

Das ist auch den Behörden bekannt, wie der Leitfaden zum Datenzugriff der Generalstaatsanwaltschaft München belegt. Demnach speichert T-Mobile Verkehrsdaten und Funkzellendaten für einen Monat. Während Vodafone und O2 die Daten für eine Woche vorhalten, sind es bei E-Plus sogar drei Monate. Einige Festznetz-Anbieter speichern alle Verkehrsdaten sogar weiterhin volle sechs Monate.

Keine harmlosen Daten

Die gespeicherten Daten werden weder alle für die Rechnung benötigt (bei Prepaid oder Flatrate schon gar nicht), noch sind diese Daten harmlos:

Es werden deutlich mehr Daten gespeichert als für die notwendigen Schritte erforderlich. Insbesondere so sensible Daten wie die Funkzellen, Geokoordinaten und der entsprechende Abstrahlwinkel. Diese Speicherung kann in Städten dazu führen, dass man auf wenige Meter (30 bis 50 Meter) genau getrackt werden kann.

Die Sensibilität der Bewegungsdaten wurde durch die ursprüngliche Visualisierung bereits eindrücklich verdeutlicht. Dieses Mal hat Malte auch die Telefonnummern der eingehenden und ausgehenden Anrufe und SMS erhalten, aus denen man Rückschlüsse auf die Kommunikationspartner und Kommunikationsstrukturen schließen kann:

Neben der Kenntlichmachung meines Lebens – wo und wann ich mich wie oft aufhalte, zu welchen Zeiten ich wie üblicherweise kommuniziere – lassen sich diesmal auch soziale Profile und Kommunikationsnetze erstellen. Dadurch, dass ansatzweise ableitbar ist, mit wem ich kommuniziert habe, lassen sich soziale Bindungen eindeutig aufzeigen und in Verbindung setzen – welche Rufnummern rufe ich zu ähnlichen Zeiten an, welche immer nur werktags usw.

Auch ohne die Namen und Adressen hinter den anderen Rufnummern zu kennen, offenbaren diese Daten sensible Details:

Liegen entsprechende Daten von mehreren Rufnummern vor, lassen sich soziale Verbindungen zueinander eindeutig nachzeichen. Dies ist auch im Zusammenhang mit der aktuellen Debatte um die Funkzellenabfrage in Berlin relevant.

Regelmäßigkeit der Kommunikation auf den Tag verteilt zu den zehn häufigsten Anschlüssen Zur Verdeutlichung haben die Jungs von OpenDataCity zwei Grafiken erstellt. Oben im Artikel sieht man die Korrelation zwischen Gesprächsteilnehmer und Uhrzeit und wie ähnlich diese sind. Sowie die Regelmäßigkeit der Kommunikation auf den Tag verteilt zu den zehn häufigsten Anschlüssen:

Mal sehen, vielleicht lassen sich ja noch weitere Informationen aus den Daten extrahieren und darstellen.

Politische Forderungen

Dass all diese Daten für lange Zeiträume weiterhin gespeichert werden, wird von Datenschützern wie dem Arbeitskreis Vorratsdatenspeicherung heftig kritisiert. Das sieht auch der Richter Ulf Buermeyer so:

Rath: Warum sind bei den Providern diese Daten noch Tage und Wochen später vorhanden? Wir haben doch derzeit gar keine Vorratsdatenspeicherung …
Buermeyer: Das ist in der Tat bedenklich. Jedenfalls sollten die Datenschützer das dringend mit den Providern klären. Zulässig ist eine Speicherung derzeit nur zu bestimmten eigenen Zwecken der Diensteanbieter, etwa zur Sicherung der Netzqualität. Begehrlichkeiten der Ermittlungsbehörden und die Tatsache, dass die Provider mit Abfragen ja auch Geld verdienen, dürfen dabei keine Rolle spielen.

Malte stellt in seinem Blog-Beitrag folgende Forderungen auf:

  • das Ende der Speicherung von Funkzellen und von Geokoordinaten
  • klare Vorgaben und Festlegung, welche Daten zu Abrechnungszwecken tatsächlich relevant sind und dass diesen Daten eine möglichst niedrige Höchspeicherdauer zugrunde liegen muss.
  • Es bedarf einer transparenten Überprüfung der Speicherung entsprechender Verkehrsdaten bei allen Mobilfunkanbietern durch die zuständige Aufsicht
  • ein Abschaffung der Richtlinie zur Vorratsdatenspeicherung in ganz Europa.

Der Datenschützer Patrick Breyer zeigt sich übrigens verwundert, warum noch niemand gegen die in seinen Augen “illegale” Speicherpraxis der Anbieter geklagt hat. Vielleicht sollte das einfach mal gemacht werden.

January 23 2012

Funkzellenabfrage im Berliner Innenausschuss: Vier Millionen abgefragte Daten, kein Ermittlungserfolg

4.200.000 Verkehrsdaten und 960 Teilnehmerdaten. So viel hat allein die Abteilung Polizeilicher Staatsschutz des Berliner Landeskriminalamtes in den letzten vier Jahren gesammelt. Also eine der neun Abteilungen aus einer der vier Organisationen der Polizei aus nur einem Bundesland. Und gelöscht ist nur ein kleiner Teil.

Polizei und Landeskriminalamt

Diese Zahlen präsentierte heute die Polizeivizepräsidentin Margarete Koppers im Innenausschuss des Berliner Abgeordnetenhauses in der Debatte zur Funkzellenabfrage. Nur ungern, denn die Offenlegung dieser Fakten schaffe zwar Transparenz, erschwere aber auch die Arbeit der Polizei. Die Berliner Polizei ist der Auffassung, dass all diese Daten Rechnungsdaten seien und sich mit Rechnungsdaten auch der Standort eines Handys ermitteln lässt. Mit diesen Daten will man “Häufungen finden” und dann ermitteln, ob wiederholt auftauchende Personen “gute berufliche oder private Gründe hatten, am Tatort zu sein”. Eine Rasterfahndung sei das aber nicht, weil dafür mindestens zwei polizei-externe Datenbanken abgefragt werden müssten.

Von Inkrafttreten des Gesetzes zur Vorratsdatenspeicherung 2008 bis zum Urteil des Bundesverfassungsgericht im März 2010 hat die genannte Abteilung bei 767 Auto-Bränden insgesamt 190 Funkzellenabfragen vorgenommen und dabei 2,85 Millionen Verbindungsdatensätze erhalten. Der Zeitraum umfasste dabei, wie in unserem zweiten Fall, sechs Stunden vor der Tatphase bis eine Stunde danach. Pro Funkzelle sind so ca. 15.000 Verkehrsdatensätze zusammen gekommen. Dabei hat man von 950 Anschlussinhabern Name und Anschrift eingeholt. Millionen Datensätze aus diesem Zeitraum sind immer noch nicht gelöscht.

In den zwei Jahren seit dem Urteil wurden für 748 Auto-Brände auch nochmal 185 Funkzellenabfragen vorgenommen, dabei sind “nur” noch 900.000 Datensätze übermittelt worden. Den Zeitraum hat man da, wie in unserem ersten Fall, auf 45 Minuten vor bis 15 Minuten nach der Tatphase begrenzt. Dabei fielen immer noch 5.000 Datensätze pro Funkzelle an. Bestandsdaten hat man nur noch in zehn Fällen eingeholt. Auch wenn man damit bei einem Viertel aller Auto-Brände eine Funkzellenauswertung gemacht hat, konnte dennoch kein einziger Tatverdächtiger ermittelt werden.

Die Funkzellenabfrage wird jedoch nicht nur bei Auto-Brandstiftung genutzt, sondern “in allen Deliktbereichen der politisch motivierten Kriminalität”. Bei Versammlungen sei das noch nicht passiert. Auch in 23 anderen Ermittlungen hat das LKA 230.000 Daten erhalten. Wenn ich das richtig verstanden habe, sind seit dem Kippen der Vorratsdatenspeicherung noch keine Daten wieder gelöscht worden und alle 1,3 Millionen Datensätze noch beim LKA vorhanden. Und nochmal: dies sind alles nur Zahlen von einer einzigen Abteilung des Landeskriminalamts. Die Zahlen der Anderen waren scheinbar in der Kürze der Zeit nicht zu ermitteln.

Manche der Daten hat man nicht für sich behalten, sondern auch an andere Institutionen weitergegeben. Genannt wurden das Bundeskriminalamt und die Bundesanwaltschaft.

Keine einzige betroffene Person ist je darüber informiert worden. So hält man die Benachrichtigung für einen neuen Eingriff. Zudem sei eine Benachrichtigung gar nicht erforderlich, wenn nur die Rufnummer ermittelt worden ist. Außerdem war der Polizei ein “Interesse an einer Benachrichtigung nicht ersichtlich”.

Datenschutzbeauftragter

Vor allem dieser Punkt erzürnte den Berliner Beauftragten für Datenschutz Dr. Alexander Dix. Die Gesetze sagen ausdrücklich, dass eine Benachrichtigung erfolgen muss und die Regel zu sein hat. Jede Nicht-Benachrichtigung müsse einzeln begründet werden. Zudem teilt er meine Einschätzung, dass man nicht nur die 960 Menschen, deren Namen und Adressen man ohnehin schon hat, benachrichtigen kann. Von den übrigen hat man ja bereits die Telefonnummer und im Gesetz steht nirgends, dass die Benachrichtigung per Brief erfolgen muss. Man könnte ja einfach mal anrufen.

Erstaunt zeigte er sich auch über die Masse an Daten. Die Zahlen in dieser Form waren auch ihm neu. Er kündigte eine gründliche Überprüfung der allgemeinen Praxis und der stichprobenartiger Fälle bei der Berliner Polizei an.

Zudem sieht er erhebliche rechtliche Probleme mit dem derzeitigen Gesetzestext. So gibt es kein Gebot zur Datenreduzierung, erhobene Daten müssen nicht gelöscht werden, die Nutzung auch für andere Straftaten bleibt offen und die “erhebliche Bedeutung” ist zu unklar definiert. Daher rief er das Land Berlin dazu auf, die Bundesrats-Initiative des Freistaats Sachsen zur “Präzisierung” des Gesetzes zu unterstützen.

Politische Parteien

Der Rest war Parteien-Geplänkel. CDU-Innensenator Frank Henkel ist der Meinung, das alles streng nach Recht und Gesetz abgelaufen ist. Und was Recht ist, kann nicht falsch sein. Konkreten Handlungsbedarf sieht er nicht, allenfalls findet er die Bundesrat-Initiative “überlegenswert”, was immer das bedeutet.

Auch sein Pateikollege Dr. Robbin Juhnke findet “jede Maßnahme sinnvoll, welche die Gelegenheit hat, zum Erfolg zu führen”. Natürlich ist das ein “starker Eingriff in die Grundrechte”, aber von einem Generalverdacht zu sprechen sei “polemisch”. Für ihn war auch das Ausmaß der Funkzellenauswertung keine Überraschung und nach seiner Auffassung kann kein Berliner Innenpolitiker sagen, er habe davon nichts gewusst.

Kurt Wansner, auch CDU, war noch eine Spur schärfer. Auf Kritik der Linken erwiderte er, dass er froh sei, dass diese wieder in der Opposition ist und hofft, dass sie dort sehr, sehr lange bleibt, er hofft für immer.

Die Piratenpartei war natürlich sehr kritisch und hält das Vorgehen und die Zahlen für unverhältnismäßig. Christopher Lauer führte aus, dass “Verdächtige” mit mehreren Aufenthalten an Tatorten gute Gründe haben könnten, diese der Polizei nicht sagen zu wollen, wie eine chronische Krankheit oder eine Affäre. Zudem gäbe es keinen “kleinen” Eingriff in die Grundrechte à la grundrechtsschonend.

Auch die Linke übte Kritik. Die Dimension der Zahlen habe die Vorstellungskraft von Udo Wolf überstiegen, mit dieser Menge hätte er nicht gerechnet. Auch er war der Auffassung, dass das klar unverhältnismäßig sei. Zumal diese Ermittlungstaktik bisher erfolglos war. Auch wenn seine Partei damals an der Regierung war, wurde er über diese Aktionen von der Polizei nicht informiert. Die Regierung habe nie eine Funkzellenauswertung angeordnet.

Die Grünen waren grundsätzlich kritisch, hatten aber vor allem Fragen zur Verhältnismäßigkeit. Canan Bayram wohnt in dem bisher bekannt gewordenen Gebiet und fühlt sich immer noch nicht in angemessenem Umfang informiert. Benedikt Lux merkte an, dass man nicht besonders schlau sein müsse, sein Handy auszuschalten oder zu Hause zu lassen.

Auch die SPD fand es richtig, die Funkzellenabfrage einzusetzen. Thomas Kleineidam fand, dass die rechtsstaatliche Kontrolle funktioniert hat. Frank Zimmermann war der Auffassung, dass ein Grundrechtseingriff nur bei den 960 Personen, deren Bestandsdaten eingeholt worden, vorlag und nicht bei allen vier Millionen Verkehrsdaten.

Fazit

In der Berliner Landespolitik wird die Affäre um die Funkzellenauswertung wohl keine Konsequenzen haben. Die Regierungsfraktionen CDU und SPD finden alles in Ordnung, allenfalls der junge Sven Kohlmeier darf mal Kritik anmelden. Die Oppositionsparteien finden die bisher bekannt gewordenen Einsätze zwar unverhältnismäßig, können aber nichts daran ändern. Allenfalls der Datenschutzbeauftragte könnte vielleicht den Umfang der Datenübermittlungen etwas eingrenzen. Doch zunächst bleibt seine Untersuchungen zum Thema abzuwarten. Bis dahin gehen die Funkzellenabfragen weiter.

January 22 2012

Funkzellenabfrage in Berlin: Und noch ein Fall

Netzpolitik.org hat erneut Akten erhalten, die auf eine weitere Funkzellenabfrage in Berlin-Friedrichshain hinweisen. Laut den auch auf Indymedia linksunten veröffentlichten Papieren wollte die Berliner Polizei bereits einen Monat vor dem bisher bekannten Fall massenhaft Verkehrsdaten von den vier Mobilfunkbetreibern haben. Sachschaden diesmal: 4.000 Euro. Dafür sollten die liebevoll “Turmdaten” genannten Datenberge sogar einen Zeitraum von acht Stunden umfassen: von 17 Uhr am 17. Juni 2009 bis 1 Uhr am darauf folgenden Tag. Wir haben das ungefähre Gebiet erneut visualisiert, mit den bereits beschriebenen Einschränkungen. Der aktuelle Fall ist rot, der bisherige Fall blau:



Leider findet sich in den Papieren nur die “Beschlussanregung” der Polizei. Ob es einen Antrag der Staatsanwaltschaft und eine Anordnung des Gerichts gab, war auf die Schnelle am Sonntag nicht zu bestätigen. Aufgrund der Aussage, dass diese Vorgehensweise absolut üblich sei, ist das aber sehr wahrscheinlich. Wie das für alle Fälle von Auto-Brandstiftung in Berlin aussehen würde, war hier bereits visualisiert.

Wie viele Funkzellenabfragen insgesamt stattgefunden haben, wird hoffentlich mit unseren anderen Fragen morgen im Innenausschuss auf den Tisch gelegt.

Netzpolitik.org nimmt übrigens Hinweise zu weiteren Fällen gerne entgegen, zum Beispiel per Mail unter submit@netzpolitik.org.

Der Cicero hat inzwischen ein paar weitere interessante Informationen erhalten. Obwohl ich mich frage, wie man ohne dieses Wissen ernsthaft über eine Vorratsdatenspeicherung entscheiden kann, scheint diese Praxis nicht vielen bewusst gewesen zu sein:

Nicht einmal dem Landesbeauftragten für Datenschutz, Alexander Dix, war bislang ein solcher Fall der Datenauswertung aus Berlin bekannt, wie dessen Sprecher Joachim-Martin Mehlitz am Freitag sagte. Sven Kohlmeier, SPD-Rechtspolitiker im Abgeordnetenhaus, sagte, er sei von den Erkenntnissen „klar überrascht“. In seiner Tätigkeit als Datenschutzpolitiker sei ihm das, was nun öffentlich bekannt wurde, nie zur Kenntnis gelangt, auch nicht im Datenschutzausschuss des Abgeordnetenhauses. Auch Marion Seelig, Sprecherin der Linksfraktion im Abgeordnetenhaus für Inneres und Datenschutz, sagt, sie sei „sehr überrascht“.

Aber alles ist sicher, die Daten werden ja wieder gelöscht! Oder?

Tobias Kaehne, Pressesprecher der Berliner Strafgerichte, sagt, es gebe keine richterliche Kontrolle darüber, ob und wie Daten wieder gelöscht würden. Nachdem ein Richter eine Auswertung anordne, liege das weitere Vorgehen in der Hand von Polizei und Staatsanwaltschaft. „Die Polizei darf die Daten so lange wie nötig behalten“, sagt Kai von Lewinski, Experte für Datenschutzrecht an der Juristischen Fakultät der Humboldt-Universität. Dabei müsse der Grundsatz der Verhältnismäßigkeit gewahrt bleiben. Theoretisch können die Daten aber von den Ermittlern so lange aufbewahrt werden, bis alle Täter gefasst sind – was im Falle der Autobrandstiftungen niemals der Fall sein dürfte.

Und wie will die Polizei aus diesem riesigen Datenberg Verdächtige ermitteln?

Die übermittelten Daten werden dann unterschiedlich durchforstet: So werden die Verbindungsdaten sämtlicher Taten miteinander verglichen. Wäre ein Telefon mindestens an fünf Tatorten aufgefallen – so die interne Vorgabe der Berliner Ermittlungsbehörden – , „hätten wir uns die Person mal angesehen“.

Also ist man verdächtig, weil man selbst oder der Beziehungspartner in einem Gebiet wohnt, in dem das öfters mal vorkommt?

Mittlerweile hat auch die Boulevard-Zeitung Berliner Kurier dazu aufgerufen, bei den Behörden nachzufragen, ob die eigenen Daten auch abgefragt worden sind. Beim Berliner Datenschutz-Beauftragten gibt’s die notwendigen Formulare für Staatsanwaltschaft, Polizei und Verfassungsschutz.

January 21 2012

Funkzellenabfrage in Berlin: “Natürlich erheben wir Daten unbescholtener Bürger”

Die Nachlese zur Funkzellenabfrage geht weiter. Nachdem es auch bei bild.de und Spiegel Online gelandet ist, hat mir die Berliner Polizei endlich geantwortet. Die Fragen hatte ich hier veröffentlicht.

Antworten der Polizei

Die ersten vier Fragen zu Umfang der Daten und Betroffenen des konkreten Falls kann die Berliner Polizei jetzt immer noch nicht beantworten:

Aufgrund des hohen Rechercheaufwands ist eine Beantwortung dieser Frage nicht vor Montag, dem 23. Januar 2012 möglich. Die Polizei wird sich – soweit möglich – im Ausschuss für Inneres, Sicherheit und Ordnung des Abgeordnetenhauses umfassend äußern.

Informiert wurden ist keine einzige betroffene Person:

Nein, weil eine Namhaftmachung und Ermittlung der Beteiligten eine Vertiefung des Grundrechtseingriffs bedeutet hätte.

Ich glaube ja, wenn man alle Betroffenen aller Funkzellenabfragen darüber mal informieren würde, wäre die Mehrheit der Bevölkerung sofort gegen eine Vorratsdatenspeicherung.

Weiterhin hat die Polizei bestätigt, dass das Verfahren eingestellt wurde und die Ermittlungen nicht erfolgreich waren.

Aber kein Problem: Die Daten sind über ein Jahr später auchmal gelöscht worden:

Ja, am 20. April 2011. Die Löschung ist dokumentiert worden.

Die Fragen zum allgemeinen Umgang mit Funkzellenabfragen wollte man ebenfalls nicht beantworten und vertröstet erneut auf die Sitzung des Berliner Innenausschusses am Montag. Da bin ich ja mal gespannt, ob dann konkrete Zahlen kommen.

Bestätigt hat man, dass auch nach dem Urteil des Bundesverfassungsgerichts zur Vorratsdatenspeicherung weiterhin Funkzellenabfragen nach § 100 g StPO gemacht werden.

Den Berliner Datenschutz-Beauftragten hat man nicht nach seiner Einschätzung gefragt, man hat ja einen eigenen:

Nein. Der Beauftragte für den Datenschutz der Polizei Berlin gewährleistet die datenschutzkonforme Verarbeitung.

Weitere Erkenntnisse

Währenddessen recherchieren auch andere weiter. Gestern wurde bestätigt, dass die Berliner Polizei innerhalb von zwei Jahren die Daten von mehreren Millionen Handys von einem einzigen der vier Mobilfunkbetreiber erhalten hat. Ebenso wurde bestätigt, dass die Daten nicht nur für den jeweiligen Fall genutzt, sondern miteinander abgeglichen werden, welche Mobilfunkgeräte an mehreren Tatorten waren.

Gebracht hat das nichts:

Erfolgreich waren diese Abfragen nach Angaben eines leitenden Ermittlers nicht.

Problematisch findet man das nicht, so ein Staatsanwalt: “Natürlich erheben wir Daten unbescholtener Bürger – löschen sie aber sofort wieder”. Dazu ein Abgeordneter der sonst nicht gerade kritischen SPD:

Kohlmeier erinnert an das Scannen von Autokennzeichen, das die Berliner Polizei zeitweise durchführte. Die Vorgänge seien zwar nicht unmittelbar vergleichbar, aber damals habe sich im Datenschutzausschuss herausgestellt, dass es bei der Polizei kein Routine-Verfahren zur Löschung gegeben habe. Am Ende seien die Daten „irgendwann gelöscht“ worden, aber ohne geregeltes Verfahren.

Noch etwas steht in diesem Artikel: Neben Mord, Totschlag und (versuchter) Brandstiftung wird das Verfahren auch bei Raubüberfällen sowie dem Enkeltrick angewendet.

Nicht nur Dresden und Berlin

Die gegenwärtige Aufmerksamkeit scheint schon wieder regional fokussiert zu sein, nach Dresden nun Berlin. Die Funkzellenabfrage ist aber keinesfalls auf einzelne Bundesländer begrenzt, es darf gerne auch in anderen Ländern recherchiert und nachgefragt werden. In Hamburg beispielsweise hatten einzelne Richter einzelne dieser Abfragen zwar für unverhältnismäßig erklärt, aber dennoch wird das in neun von elf Fällen auch da wegen Brandstiftung eingesetzt.

Außerdem dreht sich die gesamte Diskussion bisher um die Polizei, von den Geheimdiensten aus Bund und Ländern ist überhaupt nichts bekannt.

January 20 2012

Nachlese zur Funkzellenabfrage: Noch viele Fragen offen

Das breite Echo zur massenhaften Funkzellenabfrage in Berlin hat dann doch etwas überrascht. Dass die Polizei und andere “Bedarfsträger” diese Art der Datenerhebung gerne anwenden, sollte allen bekannt sein, die sich ernsthaft mit der Vorratsdatenspeicherung auseinandersetzen.

Das neue an der Geschichte ist, dass wir das nun mal wieder schwarz auf weiß nachweisen konnten. Aber wie Thomas Stadler berichtet, wird das bundesweit regelmäßig eingesetzt. Der bisher bekannteste Vorfall war Dresden, wobei das dort nicht das erste Mal war und auch für dieses Jahr wieder angekündigt wird. Einige Aufmerksamkeit erhielt auch der Holzklotz-Werfer von Oldenburg, weniger die Überwachung der Hamburger Universität für Wirtschaft und Politik sowie vom Berliner Mehringhof durch den Verfassungsschutz, um im Vorfeld des G8-Gipfels in Heiligendamm 2007 “Kreuztrefferdaten” zu finden. Aber auch das sind noch längst nicht alle.

Das Problem ist: niemand weiss genau, wie viele solcher Fälle es gibt. In den Statistiken zur Verkehrsdatenüberwachung wird nicht zwischen individualisierten und nicht-individualisierten Abfragen unterschieden. Das Gutachten des CCC zur Vorratsdatenspeicherung sagt unter Hinweis auf einen Forschungsbericht des Max-Planck-Instituts, dass 17,5 % der Verkehrsdatenabfragen nicht-individualisiert sind. Das ergäbe hochgerechnet 133 solcher massenhaften Abfragen in Berlin und 1.655 bundesweit für das Jahr 2009.

Auch die Berliner Staatsanwaltschaft sagte nun: “Diese Maßnahme ist nicht ungewöhnlich” und das Ermittlungsinstrument ist “in erheblichem Maße” genutzt worden.

Reaktionen der Politik

Der Tenor der Berichterstattung hält das für unverhältnismäßig und einen Skandal. Besonders deutlich wird ein Kommentar in der Berliner Zeitung:

Und so lassen Richter millionenfach in diesem Land Handydaten auswerten, ob nun eine Nazidemo blockiert oder ein Auto abgefackelt wird. Mit Sicherheit hat das nichts mehr zu tun, eher mit Staatssicherheit. Es geht nicht um konkrete Verdächtige, sondern um die Generierung eines Verdachts. Es wird Zeit, dass die Legislative die Exekutive mal wieder ein wenig an die Kette legt.

Die Piratenfraktion in Berlin spricht von einem massiven Eingriff in die Grundrechte der Berlinerinnen und Berliner. Die Grünen sehen erheblichen Aufklärungsbedarf und finden es sehr problematisch. Die Linke findet, das geht gar nicht, wobei diese während dem konkreten Fall Teil der Berliner Regierung waren. Alle drei Oppositionsparteien wollen das Thema am Montag im Innenausschuss ansprechen. Die Sitzung beginnt um 10 Uhr und ist öffentlich.

Weiterhin keine Antwort

Von den offiziellen Stellen habe ich weiterhin keine wirklichen Antworten. Senatoren und Staatsanwaltschaft verweisen auf die Polizei, deren Antwort steht noch immer aus. Hier ist unser Fragenkatalog, den wir am 5. Januar gestellt haben:

Zum konkreten Fall:

  1. Welche Fläche wird durch die genannten 13 Funkzellen abgedeckt?
  2. Wie viele Verkehrsdaten haben die Behörden erhalten?
    • Wie viele Anschlüsse sind darin enthalten?
  3. Wie wurden diese Daten weiter verarbeitet?
    • Wurden die Verkehrsdaten mit anderen Daten abgeglichen?
    • Wenn ja, mit welchen?
  4. Wurden Bestandsdaten über die Inhaber/innen von Anschlüssen eingeholt?
    • Wenn ja, wie viele?
  5. Sind betroffene Anschlussinhaber/innen informiert wurden?
    • Wenn ja, wie viele und wie?
    • Wenn nein, warum nicht?
  6. Waren die Ermittlungen erfolgreich?
    • Welche Rolle haben die Verkehrsdaten dabei gespielt?
  7. Wurden die übermittelten Daten wieder gelöscht?
    • Wenn ja: Wann? Und: Gibt es einen Nachweis?

Zur nicht-individualisierten Funkzellenabfrage allgemein:

  1. Wie viele Funkzellenabfragen wurden in den Jahren 2009 und 2010 in Berlin vorgenommen?
    • Wie viele der Maßnahmen nach §§ 100g StPO sind solche Funkzellenabfragen?
    • Welche Behörden haben wie oft Daten abgefragt?
  2. Wie ist das Verhältnis von individualisierten und nicht-individualisierten Abfragen?
    • Unter “individualisiert” verstehe ich: Wir haben eine oder mehrere spezifische IMSI, bitte geben Sie uns Daten, die diese Anschlüsse betreffen?
    • Unter “nicht-individualisiert” verstehe ich: Wir haben einen örtlichen und zeitlichen Raum, bitte geben Sie uns alle Daten aller Funkzellen, die Daten darüber haben?
  3. Für welche Straftaten werden Funkzellenabfragen gemacht?
    • Die jährliche Übersicht Telekommunikationsüberwachung des Bundesamts für Justiz listet die Anzahl der Maßnahmen nach der Art des Anlasses einzeln. Warum hat die Übersicht Verkehrsdatenüberwachung das nicht?
    • 2009 gab es laut brennende-autos.de 216 Brandanschläge auf Autos in Berlin. Gab es auch 216 Funkzellenabfragen?

Schön zu sehen, das Presse und Berliner Fraktionen das jetzt ebenfalls recherchieren. Wobei das auch in anderen Bundesländern und im Bund gemacht werden darf. Auch Einzelpersonen können weiterhin Auskunftsersuchen nach Bundesdatenschutzgesetz stellen.

Forderungen an die Politik

Was bedeutet das nun für die Politik? Zunächst muss untersucht werden, warum Telekommunikationsanbieter diese Daten überhaupt speichern. Das dürfen diese nämlich nur für die Rechnung. Dafür braucht man aber die verwendete Funkzelle nicht, dennoch wird das bis zu einem halben Jahr unnötig gespeichert. Ebenso ist es egal, von wem man angerufen oder eine SMS erhalten hat, auch das wird bis zu einem halben Jahr gespeichert. Der Arbeitskreis Vorratsdatenspeicherung krisitierte bereits im September:

Die illegale Kommunikations- und Bewegungsdatenspeicherung der deutschen Telekommunikationsbranche bringt Millionen von Menschen in die Gefahr strafrechtlicher Ermittlungen, weil sie zufällig am falschen Ort waren oder mit der falschen Person telefoniert haben. […] Die Datenberge schaffen auch die permanente Gefahr von Datenpannen und Datenverkauf, wie bei T-Mobile bereits geschehen, und einer Aufdeckung der Quellen von Journalisten, wie bei der Deutschen Telekom geschehen. Nur nicht gespeicherte Daten sind sichere Daten!

Grundsätzlich muss man sich fragen, ob eine nicht-individualisierte Funkzellenabfrage überhaupt verhältnismäßig sein kann. Hier wird das manchmal abstrakte Problem mit der Vorratsdatenspeicherung konkret: Es geht eben nicht nur um die Daten von Kriminellen (und Terroristen schon gar nicht), sondern zwangsläufig sind hunderte oder tausende Unbeteiligte betroffen, pro Fall. Die Linksfraktion im Bundestag will das Instrument daher abschaffen:

Der Dresdner Datenskandal verdeutlicht, dass es im Hinblick auf die Streubreite und die damit verbundenen schweren Eingriffe in die Grundrechte Unbeteiligter, die auf § 100g Absatz 2 Satz 2 StPO gestützten Ermittlungsmaßnahmen innewohnen, nicht ausreicht, legislativ Sicherungen einzubauen, die ihre Benutzung erträglich machen. Erforderlich ist vielmehr die ersatzlose Streichung dieser Maßnahme aus dem Katalog möglicher Verfolgungsinstrumente.

Bei den bereits erfolgten Funkzellenabfragen der Vergangenheit stellt sich die Frage, ob jemals eine der betreffenden Personen darüber informiert worden ist. Auch nach Dresden gab es eine Kampagne zur Datenanfrage bei Staatsanwaltschaft und Polizei, auch Klagen. Ist auch nur ein Fall bekannt, wo die Benachrichtigung erfolgt ist? Warum passiert das nicht automatisch? Es ist ja nicht so, dass man die erforderlichen Daten nicht hätte.

Und worüber es bisher noch gar keine Auskunft gab: Was passiert eigentlich mit diesen Datenbergen? Wie will die Polizei aus tausenden Daten ein paar Verdächtige herausfiltern? Mit welchen anderen Datenbanken sollen diese Daten abgeglichen werden? Wollen wir so eine Rasterfahndung?

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl