Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 16 2014

IM Friedrichs Erbe: Neue EU-Vorratsdatenspeicherung aller Ein- und Ausreisen nur mit Zugriff durch Polizei und Geheimdienste

Die Abnahme aller zehn Fingerabdrücke soll bei Ein- und Ausreisen Pflicht werden. “Vertrauenswürdige Vielreisende” können sich das Privileg einer automatisierten Kontrolle erkaufen und biometrische Daten auf einer Chipkarte hinterlegen.

Die EU-Kommission ist dabei, eine Vorratsdatenspeicherung aller ausländischen Reisenden in der Europäischen Union anzulegen. Dies beträfe sämtliche Ein- und Ausreisen, egal ob diese aus geschäftlichen, touristischen oder schutzbedürftigen Gründen erfolgen. Das geplante “Ein/Ausreiseystem” käme mit einem weiteren Programm zur Bevorzugung von “vertrauenswürdigen Vielreisenden”, die zuvor ihre biometrischen Daten abgegeben haben (“Registrierungsprogramm für Reisende”). Zusammen bilden sie das “Maßnahmenpaket intelligente Grenzen”, das nach gegenwärtigem Stand 1,35 Milliarden Euro kosten würde. Die genauen Ausgaben können nicht beziffert werden: Die Kommission hat noch keine Übersicht über ihre Verteilung auf den EU-Haushalt bzw. die Haushalte der Mitgliedstaaten vorgelegt. Eine Studie soll nun die verschiedenen Möglichkeiten für die Errichtung der beiden Systeme prüfen. Ergebnisse könnten im Herbst vorliegen.

Die Programme des “Maßnahmenpakets intelligente Grenzen” wurden ursprünglich mit einer grenzpolizeilichen Nutzung begründet. Sie sollen dafür sorgen, dass jederzeit die Anzahl ausreisepflichtiger MigrantInnen bestimmt werden kann. Im Fokus stehen mit den sogenannten “Over-Stayern” jene Personen, deren Visa abgelaufen sind. Zwar werden ihre Ein- und Ausreisen in den meisten Mitgliedstaaten schon protokolliert. Die Systeme sind aber nicht grenzüberschreitend vernetzt. Es kann also nicht festgestellt werden, ob eine Person, die über den Flughafen Frankfurt einreiste, längst über eine EU-Landgrenze wieder ausgereist ist. Mindestens 14 Mitgliedstaaten verfügen bereits über ein nationales Ein- und Ausreisesystem. Hierzu gehören Spanien, Litauen, Polen, Rumänien, Bulgarien, Zypern, Portugal und Großbritannien. Womöglich können die Systeme später in die geplante europäische Plattform integriert werden.

Nutzung zur Gefahrenabwehr und Strafverfolgung als Kostenargument

Alle übrigen Staaten müssen nun ihre Grenzübergänge modernisieren. Vorher soll festgelegt werden, welche biometrischen Merkmale einheitlich erhoben werden sollen. Im Moment kursiert der Vorschlag, alle zehn Fingerabdrücke abzunehmen. Dies würde die Beschaffung mobiler Fingerabdruckscanner an allen Übergängen erfordern. Außerdem sollen an Grenzen mit viel Publikumsverkehr elektronische Kontrollgates eingerichtet werden. Das Ziel ist die Beschleunigung von Kontrollen. Die Bundesregierung fordert, derartig automatisierte “eGates” in der gesamten EU einzurichten. In Deutschland sind 100 dieser “EasyPASS-Systeme” an den fünf passagierstärksten Flughäfen Frankfurt am Main, Düsseldorf, Hamburg, München und bald auch Berlin installiert.

Der Umfang der neuen Vorratsdatenspeicherung “Ein/Ausreiseystem” wäre immens: Jährlich wird mit rund 269 Millionen Reisenden gerechnet. Die Innenministerien mehrerer Mitgliedstaaten fordern nun, dass ihre Polizeien und Geheimdienste ebenfalls von den Daten Gebrauch machen dürfen. Im Moment soll dies lediglich zur “Verhütung und Verfolgung terroristischer und sonstiger schwerwiegender Straftaten” möglich sein. Später könnten die Gründe für Abfragen dann auch auf andere Kriminalitätsbereiche ausgedehnt werden.

Es zeichnet sich sogar ab, dass die Ermittlung von “Over-Stayern” gar nicht mehr im Vordergrund des “Ein/Ausreiseystems” steht: Denn dessen Nutzen zur Gefahrenabwehr und Strafverfolgung wird immer mehr betont. Dies geht aus der Antwort des Bundesinnenministeriums auf eine Kleine Anfrage der Linksfraktion hervor. Die neue Datensammlung würde sich demnach nicht lohnen, wenn sie lediglich zur Migrationskontrolle errichtet würde:

Eine Reihe von Mitgliedstaaten äußerte Zweifel am Kosten-Nutzen-Verhältnis, wenn das EES nicht auch zur Verhütung und Verfolgung terroristischer und sonstiger schwerwiegender Straftaten genutzt werden könne.

Wichtigster Advokat auf heimlichem Parkett: Der frühere Innenminister Friedrich

Die Bundesregierung schlägt sich auf die Seite der Befürworter einer polizeilichen Nutzung der neuen Vorratsdatenspeicherung: In der Antwort erklärt das Bundesinnenministerium, dass “bessere statistische Erkenntnisse zur Zahl der Overstayer allein die Einführung eines Ein/Ausreiseystems nicht rechtfertigen können”. Bei anderen EU-Datenbanken war die polizeiliche Nutzung erst nachträglich erlaubt worden, indem einfach die frühere Zweckbestimmung geändert wurde. Mehrere Regierungen bauen also Druck auf, um den Zugang ihrer Polizeien schon vor dem eigentlichen Aufbau der neuen Datensammlung durchzusetzen.

Auch US-Behörden sind sehr interessiert an der neuen EU-Vorratsdatenspeicherung. Entsprechende Gespräche finden nicht nur auf EU-Ebene statt, sondern auch im informellen Rahmen. Erst letzte Woche hatten sich die Innenminister der sechs einwohnerstärksten EU-Mitgliedstaaten (G6) in Krakau getroffen. Seit 2007 nehmen – auf Initiative des damaligen deutschen Innenministers Wolfgang Schäuble – das US-Heimatschutzministerium und die US-Generalbundesanwaltschaft teil. Mittlerweile firmiert die heimliche Kungelrunde als “G6 +1″.

Mit dem US-Heimatschutzminister und dem US-Generalbundesanwalt wurde in Krakau zum zweiten Mal über das “Maßnahmenpaket intelligente Grenzen” besprochen. Schon auf dem vorigen Treffen im September in Rom stand das “Ein/Ausreiseystem” auf der Tagesordnung: Offensichtlich auf Geheiß des früheren Innenministers Hans-Peter Friedrich (CSU). Er gehört zu den wichtigsten Befürwortern des Systems. Der nun gestrauchelte Geheimnisweitersager setzt sich vehement für den Zugriff durch Polizei und Geheimdienste ein. Dem Tagesspiegel vertraute Friedrich an, dass er den G6 und den USA hierzu ein “Konzept” vorlegen wolle:

Zu prüfen wäre, ob der Datenabgleich auf weitere Datenbestände der Mitgliedstaaten, insbesondere der Sicherheitsbehörden, ausgedehnt werden sollte.

In ihrem Verordnungsentwurf schlägt die Kommission aber vor, den Zugang zunächst auf grenzpolizeiliche Zwecke zu beschränken. Inwiefern weitere Sicherheitsbehörden ebenfalls zugreifen dürfen, soll demnach später diskutiert werden. Hierfür soll abgewartet werden, welche Erfahrungen mit dem polizeilichen Zugriff auf die vor zwei Jahren in Betrieb genommene EU-Visumsdatenbank (VIS) gemacht wurden. Die litauische Ratspräsidentschaft hatte letztes Jahr eine Befragung der Mitgliedstaaten durchgeführt um zu prüfen, inwiefern der Zugriff bei der Aufklärung von Straftaten geholfen hat. Neben den Polizei- und Strafverfolgungsbehörden dürfen auch die Geheimdienste Daten aus dem Visa-Informationssystem abfragen.

Super-Datenbank mit Möglichkeit zur Rasterfahndung

Das “Maßnahmenpaket intelligente Grenzen” könnte auch die Grundlage für eine Super-Datenbank bilden: Denn laut der Bundesregierung wird auch über ein “Zusammenwirken eines EES mit bereits vorhandenen Systemen” nachgedacht. Dann könnten andere polizeiliche Datenbanken miteinander abgeglichen werden, um sogenannte “Kreuztreffer” zu finden. Werden die Reisedaten in Ermittlungen mit weiteren Vorratsdaten abgeglichen (etwa aus der Telekommunikation oder Finanztransaktionen), dient das “Ein/Ausreisesystem” der bequemen Rasterfahndung. Allerdings soll dabei eine Prüfung “der Verfassungsmäßigkeit, der Verhältnismäßigkeit und der Vereinbarkeit mit datenschutzrechtlichen Bestimmungen” berücksichtigt werden – ein schwacher Trost für Datenschutz und Bürgerrechte.

Ein “Zusammenwirken” könnte etwa mit der biometrischen Datenbank EURODAC erfolgen. Auch dort werden Fingerabdrücke genommen, allerdings nur von Angehörigen jener Staaten, die einer Visumspflicht unterliegen. Die EURODAC-Datensammlung wurde ursprünglich eingerichtet, um mehrfache Asylanträge von ein und derselben Person aufzuspüren. Gespeichert werden Fingerabdrücke ab einem Alter von 14 Jahren. Die Daten dürfen 10 Jahre lang genutzt werden. Wie beim Visa-informationssystem wurde Polizeien und Geheimdienste auch für EURODAC erst nachträglich der Zugriff erlaubt.

Denkbar wäre aber auch, das Schengener Informationsystems (SIS II) mit dem “Ein/Ausreiseystem” abzugleichen. Die größte EU-Datensammlung war erst letztes Jahr auf eine Version aufgebohrt worden und kann nun auch Anhänge speichern, darunter auch biometrische Daten. Der Upgrade verzögerte sich um viele Jahre. Ursprünglich waren für die Entwicklung 14,5 Millionen Euro vorgesehen, am Ende kostete das System rund 172 Millionen.

Ein “Ein/Ausreiseystem” würde wohl auch von der neuen “Agentur für das Betriebsmanagement von IT-Großsystemen” (EU-LISA) verwaltet. Sie war vor über einem Jahr zunächst für das SIS, EURODAC und das VIS errichtet worden. Ihr Hauptsitz ist in Tallinn/ Estland, ein Backup existiert in Sankt Johan im österreichischen Pongau, wo auch das SIS gespiegelt wird.

Wegfall der Stempelpflicht

Die Bundesregierung legt nun eine Aufschlüsselung für das SIS II vor. Daraus lässt sich entnehmen, wofür bei derartig neu errichteten Datenbanken später weitere Gelder benötigt werden. Neben der Entwicklung des zentralen SIS II in Strasbourg (74 Millionen Euro) fielen Kosten an für Unterstützung und Qualitätssicherung (14 Millionen Euro), Netzwerkinfrastruktur (32 Millionen Euro), Betriebsmanagement auch der Backup-Station in Österreich (9 Millionen Euro), Sicherheit, Kommunikation, Dienstreisen der Sachverständigen und Werbung unter den angeschlossenen polizeilichen Dienststellen. Für die nationalen Kontaktstellen gab die Kommission weitere 13 Millionen Euro aus. Für den Umzug auf das neue SIS II erhielten die Mitgliedstaaten eine “finanzielle Unterstützung” von insgesamt 4 Millionen Euro.

Das “Registrierungsprogramms für Reisende” sieht vor, dass alle Teilnehmenden einen “Token” mitführen. Dieser wird wohl in Form einer maschinenlesbaren Karte erstellt, auf der die persönlichen Angaben und biometrischen Daten gespeichert sind. Eine umständliche Befragung zum Reiseziel oder dem Lebensunterhalt soll auf diese Weise überflüssig werden. Auch das im Schengener Grenzkodex vorgesehene Stempeln von Reisedokumenten entfiele. Stattdessen lobt die Bundesregierung die dann “automatische Speicherung und Berechnung der Aufenthaltsdauer”.

Die neue Karte kann bei jeder Ein- und Ausreise an den automatischen Schleusen durchgezogen werden. Gespeicherte Informationen werden mit den gleichzeitig gescannten Fingerabdrücken abgeglichen. Alle Daten werden in einem Zentralregister verarbeitet. Sofern erlaubt, würden dann auch andere polizeiliche Vorratsdaten abgefragt.

Das neue “Maßnahmenpaket intelligente Grenzen” ist ein System zur bürokratischen, auf Statistiken basierenden Migrationskontrolle. Der Zugriff auch zur Gefahrenabwehr und Strafverfolgung wird die technischen Möglichkeiten von Polizeien und Geheimdiensten erneut erweitern. Die beiden Systeme fördern eine Zwei Klassen-Gesellschaft für unerwünschte und erwünschte Reisende. Dies bestätigt auch das Bundesinnenministerium. In der Antwort auf die Kleine Anfrage wird die digitale Aufrüstung der EU-Außengrenzen ausdrücklich gelobt:

Die Kontrollen würden strenger, während der Grenzübertritt für vorab sicherheitsüberprüfte Vielreisende aus Nicht-EU-Ländern rascher vonstatten ginge.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

February 05 2014

Britisches “Network for police monitoring” startet Kampagne gegen politische Datensammlung der Polizei

domestic-extremistNicht nur in Deutschland werden linke AktivistInnen in einer eigenen Datenbank geführt. Auch die britische Polizei hat Ende der 90er Jahre eine entsprechende Datensammlung eingerichtet. Gespeichert werden Personen, die als “domestic extremists” gelten, übersetzt heißt das soviel wie “einheimische Extremisten”. Häufig ist unklar, wie Betroffene überhaupt in die Datenbanken gelangen.

Im Falle der früheren, beim Bundeskriminalamt (BKA) als Zentraldatei innerhalb von INPOL geführten Datei “International agierende gewaltbereite Störer” (IgaSt) reichte bereits ein Platzverweis am Rande einer Demonstration. Auch der gemeinsame Grenzübertritt, etwa im Fahrzeug einer bereits in IgaSt gespeicherten Person, galt als verdächtig und führte zur Speicherung. Die Datei wurde dann benutzt, um Reiseverbote für zukünftige Proteste zu verhängen. Legendär war hierzu der Spruch des früheren Berliner Innensenators Ehrhart Körting (SPD) zwölf Jahre nach dem Fall der Mauer:

Es gibt [in Deutschland] kein Grundrecht auf Ausreise.

Aufgrund einer Speicherung in IgaSt Ausreiseverbote zu verhängen war zuletzt zum NATO-Jubiläum 2009 in Strasbourg dutzendfach angewendet worden. Das Verwaltungsgericht in Kehl hatte dies allerdings in fast allen Fällen als rechtswidrig erklärt.

Mittlerweile ist die Datei in “PMK-links-Z” umbenannt. “Z” steht für Zentraldatei, Besitzer der Daten ist also das BKA. “PMK” bedeutet “Politisch motivierte Kriminalität”. Um die Praxis der rechtswidrigen, politischen Datensammlungen bei deutschen Polizeien aufzudecken hatte das data:recollective vor einigen Jahren die auch von Netzpolitik unterstützte Kampagne “Reclaim Your Data” gestartet. Sie warb für den “Auskunftsgenerator” des Projekts “Datenschmutz”, womit die bei Bundes- und Landespolizei gespeicherten Daten bequem nachgefragt werden können. Von einer Abfrage bei Verfassungsschutzämtern wird aber gewarnt, da diese teilweise eine Begründung verlangen

Seit Jahren machen auch britische Bürgerrechtsgruppen gegen die politisch motivierte Datensammlung zu “domestic extremists” mobil. Letztes Jahr schrieb die Tageszeitung Guardian, dass rund 9.000 Personen dort verarbeitet würden. Sie wird von der “National Domestic Extremism Unit” (NDEU) betrieben.

In den letzten Jahren flogen in Großbritannien mehrere Polizeispitzel auf, die auch maßgeblich bei der Planung von Aktionen mitgeholfen hatten. Pikant: Zahlreiche Namen von Zielpersonen sowie Betroffenen aus deren Umfeld wurden von den Spitzeln in die Datenbank geschaufelt, ohne dass irgendwelche Gründe dies rechtfertigen würden. Hinzu kommen Fotos, die eine eigene Einheit namens “Forward Intelligence Team” beschafft. Dabei handelt es sich um Fotografen, die sich mit großen Teleobjektiven gegenüber von Wohnorten oder Treffpunkten postieren und beim Verlassen der Örtlichkeiten hochauflösende Fotos machen.

Nun hat das britische “Network for police monitoring” (Netpol) eine Kampagne gegen die Datensammlung gestartet. Für heute wurde der “domestic extremism awareness day” ausgerufen, ein eigener Hashtag fragt nach Statements von Betroffenen. Viel wichtiger ist aber der Aufruf zur Abfrage der eigenen Daten. In Großbritannien heißt das “Subject Access Request”.

Netpol stellt hierfür ähnlich wie das deutsche Datenschmutz-Wiki einen Vordruck auf seiner Webseite bereit. Innerhalb von zwei Wochen muss die Polizei den Eingang bestätigen. Ob wirklich eine brauchbare Antwort kommt, kann aber bezweifelt werden. In Deutschland werden viele Angaben aus Gründen des “Quellenschutzes” verweigert. Gemeint sind Spitzel oder Informanten, die durch die Preisgabe der Informationen in Gefahr geraten könnten.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

October 29 2013

Wenn die Polizei deinem Arbeitgeber erzählt, was du am Wochenende gemacht hast…

… kannst du am Montag schon gefeuert sein, weil du am Samstag auf einer Demo warst.

Das ist jetzt einem Aktivisten passiert, der freitags blau gemacht hatte, um am Samstag an einer Demonstration teilnehmen zu können, die sich gegen Urban Shield in Oakland, Californien, richtete. Urban Shield ist unter dem Deckmäntelchen von Terrorismusbekämpfung und Katastrophenvorbereitung im Kern eine Produktschau und Verkaufsveranstaltung von Waffenherstellern u.ä., ergänzt mit Übungen und Kriegspiel-Wettbewerben, gegen die es jedes Jahr deutliche Proteste gibt. Passend, da kann man die neuen Produkte zur Sicherung der Ordnung gleich an den Demonstranten ausprobieren.

Wie gut die Überwachungstechnologie der Polizei Oakland jetzt schon funktioniert, zeigte sich, als Überwachungsbilder des Aktivisten, auf denen er vermummt war, kombiniert mit dem Nummernschild seines Wagens an dessen Arbeitgeber gesendet wurden. Der ihn sogleich entlassen hat, da eine Krankheit ja offensichtlich nicht vorlag.

Der Betroffene ist auf Twitter als @Anon4justice bekannt und hat die Bilder veröffentlicht, die zeigen, wie fortgeschritten die automatische Erkennung Verknüpfung von Informationen selbst bei teilweiser Verdeckung des Gesichts mittlerweile sein muss:

 

Um ihre Fähigkeiten noch weiter auszubauen, plant Oakland aber bereits eine Ausweitung ihrer Überwachungskapazitäten namens Domain Awareness Center:

Der Stadtrat von Oakland hat einstimmig beschlossen, 2 Mio. Dollar für Phase 2 des DAC zu gewähren. Es wird öffentliche und private Kameras sowie Sensoren im gesamten Stadtgebiet zu einem 10,9 Mio. Dollar schweren Massenüberwachungssystem kombinieren. Es wird finanziert durch das Ministerium für Innere Sicherheit und ausgeführt vom Militär-Vertragspartner Science Applications International Corporation.

 

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

September 16 2013

Apples iPhone 5S: Leichteres Spiel für die Polizei dank Fingerabdruck

iphone-5s-fingerprint-scanner-630x354

Quelle: TechnoBuffalo.com

Das wohl am heftigsten diskutierte Feature des neuen Apple iPhone 5S ist der integrierte Fingerabdruck-Scanner. Apple bewirbt Touch ID als revolutionären Schritt, um die Daten auf dem iPhone besser zu schützen. Die Rhetorik ist dabei recht simpel und eingängig: Biometrische Daten, wie unser Fingerabdruck, sind gleichzeitig ‘geheim’, einfach zu benutzen (da man sie nicht vergisst und immer bei sich hat) und ‘sicher’ da einzigartig und schwer zu fälschen. So sagt auch Dan Riccio, Senior Vice President Hardware Design Apple, im Werbespot, dass der Fingerabdruck eines der besten Passwörter sei.

Your fingerprint is one of the best passwords in the world. It’s always with you and no two are exactly alike.

Allerdings wurden nun Stimmen laut, dass die Verwendung des Fingerabdrucks einige Gefahren mit sich bringt: Da Apple mit der NSA kooperiert gibt es Bedenken, dass man biometrische Daten an den Staat weitergibt. Im Gegensatz zu einem Passwort kann die Polizei nach dem Fingerabdruck verlangen, um Zugriff auf das Gerät zu erhalten. Fingerabdrücke sind bestechend einfach zu fälschen. Und Nutzung des Fingerabdrucks zum simplen Sperren des Telefons könnte den leichtsinnigen Umgang mit biometrischen Daten fördern. Im Folgenden wollen wir die verschiedenen Aspekte näher beleuchten. 

Geheimdienste könnten durch Apple an Fingerabdrücke gelangen

Apple selbst beteuert, dass der Fingerabdruck des Benutzers verschlüsselt und lokal abgespeichert wird – weder in iCloud noch anderen Apple Servern gesichert. Im iPhone liegt der verschlüsselte Fingerabdruck bzw. dessen Hash in der “Secure Enclave” – einem geschützten Bereich in der A7 Architektur. (Apples A7 basiert auf ARMs v8 Architektur und Apples ‘Secure Enclave’ basiert auf ARMs ‘Trust Zone’ Konzept) Augenscheinliches Problem ist jedoch, dass Apple eben nichts von “Open Source” hält und man somit außer Marketing-Material und ein paar zusammengeklaubten Informationen gar nichts über die konkrete Implementierung weiß. Man muss Apple vertrauen. Vertrauen, dass die Hardware-Architektur so sicher ist, wie sie sagen. Vertrauen, dass die Daten wirklich nicht auf Webservern landen. Vertrauen, dass es keine Backdoors gibt. Demgegenüber steht das Wissen, dass die NSA umfassenden Zugriff auf Smartphones hat. Da das iPhone, wie jedes andere Apple Produkt, ein völlig geschlossenes System ist, kann der Benutzer letztlich nur darauf vertrauen, dass all die Aussagen aus der Marketingabteilung auch der Wahrheit entsprechen. In Zeiten immer größerer Unsicherheit bezüglich staatlicher Überwachung und Kooperation mit privaten Unternehmen könnte dieser Umstand bei vielen Benutzern Unbehagen auslösen.

Fingerabdruck ist kein Passwort

In den USA ist es einigen Leuten schon aufgefallen, dass der Fingerabdruck einen deutlich schwächeren Schutz vor der Polizei darstellt, als ein Passwort. Wenn man nicht gerade in England ist, muss man der Polizei nicht das Passwort zu verschlüsselten Daten – oder anderen Geräten, wie dem Smartphone – sagen, wenn man sich dadurch u.U. selbst belasten würde. In den USA ist dies unter der Redewendung “Taking the 5th” oder “Pleading the 5th” bekannt. Wenn ich mich selbst belaste, indem ich eine Aussage mache, habe ich das Recht die Aussage zu verweigern. In Deutschland ist das ähnlich – “Sie haben das Recht zu schweigen”. Hierbei geht es aber immer um Erinnerungen bzw. Wissen, was ich nicht mitteilen muss – wie z.B. ein Passwort. Auf einen Fingerabdruck trifft dies weder in den USA, noch in Deutschland zu. Die Polizei kann niemanden dazu zwingen, das Passwort zum Mobiltelefon zu verraten, aber sie kann den Fingerabdruck verlangen, um das Mobiltelefon zu entsperren, denn dieser stellt keine selbst-belastende Aussage dar. Im Gegensatz zum Passwort schützt ein Fingerabdruck somit gar nicht, falls die Polizei involviert ist.

So warnt auch Marcia Hofman, ehemalige Mitarbeiterin der US amerikanischen Electronic Frontier Foundation, dass die Nutzung biometrischer Daten zur Authentifizierung es zukünftig schwieriger machen könnte, die Aussage zu verweigern.

But if we move toward authentication systems based solely on physical tokens or biometrics — things we have or things we are, rather than things we remember — the government could demand that we produce them without implicating anything we know. Which would make it less likely that a valid privilege against self-incrimination would apply.

Fälschung des Fingerabdrucks

Der Chaos Computer Club hat schon vor knapp 10 Jahren davor gewarnt, wie einfach es ist, Fingerabdrücke zu fälschen. Im Grunde kann man mit etwas Silikon, Geschick, einer Kamera und Bildbearbeitungssoftware sehr kostengünstig falsche Fingerabdrücke reproduzieren. Da die verbauten Fingerabdruck-Sensoren gerade in mobilen Endgeräten vor allem günstig sein müssen, sind sie relativ ungenau (auch, um false-negative niedrig zu halten, um den Benutzer nicht zu sehr zu frustrieren) und lassen sich daher leicht austricksen. Ein langfristig vielleicht sinnvollerer Ansatz wurde diesen Monat durch ‘SilenSense‘ vorgestellt. Statt ein einzelnes biometrisches Datum zu verifizieren – wie z.B. Gesichtserkennung, Iris- oder Fingerprint-Scan – haben Forscher des Illinois Institute of Technology einen Weg gefunden, Bewegungs- und Drucksensoren des Smartphones auszulesen und durch diese Charakteristika einen Benutzer zu identifizieren.

In this paper, we present SilentSense , a framework to verify whether the current user is legitimate owner of the smartphone based on the behavioral biometrics, including touch behaviors and walking patterns. We establish a model and a novel method to silently verify the user with high confidence: the false acceptance rate (FAR) and false rejection rate (FRR) could be as low as < 1% after only collecting about 10 actions. We have found that a user’s touch signatures if used in conjunction with the walking patterns will achieve significant low error rates for user identification in a completely non-intrusive and privacy preserving fashion.

Diese Art der Benutzer-Authentifizierung hat den großen Vorteil, dass kein biometrisches Datum irgendwo gespeichert sein muss. Außerdem sind solche Bewegungs- und Benutzungscharakteristika (wie fest jemand drückt, wie schnell jemand scrollt, etc.) nur schwer zu fälschen.

Biometrische Daten als alltägliches Mittel

Selbst, wenn Apple sicherstellt, dass die Fingerabdrücke wirklich nie den Weg ins Internet finden, sie sich gegen Überwachung durch die NSA wehren und der verwendete Sensor gefälschte Fingerabdrücke erkennt (diese drei Umstände sind bisher alle mehr als fragwürdig), besteht immer noch das Problem der ‘De-Sensibilisierung’. Vor ein paar Wochen berichteten wir über die Hamburger Schule, die Fingerabdrücke zum Bezahlen des Mensa-Essens verlangte. Nun werden Fingerabdrücke beim iPhone eingesetzt. All diese Vorstöße führen dazu, dass immer unbedachter und sorgloser mit Daten umgegangen wird, deren Tragweite und Aussagekraft man in der heutigen vernetzten Welt überhaupt nicht einschätzen kann. Im Falle des iPhones vertraut man einer technischen Black-Box ein Datum an, das die eigene Person perfekt identifiziert. Und das alles, nur um dieses Gerät schneller und komfortabler nutzen zu können. Letztlich trägt das iPhone hier dazu bei, dass die Hemmschwelle – hoch-persönliche Daten für Komfort aufzugeben –  weiter sinkt. So warnt auch der Hamburger Datenschutzbeauftragte Johannes Caspar vor der leichtsinnigen Weitergabe biometrischer Daten.

Biometrische Merkmale kann man nicht löschen. Sie begleiten uns das Leben lang. Fingerabdrücke sollte man daher nicht für alltägliche Authentifizierungsverfahren abgeben, insbesondere wenn sie in einer Datei gespeichert werden.

Die bisherigen Mechanismen wie PIN oder Swipe-Muster, um Smartphones zu sperren, sind sicher nicht perfekt. Allerdings ist die Authentifizierung durch bioemtrische Daten sicher nicht der richtige Weg. Gerade in einer Zeit, in der niemand so wirklich weiß, was mit den eigenen Daten passiert.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 19 2013

EU-Studie zu “Crowd Behaviour” auf Demonstrationen warnt vor Anti-ACTA und Occupy

“Hi, my name is XX. I am working on an EU research project and we are studying events like this. I would like to ask you a couple of questions”.

Seit ungefähr zehn Jahren führt die Europäische Union Forschungen durch, um sogenannte “polizeiliche Großlagen” besser in den Griff zu bekommen. Handelte es sich zunächst um grenzüberschreitende Fussballspiele, rückten mehr und mehr auch internationale Demonstrationen ins Visier der Behörden. Hintergrund sind Erfahrungen mit Protesten gegen den EU-Gipfel in Amsterdam 1997 und das Treffen der WTO in Seattle 1999 (der Geburtsstunde des Internetportals Indymedia). Zentrale Wendepunkte für die polizeiliche Reaktion auf Massenproteste in Europa waren jedoch der EU-Gipfel in Göteborg und der G8-Gipfel in Genua, zu denen im Sommer 2001 als “Summer of Resistance” mobilisiert wurde.

Das erste (und später in eine zweite Phase verlängerte) EU-Forschungsprogramm trug den Namen EU-SEC. Ziel waren die Entwicklung von Standards für den Austausch von Informationen unter Polizeibehörden und Geheimdiensten und die präventive Ausforschung internationaler Strukturen. Weil aber DemonstrantInnen auf veränderte Polizeistrategien reagieren, antwortete die EU mit einem weiteren Programm namens GODIAC unter Leitung der schwedischen Polizei.

Als Problem wurde umrissen, dass die Taktik von AktivistInnen bei internationalen Gipfelprotesten “immer weniger vorhersehbar” sei. Während EU-SEC Handreichungen und Handbücher zur Polizeizusammenarbeit produzierte, widmete sich GODIAC mehr der Disziplin “Crowd Behaviour” und “Crowd Research”, also dem Kontrollieren oder sogar Vorhersehen von Massenphänomenen. Sowohl EU-SEC als auch GODIAC sind beendet, Ergebnisse bleiben aber unter Verschluss.

Gipfelproteste haben nicht immer Konjunktur auf internationaler Ebene. Hin und wieder sind Mobilisierungen lediglich für einheimische Bewegungen von Bedeutung. Die EU antwortet jetzt mit Forschungen zur Einrichtung eines “Koordinators für polizeiliche Großlagen”, der ähnlich wie der “Anti-Terror-Koordinator” entsprechende Aktivitäten bündeln und nationale Polizeien beraten soll.

In einem Papier des GODIAC-Programms wird erklärt, Polizeien stünden einer zunehmenden Internationalisierung von Protest gegenüber. Die Polizeiforschung nimmt daher zahlreiche Protestformen unter die Lupe, darunter “gewöhnliche Demonstranten” bis hin zu “Aktivisten/ Extremisten”.

Als Beispiele erfolgreicher, unerwarteter Protestformen gelten die Anreise mehrere Tage vor dem Ereignis, die Blockade von Konferenzgebäuden oder das Agieren als sogenannter “Schwarzer Block”. Laut GODIAC antworten Polizeien zunehmend mit “paramilitärischen Taktiken”. Eine Empfehlung erhalten deshalb die sogenannten “Konfliktmanager” der deutschen Polizei (bzw. “Dialogue Police”/ Schweden, “Event Police”/ Dänemark”Peace Unit”/ Niederlande und “Dialogue Officers/ Großbritannien). Es handelt sich dabei um BeamtInnen mit leuchtenden Westen, die AktivistInnen in langwierige Gespräche verwickeln.

Beforscht wird auch der Umgang mit Sozialen Medien und die Analyse von dort ventilierten Informationen. Die GODIAC-Studie nennt dies “gegenwärtige Herausforderungen von Globalisierung und ‘Technologisierung’ von Massenereignissen [crowd events]“. “Moderne Kommunikationstechnologien” beförderten Protest auch fernab vom eigentlichen Ereignis und trügen zu einer “Synchronisierung” bei:

The technological revolution – smart mobile phones, e-mail, the Internet and social media, especially Facebook and Twitter – can have a direct impact on protest behaviour, for example, by organising flash mobs or spreading information on police deployment or movement.

GODIAC identifiziert die Anti-ACTA-Proteste am 11. Februar 2012 als Unruheherd und potentielles Risiko zukünftiger Protestformen. Damals hätten insbesondere Soziale Medien eine tragende Rolle gespielt, um Demonstrationen in 55 Städten aufeinander abzustimmen. Genannt wird auch die Occupy-Bewegung, die gleichzeitige Proteste in den Finanzzentren London, Frankfurt und Rom durchführen konnte. Geraten wird nun, dass auch Polizeien mehr in Sozialen Netzwerken präsent sein sollen:

Police organisations are addressing these developments and have started to use Twitter and other social media as part of their communication strategies during day-to-day business but also around public order events to inform the public and the demonstrators before, during and after an event.

Für die GODIAC-Studie haben die Polizeiforscher übrigens viele Interviews auch mit Demonstrierenden geführt. Das dürfte sich nicht ohne Peinlichkeiten abgespielt haben, wie das oben gepostete Foto einer holprigen Annäherung von hinten illustriert. Dies obwohl den Beteiligten eingeschärft worden war, mit dem typischen Protestzubehör anzureisen. Hierzu gehören laut GODIAC:

• A bottle of still water (actually against thirst, but can also be good to wash off tear gas)
• Energy or fruit bars
• GPS-capable PDA/Smartphone (if available)
• Spare clothes (sweatshirt, rain jacket, baseball cap)
• Money (coins and banknotes in small denominations)
• Sunscreen

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 09 2013

Handy-Polizei-Kontrolle von Andreas Baum hat kein juristisches Nachspiel

Vor zwei Wochen hatten wir darüber berichtet, dass der Berliner Piraten-Abgeordnete Andreas Baum in Berlin von der Polizei kontrolliert und dabei wurde sein Handy offlinedurchsucht wurde. Er schilderte in einem Interview mit uns, was genau passiert war. Baum erstattete Dienstaufsichtsbeschwerde bei der Polizei. Aber das wird nicht weiter verfolgt, weil alles rechtlich in Ordnung war, da das Smartphone im Moment der Übergabe an die Polizei nicht durch eine PIN geschützt war: Handykontrolle bei Piraten-Politiker Andreas Baum bleibt folgenlos.

Diese überprüfte den Vorgang unter anderem mit Blick auf Paragraf 202a des Strafgesetzbuches, in dem es um das „Ausspähen von Daten“ geht. Dort heißt es: Daten im Sinne des Paragrafen seien nur solche, „die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden“. Martin Steltner, Sprecher der Staatsanwaltschaft, sagte am Donnerstag: Im aktuellen Fall habe der Beamte wohl keine deutliche Sicherung überwunden, um an Baums SMS zu gelangen, also etwa die Passwörter geknackt. „Nicht alles, was unschön ist, muss strafbar sein“, sagte Steltner.

Der Innenausschuss im Berliner Abgeordnetenhaus soll sich jetzt mit der Angelegenheit beschäftigen.

Goldene Regel, wenn ein Polizist Euer Smartphone untersuchen möchte: Nein sagen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 22 2013

Deutsche Polizeigewerkschaft gegen mehr Überwachung (von Polizisten)

In Hamburg sollen demnächst 410 Wagen der Polizei mit GPS-Überwachung versehen werden. Über Sinn und Unsinn kann man sicher debattieren. Lustig wird es nur, wenn die Deutsche Polizeigewerkschaft (DPolG) dagegen Sturm läuft. Die DPolG ist sonst immer an vorderster Front dabei, wenn es um mehr Überwachung geht, allerdings bezieht sich das immer auf die Überwachung anderer. Diesmal hat man alle passenden Argumente schon parat:

Video- und Telefondatenüberwachung findet nur an Orten beziehungsweise in Situationen statt, in denen es um die Sicherheit der Menschen geht“, sagt Jungfer. „Bei der GPS-Überwachung der Polizei geht es hingegen um eine dauerhafte und verdachtsunabhängige Überwachung. Der Polizeipräsident scheint seinen eigenen Mitarbeitern nicht zu vertrauen.“

Was kommt eigentlich raus, wenn man “GPS-Überwachung” durch “Vorratsdatenspeicherung” ersetzt, sowie “Polizeipräsident” durch “Bundesregierung” und “Mitarbeiter” durch “Bürger”?

„Bei der Vorratsdatenspeicherung geht es hingegen um eine dauerhafte und verdachtsunabhängige Überwachung. Die Bundesregierung scheint ihren eigenen Bürgern nicht zu vertrauen.”

Keine weiteren Fragen. Vielleicht sollte man der DPolG noch verraten, dass man mit der Funkzellenabfrage auch die Standortdaten aller Dienst- und Privathandies ermitteln könnte? Wer weiß, wie sie dann auf die Barrikaden gehen…

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

May 10 2013

Homepageüberwachung: Polizei NRW hat mindestens 34 mal Webseiten-Besucher gerastert

Polizeibehörden des Landes Nordrhein-Westfalen haben seit 2001 mindestens 34 mal die Besucher ihrer Webseiten überwacht. Das berichtet der Innenminister auf eine kleine Anfrage, die wir veröffentlichen. Demnach wurde zwischen 2002 und 2009 immer mindestens eine staatliche Webseite überwacht.

Im September 2012 stellte der Dirk Schatz, Abgeordneter der Piratenpartei im Landtag NRW, eine kleine Anfrage zu “Homepageüberwachungen” in NRW, über die wir hier berichteten. Damals meldete das Innenministerium 19 Fälle, in denen die Behörden “sämtliche Internetzugriffe auf eine bestimmte Seite der Homepage … erhoben, gespeichert und ausgewertet” und bei “besonders auffälligen Zugriffen” die Anschlussinhaber hinter den zugreifenden IP-Adressen ermittelt haben. Kurz darauf wurden weitere Fälle bekannt.

Jetzt hat das Innenministerium eine aktualisierte Liste zusammengestellt, die wir an dieser Stelle veröffentlichen: Homepageüberwachung durch die Polizei des Landes Nordrhein-Westfalen (PDF).

Demnach wurden zwischen 2002 und 2010 statistisch zu jeder Zeit mehrere Webseiten des Landes überwacht. Die kürzeste Maßnahme dauerte eine Woche, die längste sechs Jahre. Anlass waren meist Tötungs- und Sexualdelikte, aber auch Brandstiftung und Raub. Im Jahr 2009 untersagten Justiz- und Innenministerium des Bundes diese Maßnahme, trotzdem führte die Polizei in Mönchengladbach noch im Jahr 2010 eine Homepageüberwachung durch. Hier die Zahlen:

Ermittlungsführende Behörde Delikt Beginn Dauer ca. PP Aachen Zweifaches Tötungsdelikt 2003 2 Wochen PP Bielefeld Tötungsdelikt 2005 12 Wochen   Tötungsdelikt 2007 11 Wochen   Tötungsdelikt 2008 6 Monate PP Bochum Serie von Sexualdelikten 2002 5 Wochen PP Bonn Serie von Sexualdelikten 2006 28 Monate   Tötungsdelikt 2007 16 Wochen   Tötungsdelikt 2009 14 Wochen PP Dortmund Tötungsdelikt 2004 7 Wochen   Tötungsdelikt 2006 31 Monate PP Düsseldorf Tötungsdelikt 2006 26 Wochen   Tötungsdelikt 2007 5 Wochen PP Duisburg Sexualdelikt 2004 3 Wochen   Brandstiftung 2006 1 Wochen   Androhung von Straftaten / Brandstiftung 2007 20 Monate PP Essen Zwei Sexualdelikte 2004 2 Wochen   Tötungsdelikt 2006 20 Wochen PP Hagen Tötungsdelikt 2005 28 Wochen   Tötungsdelikt 2006     Tötungsdelikt 2007 21 Wochen KPB Heinsberg Tatkomplex aus Tötungsdelikt und vier Sexualdelikten 2006 13 Wochen PP Köln Sprengstoffanschlag Keupstraße 2004 12 Monate   Tötungsdelikt 2005 9 Monate   Tötungsdelikt 2007 8 Monate   Tötungsdelikt 2007 18 Monate   Sexualdelikt 2007 15 Wochen PP Krefeld Tötungsdelikt / Sexualdelikt 2005 2 Wochen   Tötungsdelikt 2006 1 Wochen PP Mönchengladbach Tötungsdelikt 2010 21 Wochen PP Münster Schwerer Raub 2006 7 Wochen KPB Rheinisch-Bergischer Kreis Vier Sexualdelikte / Raub 2006 1 Woche KPB Rhein-Erft-Kreis Serie Raubüberfälle 2008 10 Wochen KPB Wesel Brandstiftung 2004 21 Wochen LKA NRW Zielfahndung nach einem Mehrfachmörder nach dessen Ausbruch aus der Haftanstalt 2003 6 Jahre

Hintergründe zur Homepageüberwachung und warum viele Juristen diese Maßnahme für illegal halten, haben wir hier ausgearbeitet.

vgwort pixel

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

May 06 2013

Act of Terror – Ein Film über das Filmen von Polizisten. Und was dann passiert.

Gemma Atkinson hat in der Londoner U-Bahn gefilmt, als ihr Freund angehalten und durchsucht wurde. Das reicht schon, um gegen das britische Terrorismus-Gesetz zu verstoßen. Dachte jedenfalls die beteiligte Polizei.

Tatsächlich steht im Gesetz, dass es in Großbritannien verboten ist, PolizistInnen zu fotografieren oder zu filmen – wenn die Aufnahmen terroristisch nutzbar sind. Ich vermute, dass das eine ziemlich dehnbare Definition ist.

Sie hat sich vor Gericht dagegen gewehrt, dass sie in Gewahrsam genommen und mit Handschellen gefesselt wurde. Und hat gewonnen. Das Geld aus dem Verfahren hat sie in diesen kurzen Film gesteckt:

Nebenbei wird auch sehr anschaulich gezeigt, warum nur wenige Leute die Nerven haben, juristisch gegen die Polizei vorzugehen. Das ist hier nicht anders.

(via The Guardian)

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

March 26 2013

Hamburger Polizei und Geheimdienst nutzen bei Ermittlungen immer öfter Soziale Netzwerke – vielleicht bald mit spezieller Software

Die Hamburger Polizei und der Verfassungschutz nutzen für ihre Ermittlungen zunehmend Soziale Netzwerke. Dies teilte der Senat jetzt auf eine Anfrage der Linksfraktion mit. Die Fragestellerin hatte sich nach behördlichen Streifengängen bei Facebook, LinkedIn, MySpace, Twitter oder StudiVZ erkundigt.

Die Initiative ist der Versuch, eine ähnliche Anfrage im Bundestag nun auch auf Landesebene nachvollziehbar zu machen. Ausgangspunkt war ein Aufsatz in der Zeitschrift “Kriminalistik” von 2010, nachgedruckt in der Zeitschrift der “Gewerkschaft” der Polizei (GdP). Zwei Polizeidozenten illustrieren dort, dass soziale Netzwerke “wahre Fundgruben” für Ermittlungs- und Fahndungszwecke sind. Die Autoren analysieren, dass eine ganze Reihe realer polizeilicher “Lagen” auch im Internet abgebildet werden bzw. dort recherchiert werden können. Nützlich seien sie überdies für “präventionspolizeiliche Maßnahmen”, also die vorausschauende “Gefahrenabwehr”.

Der Hamburger Senat bestätigt das. Adressiert wird demnach ein weites Feld von “extremistische[n] und terroristische[n] Gruppen im In- und Ausland”. Eine entsprechende Abfrage Sozialer Netzwerke scheint für den Verfassungsschutz mittlerweile die Regel zu sein. Der Geheimdienst wird offensichtlich nicht nur bei konkreten Ermittlungen aktiv:

Ganz allgemein [sic!] werden im Rahmen der Informationsgewinnung zu Ermittlungszwecken Recherchen im Internet zu Personen, Personengruppen oder Organisationen auch in sozialen Netzwerken durchgeführt. [...] Es handelt sich um offene und (auch technisch) verdeckte Informationserhebungen zum Zweck themenspezifischer Aufklärung von Bestrebungen im Sinne des § 4 HmbVerfSchG sowie anlässlich entsprechender Identitätsermittlungen.

Weitere Einzelheiten zu den digitalen Ermittlungen des Inlandsgeheimdienstes möchte der Senat aber nicht machen und verweist auf den für die parlamentarische Kontrolle des Verfassungsschutzes zuständigen Kontrollausschuss. Eine derartige Aufsicht ist tatsächlich vonnöten, denn die Schnüffler geben “zum Zweck der Strafverfolgung oder der Gefahrenabwehr” Daten auch an polizeiliche Dienststellen weiter.

Auf die Frage nach der Rechtsgrundlage für “virtuelle ErmittlerInnen”, die sich mit falscher Identität in Sozialen Netzwerken anmelden, beruft sich Hamburg auf das Urteil des Bundesverfassungsgerichts vom 27. Februar 2008, das damals ein “Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme” betonte. Nach Hamburger Auslegung darf die Polizei

  • sich zur Aufgabenerfüllung der allgemein zugänglichen Quellen im Netz bedienen
  • sich unter Angabe eines Pseudonyms anmelden, ohne dafür die wahre Identität preisgeben zu müssen
  • sich der von Kommunikationsbeteiligten (z.B. Hinweisgebern, Geschädigten) überlassenen Zugangsdaten bedienen, um damit beispielsweise an geschlossenen Benutzergruppen teilnehmen zu können
  • auch über einen längeren Zeitraum an Kommunikationsbeziehungen (z.B. in Foren) teilnehmen

Zahlen zu den Internetermittlungen nennt der Senat nicht, da keine Statistiken geführt würden. Mitgeteilt wird aber, dass “virtuelle ErmittlerInnen” nicht zu Straftaten aufrufen dürfen. Auch das Verfassen von Texten bzw. das Weitergeben von Dateien mit strafbarem Inhalt ist verboten. Das Gleiche gilt für sogenannte “Honeypots”, mit denen das Bundeskriminalamt InternetnutzerInnen ausforschte, die sich für Ermittlungen gegen die „militante gruppe” interessierten. Auch seien “keine Fälle bekannt”, in denen Hamburger Sicherheitsbehörden im Zuge von Ermittlungen selbst Webseiten oder Blogs angelegt hätten. Die Ermittlungsarbeit beim Verfassungsschutz würden aber “besonders geschulte Mitarbeiterinnen und Mitarbeiter” übernehmen. Das mag übertrieben sein: Als der Verfassungsschutz Stuttgart 2008 anlässlich der Beobachtung der Anti-NATO-Proteste sein neues “Internetkompetenzzentrum” (IKZ) in Betrieb nahm, waren auf einem Foto der Lokalzeitung nicht nur Nacktfotos im Büro zu erkennen, sondern auch ein Leitz-Ordner mit der Aufschrift “IKZ Bedienungsanleitung”.

Bislang kommt in Hamburg noch keine Software zu Onlineermittlungen oder zur präventiven “Aufhellung” zur Anwendung. Die zuständige Behörde kündigt aber “zur Aufklärung von verfassungsrelevanten Bestrebungen oder schweren Straftaten” eine eventuelle Beschaffung vorsorglich an.

Bislang nutzt die Hamburger Polizei Soziale Netzwerke auch zur “Gefahrenabwehr bei Vermisstenvorgängen”. Ob sich Polizei und Verfassungsschutz von Anbietern sozialer Netzwerke Zugang zu nichtöffentlichen Profilen bzw. Nachrichten geben lassen, wird lediglich für die Polizei bejaht. Weitere Auskunft wird nicht gegeben, da die Frage “kriminaltaktische Belange” berühren würde, “zu denen der Senat grundsätzlich keine Auskunft erteilt”.

Geprüft wird nun, ob Hamburg wie die Polizeidirektion Hannover (Facebook!) in Sozialen Netzwerken “mit eigenen Auftritten präsent sein sollte”. Die Behörden wollen hierfür aber zunächst “Chancen und Risiken” analysieren und eine “Aufwandsberechnung” abwarten.

Um die polizeiliche Präsenz im Internet auszubauen, lädt die Microsoft Niederlassung Köln für den 11. April zum “Microsoft Polizeisymposium 2013″. Die Veranstaltung richtet sich an “Entscheidungsträger der Polizei und Sicherheitsbehörden”, die sich “über neueste Technologien aus den Bereichen Cyber-Crime, Security und Social-Media” informieren sollen. Themen sind neben Cloud Computing im allgemeinen auch die Einrichtung einer “Polizei-Cloud”.

Weil die behördliche Butterfahrt nach Köln nicht ohne Werbung auskommt, wird die Firma StarLIMS als Höhepunkt ihre “Forensik & Crime Scene Windows 8 App” vorstellen. Danach folgen drei Microsoft-Präsentationen über “Fusion-Center”, “Big Data bei der Polizei” und “Kinect im Polizeieinsatz”.

flattr this!

February 07 2012

Zwischenstand: 12 Millionen Funkzellenabfragen in Berlin

Nach unserer Berichterstattung über Funkzellenabfragen bei brennenden Autos in Berlin kam bisher heraus, dass rund 4,2 Millionen Verkehrsdaten ermittelt worden sind. Wohlgemerkt, ohne jeglichen Fahndungserfolg, einfach, weil es geht und diese umstrittene Ermittlungsmethode vielleicht mal klappen könnte. Aber wie man sich denken konnte, war das nur eine Spitze des Eisberges. Aktueller Zwischenstand sind rund 12 Millionen Verkehrsdaten. Das berichtet der Tagesspiegel auf Basis von Zahlen des Berliner Polizeipräsidiums: Berliner Polizei hat mehr Handydaten ausgewertet als bekannt.

Allein 2011 sind neben 205 Verfahren, die wegen mutmaßlich politisch motivierter Taten eingeleitet wurden, in der Hauptstadt auch in 336 anderen Ermittlungen die Verbindungsdaten von einer oder mehrerer Funkzellen abgefragt worden. Nach welchen Straftaten genau dies geschehen ist, etwa Raub oder Einbruch, ist noch nicht bekannt. Pro Abfrage werden je nach Tageszeit oft mehr als zehntausend Verbindungen gespeichert. Fest steht, dass die Zahl der Funkzellenanfragen steigt, 2010 waren es in Berlin 366, 2009 noch 355.

January 23 2012

Funkzellenabfrage im Berliner Innenausschuss: Vier Millionen abgefragte Daten, kein Ermittlungserfolg

4.200.000 Verkehrsdaten und 960 Teilnehmerdaten. So viel hat allein die Abteilung Polizeilicher Staatsschutz des Berliner Landeskriminalamtes in den letzten vier Jahren gesammelt. Also eine der neun Abteilungen aus einer der vier Organisationen der Polizei aus nur einem Bundesland. Und gelöscht ist nur ein kleiner Teil.

Polizei und Landeskriminalamt

Diese Zahlen präsentierte heute die Polizeivizepräsidentin Margarete Koppers im Innenausschuss des Berliner Abgeordnetenhauses in der Debatte zur Funkzellenabfrage. Nur ungern, denn die Offenlegung dieser Fakten schaffe zwar Transparenz, erschwere aber auch die Arbeit der Polizei. Die Berliner Polizei ist der Auffassung, dass all diese Daten Rechnungsdaten seien und sich mit Rechnungsdaten auch der Standort eines Handys ermitteln lässt. Mit diesen Daten will man “Häufungen finden” und dann ermitteln, ob wiederholt auftauchende Personen “gute berufliche oder private Gründe hatten, am Tatort zu sein”. Eine Rasterfahndung sei das aber nicht, weil dafür mindestens zwei polizei-externe Datenbanken abgefragt werden müssten.

Von Inkrafttreten des Gesetzes zur Vorratsdatenspeicherung 2008 bis zum Urteil des Bundesverfassungsgericht im März 2010 hat die genannte Abteilung bei 767 Auto-Bränden insgesamt 190 Funkzellenabfragen vorgenommen und dabei 2,85 Millionen Verbindungsdatensätze erhalten. Der Zeitraum umfasste dabei, wie in unserem zweiten Fall, sechs Stunden vor der Tatphase bis eine Stunde danach. Pro Funkzelle sind so ca. 15.000 Verkehrsdatensätze zusammen gekommen. Dabei hat man von 950 Anschlussinhabern Name und Anschrift eingeholt. Millionen Datensätze aus diesem Zeitraum sind immer noch nicht gelöscht.

In den zwei Jahren seit dem Urteil wurden für 748 Auto-Brände auch nochmal 185 Funkzellenabfragen vorgenommen, dabei sind “nur” noch 900.000 Datensätze übermittelt worden. Den Zeitraum hat man da, wie in unserem ersten Fall, auf 45 Minuten vor bis 15 Minuten nach der Tatphase begrenzt. Dabei fielen immer noch 5.000 Datensätze pro Funkzelle an. Bestandsdaten hat man nur noch in zehn Fällen eingeholt. Auch wenn man damit bei einem Viertel aller Auto-Brände eine Funkzellenauswertung gemacht hat, konnte dennoch kein einziger Tatverdächtiger ermittelt werden.

Die Funkzellenabfrage wird jedoch nicht nur bei Auto-Brandstiftung genutzt, sondern “in allen Deliktbereichen der politisch motivierten Kriminalität”. Bei Versammlungen sei das noch nicht passiert. Auch in 23 anderen Ermittlungen hat das LKA 230.000 Daten erhalten. Wenn ich das richtig verstanden habe, sind seit dem Kippen der Vorratsdatenspeicherung noch keine Daten wieder gelöscht worden und alle 1,3 Millionen Datensätze noch beim LKA vorhanden. Und nochmal: dies sind alles nur Zahlen von einer einzigen Abteilung des Landeskriminalamts. Die Zahlen der Anderen waren scheinbar in der Kürze der Zeit nicht zu ermitteln.

Manche der Daten hat man nicht für sich behalten, sondern auch an andere Institutionen weitergegeben. Genannt wurden das Bundeskriminalamt und die Bundesanwaltschaft.

Keine einzige betroffene Person ist je darüber informiert worden. So hält man die Benachrichtigung für einen neuen Eingriff. Zudem sei eine Benachrichtigung gar nicht erforderlich, wenn nur die Rufnummer ermittelt worden ist. Außerdem war der Polizei ein “Interesse an einer Benachrichtigung nicht ersichtlich”.

Datenschutzbeauftragter

Vor allem dieser Punkt erzürnte den Berliner Beauftragten für Datenschutz Dr. Alexander Dix. Die Gesetze sagen ausdrücklich, dass eine Benachrichtigung erfolgen muss und die Regel zu sein hat. Jede Nicht-Benachrichtigung müsse einzeln begründet werden. Zudem teilt er meine Einschätzung, dass man nicht nur die 960 Menschen, deren Namen und Adressen man ohnehin schon hat, benachrichtigen kann. Von den übrigen hat man ja bereits die Telefonnummer und im Gesetz steht nirgends, dass die Benachrichtigung per Brief erfolgen muss. Man könnte ja einfach mal anrufen.

Erstaunt zeigte er sich auch über die Masse an Daten. Die Zahlen in dieser Form waren auch ihm neu. Er kündigte eine gründliche Überprüfung der allgemeinen Praxis und der stichprobenartiger Fälle bei der Berliner Polizei an.

Zudem sieht er erhebliche rechtliche Probleme mit dem derzeitigen Gesetzestext. So gibt es kein Gebot zur Datenreduzierung, erhobene Daten müssen nicht gelöscht werden, die Nutzung auch für andere Straftaten bleibt offen und die “erhebliche Bedeutung” ist zu unklar definiert. Daher rief er das Land Berlin dazu auf, die Bundesrats-Initiative des Freistaats Sachsen zur “Präzisierung” des Gesetzes zu unterstützen.

Politische Parteien

Der Rest war Parteien-Geplänkel. CDU-Innensenator Frank Henkel ist der Meinung, das alles streng nach Recht und Gesetz abgelaufen ist. Und was Recht ist, kann nicht falsch sein. Konkreten Handlungsbedarf sieht er nicht, allenfalls findet er die Bundesrat-Initiative “überlegenswert”, was immer das bedeutet.

Auch sein Pateikollege Dr. Robbin Juhnke findet “jede Maßnahme sinnvoll, welche die Gelegenheit hat, zum Erfolg zu führen”. Natürlich ist das ein “starker Eingriff in die Grundrechte”, aber von einem Generalverdacht zu sprechen sei “polemisch”. Für ihn war auch das Ausmaß der Funkzellenauswertung keine Überraschung und nach seiner Auffassung kann kein Berliner Innenpolitiker sagen, er habe davon nichts gewusst.

Kurt Wansner, auch CDU, war noch eine Spur schärfer. Auf Kritik der Linken erwiderte er, dass er froh sei, dass diese wieder in der Opposition ist und hofft, dass sie dort sehr, sehr lange bleibt, er hofft für immer.

Die Piratenpartei war natürlich sehr kritisch und hält das Vorgehen und die Zahlen für unverhältnismäßig. Christopher Lauer führte aus, dass “Verdächtige” mit mehreren Aufenthalten an Tatorten gute Gründe haben könnten, diese der Polizei nicht sagen zu wollen, wie eine chronische Krankheit oder eine Affäre. Zudem gäbe es keinen “kleinen” Eingriff in die Grundrechte à la grundrechtsschonend.

Auch die Linke übte Kritik. Die Dimension der Zahlen habe die Vorstellungskraft von Udo Wolf überstiegen, mit dieser Menge hätte er nicht gerechnet. Auch er war der Auffassung, dass das klar unverhältnismäßig sei. Zumal diese Ermittlungstaktik bisher erfolglos war. Auch wenn seine Partei damals an der Regierung war, wurde er über diese Aktionen von der Polizei nicht informiert. Die Regierung habe nie eine Funkzellenauswertung angeordnet.

Die Grünen waren grundsätzlich kritisch, hatten aber vor allem Fragen zur Verhältnismäßigkeit. Canan Bayram wohnt in dem bisher bekannt gewordenen Gebiet und fühlt sich immer noch nicht in angemessenem Umfang informiert. Benedikt Lux merkte an, dass man nicht besonders schlau sein müsse, sein Handy auszuschalten oder zu Hause zu lassen.

Auch die SPD fand es richtig, die Funkzellenabfrage einzusetzen. Thomas Kleineidam fand, dass die rechtsstaatliche Kontrolle funktioniert hat. Frank Zimmermann war der Auffassung, dass ein Grundrechtseingriff nur bei den 960 Personen, deren Bestandsdaten eingeholt worden, vorlag und nicht bei allen vier Millionen Verkehrsdaten.

Fazit

In der Berliner Landespolitik wird die Affäre um die Funkzellenauswertung wohl keine Konsequenzen haben. Die Regierungsfraktionen CDU und SPD finden alles in Ordnung, allenfalls der junge Sven Kohlmeier darf mal Kritik anmelden. Die Oppositionsparteien finden die bisher bekannt gewordenen Einsätze zwar unverhältnismäßig, können aber nichts daran ändern. Allenfalls der Datenschutzbeauftragte könnte vielleicht den Umfang der Datenübermittlungen etwas eingrenzen. Doch zunächst bleibt seine Untersuchungen zum Thema abzuwarten. Bis dahin gehen die Funkzellenabfragen weiter.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl