Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

January 22 2014

Bundeswehr trainiert mit ihren Aufklärungsdrohnen “Luna” und “KZO” auf Truppenübungsplatz der US-Armee in Bayern

Der Presse- und Informations­stab des Ver­teidigungs­ministeriums hat gestern eine erneuerte Übersicht über “Drohnen und Drohnenverluste” veröffentlicht. Es geht um unbemannten Systeme “Kleinfluggerät für Zielortung” (KZO), die “Nahaufklärungs-Ausstattung Luna”, die Langstreckendrohne Heron sowie die Spionagedrohne “Euro Hawk”. Ebenfalls berücksichtigt sind die kleine Drohne “Aladin” sowie die als “Mikro-Aufklärungsdrohne im Ortsbereich” bezeichnete “Mikado”. Dankenswerterweise hat die Webseite Bundeswehr Monitoring eine Tabelle zu den aktuellen Totalverlusten veröffentlicht:

Verlustige_Drohnen

Daraus geht hervor, dass von den drei größten Drohnen des Typs “Heron” alle abgestürzt sind und ersetzt werden müssen. Von den “Luna” des deutschen Herstellers EMT sind bereits rund ein Drittel gecrasht. Dennoch will EMT die Zulassung nach “Kategorie 3″ beantragen. Dann könnte die Drohne der allgemeinen Luftfahrt gleichgestellt werden und von zivilen Flughäfen starten.

In der Vergangenheit hatte das Verteidigungsministerium widersprüchliche Angaben zu verlustig gegangenen Drohnen gemacht. Eine abgestürzte Drohne wird mittlerweile als “Absturz” geführt, wenn “durch einen unkontrollierbaren Flugzustand das Luftfahrzeug am Boden zerstört wurde”. Sofern das teilweise kommerzielle Bedienpersonal den Fallschirm auslösen konnte, aber dennoch ein Totalschaden eintritt, gilt die Kategorie “Zerstört” – jedenfalls dann, wenn das Luftfahrzeug “derart beschädigt [ist], dass es ausgesondert wird”. Ergänzend wird erklärt, Absturz sei nur die “Teilmenge von zerstört”.

Aktuell verfügt die Bundeswehr über 581 Drohnen. 114 sind laut der Aufstellung zerstört, abgestützt oder vermisst. Zuletzt war noch von 106 verlustig gegangenen Drohnen die Rede.

Seit letzter Woche ist auch bekannt, wo die Bundeswehr mit ihren unbemannten Luftfahrzeugen trainiert. Zwar hat das Bundesministerium für Verkehr, Bau und Stadtentwicklung drei Flugbeschränkungsgebiete für Testflüge ausgewiesen (“Spatzenhausen”, “Manching”, “Schleswig”). Hiervon profitieren jedoch nur die deutschen Hersteller von Drohnen bzw. der noch nicht in Betrieb genommene, militärische Drohnen-Flugplatz im schleswig-holsteinischen Jagel.

Nun heißt es, dass deutsche militärische Drohnen der Typen “KZO” und “Luna” regelmäßig über dem Truppenübungsplatz Grafenwöhr unterwegs sind. Der untersteht jedoch der US-Armee. Das dort verantwortliche “Joint Multinational Training Command” (JMTC) darf mit drei verschiedenen US-Drohnen seit 2005 über mehreren Basen in Nordbayern fliegen.

Nun wurde auch der Betrieb in einem Korridor beantragt. Die Genehmigung steht noch aus, da laut dem zuständigen Verteidigungsministerium entsprechende Unterlagen fehlen. Sollten die Flüge auch über bewohntem Gebiet gestattet werden, wäre dies bundesweit einmalig. Eine Entscheidung hierzu soll in diesen Tagen fallen.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 02 2013

Videoüberwachung: Interaktive Karte zeigt Ausmaß in Bayern

Quelle: wikipedia

Quelle: wikipedia

Nach Straftaten im öffentlichen Raum, wie Überfällen oder gar terroristischen Anschlägen, wird schnell der Ruf nach mehr Videoüberwachung laut. Besonders Politiker sind schnell mit Forderungen nach mehr Überwachungskameras. Dass weder das Sicherheitsgefühl der Bürger gestärkt wird, noch Straftaten durch die Anbringung von Kameras verhindert werden, stört die Beteiligten meist nicht. Die Süddeutsche Zeitung hat nun eine Interaktive Karte angefertigt, die die Verteilung von Überwachungskameras in München, sowie in ganz Bayern aufzeigt.

Ende 2012 waren in Bayern mehr als 17.000 Kameras installiert, um öffentliche Plätze und öffentlich zugängliche Räume zu überwachen, das zeigt eine Aufstellung der bayerischen Staatsregierung. Seit 2008 ist ihre Zahl um mehr als 5500 gestiegen. Auf der interaktiven SZ-Karte können Sie sehen, wo genau und zu welchem Zweck die Kameras in Bayern installiert wurden. Auf der Karte ist zu sehen: Es sind vor allem Amtsgebäube, Schulen oder Gerichte, aber auch öffentliche Plätze, Polizeistationen, Gefängnisse, Bahnhöfe und Museen, die überwacht werden.

überwachungskameras

Dass Überwachungskameras vor Straftaten schützen oder den Menschen mehr Sicherheit vermitteln, ist dabei ein Trugschluss, wie die Süddeutsche Zeitung in einem weiteren Artikel erklärt.

Das Sicherheitsgefühl der Bevölkerung nimmt durch Videoüberwachung – wenn überhaupt – nur kurzzeitig zu. [...] Eine Kamera könne sogar bestehende Unsicherheit bestärken.

Und:

Außerdem müsse man davon ausgehen, dass Kriminalität durch Kameras nicht verhindert, sondern nur verdrängt wird. Gerade dieses Phänomen ist aufgrund der Datenlage allerdings schwierig wissenschaftlich zu untersuchen

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 02 2012

Bayerischer Datenschutz-Beauftragter: Schwere Fehler beim Einsatz von Staatstrojaner

Beim Einsatz von Staatstrojaner-Software in Bayern sind schwere Fehler gemacht wurden. Das stellt der Landesdatenschutzbeauftragte nach acht Monaten fest und fordert Konsequenzen von Strafverfolgungsbehörden und Gesetzgeber. Die genauen Abläufe der Einsätze konnte er nicht nachvollziehen, weil die Behörden die Fälle mangelhaft dokumentiert haben.

Von 2008 bis 2011 wurden in Bayern 23 mal Staatstrojaner zur “Quellen-Telekommunikationsüberwachung” eingesetzt. Diese hat der Landesbeauftragte für den Datenschutz nun untersucht und einen Prüfbericht veröffentlicht. Das sind nur die Verfahren der Strafverfolgungsbehörden, den Verfassungsschutz darf er nicht untersuchen. Ein Drittel der bisher abgeschlossenen Verfahren wurde trotz Trojaner-Einsatz eingestellt.

Alle verwendeten Trojaner waren von der Firma DigiTask, daher dürfte die Software dem vom Chaos Computer Club analysierten Trojaner ähneln. Wie der CCC hat auch der Datenschutzbeauftragte Dr. Thomas Petri nur Binärdateien untersucht. Zwar wurde ihm auch Einblick in den Quellcode angeboten, doch dafür wollte DigiTask einen Geheimhaltungsvertrag.

Zur Prüfung hat sich Petri vom Landeskriminalamt Unterlagen, Akten und Software geben lassen. Er kritisiert:

Zusammengefasst konnten die Geschehensabläufe mangels hinreichender Dokumentation nicht umfassend nachvollzogen werden. Im Hinblick auf die Eingriffsintensität sind derartige Dokumentationsdefizite aus datenschutzrechtlicher Sicht als Verstöße gegen § 9 BDSG bzw. Art. 7 BayDSG anzusehen.

Obwohl er deswegen die Zusammenhänge der Auftragtserteilung nicht vollständig nachvollziehen konnte, bezeichnet Petri die Aufträge an DigiTask als “in mehrfacher Hinsicht mängelbehaftet”. So fehlte in den Verträgen die Möglichkeit, den Quellcode zu sehen zu dürfen. Das Personal von DigiTask zur “Fernwartung” wurde nicht einmal vertraglich auf das Datengeheimnis verpflichtet.

Auch gab es keine vertragliche Verpflichtung, nicht mehr Überwachungsfunktionalitäten zu liefern als rechtlich zulässig sind. Kein Wunder, dass die gekaufte Software diese gesetzlichen Vorgaben dann auch missachtete:

Soweit überprüfbar enthielt die Überwachungssoftware keine zuverlässige technische Begrenzung auf bestimmte Überwachungsfunktionen. Eine solche Funktionsbeschränkung wäre aus datenschutzrechtlicher Sicht nicht nur über die Beschränkung der Benutzeroberfläche der Überwachungskonsole geboten gewesen.

Eine rechtlich gebotene Begrenzung auf bestimmte Überwachungsfunktionen wird durch diese Möglichkeit, beliebige Programme zu starten, praktisch unmöglich gemacht.

Da die so genannte “Quellen-Telekommunikationsüberwachung” nur Telekommunikation an der Quelle überwachen darf, sind darüber hinaus gehende Überwachungsmaßnahmen wie bei einer “Online-Durchsuchung” unzulässig. Trotzdem war es dem Team des Datenschutzbeauftragten teilweise möglich, nicht nur “Applicationshots” von Kommunikations-Programmen sondern Screenshots des gesamten Bildschirms anzufertigen.

In zwei anderen, noch nicht abgeschlossenen Maßnahmen, die daher noch nicht konkret prüfbar und zu denen mir auch die dazugehörenden Beschlüsse nicht vollständig bekannt sind, konnte in der in meinem Haus aufgebauten Testumgebung mit den exakt gleichen Aufrufparametern nicht nur der Inhalt eines Browserfensters, sondern der des gesamten Bildschirms übertragen werden. Dies war unabhängig von dem gerade aktiven Fenster möglich. Auch wenn etwa als einziges Fenster ein Office-Dokument geöffnet war, konnte mit den beiden Binärdateien dieser Maßnahmen ein vollständiger Screenshot gefertigt werden.

Unabhängig von dem unter 5.2 dargestellten Streit über die Zulässigkeit von Applicationshots ist jedenfalls die Anfertigung von Screenshots im Rahmen einer Quellen-TKÜ unzulässig, weil und soweit sie auch auf dem Bildschirm befindliche Daten erfasst, die offenkundig nicht einer laufenden Telekommunikation zuzuordnen sind.

Was die Beamten tatsächlich mit der Software gemacht haben, war auch nicht rauszukriegen. Es gibt zwar Logs von der Überwachungskonsole, aber die sind mehr als dürftig:

In den drei von mir umfangreich geprüften Protokollen fanden sich im Schnitt je drei Einträge über den gesamten Zeitraum der Maßnahmen. Mehr als fünf Einträge fanden sich in keinem Protokoll.

Aus datenschutzrechtlicher Sicht waren die Einträge in den Protokolldateien sowohl wegen der mangelnden Quantität als auch der ungenügenden Qualität sowie der nicht nachprüfbaren Authentizität nicht ausreichend.

In den Protokolldateien müsste mindestes erkennbar sein, welche individuelle Person Aktionen veranlasst hat. Gruppenkennungen reichen hier nicht aus. Auch müssten alle relevanten Aktionen, wie etwa „Funktionalität ein- oder ausgeschaltet“ und ob diese Aktion wirksam war, protokolliert werden.

Die Verschlüsselung der übermittelten Daten hat der CCC ja schön auseinandergenommen. Aus der Pressemitteilung:

Die ausgeleiteten Bildschirmfotos und Audio-Daten sind auf inkompetente Art und Weise verschlüsselt, die Kommandos von der Steuersoftware an den Trojaner sind gar vollständig unverschlüssselt. Weder die Kommandos an den Trojaner noch dessen Antworten sind durch irgendeine Form der Authentifizierung oder auch nur Integritätssicherung geschützt. So können nicht nur unbefugte Dritte den Trojaner fernsteuern, sondern bereits nur mäßig begabte Angreifer sich den Behörden gegenüber als eine bestimmte Instanz des Trojaners ausgeben und gefälschte Daten abliefern. Es ist sogar ein Angriff auf die behördliche Infrastruktur denkbar.

Der Landesdatenschutzbeauftragte sieht das anders:

In Bezug auf die abgeschlossenen Maßnahmen konnte die Verschlüsselung der Übertragungswege zum damaligen Zeitpunkt zu den damaligen Rahmenbedingungen noch als ausreichend angesehen werden. Zum gegenwärtigen Zeitpunkt wäre die Verschlüsselung allerdings als unzureichend anzusehen.

Betrachtet man die realistische Möglichkeit eines Angreifers, der über keine weitergehenden Informationen zum Verschlüsselungsverfahren oder über einen Zugriff auf RCU-Binaries verfügt, ist es für ihn nahezu unmöglich, die übermittelten Daten zu entschlüsseln. Somit kann die Verschlüsselung zum damaligen Überwachungszeitpunkt gerade noch als ausreichend angesehen werden, auch wenn durch die Vermeidung des ECB-Modus ein höheres Sicherheitsniveau einfach zu erreichen gewesen wäre.

Die Verschlüsselung hält er sogar für gut genug, dass die Daten auf Server im Ausland übermittelt werden können:

Wenn eine ausreichend wirkungsvolle Verschlüsselung, die ich im Blick auf die Gesamtsituation gerade noch zugestehen kann, eingesetzt wird und auf dem Proxy-Server selbst keine personenbezogenen Daten gespeichert oder verarbeitet werden, spricht grundsätzlich nichts gegen eine Platzierung von Proxy-Servern im Ausland. Die Ermittlungsbehörden trifft dann allerdings eine besondere Sorgfaltspflicht bezüglich der Sicherstellung der Verfügbarkeit des in Anspruch genommenen Proxy-Servers. Diese gesteigerte Sorgfaltspflicht wurde vorliegend nicht beachtet.

Dumm nur, dass man nicht mal die Kommunikation oder den Server hacken muss, sondern sich einfach einen Server mit der IP holen kann:

Bei der Kündigung wurden seitens des BLKA nicht die gebotenen Vorkehrungen getroffen, dass die IP-Adresse nicht erneut an einen anderen Kunden des Anbieters vergeben werden konnte. Für den Fall, dass ein neuer Kunde diese IP-Adresse zugeteilt bekommen hätte, hätte er – bei entsprechenden Kenntnissen – alle noch aktiven RCUs steuern und die gewonnenen Daten empfangen können. Dieses Szenario ist nicht unwahrscheinlich.

Versagt haben die Behörden auch darin, die Betroffenen darüber zu informieren, dass der Staat ihre Computer infiltriert hat:

Nach Abschluss einer Quellen-TKÜ ist der Betroffene des infiltrierten Gerätes regelmäßig nicht nur über Beeinträchtigungen der Vertraulichkeit eines Gesprächs, sondern auch über eine etwaige Beeinträchtigung der Integrität eines infiltrierten IT-Systems zu unterrichten. Aus den mir vorgelegten Unterlagen ergibt sich, dass die Betroffenen nicht über die Integritätsbeeinträchtigung informiert wurden.

Damit bleibt der bayrische Landesdatenschutzbeauftragte hinter der Kritik seines Bundeskollegen zurück. Statt einer Abschaffung der Maßnahme fordert Petri lediglich Nachbesserungen von Strafverfolgungsbehörden und Gesetzgeber. Dem Vernehmen nach setzen aber immer noch Staatsbehörden Software von DigiTask ein.

flattr this!

October 13 2011

Joachim Herrmann erklärt den Trojanereinsatz

Die Grünen haben Monty Python remixt, um dem bayrischen Innenminister das mit dem Staatstrojaner erklären zu lassen:

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl