Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 04 2014

Maulkorb für FISA-Anfragen wird gelockert, aber nur ein bisschen

Letztes Jahr haben Facebook, Google, Yahoo, LinkedIn und Microsoft beim amerikanischen FISA-Gericht, das die Kompetenzen der Auslandsgeheimdienste regelt, gefordert, genauere Auskunft über die Menge herausgegebener Datensätze geben zu dürfen, die durch eine Anordnung des FISA-Gerichts oder unter einem National Security Letter des FBI angefordert wurden.

Am 27. Januar veröffentlichte das Justizministerium eine Antwort, die den Antragsstellern “entgegenkommt”. Es gibt nun zwei Möglichkeiten, Zahlen zur Anzahl der Anfragen in Halbjahren zu veröffentlichen:

  • in Tausenderschritten die Anzahl an Anfragen, betroffenen Nutzern und Selektoren, gegliedert in FISA-Anfragen und National Security Letters (bei Letzteren war das jedoch bereits vorher möglich)
  • in 250er-Schritten, wenn die Anfragen zusammengefasst werden

Bei FISA-Anordnungen muss der Endpunkt des betroffenen Zeitraums außerdem mindestens ein halbes Jahr zurückliegen.

FacebookGoogle, YahooLinkedIn und Microsoft haben nun Gebrauch von der Neuregelung gemacht. Aber auch Apple hat die Gelegenheit bereits genutzt, denn die Entscheidung gilt allgemein und nicht nur für die fordernden Parteien.
Allen gemeinsam war, dass sie von weniger als 1000 FISA-Anordnungen pro Halbjahr reden. Das gibt einen Eindruck davon, wie unaussagekräftig in dieser Hinsicht die festgelegten Zahlenschranken sind. Stärker differiert jedoch die Anzahl an betroffenen Accounts. Zieht man die FISA-Anordnungen des ersten Halbjahres 2013 heran, führt Yahoo mit 30-31k, gefolgt von Microsoft mit 15-16k, Google mit 9-10k und Facebook mit 5-6k. Am schwächsten war das Interesse für LinkedIn, diese bekamen zusammengenommen weniger als 250 Anfragen. Wichtig ist hier noch, im Auge zu behalten, dass die Anzahl der Accounts nicht identisch mit den betroffenen Nutzern sein muss, da Mehrfachaccounts auch auftauchen. Die Nutzeranzahl liegt also auf jeden Fall unterhalb der obigen Zahlen.

Wirklich befriedigende Transparenz bringen die Angaben nicht. Es scheint mehr, als bewege man sich einen minimalen Schritt vorwärts, um damit argumentieren zu können, man habe sich um bessere Transparenz bemüht, so wie Präsident Obama in seiner Rede angekündigt hat.  Google hat bereits ein Statement abgegeben und fordert den Kongress auf, weiter zu gehen:

Wir glauben weiterhin, dass mehr Transparenz benötigt wird, damit jeder verstehen kann, wie Überwachungsgesetze funktionieren und ob sie dem öffentlichen Interesse dienen. Vor allem wollen wir zeitnah die genauen Zahlen und die Arten der Anfragen bekanntgeben, sowie die Anzahl betroffener Nutzer.

Ein sehr guter Einwand kommt an dieser Stelle auch von Microsoft. Brad Smith weißt in seinem Kommentar darauf hin, dass mehr Transparenz hinsichtlich der Anfragen zwar wünschenswert ist, aber nicht aus den Augen verloren werden darf, dass Informationen auch an den Gesetzen vorbei ermittelt werden und dass von Regierungsseite zu wenig geschehen sei, um zu verhindern, dass Internetfirmen gehackt werden, um massenhaft Nutzerdaten zu überwachen.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

December 06 2013

Microsoft schaut dir ins Gehirn und rät dein Passwort

Normale Tools zum Überprüfen der Passwortsicherheit wie dieses schauen, wie viele Sonderzeichen ein Passwort hat, ob es aus einem Wörterbuch kommt und wie lang es ist, um vorherzusagen, wie lange es eventuell dauert, es zu brechen.

Forscher bei Microsoft Research haben ein Tool namens Telepathwords entwickelt und gestern veröffentlicht, das etwas anders vorgeht und dem Nutzer beim Tippen eines Passworts vorhersagt, welches Zeichen er vermutlich als nächstes eingeben wird. Dabei werden auch die klassischen 1337-Speak-Ersetzungen enttarnt, oft genutzte Passwörter herangezogen und ein (momentan nur englisches) Wörterbuch zur Hilfe genommen.

telepathwords

Aber immer, wie bei allen Passwort-Prüftools, dran denken: Gebt nicht leichtfertig eure realen Passwörter ein, denn Daten über das Mausverhalten und die Statistik der richtig geratenen Zeichen werden, wenn auch bereits im Browser verschlüsselt, geloggt und eventuell für Forschungszwecke mit Universitäten ausgetauscht. Und wenn, dann achtet immer darauf, dass ihr eine sichere HTTPS-Verbindung mit einem gültigen Zertifikat aufgebaut habt.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

October 07 2013

Copyright Removal Requests: Google soll über 21 Millionen URLs je Monat aus den Suchergebnissen verschwinden lassen

CapCop

Captain Copyright (Quelle: Wikipedia)

Copyright Removal Requests werden anscheinend immer beliebter bei der Medienindustrie. So erhielt Google laut seines aktuellen Transparenz-Berichts allein letzten Monat über 21.5 Millionen URLs, die angeblich widerrechtlich urheberrechtlich geschütztes Material verlinken – das sind rund 8 URLs je Sekunde. Google erhält diese Listen mit URLs weil die Urheber oder deren Vertreter davon ausgehen, dass die URL von ihnen geschütztes Material enthält und dass dieses illegale Verteilen zu Umsatzverlusten führt – aufgrund dieser Annahmen sendet die British Recorded Music Industry z.B. jede Woche rund 150.000 URLs an Google. Beide Annahmen sind falsch. 

Annahme 1: Die URLs enthalten urheberrechtlich geschütztes Material

Bei über 21 Millionen URLs je Monat sollte es offensichtlich sein, dass die Listen mit URLs vollständig automatisiert erstellt werden – basierend auf Wortfiltern. Zum einen werden die URLs nicht überprüft, oder dort wirklich besagtes Material liegt. Zum anderen werden auch skrupellos völlig legale Inhalte blockiert. Microsoft hatte hier in der Vergangenheit für Schlagzeilen gesorgt, da URLs zu Open Office, Wikipedia und sogar den eigenen Seiten an Google zur Löschung geschickt wurden. In Microsofts URL Listen waren so viele Fehler, dass Microsoft dem verantwortlichen französischen Unternehmen LeakID kündigte. Und dies sind lediglich die Fälle, die es in die Schlagzeilen schaffen. Löschanträge von Rechteinhabern an Suchmaschinen unterliegen keinerlei Aufsicht und können daher auf simpelste Weise missbraucht werden.

Annahme 2: Illegales Verbreiten schadet dem Umsatz

Erst letzte Woche veröffentlichte die London School of Economics einen Report, der – wie einige andere zuvor – zum einen belegt, dass der Mythos des schwindenden Umsatzes der Unterhaltungsindustrie schlichtweg falsch ist. Zum anderen aber auch darlegt, dass Filesharing gerade nicht zu Umsatzeinbußen führen muss.

In fact, file sharers in the UK were found to spend more on content than those who only consumed legal content, demonstrating the potential boost to legal digital content sales as a result of content sampling.

Einen anderen Grund legt Game of Thrones Director David Petrarca dar. Kulturgüter – wie Musik, Filme und Serien – leben zu einem großen Teil vom “cultural buzz”. Viele Downloads und eifriges Teilen kann dazu führen, dass über eine Serie oder einen Film länger geredet wird und er somit langfristig im Bewusstsein bleibt.

Letztlich zeigen Googles Transparency Report und die Studie der London School of Economics, zusammen mit den konstanten Nachrichten über Missbrauch von Copyright Remvoal Requests, dass unser Urheberrecht dringendst überarbeitet werden muss.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

September 05 2013

PRISM Firmen antworten der Bundesregierung: “Meine Name ist Hase, ich weiß von nichts.”

Die Firmen von PRISM.

Die Firmen von PRISM laut NSA.

Acht der neun Internet-Unternehmen, die laut NSA Teil des Überwachungsprogramms PRISM sind, dementieren eine unmittelbare Zusammenarbeit mit US-Behörden. Das geht aus den Antworten der Firmen auf einen Fragenkatalog der Bundesinnenministeriums hervor, die wir an dieser Stelle veröffentlichen. Das Problem: Falls die Unternehmen einen Beschluss auf Grundlage des Foreign Intelligence Surveillance Act erhalten haben, dürfen sie gar nicht darüber sprechen.

Der Summer of Snowden kam so richtig ins Rollen am 6. Juni, als Glenn Greenwald über das Programm PRISM berichtete, das der NSA “direkten Zugriff auf die Systeme” von neun der größten amerikanischen Internet-Firmen geben soll. Das wurde von amerikanischen Behörden auch nicht bestritten.

Die beteiligten Firmen jedoch wollen davon nichts wissen. Wie viele andere Stellen hat auch das deutsche Innenministerium einen Fragenkatalog an die beteiligten Firmen geschickt, über den wir hier berichtet hatten. Wir haben natürlich sofort eine Informationsfreiheits-Anfrage nach den Antworten gestellt. Nachdem auch Bundestag und Regierung auf die von uns veröffentlichten Fragen verwiesen haben und endlich die Antworten sehen wollten, haben wir heute endlich die Antworten erhalten:

Die Fragen der Staatssekretärin im Bundesministerium des Innern, Frau Rogall-Grothe, vom 11. Juni 2013 haben die folgenden Internetunternehmen beantwortet: Yahoo, Microsoft einschließlich seiner Konzerntochter Skype, Google einschließlich seiner Konzerntochter Youtube, Facebook und Apple. Keine Antwort ist bislang von AOL eingegangen.

Die Unternehmen Facebook und Google haben im Nachgang weitere Informationen zur Verfügung gestellt, die Ihnen auf Wunsch der beiden Firmen ebenfalls übermittelt werden.

Und die Antworten auf diese acht konkreten Fragen sind wenig überraschend: Niemand wusste von irgendwas.

Apple antwortet in einem Einseiter und zitiert seine eigene Presse-Aussage:

We have never heard of PRISM. We do not provide any government agency with direct access to our servers, and any government agency requesting customer data must get a court order.

Genaueres oder der FISA Abschnitt 702 wird noch nichtmal erwähnt.

Facebook zitiert einen Facebook-Post von Mark Zuckerberg:

Facebook is not and has never been part of any program to give the US or any other government direct access to our servers. We have never received a blanket request or court order from any government agency asking for information or metadata in bulk, like the one Verizon reportedly received. And if we did, we would fight it aggressively. We hadn’t even heard of PRISM before yesterday.

Weiter heißt es:

Sie bitten in Ihrem Schreiben um Auskunft zu Anfragen, die möglicherweise von amerikanischen Sicherheitsbehörden an Facebook gestellt wurden. Ich habe diese Fragen an meine Kollegen weitergeleitet, die unser weltweites Strafverfolgungsprogramm verantworten. Meine Kollegen haben mich darüber informiert, dass sie mir die gewünschten Informationen jedoch nicht zur Verfügung steilen können, ohne damit amerikanische Gesetze zu verletzen.

Zudem verweist Facebook auf ein Statement des Direktors der nationalen Nachrichtendienste James Clapper.

In einem zweiten Brief verweist Facebook auf seinen neu eingeführten Transparenzbericht.

Google fängt erstmal mit einem Disclaimer an:

Wie Sie wissen, sind die rechtlichen Rahmenbedingungen im Zusammenhang mit behördlichen Ersuchen zur Herausgabe von Daten gerade im internationalen Kontext äußerst komplex. Zudem unterliegt die Google Inc. umfangreichen Verschwiegenheitsverpflichtungen im Hinblick auf eine Vielzahl von Anfragen in Bezug auf Nationale Sicherheit, einschließlich des Foreign Intelllgence Surveillence Act (FISA). Ich habe ihre Anfrage daher der Rechtsabteilung der Google Inc., die sich mit diesen Fragestellungen befasst, zur Prüfung übermittelt.

Dann das Dementi:

Auch uns haben die Presseberichte über ein Überwachungsprogramm PRISM überrascht und besorgt. Wie Sie den öffentlichen Äußerungen unseres Chief Legal Officers David Drummond entnehmen konnten, ist die in diesem Zusammenhang geäußerte Annahme, dass US Behörden direkten Zugriff auf unsere Server oder unser Netzwerk haben, schlicht falsch.

Entgegen einiger Behauptungen in den Medien ist es unzutreffend, dass Google Inc. den US Behörden uneingeschränkt Zugang zu Nutzerdaten eröffnet. Wir haben niemals eine Art Blanko-Ersuchen zu Nutzerdaten erhalten (im Gegensatz beispielsweise zu dem gleichfalls angeführten Fall, der Verizon betrifft). Die Google Inc. verweigert die Teilnahme an jedem Programm, welches den Zugang von Behörden zu unseren Servern bedingt oder uns abverlangt, technische Ausrüstung der Regierung, welcher Art auch immer, in unseren Systemen zu installieren.

Gleichwohl unterliegen wir wie erwähnt umfangreichen Verschwiegenheits-Verpflichtungen hinsichtlich einer Vielzahl von Ersuchen in Bezug auf Nationale Sicherheit, einschließlich des Foreign Inteiligence Surveillance Act (FISA).

Zwei Monate später haben sie noch einmal geantwortet und unter anderem auf einen Gastbeitrag des Chefjuristen David Drummond in der FAZ verwiesen (und als ausgedrucktes Internet angehängt).

Die Antwort von Google gilt auch für YouTube.

Microsoft antwortet wie Apple mit einem Einseiter und auf englisch:

Microsoft does not participate in a program called “PRISM” or any similar program. Microsoft also learned of the program called PRISM through the media reports you mentioned. This applies equally to Skype.

Die Antwort von Microsoft gilt auch für Skype.

Yahoo! dementiert am wenigsten deutlich:

Die Yahoo! Deutschland GmbH hat im Zusammenhang mit dem Programm „PRISM“ wissentlich keine personenbezogenen Daten ihrer deutschen Nutzer an US-amerikanische Behörden weitergegeben, noch irgendwelche Anfragen von US-amerikanischen Behörden bezüglich einer Herausgabe solcher Daten erhalten.

Die amerikanische Yahoo! Inc. hat die Yahoo! Deutschland GmbH auf das Statement Setting the Record Straight verwiesen.

Als einzige Firma beantwortet Yahoo! die acht Einzelfragen des Ministeriums. Aber da man nicht an PRISM beteiligt sei, ist die Antwort acht mal:

Die Yahoo! Deutschland GmbH arbeitet im Hinblick auf das Programm “PRISM” nicht mit US-amerikanischen Behörden zusammen.

AOL hat als einziges Unternehmen der Bundesregierung in mehr als zwei Monaten gar nicht geantwortet.

Die Bundesregierung fasst die Antworten treffend zusammen:

In den vorliegenden Antworten wird die in den Medien im Zusammenhang mit dem Programm PRISM dargestellte unmittelbare Zusammenarbeit der Unternehmen mit US-Behörden dementiert. Die Übermittlung von Daten finde allenfalls im Einzelfall auf Basis der einschlägigen US-Rechtsgrundlagen auf Grundlage richterlicher Beschlüsse statt.

Oder auch: “Meine Name ist Hase, ich weiß von nichts.”

Die Glaubwürdigkeit dieser Aussagen ist aber trotzdem “eher so mittel”. Schon am 7. Juni sagte Mark Rumold, ein Anwalt bei der Electronic Frontier Foundation, gegenüber ABC News:

Wenn diese Unternehmen im Rahmen der FISA Amendments Act einen Beschluss erhalten haben, dürfen sie laut Gesetz weder den Erhalt des Beschlusses noch irgendwelche Informationen darüber offenlegen.

Vor diesem Hintergrund klingen die Disclaimer, wie die von Google über die Verschwiegenheitsverpflichtungen, nochmal anders. Zumal die US-Regierung im Gegensatz zu den Unternehmen die Zusammenarbeit nie dementiert hat.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 23 2013

NSA: Neue Dokumente belegen, dass die NSA Service Provider bezahlt hat.

Das Utah Data Center. Quelle: Wired.

Das Utah Data Center. Quelle: Wired.

The Guardian hat neue Dokumente veröffentlicht, die belegen, dass US amerikanische Service Provider dafür ‘entschädigt’ wurden, dass sie das Prism Programm mit Daten versorgen. Wir hatten vor einer Woche berichtet, dass der ‘haus-eigene’ Foreign Intelligence Surveillance Court (FISC) der NSA vorwarf, nicht genau genug zwischen ausländischer und US amerikanischer Kommunikation zu unterscheiden. Da die NSA somit ‘nachbessern’ musste, wurde mit den Service Providern zusammengearbeitet, um Datenverkehr besser identifizieren zu können. Dies war notwendig, um weiterhin durch den FISC zertifiziert zu werden. So liest man in einem Newsletter der NSA, dass an die Service Provider mehrere Millionen USD gezahlt wurden.

Last year’s problems resulted in multiple extensions to the certifications’ expiration dates which cost millions of dollars for Prism providers to implement each successive extension – costs covered by Special Source Operations.

Die Special Source Operations Abteilung der NSA ist dabei für die reibungslose Zusammenarbeit mit Service Providern zuständig – laut Edward Snowden das ‘Kronjuwel’ der NSA. In einem späteren Newsletter liest man, dass mittlerweile alle Provider die nötigen Maßnahmen getroffen haben – nur Yahoo und Google hinken etwas hinterher.

All Prism providers, except Yahoo and Google, were successfully transitioned to the new certifications. We expect Yahoo and Google to complete transitioning by Friday 6 October.

Bestätigt wurde die Zusammenarbeit mit der NSA zumindest von Google, Yahoo, Facebook und Microsoft. Auf Anfrage des Guardian bestätigte Yahoo, dass es Zahlung durch die NSA als Aufwandsentschädigung erhalten habe. Microsoft wollte kein Kommentar abgeben und Google beharrt weiterhin darauf, dass die Presse dramatisiere und sich vieles relativieren würde, wenn die NSA es Google erlaube, Dokumente zu veröffentlichen.

Somit wurde durch Edward Snowden ein weiteres Puzzle-Teil veröffentlicht, dass zeigt, wie eng die NSA mit privaten Unternehmen zusammenarbeitet, um jeglichen Datenverkehr überwachen zu können. Außerdem ist dies der erste handfeste Beweis, dass die Unternehmen davon gewusst haben und für ihre ‘Umstände’ entschädigt wurden.

The responses further expose the gap between how the NSA describes the operation of its Prism collection program and what the companies themselves say.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 15 2013

Microsoft: DMCA-Löschanträge als Wettbewerbsvorteil?

dmcaIm Zuge des Digital Millenium Copyright Acts der USA können private Unternehmen Löschanträge an Dienste- und Inhalteanbietern, aber auch an Suchmaschinen stellen, wenn sie der Meinung sind, dass diese urheberrechtlich geschütztes Material hosten oder verlinken. Vor allem größere Unternehmen aus der Film- und Musikindustrie, aber auch Microsoft, nutzen diese Möglichkeit um Suchmaschinen, wie Google, mittels voll-automatisierter Systeme über vermeintlich illegale Inhalte zu informieren. Dabei kommt es immer wieder zu teils heftigen Patzern. Nun berichtet TorrentFreak, dass Microsofts Filter in letzter Zeit wohl übereifrig waren und in den Lösch-Listen (Die Microsoft dann zu Google & Co. schickt) auch einige Verweise auf die freie Microsoft Office Alternative “Open Office” von Apache enthalten waren. Wie man an der Liste sieht lagen diese Versionen zwar nicht auf dem offiziellen Tracker von Open Office, darum geht es aber auch nicht wirklich. Vielmehr verdeutlicht dieser Vorfall ein weiteres Mal, dass diese Lösch-Praktiken völlig in-transparent, sowie fehler- und missbrauchsanfällig sind.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 26 2013

NSA und Co. fordern anscheinend auch die Herausgabe von Passwörtern von Unternehmen

Nachdem wir vorgestern berichtet haben, dass amerikanische Polizei- und Verfassungsschutzbehörden die Herausgabe von SSL-Master-Keys von Unternehmen verlangen, kann die neuste Nachricht kaum mehr überraschen. Die amerikanischen Behörden verlangen nämlich scheinbar auch Nutzerpasswörter, teilweise sogar samt Verschlüsselungsalgorithmus und Salt. Das berichtet CNET mit Bezug auf zwei anonyme Quellen aus der Industrie.

“I’ve certainly seen them ask for passwords,” said one Internet industry source who spoke on condition of anonymity. “We push back.” A second person who has worked at a large Silicon Valley company confirmed that it received legal requests from the federal government for stored passwords. Companies “really heavily scrutinize” these requests, the person said. “There’s a lot of ‘over my dead body.’”

Microsoft, Google und Yahoo wollten sich nicht dazu äußern ob sie solche Anfragen von amerikanischen Behörden tatsächlich erhalten hätten, sagten aber entschieden, niemals die Passwörter seiner Nutzer preis zu geben. Yahoo:

If we receive a request from law enforcement for a user’s password, we deny such requests on the grounds that they would allow overly broad access to our users’ private information. If we are required to provide information, we do so only in the strictest interpretation of what is required by law.


Weitere Unternehmen, darunter Facebook, Apple und Verizon, wollten überhaupt keine Stellungnahme abgeben. Ebenso wollte das FBI keine Stellungnahme abgegen.

Ähnlich wie bereits bei der Herausgabe der SSL-Master-Keys haben es die US-Behörden hier aber sicherlich auf kleinere Unternehmen abgesehen, welche nur wenige Möglichkeiten haben sich gegen die Behörden zu wehren. Und da Nutzer oftmals nur ein Passwort für eine Reihe verschiedener Dienste verwenden, besteht die Möglichkeit, dass es den Behörden reicht ein Passwort zu erhalten und damit Zugriff auf ein Vielzahl von Diensten erhält.

Eine Frage, die zum jetzigen Zeitpunkt ungeklärt scheint, ist die Frage der Rechtmäßigkeit einer solchen Anfrage auf Herausgabe des Nutzerpassworts:

“This is one of those unanswered legal questions: Is there any circumstance under which they could get password information?” said Jennifer Granick, director of civil liberties at Stanford University’s Center for Internet and Society. “I don’t know.” Granick said she’s not aware of any precedent for an Internet company “to provide passwords, encrypted or otherwise, or password algorithms to the government — for the government to crack passwords and use them unsupervised.” If the password will be used to log in to the account, she said, that’s “prospective surveillance,” which would require a wiretap order or Foreign Intelligence Surveillance Act order.

Dass die Behörden aber auch noch andere Wege haben, an die Passwörter und damit an die Daten der Nutzer zu gelangen, schildert ein Anwalt eines amerikanischen Internetkonzerns:

An attorney who represents Internet companies said he has not fielded government password requests, but “we’ve certainly had reset requests — if you have the device in your possession, than a password reset is the easier way.”

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 24 2013

US-Strafverfolgungsbehörden fordern Master-Keys für SSL von Unternehmen

SSL ist eine beliebte Verschlüsselungstechnik im Internet, wenn es darum geht verschlüsselte Verbindungen aufzubauen. Einsatz findet SSL deshalb zum Beispiel im Online-Banking aber auch beim Versand von E-Mails. Bisher galt die Verschlüsselung mittels SSL als sicher. Möglichweise ist damit ab sofort Schluss. Wie CNET berichtet, setzen amerikanische Strafverfolgungsbehörden wie die NSA, CIA oder das FBI Unternehmen unter Druck, ihnen die Master-Keys für die SSL-Verschlüsselungen ihrer Verbindungen auszuhändigen. Mit diesem Master-Keys hätten die Behörden die Möglichkeit den kompletten Datenverkehr zu entsprechenden Diensten und Webseiten der Unternehmen zu entschlüsseln.

Solch ein Master-Key kann mit einem Generalschlüssel verglichen werden. Jeder Anbieter eines Dienstes im Internet besitzt solch einen Schlüssel, mit dem jegliche Kommunikation zu seinen Diensten gesichert wird. Gerät dieser Schlüssel in falsche Hände, ist demnach die gesamte Kommunikation gefährdet. Die großen Internetkonzerne hätten die Herausgabe ihrer Schlüssel bisher mit der Begründung fehlender rechtlicher Grundlagen verweigert, doch eine Person die angeblich von der Regierung nach einem SSL Master-Key gefragt wurde, sagt gegenüber CNET, dass es die Regierung auf kleinere Unternehmen abgesehen hätte, die nicht die Kraft hätten sich zu wehren:

“The government is definitely demanding SSL keys from providers” [...]. The person said that large Internet companies have resisted the requests on the grounds that they go beyond what the law permits, but voiced concern that smaller companies without well-staffed legal departments might be less willing to put up a fight. “I believe the government is beating up on the little guys,” the person said. “The government’s view is that anything we can think of, we can compel you to do.”


Ein ehemaliger Mitarbeiter des amerikanischen Justizministeriums sagte, dass dieser Schritt notwendig sei, da immer mehr Kommunikation im Internet über verschlüsselte Verbindungen ablaufe:

“The requests are coming because the Internet is very rapidly changing to an encrypted model,” a former Justice Department official said. “SSL has really impacted the capability of U.S. law enforcement. They’re now going to the ultimate application layer provider.”

Ein Mitarbeiter des FBI wollte sich zu diesen Vorwürfen nicht äußern, da das FBI keine genauen “Strategien, Techniken und Anwendungen seiner Arbeit” nennen könne.

Die großen amerikanischen Internetkonzerne Google und Microsoft sagten auf Anfrage von CNET, dass sie keine Master-Keys an Strafverfolgungsbehörden weitergereicht hätten. Sie wollten jedoch nicht beantworten, ob es jemals Anfragen von Seiten der Behörden gab. Anderer Unternehmen, darunter Facebook, Apple, Yahoo, AOL, Verizon und AT&T wollten sich überhaupt nicht äußern. Ob bisher andere Unternehmen tatsächlich ihre Master-Keys für die SSL-Verschlüsselung an Strafverfolgungsbehörden ausgehändigt haben kann nicht mit Sicherheit gesagt werden. Doch alleine, die Anfrage amerikanischer Unternehmen lässt nichts Gutes vermuten.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 23 2013

DNA und Tagesdecken im Kampf gegen Kindesmissbrauchs-Dokumentation Online

Twitter ist nun also auch dabei. Wie das Unternehmen nun bekanntgegeben hat, wird es bald Microsofts PhotoDNA System benutzen, um Bilder in Tweets auf Kindermissbrauchs-Dokumentation zu untersuchen. Neben Twitter benutzen auch Facebook, die Dänische und die Neuseeländische Polizei und natürlich Microsofts Bing, Skydrive und Hotmail Dienste das System. Was wird da gemacht?

Hany Farid, Professor am Dartmouth College und Entwickler von PhotoDNA, startete 2008 die Entwicklung mit der Idee, dass man sich darauf konzentrieren sollte, bereits bekannte Bilder von Kindermissbrauchs-Dokumentation wiederzuerkennen.

“My idea was, don’t try to go after things you haven’t seen before — go after the things you have seen before,” Farid said. “Go after the images that you know are child porn, that you know are horrible, that you know who the victims are and that you know people keep trafficking.”

flowchart_webUm ein Bild wiederzuerkennen erstellt PhotoDNA einen ‘digitalen Fingerabdruck’ des Photos. Hierzu wird das Bild in ein 12×12 Raster aufgeteilt und in Graustufen umgerechnet. Dann wird für jede Zelle der Hash (Prüfsumme) errechnet. Durch dieses ‘Robust Hashing’ kann PhotoDNA auch Bilder wiederkennen, selbst wenn diese skaliert oder anderweitig bearbeitet wurden. Von jedem Bild was zu Twitter hochgeladen oder verlinkt wird, wird auch selbiger Hash erstellt und gegen eine Hash-Datenbank abgegleicht. Hat das hochgeladene Bild denselben Hash, wie eines aus der Datenbank ist die Wahrscheinlichkeit sehr hoch, dass es sich um Kindermissbrauchs-Dokumentation handelt. Nach eigenen Aussagen ist die Chance auf einen False Positive (das System sagt, es ist Kindermissbrauchs-Dokumentation, obwohl es gar keine ist) 1/Milliarde. Außerdem erkenne es ein Bild zu 98%, wenn es in der Datenbank ist. Microsoft hat PhotoDNA dann vor einigen Jahren dem National Center for Missing & Exploited Children (NCMEC) gespendet. Seitdem kooperieren rund 13 Unternehmen freiwillig mit NCMECs Datenbank um die Verbreitung von Kindermissbrauchs-Dokumentation zu verhindern.
Google hat ein ähnliches System, den ‘Bedspread Detector’ (Tagesdecken Aufspürer). Der Name spielt darauf an, dass eine NCMEC-Mitarbeiterin zwei Kindesmissbrauchs-Fälle auf denselben Täter zurückführen konnte, da auf verschiedensten Bildern immer dieselbe Tagesdecke zu sehen war. So ist Googles Ansatz auch, nach markanten Mustern und anderen Besonderheiten (Tattoos, Räumlichkeiten, etc.) zu suchen, um dasselbe Opfer oder denselben Täter in verschiedenen Bildern wiederzuerkennen.

Von der Idee her klingen beide Systeme zunächst sehr sinnvoll und unterstützenswert im Kampf gegen Kindesmissbrauchs-Dokumentation online. Vor allem, wenn man zum einen bedenkt, dass die ‘manuelle’ Analyse der Bilddaten schier unmöglich ist und emotional sehr strapaziös für die Beamten sein kann.

[NCMEC] found 17.3m images of abuse in 2011 – and since 2002 has reviewed more than 65m images and videos of child sexual exploitation reported by the authorities.

Und zum anderen, dass ‘Notice and Takedown’ – also das Benachrichtigen des Administrators oder Providers, dass auf einem bestimmten Server Bilder und Videos von Kindesmissbrauch liegt – alleine nicht mehr ausreicht, da nach kurzer Zeit die Inhalte einfach an einem neuen Standort hochgeladen werden.

A senior FBI agent described notice and take down as “wackamole”. A notice is issued, the hosting company removes the image then, sometimes within minutes, the same picture will pop up somewhere else. And so on ad infinitum.

Wenn man sich dazu vergegenwärtigt, dass NCMEC schon 2009 jede Woche 250.000 Bilder potentiellen Kindesmissbrauchs beurteilen musste, ist es verständlich, dass Ernie Allen (Präsident und CEO von NCMEC) diese graphischen Analyse-Systeme als wichtiges Mittel im Kampf gegen die Verbreitung von Kindermissbrauchs-Dokumentation sieht.

While there won’t be miraculous changes overnight, the bottom line is, because of these tools, we’re making headway.

Klingt gut, oder? Fast. Wodurch sich diese Systeme noch auszeichnen, ist die Tatsache, dass sie so wenig wie möglich über die internen Mechanismen preisgeben – aus Angst, dass Pädophile versuchen die Schwachstellen in den Algorithmen auszunutzen. So warnt European Digital Rights (EDRI) davor diese stark eingreifende Technik unkritische als ‘Best Practice’ zu übernehmen. Es gibt keine unabhängigen Analysen zur Effizienz dieser Systeme. Außerdem wurde bisher nicht untersucht, ob es nicht auch negative Auswirkungen geben könnte.

What happens when somebody tries to do this? [kinderpornographische Bilder hochladen] Nobody knows. What happens if a criminal tries to upload innocent parts of images as a way of filtering his/her own collection of illegal images to identify images unknown to the police? We don’t know. How big is the risk that this could lead to incentives to creating new illegal images and new abuse? We don’t know.

Diese Bedenken sind mehr als berechtigt, bei einem System bzw. einer Technik, die bei immer mehr Diensten und Ländern zum Einsatz kommt. Es ist verständlich, dass für die schiere Masse an Bilddaten heutzutage automatisierte Systeme zum Einsatz kommen müssen. Außerdem scheint der Ansatz, nach bekannten Bildern von Kindesmissbrauch zu suchen, sinnvoll, da so – im besten Falle – aktuelle Fälle schneller erkannt werden. Gleichzeitig muss man kritisch bleiben und Nachfragen dürfen nicht unterbunden werden, nur weil es “um unsere Kinder geht”. Bei Filtersystemen besteht immer die Gefahr, dass – einmal etabliert – der Fokus ausgeweitet wird und nicht mehr nur Kindermissbrauchs-Dokumentation blockiert wird. Gerade deswegen sollte es eine neutrale Instanz geben, die diese Systeme evaluiert, denn bisher handelt es sich lediglich um ‘Best Practice’ von Microsoft, Google und Co. Außerdem muss unterschieden werden, ob so ein System bei einem Dienst, wie Twitter oder Facebook eingesetzt wird, oder gar auf ISP-Ebene, wo es wesentlich eingreifender wäre.

Microsofts PhotoDNA und Googles Bedspread Detector sind gute und sinnvolle Systeme, die ein wichtiges Problem versuchen zu lösen. Nun sollte es aber auch darum gehen, diese Systeme nicht ‘im Dunkeln’ einzusetzen, sondern Effizienz, mögliche nachteilige Auswirkungen und sinnvolle Implementationen kritisch zu hinterfragen. Und wie EDRI verdeutlicht, sind uns NCMEC, Microsoft und Google vielleicht noch ein paar Antworten schuldig – es geht schließlich um unsere Kinder.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 18 2013

Geschlossene Plattformen zerstören Verbraucherrechte

Dieser Text von Michael McNeff (halfpricadigital.co.uk)erschien zu erst auf edri.org unter der Lizenz Creative Commons CC-BY. Übersetzt von Nicolas Fennen.

Können sie ihre gebrauchten Apps für iOS oder Android weiterverkaufen? Wie sieht es mit ihren Videospielen aus, die sie im Shop von Valves Spieleplattform Steam erworben haben?

Die Antwort lautet ja und nein. Rechtlich ist es ihnen erlaubt ihr Apps und bei Steam gekauften Spiele weiter zu verkaufen, wenn sie in der EU vermarktet wurden. In der Praxis jedoch verbieten die Anbieter wie Apples App Store oder Valves Steam Shop, die Lizenzen ihrer zuvor gekauften Software an andere Nutzer weiter zu geben, was es für Nutzer unmöglich macht ihre Apps und Spiele weiter zu verkaufen.

Nach dem Urteil des Europäischen Gerichtshofs im Fall UsedSoft gegen Oracle aus dem letzten Sommer, hat der Rechteinhaber die exklusiven Vermarktungsrechte abgegeben, wenn für eine Software gezahlt wurde und dem Nutzer damit eine Lizenz zur Nutzung der Software über unbegrenzte Zeit gewährt wurde. Selbst wenn das Lizenzabkommen einen Weiterverkauf verbietet, darf der Rechteinhaber einen Weiterverkauf nicht bekämpfen. Das trifft gleichermaßen auf erworbene Software auf physischen Medien (CD oder DVD) sowie auf heruntergeladene Software zu. Folglich sind Verbraucher in der EU rechtlich dazu berechtigt einen Großteil ihrer Apps und Spiele weiter zu verkaufen.

Geschlossene Plattformen wie Valves Steam verhindern den Weiterverkauf von Software aber dennoch auf zwei Wegen. Der erste ist durch restriktive Nutzungsbedingungen. So lauten beispielsweise die Lizenzvereinbarung im Steam Shop: „Die Software wird Ihnen in Lizenz überlassen und nicht an Sie veräußert. Die Ihnen eingeräumte Lizenz führt Ihrerseits nicht zum Erwerb von Eigentum oder sonstigen dinglichen Rechten an der Software.“ Dennoch, da der Verbraucher eine Gebühr für eine Lizenz auf unbegrenzte Dauer bezahlt hat, fallen Spiele die über den Steam Shop erworben werden klar unter das Urteil UsedSoft gegen Oracle und Valve kann einen Weiterverkauf nicht bekämpfen.

Die andere Weg auf dem geschlossene Systeme wie Steam den Weiterverkauf von Software durch die Verbraucher unterbinden ist, dass kein Mechanismus bereitgestellt, der es einem Nutzer von Steam erlaubt die Lizenz einer Software an einen anderen Nutzer von Steam zu übertragen. Der Wegfall eines so einfaches Mechanismuses macht es unmöglich für Nutzer von Steam, ihre unerwünschte Software zu verkaufen, da der Nutzer keine Möglichkeit hat den Verkauf abzuschließen, ohne die Lizenz der verkauften Software auf den Account des Käufers zu übertragen.

Da Verbraucher ihr unerwünschte Software, welche sie von geschlossenen Plattformen erworben haben, nicht verkaufen können, werden Second-Hand Märkte für gebrauchte Apps und Spiele von ihrer Bildung abgehalten, trotz der Tatsache, dass Vermarkter wie Valve die Vermarktungsrechte an der Software abgegeben haben und einem Weiterverkauf nicht entgegen treten können.

Durch den zunehmenden Verkauf von Software über Downloads, gewinnen geschlossenen Plattformen immer mehr an Popularität. Apple, Microsoft, Google und Valve vermarkten Software für ihre Plattformen alle über ihre eigenen geschlossenen Systeme. Die Inhaber dieser geschlossenen Systeme streichen bei jedem Verkauf von Software über ihre eigenen Shops eine Provision ein und die Entwickler der verkauften Anwendungen verlieren nicht länger Umsätze durch Verbraucher, die gebrauchte, billigere Kopien, anstatt neuer Kopien der Software, kaufen.

Verbraucher jedoch werden in ihren Rechten zum Weiterverkauf ihres digitalen Eigentums beschnitten und verlieren den Zugang zu sekundären Märkte, wo sie die selben Produkte zu niedrigeren Preisen erhalten würden. Da Software zunehmend über geschlossene Systeme vermarktet wird, müssen wir die Rechte der Verbraucher in Bezug auf den Besitz und der Weiterverkauf von Software schützen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 16 2013

Die Online-Werbeindustrie will Filesharing-Webseiten den Geldhahn zudrehen

Wer im Internet eine Webseite betreiben möchte und damit vielleicht auch noch ein wenig Geld verdienen möchte, ohne von den Nutzern direkt Geld zu verlangen, kommt um die Schaltung von Werbung kaum herum. Für viele Webseiten ist Werbung die einzige Möglichkeit der Finanzierung, besonders wenn mit den Inhalten der Webseite kein Umsatz erwirtschaftet werden kann. Ein Beispiel hierfür sind Filesharing-Webseiten, welche ihre Dienste kostenfrei anbieten und daher auf die Schaltung von Werbung angewiesen sind. Das hat anscheinend auch die amerikanische Regierung erkannt. Denn sie hat sich mit den größten Vertretern der Werbewirtschaft im Internet verbündet, mit dem Ziel keine Werbung mehr auf “illegalen” Webseiten zu schalten und diesen so den Geldhahn zu zudrehen.

Wie die Variety berichtet sind unter anderem Google, Microsoft und Yahoo an den Plänen beteiligt. Der Vorschlag sieht vor, dass die Urheberrechtsinhaber Beschwerden über Verstöße am Urheberrecht direkt an die Werbeunternehmen melden und diese daraufhin von der Schaltung von Werbung auf diesen Seiten absehen. Dieses soll dazu führen, den Webseiten ihre einzige Geldquelle abzuschneiden und sie damit zu zerschlagen. Victoria Espinel, die Beauftragte für die Durchsetzung der Rechte an immateriellen Gütern der amerikanischen Regierung, fand positive Worte für das Engagement der Privatwirtschaft:

The Administration strongly supports voluntary efforts by the private sector to reduce infringement and we welcome the initiative brought forward by the companies to establish industry-wide standards to combat online piracy and counterfeiting by reducing financial incentives associated with infringement, [...] We believe that this is a positive step and that such efforts can have a significant impact on reducing online piracy and counterfeiting.


Chris Dodd, Präsident der “Motion Picture Association of America” (MPAA), hingegen sieht die geplanten Maßnahmen als nicht umfassend genug an und fürchtet eine zu große Belastung für die Urheberrechtsinhaber:

[It's] an incremental step forward that addresses only a narrow subset of the problem and places a disproportionate amount of the burden on rights holders is not sufficient.

Nach Auskunft von Variety sind an diesem Vorstoß die Werbenetzwerke von 24/7 Media, Adtegrity, AOL, Condé Nast, Google, Microsoft, SpotXchange und Yahoo, mit Unterstützung des Interactive Advertising Bureaus, beteiligt.

Auch der deutschen Regierung und den Rechteinhabern diese Gedanken keineswegs fremd. Auf dem “Wirtschaftsdialog für mehr Kooperation bei der Bekämpfung der Internetpiraterie” vom Bundeswirtschaftsministerium, Internet-Providern und Rechteinhabern im letzten Jahr wurde eine Liste mit zehn möglichen Maßnahmen vorgestellt, wie AK-Zensur berichtete. Punkt 2 lautet:

Die Werbewirtschaft soll dafür sorgen, dass auf Up-/Downloadplattformen keine Werbung mehr geschaltet bzw. nicht mehr dafür bezaht wird.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 21 2013

Netzpolitischer Wochenrückblick: KW 25

Die wichtigsten netzpolitischen Themen der Woche im Überblick:

  • Geheimdienst-Experte: Kanzleramt und Innenminister waren über NSA-Überwachung “sehr genau unterrichtet”

Bundeskanzleramt und Bundesinnenminister müssen von der massiven Internet-Überwachung der NSA gewusst haben. [Zum Artikel]

  • Britischer Nachrichtendienst soll Kommunikation ausländischer Politiker bei G20-Gipfel abgefangen haben

The Guardian berichtete am Sonntag, dass das britische Government Communications Headquarters (GCHQ), ein Nachrichten- und Sicherheitsdienst, beim G20-Gipfel 2009 in London die Telekommunikation der angereisten Teilnehmerinnen und Teilnehmer überwachte. [Zum Artikel]

  • PRISM: Facebook, Microsoft und Apple geben Zahlen zu NSA-Anfragen bekannt

Die drei amerikanischen Unternehmen Facebook, Microsoft und Apple haben in den letzten Tagen erste Zahlen veröffentlicht, wie viele Anfragen sie von amerikanischen Behörden, darunter der NSA, erhalten haben, um Daten an diese zu liefern. [Zum Artikel]

  • NSA-Chef möchte Immunität für Unternehmen die ihnen Daten bereitstellen

Der Direktor der NSA Keith Alexander steht zur Zeit bereits wegen der Spionagetätigkeiten rund um PRISM in der Kritik. Und sein neuester Vorstoß wird sicherlich zumindest auf Seiten von Netzaktivisten und Datenschützern nicht positiv aufgenommen werden. [Zum Artikel]

  • USA und Russland wollen Informationen über Hacker-Angriffe teilen

Das Rote Telefon war eine ständige Fernschreiberverbindung zwischen der Sowjetunion und den USA und wurde aufgrund der Erfahrungen aus der Kubakrise 1962 eingerichtet – es sollte Missverständnisse verhindern, die schlimmstenfalls einen Atomkrieg hätten auslösen können. Nun soll das Rote Telefon zu einem weiteren Zweck genutzt werden: [Zum Artikel]

  • Neue Dokumente beweisen: Auslandsgeheimdienste wie die NSA können nicht demokratisch kontrolliert werden

Die NSA überwacht und speichert die weltweite Kommunikation ganz ohne echte richterliche oder gar öffentliche Kontrolle. [Zum Artikel]

  • Aaron’s Law: Reform des Computer Fraud and Abuse Acts

Der Netzaktivist Aaron Swartz hat sich Anfang des Jahres das Leben genommen. [Zum Artikel]

  • Viele Baustellen im Transatlantischen Freihandelsabkommen TAFTA: Auch Big Data und Zugriff durch die NSA

Am Donnerstag brichteten wir über das Wechselspiel von Technologie-Firmen im Silicon Valley und amerikanischen Geheimdiensten. Denn das Silicon Valley hat genau das, was NSA, FBI und CIA brauchen: Zugang zu möglichst vielen Daten. [Zum Artikel]

  • USA: Google, Microsoft und Facebook bezahlen Internetprovider für schnelleren Internetzugang

Das Thema Netzneutralität ist keineswegs neu und doch ist es in Deutschland zur Zeit heiß diskutiert. [Zum Artikel]

  • Erschreckende Statistik: Geheimdienste und Polizei nutzen Stasi-Akten, auch amerikanische Behörden wie die NSA

Verschiedene Geheimdienste aus Deutschland und der ganzen Welt haben Stasi-Unterlagen angefordert und verwendet. [Zum Artikel]

  • Texas: Polizei braucht richterliche Anordnung um Mails zu überwachen

n Texas wurde nun das Gesetz HB 2268 erlassen, demnach dürfen Strafverfolgungsbehörden nicht mehr ohne richterliche Anordnung auf Mails zugreifen und diese überwachen. [Zum Artikel]

  • Türkei: Justiz durchsucht rückwirkend soziale Netzwerke nach Straftaten

In den letzten Tagen kam es immer wieder zu landesweiten Razzien in der Türkei bei denen mehr als 100 Personen festgenommen wurden, wie beispielsweise die tageschau berichtet. [Zum Artikel]

  • Metrolaut-Spezial aus Istanbul

Der Metronaut ist derzeit in Istanbul und berichtet von den Protesten dort, u.a. im Podcastformat “Metrolaut” von John F. Nebel und Kalle Kornblum. [Zum Artikel]

  • UK: Internetprovider führen Pornographiefilter für alle Anschlüsse ein

Ab 2014 sollen alle Internetanschlüsse in Großbritannien mit voreingestelltem Pornographiefilter bereitgestellt werden. [Zum Artikel]

  • Vietnam: Dritter regimekritischer Blogger innerhalb eines Monats verhaftet

Nachdem Ende Mai Truong Duy Nhat wegen “Missbrauch demokratischer Freiheiten gegen das Staatsinteresse” in Vietnam verhaftet wurde und letzte Woche Pham Viet Dao, dem der gleiche Vorwurf gemacht wird, wurde nun ein dritter Blogger verhaftet, Dinh Nhat Uy. [Zum Artikel]

  • RAP NEWS 19: Whistleblower featuring Edward Snowden

Rap News haben in Folge 19 den Prism-Skandal aufgearbeitet:

Habt ein schönes Wochenende!

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 17 2013

PRISM: Facebook, Microsoft und Apple geben Zahlen zu NSA-Anfragen bekannt

Die drei amerikanischen Unternehmen Facebook, Microsoft und Apple haben in den letzten Tagen erste Zahlen veröffentlicht, wie viele Anfragen sie von amerikanischen Behörden, darunter der NSA, erhalten haben, um Daten an diese zu liefern. Gemessen an den jeweiligen Nutzer- bzw. Kundenzahlen der Konzerne wirken die Anfragen dabei geradezu gering. So schreibt Facebook in seiner offiziellen Stellungnahme:

For the six months ending December 31, 2012, the total number of user-data requests Facebook received from any and all government entities in the U.S. (including local, state, and federal, and including criminal and national security-related requests) – was between 9,000 and 10,000.[...] The total number of Facebook user accounts for which data was requested pursuant to the entirety of those 9-10 thousand requests was between 18,000 and 19,000 accounts.

Gemessen an den 1,1 Milliarden Nutzern die Facebook weltweit hat, erscheint die Zahl verschwindend gering. Und auch Microsoft nennt Zahlen in einer ähnlichen Region:

For the six months ended December 31, 2012, Microsoft received between 6,000 and 7,000 criminal and national security warrants, subpoenas and orders affecting between 31,000 and 32,000 consumer accounts from U.S. governmental entities (including local, state and federal).

Und laut eigener Pressemitteilung erhält Apple die wenigsten Anfragen:

From December 1, 2012 to May 31, 2013, Apple received between 4,000 and 5,000 requests from U.S. law enforcement for customer data. Between 9,000 and 10,000 accounts or devices were specified in those requests, which came from federal, state and local authorities and included both criminal investigations and national security matters.

Das Problem an diesen Zahlen: niemand außer den Unternehmen weiß wie sie sich genau zusammensetzen. Den Unternehmen ist es nämlich verboten genaue Aufschlüsselungen der Anfragen zu veröffentlichen. Die Zahlen zeigen also keineswegs ein genaues Bild wie viele Anfragen die NSA an die Unternehmen gestellt hat sondern sie zeigen lediglich die Anzahl aller Anfragen jeglicher Behörden. Facebook gibt die große Bandbreite an Anfragen wie folgt an:

from things like a local sheriff trying to find a missing child, to a federal marshal tracking a fugitive, to a police department investigating an assault, to a national security official investigating a terrorist threat

Aus diesem Grund kritisiert auch Google die drei Unternehmen. Google sagt eine solche Vermengung von Zahlen sei für den Nutzer “ein Schritt zurück”. Google fordert daher die amerikanische Regierung auf, es den Unternehmen zu gestatten detaillierte Zahlen veröffentlichen zu dürfen:

Our request to the government is clear: to be able to publish aggregate numbers of national security requests, including FISA disclosures, separately.

Rückendeckung bekommt Google in diesem Fall von Twitter. So schreibt Benjamin Lee, Twitters Chefjurist, auf Twitter:

We agree with @google: It’s important to be able to publish numbers of national security requests—including FISA disclosures—separately.

Auffallend ist bei beiden Statements die Formulierung “including FISA disclosure”. Möglicherweise legen diese nahe, dass in den veröffentlichen Zahlen der Unternehmen die Anfragen der FISA eben noch gar nicht enthalten sind. Was eine Erklärung für die vermeintlich wenigen Anfragen seien könnte. An wahrscheinlich verliert diese Vermutung allerdings daran, dass Microsoft in seiner Pressemitteilung explizit erwähnt auch FISA Anfragen veröffentlicht zu haben.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

May 23 2013

ENDitorial: Die European Privacy Association – gut, böse oder einfach nur falsch verstanden?

Dieser Text von Joe McNamee erschien zuerst auf englisch im aktuellen EDRIgram und wurde unter der CC-BY-Lizenz veröffentlicht. Übersetzung von Nicolas Fennen.

Nachdem die European Privacy Association (EPA) dabei erwischt wurde, die Regeln des europäischen Transparenzregisters missachtet zu haben, versuchte sie sich nun zu verteidigen. In einem Artikel welcher bei der International Data Group (IDG) veröffentlicht wurde, werden Google, Microsoft und Yahoo als die „geheimen Hintermänner“ der Organisation beschrieben. Zu ihrer Verteidigung erklärt die EPA, dass sie nur eine „kleine Organsisation“ mit einem Budget von 50.000 bis 100.000 Euro sei. Darüber hinaus erklärt sie, sei sie „primär“ eine Freiwilligenorgansisation.

Immerhin, als „kleine Organisation“ hat die EPA große Unternehmen an ihrer Seite, welche ihr mindestens 10.000 Euro pro Monat zahlen. Dieses Geld wird größtenteils verwendet um sich die Dienste eines ehemaligen Mitglieds des Europäischen Parlaments und die eines italienischen Lobbyunternehmens (Competere) zu sichern. Das Personal des Lobbyunternehmens überschneidet sich dabei mit dem der DCI Group, einer amerikanischen Lobbyorganisation. Wie der Website der DCI Group zu entnehmen ist, gehört es zu ihrem Fachgebiet, mit Hilfe von „Drittunternehmen“ Probleme „neu auszurichten“ und sie in „vorteilhafteren Begrifflichkeiten“ darzustellen. Das klingt mehr als ein bisschen nach der European Privacy Association.

Als „kleine Organsisation“, welche die Dienste von Competere und der DCI Group in Anspruch genommen hat, hat es die EPA geschafft eine beeindruckende Anzahl an exklusiven Essen im Europäischen Parlament zu veranstalten. Alleine dieses Jahr: – 21. Januar: Essen mit dem konservativen (EVP) Parlamentarier Sean Kelly zur Selbstdarstellung; – 20 February 2013: Essen mit der konservativen (EVP) Parlamentarierin Lara Comi zum Datenaustausch in der Cloud; – 16 March 2013: Frühstück mit den konservativen (EPVP) Parlamentarier Axel Voss zum Datenaustausch mit Drittländern; – 11 April 2013: Frühstück mit dem Parlamentarier der Grünen Jan-Philipp Albrecht um Einigungen zu erzielen.

Die Unternehmen, welche hinter der EPA stehen, scheinen es außerdem zu einer Angewohnheit gemacht zu haben, aus versehen die Weitergabe aller relevanten Daten an das europäische Transparenzregister zu vergessen. Einzig letztes Jahr wurde eine E-Mail von der “Initiative for a Competitive Marketplace” (iCOMP) an Mitglieder des Europäischen Parlaments gesendet, welche eine Nummer des Transparenzregisters enthielt. Allerdings war die enthaltende Nummer nicht die der iCOMP , sondern die des Lobbyunternehmens Burston Marsteller, dessen Eintrag im Transparenzregister keinerlei Verweise zur iCOMP enthielt. In Wahrheit war Microsoft dabei behilflich iCOMP einzusetzen – Burston Marsteller repräsentiert unter anderem Microsoft. Die Folge einer Beschwerde beim Transparenzregister war, das einige Änderungen gemacht wurden, welche das Sekretariat des Transparenzregisters zufriedenstellte. Es wurden jedoch keinerlei Strafen gegen die beteiligten Unternehmen verhängt.

Microsoft unterstützt Anti-Google Organsisation seit 2007

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

May 21 2013

Operation Aurora: Chinesische Hack-Angriffe auf Google galten nicht nur Aktivisten, sondern der Unterstützung von Spionen

Google China Beijing. Autor: Fan Yang. Creative Commons: BY-SA 3.0.

Google China Beijing. Autor: Fan Yang. Creative Commons: BY-SA 3.0.

Die Hack-Angriffe auf Google und andere Firmen im Jahr 2009 sollten wohl herausfinden, welche chinesischen Spione von den USA beobachtet werden. Das berichten ein Mitarbeiter von Microsoft sowie aktuelle und ehemalige Regierungsbeamte. Google hatte nach der “Operation Aurora” den chinesischen Markt verlassen – angeblich weil Menschenrechtsaktivisten ausgespäht wurden.

Im Januar 2010 kündigte Google einen “neuen Ansatz für China” an, das zunächst als Rückzug aus dem Reich der Mitte gewertet wurde. Vorausgegangen waren intensive digitale Spionage-Angriffe aus China, die den Namen Operation Aurora erhielten. Im Firmen-Bog erklärte Google damals, dass “ein primäres Ziel der Angreifer der Zugriff auf die Gmail-Konten von chinesischen Menschenrechtsaktivisten” war.

Das war wohl nicht die ganze Wahrheit. Letzten Monat sagte Dave Aucsmith vom Microsoft Institute for Advanced Technology in Governments, dass auch Microsoft von den Angriffen betroffen war. Statt “normalen” Aktivisten waren die Angreifer “auf der Suche nach den Konten, für die wir rechtliche Anordnungen zum Abhören hatten”.

Das bestätigten jetzt “aktuelle und ehemalige Regierungsbeamte” der Washington Post:

Als Google den Angriff untersuchte, machten die Techniker eine überraschende Entdeckung: die Datenbank mit jahrelangen Informationen über staatliche Überwachungsbeschlüsse wurde gehackt.
Die Datenbank enthielt Informationen über Tausende von Überwachnungs-Beschlüssen durch Gerichte im ganzen Land, die Strafverfolgungsbehörden erlauben, die E-Mails von Verdächtige zu überwachen.

Die sensibelsten Anordnungen kamen jedoch von einem Bundesgericht, das die Überwachung von ausländischen Zielen wie Spionen, Diplomaten, mutmaßlichen Terroristen und Agenten anderer Regierungen genehmigt. Diese Aufträge, unter dem Gesetz zum Abhören in der Auslandsaufklärung (FISA) ausgestellt werden, sind geheim.

Mit diesen Informationen kann ein Staat seine Agenten warnen, Informationen löschen und Menschen außerhalb des Landes bringen, so ein Beamter gegenüber der Washington Post. Auch Aucsmith analysiert:

Das ist brilliante Spionageabwehr. Wenn man herausfinden will, ob ihre Spione entdeckt wurden sind, haben sie zwei Möglichkeiten: Sie können versuchen, beim FBI einzubrechen und die Informationen da zu finden. Vermutlich das ist schwierig. Oder sie infiltieren die Personen, für die Gerichte Überwachungsanordnungen beschlossen haben und versuchen, die Informationen auf diese Weise finden. Wir denken, sie haben letzteres getan, zumindest in [Microsofts] Fall.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

May 17 2013

Neue Erkenntnisse zu Skypes Chat-Überwachung

Am vergangenen Montag berichteten wir darüber, dass Skype Nachrichten aus dem Chat mitliest, wie heise security herausgefunden hatte. Heute veröffentliche heise security einen weiteren Artikel zu dem Thema, in welchem die Erkenntnisse aus den letzten Tagen noch ein zusammengefasst werden.

So präsentiert heise security gleich zu Beginn die Fakten:

Wir beobachteten ausschließlich Zugriffe auf https-URLs. Dabei nutzte Microsoft alle übertragenen Informationen – einschließlich der häufig in https-URLs enthaltenen Session-IDs oder Benutzerkennungen. Die Zugriffe erfolgen via HEAD-Request, fragen also lediglich Verwaltungsinformationen ab, nicht jedoch die Inhalte der Seiten.

Neu ist hingegen, dass anscheinend auch http-URLs abgerufen wurden, auch wenn heise security dieses Verhalten selbst nicht beobachten konnte:

Auch wenn wir keine Zugriffe auf die ebenfalls verschickten, ungesicherten http-URLs registrierten, liegen mittlerweile glaubwürdige Berichte vor, dass Microsoft diese in manchen Fällen ebenfalls abruft.


Es stehe allerdings immer noch die Frage im Raum, wozu die URLs überhaupt abgerufen werden. Am wahrscheinlichsten sei immer noch ein Zusammenhang zu einer Schutzfunktion, wie sie beispielsweise Microsofts SmartScreenFilter darstellt. Es gebe jedoch weiterhin eine Reihe von Ungereimtheiten:

Das beginnt mit der Frage, warum der Test nicht unverzüglich sondern mit einem zeitlichen Versatz von mehreren Stunden stattfindet. Bei einer aktiven Spam- oder Phishing-Kampagne ist Zeit ein kritischer Faktor; ein Test von mehreren Stunden alten URLs hat bestenfalls noch dokumentarischen Charakter.

Auch sei es nicht möglich nur durch das abrufen von HEAD-Request, also ohne den Inhalt der Seite zu kennen, eine Webseite auf ihr Sicherheitsrisiko hin zu bewerten:

Als nächstes stellt sich die Frage, wie Microsoft die Seiten bewerten will, ohne den Inhalt zu kennen. Die Verweise auf eine Reputationsdatenbank sind nicht stichhaltig, wenn für die Seiten – wie bei den speziell für den Test erstellten URLs – bislang keinerlei Referenzdaten vorliegen können. Auch der Hinweis, dass es nur darum ginge, mit dem HEAD-Request eventuelle Weiterleitungen auf bekanntermaßen bösartige Seiten zu entdecken, kann nicht überzeugen. Denn zum einen kann eine solche Weiterleitung auch im nicht abgerufenen HTML-Code erfolgen (meta http-equiv=”refresh”). Und zum anderen binden viele Web-Seiten den eigentlichen Schadcode etwa über iFrame-Tags ein – ebenfalls in den HEAD-Daten nicht sichtbar.

Und so kommt heise security zu dem abschließenden Ergebnisse, dass es sich zwar sehr wahrscheinlich um eine Schutzfunktion handele:

Doch wenn es so ist, ist diese wenig durchdacht.

Die positive Nachricht ist, dass heise security bei den letzten Tests keine Abrufe der URLs mehr feststellen konnte, Microsoft die Funktion also anscheinend mindestens vorübergehend deaktiviert hat. Und auch der Test anderer Chats verlief ereignislos:

Unsere analogen Tests mit den Chats von Google, Facebook und ICQ erbrachten übrigens keine Ergebnisse – sprich: es erfolgten keine Zugriffe auf die speziellen URLs, die wir dort verschickten.

Es bleibt also zu hoffen, dass Microsoft aus der Berichterstattung gelernt hat. Also entweder das Abrufen von URLs unterlässt oder zumindest eine Erklärung für das Abrufen liefert. Und sollte es sich tatsächlich um einen Schutzmechanismus handeln, muss erstens der Nutzer darüber informiert werden und zweitens muss der Nutzer die Möglichkeit haben, eine solche Schutzfunktion abstellen zu können.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

May 14 2013

Skype liest Nachrichten aus dem Chat mit

Wer Skype nutzt muss beim ersten Programmstart die Nutzungsbedingungen akzeptieren, mit denen man Microsoft – dem Neueigentümer von Skype – das Einverständnis erteilt Nachrichten mitlesen zu dürfen. Wie heise Security herausgefunden hat und nun berichtet, macht Microsoft von diesem Recht auch Gebrauch.

Konkret geht es um das Lesen und Öffnen von Links welche innerhalb des Chats von Skype verschickt werden. Von einem Leser auf das Problem angesprochen, machte heise Security einen Test bei dem eine Vielzahl von https-URLs über den Chat verschickt wurden. Kurze Zeit später seien alle Server von Rechnern aus Redmond besucht worden.

Auf Nachfrage von heise Security was dieses Verhalten zu bedeuten habe, reagierte Skype lediglich mit einer Passage aus seinen Datenschutzrichtlinien:

“Skype nutzt gegebenenfalls innerhalb von Sofortnachrichten und SMS automatisiertes Scannen zur Bestimmung von (a) vermutlichem Spam und/oder (b) URLs, die bereits als Spam-, Betrugs- oder Phishing-Links identifiziert wurden.”

heise Security zweifelt allerdings reine Sicherheitsmaßnahmen seitens Skype an. Einerseits würden Spam- oder Phishing URLs nur selten hinter https-Seiten liegen – und ebenfalls verschickte “normale” http-URLs seien nicht betroffen gewesen. Andererseits wären jeweils nur sogenannte Head-Requests an die Server geschickt worden, welche nur Verwaltungsinformationen der Server abrufen, die Seiten aber nicht auf Spam- oder Phishing-Inhalte überprüfen würden.

Bereits im Januar hatten Bürgerrechtler in einem offenen Brief an Skype und Microsoft in Frage gestellt, wie sicher die Kommunikation über Skype in Zukunft sein werde. Und auch wir berichteten schon über den Wechsel zu offenen Standards zugunsten von Skype.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

March 26 2013

Hamburger Polizei und Geheimdienst nutzen bei Ermittlungen immer öfter Soziale Netzwerke – vielleicht bald mit spezieller Software

Die Hamburger Polizei und der Verfassungschutz nutzen für ihre Ermittlungen zunehmend Soziale Netzwerke. Dies teilte der Senat jetzt auf eine Anfrage der Linksfraktion mit. Die Fragestellerin hatte sich nach behördlichen Streifengängen bei Facebook, LinkedIn, MySpace, Twitter oder StudiVZ erkundigt.

Die Initiative ist der Versuch, eine ähnliche Anfrage im Bundestag nun auch auf Landesebene nachvollziehbar zu machen. Ausgangspunkt war ein Aufsatz in der Zeitschrift “Kriminalistik” von 2010, nachgedruckt in der Zeitschrift der “Gewerkschaft” der Polizei (GdP). Zwei Polizeidozenten illustrieren dort, dass soziale Netzwerke “wahre Fundgruben” für Ermittlungs- und Fahndungszwecke sind. Die Autoren analysieren, dass eine ganze Reihe realer polizeilicher “Lagen” auch im Internet abgebildet werden bzw. dort recherchiert werden können. Nützlich seien sie überdies für “präventionspolizeiliche Maßnahmen”, also die vorausschauende “Gefahrenabwehr”.

Der Hamburger Senat bestätigt das. Adressiert wird demnach ein weites Feld von “extremistische[n] und terroristische[n] Gruppen im In- und Ausland”. Eine entsprechende Abfrage Sozialer Netzwerke scheint für den Verfassungsschutz mittlerweile die Regel zu sein. Der Geheimdienst wird offensichtlich nicht nur bei konkreten Ermittlungen aktiv:

Ganz allgemein [sic!] werden im Rahmen der Informationsgewinnung zu Ermittlungszwecken Recherchen im Internet zu Personen, Personengruppen oder Organisationen auch in sozialen Netzwerken durchgeführt. [...] Es handelt sich um offene und (auch technisch) verdeckte Informationserhebungen zum Zweck themenspezifischer Aufklärung von Bestrebungen im Sinne des § 4 HmbVerfSchG sowie anlässlich entsprechender Identitätsermittlungen.

Weitere Einzelheiten zu den digitalen Ermittlungen des Inlandsgeheimdienstes möchte der Senat aber nicht machen und verweist auf den für die parlamentarische Kontrolle des Verfassungsschutzes zuständigen Kontrollausschuss. Eine derartige Aufsicht ist tatsächlich vonnöten, denn die Schnüffler geben “zum Zweck der Strafverfolgung oder der Gefahrenabwehr” Daten auch an polizeiliche Dienststellen weiter.

Auf die Frage nach der Rechtsgrundlage für “virtuelle ErmittlerInnen”, die sich mit falscher Identität in Sozialen Netzwerken anmelden, beruft sich Hamburg auf das Urteil des Bundesverfassungsgerichts vom 27. Februar 2008, das damals ein “Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme” betonte. Nach Hamburger Auslegung darf die Polizei

  • sich zur Aufgabenerfüllung der allgemein zugänglichen Quellen im Netz bedienen
  • sich unter Angabe eines Pseudonyms anmelden, ohne dafür die wahre Identität preisgeben zu müssen
  • sich der von Kommunikationsbeteiligten (z.B. Hinweisgebern, Geschädigten) überlassenen Zugangsdaten bedienen, um damit beispielsweise an geschlossenen Benutzergruppen teilnehmen zu können
  • auch über einen längeren Zeitraum an Kommunikationsbeziehungen (z.B. in Foren) teilnehmen

Zahlen zu den Internetermittlungen nennt der Senat nicht, da keine Statistiken geführt würden. Mitgeteilt wird aber, dass “virtuelle ErmittlerInnen” nicht zu Straftaten aufrufen dürfen. Auch das Verfassen von Texten bzw. das Weitergeben von Dateien mit strafbarem Inhalt ist verboten. Das Gleiche gilt für sogenannte “Honeypots”, mit denen das Bundeskriminalamt InternetnutzerInnen ausforschte, die sich für Ermittlungen gegen die „militante gruppe” interessierten. Auch seien “keine Fälle bekannt”, in denen Hamburger Sicherheitsbehörden im Zuge von Ermittlungen selbst Webseiten oder Blogs angelegt hätten. Die Ermittlungsarbeit beim Verfassungsschutz würden aber “besonders geschulte Mitarbeiterinnen und Mitarbeiter” übernehmen. Das mag übertrieben sein: Als der Verfassungsschutz Stuttgart 2008 anlässlich der Beobachtung der Anti-NATO-Proteste sein neues “Internetkompetenzzentrum” (IKZ) in Betrieb nahm, waren auf einem Foto der Lokalzeitung nicht nur Nacktfotos im Büro zu erkennen, sondern auch ein Leitz-Ordner mit der Aufschrift “IKZ Bedienungsanleitung”.

Bislang kommt in Hamburg noch keine Software zu Onlineermittlungen oder zur präventiven “Aufhellung” zur Anwendung. Die zuständige Behörde kündigt aber “zur Aufklärung von verfassungsrelevanten Bestrebungen oder schweren Straftaten” eine eventuelle Beschaffung vorsorglich an.

Bislang nutzt die Hamburger Polizei Soziale Netzwerke auch zur “Gefahrenabwehr bei Vermisstenvorgängen”. Ob sich Polizei und Verfassungsschutz von Anbietern sozialer Netzwerke Zugang zu nichtöffentlichen Profilen bzw. Nachrichten geben lassen, wird lediglich für die Polizei bejaht. Weitere Auskunft wird nicht gegeben, da die Frage “kriminaltaktische Belange” berühren würde, “zu denen der Senat grundsätzlich keine Auskunft erteilt”.

Geprüft wird nun, ob Hamburg wie die Polizeidirektion Hannover (Facebook!) in Sozialen Netzwerken “mit eigenen Auftritten präsent sein sollte”. Die Behörden wollen hierfür aber zunächst “Chancen und Risiken” analysieren und eine “Aufwandsberechnung” abwarten.

Um die polizeiliche Präsenz im Internet auszubauen, lädt die Microsoft Niederlassung Köln für den 11. April zum “Microsoft Polizeisymposium 2013″. Die Veranstaltung richtet sich an “Entscheidungsträger der Polizei und Sicherheitsbehörden”, die sich “über neueste Technologien aus den Bereichen Cyber-Crime, Security und Social-Media” informieren sollen. Themen sind neben Cloud Computing im allgemeinen auch die Einrichtung einer “Polizei-Cloud”.

Weil die behördliche Butterfahrt nach Köln nicht ohne Werbung auskommt, wird die Firma StarLIMS als Höhepunkt ihre “Forensik & Crime Scene Windows 8 App” vorstellen. Danach folgen drei Microsoft-Präsentationen über “Fusion-Center”, “Big Data bei der Polizei” und “Kinect im Polizeieinsatz”.

flattr this!

March 22 2013

Netzpolitischer Wochenrückblick: KW 12

Diese Woche war keine gute für die Netzpolitik: Das Gesetz zur Neuregelung der Bestandsdatenauskunft wurde beschlossen, die Bundesregierung will mit dem E-Government-Gesetz u.a. De-Mail als Möglichkeit für die Behördenkommunikation vorschreiben und es gab keine Mehrheit im Bundesrat gegen das Leistungsschutzrecht. Und dann kommen auch noch Konjunktive der Telekom über das Ende der Flatrates hinzu… diese aber auch andere Themen im Überblick:

  • Bestandsdatenauskunft: Große Koalition aus Regierung und SPD unterstützt weitreichende Befugnisse für Datenabfrage

Deutsche Behörden sollen zukünftig die Inhaber von Telefonnummern und IP-Adressen vollautomatisiert und ohne Überprüfung abfragen können – auch für Ordnungswidrigkeiten. In einem Änderungsantrag, den wir an dieser Stelle veröffentlichen, schließt sich auch die SPD einem entsprechenden Gesetzentwurf der Regierungsparteien an. Der Arbeitskreis Vorratsdatenspeicherung kritisiert die Neuregelung scharf.[Zum Artikel]

  • Bestandsdatenauskunft: Bundestag beschließt Schnittstelle zur Identifizierung von Personen im Internet

Die Identifizierung von Personen anhand ihrer IP-Adresse im Internet soll zukünftig für deutsche Behörden per Knopfdruck möglich sein. Auch aktuelle Änderungen am Gesetzentwurf zu Bestandsdatenabfrage ändern nichts an diesen Befugnissen. Morgen soll das Gesetz vom Bundestag beschlossen werden – mit den Stimmen von CDU, FDP und SPD.[Zum Artikel]

  • Bestandsdatenauskunft: Bundestag beschließt Gesetz zur einfachen Identifizierung von Personen im Internet

Wie erwartet hat der Deutsche Bundestag am Donnerstag Abend das Gesetz zur Neuregelung der Bestandsdatenauskunft beschlossen. Dafür stimmten CDU/CDU, FDP und SPD, dagegen waren Grüne und Linke. Dazu ein paar Stimmen:[Zum Artikel]

  • E-Government-Gesetz: Bundesregierung will Verschlüsselungsstandards senken

Lang war es still um De-Mail. Dies lag vornehmlich daran, dass es keine Nutzungmöglichkeiten für den “sicheren, vertraulichen und nachweisbaren Geschäftsverkehr für jedermann im Internet” gab. Die Bundesregierung will dies nun ändern, indem Sie in einem breit angelegten Gesetzesvorhaben De-Mail als Möglichkeit für die Behördenkommunikation vorschreibt: Alle Behörden sollen per De-Mail erreichbar werden und die elektronischen Pendants zur Unterschrift akzeptieren können.[Zum Artikel]

  • Bundesinnenministerium weist Vorwürfe des CCC zurück: De-Mail ist sicher!

Gestern schrieb Linus Neumann über ein breit angelegtes Gesetzesvorhaben der Bundesregierung, das De-Mail als Möglichkeit für die Behördenkommunikation vorschreibt: Alle Behörden sollen per De-Mail erreichbar werden und die elektronischen Pendants zur Unterschrift akzeptieren können. Heute veröffentlichte der CCC eine Stellungnahme sowie einen Artikel zu den Plänen. Wie Patrick Beuth in der Zeit schreibt, hat das Bundesinnenministerium die Vorwürfe des CCC bereits zurückgewiesen.[Zum Artikel]

  • Innenausschuss des Bundestages: Sachverständige zum Entwurf des E-Government-Gesetzes

Bezüglich des geplanten E-Government-Gesetzes wurde vor allem über De-Mail als Möglichkeit für die Behördenkommunikation diskutiert. Gestern fand eine Anhörung des Innenausschusses zu dem Gesetzesentwurf statt, mit folgenden Sachverständigen:[Zum Artikel]

  • Keine Mehrheit im Bundesrat gegen das Leistungsschutzrecht

Am Freitag ist das Leistungsschutzrecht für Presseverlage Thema im Bundesrat. Nachdem der Bundestag das umstrittene Gesetz vor drei Wochen beschlossen hat, könnte der Bundesrat morgen den Vermittlungsausschuss anrufen. Und damit dem Gesetz Steine in den Weg legen und es vielleicht sogar noch verhindern, wenn der Vermittlungsausschuss länger andauert als die Legislaturperiode, die kurz vor dem Ende ist. Könnte, wenn man es denn wollte. Danach sieht es nicht aus.[Zum Artikel]

  • Leistungsschutzrecht im Bundesrat sang- und klanglos durchgewunken

Wie befürchtet, fand sich heute im Bundesrat keine Mehrheit gegen das Leistungsschutzrecht – es hätte ein Vermittlungsausschuss angerufen werden können. Damit hätten dem Gesetz zumindest Steine in den Weg gelegt werden können, es vielleicht ja sogar noch verhindert werden, hätte der Ausschuss nur lang genug angedauert. Doch SPD-Kanzlerkandidat Peer Steinbrück verkündete gestern, dass es keine Mehrheit für ein Vermittlungsverfahren geben wird. Die von SPD und Grünen regierten Länder hatten es sich anders überlegt und sind der Meinung, eine ‘Verbesserung’ des Gesetzentwurfes sei sinnvoller als die Ablehnung. Nochmal: Sie sind dagegen. Sie winken es durch.[Zum Artikel]

  • Das Ende der Flatrates?

Der Fanboys-Podcast berichtete gestern über ihm zugesandte Dokumente der Deutschen Telekom, die einen nahenden Systemwechsel bei den Kabelgebundenen Tarifen ankündigten. Bisher ist es so, dass es bei DSL Flatrates gibt. Und zwar Flatrates im ursprünglichen Sinne und nicht wie bei mobilen Internettarifen, wo irreführend Flatrate drauf steht, aber nur ein bestimmtes Kontingent an schnellem Internet gemeint ist. Im Haus-eigenen Telekom-Blog geht man noch im Konjunktiv auf die Gerüchte ein und erklärt, dass man sich darüber Gedanken mache. Das ist nichts Neues, wahrscheinlich haben alle Telekommunikationsunternehmen ähnliche Pläne in der Schublade. Was bedeutet es eigentlich, wenn die Deutsche Telekom tatsächlich demnächst ihre (DSL-)Verträge ändert, bzw. das durchsetzt, was theoretisch schon in den VDSL-/Glasfaser-Tarifen versprochen wird?[Zum Artikel]

  • The revolution will be intercepted and databased: EU-Polizeiprojekte beglücken den Arabischen Frühling

In einer Reihe von Seminaren trainieren europäische Polizeibehörden arabische und nordafrikanische Länder in der Nutzung von “neuen Technologien und Ermittlungstechniken”. Die teilnehmenden Regierungen gehören zum Programm “Europäische Nachbarschaft und Partnerschaft” (ENPI). Mit fünf Millionen Euro fördert die Europäische Union das Projekt “Euromed Police III”, das 2014 endet. Zu den Zielen gehören “Cyberkriminalität und neue kriminelle Bedrohungen” sowie das Aufspüren auffälliger Finanzströme.[Zum Artikel]

  • BITKOM will das Grundrecht auf Datenschutz privatisieren – Union macht mit

Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) und dessen hauseigener Fanclub zur Privatisierung der Rechtsdurchsetzung, der Verein “Selbstregulierung Informationswirtschaft” (SRIW), haben keinen Bock auf die EU-Datenschutzverordnung. Deshalb wollen sie hohen und verbindlichen Standards aus Brüssel zuvorkommen.[Zum Artikel]

  • Schweizer Regierung will Staatstrojaner, Ausweitung der Vorratsdatenspeicherung, IMSI-Catcher – und Zugang zu allen Anlagen

In den letzten Wochen hat der Schweizer Bundesrat (Exekutive) gleich zwei brisante Gesetzes-Entwürfe veröffentlicht: Mit der Revision des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) sollen die Strafverfolgungsbehörden und mit dem neuen Nachrichtendienstgesetz (NDG) der Staatsschutz mit umfangreichen Überwachungsbefugnissen ausgestattet werden. Die Aufzählung der Massnahmen liest sich wie der heimliche Wunschzettel einer Spitzelbehörde. Tatsächlich sind die Vorschläge aber sehr konkret.[Zum Artikel]

  • Schnelles Dementi der Bahn zum Datenhandel

Ein Spiegel-Online Artikel vom Sonntag enthüllt einen angeblich geplanten Verkauf von Fahrgastdaten der Deutschen Bahn. Die Konzernkommunikation reagierte unverzüglich auf die Anschuldigungen des Nachrichtenmagazin zum Datenhandel mit Vielfahrerdaten:[Zum Artikel]

  • Vorratsdatenspeicherung von Reisedaten – Abstimmung erneut verschoben

Die Abstimmung über die umstrittene Vorratsdatenspeicherung von Reisedaten wurde erneut verschoben. Voraussichtlich soll nun in der Woche vom 22-25 April abgestimmt werden. Der Abstimmungstermin wird schon seit Monaten in letzter Minute immer weiter nach hinten verschoben. Das zeigt, dass sich bisher keine stabilen Mehrheiten gefunden haben.[Zum Artikel]

  • Nach den Wahlen in Kenia: Befürchtungen, Hate Speech im Netz könnte zu Ausschreitungen führen

Ende Februar berichtete ich von dem Projekt Umati, einer Gruppe von Menschen, die vor den Präsidentschaftswahlen in Kenia soziale Netzwerke und Foren nach Hate Speech durchsuchten. Ziel war es, eine Definition für Hate Speech zu entwickeln und diese in die kenianische Verfassung einzuführen, sowie Aufklärungsarbeit gegenüber der kenianischen Öfflichkeit zu leisten.[Zum Artikel]

  • National Security Letters vom FBI sind verfassungswidrig, urteilt US-Richterin

Vor zwei Wochen kündigte Google an, auch Anfragen des FBI in seinen Transparenzbericht aufzunehmen. Die Ermittlungsbehörde des US-Justizministeriums kann bei ‘Ermittlungen zur nationalen Sicherheit’ Daten von Nutzerinnen und Nutzern mittels National Security Letters (NSL) und ohne richterliche Verfügung anfordern: Name, Adresse, Dauer des Dienstes und Abrechnungsunterlagen für die Orts- und Ferngespräche eines Nutzers. Betroffene werden nicht informiert und das FBI darf Firmen verbieten, über den Empfang solcher NSL zu berichten. Eine Telekommunikationsfirma, die anonym bleiben will und einen NSL erhalten hat, hatte 2011 gegen das FBI geklagt. Die Bezirksrichterin Susan Illston urteilte nun, dass die National Security Letters gegen den ersten Zusatzartikel der US-Verfassung verstießen und damit verfassungswidrig seien.[Zum Artikel]

  • Digitale Lehrinhalte nur bei iTunes U? FU Berlin rudert zurück [Update]

Leonhard Dobusch schrieb letzt Woche über Pläne der Freien Universität Berlin, exklusiv auf iTunes U als Plattform für digitale Lerninhalte zu setzen. Mittlerweile rudert das Präsidium der Universität zurück und lässt via Pressesprecher ausrichten, dass iTunes U doch nicht exklusiv sondern nur als erste “international bekannte” Plattform zum Einsatz kommen soll.

Update: Wie Anatol Stefanowitsch in einem weiteren Blogeintrag zum Thema ausgeführt hat, ist das Abwiegeln der FU Berlin noch nicht als Entwarnung zu verstehen:[Zum Artikel]

  • Kritik an geplanten Urheberrechtsänderungen vom MPI für Immaterialgüterrecht

Zwar ist vor der Wahl im Herbst keine große Urheberrechtsreform mehr geplant, ein sinnloses Leistungsschutzrecht und ein paar kleinere Änderungen in den Bereichen wissenschaftliches Zweitveröffentlichungsrecht und Umsetzung der EU-Richtlinie zu verwaisten Werken sollen aber doch noch beschlossen werden.[Zum Artikel]

  • Call for Participation: SIGINT 2013

Vom 5. bis 7. Juli findet in Köln die SIGINT statt, eine vom CCC jährlich veranstaltete Konferenz für Hacker, Netzbewohner und Aktivisten. Dabei werden sowohl technische als auch gesellschaftspolitische Aspekte der digitalen Gesellschaft thematisiert, es geht um Mitwirkung und Veränderungen, Hacktivismus und Spaß am Gerät. Dafür sucht der CCC nun Menschen, die Vorträge halten, interessante Projekte vorstellen oder bei der Organisation und Umsetzung helfen.[Zum Artikel]

  • Rechtsausschuss des Europäischen Parlaments stimmt immer noch schlimm genug über Datenschutzverordnung ab

Weniger schlimm als der Industrieausschuss, aber immer noch schlimm genug, um das Grundrecht auf Datenschutz zu verletzen. So lässt sich das soeben zustande gekommene Abstimmungsergebnis über die Stellungnahme des Rechtsausschusses (JURI) zur Datenschutzgrundverordnung zusammenfassen. So haben die Abgeordneten des JURI-Ausschusses den Lobbywünschen nach ungeschützter Datenverarbeitung, sobald Daten in pseudonymer Form vorliegen, nicht nachgegeben (Reding: “Das Trojanische Pferd der Datenschutzverordnung“.) Auch der Forderung einiger Lobbygruppen nach Ausklammerung “kleiner und mittlerer Unternehmen” aus der Verordnung sind die JURI-Abgeordneten nicht nachgekommen.[Zum Artikel]

  • Rechtes Land: Atlas zur extremen Rechten und der Neonazi-Vergangenheit jetzt online

Ein neues Online-Projekt dokumentiert die Aktivitäten von Neonazis und deren Strukturen. Nach einer erfolgreichen Crowdfunding-Aktion ist “Rechtes Land” jetzt in einer ersten Beta-Version online. Damit werden Informationen und Wissen über Rechte gebündelt und auf einer gemeinsamen Karte visualisiert.[Zum Artikel]

  • Placebo-Effekt bei Polizeisoftware: Analyse historischer Daten soll Straftaten reduzieren und bestenfalls verhindern

Vor einigen Tagen erschien Evgeny Morozovs Buch “To Save Everything, Click Here”. Es geht um Smart Technologies und Big Data, und wie deren Anwendung Politik, Kultur und Alltag verändern könnte. Ein Anwendungsfall ist Pre-Crime: Die Generierung von Verdacht, eh überhaupt ein Verbrechen passiert.[Zum Artikel]

  • Eine offene, freie und zukunftsorientierte IT-Strategie für das Land Berlin?

Wie überwindet die Hauptstadt trotz knapper Kassen die nächste Modernisierungshürde ihrer IT-Landschaft, und die darauf folgenden? Am Donnerstag beriet der Berliner Senat über einen Antrag der Fraktion von Bündnis 90/Die Grünen, welcher auf eine strategische Neuausrichtung der Berliner IT hin zu Freier Software abzielt. Der Antrag schlägt eine Anzahl von konkreten Massnahmen vor, wie eine solche Strategie umzusetzen wäre.[Zum Artikel]

  • Tallinn Manual: NATO veröffentlicht Handbuch mit Cyberwar-Regeln

Am 15. März wurde in London das Tallinn Manual vorgestellt, ein Handbuch über Cyberwar, erstellt vom Cooperative Cyber Defence Centre of Excellence (CCDCOE) der NATO. Seit 2009 wurde es von 20 Rechtsexperten aus verschiedenen NATO-Staaten in Kooperation mit dem Internationalen Roten Kreuz und dem Cyber-Kommando der US-Armee in Estlands Hauptstadt Tallinn erarbeitet. Das Tallinn Manual enthält 95 Regeln (black letter rules), an denen sich NATO-Staaten im Fall eines Cyberkriegs orientieren können – einen solchen habe es bis heute jedoch noch nicht gegeben.[Zum Artikel]

  • Erklärung zu TAFTA: 38 Organisationen fordern, “geistiges Eigentum” aus dem Abkommen zu streichen

Über TAFTA, das derzeit verhandelte Transatlantisches Freihandelsabkommen twischen EU und USA, berichteten wir bereits, zuletzt kritisierte Markus das Kapitel “Intellectual Properties Rights”. Denn bei den Verhandlungen säßen dieselben Menschen auf Seiten der EU-Kommission und USA-Regierung am Tisch, die bereits ACTA zu Ende verhandelt hatten. Unter anderem diesen Punkt kritisiert nun eine Erklärung von 38 europäischen und internationalen Organisationen:[Zum Artikel]

  • Drohung oder Zukunftsversprechen? Grüne Fachtagung äußert massive Kritik an Drohnen

Der Einsatz von unbemannten Fluggeräten ist längst keine ferne Zukunftsmusik mehr: Während bewaffnete US-Drohnen allein in Pakistan im Zeitraum von Juni 2004 bis September 2012 zwischen 2.562 und 3.325 Menschen getötet haben, werden bei uns Drohnen immer mehr zu Überwachungs- und Aufklärungszwecken verwendet. Und selbst Privatpersonen können mit dem Besuch des Elektronikladens um die Ecke eine Drohne mit hochauflösender Kamera erwerben und sich damit den Garten des Nachbarn oder gleich sein Schlafzimmer einmal genauer anschauen. Über die Konsequenzen dieser Entwicklung und mögliche Lösungen haben die Grünen am vergangenen Freitag die Fachtagung Drohnen – Drohung oder Zukunftsversprechen? veranstaltet.[Zum Artikel]

  • Showdown verzögert sich: Europäisches Parlament stimmt erst Ende Mai über Datenschutzreform ab

Auf ihrer Pressekonferenz am Mittwoch haben die Berichterstatter für die Datenschutzreform Jan Philipp Albrecht (Grüne/EFA) und Sozialdemokrat Dimitrios Droutsas angekündigt, dass der federführende Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) erst Ende Mai (voraussichtlich am 29.5) über seine Änderungsanträge zu den beiden Kommissionsvorschlägen abstimmt. Begründet wird das mit der außergewöhnlich hohen Zahl von Änderungsanträgen, die für beide Legislativvorhaben, Datenschutzgrundverordnung (PDF) und Richtlinie für den Polizei- und Justizbereich (PDF), vorgebracht wurden.[Zum Artikel]

  • Übermittlung von EU-Fluggastdaten an Kanada – Verhandlungen kurz vor dem Abschluss

Aussagen aus Regierungskreisen zufolge stehen die Verhandlungen zwischen der EU und Kanada zur Übermittlung von Fluggastdaten kurz vor dem Abschluss. Orientieren soll sich der Vertrag an dem heftig kritisierten EU-Australien Abkommen.[Zum Artikel]

  • EFF und SHARE Defense visualisieren Google Transparenzbericht

Die Electronic Frontier Foundation (EFF) hat in Kooperation mit SHARE Defense, einer von der Share Foundation gegründeten internationalen Interessenvertretung, Visualisierungen des letzten Google Transparenzberichtes erstellt. SHARE Defense will mit Juristen, politischen Analysten, Aktivisten, Künstlern und Technologen die Aktivitäten der Regierungen in Serbien und auf dem Balkan kritisch beobachten und politische Unterstützung bei allen die digitalen Rechte betreffenden Fragen bieten. EFF und SHARE Defense haben, als “Teil ihrer Mission, Geheimniskrämerei um staatliche Überwachung zu beleuchten”, drei verschiedene Diagramme erstellt, um die Entwicklung zu immer mehr staatlichen Anfragen zu Nutzerdaten darzustellen.[Zum Artikel]

  • Microsoft veröffentlicht Bericht über Anfragen von Strafverfolgungsbehörden

Am Donnerstag veröffentlichte Microsoft erstmals einen Bericht über die Menge von Anfragen zu Nutzerdaten oder Gerichtsbeschlüssen, die von Strafverfolgungsbehörden eingehen. Der Bericht, der alle sechs Monate erscheinen soll, zeigt für das Jahr 2012, dass auf die Strafverfolgungsbehörden von fünf Ländern – Türkei, USA, Großbritannien, Frankreich und Deutschland – 69 Prozent aller Anfragen entfielen.[Zum Artikel]

  • Elektrischer Reporter über GIFs, Social Social Media und 3D-Drucker

Der Elektrische Reporter diesmal über nicht totzukriegende GIFs, soziales Engagement in sozialen Netzwerken und die Frage, ob die neue 3D-Drucktechnologie eine gesellschaftliche Revolution auslöst.

Schönes Wochenende!

flattr this!

March 21 2013

Microsoft veröffentlicht Bericht über Anfragen von Strafverfolgungsbehörden

Heute veröffentlichte Microsoft erstmals einen Bericht über die Menge von Anfragen zu Nutzerdaten oder Gerichtsbeschlüssen, die von Strafverfolgungsbehörden eingehen. Der Bericht, der alle sechs Monate erscheinen soll, zeigt für das Jahr 2012, dass auf die Strafverfolgungsbehörden von fünf Ländern – Türkei, USA, Großbritannien, Frankreich und Deutschland – 69 Prozent aller Anfragen entfielen. Insgesamt gab es vergangenes Jahr 70.665 Datenanfragen. In 8 von 10 Anfragen gab Microsoft “non-content information” weiter, dazu gehören Name des Kontoinhabers, Geschlecht, E-Mail-Adresse, IP-Adresse, Land des Wohnsitzes sowie Datum und Uhrzeit des Datenverkehrs. In 2,1 Prozent der Anfragen lieferte Microsoft ‘wirkliche’ Inhalte, beispielsweise den Betreff von Mails, den Inhalt von Mails oder Bilder von SkyDrive, Microsofts Cloud-Computing-Dienst. Laut Microsoft wurden solche Inhalte in 1544 Fällen nach US-amerikanischem Recht weitergegeben und in insgesamt 14 Fällen in Brasilien, Irland, Kanada und Neuseeland.

Die Anfragen von Strafverfolgungsbehörden zielen auf Benutzerinnen und Benutzer von Microsoft-Diensten wie Hotmail, Outlook.com, SkyDrive, Skype und Xbox Live. Im Januar hatte ein breites Bündnis von Datenschützern, Internet-Aktivisten, Journalisten und anderen Organisationen Microsoft aufgefordert, dem Beispiel anderer Unternehmen wie Google und Twitter zu folgen und ebenfalls mehr Transparenz herzustellen.

Aus Deutschland gingen 8419 Anfragen zu 13.226 Nutzerinnen und Nutzern ein, 7088 davon wurden mit “non-content information” beatnwortet, keine mit “content information”.

Daten über Skype werden separat dargestellt, da hier EU-Recht gelte. 2012 wurden 4713 Anfragen zu Skype Daten beantwortet, hier wurden beispielsweise die SkypeID, Name, Mailadresse oder Zahlungsinformationen an Strafverfolgungsbehörden gegeben.

But Microsoft said it released no content from any Skype transmissions during 2012. Microsoft has said that the peer-to-peer nature of Skype’s Internet conversations mean the company does not store and has no historic access to Skype conversations.

Die meisten “non-content information” über Skype Nutzerinnen und Nutzer erhielten (in dieser Reihenfolge) Großbritannien, die USA, Deutschland, Frakreich und Taiwan. Die Gesamtmenge der Skype-Anfragen wurde nicht veröffentlicht, dies soll jedoch in den kommenden Transparenzberichten geschehen. Vize-Präsident Brad Smith schreibt, dass Daten von geschätzten 0.02 Prozent aller Nutzerinnen und Nutzer 2012 von Strafverfolgungsbehörden angefordert werden.

Weiter schreibt Smith:

In general, we believe that law enforcement requests for information from an enterprise customer are best directed to that customer rather than a tech company that happens to host that customer’s data. That way, the customer’s legal department can engage directly with law enforcement personnel to address the issue.

18 Prozent aller Anfragen wurden im letzten Jahr abgelehnt, meist weil Microsoft keine Informationen zu der gewünschten Person finden konnte oder aber aufgrund fehlender rechtlicher Begründung für die Anfragen.

Abschließend heißt es,

Like every company, we are obligated to comply with legally binding requests from law enforcement, and we respect and appreciate the role that law enforcement personnel play in so many countries to protect the public’s safety. [...] As we continue to move forward, Microsoft is committed to respecting human rights, free expression, and individual privacy. We seek to operate all of the services we own in a manner that’s consistent with our Global Human Rights Statement and responsibilities as a member of the Global Network Initiative.

Feedback und Vorschläge für Verbesserungen können per Mail gesendet werden, den Report als PDF gibt es hier und hier die FAQ.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl