FISC und XKeyscore : Die Unterschiede zwischen Gesetz und Wirklichkeit

Quelle: Wikipedia
Quelle: Wikipedia
Quelle: Wikipedia

Der United States Foreign Intelligence Surveillance Court (FISC oder FISA Court) hat ja so einige Probleme. Alle Richter werden vom vorsitzenden Richter (Chief Justice John Roberts) ausgewählt. Von den 11 Richtern sind zur Zeit 10 Republikaner. Es gibt keine Verteidigung, keine Anhörung der Gegenseite. Und sie müssen der Öffentlichkeit keine Rechenschaft ablegen. Dies führt unweigerlich zur Polarisierung der Gruppe – man nähert sich immer stärker einer gemeinsamen gedanklichen Haltung. So obliegt die Auslegung der Geheimdienstgesetze und somit die Überwachungsaktivität der NSA und des FBI allein dem FISC. Steve Cohen hatte Anfang des Monats versucht die einseitige Zusammensetzung des FISC zu ändern, sodass verschiedene Instanzen Richter berufen können und es zu mehr Transparenz und ideologischer Vielfalt kommt.

“It really is up to these FISA judges to decide what the law means and what the NSA and FBI gets to do. So Roberts is single handedly choosing the people who get to decide how much surveillance we’re subject to.” (Julian Sanchez, Cato Institute)

Wenig verwunderlich ist daher, dass der FISC von 2002 bis 2012 fast 21.000 Überwachungen zugelassen hat und lediglich 10 abgelehnt wurden. Nun wurden drei Dokumente des FISC veröffentlicht, in denen der FISC die massenhafte, verdachtsunabhängige Überwachung rechtfertigt und versucht zu relativieren. [PDFs: 1, 2, 3]

So wird mehrmals betont, dass keine Inhalte sondern nur Meta-Daten analysiert werden.

These programs are authorized to collect in bulk certain dialing, routing, addressing and signaling information… but not the content of the calls or e-mail messages themselves.

Allerdings passt das in keinster Weise zu den heutigen Veröffentlichungen über XKeyscore. In den Präsentationsunterlagen wird gerade damit geworben, dass z.B. Facebook-Nachrichten, Mails und Chat-Logs ausgewertet werden können. Dank SSL-Keys, die die Provider zur Verfügung stellen müssen, kann man auch auf verschlüsselte Verbindungen zugreifen. Außerdem wird in den Dokumenten argumentiert, dass NSA Analysten nur Zugriff auf die Daten erhalten, wenn ein „deutlich begründbarer Verdacht“ besteht.

Before an NSA analyst may query bulk records, the must have reasonable articulable suspicion – referred to as „RAS“ that the number or e-mail address they submit is associated with [geschwärzt]… The RAS requirement is designed to protect against the indiscriminate querying of the collected data so that only information pertaining to one of the foreign powers listed in the relevant Court order… is provided to NSA personnel.

Die XKeyscore Folien zeigen hier eindeutig, dass das „RAS requirement“ durch eine simple Drop-Down Liste in XKeyscore realisiert wurde. Außerdem wird in den Folien erläutert, wie man nach Informationen suchen kann, wenn man keine Mail-Adresse (strong identifier) hat. Die Folien schlagen hier vor nach ‚Anomalien‘ zu suchen.

Diese Beispiele geben einen Eindruck, dass es anscheinend eine deutliche Lücke gibt zwischen dem, was der FISC sagt und dem was wirklich gemacht wird und was das System leisten kann. Es geht nicht um Meta-Daten, sondern um Inhalte. Es geht nicht um begründbaren Verdacht, sondern um verdachtsunabhängige Analyse und Überwachung.

Am Ende wird lediglich eingeräumt, dass  es zu „compliance issues“ (Problemen bei der Einhaltung) kam, die allerdings durch menschliches Versagen und die komplexen Systeme begründbar sind.

In 2009, a number of technical compliance problems hand human implementation errors in these two bulk collection programs were discovered as a result of Department of Justice (DOJ) reviews and internal NSA oversight. However, neither DOJ, NSA, nor the FISA Court has found any intentional or bad-faith violations.

Na, dann ist ja alles gut. Denn…

Importantly, there are no intelligence collection tools that, independently or in combination, provide an euqivalent capability.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

7 Ergänzungen

  1. Sehr guter Artikel. Wie immer :) Vielen Dank!

    Vielleicht habe ich etwas übersehen, aber das Drop-Down in den Screenshots sieht eher aus wie die (wahrscheinlich) benötigte Erklärung, dass die zu überwachende Person kein U.S. Bürger ist.

    Die „Justification“ ist ein einfaches Textfeld. Den Text kann ich leider nicht entziffern, aber ausführlich ist anders.

  2. danke für den beitrag.

    aus meiner sicht sollten „wir“ uns aber nicht (nur) auf die kritik an speicherung und verarbeitung von tk-inhalten konzentrieren.

    verbindungsdaten (metadaten, verkehrsdaten) sind nicht nur sehr viel umfänglicher speichern, sie lassen sich auch sehr viel einfacher automatisiert auswerten und geben sehr viel mehr preis, als viele vermuten würden.

    deswegen ist der beitrag und alle infos darin trotzdem sehr wichtig und richtig – ich fürchte nur, dass es (falls es mal so weit kommt) „uns“ auf die füße fällt, wenn es irgendwann oder in irgendeinen zusammenhang heißen wird: „ist doch nicht so schlimm, sind nur metadaten.“

  3. War das denn nicht schon immer so? Gibt es nicht eine zentrale elektronische Überwachung der Telefonate, seit vielen Jahren schon, die bei bestimmten Schlüsselwörtern das Gespräch mitschneidet? Mich wundert nicht, dass KEyscore so umfangreich saugen kann, denn die technischen Mittel sind allemal gegegeben.

  4. Hat sich schon mal jemand des TAO-Teils („exploitable maschines“) von den XKeyScore-Folien angenommen? Zählt XKeyScore damit als sog. „Hacker-Tool“, dessen Einsatz auch für BND und VS strafbar nach § 202c StGB wäre?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.