Datenschutz

BKA fahndet mit Honeypots? (Update)

Das BKA betreibt eine Unterseite zur „Militanten Gruppe“ auf der eigenen Webseite. Laut einem Bericht des Tagesspiegel nutzen sie die gesammelten IP-Adressen, um über die Provider Auskunft zu bekommen, wer sich die Seiten anschaut. In der IT-Technik nennt man dies „Honeypot“. Und an dem Beispiel kann man sehen, wozu das BKA auch die Online-Durchsuchung und die Vorratsdatenspeicherung gebrauchen könnte: Erstmal schaut man sich an, wer auf die Seite kommt. Das können auch Wissenschaftler und Journalisten, bzw. auch nur interessierte Bürger sein. Mit dem Instrument der Vorratsdatenspeicherung wäre es einfacher, die IP-Adressen auszuwerten. Und mit der Online-Durchsuchung könnte man dann mal mit dem Bundestrojaner vorbeischauen, was sich hinter den IP-Adressen befindet.

Wir finanzieren uns fast vollständig aus Spenden von Leserinnen und Lesern. Unterstütze unsere Arbeit mit einer Spende oder einem Dauerauftrag.

Das skizzierte Szenario kann natürlich auch nur ein unrealistisches Horrorszenario sein. Bis eben wusste ich allerdings nicht, dass das BKA IP-Adressen von eigenen Angeboten auswertet: BKA registriert Besucher seiner eigenen Website.

Dem Tagesspiegel liegt ein Vermerk der Behörde vor, aus dem die Speicherung der Adressen hervorgeht. Auf diese Weise wollten die Beamten, „möglicherweise relevante IP-Adressen“ – es geht um Zahlenkolonnen, die der eindeutigen Identifizierung von Rechnern dienen – sammeln, um ihre bislang erfolglosen Ermittlungen gegen mutmaßlich terroristische Gruppe voranzubringen. Das BKA versuchte auch, einen Teil aller Computerbesitzer zu identifizieren, die im Frühjahr die betreffende BKA-Website besucht hatten. Die Behörde beantragte dazu Auskünfte bei der Telekom und der spanischen „Telefonica“.

Ist das eigentlich Datenschutz-konform? Das hier scheint die Webseite zu sein. (Draufklicken auf eigene Gefahr)

Update:

Der Tagesspiegel hat jetzt einen längeren Artikel dazu online gestellt: Der falsche Klick.

Ursprünglich hatte das BKA die Identität von 417 Personen feststellen wollen. Dabei handelte es sich nicht um Tatverdächtigte, sondern offenbar um alle Personen, die sich zwischen dem 28. März und dem 18. April diesen Jahres auf den Internetseiten des Bundeskriminalamtes über die „Militante Gruppe“ informieren wollten. Weil aber ein großer Teil der IP-Adressen von Providern stammte, die diese nur kurze Zeit speichern, wurde die Identifizierung von „nur“ rund 120 Telekom-Kunden beantragt. Das BKA habe „einen weiteren Teil“ der IP-Adressen „resseorganen bzw. einzelnen Firmen oder Universitäten“ zugeordnet, heißt es. „Anhand dieser Daten werden weiterführende polizeiliche Ermittlungen wie unter anderem die Identifizierung weiterer Mitglieder der „militanten gruppe“ (mg) ermöglicht“, begründen die Beamten ihren Antrag . Sie verweisen zudem auf die „zeitliche Dringlichkeit der Bearbeitung“, da die Speicherfrist für die IP-Adressen und deren Zuordnung zu bestimmten Kunden begrenzt sei. Die Bundesregierung arbeitet gegenwärtig an einem neuen Gesetz, das Internetprovidern eine längere Datenspeicherung vorschreibt.

Ausserdem hat sich die Frage geklärt, ob die BKA-Praxis Datenschutz-konform ist. Anscheinend nicht, wie ein aktuelles Urteil zeigt: Vorratsspeicherung von Kommunikationsspuren verboten.

Weitersagen und Unterstützen. Danke!
40 Kommentare
  1. Irgendwann 2005 versehentlich auf der BKA-Seite zur Militanten Gruppe gelandet. Damals Telekom-Kunde. BKA erlangt im Zuge eines Auskunftsverlangens meinen Namen und meine Adresse. Nix geschieht, was auch? Trotzdem werden meine Daten natürlich irgendwo bei den Behörden zentral gespeichert.

    Irgendwann 2007, eine öffentliche Anhörung im Bundestag zur Terrorbekämpfung, namentliche Anmeldung erforderlich. Meine Anmeldung wird geprüft, mein Name taucht in der Datenbank auf, meine Anmeldung wird abgelehnt. Ermittlungen werden eingeleitet. Ich bin eine bereits mehrfach auffällig gewordene Person.

    Irgendwann in Deutschland.

  2. Das BKA hat nicht mal eine Datenschutzerklärung auf der Website, die der § 4, Abs. I TDDSG vorschreibt. Ich habe zumindest keine gefunden. Auch frage ich mich, ob die Telekom Daten rausgerückt hat, was auch nicht sein dürfte. Mal sehen, was die Pressestelle sagt. ;-)

  3. ist die „mg“ der einzige eingestandene honigtopf?

    ich klicke schon ganz gerne mal auf den polizeiticker, um die offiziösen darstellungen zu überfliegen… (was war das für ein geknalle heute nacht, warum liefert mein dealer nicht mehr, woher kommt der blutfleck vor dem edeka… und was wollten die ca 5000 vermummten neulich in meiner straße?)

    naja… ich hab‘ ja nichts zu verbergen!

    „entschuldigung, herr wachtmeister. was war denn hier gerade los?“
    „warum wolln se das denn wissen? zeigen se mal ihren ausweis!“

    klebrige angelegenheit, das.

  4. hab mir die Seite damals angeschaut und nichts dabei gedacht. und neulich hatte meine t-online rechnung einen Monat Verspätung. Dann weiss ich ja jetzt wenigstens warum. Die spinnen, die Römer.

  5. @2 (derhans):
    Ooops, das habe ich fast befürchtet. Das ist mir nicht wirklich passiert, sondern das war reine Fiktion.

    Da sieht man mal, für wie sehr wahrscheinlich man solche Szenarien hält. Und mit der Vorratsdatenspeicherung, wenn sie denn durchkommt, könnten unzählige solcher Abläufe Wirklichkeit werden.

  6. Also ich finde man sollte die Seite jetzt mit Anfragen von hunderten Proxies fluten. Daten sammeln! Daten sammeln! Daten sammeln! Soll’n se doch ersticken in ihren Daten.

  7. Ich sehe gerade nicht die rechtliche Grundlage, auf Basis derer jemand — z.B., aber nicht nur, das BKA — aus eigenen Logs geholte IP-Adressen rückverfolgt//nach Hausanschrift aufgelöst werden.

    Um Raubkopien kann es da wohl nicht gehen; oder ist das schon der Präventionsstaat? Oder einfach nur eine Behörde, die sich über geltendes Recht hinwegsetzt (und ein Filz (Staatsanwaltschaft? Richter? ISPs?), der dabei hilft)?

    Oder schlicht & ergreifend rechtsfreier Raum?

    Wer weiß da mehr?

  8. @Colonel Poodle: Auf den ersten Blick mag es sicherlich eine Möglichkeit sein, die Arbeit durch eine zusätzliche Datenflut zu erschweren. Nur wird das leider keinem helfen, da die Behörden daraufhin mehr Gelder wegen des „gestiegenen Überwachungsbedarfs“ benötigen und anfordern. Wer das dann zahlt dürfte klar sein – der Steuerzahler.

  9. Nur mal angenommen: ich besuche die mg-bka-Seite; ich schicke sowohl BKA als auch ISP eine Postkarte (o.ä.); ich informiere den Landes- bzw. Bundesdatenschutzbeauftragten. Was passiert (wenn überhaupt noch was passiert)? Das BKA weist das Schreiben mit Hinweis auf die Staatssicherheit zurück? Der ISP weist das Schreiben mit Hinweis auf ein Betriebsgeheimnis zurück? Die Rechtsschutzversicherung, sofern man die noch hat, war schon für existenziellere Probleme nicht zuständig? Der Datenschutzbeauftragte ist weit weg und möchte hauptsächlich seinen Posten behalten? Meine Mutter macht sich Sorgen um meine Zukunft, weil die Polizei mich vielleicht zu Recht im Visier hat? Ich kann zumindest ein geregelteres Leben führen, wenn ich in der Kleinstadt ab 10.30 Uhr mit Jogginghose und Bierbüchse vorm Supermarkt mein Konsumverhalten demonstriere? Helft mir doch, bitte!

  10. @kobalt: Meiden von Behördenseiten ist eine Konsequenz. Sinnvoller ist es m.E. sich beim Surfen auf brisanten Seiten (zu denen – wer hätte das gedacht – in Zukunft wohl auch Seiten von Ministerien und Behörden gezählt werden müssen zu schützen – z.B. durch Anonymisierung mit Tor (http://tor.eff.org/). Am besten gleich immer anonymisiert surfen (leider werden viele Torserver offenbar fürs Filesharing missbraucht, so dass die Übertragungsgeschwindigkeit bei Nutzung von Tor deutlich sinkt).

  11. 23/Anarres:

    Ja, da hast Du Recht. TOR verwenden, über Live-CDs surfen, das alternative Betriebssystem virtualisieren etc.

    Die Sauerei ist, daß ich zu solchen Maßnahmen *gezwungen* werde, obwohl ich nichts illegales mache. Eigentlich will ich doch nur im I-Net surfen, E-Mails schreiben und in Ruhe gelassen werden. So aber fühle ich mich einem Druck ausgesetzt beweisen zu müssen, daß ich nichts Unrechtes tue. Das fühlt sich an wie in der DDR. Wir sind doch damals nicht auf die Straße gegangen, um uns heute von anderen Institutionen bespitzeln zu lassen.

  12. Deswegen: Mach mit bei der kleinen “Ich will es wissen”-Kampagne! Bevor alles zu spät ist:

    1. Lass auch dir den Auskunftsgenerator dein Schreiben des kleinen zivilen Ungehorsams erzeugen und erfahre (vielleicht), was man über dich schon so alles weiß.

    2. Überzeuge Freunde und Bekannte, bei der Aktion mitzumachen – je mehr teilnehmen, desto besser.

    3. Schalte einen Banner in deinem Blog oder deiner Hompage auf diesen Beitrag oder direkt auf den Auskunftsgenerator.

    http://bitgewitter.blogger.de/stories/926091/

  13. Ich stelle mir gerade vor, wie die Leutchens beim BKA nun alle Blogs, die darüber berichten, absuchen, bzw. die ursprüngliche Quelle suchen – denn hinter all dem könnte ja eine geschickte Verschwörung der MG stecken, damit diese im Wust der ganzen rechtstreuen Bürger, die nun aus Spaß diese Seite ansrufen, untertauchen können und ohne große Chance auf Entdeckung lesen können, was das BKA über sie weiß… *rolleyes*

  14. Agent provocateur Taktiken sind seit Jahrhunderten beliebt, würde mal tippen die Majorität radikaler Gruppen wurde von
    Beamten gegründet oder infiltriert ;)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.