Neue Dokumente beweisen: Auslandsgeheimdienste wie die NSA können nicht demokratisch kontrolliert werden

Die NSA überwacht und speichert die weltweite Kommunikation ganz ohne echte richterliche oder gar öffentliche Kontrolle. Das wird jetzt durch zwei neue Dokumente von Justizministerium und geheimen Gerichten belegt, die der Guardian veröffentlicht hat. Besonders pikant: Verschlüsselte Kommunikation steht unter Generalverdacht – und wird gespeichert, bis der NSA sie entschlüsseln kann.

Der Sitz des FISA Courts in Washington DC. Bild: AgnosticPreachersKid. Lizenz: Creative Commons BY-SA 3.0.

Glenn Greenwald hat wieder zugeschlagen. Zusammen mit James Ball hat er im Guardian zwei streng geheime Dokumente des FISA Courts veröffentlicht, die wir hier mal gespiegelt haben:

Die Dokumente widerlegen gleich zwei offizielle Rechtfertigungen der umfassenden NSA-Überwachung: dass das alles nur auf richterliche Anordnung erfolge und dass keine US-Bürger betroffen seien.

Alibigericht FISA Court

Die Papiere wurden von Generalbundesanwalt Eric Holder im Juli 2009 unterschrieben und beim geheimen „Gericht betreffend die Überwachung der Auslandsgeheimdienste“ (FISA Court) eingereicht. Marc Pitzke beschreibt auf Spiegel Online, dass dieses Gericht nur ein ultrageheimes, alibihaftes „Schattengericht“ ist und die meisten Anträge der Regierung kommentarlos durchwinkt.

Die amerikanische Regierung und die bei PRISM teilnehmenden Internet-Konzerne haben immer wieder betont, dass sie Daten nur auf richterliche Anweisung herausgeben. Dafür veröffentlichen sie auch Zahlen, dass es „nur“ zehntausende Gerichtsanweisungen pro Firma und Jahr gibt. Das Problem dabei ist, dass schon ein einziger Beschluss das komplette Absaugen aller Daten eines Anbieters erlaubt. Der PATRIOT Act (Absatz 215) und der FISA Amendments Act (§ 702) machen’s möglich.

Wenn die Daten einmal bei der NSA sind, werden sie von den Analysten auch verwendet, also E-Mails gelesen, Skype-Gespräche gehört, Fotos angeguckt und so weiter. Ob sie das im einzelnen dürfen, unterliegt demnach fast ausschließlich im Ermessen des einzelnen Analysten, er ist weder seinem Vorgesetzten, noch Gerichten oder anderer demokratischer Kontrolle Rechenschaft schuldig. Kein Wunder, dass der Whistleblower Edward Snowden sagt:

Ich, an meinem Schreibtisch, hatte die Möglichkeit, jeden abzuhören: dich, deinen Steuerberater, einen Bundesrichter oder sogar den Präsidenten, wenn ich seine E-Mail Adresse habe.

Auch US-Bürger betroffen

Das nur für die amerikanische Öffentlichkeit relevante Argument, dass die NSA ja keine US-Bürger abhören darf, wird auch widerlegt. Wie gesagt: Die NSA sammelt erst einmal alles von allen, wie auch das Abschnorcheln aller Verbindungsdaten von Mobilfunkanbietern wie Verizon zeigt. Theoretisch müssen Kommunikationsverkehre, bei denen bestätigt ist, dass einer der Beteiligten ein US-Bürger ist, gelöscht werden. Das gilt aber nicht, wenn die NSA behaupten kann, dass sie aus großen Datensätzen die Kommunikation von Amerikanern nicht aus den anderen herausfiltern kann. Also eine Generalvollmacht.

Ob US-Bürger betroffen sind, kann an dem Ort der Kommunikation (IP-Adresse, Funkzelle, …) festgemacht werden. Wenn es keine Hinweise auf einen Ort gibt, nimmt man einfach an, dass es nicht in den USA ist. Falls es doch einen Hinweis gibt, können die Kommunikations-Inhalte trotzdem eingesehen werden, um die These auch zu überprüfen.

Und falls dann in den Inhalten verwertbare Geheimdienstinformationen, Informationen über kriminelle Aktivitäten oder Gefahren für Personen oder Eigentum, oder auch irgendwelche Informationen über Cybersicherheit sind, kann man sie wieder legal speichern. Sogar, wenn besonders geschützte Kommunikation betroffen ist, wie etwa mit Anwälten.

Verschlüsselung ist verdächtig

Eine weitere Ausnahme gilt, wenn die Kommunikation verschlüsselt ist. Dann darf diese so lange gespeichert werden, bis die NSA sie in einer Kryptoanalyse verwenden kann.

Dan Goodin betont diesen Punkt auf Ars Technica nochmal: Wer Anonymisierung wie Tor verwendet, wird gespeichert, egal ob US-Bürger oder nicht, weil man damit nicht nachweist, wo man ist. Und wer seine Kommunikation verschlüsselt wie mit OTR oder OpenPGP, dessen Kommunikation ist verdächtig und wird so lange gespeichert, bis die NSA sie entschlüsseln kann.

Ich muss nochmal auf meinen ersten Kommentar zu PRISM verweisen: America, fuck yeah!

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

10 Ergänzungen

  1. Würdet Ihr bitte diese Mischung aus Antiamerikanismus (besonders dieses unsägliche Video am Ende) und Naivität (Alles! der ganze Text! (Was macht Ihr da genau?)) bleiben lassen. Mein Senkel ! (Sonst gibts gewaltig ’ne Abmahnung (und Schimpfe))

    *aufreg*

    Mit verhaltenem Gruß
    BundesInnenFaschist
    #HansWurstFriedrich

    „…noch bevor man überhaupt genau weiß was die Amerikaner da genau machen, regen sich alle auf. Beschimpfen die Amerikaner. Und diese Mischung aus Antiamerikanismus und Naivität geht mir gewaltig auf den Senkel.“

    http://spon.de/vfwKR

  2. Ach ja? Die NSA kann OpenPGP entschlüsseln? Und wie will man herausfinden, wer Tor benutzt? Das ist einfach Quatsch.

    1. Lieber Spezialexperte burks: Niemand hat so viel Ahnung wie du, aber im Dokument 2 von Justizminister Holder steht:

      In the context of a cryptoanalytic effort, maintainance of technical data bases requires retention of all communications that are enciphered or reasonably believed to contain secret meaning, and sufficient duration may consist of any period of time during which encrypted material is subject to, or of use in, cryptanalysis.

      Heisst: Wir speichern es (mindestens) so lange, bis wir es entschlüsseln können.

      Und rausfinden, wer Tor nutzt, kann man daran, ob eine IP von einem der öffentlich bekannten Nodes kommt, wofür es auch eine API gibt.

      Aber da du ja Tor-Server betreibst, weisst du das ja. Genau wie, dass es gar keinen Staatstrojaner gibt.

    2. Es gibt sie noch immer, diese Journalisten mit IT-Pseudowissen, die meinen, wenn Sie eine E-Mail mit OpenPGP verschlüsseln, dann ist alles ganz geheim. Gleichzeitig schrieb dieser Journalist ganz doll verschlüsselte E-Mails mit dem Betreff „Vorstandssitzung der … am xx.xx“ (Der Betreff wird nicht mit verschlüsselt, ist bekannt, die Liste der Empfänger dazu und 60% des Inhalts der verschlüsselten Mail sind bekannt.) Jeder macht mal Fehler.

      Auch Tor ist nicht allmächtig. Tor ist für einen globalen Angreifer wie die NSA angreifbar, die IP eines Nutzers kann unter Umständen ermittlet werden. Vielleicht nicht für jedes Datenpaket, aber für eine ganze Menge Pakete. Das ist kein Geheimnis. Informiert euch mal über „Traffic Confirmation Attacks“. Dagegen schützt ein Low-Latency-Network wie Tor nicht.

      Im Tor-Blog: „One cell is enough to break Tor’s anonymity“ https://blog.torproject.org/blog/one-cell-enough

      1. Es gibt sie noch immer, diese Journalisten mit IT-Pseudowissen, die meinen, wenn Sie eine E-Mail mit OpenPGP verschlüsseln, dann ist alles ganz geheim.

        Und Sie wissen das dem nicht so ist? Laut Snowden soll die Verschlüsselung sehr wohl noch Sicherheit bieten, auch gegen die NSA.

      2. @roidal: Sie haben meine Beitrag gründlich gelesen und verstanden?

        Der „Betreff“ (auf Englisch: „subject“) wird bei OpenPGP NICHT verschlüsselt.

        Wenn man als Betreff den Inhalt der E-Mail klar benennt (z.B. indem man schreibt: “Vorstandssitzung der … am xx.xx”) und zusätzlich die Empfänger der E-Mail bekannt sind (kann man auch nicht verschlüsseln), dann muss OpenPGP nicht mehr knacken. Dann hat man 60% der Informationen unverschlüsselt geliefert bekommen.

        Ich habe von BurkS mehrere E-Mails mit ganz klar formulierten „Betreff“ bekommen, er ist diesbezüglich wohl beratungs-resistent?. Der OpenPGP verschlüsselt Inhalt der E-Mails enthielt manchmal nicht viel mehr, als unverschlüsselt im „Betreff“ stand. Das meine ich mit Fehlern, die jeder mal macht, egal wie sicher die OpenPGP-Verschlüsselung ist.

  3. Ein weiterer Angriff auf Tor nennt sich „Websitefingerprinting“. Ein Paper von 2011: http://lorre.uni.lu/~andriy/papers/acmccs-wpes11-fingerprinting.pdf

    Man konnte die Besucher von einigen Webseite mit mehr als 50% Erkennungquote ermitteln. Bessere Ergebnisse mit verbesserten Filtern sind möglich.

    Wenn man die Entry-Guards des TorNetworks (30% der Nodes) und die leistungsfähigsten Exit-Nodes überwachen kann, dann kann man also sehr wohl Tor-Nutzer deanonymisieren. Die Frage ist nicht, ob die NSA das könnte sondern nur, ob die NSA daran interessiert ist.

  4. Wenn man jemanden nicht leiden kann braucht man noch lange kein Unsinn zu schreiben. Im TOR Netzwerk werden in der Regel alle 10 Minuten die Routen gewechselt. Der Fingerprint von 50 % reicht nicht außer dem kann ein anderer Browser benutzt werden. Warum werden verschlüsselte Mails aufgehoben? Könnten sie den nicht gleich entschlüsselt werden wen es geht?
    Wenn die verschlüsselten Funksprüche aus dem zweiten Weltkrieg jetzt entschlüsselt werden können was sind sie wert?
    PGP ist sicher egal was für ein Betreff und die Rückschlüssel daraus auf dem Inhalt. Ein VPN Netzwerk kann nicht entschlüsselt werden das ist so als wenn eine Straße verfolgt werden soll und nicht die Autos. Der Inhalt einer VPN Verbindung kann wiederum verschlüsselt sein. Ein Angriff auf ein VPN erfolgt mit unter geschobene Zertifikate. In ein VPN kann wiederum ein VPN aufgebaut werden und dann ist mit schnorcheln endgültig Schluss.

    Nur in Deutschland (BRD) gibt es über 600 TOR Server. Bitte heute Abend beobachten. Zum verfolgen muss an jedem TOR Server jemand sitzen um zu verfolgen. Die TOR Server kommen und gehen wer soll das organisieren?

  5. Wenn Snowden selbst PGP nutzt und sagt es ist sicher und das als NSA Admin – wenn einer es weiß dann er – erstens. Und zweitens – Verschlüsselung zu nutzen ist immer noch besser als gar keine zu nutzen. Anbei empfehle ich die 2. Dienste

    https://privnote.com
    https://encipher.it

    Außerdem sollten alle Admins gefälligst das Perfect Forward Secrecy bei sich implementieren

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.