Bericht über Kooperation mit Behörden: Vodafone gibt mehreren Staaten direkten Zugriff auf seine Netze

In mehreren Staaten haben Behörden direkten Zugriff auf die Kommunikationsnetze von Vodafone. Das bestätigte der britische Mobilfunkkonzern in seinem ersten Transparenzbericht. Damit will man zeigen, wie sehr man sich für seine Kunden einsetzt – auch wenn Beispiele das Gegenteil zeigen.

Seit einigen Jahren veröffentlichen Internet-Firmen Transparenzberichte, seit Snowden haben auch die Telekom und jetzt Vodafone endlich nachgezogen: Law Enforcement Disclosure Report. Darin beschreibt das britische Mobilfunkunternehmen Überwachungsanordnungen in allen 29 Staaten, in denen es tätig ist, im Zeitraum 1. April 2013 bis 30. März 2014.

Direkter Zugang für staatliche Stellen

Eine gern zitierte Kernaussage ist die Bestätigung, dass Vodafone einigen staatlichen Stellen direkten Zugang zu ihren Netzwerken gibt:

In most countries, Vodafone maintains full operational control over the technical infrastructure used to enable lawful interception upon receipt of an agency or authority demand. However, in a small number of countries the law dictates that specific agencies and authorities must have direct access to an operator’s network, bypassing any form of operational control over lawful interception on the part of the operator. In those countries, Vodafone will not receive any form of demand for lawful interception access as the relevant agencies and authorities already have permanent access to customer communications via their own direct link.

Schön, dass auch von den Unternehmen nochmal direkt bestätigt zu bekommen. Welche mit diesen „wenigen Ländern“ gemeint sind, steht aber leider nicht drin. Auch auch Nachfrage von netzpolitik.org will man uns das nicht sagen – nur, dass Deutschland demnach nicht dazu gehört.

Juliette Garside nennt Details im Guardian:

Industry sources say that in some cases, the direct-access wire, or pipe, is essentially equipment in a locked room in a network’s central data centre or in one of its local exchanges or „switches“.

Ein Beispiel dafür ist der Raum 641A von AT&T in San Francisco, an dem die NSA den kompletten Datenverkehr mitgeschnitten hat. Seit Snowden wissen wir, dass das kein Einzelfall, sondern Normalität ist.

Albtraum-Szenario

Wie alle Unternehmen sagt auch Vodafone, dass die Gesetze mancher Staaten das nunmal vorschreiben. Datenschützer kritisieren solche direkten Zugänge hingegen natürlich. Gus Hosein von Privacy International:

These are the nightmare scenarios that we were imagining. I never thought the telcos [telecommunications companies] would be so complicit. It’s a brave step by Vodafone and hopefully the other telcos will become more brave with disclosure, but what we need is for them to be braver about fighting back against the illegal requests and the laws themselves.

Und Christopher Soghoian von der ACLU:

https://twitter.com/csoghoian/status/474877828362960896

Anzahl der Anfragen

Doch es steckt noch viel mehr in dem Bericht. Der Guardian hat eine schöne Tabelle, wie viele Gerichtsanordnungen in den jeweiligen Staaten Zugriff auf Nutzer-Daten gestattet haben:

vodafone-bericht-2013

Leider haben wir die Quelle für diese Zahlen im Bericht noch nicht finden können. Unsere Nachfrage bei Vodafone bist bisher leider noch unbeantwortet.

Deutschland verbietet Statistiken?

Spannend finden wir aber auch ein paar Details zu Deutschland, die etwas versteckt im Länder-Bericht sind. So sagt Vodafone, dass sie laut Telekommunikationsgesetz (§ 113 Abs. 4) und Telekommunikations-Überwachungsverordnung (§ 15 Abs. 2) manche Statistiken in Deutschland nicht veröffentlichen darf. Auch auf Nachfrage haben Behörden das untersagt:

Given the lack of clarity in the law, we asked the authorities for guidance and were advised that we were not permitted to disclose any of the information we hold related to agency and authority demands for lawful interception and access to communications data.

Welche Informationen das konkret sind, die man in Deutschland nicht veröffentlichen darf, hat uns Vodafone auch auf Nachfrage nicht konkret genannt. Ende April antwortete die Bundesregierung dem Bundestagsabgeordneten Hans-Christian Ströbele, dass sie gegen die Veröffentlichung mancher Statistiken keine Einwände hat, was Posteo und Telekom auch gleich in ihren Berichten nutzten. Doch die Rechtslage ist nicht eindeutig und andere Behörden sehen das anders. Hier dürfte wohl die Bundesnetzagentur gemeint sein. Eine Anfrage von netzpolitik.org bei der BNetzA blieb bisher leider unbeantwortet.

Derzeit gibt es wohl Gespräche zwischen Telekommunikationsanbietern und Behörden, um hier eine Klärung herbeizuführen. Wir bleiben dran.

Bestandsdatenabfrage

Manche entdeckten noch diesen Passus im Deutschland-Kapitel des Berichts:

German agency and authority automated access systems which allow rapid and large-scale interrogation of a central database of customer records

Damit ist die automatisierte Bestandsdatenabfrage gemeint, die auch als „Behördentelefonbuch“ bekannt ist, und über die wir regelmäßig berichtet haben, zuletzt vor zwei Wochen: Deutsche Behörden haben auch im letzten Jahr fast sieben Millionen Inhaber von Festnetz-, Mobilfunk- oder E-Mail-Anschlüssen identifiziert.

Funkzellenabfrage

Schön ist auch nochmal diese Klarstellung zu Überwachungsmethoden wie der Funkzellenabfrage, die Behörden auch in Echtzeit nutzen können:

For example, police investigating a murder could require the disclosure of all subscriber details for mobile phone numbers logged as having connected to a particular mobile network cell site over a particular time period, or an intelligence agency could demand details of all users visiting a particular website. Similarly, police dealing with a life-at-risk scenario, such as rescue missions or attempts to prevent suicide, require the ability to demand access to this real-time location information.

In manchen Staaten wird Vodafone zur Herausgabe von Verschlüsselungs-Schlüsseln gezwungen:

Several countries empower agencies and authorities to require the disclosure of the encryption ‘keys’ needed to decrypt data. Non-compliance is a criminal offence.

Nutzerschutz oder Imagekampagne

Insgesamt ist der Bericht zu begrüßen. Schon lange fordern wir Transparenzberichte von allen großen Internet- und Kommunikations-Anbietern. Auch wenn es erst die Enthüllungen von Snowden und das Vorbild der Telekom brauchte: Immerhin liefert jetzt auch Vodafone mal etwas.

Etwas unangenehm ist jedoch die immer wieder wiederholte Aussage, dass man seine Nutzer umfassend schützen wolle. Und wenn man das nicht tut, dass dann immer die Gesetze Schuld sind. Einerseits kann man auch einfach entscheiden, im bestimmten Jurisdiktionen keine Geschäfte zu machen (wie Google in China) – aber das würde ja dem Grundinteresse einer Firma widersprechen, Geld zu verdienen.

Andererseits geht Vodafone auch über gesetzliche Anforderungen zur Kooperation hinaus. Ob man den Geheimdiensten beim Anzapfen von Glasfasern hilft, um dafür entschädigt zu werden, lassen wir mal offen. Aus Deutschland wissen wir aber, dass Vodafone im Vergleich zu anderen Providern Vorratsdaten freiwillig länger speichert als notwendig und vorgeschrieben. Auch nicht-benötigte Daten speichert Vodafone, weshalb der Anwalt der Verfassungsbeschwerde gegen die Vorratsdatenspeicherung Klage gegen Vodafone eingereicht hat.

Und auch bei der deutschen Debatte um Netz-Sperren spielte Vodafone eine unrühmliche Rolle: damals war der Konzern ein vehementer Befürworter der Netz-Zensur, auch komplett ohne jedes Gesetz. Was wir ihnen auch um die Ohren gehauen haben.

Daher dürfte der Bericht jetzt nicht aus reiner Überzeugung zustande gekommen sein, sondern als Reaktion auf einen Vertrauensverlust der Kunden durch die digitale Komplettüberwachung. Also vor der (berechtigen) Angst, weniger Geld zu verdienen.

14 Ergänzungen

  1. Kündigt sofort all eure Verträge mit Vodafone. Sagt euren Verwandten und Freunden, dass sie einen weiten Bogen um ihre Shops machen sollen. Den Kronzeugen Bonus, den sie durch diese Aussage erhoffen, gebe ich denen nicht! Schließlich hatten die nach all den Skandalen, sowohl den allgemein gesellschaftlichen, alsauch die von Vodafone aus selbst ausgingen, sowieso keine andere Wahl als ein Transparenzbericht abzugeben.

      1. Es gibt jede Menge Discount Anbieter. Zumindest einige von Ihnen sind bestimmt nicht so „gleich“ wie die 4 großen.

      2. Ja schon klar. Ist aber immernoch besser, als wenn man direkt bei den großen ist. Außerdem sind die viel billiger.
        Wenn man schon keinen anständigen Anbieter nehmen kann, dann nimmt man halt einfach den billigsten. Allein deshalb scheidet Vodafone schon aus.

      3. Du musst schon differenzieren können. Wenn der eine dir den Arm bricht, weil es so im Gesetz vorgeschrieben steht, der andere dich aber freiwillig auch noch umbringt, dann gehst du auch lieber zu dem, der dir „nur“ den Arm bricht.

    1. Ich verstehe deinen Kommentar überhaupt nicht. Dieser Transparenzbericht ist für mich ein klares Pro-Vodafone Argument beim nächsten Handy- & Festnetzvertrag. Wie kann mehr Transparenz dich dazu bringen dich von einem Anbieter abzuwenden (Mein Vertrauen ggüber Telekommunikationsunternehmen ist auch allgemein eher gering. Aber dieser Bericht macht es doch nun wirklich nicht schlimmer.)?

      Ein Vorschlag für Netzpolitik.org:
      Könntet ihr nicht mal so eine Art „Who has your back“-Tabelle für deutsche Internetanbieter erstellen? Das wäre wirklich klasse.
      (Speicherzeit der IPs, Transparenzberichte, rechtliche Mittel, etc.)
      Ich biete auch gerne meine Hilfe an. :)

      1. Sag mal, bist du Vodafone für diesen Kommentar bezahlt geworden oder was ist mit dir los? Dann geh halt zu Vodafone, lass dir einen Vertrag von denen aufschwatzen, aber heule hinterher nicht damit herum, dass dich niemand gewarnt hätte. Wirst schon selber sehen, was für fiese Tricks die auf Lager haben.

      2. Du meckerst hier über Vodafone rum, bessere Alternativen kannst du aber auch nicht aufzeigen. Glaubst du Telefonica oder die Telekom sind in irgendeier Art und Weise besser oder schlechter? Immerhin legt Vodafone jetzt, wenn auch nicht ganz aus Eigennutz, die Fakten offen. Ich sehe nicht, was daran schlimm sein soll.

        Und die oben erwähnten Discountanbieter unterliegen exakt den gleichen Regeln wie die Großen und benutzen auch die gleichen Netze.

        Aber ich bin ja für alles offen und im Moment auf Mobilfunktarifsuche. Also wenn du einen besseren Vorschlag Vodafone hast, bin ich sehr dankbar!

  2. Was mich jedes mal stört und was ich schon zig mal angeprangert habe: Wenn über sowas berichtet wird – sei es ne Behörde, Firma oder Privatperson etc. WARUM wird dann NIE ne E-Mail Adresse oder Link zum Kontaktformular oder sowas gepostet. Ich hätte z.B. erwartet dass man in dem Fall gesagt hätte – wer Fragen dazu an Vodafone hat oder die anmaulen möchte HIER ist deren Addy / Tel. Nr. usw.

    Und das aber JEDES mal. Direkt die E-Mail Adresse mitteilen oder den Link zum Kontaktformular (sicherheitshalber den Referrer verstecken etwa mit dem Dienst http://www.anonym.to oder wenn der Link zu Geheimdiensten oder Bullen geht ruhig nen Proxy vorschalten z.B. über http://www.cyberghostvpn.com oder http://www.hide.me/proxy)

    Hier jedenfalls die Daten von Vodafone
    http://www.vodafone.de/impressum.html

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.