In mehreren Staaten haben Behörden direkten Zugriff auf die Kommunikationsnetze von Vodafone. Das bestätigte der britische Mobilfunkkonzern in seinem ersten Transparenzbericht. Damit will man zeigen, wie sehr man sich für seine Kunden einsetzt – auch wenn Beispiele das Gegenteil zeigen.
Seit einigen Jahren veröffentlichen Internet-Firmen Transparenzberichte, seit Snowden haben auch die Telekom und jetzt Vodafone endlich nachgezogen: Law Enforcement Disclosure Report. Darin beschreibt das britische Mobilfunkunternehmen Überwachungsanordnungen in allen 29 Staaten, in denen es tätig ist, im Zeitraum 1. April 2013 bis 30. März 2014.
Direkter Zugang für staatliche Stellen
Eine gern zitierte Kernaussage ist die Bestätigung, dass Vodafone einigen staatlichen Stellen direkten Zugang zu ihren Netzwerken gibt:
In most countries, Vodafone maintains full operational control over the technical infrastructure used to enable lawful interception upon receipt of an agency or authority demand. However, in a small number of countries the law dictates that specific agencies and authorities must have direct access to an operator’s network, bypassing any form of operational control over lawful interception on the part of the operator. In those countries, Vodafone will not receive any form of demand for lawful interception access as the relevant agencies and authorities already have permanent access to customer communications via their own direct link.
Schön, dass auch von den Unternehmen nochmal direkt bestätigt zu bekommen. Welche mit diesen „wenigen Ländern“ gemeint sind, steht aber leider nicht drin. Auch auch Nachfrage von netzpolitik.org will man uns das nicht sagen – nur, dass Deutschland demnach nicht dazu gehört.
Juliette Garside nennt Details im Guardian:
Industry sources say that in some cases, the direct-access wire, or pipe, is essentially equipment in a locked room in a network’s central data centre or in one of its local exchanges or „switches“.
Ein Beispiel dafür ist der Raum 641A von AT&T in San Francisco, an dem die NSA den kompletten Datenverkehr mitgeschnitten hat. Seit Snowden wissen wir, dass das kein Einzelfall, sondern Normalität ist.
Albtraum-Szenario
Wie alle Unternehmen sagt auch Vodafone, dass die Gesetze mancher Staaten das nunmal vorschreiben. Datenschützer kritisieren solche direkten Zugänge hingegen natürlich. Gus Hosein von Privacy International:
These are the nightmare scenarios that we were imagining. I never thought the telcos [telecommunications companies] would be so complicit. It’s a brave step by Vodafone and hopefully the other telcos will become more brave with disclosure, but what we need is for them to be braver about fighting back against the illegal requests and the laws themselves.
Und Christopher Soghoian von der ACLU:
https://twitter.com/csoghoian/status/474877828362960896
Anzahl der Anfragen
Doch es steckt noch viel mehr in dem Bericht. Der Guardian hat eine schöne Tabelle, wie viele Gerichtsanordnungen in den jeweiligen Staaten Zugriff auf Nutzer-Daten gestattet haben:
Leider haben wir die Quelle für diese Zahlen im Bericht noch nicht finden können. Unsere Nachfrage bei Vodafone bist bisher leider noch unbeantwortet.
Deutschland verbietet Statistiken?
Spannend finden wir aber auch ein paar Details zu Deutschland, die etwas versteckt im Länder-Bericht sind. So sagt Vodafone, dass sie laut Telekommunikationsgesetz (§ 113 Abs. 4) und Telekommunikations-Überwachungsverordnung (§ 15 Abs. 2) manche Statistiken in Deutschland nicht veröffentlichen darf. Auch auf Nachfrage haben Behörden das untersagt:
Given the lack of clarity in the law, we asked the authorities for guidance and were advised that we were not permitted to disclose any of the information we hold related to agency and authority demands for lawful interception and access to communications data.
Welche Informationen das konkret sind, die man in Deutschland nicht veröffentlichen darf, hat uns Vodafone auch auf Nachfrage nicht konkret genannt. Ende April antwortete die Bundesregierung dem Bundestagsabgeordneten Hans-Christian Ströbele, dass sie gegen die Veröffentlichung mancher Statistiken keine Einwände hat, was Posteo und Telekom auch gleich in ihren Berichten nutzten. Doch die Rechtslage ist nicht eindeutig und andere Behörden sehen das anders. Hier dürfte wohl die Bundesnetzagentur gemeint sein. Eine Anfrage von netzpolitik.org bei der BNetzA blieb bisher leider unbeantwortet.
Derzeit gibt es wohl Gespräche zwischen Telekommunikationsanbietern und Behörden, um hier eine Klärung herbeizuführen. Wir bleiben dran.
Bestandsdatenabfrage
Manche entdeckten noch diesen Passus im Deutschland-Kapitel des Berichts:
German agency and authority automated access systems which allow rapid and large-scale interrogation of a central database of customer records
Damit ist die automatisierte Bestandsdatenabfrage gemeint, die auch als „Behördentelefonbuch“ bekannt ist, und über die wir regelmäßig berichtet haben, zuletzt vor zwei Wochen: Deutsche Behörden haben auch im letzten Jahr fast sieben Millionen Inhaber von Festnetz‑, Mobilfunk- oder E‑Mail-Anschlüssen identifiziert.
Funkzellenabfrage
Schön ist auch nochmal diese Klarstellung zu Überwachungsmethoden wie der Funkzellenabfrage, die Behörden auch in Echtzeit nutzen können:
For example, police investigating a murder could require the disclosure of all subscriber details for mobile phone numbers logged as having connected to a particular mobile network cell site over a particular time period, or an intelligence agency could demand details of all users visiting a particular website. Similarly, police dealing with a life-at-risk scenario, such as rescue missions or attempts to prevent suicide, require the ability to demand access to this real-time location information.
In manchen Staaten wird Vodafone zur Herausgabe von Verschlüsselungs-Schlüsseln gezwungen:
Several countries empower agencies and authorities to require the disclosure of the encryption ‘keys’ needed to decrypt data. Non-compliance is a criminal offence.
Nutzerschutz oder Imagekampagne
Insgesamt ist der Bericht zu begrüßen. Schon lange fordern wir Transparenzberichte von allen großen Internet- und Kommunikations-Anbietern. Auch wenn es erst die Enthüllungen von Snowden und das Vorbild der Telekom brauchte: Immerhin liefert jetzt auch Vodafone mal etwas.
Etwas unangenehm ist jedoch die immer wieder wiederholte Aussage, dass man seine Nutzer umfassend schützen wolle. Und wenn man das nicht tut, dass dann immer die Gesetze Schuld sind. Einerseits kann man auch einfach entscheiden, im bestimmten Jurisdiktionen keine Geschäfte zu machen (wie Google in China) – aber das würde ja dem Grundinteresse einer Firma widersprechen, Geld zu verdienen.
Andererseits geht Vodafone auch über gesetzliche Anforderungen zur Kooperation hinaus. Ob man den Geheimdiensten beim Anzapfen von Glasfasern hilft, um dafür entschädigt zu werden, lassen wir mal offen. Aus Deutschland wissen wir aber, dass Vodafone im Vergleich zu anderen Providern Vorratsdaten freiwillig länger speichert als notwendig und vorgeschrieben. Auch nicht-benötigte Daten speichert Vodafone, weshalb der Anwalt der Verfassungsbeschwerde gegen die Vorratsdatenspeicherung Klage gegen Vodafone eingereicht hat.
Und auch bei der deutschen Debatte um Netz-Sperren spielte Vodafone eine unrühmliche Rolle: damals war der Konzern ein vehementer Befürworter der Netz-Zensur, auch komplett ohne jedes Gesetz. Was wir ihnen auch um die Ohren gehauen haben.
Daher dürfte der Bericht jetzt nicht aus reiner Überzeugung zustande gekommen sein, sondern als Reaktion auf einen Vertrauensverlust der Kunden durch die digitale Komplettüberwachung. Also vor der (berechtigen) Angst, weniger Geld zu verdienen.