Überwachung

Live-Blog aus dem Geheimdienst-Untersuchungsausschuss: „Auf einmal konnten alle die schmutzige Wäsche der Geheimdienste sehen“

Die erste Sitzung des Geheimdienst-Untersuchungsausschusses nach der Sommerpause startet mit einer Expertenanhörung. Zu Gast sind Timothy H. Edgar, Ashley Gorsky, Morton H. Halperin, Chris Soghoian und Amie Stepanovich. Wir sind dabei und bloggen live mit.

Europasaal vor der Sitzung.

Heute tagt wieder der Geheimdienst-Untersuchungsausschuss im Bundestag. Wir sitzen wie immer drin und bloggen live.

Wir finanzieren uns fast vollständig aus Spenden von Leserinnen und Lesern. Unterstütze unsere Arbeit mit einer Spende oder einem Dauerauftrag.

In der heutigen Sachverständigenanhörung sind US-Experten aus Bürgerrechtsorganisationen geladen:

Für alle, die nicht vor Ort sein können: Die Anhörung lässt sich heute nicht nur in unserem Liveblog verfolgen, sondern auch im Stream des Bundestags. Ab circa 11.30 ist der Stream auf den Seiten des Parlamentsfernsehns zu sehen.

Vorbemerkungen

Wir berichten aus den öffentlichen Sitzungen, an denen jeder teilnehmen kann. Dazu reicht eine einfache Anmeldung per E-Mail.

Disclaimer: Dieses Protokoll ist nach bestem Wissen und Können erstellt, erhebt jedoch keinen Anspruch auf Vollständigkeit oder umfassende Korrektheit.

Update: Das offizielle stenografische Protokoll gibt es auf bundestag.de als PDF (Mirror bei uns).

Einleitung: Vorsitzender (12:35)

$Begrüßung

$Formalitäten

$Sachverständigenbelehrung

Eingangsstatements der Sachverständigen

Eingangsstatements auf 15 Minuten begrenzt. Fragen diesmal nach Reihenfolge der Meldung der Kollegen. Jeder Kollege darf zwei Fragen stellen.

Eingangsstatement Timothy H. Edgar

Sachverständiger Timothy Edgar. Bild via twitter/@timothy_edgar
Sachverständiger Timothy Edgar – Bild via twitter/@timothy_edgar

Danke an Sensburg und Ausschuss für Gelegenheit, heute zu sprechen. Haben einige Reformen gesehen, hier Highlights: Will alle daran erinnern, dass bevor Zehntausende Deutschen eine tolle Szene erlebt haben, Obama einen neuen Geist der Zusammenarbeit in Außenpolitik versprochen hat. Damals gesagt, dass wir Verbündete suchen, die einander zuhören und vertrauen. Zuhören ist heute ganz anderer Kontext – nach 2013. Wir brauchen diese Beziehung. Will heute Erfahrungen seit 2013 mitteilen. Haben bedeutende Reformen gesehen bei NDs. Was Obama hinterlässt, ist nicht nur NSA-Skandal, sondern auch größte Reformen seit den Siebzigern.

Meine Sicht auf Datenschutz und Privatsphäre fußt auf eigener Erfahrung. Habe für ACLU gearbeitet, eine der ältesten Civil-Rights-NGOs. Haben viele der Terrorabwehrmaßnahmen von Bush kritisiert, weil Privatsphäre und Bürgerrechte verletzt. Habe 2006 Möglichkeit gehabt, in Office Director Intelligence einzuziehen, wo NDs koordiniert werden. War in „Civil Liberties and Privacy Office“. Gab Berater für den Direktor der NDs zu Privatspäre. Ich bekam den Job.

War damals überrascht, geschockt, wie breit Zuständigkeit der NSA ist. Haben immer darauf hingewiesen, dass Kontrolle notwendig. Wussten über PATRIOT Act, aber wirklich… Was ich mir vorgestellt habe, zu Massensammlung von Daten, von denen wir wussten und kritisiert hatten… Wir hatten keine Vorstellung, wie das wirklich umgesetzt wird. War überrascht, wie ernst jeder bei der Regierung Regeln zu Schutz der Privatsphäre genommen hat. Man nahm Bestimmungen ernst. War nichtmal Zusammenstoß, dass Regierung außer Kontrolle sei oder dass NDs auf einmal alles machen konnten, was sie wollten – nein. Sie taten das, was sie für notwendig hielten. Aber Regeln nicht auf digitales Zeitalter zugeschnitten. Das lag weit zurück. Internet, Globalisierung und Terrorismus. Regeln wurden nach 9/11 gelockert, aber hätten nicht weiter genügt, um Privatsphäre zu schützen.

Wir wollten Dialog mit Zivilgesellschaft. Viele Zusammentreffen mit ACLU und anderen. Aber vieles unter Geheimhaltung. Dinge eingestuft. Konnten Allgemeines besprechen – Zuständigkeiten, Befugnisse. Aber ist ein Unterschied, darüber zu sprechen und wie Aktivitäten tatsächlich sind.

Dann Wechsel in Akademia, kurz darauf kam Snowden zu PRISM und Massensammlung von Telefondaten. Und dann in nächsten Jahren noch größere Informationen öffentlich geworden. Hat zu großer Debatte geführt. Große Veränderungen durchgeführt. Möchte ein paar ansprechen.

Transparenz: Regierung musste sich dem stellen. Sie hätte aber auch sagen können: Ist geleakt worden, kein Kommentar. Obama hat Tausende von Seiten freigegeben, die eingestuft waren. Viele Enthüllungen, vor allem in FISA-Court, kamen von Transparenz der Regierung.

Ausländer: Bürger in Deutschland und anderen Ländern. Früher gab es keine Verfahren, dass Privatsphäre auf der ganzen Welt beeinflusst ist. Damals wurde nur auf Privatsphäre von US-Personen geachtet. Hat sich geändert. Will sagen, wie wichtig die Entwicklung ist, dass Land mit besten NDs Regelung gemacht hat, dass man Privatsphäre von jedem auf der Welt achten muss. Sollte Vorbild sein, auch für Deutschland, dass man ähnliche Regelungen trifft. Gibt Einschränkungen bei Inlands-NDs, aber keine im Ausland.

Weiterer Punkt: Telefondaten in USA. FISA hat sich auch geöffnet. Dort auch Rechtsberater mit anderer Sicht der Dinge als Regierung. Dann Schrems-Entscheidung des EuGH. Auch unsere NDs geöffnet für Kontrolle durch internationale Gerichte.

Sind noch nicht am Ende, müssen weitere Reformen haben, wird weitergehen. Ist noch viel zu tun. PRISM und Upstream Collection nächstes Jahr in Prüfung durch US-Congress. Gucken, ob man enger fassen muss. Denke dass ja, um Schrems-Entscheidung gerecht zu werden.

Habe dreistufigen Prozess vorgeschlagen. Groß angehen, global bei Reform der NDs. Wir sollten in USA alle Massenüberwachungsprogramme rechtlicher Überprüfung aussetzen. Nutzung der Fähigkeiten auf existierende Bedrohungen begrenzen. Und dagegen vorgehen.

Nehmen wir an, dass Überwachung stattfindet, man aber auch Gericht anrufen und das hinterfragen kann… In USA muss man Schädigung nachweisen, um gegen Überwachung vorzugehen.

Eingangsstatement Ashley Gorski

Sachverständige Ashley Gorski via twitter/@ashgorski
Sachverständige Ashley Gorski – Bild via twitter/@ashgorski

Im Namen der ACLU: Ich danke für NSAUA und Gelegenheit, über NSA zu sprechen. Die drei wichtigste Lehren aus Snowden, dann zwei rechtliche Grundlagen zu Section 702 FISA und Executive Order 12333. In schriftlicher Stellungnahme ausführlicher. Heute kürzer. Dann will ich erklären, warum PPD28 nicht annährend weit genug geht angesichts der Situation.

Dank Snowden und Reportern haben US-Öffentlichkeit und Volksvertreter Diskussion geführt. Läuft weiter. Wird genährt von drei Lehren über US-Überwachung. Durch Snowden wurde Öffentlichkeit bewusst, dass Überwachung nicht nur möglich, sondern real ist. Seit 2013 erfahren, dass NSA Daten von Telefongesprächen sammelt. Dass eingehackt in Data Center von Firmen. Und dass Inhalte von Internetkommunikation – Chats, Internettranskripte, Telefon – abgeschöpft werden.

Sammelt auch Daten von 500 Millionen Deutschen im Monat. Keine Checks and Balances. FISA, geheimer Gerichtshof, soll prüfen. Aber offensichtlich, dass keine effektive Kontrolle. Wenn Überwachung in Übersee, dann keine Kontrolle durch US-Congress und Gerichte. Allgemein sehr schwierig, gegen Überwachung der Regierung vorzugehen. Zivile Kläger müssen Überwachung von sich nachweisen. Außerdem so, dass sich die Nutzung von Informationen vor Gericht schwierig darstellt. Führt dazu, dass zahlreiche Kläger vor Gericht schlecht vorgehen können. US-Regierung nicht transparent genug, was Auslegung Überwachungsrecht angeht.

Natürlich muss man nicht jedes Detail bekanntgeben. Aber Regierung muss deutlicher machen, was sie tut und was Grundlagen sind. Hat Reformen gegeben. Wichtigstes: Inländischen Telefondatenprogramm. NSA sammelte jahrelang Daten aller Telefongespräche. ACLU hat geklagt und gewonnen. Freedom Act hat das abgeschafft.

Viele der schärfsten Kompetenzen davon unberührt.

Section 702 FISA und Executive Order 12333. Bei EO 12333 geht es darum, dass Ziel Ausländer im Ausland sind und ausländische ND-Informationen gesammelt werden. Ist keine Einschränkung, denn Regierung muss nicht darlegen, dass Ziele ausländische Agenten oder kriminell sind oder dass Terrorimus. Auslandsinformationen sehr breit definiert. Regierung nicht auf Informationen zu Terroristen eingeschränkt.

Snowden hat gezeigt, dass zwei Arten von Überwachung: PRISM und Upstream Surveillance. Durch Verizon und AT&T greift USA Backbone-Struktur direkt an. Dann Suche mit Selektoren mit ausländischen Zielen: Mailadressen, Telefonnummern, zum Beispiel Kommunikationen, die Selektoren enthalten, werden gespeichert.

PRISM: Zugang zu Kommunikationen durch Service Provider. Regierung sagt, welche Mailadressen überwacht werden sollen und kriegt die Informationen. Mindestens 117.000 Accounts überwacht.

EO 12333: Durch Reagan eingeführt. Viel Spielraum, Amerikaner und andere ohne richterliche Prüfung zu überwachen. Wenig Kontrolle, kein Gericht hat jemals eingegriffen und ND-Ausschuss im Senat hat zugegeben, dass auch keine parlamentarische Kontrolle. Ist rechtliche Grundlage für Informationssammlung zu ausländischen Sicherheitsbedrohungen. Überwachung aller Ausländer. Regierung darf Massensammlung machen. Auch massenweise Suchen möglich. Zugang zu elektronischen Kommunikationen. Kopiert sie, sucht sie durch und alle, die Begriffe enthalten, werden auf unbestimmt gespeichert. Entspricht in etwa FISA, aber bei FISA größere Einschränkung bei Selektoren.

Jetzt, warum nicht weit genuge Reformen: PPD28 stammt aus Obama-Zeit. Einschränkungen für Nutzung elektronischer Kommunikationen. ACLU begrüßt, dass Privatsphäre von Nicht-US-Personen durch PPD28 anerkannt. Kann leicht wieder geändert werden durch neue Regierung. Außerdem findet massenweise Überwachung weiter statt. Daten dürfen nur genutzt werden für Überwachung von sechs Aktivitäten. Sinnvoll, aber nicht weit genug. Letztlich wird Praxis massenhafter Überwachung durch PPD28 weitestgehend sanktioniert. Und dass, obwohl klar ist, dass Massenüberwachung nicht zulässig ist.

Deutlich, dass Einschränkungen für Nutzung sich nicht auf kurzzeitig gespeicherte Daten beziehen. Wichtigste Reformen beziehen sich auf Nutzung und Weitergabe von Informationen von Nicht-US-Personen. Aber kein guter Schutz. Ist so, dass Daten nur dann gesammelt werden dürfen, wenn ähnliches auch unter EO 12333. §§ 2 und 3 von EO 12333 enthält weniger Einschränkung für Regierung. Weiter sammeln erlaubt unter vielen Umständen.

Schutzmaßnahmen viel zu schwach. Abschließend: Snowdenenthüllungen und Debatten haben zu Reformen geführt. Aber Section 207 und EO 12333 sind weiterhin intakt. Freue mich auf weitere Fragen.

Eingangsstatement Morton H. Halperin

Sachverständiger Morton Halperin via OSC
Sachverständiger Morton Halperin via OSC

Auch ich: Danke. Möchte mich auf einen Aspekt konzentrieren: Reformen seit Snowden waren wichtig und nicht weit genug. Muss noch sehr viel getan werden auch bei Überwachung der US-Bürger in USA. Aber wichtigste Veränderung: Anerkennung in Regierung, zum ersten Mal, dass Verpflichtung, dass Privatsphäre von Nicht-US-Personen geschützt werden muss.

Kann moralisch diskutieren, ob das von internationalem Rechtssystem so verlangt wird, aber ist wichtig, dass das eine politische Entscheidung ist und Dialog begonnen hat, dass Regierung Privatsphäre von anderen Staatsbürgern respektieren wird. Bietet Chance für Zusammenarbeit. Hängt von Deutschland und USA ab, das zu nutzen. Gegenseitiges Problem. Wir sehen, dass kein einziges Land mit sauberen Händen. Kein demokratisches Land, dass sich verpflichtet, auch Privatsphäre anderer Staatsbürger zu schützen. Trifft auch auf USA zu. Aber jetzt zumindest Abkommen, dass das etwas ist, dass Demokratien tun sollen. Haben EuGH-Entscheidung. Echte Chance, hoffe dass sie durch Regierungen ergriffen wird.

Müssen Prinzipien erarbeiten, die Länder in nationale Gesetze umsetzen, die angemessenen Schutz gegen Überwachung für alle ermöglichen. Brauchen auch Schutz vor nichtdemokratischen Regierungen und Privatbürgern, die illegal Kommunikation überwachen. Aber sind separate Fragen, ob Regierungen auch andere Regionen überwachen sollen. Will mich darauf konzentrieren: auf Überwachung von Bürgern demokratischer Länder.

Mit Prinzip beginnen, dass solche Überwachung rechtlichen Befugnissen unterliegen soll, rechtlich bindende Gesetze. Gesetze, die aussagen, was die Öffentlichkeit denkt, dass sie aussagen. Weg von Geheiminterpretation von Gesetzen. Schlage vor, dass Regierungen zusammenkommen und Abkunft treffen und weiterentwickeln, damit das dazu führt, dass verbindliche Gesetze verabschiedet werden und gleichgesinnte Staaten dazu eingeladen werden. Unternehmen, die beteiligt sind, auch beteiligen. Stakeholder. Sollte und muss in Multistakeholderforum besprochen werden. Auf Reihe von Prinzipien einigen. Erstes Prinzip sollte sein, dass geschützte Personen nur auf Grundlage von staatlich bindenden Gesetzen überwacht werden dürfen. Auf Gründe beschränkt. In PPD28 nicht eng genug. Weg von Prinzip, dass man einfach so überwachen darf.

Wenn zwei Deutsche über etwas sprechen, was Deutschland machen sollte, dann ist das Interpretation von US-Regierung, dass das ND-relevant. Die Interpretation muss sich ändern. Braucht festen Standard, Norm. Prinzipien so eng fassen, dass nicht breit interpretierbar. Anwendung Regeln auf alle Datenerfassungen. Massenüberwachung ist Kunstwort. Wenn man keine Indikatoren hat wie alle FmA aus Afghanistan, dann keine Massenüberwachung. Braucht Standards nicht nur für Erhebung, sondern Speicherung und Teilung. Auch mit Regierung von überwachtem Bürgern. Dürfen nicht zusammenarbeiten, um nationale Regeln zu umgehen.

Überwachter und Information, die gesammelt wird, sollte nicht an Person festgemacht werden. Wenn Informationen erhoben, dann nur, wenn es sich um Bürger eines Landes handelt, das Abkommen nicht unterzeichnet hat oder wirklich Anzeichen für Illegales vorhanden. Muss seitens der Länder auch Kontrolle eingerichtet werden. Unterscheidet sich: manche haben das, manche nicht. Muss Gesetzgebungskontrolle geben und rechtliche. Muss Überwachung im Vorfeld kontrollieren aber auch Rechtsweg für Betroffene, Rechtmäßigkeit untersuchen.

Dies wird Regierung zwingen, darüber nachzudenken, zu welchen Einschränkungen sie bereit ist. Zum ersten Mal möglich, dass Staatsbürger von Überwachung anderer Länder geschützt. Löst nicht alle Probleme. Nur nützlich, wenn eigene Bürger weiter einschränken. In PPD Schutz für Ausländer genauso wie im eigenen Land. Privatsphäre US-Bürger im Land ebenfalls nicht genug geschützt. Aber Prozess zwingt uns, uns damit auseinanderzusetzen.

Eingangsstatement Chris Soghoian (13:10)

Sachverständiger Christopher Soghoian - Bild via ACLU
Sachverständiger Christopher Soghoian – Bild via ACLU

Danke. Da Amie auch sprechen wird, wird sie in ACLU-Namen sprechen. Ich bin Techniker und Experte für Überwachung der Regierung. Snowden hat globale Gespräche zu Thema geändert. 2013 war das Donnerschlag. Auf einmal konnten alle die schmutzige Wäsche der NDs sehen. Drei Jahre später: Wenn nur rechtliche Sicht auf Regulierung der NSA, hätte er sich das auch sparen können. Clapper hat die Leute belogen und Job behalten. Operieren immer noch unter Geheimhaltung. Kontrolle ist eine Farce. Unter EO 12333 überhaupt keine Kontrolle, FISA Geheimgericht. Geht darum, Befugnisse auszuweiten statt zu begrenzen.

Snowden hat Cybersicherheit jedes Menschen verändert. Wichtigste Veränderungen bei Technologie. Weckruf für Informationsgesellschaft. Open-Source-Gesellschaft. Vor ein paar Jahren waren die meisten Daten unverschlüsselt oder schwach verschlüsselt. Meiste Mails, Text-Messages, Suchanfragen, soziale Kontakte wurden problemlos abgegriffen. Für NSA und Five Eyes war die Herausforderung nicht der Abgriff, sondern die Auswertung. Wahrer Skandal war nicht Ausspionierung, aber dass Kommunikation so schwach abgesichert, dass Massenabgriff möglich war.

Warum so schwach? Cryptowars dafür verantwortlich. Über Jahre haben westliche Regierungen auf Organisationen vertraut, um bestimmte Maßnahmen umzusetzen. Mobiltelefone nutzen Dienste von gemeinsamen Anbietern und sind immer noch unverschlüsselt. Aber Beziehung zwischen Telkos und technischer Seite hilft nicht unbedingt.

Aber keine Entschuldigung, dass keine vernünftige Verschlüsselung. Tech-Community hat das nicht ernstgenommen. Auch vor Snowden gab es starke Verschlüsselung. Google hat schon 2010 Kommunikation in Open Networks geschützt. Twitter und Faceboook haben HTTPS 2013 eingeführt. Hat Industrie weiter vorangetrieben. Stärkere Algorithmen. All das begann vor Snowden. Nach Snowden schneller ausgebreitet. Yahoo hat sich lange gewehrt. Aber nach Washington Post musste Yahoo sich beugen.

Drei Jahre nach Snowden hat sich Landschaft sehr geändert. Verschlüsselung bei mobilen Geräten, HTTPS ausgebreitet. Bis Ende 2016 alle Staatlichen damit ausgestattet. Washington Post und andere nutzen auch Verschlüsselung. Hatte auch Auswirkungen auf NDs. Massenüberwachung von verschlüsselten Geräten nicht mehr möglich. Jetzt anfordern oder reinhacken.

Ingenieure haben sich in ihrer Haltung verändert. Tech-Industrie hat nicht gerade rühmliche Vergangenheit bei Protokollen. Anstatt Nutzung von von Natur aus sicheren Protokollen lange Algorithmen mit schwacher Krypto genommen. Hat sich zum Teil durch Snowden geändert.

Gibt ein politisches Konzept, welches die Sachen beschreibt, die öffentlicher Meinung Rechnung tragen. Viele Unternehmen haben Sicherheitsrisiken nicht ernstgenommen. Andere als paranoid abgetan. Staatliche Behörden wurden nicht als Sicherheitsrisiken gesehen. Heute kann man das nicht mehr als Paranoia abtun. Heute Technologien, um Nutzer vor staatlicher Kontrolle zu schützen.

Gibt immer noch unsichere Technologien, aber ich hoffe, dass viele neue TK-Technologien es auch dem Staat schwerer machen, Informationen abzugreifen. Reformen können Cybersecurity nicht ersetzen. Man wollte NSA einschränken, aber anderes ist besser. Denn NDs bewegen sich immer noch in Grauzone. Finden Schlupfloch und brechen Gesetz. Hat lange Geschichte in USA, Großbritannien und Deutschland. NSA ist nicht der einzige Dienst, der Deutschland ausspioniert. Russland, Israel, China, Frankreich. Einziger Weg, Daten zu schützen, ist starke Cybersecurity-Technik. Man muss dem Priorität einräumen.

Eingangsstatement Amie Stepanovich

Sachverständige Amie Stepanovich - Bild via Access Now
Sachverständige Amie Stepanovich – Bild via Access Now

Vielen Dank, ist immer schwer nach Soghoian zu reden. Schriftliche Stellungnahme haben sie. Hier drei Punkte hervorheben:

1. Reformen seit 2013 reichen nicht aus, um Antworten zu finden auf Frage der US-Überwachung von Leuten anderswo auf der Welt. Zwei wurden angesprochen. US Freedom Act war das erste Mal seit Jahrzehnten, dass Einschränkungen für NSA eingeführt wurden. Wichtig. Mehr Transparenz für Überwachung durch Regierung und entsprechende Unternehmen. Freedom Act wichtig, weil es geheime Neuinterpretation von US-Gesetzen gab, die Massenüberwachung möglich machten. Freedom Act bezieht sich auf Menschen, die in USA leben.

Zweite Reform ist wirklich wichtig. US-Regierung hat 1992 US-Bürgerrechtspakt unterzeichnet, aber sie gehen davon aus, dass er nur auf dem Hoheitsgebiet der USA gilt. Halten ihn nicht für Ausland zutreffend. Haben in PPD28 keine Ausweitung der rechtlichen Beschränkungen für Nicht-US-Personen. Steht nicht im Einklang mit UN-Zivilpakt. PPD28 ist Symbol. Wichtig, aber reicht nicht. Schlupflöcher vorhanden. Ist politisches Statement, Richtlinie. Ist kein Gesetz, gilt nicht zwingend für zukünftige Regierungen.

2. USA haben nicht gezeigt, dass sie Menschenrechte für Nicht-US-Personen achten wollen. Im Gegenteil. Möglichkeiten für Informationensammlung im Ausland ausgebaut. Änderung von FISA-Gesetz, da geht es auch um rechtliche Grundlage für PRISM und Upstream, wird nächstes Jahr auslaufen. Letztes Jahr Freedom Act beschlossen für andere Gesetze. Aber bisher keine Diskussion wie Section 702 ersetzen. Das beste, was erwartbar, dass Einschränkungen für Daten über Amerikaner. Möglicherweise wird sich Gesetzesgrundlage für Überwachung ausweiten. US Telecommunications Act.

Menschenrechtsstandards zu schwach. Das erste Land, mit dem USA ein Abkommen schließen werden, ist wahrscheinlich Großbritannien mit GCHQ. Hat mehr Befugnisse mit weniger Kontrolle. Investigatory Powers Bill in Großbritannien bedeutet noch weniger Einschränkungen. Wenn es Abkommen gibt, wird es Schutzmaßnahmen für US-Bürger geben, aber nicht für Deutschland-Bürger. Wird möglich sein, Daten aus Partnerländern ohne Rechtshilfeersuchen zu bekommen.

Schrems-Fall. Darüber gesprochen, dass neue Möglichkeit für Reformen. Aber durch US-Congress eingeschränkt. JRA. Vorbedingung für Umbrella Agreement zwischen USA und EU. EU-Bürger können Rechtsweg beschreiten bei Sammlung von Daten durch USA. JRA kann kleiner Schritt nach vorne sein. Aber in letzter Minute Änderung, jetzt Rückschritt. Regelung, demzufolge kein Gesetz sich dafür qualifizieren kann, wenn nationale Sicherheitsinteressen behindert. Wenn EU Druck ausübt, dann kann das dazu führen, dass EU nicht mehr diesen Status nach JRA bekommt. Also Rechtsweg in USA nicht mehr möglich. Wird so sein, dass Situation für EU-Bürger in USA schwierig bleibt.

3. Wie USA Möglichkeit behalten will, Zugang zu Daten zu bekommen: Bestes Ergebnis von Snowden, dass mehr sichere Technologien. Bietet Schutz vor Zugriff durch Dritte und Schutz gegen andere Vertrauensbrüche. Verschlüsselung. Gibt derzeit kein Gesetz, dass jemanden hindert an starker Verschlüsselung. Viele Unternehmen nutzen das, aber FBI führt seit Neunzigern Krieg gegen Verschlüsselung und Ende-zu-Ende-Verschlüsselung – Signal und iMessage. Das soll eingeschränkt werden. Auch in Indien, China und Großbritannien und leider auch Frankreich und Deutschland.

In USA Bert und Feinstein Einführung von Court Order Act 2016 zugestimmt, das könnte zu noch mehr Repression in anderen Ländern führen. Was nicht Ergebnis sein wird, ist, dass Terroristen weiterhin Verschlüsselung nutzen werden. Werden weiterhin Open-Source-Tools benutzen können oder andere Instumente. Einschränkung wird nur für normale Menschen gelten.

Dann gibt es Hacken durch Regierung. FBI will Regeln ändern. Wird auch passieren, wenn US-Congress nichts tut. Wyden wird heute sprechen, um zu versuchen, das zu stoppen. Aufgrund der Wahlen wird wohl wenig passieren und Regeländerung wird kommen. Dann darf sich FBI in Computer hacken, wenn es nicht weiß, wo sich Computer befindet. Anfang der Woche Bericht veröffentlicht über Reaktion US-Regierung auf Hacken. Haben zu klaren Gesetzen aufgefordert. Hoffen, US-Congress nutzt Möglichkeit für Gesetz, das Grenzen auferlegt. Momentan in großem Stil gehackt.

Letzter Punkt: Sicherheitsproblem durch Überwachung auf der ganzen Welt. Alle wollen Überwachung stärken, Missachtung der Menschenrechte. Immer leichter, Informationen zu sammeln, Vorhersagen zu treffen. Rufe dazu auf, in Deutschland das zu verhindern und Wettrüsten zu beenden. Privatsphäre muss geschützt werden.

Fragen der Abgeordneten (13:36)

Die heutigen Sachverständigen im NSA-Untersuchungsausschuss. Zeichnung: Stella Schiffczyk. Lizenz: nicht frei.
Die heutigen Sachverständigen im NSA-Untersuchungsausschuss. Zeichnung: Stella Schiffczyk. Lizenz: nicht frei.

Sensburg: @Halperin und Stepanovich…

Stepanovich: Könnten wir jetzt Pause haben?

Sensburg: Zehn Minuten? Zehn Minuten Pause.

(13:46) Wir setzen jetzt fort. Zwei Fragen meinerseits. Einmal @Halperin und Stepanovich: Was erwarten sie sich denn von diesem Ausschuss an Erkenntnissen und Unterstützung für sicheren Umgang mit Daten und Privatsphäre? Können uns vielleicht danach richten, zusammenzuarbeiten. Machen wir Ladies First.

Stepanovich: Internationale Prinzipien der Anwendung bei Überwachung anwenden. Sind 13 Prinzipien unter proportionate.org. Spiegeln Menschenrechtsgesetz wider. Access Now hat Richtlinie zur Umsetzung veröffentlich, in der wir beschreiben, wie Gesetze aussehen sollen. Wollen realistische Option für Gesetze, damit Menschenrechte geschützt werden. Mitteilung an Nutzer, dass sie überwacht werden, gemeinsame Standards. Sicherstellen, dass keine extraterritoriale Überwachung.

Halperin: Ich hoffe, dass sie sagen werden, nachdem sie sich Gedanken über US-Regierung zu Ausspionierung der Deutschen machen – dass sie sich Gedanken machen und sagen werden: Da wir Wunsch haben, dass diese Probleme nicht Privatsphäre der Bürger betreffen und Art und Weise wie Internet funktionert, dass dieses Problem nur über Europa hinaus gelöst werden kann mit gemeinsamen Prinzipien, die in Gesetze umgesetzt werden. Würde nicht diskutieren, ob es die schon gibt und was die bedeuten.

Wenn man Zauberstab hätte und US-Regierung dazu bringen könnte, die zu befolgen, würden die sagen: Machen wir ja schon. Sollten uns darauf konzentrieren, welche Informationen gesammelt werden dürfen, wie sicherstellen, dass nicht anderes gesammelt werden darf. Konzentrieren darauf, wie man Sicherheit schützen und gleichzeitig Privatsphäre schützen kann. Haben wir bisher nicht getan. NDs neigen dazu, immer mehr Daten zu sammeln. Demokratische Regierungen müssen Parameter festlegen.

Renner: @Gorski: Ein Ergebnis von Snowden, dass bestimmte Nicht-US-Bürger auch vor Massenüberwachung geschützt werden sollen. Haben auf Schwierigkeit gerichtlicher Klärung hingewiesen. Wie sieht es mit Schutz von Nicht-US-Bürgern aus? Gibt es Auskunftsanspruch? Beschwerde- und Löschmöglichkeit?

Zweite Frage an den oder die, der sich kompetent fühlt: Bei den ganzen Schutzrechten, die nach Snowden gezogen wurden, geht es auch um Frage: Was sind personenbezogene oder -beziehbare Daten? Wie weit geht der Schutzrahmen? Auch Daten aus Sozialen Netzwerken? Kryptierte Verkehre erfasst und gespeichert für Entschlüsselung in Zukunft? Wie weit alle Daten erfasst?

Gorski: Danke für Frage. Möchte feststellen, dass Wahrnehmungsproblem hier. Wenn man als Nicht-US-Bürger vor Gericht ziehen will – abgesehen von konkreten Rechten vor Gericht -, ist man erstmal nicht informiert über Information, die durch Massenüberwachung zusammengekommen ist. Erfahren Sie erstmal nicht. Wenn US-Regierung in Untersuchung gegen Sie vorgeht, werden Sie unter Umständen über Datenerhebung informiert. Aber Regierung legt das sehr eng aus. Normalerweise keine Möglichkeit, überhaupt Klage einzureichen.

Derzeit vertreten wir Wikimedia- und Wikipedia-Nutzer und sieben andere Bildungsorganisationen. Bezirksgericht hat entschieden, dass Wikimedia Upstreamüberwachung nicht vor Gericht bringen kann, weil Überwachung nicht bewiesen ist. Schwer, das nachzuweisen. Noch schwerer für Nicht-US-Bürger.

State Secret Doctrine: Staatsgeheimnis-Einstufung. Regierung kann Gericht auffordern, Fall beiseite zu legen, weil sonst Staatsgeheimnisse betroffen wären.

Judicial Redress Act: Wer würde das gerne beantworten?

Sensburg: Personenbezogene Daten und Schutzrechte.

Soghoian: Haben gefragt, welche Schutzmaßnahmen für Metadaten. Mehr Erfahrung bei Schutz von TK-Inhalt. Inhalte von Anrufen, SMS, Webbrowsing schützen. Manchmal liegt das bei Nutzer, manchmal bei Unternehmen. Wenn Google das einsetzt, kann Information geschützt werden. Tech-Community verfügt über nicht so viel Erfahrung, wenn es um Schutz von Metadaten geht. Wir können das „Was“ schützen, aber nicht das „Wann“ und „Wen“. Wenn Gespräch mit Selbstmord-Hotline oder Abtreibungsklinik, dann ist das wichtig.

Wird aktiv geforscht, wird von Regierungen finanziert. Fordere sie auf, die Forschung weiter voranzutreiben. Zum Beispiel bei Instant Messages.

Regeln für Speicherung verschlüsselter Daten. Wissen aus Guardian, dass Speicherregeln bei NSA auf verschlüsselte Kommunikation nicht zutreffen. Eher unsensible Daten werden fünf Jahre gespeichert. Persönliche Daten können unendlich gespeichert werden. Grund: NSA hofft, dass im Lauf der Zeit Fähigkeit, die zu entschlüsseln. Computer werden schneller. Oder: NSA stiehlt Schlüssel, wenn von Drittparteien gehalten.

Letztes Jahr The Intercept: Niederländische SIM-Karten-Firma gehackt und NSA hat Schlüssel bekommen. Gespräche, die aufgezeichnet wurden, konnten nachträglich entschlüsselt werden. Wenn verschlüsselte Daten heute gespeichert, kann man die in fünf bis zehn Jahren vielleicht entschlüsseln. Daher Konzentration auf Post-Quantum-Krypto.

Flisek: @Edgar: Sie haben gesagt, man muss versuchen, bei Frage nach Ausland-Ausland-Verkehr zu internationalen Standards zu kommen. Wie realistisch schätzen sie das ein, dass Standards mit Substanz und Qualität politische Mehrheit und Willen finden? Internationaler völkerrechtlicher Vertrag? Bilaterale Verhandlungen?

Als Snowden: Debatte, dass Deutschland mit USA No-Spy-Abkommen abschließt. War das jemals realistisch?

@Gorski: Untersuchung ab 2001 bis Snowden. Große Zeitspanne mit technischer Entwicklung. Was wir hier aufgearbeitet haben, sind offiziell bekannte Kooperationen mit USA. Wie würden sie schätzen, was machen eigentlich US-NDs in Bezug auf Deutschland? Wieviel außerhalb von offiziellen Kooperationen? Verhältnis? Geheim-ND-Tätigkeiten in Bezug auf Deutschland: Was außerhalb jeglicher Kooperation?

Edgar: Danke Herr Flisek. Denke, wir würden anfangen mit Grundschutz, den PPD28 allen Bürgern zur Verfügung stellt. Dann über No-Spy-Agreement nachdenken und Five Eyes und ob es in der Mitte noch was gibt. Status von PPD28 in US-Gesetzgebung? Titel lenkt ab. Schriftliche Richtlinie des Präsidenten, ist für NDs verbindlich. Nicht verbindlich für außerhalb NDs. Zukünftiger Präsident könnte das ändern. PPD28 wird überleben. Wird weiter angewandt werden. Stimme mit Halperin überein: Obwohl manchmal weniger wichtig zu sein scheint, dass Menschenrechte angewandt werden sollen – US-Regierung hat entschieden, dass nicht. Aber PPD28 bietet mehr an konkreten Regeln, was NSA machen soll. PPD28 in Wirklichkeit nur bescheidene Schutzmechanismen. Bietet aber Regeln, um gegen Verletzung gesetzlicher Verordnung vorzugehen.

Gibt Grund, warum US-Congress sich auf Massenüberwachung US-Telefon konzentriert hat. War wichtig diskutiertes Thema in USA. Manche Themen nicht ganz so wichtig, aber wichtig genug, dass Reformen. Liegt teilweise auch an Macht der IT-Industrie. Echtes Problem auf globalem Markt. Hat ausländischen Wettbewerbern Möglichkeit gegeben, in Markt zu kommen, der US-dominiert war.

Obama hat über Schutz US-Bürger gesprochen. Viele Unternehmen haben Druck ausgeübt, weil es ihnen global nicht weiterhilft. Dann können Unternehmen nicht sagen, dass andere Bürger ihre Dienste nutzen sollen. Auch Deutschland hat Druck ausgeübt.

§Section 702: Denke, wir werden Beteiligung von Unternehmen sehen, Gesetze enger zu gestalten und zu reformieren. Ähnlich wie Halperin: Zwischen breiter Auslegung, dass ganze Welt schützen und was wir tun können, um Datensammlung von ganzer Welt zu haben und Gruppe der fVEY und dass sie gegenseitig keine Überwachung vorgehen. Sollte größeren Club geben: Länder mit Tradition von Kontrolle von NDs, dass beschränkt auf spezifische Zwecke. Besprechen, was Sicherheitsrisiken umfasst. Man kann Five Eyes-Partner erweitern. Würde Widerstand geben, wegen Sprache und Kultur. Aber Deutschland könnte argumentieren, wenn Interesse besteht.

Mit Brexit verlieren USA engsten Partner in EU. Dann vielleicht Argument, dass Deutschland Teil der Gruppe werden sollte und dann Six Eyes statt Five Eyes. Dann wäre EU-Partner in Gruppe. Kein besonders überzeugendes Argument, aber immerhin. Realistisch: Demokratische Gruppe von Ländern sollte sich einigen, dass politisches Ausspionieren …. In Deutschland vielleicht G-10, die würden Art und Weise der Nachrichtensammlungen untersuchen.

Flisek: No-Spy: Bekannt, dass USA sowas mit anderem Staat haben?

Edgar: Im Prinzip nein. Andere Partner der NSA: Natürlich bilaterale Abkommen, was auch immer Inhalt ist. Gibt Beziehungen und Verpflichtungen. Beziehungen kritisch untersucht. Frage, ob BND Interessen Deutschland respektiert hat. Würde sagen, dass es international mehr Druck geben wird in Frage, ob wir genug tun, um Privatsphäre Bürger zu schützen.

Jedes Land hat Hebelmöglichkeiten, um auf größeren Schutz zu bestehen als jetzt.

Gorski: Sie wollten wissen, wie ich Zusammenarbeit zwischen NSA und BND außerhalb offizieller Kanäle beurteilen würde.

Zunächst Berichtswesen: Unglaublich reit angelegt, bezieht sich nicht nur auf gegenseitig genutzte Operationen. Habe mehr als ein Dutzend Programme erwähnt, die von Snowden und Reportern aufgebracht wurden. Wenn überlegen, was in Fall BND geteilt wurde. 2001 bis 2013 war EO 12333 in vollem Gange. Im Zeitraum vor Snowden war eine Mail im Prinzip nicht verschlüsselt. 2001 hatte NSA verschiedene Anreize, in die Data Center von Google oder Yahoo zu hacken und abzugreifen, weil viele Mails nicht verschlüsselt.

Wenn wir mal Bewusstsein der US-Inlandsbehörden anschauen. Stellarwind: Regierung Bush hat eigene Befugnisse auf besondere Art interpretiert. Breites Überwachungsprogramm. Durch IFG erfahren, was alles stattfand.

Notz: (14:20) Danke für Engagement in zivilgesellschaftlichen Fragen. Unsere Diskussionen sehr ähnlich wie ihre. Zwei Fragen am Anfang.

@Gorski: Nach ihrer Interpretation: Kam es zu massenhafter Überwachung von deutscher TK durch NSA?

@Soghoian: Wie ist das mit US- und Nicht-US-Personen? Wie kann man bei Massendaten Nationalität bei Analyse klären? Hat ja keine Flagge an den Daten. Wie zuverlässig kann ich das feststellen? Wenn keine Prozentzahl, dann darstellen, wie das geschieht und wieweit möglich, das zuverlässig – im Vorfeld – filtern? Erst möglich, wenn man sich die Daten anguckt? Probleme bei Telefonnummern und Mailverkehren?

Gorski: Sommer 2013 hat Spiegel berichtet, dass NSA Daten von 500 Mio. Deutschen Telefon- und Internetkommunikationen pro Monat sammelt. Ich würde das Massenüberwachung nennen. Ob Regierung auch: KA. Bulk Surveillance ist Kunstbegriff. Aber 500 Mio. Kommunikationen, denke dass Selektoren. Aber würde es Massenüberwachung nennen.

Soghoian: Zwei Veröffentlichungen interessant: Zielerfassung und Speicherungsmethoden. Ziel ob US oder Nicht-US. Bei Telefonnummern relativ einfach. Weil +21 Vorwahl. Schwieriger bei Mail und Internetdaten.

NSA arbeitet mit US-Telkos, um schnell rauszufinden, wann ausländische Anrufe in USA eingehen. Wenn sie von Berlin nach NY fliegen, wird bei Ankunft sich ihr Telefon registriert, dann geht Flagge an: „Jetzt US-Person, jetzt schützen.“ Denke, die meisten NDs werden das tun und überwachen, welcher ihrer Bürger ins Ausland geht. Wenn deutscher Bürger in Syrien, dann wird ND da Interesse haben. Aber der interessante Teil: Was, wenn Ursprung nicht identifizierbar? Perverse Situation bei VPN und Tor: Wenn US-Person mit Tor in EU landet, dann senkt man vielleicht seine Schutzrechte. Wenn man Kommunikation über Indien schickt, eventuell auch. Wenn Ursprung nicht identifizierbar, dann niedrigstes Schutzlevel.

Ja, keine Nationalflagge an Daten. Aber Tor raubt jegliche Möglichkeit, Ursprung festzulegen. Man könnte vielleicht US-Flagge anhängen, aber ja..

Macht mir Sorgen, dass geringerer Schutz, wenn privatere Form der Kommunikation. Solange das als Nicht-US-TK gewertet wird, dann Risiko.

Wendt: Snowden hat behauptet, dass bestimmte Informationen an NDs der USA geliefert werden müssen.

@Edgar: Wie war Stimmung in den USA? Aufschrei? Dienst der nationalen Sicherheit? Verständnis? Ok?

Werden US-Unternehmen in EU – wird da gewährleistet, dass Daten von EU-Bürgern ordentlich geschützt werden? Wie beurteilen sie Privacy Shield? Andere Rechtsvorschriften als in den USA?

Edgar: Erste Frage: War nicht aufgrund von Snowden, dass man wusste, dass Unternehmen Informationen bereitstellen mussten. Aber hat Details veröffentlicht. Gab Reaktion. Aber eher Technikunternehmen, weil es um PRISM und Upstream ging, die 2008 hinzugefügt wurden.

War kein Geheimnis, dass Regierung Informationen fordern konnte. Aber wie das lief und Details, dass Informationen auch von Backbones angefordert, das war nicht bekannt. Sommer 2008 hat Obama in Berlin gesprochen. Weiteres Ereignis: Wahlkampagne, Obama entschieden, für Section 702 FISA zu stimmen. War eine der kontroversesten Entscheidungen. Er hat nicht seine Meinung geändert, sondern für das Programm gestimmt.

Man war von der Praxis überrascht, aber war bekannt, dass es das gab. Eher abstrakter. Macht Unterschied, ob man abstrakte Möglichkeit kennt oder Details weiß. Selektoren, Scannen von Datenverkehr.

Privacy Shield: Ich war nicht besonders beeindruckt, was die Substanz der Garantien angeht, die USA gegeben haben, um der Schrems-Entscheidung Rechnung zu tragen. Glaube, das reicht nicht. Positiv: Ombudsmann, an den EU-Bürger Beschwerden richten können. Geht auch um Frage von Frau Renner. Gibt jetzt Möglichkeit, Beschwerde an Ombudsmann zu richten. Zweiter Punkt: Damit wurden NDs gezwungen, Director of NI hat langen Brief geschrieben und Schutzmechanismen aufgezählt. Das ändert an sich nichts und ist nicht gut genug. Aber war als Übung gut. Man hat einmal gesehen, dass, wenn man einmal Art und Weise der Datensammlung angreift, man nicht einfach sagen kann: Nationale Sicherheit.

Aber muss auch fragen, ob EU-Länder auch veröffentlichen sollten, welche Schutzmechanismen zur Kontrolle der eigenen NDs. Würde sagen, USA stehen da im Moment relativ weit oben. Deutschland und EU auch ganz gut, aber andere… Könnte man alles noch weiter verbessern. Seit 2013 erste Schritte getan. Aber brauchen dauernde Konversation. Prüfung von Section 702 FISA.

Sensburg: @Gorski & Soghoian: Sagten, es gibt 100.000 Accounts, auf die man Zugriff hatte. Gibts da Beweise für oder ist das Zeitungswissen? Welche Erkenntnisse in letzter Zeit, das mit Fakten zu hinterlegen.

Sie sagten, Twitter, Facebook, Google nehmen Datenschutz nicht so ernst. Standen nach 2013 ziemlich am Pranger. Hat sich was geändert? Macht Whatsapp-Ende-zu-Ende alles gut?

Gorski: Die Zahl: Im April 2013 wurden mindestens 117.000 Accounts von der NSA angegriffen. Da NSA-Unterlagen aufgegriffen. Und Regierung selbst hat allgemeinere Enthüllungen gemacht. Da ging es auch um mehr als 90.000, 93.000. Offizielle Zahl der US-Regierung nach Abschnitt Section 702.

Soghoian: Vor 2010 waren die meisten Tech-Unternehmen so, dass keinerlei Verschlüsselung für TK der Nutzer bestand. Heißt, dass NDs Daten sammeln konnten, ohne überhaupt zu Google zu gehen. Unterschied: ND muss sonst immer zu Telko gehen. Waren ja lange Teil der Regierung und waren immer bereiter, ND zu helfen. Vor 2010 konnte das einfach abgegriffen werden, ohne zu Google und Co. zu gehen – konnte man en Bloc abgreifen.

Nach 2010 Trend zu Verschlüsselung zwischen Nutzer und Unternehmen. Yahoo war unglaublich an den Pranger gestellt nach Snowden. Dann gezwungen, Verschlüsselung zu verwenden. Google viel für Verschlüsselung von Kunde zu Google getan. Bis 2009 konnte man Information abgreifen, ohne sich an Google zu wenden. Seit 2010 muss man hingehen.

Google ist Schnittstelle für Kommunikation. Wenn jemand Tk von Googlekunden haben will, muss Regierung hingehen. Ist nicht mehr das eigene Unternehmen. Whatsapp und Signal haben Ende-zu-Ende-Verschlüsselung. Haben selbst keinen Zugriff auf Informationen. Machen sich selbst blind. Aus Sicht der Privatsphäre bevorzugt. Ich als Techie würde sagen, dass Cybersecurity über Bedürfnisse von Regierungen herausgehen. Solche Ansätze werden wir mehr sehen, weil Unternehmen Verpflichtung verstehen.

Ströbele: @Halperin: Sie haben alle mehr oder weniger kritische Haltung gegenüber NSA. Haben erwähnt, dass Maßnahme in USA mit Freedom Act und Co. erfolgt, noch unzureichend ist. Sind Sie in USA sowas wie einsame Rufer in der Wüste? Oder vertreten Sie die Auffassung, die in der Bürgerrechtsszene in den USA verankert ist? Werden Sie mit der Kritik im US-Congress gehört? Wie ordnen Sie Ihre Haltung in den USA ein? In Deutschland haben viele die Auffassung, dass das in den USA weitgehend für sinnvoll gehalten wird, was die NSA macht. Dass es wenig andere Auffassung gibt, dass man sehr kritisch gegenüber Snowden ist. Leute wundern sich dann über Freedom Act. Wie kann man Stimmung einschätzen? Wie weit ist das hier repräsentativ?

@Soghoian: Sie setzen sich viel für Verschlüsselung ein. Ich weiß aus dem Jahr 2013, dass Meldung aus USA, dass einzelnen Firmen, die Krypto angeboten haben – eine eines, das auch Snowden nutzt -, dass das verboten wurde in den USA. Können Sie sagen, ist das richtig? Wie ist Haltung dazu heute? Können Sie gute Sicherheitssysteme bedenkenlos in den USA vertreiben? Ich habe mal empfohlen, dass solche Firmen sonst einfach nach Deutschland kommen.

Halperin: Ich wurde von der Nixon-Regierung abgehört. Einer meiner Freunde sagte: Regierung interessiert sich doch gar nicht für dich. Naja, war anders. Es gibt interessante Reformen. Viel hängt davon ab, ob Gesetze auslaufen. FISA-Änderungsgesetz muss erneuert werden, da wird es Änderungen geben. Geht da um Schutz von Amerikanern. Haben erfahren, dass Regierung Daten nutzen will, um gegen normale Amerikaner zu suchen. Das wird US-Congress reparieren und denke, er wird das ändern.

Denke, es besteht wenig Interesse, zu beheben, dass die USA Bürger anderer Länder ausspioniert. Geht nur mit Einschränkungen für Spionage von US-Bürgern durch andere Dienste.

Bis Ende der 1990er Jahre war der Export von Kryptotechnologie reguliert. Clinton hat das aufgeweicht, geht jetzt wieder. In letzten fünf Jahren große Veränderungen in Verschlüsselungslandschaft. Krypto heute viel leichter einzusetzen. Vor fünf Jahren gab es Gratisinstrumente. Aber so schwer zu nutzen, dass nur Nerds PGP genutzt haben. Aber Normalverbraucher hat entweder aufgegeben oder Fehler gemacht. Das ist wirklich anders geworden. Müssen wahrscheinlich Außenministerin Clinton für Veränderung danken müssen. Hat massenweise Geld für leicht nutzbare Verschlüsselung ausgegeben.

Haben Geld ausgegeben, um große Chinesische Mauer zu umgehen. Viel Geld für Tor oder Signal. Auch nicht wirklich bekannt: Verschlüsselung bei Whatsapp vor allem durch US-Steuergelder finanziert. So leicht zu nutzen, dass Standardeinstellung. Jeder der Whatsapp nutzt, kann seine Kommunikation schützen vor Angriffen. Gut angelegtes Steuergeld. Häufig nicht so viel Rendite für 2 Mio. Steuergeld. Auch iMessage und Signal nutzen starke Verschlüsselung. Wichtig, dass voreingestellt.

Hatten auch gefragt, wie das gesehen wird: H. Clinton nutzt Signal, weil sie ihre Kommunikation schützen möchte vor ausländischen Akteueren. Auch andere haben Parlamentskollegen sichere Kommunikation zu nutzen. Auch in AUS Bestrebungen. Viele haben erkannt, dass TK geschützt werden muss.

Hahn: @Soghoian: Schutz von Parlamentariern und anderen: BTag hat viele Jahre Verizon als Betreiber der TK gehabt. Nachdem was sie wissen: Ist davon auszugehen, dass gesamte Kommunikation an NSA gegangen?

Gibt offizielle Kooperation mit NSA: Wieviel, was NSA hier in Deutschland macht ist abgesprochen? Wieviel ist das nicht? Illegal? Kann man das quantifizieren? Was macht NSA hier ihrer Kenntnis nach?

Soghoian: Also, wenn parlamentarische Kommunikation nur durch Nation des Unternehmens geschützt werden soll, dann haben sie ein Problem. Müssen mehr nutzen als nur die Flagge. Verschlüsselung! Ist es ihnen möglich, als Abgeordneter verschlüsselt mit Kollegen zu telefonieren? Botschaften USA und Großbritannien sind unmittelbar in Nachbarschaft. Spionagenester in Botschaften.

US-Regierung ist nicht beschränkt auf Spionage mithilfe US-Unternehmen. NDs hacken sich ein in ausländische Unternehmen. Belgacom-GCHQ. Wenn Kommunikation via Belgacom wäre alles in Besetz NSA und GCHQ.

Starke Sicherheit: Keine eigenen Handys oder Mailaccounts. Müssen Aufwand für Sicherheit betrieben. In USA auf die harte Tour gelernt. Hacking durch Russland.

Stepanovich: Ich glaube, die einzige echte Antwort ist: Wir wissen es nicht. Vereinbarungen sind geheim. Unklar, wieweit Kooperation. Wenn sie sich fragen, wieweit NSA Aufklärung betreiben könnte und ob sie dürfte? Ja, nach EO 12333. Nicht nur gegen Bürger, auch gegen Abgeordnete. Breite Abschöpfung. Habe keine Info über Umfang der Abkommen. Nicht mit Deutschland, nicht mit 41 Augen. Wir haben viel Druck auf Regierungen ausgeübt. Haben versucht, Informationen zu bekommen. PI hat viel Arbeit geleistet. Aber es liegen sehr wenige Informationen vor.

Was NSA tut: Darüber wissen wir eigentlich am allerwenigsten.

Warken: Zwei Fragen @Edgar: Was hat sich konkret verändert/verbessert bei parlamentarischer Kontrolle und Aufsicht? Bereich Abkommen zwischen Ländern: Wie ich verstanden habe, sehen einige es als unrealistisch, dass es NO-Spy mit kompletten Verzicht gibt. Aber bei Kooperationen Vereinbarungen, dass Bürger geschützt sind. Ist das bei Five Eyes generell so? Grundlage für internationale Vereinbarungen?

Edgar: Habe Anfang nicht mitbekommen. Aber parlamentarische Kontrolle: Habe auch schriftlich dargelegt, dass in Erfahrung mit Section 702 FISA doch positive Ergebnisse. Erstes NSA-Programm, das überhaupt mit richterlicher Kontrolle. Hat in Vergangenheit wie geheimer GErichtshof gearbeitet. Nach Section 702 geht es jetzt darum, Sicherungsmechanismen wirklich zu überwachen und zu sanktionieren. Das passiert nach Section 702. Glaube, dass Richter und Gerichte nützliche Rolle spielen können. Und dass sie streng kontrollieren können. Wenn ich FISA-Regeln verletze, verletze ich richterliche Anordnung.

Wenn Verletzung PPD28 oder EO1233, dann kein Gesetzesverstoß. Regelverstoß und vielleicht Disziplinarrecht, aber ist was anderes als Gesetz. Gibt richterliche Kontrolle über fast alles, was NSA tut. Gilt auch für PRISM un Upstream.

Zweite Frage: Was ist Five Eyes? Geeinigt, einander nicht auszuspionieren? Was, wenn Gruppe größer wird? Regierung hat klar gesagt, dass Five Eyes nicht No Spy ist, auch wenn Bedeutung praktisch das selbe.

Sagt nicht, dass keine Spionage gegeneinander. Sagt, dass Daten ausgetauscht werden, um große Informationen weltweit zu sammeln. Wurde bei NDs so kommentiert, dass Austausch mit Großbritannien oder CAN einfacher als mit Stellen der eigenen Regierung.

Wenn man Prgramm gegen Briten machen würde, dann wäre das praktisch fast nicht möglich. Frage zu anderen Partnern in anderen Ländern? Frage von Ströbele: „Was tut NSA mit BND in Deutschland?“ Das was NSA tut, überall, lässt sich in 2 Arten kategorisieren: Entweder kooperativ oder Spionage. Im letzten Fall in der Regel relativ riskant. Wahrscheinlich in betroffenem Land illegal, diplomatische Beziehungen beeinflusst. Gibt hohe Hürde.

Vor 2013 Operationen, wo ich sagen würde, dass Risiko höher als Nutzen. Wenn ich wissen will, was BKanzlerin denkt als US-Präsident, würde ich sie eher anrufen. Bei anderen Ländern größere spannungen und Regierung so, dass Informationen nützlich sein könnten. Verhältnis Nutzen-Risiken einschätzen.

Sind die Fragen, wenn ich Deutscher wäre, dass Regierung diese Fragen an US-Regierung stellt: „Hört zu, wir haben Partnerschaft: Profitieren wir davon?“ Ja, Deutschland bekommt viele Informationen zu Terror und Co. Und dann Frage: Welche Regeln sollte es geben? Wenn Five Eyes Goldstandards, dann wollen wir in Deutschland was ähnliches. Dann Frage, warum USA Zusammenarbeit mit Deutschland wollen? Schiere Größe Deutschland, hochentwickelte NDs, zentral in EU. USA profitieren von Beziehung mit Deutschland. Deutschland hat Karten und Druckmittel. Umgekehrt auch.

Was Haplerin und ich gesagt haben: hürde erhöhen für alle. PPD28, Freedom Act… Aber wir können auch von ihnen lernen. Situation schaffen, dass mehr Vertrauen, dass Dienste sich in Kooperationen an Regeln halten.

Flisek: @Gorski: Zitat aus Interview Snowden mit NDR: „Gibt keine Zweifel, dass USA Wirtschaftsspionage betreiben. Wenn bei Siemens Informationen, die von Vorteil, werden sie der Information hinterherjagen.“

Glaubwürdig? Was wäre, wenn das so wäre? Was Unterschied zwischen Verfolgung nationaler Interessen und Maßnahmen für nationale Sicherheit? Ist NSA jenseits Aktivitäten für nationale Sicherheit befugt, die allgemein im nationalen Interesse sind? Wenn das so wäre, würde NSA befugt sein, solche Erkenntnisse auch Wettbewerbern in USA weiterzugeben? Möglich?

Haben Aussage von Obama, der gesagt hat, USA betreibt keine Wirtschaftsspionage gegen ausländische Unternehmen. Kontext mit Snowden-Zitat?

@Soghoian: Eine Frage taucht immer auf: Glauben sie, dass NSA Leute dieses UA abhört?

Gorski: Ob NSA Aufklärung über nationale Sicherheit hinaus durchführt. Absolut, ja. Nach Section 702 sind auswärtige Beziehungen der USA gemeint. Geht über Sicherheit hinaus. EO 12333 noch breiter. Geht um Fähigkeiten ausländischer Regierungen oder Personen oder Terroristen. Auslandsinformationen sind das, was Menschen im Ausland tun.

Snowden-Zitat: Soweit ich Snowden-Leaks verstehe, ist das der Fall gewesen. Aber ich würde sagen, dass mit PPD28 und Umsetzungsbeschlüssen aus Januar 2015 klargestellt wurde, was legitime Informationen sind. Steht in Verfahrensregeln, dass Sammlung von privaten, kommerziellen Informationen nur zulässig, wenn Schutz nationaler Sicherheit. Nicht, um US-Unternehmen Vorteil zu verschaffen. Wenn Verletzung von Sanktionen Thema, dann nicht Wettbewerbsvorteil. Hier unternimmt man Versuch, Wirtschaftsspionage zu erschweren, aber schwer zu sagen, inwiefern umgesetzt.

Soghoian: Frage umdrehen: Wie wichtig sind Sie? Spaß beiseite: NSA bekommt Aufträge von der Regierung. Wenn die Regierung die Information will, besorgt die NSA die Informationen. Echte Frage: Ist Ihre Kommunikation von Interesse für die Teile der US-Regierung, die Datensammlung beantragen.

Denke, es gibt MdBs, die von der NSA überwacht werden. Kommt auf Ihren Politikbereich an und Ihre persönliche Sicherheit. Wenn Sie das den USA leicht machen, haben die leichtes Spiel. Wenn Kommunikation besser geschützt ist, müssen die überlegen: Ist es das wirklich wert?

Wenn Präsident wissen möchte, was Sie tun und die NSA das nicht tut, dann macht sie ihre Arbeit nicht. Frage ist, ob Kommunikation leicht überwachbar, ob Mails verschlüsselt, etc. Aber wenn NSA das schaffen will, macht sie das.

Renner: Frage, ob Risiko, bei Spionage entdeckt zu werden, nicht zu groß, weil diplomatische Verwerfungen. Geheimdienstliche Agenten in Botschaften haben Sonderrechte. Wir können nicht agieren, BfDI kann nicht agieren. Keine Revision oder Kontrolle.

Sensburg: Ist aber jetzt eine Einzelmeinung.

Renner: Sachen, die wir wissen, primär aus Snowdendokumenten. Wie schätzen Sie die Strafvorwürfe gegen Snowden ein? BReg wird beurteilen müssen, ob Auslieferungsschutz in Deutschland. Würden Sie anhand der Vorwürfe bejahen, dass politische Strafverfolgung?

Zweite: Vom BND gehen Daten an die NSA, die er möglicherweise weitergibt. Wie ist rechtlich die Situation, wenn Information mit weiteren Diensten geteilt wird? Welchen Unterschied macht NSA zwischen Daten von US-Bürgern, EU-Bürgern und anderen?

Gorski: Wir haben Rechtsberater von ACLU, der Snowden unterstützt, daher nicht gut, dass wir Frage beantworten.

Sensburg: Wer anders?

Edgar: Snowden ist vor Bundesgericht angeklagt, dass NSA-Dikumente gestohlen und Informationen veröffentlicht. Ist dessen schuldig. Gibt keinen Zweifel, dass wir ohne Snowden Reformgespräche nicht haben würden. Hat Cybersicherheit verbessert, Art des rechtlichen Schutzes und viele Überwachungsprogramme selbst verbessert. ISt denke ich Ergebnis, dass sich Regierungen die Programme angeschaut haben. Haben gesagt: Im Endeffekt mächten wir, dass die NSA die Programme weiter durchführt.

Entweder er bleibt in Russland und hat rechtliches Damoklesschwert. Man kann Abkommen mit US-Regierung ausmachen. Aber unwahrscheinlich aus Ausland und Präzedenzfall. Oder Pardon von US-Präsidenten. Sind mögliche Ergebnisse.

Zweite Frage zu Datenteilungspraxis. Kommt auf vorhin zurück zu Five Eyes und Co., Frage ob Schutz geteilter Informationen bei Teilung weitergeht. Länder haben in Vergangenheit auf gegenseitigem Schutz bestanden. Kann nicht davon ausgehen, dass das universell gemacht wird. Ist Compliance-Frage. Wenn Abkommen zu komplex, verhindert man Datenaustausch. Also so gestalten, dass Daten getauscht werden können, aber Situation nicht, dass sie Daten so nutzen, wie wir das nicht erlaubt haben.

von Marschall: Frage an Ströbele anschließen. @Soghoian und @Stepanovich: Sie sind engagierte Gruppe. KA, ob das repräsentativ für US-Öffentlichkeit ist, unabhängig von politischen Lagern. Glaube wahrzunehmen, dass in USA traditionell große Skepsis hinsichtlich des Staates, Liberalismus. Skepsis teilen beide großen politischen Lager.

Sie haben uns vorhin geraten, in unsere Sicherheit zu investieren. Sicherheit hat mindestens zwei Seiten. Ende-zu-Ende in Whatsapp so, dass Betreiber blind gegenüber Kundenkommunikation. Aber trotzdem Frage, ob unter denen, was bedeutet das für die, die dem Staat schaden wollen? Terroristen? Wie soll der Staat sich möglicherweise notwendigen Zugriff auf deren Kommunikation verschaffen? Sie haben ja gesagt, dass dann OS-technologien genutzt wird.

Wenn Whatsapp so sicher ist, würde ich als Terrorist das ja auch nutzen.

Soghoian: Zuerst: Diese Gruppe hier repräsentiert natürlich nicht US-Gesellschaft. Wir sind hier fünf Weiße, USA sehen ganz anders aus. Was mit Bösen, die Verschlüsselung nutzen? Ich als Sachverständiger muss keine harten Entscheidungen treffen. Keine Art der Verschlüsselung, die die besten NDs fernhält und es Inlands-NDs fernhält. Wenn jemand sagt, dass eierlegende Wollmilchsau, dann lügen sie.

Muss entscheiden, wofür man mehr Angst hat. Will man in Gesellschaft leben, in der keine Kommunikation sicher vor Polizei oder nicht überwacht werden kann von ausländischen Regierungen. Beides geht nicht. Denke, Großteil der Kommunikation in Deutschland wird überwacht, nicht nur von meiner Regierung. Einzige Art sich zu schützen ist, dass sie stärkste und effektivste Art von Verschlüsselung nutzen.

Verschlüsselung wird Staat nie komplett draußen halten, aber macht es schwieriger. Ist auch Frage des Geldes. Bisher kostete das nicht viel. Mit Verschlüsselung erhöht das Kosten, müssen zielgerichteter Agieren und Hacken von Computern und wird schwieriger. Hacken kann man schweiriger machen, sodass es sehr schwierig wird, zu hacken.

Wir immer noch Möglichkeiten geben, aber wird nicht möglich sein, Millionen von Kommunikation abzugreifen.

Egal, ob es gefällt oder nicht: In Zukunft wird auch Polizei in Computer eindringen können. Ins Schlafzimmer gucken, Konversation zwischen Ehefrau und Ehemann abhören. Denke persönlich, dass Verwendung der Hackingfähigkeiten eine größere Gefahr für Demokratie birgt als Vorteile. Wenn sie Strafverfolgern Fähigkeiten an die Hand geben, machen sie sich Gedanken. Sobald sie die Möglichkeit geben, werden sie sich wundern, wie schnell sich das verbreitet.

Stepanovich: Frage Privatsphäre gegen Sicherheit reicht nicht aus. Ist Sicherheit gegen Sicherheit. Verschlüsselung, die nur manchmal scheitert, geht nicht. Sollte und kann man technisch nicht für Strafverfolger einrichten. In 90er Jahren ClipperChip in technische Geräte eingeführt werden sollte wurde belegt wie unsicher die Technik ist und das Verschlüssler nicht gut sind in ihrer Arbeit. Nicht, um zu sagen, dass die einen besser als die anderen sind, sondern um zu sagen, dass immer Löcher existieren.

Apple vs. FBI: Wurde gesagt, dass keine Möglichkeit besteht, das zu umgehen. Am Tag vor Gericht hat FBI einen Weg gefunden, das zu umgehen. Wir müssen Ressourcen aufwenden, Schwachstellen zu stopfen, nicht dafür, immer mehr zu öffnen. Dass Verschlüsselung zentrale Rolle hatte bei bisherigen Angriffen, ist sehr sehr schwach: Wahrscheinlich wurde Verschlüsselung genutzt, aber San Bernardino wurde am Küchentisch geplant. Da hilft auch Brechen von Krypto nicht.

Werden sehr bald Angriff sehen, wo Verschlüsselung Information geschützt hat. Verschlüsselung abschwächen kann nicht die Antwort sein. International über Regierungshacking sprechen, über Schutzsysteme. Darüber, dass Systeme in Deutschland, AUS etc. existieren. Zugang zu Metadaten, wie oft das eine Rolle spielt, wenn es um Aufspüren terroristischer Aktivitäten geht.

Schwächen von Verschlüsselung einfache Antwort, aber die falsche.

Notz: (15:39) zu von Marschall: In Deutschland wurde das schon entschieden in 90ern. Gab vorher ein Deutschland, wo private Kommunikation einfach mitgelesen wurde. Haben das abgeschafft. Glaube, wir müssen jetzt einfach Weg finden, Grundrechte in digitales Zeitalter zu übertragen.

@Soghoian: Wir haben eigene Kooperationen mit NSA untersucht – Eikonal, Glotaic, etc. – die gar nicht in Snowdenunterlagen waren. Gab Zugriffe von US-Diensten auf Glasfasern in Deutschland. Nach FOIA: Gibt es Idee, wie viele Arten solcher Operationen US-Dienste weltweit machen.

Sage ich nach Beispiel von Soghoian: Haben Daten eine Flagge? Wird Millionen Amerikaner auf der Welt geben, die Technik des Landes nutzen, in dem sie leben. Hat man eine Idee, wie viele Kooperationen es in dem Bereich gibt?

@Gorski: Ringtausch. Für BND gibt es Deutsche und Ausländer – Afghane wie Österreicher. Und die haben keine Grundrechte, also Pech gehabt. Wenn man jetzt Daten austauscht, läuft da nicht jedes Verfassungsrecht leer? Wenn Briten mit Amerikanern Daten austauscht, dann ist der Umstand, dass sich die NSA an die US-Verfassung hält, schön, aber wertlos. Universalität der Menschenrechte sollte doch Basis sein? Im Internet gibt es keine Nationalstaatlichkeit.

Soghoian: Werde versuchen, Teile zu beantworten. Wir nutzen FOIA extensiv. Trotzdem nicht die Superwaffe der Transparenz. Stehen nicht gut da, wenn wir Informationen von NSA bekommen wollen. Wir wissen, dass es manchmal unmöglich ist, eine bestimmte Liste zu bekommen. Wäre geschockt, wenn Antwort nicht: Können wir weder bestätigen noch leugnen.

Edgar: Waren zwei Fragen: Einmal Transparenz der Länder, mit denen NSA Abkommen hat außer Five Eyes. Da wenig Informationen. Zweit- und Drittparteien. Würde ACLU gerne auffordern, Informationen einzufordern. Gibt keinen Grund, warum das noch geheim ist. Wir wissen, dass NSA Beziehungen mit bestimmten Ländern hat. Das geheimzuhalten bringt wenige Vorteile.

Irgendwo ist immer jemand ein Ausländer. Wenn nur Rechte für eigene Staatsbürger, bedeutet das, dass man deren Überwachung einfach outsourcen kann. Nennen wir „Reverse Targeting“. Habe sechs Jahre in NDs gearbeitet: Man darf auch indirekt nicht tun, was man nicht direkt tun darf. Wäre Verletzung der Befugnisse, wenn NSA jemanden bitten würde, Informationen zu sammeln, die sie selbst nicht sammeln darf.

Wendet der BND dieses Prinzip an? Das weiß ich nicht. Sollten sie den BND fragen. Nach RIPA dürfen Großbritannien-NDs auch NSA nicht um Informationen über Großbritannien-Bürger bitten, wenn keine rechtliche Grundlage. BBW hat im IPT-Fall vorgebracht zu Entscheidung, ob Zusammenarbeit mit GCHQ rechtmäßig oder nicht.

Ist wichtig, dass Bestehen der Privatsphäre jedes Menschen weltweit. Alle NDs sollten Standards und Normen erhöhen. Nicht nur Realismus, auch wenn es ums Prinzip geht, ist ganz klar, dass Länder höhere Standards bei eigenen Bürgern anwenden. Beispiel der beiden Deutschland: DDR kein Pionier bei SIGINT-Informationen, sondern dabei, Daten über eigene Bürger zu sammeln. Westdeutschland hat SIGINT mit anderen erhoben, um sowjetische Bedrohung abzuhalten. Wenn Unterscheidung, dann nachvollziehbar. Wenn eigener Schutz der USA nur PPD28, dann wäre das schlimm. Wenn einziger Schutz für Deutsche Menschenrechtsgesetzgebung, dann wäre das schlecht für Deutschland. Man sollte bei eigenen Bürgern höhere Latte anlegen. Auch nicht im Austausch das machen, was direkt nicht erlaubt ist.

Gibt Mindestschutz im Rahmen der Menschenrechte. Wenn man die drei Prinzipien gemeinsam anwendet, dann hat man zumindest einen kleinen Schritt getan.

Soghoian: Sind alle Ausländer in allen Länder als unserem eigenen. Aber Unterschied: Sie nutzen die ganze Zeit Technik von US-Anbietern, also im Ausland. Ich nicht, bei mir läuft alles über mein Land. Wir sind alle Ausländer in anderen Ländern, aber manche sind häufiger Ausländer als andere. Keine Einbahnstraße. Muss nachdenken, weiviel Sinn es macht, Regierungskommunikation und Parlamentskommunikation durchs Ausland zu schicken.

Sensburg: 15 Minuten Pause.

(16:13) Geht weiter. Schipanski ist dran.

Schipanski: @Halperin: Haben auf Ringtausch hingewiesen. In Unterlagen Circular Intelligence Exchange. Haben festgestellt, dass kein Ringtausch bei BND. Bekannt, ob Ringtausch bei NSA?

Problematik ausländíscher Bürger: Inwieweit kann dessen Privatsphäre geschützt sein. Sie haben dreistufigen Prozess angesprochen. Ist das persönliche Meinung oder Diskussion in USA.

Sensburg: Bezüglich Ringtausch: Noch kein Konsens im NSAUA:

Halperin: Ist genau mein persönlicher Vorschlag, Round Table Discussion von Hoover Institute gesponsort. Diskussion über Schutz anstoßen, den Rest der WElt verdient. Habe Angst, dass Diskussion nur auf US-Bürger gefasst. Glaube, nicht Hauptwirkung von Section 702 FISA. Glaube NSA befolgt weitestgehend Regeln von US-Congress. Section 702 sagt, man kann tätig werden bei jemandem, der als Ausländer gesehen wird [Rauschen.]

Heute breit angelegte Diskussion. Mein Vorschlag ist nur ein Stück, den Kongress geht.

Renner: Problem, dass vieles Memoranden sind, die Kontrollgremien nicht bekannt sind und Parlament nicht vorlagen. Halperin oder Edgar: Ist das in USA ähnlich? Werden Memoranden Parlament nicht vorgelegt oder kann man sich das gar nicht vorstellen?

Wir haben Problem, dass wir als Dritte betrachtet werden in Parlament. Third Party Rule.

Operation BND und CIA: MCI Worldcom, US-Anbieter, beginnt mit Glo. Rätseln, was Kooperationsgegenstand, weil auch US-Verkehre. Könnte das eine Art Umgehung sein?

Halperin: Solche Begrenzungen gibt es in USA nicht. US-Congress bewilligt Mittel für die Dienste, kann auch Bedingungen geben. Heißt nicht, dass man alle Informationen bekommt.

Edgar: Kann nicht ganz zustimmen. Exekutives Privileg der Regierung. Wird oft nicht genutzt, findet keine Anwednung, US-Congress stimmt nicht zu. US-Congress hat immer Geldwaffe in der Hand. Ihr kriegt das nicht, wenn wir nicht die Sachen bekommen, die wir von euch wollen.

Dokumente an Kontrollgremien: Unterschiede zwischen Memoranden und Details: Details in der Regel nicht weitergegeben, nicht ohne Sicherheitsvorkehrungen. Ziel von Exekutive und Legislative das aus dem Weg zu räumen und zusammenzuarbeiten. ND, wenn sie Dokumente nich an Ausschuss geben würden, würde man das über Mitarbeiterschiene machen.

Was Deutschland angeht: Eigene Vorstellungen von Gewaltenteilung. Dritte Partei im Spiel sehr komplex. Multiple Einheiten. Wenn Regierung Information teilen wollen würde, aber USA was dagegen hätten: Diese Probleme kann es geben. Wenn ich sie beraten müsste: Machen sie soweit möglich Druck. Sie haben legitimes Anrecht. Wenn Bedenken der anderen Seite, muss man einen Weg finden.

Flisek: @Soghoian: Wir haben Auftrag, festzustellen, was haben Five Eyes-ND zwischen 2001 und 2013 in Bezug auf Deutschland getan? Haben Beweisschwierigkeiten, weil keine Zeugen von US-Administration oder -NDs. Können auch keine US-Akten beiziehen. Haben uns entschieden, US-CEOs einzuladen. Würde gerne fragen, wie würden sie in der Zeitachse, beginnend 2001, 9/11, überbordender Patriotismus, der Konsequenzen für Enge der Zusammenarbeit IT und NDs zusammen, wie hat sich das bis heute entwickelt? Wie strategische Positionierung der Firmen einordnen. Frage nach Zusammenarbeit hat ganz andere Qualität erreicht. Wesentliche Etappen?

Soghoian: Super Frage, ist Thema meiner Doktorarbeit. Danke. Über Daumen gepeilt: Telko-Unternehmen sehr nah an NDs. AT&T, Verizon, T-Mobile haben gewisses Maß an Transparenz: Transparenzbericht.

Letztes Jahr AT&T in Prozess mit drin. Zum ersten Mal seit 1983 Telko in Prozess und dann noch uns gewogen.

Telkos waren ein Arm der Regierung, entscheidende Rolle während der Weltkrieg. Haben Vorgängerinstitution der NSA geholfen. Von FCC stark kontrolliert. Die nutzt ihre Macht dazu, Überwachung zu ermöglichen. Bevor FCC internationalem Anbieter erlaubt, Glasfaser in USA zu legen, muss das Übereinkommen unterschreiben, dass Strafverfolger Zugang bekommen. Wer würde sich entgegenstellen, wenn US-Regierung dann Geschäft kaputtmachen könnte. Beziehung Tech-Unternehmen und Regierung ganz andere Kultur. Silicon Valley: Gefühl der Unabhängigkeit. Heißt nicht, dass sie nicht die Daten sammeln. Das wird als anderer Aspekt gesehen.

Wie hat sich das entwickelt? Massen-NSA-Programm unter Bush offengelegt. Massenabhören ohne richterliche Anordnung. Dann Telkos vor Gericht gestellt und kritisiert. Die haben gesagt: Datenweitergabe ist unser Recht auf Meinungsfreiheit. In Silicon Valley anders: Cybersecurity ignoriert, dann kam Snowden und hat das auf Titelseite gebracht. Wurde ungemütlich. Cybersecurity kostet Geld. War schwer für Ingenieure und Sicherheitsteams, sich bei Management Gehör zu verschaffen und dafür Geld zu kriegen. Snowden hat das geändert, weil es peinlich war. Schecks wurden unterschrieben, es gab Geld. Sicherheitsteam von Google bekam alles, was es wollte. Alles für bessere Verbindung wurde aktiv gefördert. Haben gesehen, dass restriktive Haltung sich gelockert hat, wenn es um Kryptoeinsatz ging.

Jüngst Apple, Whatsapp und Co., die wirtschaftlichen Vorteil sehen, Verschlüsselung anzugehen.

Gibt Unternehmen, die sich als führend bei Privatsphäre positionieren. Andere – wie Microsoft, weiter konnte man nicht hinterherhinken – haben jetzt gezeigt, dass sie aktiv werden. Hier sagt auch MS, dass die sogenannten Gag Orders nicht rechtmäßig sind, auch vor Gericht. Oft wäre es einfacher, wenn man zügig Verschlüsselungstechnologie einsetzen würde. Snowden hat offengelegt, dass Skype Verschlüsselung runtergefahren hat, um es Regierung einfacher zu machen.

MS hat sich rechtlich stark gemacht, aber auf technischer Seite nicht: Das ist schade, ist ein Widerspruch.

Notz: Snowden gezeigt, dass BND massenweise Selektoren für NSA gesteuert hat. IMEI, E-Mail etc. Gibt es in den USA Verfahren, welche Selektoren zulässig sind und wer die freigibt?

Controlling in zeitlicher Hinsicht und dann erledigt sich Ziel? Rechtliche Voraussetzungen für Steuerung?

Gorski: Diese 93.000 ist Anzahl von Zielen, nicht Accounts, nach Section 702 FISA. Nach Section 702 muss man ein Nicht-US-Bürger sein, der sich auch im Ausland aufhält. Das sind Nicht-US-Personen. Personen außer Landes.

Edgar: In den 93.000 sind Ausländer mit permanenter Wohnung. Aber nur Section-702-Erfassungen innerhalb USA. Außerhalb USA: Da gibt es keine Kontrolle oder Beschränkung. Was dem am nächsten kommt ist PPD28. Heißt: wenn keine Selektoren, dann gibt es Beschränkungen für bestimmte Zwecke. Das Konzept der Selektoren fällt unter Section 702, beschränkt auch Möglichkeit der NSA Daten zu US-Personen zu erfassen. Zu Nicht-US-Personen: Keine Einschränkung.

Wieviele Selektoren? KA, weiß wahrscheinlich keiner. Aber unzählige. Frage der rechtlichen Zuständigkeit. NSA kann Daten außerhalb USA sammeln, solange keine US-Person betroffen ist. Ist aber sinnlos, massenhaft Daten zu sammeln, wenn man sie auch gezielt sammeln kann.

Im Moment Befassung mit spezifischen Programmen, die auch Amerikaner betroffen.

Notz: Leuchtet ein, wirft aber auch Fragen auf. Häufig Problem, dass Filter nicht richtig einstellbar und man manche Leute nicht richtig ausfiltern kann. US-Bürger kommunizieren über den ganzen Planeten. Von Soldaten bis zu Pillow Talk – läuft über internationale Netze. Gibt es von parlamentarischer Seite kein Bestreben, rauszufinden, wer was einsteuert? Missbrauchspotential scheint gigantisch.

Wahrscheinlich Selektoren noch viel, viel mehr. Müssen viele Amerikaner am Tag betroffen sein. Müsste es da keine Kontrolle geben?

Edgar: Wer wählt Selektoren aus? Analysten der NDs würden das machen. Wenn das von Gesetz kontrolliert ist, dann wird es Verfahren geben. Nach EO 12333 weniger strikte Vorgaben, nur dass Interessen US-Personen berücksichtigt. Letztlich kann Analyst entscheiden, Daten zu sammeln und Selektoren festzulegen. Wenn nicht rechtlich geregelt und keine US-Personen betroffen, dann auch wenig Kontrollmöglichkeiten.

Gibt Kontrolle durch US-Congress, ist aber recht lax. Konzentriert auf Aktivitäten unter FISA. Schlage vor, dass mehr Transparenz bei Entscheidungen und mehr zur Verfügung gestelt wird.

Soghoian: Gab Skandal wo Analysten Gespräche von Soldaten mit Zuhause abgehört haben und Wettbewerb gemacht haben, auch intime Gespräche. Sicher auch zum Teil gezielt abgehört.

Gorski: Feinstein hat gesagt, dass Ausschuss in US-Congress nicht geeignet, um Kontrolle durchzuführen.

Sensburg: @Edgar: Wie geht das mit US-Selektoren genauer? Wer guckt drüber, wählt aus? Sind ihnen Selektoren bekannt? Wie kommt da ein EU-Mitglied rein? Setzt das irgendein Client fest? Wollen Minister aus EU-Land XY. Wie machen sie das konkret? In Praxis?

@Soghoian: Konkrete Operationen? Für uns große Chance Neues zu erfahren. Wissen sie über das, was sie über Ausschuss verfolgen konnten, etwas über weitere Programme und Projekte? Gucken sie, was gibts bei uns Neues und können sie uns noch Neues sagen?

Schreiben an US-Regierung ist immer hoffnungsvoll, aber können sie uns noch Weiteres sagen?

Edgar: Gute Gelegenheit, da sie mich über bestimmte Strafen belehrt haben: Ich habe keine solchen Informationen. Aber wie es zu Selektoren kommt: Ist ND-Sache. Beispiel: Staatliche Stelle, die sagt, eine Person ist von uns von Interesse, lasst sie mal durchs System laufen.

Wichtig ist, dass Analyst sich Fragen stellt. Ob Selektor im Einklang mit jährlichem Prioritätenrahmen liegt. Das soll Missbrauch vorbeugen. Man würde auch schaun, ob Informationen über Aufenthaltsort der Person. Entweder technisch in Datenbanken oder „Warum aben wir Selektor überhaupt?“

Wenn Fehler, dann vielleicht US-Selektor, was man am Anfang vielleicht nicht wusste. Wenn das auffällt, muss man Selektor sofort deaktivieren. Wenn man überwacht, bekommt man Informationen. Wenn es dann Kontrolle und Rückversicherung gibt, dann wird es einfacher, so kann man Fehler korrigieren.

Andere Selektoren entstehen durch Metadaten und Analyse. Wichtigkeit von Personen in Netzwerken, Terror, Waffennetzwerk. Dann fügt man Person der Liste hinzu.

[Rauschen]

Schon vorhin zu Notz gesagt: Massenweise Sammlung von Daten anders als Strafverfolgung, wo mehr Einschränkungen. Chance durch Snowden ist, dass wir diese Debatten jetzt führen können. Kann man drei Dinge tun: Sagen, wir sind nicht inverstanden. Programme sollten beendet werden. Aber auch: Wir finden das in Ordnung, weil erforderlich zum Schutz. Glaube, Wahrheit ist in der Mitte: Programme haben wichtige Fähigkeiten, aber wir wollen bessere Kontrolle, weil mehr Missbrauchsmöglichkeiten.

Soghoian: (16:55)Zu Selektoren: Auswerter hat aus Versehen Leute in Washington abgehört, weil Vorwahlen verwechselt mit Ägypten. Passieren Fehler, man hört vielleicht mal die falschen Leute ab. Was soll Ausschuss damit anfangen. Sie können Informationen von deutschen Unternehmen anfragen. Gamma, Trovicor, die Überwachungstechnologie in manche der autoritärsten Staaten der Welt. Deutschland ist nicht unschuldig, auch ihnen klebt Blut an den Händen. Mal die Kundenlisten angucken.

Renner: @Halperin: Gibt es Schutz, der ausschließt, dass Selektoren gegen Berufsgeheimnisträger genutzt werden? Presse, Geistliche, Ärzte? Bei Frage, was ist ungesetzlich, stellt sich auch diese Frage.

@Stepanovich: Haben auf Probleme in US-Gesetzgebung hingewiesen. Mich interessiert: Problematik bei Begriff Collection. Daten nicht geschützt, wenn sie durch ein System laufen, solange im Strom. Gibt es Diskussion, das zu verändern? Oder wird Rechtsauffassung in USA bleiben?

Halperin: Niemand ist ausgenommen von der Überwachung. Bestimmte Gespräche unterliegen Minimalisierungsverfahren. Glaube, aber nur US-Personen. Aber gibt Ausnahmen von Ausnahmen. Bei Verbrechen oder Bedrohungen kann man auch Ausnahmen anführen.

Stepanovich: US-Regierung hat gerade Dokument mit Definition neu herausgegeben. Und auf Grundlage meiner Stellungnahme geändert. Interessant, dass Zeitraum relevant wird, die Daten brauchen. Bei heutiger Technologie ist aber Haltezeit für Daten nicht relevant. Man kann in Augen blicken ganze Kommunikationen anschauen und analysieren. Viel invasiver, nicht nur Worte gescannt, sondern auch Inhalte. Wenn man das immer nochj daran festmacht, wie lange Information gehalten wird, dann wird man feststellen, dass trotzdem immer mehr nutzbar gemacht werden kann.

Aus unserer Sicht ist das massenhafte Überwachung, weil unterschiedslos. Gezielt wird Überwachung erst durch den Scan. Häufig auch Thema bei EU-Parlamentariern und Privacy Shield. Gezielt heißt in US-Recht etwas ganz anderes als in EU-Recht.

Sensburg: @Soghoian: Weitere Firmen wie vorhin erwähnt?

Soghoian: G-A-M-M-A, Produkt FinFisher. Das andere ist Trovicor. Ausgründung von Nokia Siemens. Das sind nur zwei. Sie können auch mit Regierungsstelle sprechen, die für Exportlizenzen zuständig sind.

Sensburg: Weitere Fragen? Keine weiteren Meldungen. Wenn keine weiteren Fragen, sind wir am Ende der Anhörung. (17:04)

Weitersagen und Unterstützen. Danke!
22 Kommentare
  1. Zitat :,,Letzter Punkt: Sicherheitsproblem durch Überwachung auf der ganzen Welt. Alle wollen Überwachung stärken, Missachtung der Menschenrechte. Immer leichter, Infos zu sammeln, Vorhersagen zu treffen. Rufe dazu auf, in D das zu verhindern und Wettrüsten zu beenden. Privatsphäre muss geschützt werden.“….
    Flisek: @Gorsky: Zitat aus Interview Snowden mit NDR: „Gibt keine Zweifel, dass USA Wirtschaftsspionage betreiben. Wenn bei Siemens Informationen, die von Vorteil, werden sie der Information hinterherjagen.“….
    ,Glaubwürdig? Was wäre, wenn das so wäre? Was Unterschied zwischen Verfolgung nationaler Interessen und Maßnahmen für nationale Sicherheit? Ist NSA jenseits Aktivitäten für nationale Sicherheit befugt, die allgemein im nationalen Interesse sind? Wenn das so wäre, würde NSA befugt sein, solche Erkenntnisse auch Wettbewerbern in USA weiterzugeben? Möglich?“

    Dies bestätigt auch Keith Alexander. Wirtschaftsspionage ist und bleibt der Schwerpunkt der Überwachung. Terrorismus ist lediglich Beifang.

    Wettrüsten zu beenden ? Die USA wird sicherlich nie klein beigeben … gegenüber Russland oder China… Es geht ihnen auch um ihr Wertesystem… Dann müssten Russland und China ebenfalls das “ Wettrüsten“ einstellen… und das ist nicht sehr wahrscheinlich

    1. Nadine, einfache Logik, ist die Beste Logik!
      Ist eine Wirtschaft besser in irgendeiner Sache als die eigene, so bedroht das die Nationale Sicherheit!
      Ist eine Destabilisierung im Sinne der Nationalen Sicherheit, so muss diese erfolgen!

      … das nennt man auch „Nationalismus“, naja … „Sozial“ ist das ja nicht gerade!
      … also trifft „Nationalsozialismus“ hier nicht zu, oder?

      1. Was ich damit sagen will ist, dass die Überwachung ja kein amerikanisches Problem allein ist. Wie willst du einen überzeugen damit auf zu hören ?

        Im Punkte Zitat:,, Rufe dazu auf, in D das zu verhindern und Wettrüsten zu beenden. Privatsphäre muss geschützt werden.“….“

        Man kann nur alles tun, um ihnen es nicht zu einfach zu machen. Es bedroht wohl eher „den Nationalen Geldbeutel “ ;) Für Geld macht manch ein Mensch eben alles. Und wenn er dabei Grund-und Menschenrechte mit Füßen tritt. Sicherlich steuert das System auch seinen Teil dazu bei. Das ist ja das verlogene.

        1. Nun, solange „Der Andere“ nicht damit aufhört, denken „Wir“ doch nicht daran, aufzuhören!
          Es ist ein Teufelskreis … nur wenn alle gleichzeitig aufhören, aber dazu misstrauen sich alle zu sehr!
          … und selbst wenn sie es beschließen, dann findet immer irgendeiner einen Grund, die „Anderen“ im „Nationalen Interesse“, wegen der „Nationalen Sicherheit“ … die Regelung zu umgehen bzw. zu brechen!

          1. Jupp, reader … wie der Kim es mal wieder demonstrierte, Nord Korea ist „A“ Versichert!
            Das war sicher eine Drohgebärde in Donald Du… Trump’s Richtung!

      1. Würde dieses als Stream irgendwo liegen, wäre es illegal!
        Nicht umsonst hat sich Anna des schriftlichen bedient!
        Klar wäre es einfacher, aber leider sind während dieser „Veranstaltung“ keine Kameras erlaubt, denk ich …
        Wären Kameras erlaubt, hätte eRTeL seine Big Brother Sache gegen diese „Pannenshow“ eingetauscht!
        Es ist köstlich zu Lesen!
        Wie sie sich winden … entweder weil sie nicht sagen dürfen oder Sache nicht wissen, die sie wissen müssten, sagen dürften … aber nicht können!

        1. Nein, ein Stream wäre nicht illegal. Nicht zum ersten Mal hat der Ausschuss beschlossen, eine Videoübertragung zuzulassen. Auch wenn wir einen Stream nicht mehr rechtzeitig hier verlinkt haben, kann man hier die Sitzung in der Mediathek des Bundestages anschauen: http://dbtg.tv/cvid/6999237

    1. bei … gefunden:

      http://technische-aufklaerung.de/ta043-oeffentliche-sitzung-am-08-09-2016/#respond

      http://www.bundestag.de/mediathek/?action=search&ids=6999237&instance=m187&mask=search&contentArea=details

      Leute, wenn ihr etwas nicht wisst, braucht ihr nicht so tun als ob ihr irgendwie behilflich sein könntet!

      Ich habe mir die 4 h jetzt teilweise angeschaut:

      pro:

      die 2 ACLU-Leute sind top

      contra:

      – Der alte Sack hat eine Grippe und zieht ständig unglaubliche Grimassen, niest und poppelt sich in der Nase vor laufender Kamera.
      – Der Ausschuss frisst sein Vespers vor laufender Kamera
      – der Übersetzer ist teilweise überfordert. Doppelt ärgerlich, wenn man den eigentlich nicht braucht!
      – Warum wurden die anderen 3 Experten eingeladen und wer war das? Warum sitzt die Lobbygruppe von Sorors in Form von OSF da am Tisch, der enge Verbindungen zur CIA nachgesagt werden?

      So etwas unprofessionelles habe ich schon lange nicht mehr gesehen! Bin gerade wirklich wütend auf die ganzen Schlafmützen, die diese wichtige Veranstaltung so versauen!

      Es gibt sehenswerten Inhalt von den 2 ACLU-Menschen, aber man muss sich durch einen Haufen Spam zappen.

  2. Rein aus Neugierde. Spenden eigentlich auch Abgeordnete aus dem Bundestag an euch?
    Einfache Ja oder Nein genügt. Erhalten durch euch ja Zugang zu Informationen, die sie vielleciht gar nicht interessieren würde.

  3. Thomas de Maizière nennt 520 Gefährder in Deutschland. Hat er die Abgeordnete im Bundestag und in den Landtagen gezählt, die die Demokratie gefährden und die Rechtsstaatlichkeit für den Verfassungsschutz und BND ausserkraft gesetzt haben oder werden?

  4. Aber die setzen doch die Rechtsstaatlichkeit nur für unsere “ Sicherheit “ außer Kraft.
    Nein, es ist einfach nur widerlich was politisch in dieser Sache aus Berlin kommt.

    Eine Kanzlerin die Heuchelei pur zeigt. Gespielte Empörung und Handlungsbereitschaft…

    Dafür gehört denen die Goldene Himbeere verliehen.

    1. Eindeutig STASI Methoden (Film „Das Netz“, nur das die Falle ein Mann ist), die STASI und deren Methoden (Suchstring: Venusfalle STASI ) gibt es nicht mehr, also ist dieser Mensch psychisch Krank!
      Pathologische Paranoia … wie bei Andrej Holm (Suchstring: Verfassungsschutz Andrej Holm ) … blanker Verfolgungswahn!
      … im übrigen wenn eine Person unter Paranoia leidet, muss das nicht heißen, das diese Person nicht überwacht wird!
      Man kann aber auch in den Wahnsinn getrieben werden … Suchstring: Psychiatrie STASI

      … aber das was der Mann da geschildert hat, ist alles nur VT, weil … sooooo etwas ist in Deutschland verboten und deswegen macht das hier in Deutschland auch kein Dienst!
      Weil das nicht sein kann, was nicht sein darf!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.