Wie CNET berichtete, hat die US Amerikanische Bundespolizei – das Federal Bureau of Investigation (FBI) – dank der sogenannten „pen register and trap and trace order“ (PRTT) die Möglichkeit jegliche Meta-Daten direkt beim Internet Service Provider abzufangen. Per Verordnung kann das FBI den ISP schon bei dem kleinsten Verdacht oder Hinweis beauftragen diese Daten eines Kunden abzuspeichern. Falls die Infrastruktur des ISPs dies nicht erlaubt, will das FBI eigene Blackboxes und „Port Reader Software“ installieren. Hier wehren sich – zum Glück – einige Provider und wollen weder Software noch Blackboxes in ihre Systeme integrieren.
Hier gibt es zwei grundsätzliche Probleme: Zum einen verlangt die „pen register and trap and trace order“ (PRTT) nur minimale richterliche Schranken. So „winkt“ der Richter diese Anträge einfach durch, da lediglich überprüft wird, ob alle Formalien erfüllt sind und nicht, ob genügend Verdacht besteht. So wurden laut CNET 2010 rund 900 dieser Anträge ausgestellt – 2011 waren es schon über 1600.
Judges have concluded in the past that they have virtually no ability to deny pen register and trap and trace requests. „The court under the Act seemingly provides nothing more than a rubber stamp,“ wrote a federal magistrate judge in Florida, referring to the pen register law. A federal appeals court has ruled that the „judicial role in approving use of trap and trace devices is ministerial in nature.“
Außerdem schreibt die Electronic Frontier Foundation in ihrem „Surveillance Self-Defense“ Projekt zu den PRTTs, dass es nichtmals Fakten oder Indizien geben muss, sondern das FBI dem Gericht nur beteuern muss, dass sie glauben, die Daten würden den laufenden Ermittlungen behilflich sein.
The police don’t even have to state any facts as part of the Electronic Communications Privacy Act of 1986 — they just need to certify to the court that they think the dialing information would be relevant to their investigation. If they do so, the judge must issue the pen/trap order.
Zum anderen ist unklar, was für das FBI alles unter Meta-Daten fällt. Niemand, außer des FBIs, hat Einsicht in die „Port Reader Software“ oder die Blackboxes. So weiß man nur, dass in einem Gerichtsurteil von 2006 (Washington D.C.) beschlossen wurde, dass alles einer E-Mail analysiert werden darf – außer Betreff und Inhalt. Das Gesetz ist hier recht weit auslegbar, da es nur von „dialing, routing, addressing, signaling information“ spricht.
The term “pen register” means a device or process which records or decodes dialing, routing, addressing, or signaling information transmitted by an instrument or facility from which a wire or electronic communication is transmitted (18 USC § 3127)
CNET liegen allerdings Informationen vor, dass das FBI zumindest auch Paketgröße, Portname und IPv6 Flussdaten analysiert. Wie so oft bei staatlicher Überwachung ist man auf Insider-Informationen angewiesen, um zumindest Hinweise auf die eigentlichen Wirkungsweisen und Tragweite zu erhalten. So kritisiert auch Alan Butler des Electronic Privacy Information Center, dass es keine offiziellen Aussagen über die genaue Funktionsweise dieses „Harvesting Programs“ gibt:
Can you get things like packet size or other information that falls somewhere in the grey area between traditional pen register and content? How does the judge know the box is actually doing? How does the service provider know? How does anyone except the technician know what’s going on?
So ist sich Hanni Fakhoury sicher, dass das FBI die Grenzen des gesetzlich erlaubten ausreize und vielleicht sogar überschreite, falls die Blackboxes auch Informationen speichern und nicht nur weiterleiten.
The bigger fear is that the boxes are secretly storing something, or that they’re doing more than just simply allowing traffic to sift through and pulling out the routing information. For the Feds to try to push the envelope is to be expected. But that doesn’t change the fact that we have laws in place to govern this behavior for a good reason.
Als Randnotiz: Selbst in Twitters Transparency-Report tauchen PRTTs auf. So basierten etwa 5% der richterlichen Verfügungen, die Twitter im ersten Halbjahr 2013 erhielt auf PRTTs.
Nach Veröffentlichung des Artikels bei CNET hat das FBI Declan McCullagh kontaktiert, allerdings lediglich mit einer Null-Aussage:
Pen Register and Trap and Trace orders grant law enforcement the authority to collect dialing, routing, addressing, or signaling information associated with a target’s communications. This information includes source and destination IP addresses and port numbers. In circumstances where a provider is unable to comply with a court order utilizing its own technical solution(s), law enforcement may offer to provide technical assistance to meet the obligation of the court order.
Letztlich ist es sehr bedenklich, dass das FBI verstärkt diese Möglichkeit zur Überwachung und Analyse von Meta-Daten benutzt. Aus Sicht des FBI ist es sehr verständlich, da sie im Gegensatz zu Abhöranträgen (wiretaps) weder verdacht begründen, noch Beweise liefern müssen. Das Gesetz hinkt hier der Realität stark nach – wie viele der amerikanischen Experten anmerkten – es auf der Überlegung beruht, dass Meta-Daten wesentlich weniger über einen Benutzer aussagen. Diese Annahme ist jedoch heutzutage nur noch bedingt richtig, dann Meta-Daten geben heutzutage dank Netzwerk-Analyse und Visualisierung von z.B. Bewegungsgraphen sehr viele Möglichkeiten für Rückschlüsse. So hat Matthew Cole, Journalist bei NBC News, erst letzte Woche auf der Black Hat gezeigt, dass nur anhand von Meta-Daten eine geheime und illegale CIA-Operation in Italien aufgedeckt wurde.
0 Ergänzungen
Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.