Spenden

Anna Biselli

Anna Biselli

Foto: Darja Preuss

Anna ist Co-Chefredakteurin bei netzpolitik.org. Sie interessiert sich vor allem für staatliche Überwachung und Dinge rund um digitalisierte Migrationskontrolle.

Kontakt: E-Mail (OpenPGP), Mastodon, Telefon: +49-30-5771482-42 (Montag bis Freitag jeweils 8 bis 18 Uhr).

  • : Stehen Journalisten in Überwachungsdatenbank NADIS WN? „Berufsangabe möglich, aber keine Pflicht“
    Pressefreiheit ist nicht mit der Überwachung von Journalisten vereinbar (CC BY-NC-ND 2.0 via flickr/Julia)
    Stehen Journalisten in Überwachungsdatenbank NADIS WN? „Berufsangabe möglich, aber keine Pflicht“

    Wiederholt hat die Linksfraktion im Bundestag eine Nachfrage zum Thema „Bespitzelung von Journalistinnen und Journalisten durch den Verfassungsschutz auch außerhalb Niedersachsens“ gestellt. Anlass war eine ungenügende Auskunft beim letzten Mal auf die Frage, ob Journalisten Gegensatnd von Überwachung seien. Man redete sich damit heraus, dass „weder im Bundesamt für Verfassungsschutz noch im Bundesnachrichtendienst eine statistische Erfassung der erfragten Speicherung von Datensätzen
    mit den bezeichneten Berufsgruppenangaben über den erfragten Zeitraum“ erfolge und die Frage somit nicht beauskunftet werden könne.

    Thema geworden war diese Frage nachdem letztes Jahr bekannt geworden war, dass der Landesverfassungsschutz Niedersachsen rechtswidrig in mindestens sieben Fällen Journalisten überwacht hatte.

    Die Antworten der Bundesregierung bleiben weiterhin unbefriedigend. Weite Teile der Antworten sind nur für die Abgeordneten in der Geheimschutzstelle des Bundestags einsehbar, „da ein Bekanntwerden von Beratungen und Beschlüssen die Wirksamkeit der nachrichtendienstlichen Aufgabenerfüllung beeinträchtigen könnte und damit das Staatswohl gefährdet würde.“

    Aber immerhin gibt die Bundesregierung zu, dass es im Nachrichtendienstlichen Informationssystem Wissensnetz (NADIS-WN) ein Feld zur Eintragung des Berufes der in der Datenbank erfassten Person gibt – man also eigentlich feststellen könnte, ob sich explizit Journalisten in der Datenbank befinden.

    NADIS WN stellt zu jeder gespeicherten Person bei Bedarf eine Möglichkeit zur Erfassung von Berufsbezeichnungen in einem Freitextfeld zur Verfügung. Hierbei handelt es sich nicht um eine Pflichtangabe, sondern um ein zusätzliches Merkmal, das zur Identifizierung einer Person beitragen kann.

    Man versucht mit der Rede von der fakultativen Angabe plausibel zu machen, nicht zu wissen, ob Journalisten bespitzelt werden und wurden. Gleichzeitig bestätigt man später die Möglichkeit, in NADIS-WN explizit nach Berufen filtern zu können. Im Gegensatz zu Abgeordneten werde jedoch bei Journalisten, Anwälten und anderen geschützten Berufsgruppen keine automatische Benachrichtigung des Datenschutzbeauftragten des Bundesverfassungsschutzes vorgenommen. Das könnte man so verstehen: Die Möglichkeit, Berufe zu erfassen, ist vorhanden und kann genutzt werden. Wenn ebenjener Beruf jedoch eine Einschränkung der Überwachungsbefugnisse mit sich brächte, ignoriert man ihn lieber und tut so, als sei er nie dagewesen.

    Martina Renner (MdB Die Linke), Mitglied im Innenausschuss des Bundestags und Obfrau um NSA-Untersuchungsausschuss, sagt:

    Wir müssen davon ausgehen, dass die Bundesregierung das Parlament in der Frage der Bespitzelung von Journalisten und Journalistinnen durch das Bundesamt für Verfassungsschutz anlügt und werden die entsprechenden Konsequenzen daraus ziehen.

    von Anna Biselli 2. September 2014 1
  • : Kein Whistleblowerschutz in Sicht – Bundesregierung versteckt sich hinter ewiger Prüfung
    Maulkorb für potentielle Whistleblower - Kein rechtlicher Schutz für Hinweisgeber in Sicht (CC BY-NC-SA 2.0 via flickr/mag3737)
    Kein Whistleblowerschutz in Sicht – Bundesregierung versteckt sich hinter ewiger Prüfung

    In Deutschland fehlt es an geeigneten Regelungen zum Schutz von Whistleblowern. Aus einer Antwort auf eine Frage von Grünen-Fraktionsvize Konstantin von Notz geht hervor, dass sich das auch in absehbarer Zeit nicht ändern wird. Dieser zufolge werde immer noch geprüft, ob die deutsche Gesetzeslage „internationalen Übereinkommen oder Empfehlungen entspricht“. Dass man ständig in einer Prüfung der Sachlage feststeckt anstatt zu handeln ist symptomatisch. Von Notz dazu auf gruen-digital.de:

    [Im Koalitionsvertrag] schreibt die schwarz-rote Koalition nicht mehr davon, den Whistleblowerschutz ausbauen zu wollen, vielmehr einigte man sich darauf, die Frage, ob beim Hinweisgeberschutz internationale Vorgaben hinreichend umgesetzt sind, prüfen zu wollen.

    Das ist umso peinlicher, denn bereits seit 2010 sind neue arbeitsrechtliche Gesetze zum Schutz von Whistleblower – oder zu Deutsch: Hinweisgebern – geplant. 2011/12 legten sowohl die Grünen nach einer Onlinekonsultation, die SPD als auch die Linke je einen Gesetzentwurf zum Diskriminierungsschutz von Hinweisgebern für mehr Transparenz in Betrieben und Institutionen vor. Alle wurden von Schwarz-Gelb abgelehnt.

    Im letzten November veröffentlichte Transparency International einen Vergleich von Regelungen zum Whistleblowerschutz in den EU-Mitgliedstaaten. Die Organisation kam zum Schluss, dass in Deutschland einiges im Argen liegt. Die Vorsitzende Edda Müller fasste zusammen:

    Arbeitnehmer, die in Deutschland auf Missstände hinweisen, begeben sich auf Glatteis. Es gibt keine klaren rechtlichen Regelungen, so dass sie die Konsequenzen ihres Tuns nicht abschätzen können. Wir fragen die künftige Kanzlerin Angela Merkel: Wollen wir so mit Menschen umgehen, die auf Missstände hinweisen? Wir erwarten gleichzeitig von der SPD, dass sie sich in den Koalitionsverhandlungen für einen verbesserten Whistleblowerschutz einsetzt, so wie sie es in ihrem Wahlprogramm angekündigt hat.

    Von Notz prangert gegenüber heise online die Verzögerung an, da es nur mit Hilfe von Whistleblowern „eine offene Debatte über den notwendigen Schutz von Demokratie und Rechtsstaat“ geführt werden könne. Er kündigte an, die Grünen planten eine erneute Initivative für besseren Whistleblowerschutz in den Bundestag einzubringen. Ob das Erfolg zeigt, bleibt ob der blockierenden Rolle der Bundesregierung abzuwarten, die damit den Mut von Whistleblowern wie Manning, Binney und Snowden mit Füßen tritt und das Auftreten neuer Whistleblower konterkariert. Dabei bräuchten wir diese dringender denn je.

    Hier Frage und Antwort im Volltext:

    Hat die Bundesregierung — auch vor dem Hintergrund der im Rahmen der Verabschie­dung des Antikorruptionsaktionsplan der G20-Staaten vom November 2010 getätigten Ankündigung, man werde „bis Ende 2012 Regeln zum Whistleblowerschutz erlassen und umsetzen” (vgl. Annex II zur Erklärung des G20-Gipfels von Seoul, Punkt 7) die im Koali­tionsvertrag angekündigte Prüfung der Frage, ob beim Hinweisgeberschutz internationale Vorgaben hinreichend umgesetzt sind, bereits vorgenommen, und was ist das Ergebnis dieser Prüfung? Plant die Bundesregierung derzeit die Vorlage einer gesetzlichen Regelung, die das Ziel verfolgt, den Schutz von Hinweisgeberinnen und Hinweisgebern zu verbessern?

    Der Koalitionsvertrag zwischen CDU, CSU und SPD enthält folgende Vereinbarung zum Hinweisgeberschutz: „Beim Hinweisgeberschutz prüfen wir, ob die internationalen Vorga­ben hinreichend umgesetzt sind.” Zur Klärung eines möglichen Handlungsbedarfs wird untersucht, ob das deutsche Recht internationalen Übereinkommen oder Empfehlungen entspricht. Die Prüfung ist noch nicht abgeschlossen.

    von Anna Biselli 2. September 2014 5
  • : 28. Netzpolitischer Abend in der c‑base
    28. Netzpolitischer Abend in der c‑base

    Heute, am 2. September, findet in der c‑base Berlin der 28. Netzpolitische Abend statt. Dabei sind Jan-Peter Kleinhans, der einen Vortrag zum Thema „You know nothing, John Snow: Intransparenz bei Datenabfragen durch Sicherheitsbehörden“ hält und Volker Tripp, der eine alternative Digitale Agenda vorstellen wird.

    Einlass ist ab 19 Uhr, Beginn gegen 20 Uhr, selbstverständlich auch im Stream unter http://c‑base.org.

    von Anna Biselli 2. September 2014
  • : Spiegel berichtet: Bundesrechnungshof kritisiert Bundeswehr, MAD und Verfassungsschutz
    Spiegel berichtet: Bundesrechnungshof kritisiert Bundeswehr, MAD und Verfassungsschutz

    Der Bundesrechnungshof kritisiert die nachrichtendienstliche Arbeit der Bundeswehr im Ausland. Das berichtet Der Spiegel unter Berufung auf einen vertraulichen Prüfbericht, um den wir uns bemühen werden.

    Es mangele an gesetzlicher Grundlage und es bestünden Doppelstrukturen mit dem Bundesnachrichtendienst, der in den selben Gebieten arbeite. Darüberhinaus kritisiert man die zahlreichen Standorte des Militärischen Abschirmdienstes in Deutschland und die gleichzeitige Existenz von Landes- und Bundesverfassungsschutzbehörden. Bereits im Juni hatte der Bundesrechnungshof eine weitere „Sicherheitsinstanz“ Deutschlands kritisiert: Das nationale Cyberabwehrzentrum, dessen Nutzen in Frage gestellt worden sei.

    von Anna Biselli 1. September 2014
  • : Chaosradio zu Passwörtern – „You shall not pass!“
    Chaosradio zu Passwörtern – „You shall not pass!“

    Letzten Donnerstag gab es ein Chaosradio mit Wetterfrosch, danimo, Henryk und mir zum Thema Passwörter. Wir haben darüber gesprochen, was Passwörter eigentlich sind, wo es Probleme gibt, wie man ein sicheres wählen kann und ob es nicht doch vielleicht Alternativen gibt:

    Ob für unsere Computer, E‑Mails oder Bankkonten: Passwörter sind heute meist das Mittel der Wahl, um sich in der digitalen Welt zu authentifizieren. In jüngster Vergangenheit sind Anbietern von Internetdiensten häufiger auch millionenfach die Passwörter ihrer Nutzer „abhanden“ gekommen. Wir möchten ergründen wie Passworte funktioneren, was ein gutes und was ein schlechtes Passwort ist und wie es in unterschiedlichen Situationen verwendet werden sollte. Außerdem wollen wir diskutieren, wie Passwörter sicher gespeichert werden und welcher Werkzeuge sich dunkle Gestalten bemächten, um sie zu knacken.

    Sind Passworte überhaupt noch zeitgemäß? Welche Weiterentwicklungen gibt es? Was sind Hardware-Tokens, was eine Two-Factor-Authentification und was sind diese lustigen kleinen Kästen, die immer neue Zahlen anzeigen? Und wie sicher sind doch gleich Irisscan und Fingerabdruck?

    Zum Anhören in mp3, ogg, opus, m4v

    von Anna Biselli 1. September 2014 8
  • : NSA arbeitet mit und gegen Türkei
    PKK-Mitglied - Ziel von Überwachungskooperation zwischen USA und Türkei (CC BY 2.5 via wikimedia)
    NSA arbeitet mit und gegen Türkei

    Die US-Geheimdienste arbeiten mit ihren türkischen Kollegen zusammen und haben die türkische Regierung bei der Überwachung türkischer Kurden umfangreich mit Informationen versorgt. Das zeigen neu veröffentlichte Dokumente, die von Der Spiegel und The Intercept aufgearbeitet wurden. Zu den Technologien und Informationen, die geteilt werden, gehören:

    • Technologien und Ausrüstung, die der Türkei helfen, besser zu den Aufklärungsinteressen der USA beizutragen
    • Kryptograpie, sowohl in Form von Methoden als auch in Form von Entschlüsselungsleistungen von Internetverkehr, der in der Türkei angefangen wird
    • Informationen über militärische und paramilitärische Ziele in einer Mischung aus beinahe Echtzeit bis zu redigierten Informationen
    • Tägliche Berichte über sunnitische Extremisten

    Die Zusammenarbeit zwischen amerikanischen Geheimdiensten und den türkischen Pendants geht weiter zurück als auf der seit den 80er Jahren intensivierten Konflikt mit der kurdischen PKK, in Rahmen dessen die türkische Regierung mit Telefonmitschnitten, Internetverkehr und Aufenthaltsdaten von PKK-Mitgliedern versorgt wurde. Schon seit den 40ern besteht eine Partnerschaft mit der CIA, noch bevor die NSA überhaupt gegründet wurde. Ein internes NSA-Dokument von höchster Geheimhaltungsstufe nennt die Türkei als „ältesten Drittpartner“. Zu Beginn richtete sich die Spionagezusammenarbeit primär gegen die Sowjetunion, die in strategischer Nähe zur Türkei lag:

    Während des Kalten Krieges versorgte die Lage der Türkei am Schwarzen Meer die USA mit einzigartigem Zugang zum Unterled des sowjetischen Monsters.

    Die Zusammenarbeit hat sich bis zum heutigen Tag intensiviert, eine gemeinsame Arbeitsgruppe, die Combined Intelligence Fusion Cell, wurde gegründet. Darüberhinaus wurde ein Spracherkennungssystem entwickelt, das in Echtzeit Gespräche analysieren, Sprecher erkennen und nach Schlüsselwörtern suchen kann.

    Gleichzeitig aber steht die Türkei selbst weit oben auf der Überwachungsliste der NSA – nicht nur auf der des BND, wie vor Kurzem bekannt wurde. In einem Informationsschreiben der NSA heißt es:

    Probleme/Herausforderungen mit dem Partner

    Die Türkei ist sowohl ein Nachrichtendienstpartner als auch ein Aufklärungsziel. Diese Dynamik zwischen Partner und Ziel kommt zum Vorschein, wenn eine Risiko-Nutzen-Analyse vorgenommen wird, welche Technologien mit den türkischen Partnern geteilt werden können.

    Hauptinformationen im Interesse der NSA sind laut dem National Intelligence Priorities Framework 2013 unter anderem die Führungsabsichten, außenpolitische Interessen sowie die militärische Infrastruktur des Landes. Seit 2006 infiltrierten die amerikanischen Geheimdienstmitarbeiter dafür die Rechner türkischer Spitzenpolitiker und von in den USA befindlichen Diplomaten. Informationen wurden mit den Five Eyes geteilt. Der britische Auslandsgeheimdienst GCHQ unterhielt unterdessen zusätzlich eigene Zugänge zu politischen und Energieversorgungszielen.

    von Anna Biselli 1. September 2014 3
  • : Pew Research: Soziale Medien tragen nicht zu Meinungsvielfalt bei
    Pew Research: Soziale Medien tragen nicht zu Meinungsvielfalt bei

    Der amerikanische „Pew Research“-ThinkTank hat untersucht, ob die Verbreitung von Sozialen Medien dazu beigetragen hat, dass es mehr Meinungsvielfalt gibt und auch diejenigen mit einer Minderheitsansicht besser zu Wort kommen können als zuvor. Anhand einer beispielhaften Umfrage über die Meinung zur Snowden-Affäre fanden sie jedoch das Gegenteil heraus:

    Menschen waren zwar in 86% der Fälle bereit, von Angesicht zu Angesicht über die Snowden-Enthüllungen zu diskutieren, jedoch nur 42% taten dies über Facebook und Twitter. Es gab nur wenige, die persönlich nicht bereit waren und dafür im Internet über ihre Meinung redeten. Die Bereitschaft zur Meinungsäußerung stieg auch mit dem Glauben an, auf Menschen ähnlicher Ansichten zu treffen.

    PI-2014-25-socialDebates-06

    Den ganzen Bericht kann man sich hier herunterladen.

    von Anna Biselli 27. August 2014
  • : Freiheit und Feiern statt Angst – Demo gegen Überwachung am Samstag in Berlin
    CC BY-SA 2.0 - openstreetmap.org
    Freiheit und Feiern statt Angst – Demo gegen Überwachung am Samstag in Berlin

    Damit ihr es nicht vergesst: Am Samstag, dem 30. August, findet in Berlin die „Freiheit statt Angst“-Demo statt. Los gehts um 14:00 Uhr mit einer Kundgebung mit Musik und Redebeiträgen auf der Bühne an der Westseite des Brandenburger Tors. Die Demoroute verläuft über die Wilhelmstraße, vorbei am Hauptbahnhof und am Kanzleramt zurück zur Bühne.

    Aus dem Demoaufruf:

    Wir  wollen eine freie, demokratische und offene Gesellschaft. Wir wollen Solidarität statt Misstrauen. Wir wollen freie Gedanken statt Selbstzensur. Wir wollen mehr Mut und Engagement statt Ohnmacht und Resignation. Wir brauchen Freiheit statt Angst. Wir brauchen Euch!

    Warum in der Überschrift „Feiern statt Angst“ steht? Weil es neben einer Runde Protest auch wichtig ist, sich mit anderen Aktiven gegen Überwachung zu vernetzen und Strategien über die Demo hinaus zu entwickeln. Dafür gibt es morgen schon eine gemeinsame Flyer-Aktion in Berlin mit Ausklang in der c‑base. Und am Samstag hilft sicher auch das Musikprogramm auf der Hauptbühne, bisher zweifelnde Freunde und Bekannte zum Mitkommen zu motivieren. Dabei sind Hollywood Heart Syndrome, Jennifer Ludwig, Prunx, Qult. Und macht euch noch auf eine spezielle Überraschung gefasst.

    Also: Aufstehen statt Aussitzen!

    von Anna Biselli 27. August 2014 4
  • : Beschwörung von Bedrohungen aus dem Cyberraum: Lagebericht zu Computer- und Internetkriminalität
    Gefahren aus dem Cyber-Raum (CC BY-SA-NC 2.0 via flickr)
    Beschwörung von Bedrohungen aus dem Cyberraum: Lagebericht zu Computer- und Internetkriminalität

    Auf der heutigen Pressekonferenz im Haus der Bundespressekonferenz wurde ein Lagebericht zur Computer- und Internetkriminalität 2013/14 – Bundesdeutsch: Cyberkriminalität – vorgestellt. Jörg Ziercke, Präsident des BKA und Dieter Kempf, Präsident des IT-Branchenverbandes BITKOM erläuterten die Lage der Bedrohung.

    Für Ziercke steht unmissverständlich fest: Kriminalität im Internet nimmt beständig zu. Tatsächlich betrug der Anstieg von 2012 mit 63.959 Fällen auf 2013 mit 64.426 nicht einmal ein Prozent. Um seine Aussage dennoch zu unterlegen und „zur Abrundung des Gesamtbildes“ beruft sich Ziercke zusätzlich auf diejenigen Straftaten, die mit Hilfe des Tatmittels Internet begangen wurden. Dort wurde zwar ein Anstieg von 12 Prozent auf 257.486 Fälle beobachtet. Betrachtet man die Aufschlüsselung solcher Straftaten in der Polizeilichen Kriminalstatistik, sieht man jedoch, dass der beliebte Term „Cyberkriminalität“ für einige der genannten Fälle hochgradig implausibel ist. Denn in der Auflistung befinden sich auch Tatfelder wie: „Einfacher Diebstahl von Fahrrädern“ und „Tankbetrug“. Wir tippen darauf, dass hier jemand Google Maps als Hilfsmittel zum Finden von beliebten Fahrradabstellplätzen oder Tankstellen genutzt hat. Ist das dann Cyber-Fahrraddiebstahl?

    Außerdem beruft sich Ziercke auf ein riesiges „Dunkelfeld“ nicht angezeigter Fälle aus dem Bereich „Cybercrime“. Laut einer Dunkelfeldstudie des LKA Niedersachsen würden lediglich 9 Prozent der Fälle angezeigt. Überträgt man die Schätzung auf die von Ziercke präsentierten Zahlen, hätte es etwa 2,8 Millionen Fälle mit dem Tatmittel Internet geben müssen. Bezieht man das wiederum auf die Einwohnerzahl Deutschlands, in etwa 80,781 Millionen, und nimmt unrealistischerweise ein Fall pro Betroffenem an und lässt Firmen außen vor, kommt man auf 3,4 Prozent betroffener Deutscher.

    Spätesten wenn man dann die von der BITKOM in einer Umfrage ermittelten Zahlen betrachtet, denen zufolge im letzten Jahr 44 Prozent der Internetnutzer Opfer krimineller Vorfälle geworden sind, sollte man stutzig werden. Legen BITKOM und BKA unterschiedliche Maßstäbe an, gelten die 40 Prozent von Viren betroffenen Menschen nicht als strafrechtlich relevant? Man sieht wieder einmal deutlich, wie schwammig die Cyber-Begriffe sind und wie die vorliegenden Zahlen gedehnt werden, um zur gewünschten Argumentation gegen „die Entgrenzung von Kriminalität im Internet“ zu passen.

    Die beinhaltete auch eine Negativdarstellung von Anonymisierungsdiensten wie Tor durch Ziercke:

    Über solche Online-Plattformen werden beispielsweise der illegale Handel mit Drogen, Waffen und Kreditkartendaten betrieben oder illegale Dienstleistungen, wie die Durchführung von DDoS-Attacken, angeboten

    Ebenso problematisch seien digitale Währungen wie Bitcoin, die stellten die Ermittler von Herausforderungen:

    Es wurden 981 Bitcoins sichergestellt. Problem war, die Bitcoins in einer digitalen Geldbörse aufzubewahren – was schließlich auch gelang.

    Es wurde klar, welches Ziel BKA-Präsident Ziercke mit seinem Lagebericht verfolgt: Mehr Ermittlungsinstrumente im Netz, weniger Anonymität und Vertraulichkeit persönlicher Kommunikation. Er sagt das mit unverblümten Worten:

    [Die Zunahme von Cybercrime und mangelnde Aufklärungserfolge] sind auch ein Effekt der fehlenden Verkehrsdatenspeicherung, von Anonymisierung und Kryptieren.

    Wie die Gewerkschaft der Polizei gestern schon bekanntgegeben hat, will auch Ziercke die Vorratsdatenspeicherung zurück, Identifizierbarkeit im Netz und die Mails von Strafverdächtigen mitlesen. Das passt augenscheinlich nicht zu der von der Bundesregierung vielfach, auch in der Digitalen Agenda vorgestellten, propagierten Förderung Deutschlands als IT-Sicherheitsstandort und der Befürwortung von mehr Verschlüsselung und dem Schutz der Privatsphäre im Netz. Selbst Kempf stellt es positiv dar, dass die Nutzung von Verschlüsselundssoftware für E‑Mails (16%), Dateien (15%) und Anonymisierungsdiensten (16%) im Vergleich zum letzten Jahr deutlich zugenommen hat. Ziercke wehrt den Zielkonflikt damit ab, dass man ja nur in schweren Fällen Anonymisierung und Verschlüsselung aufheben müsse. Wie er das machen will? Bezüglich Tor hat er eine Lösung parat:

    Wir könnten mit verdeckten Ermittlern arbeiten. Tornetzwerke sind ein Problem, aber das ist nicht unüberwindlich

    Der Vorschlag ist offensichtlicher Humbug, verdeckte Ermittlung können keine Anonymität auf Netzwerk- sondern höchstens auf persönlicher Ebene aufheben. Und bezüglich einer Lösung für verschlüsselte Kommunikation schweigt sich Ziercke aus, aber wir kennen Vorschläge aus anderen Ländern: Etwa die Pflicht zur Herausgabe von Passwörtern wie in Großbritannien, Hintertüren in Verschlüsselungssoftware oder einfach der Einsatz des Bundestrojaners zur Online-Durchsuchung. Der ist ja mittlerweile einsatzbereit.

    Dann können wir uns ja bald wieder sicher im Cyberraum bewegen. Wäre da nicht die NSA und andere Geheimdienste. Die – zusammen mit Cyberkriminellen und Unternehmen – versetzen, glaubt man der BITKOM-Umfrage, 81 Prozent der Internetnutzer in Sorge. Das sind weit mehr als andere Gefahrenquellen wie Mobbing oder Viren. Kempf sieht das anders:

    Ich finde die Gefahr durch Ausspähung durch Geheimdienste für vernachlässigbar.

    Dabei vergisst er, dass der anlasslosen Massenüberwachung die Verletzung von Grundrechten inhärent ist. Und die halten wir keineswegs für vernachlässigbar, sondern für ganz konkret.

    von Anna Biselli 27. August 2014 10
  • : Interview mit Tobias Engel zu Handytracking – „Entwicklung eines eigenen Systems ist nicht besonders schwierig“
    Aus echten Vorratsdaten erstelltes Bewegungsprofil.
    Interview mit Tobias Engel zu Handytracking – „Entwicklung eines eigenen Systems ist nicht besonders schwierig“

    Als am Sonntag in der Washington Post berichtet wurde, dass Privatunternehmen in großem Stil Systeme zum weltweiten Handytracking verkaufen, das durch Schwächen in SS7 möglich ist, kam die Frage auf, warum das einfach hinter dem Rücken der Netzanbieter geschehen kann. Wir haben Tobias Engel gefragt, der schon 2008 auf dem 25C3 demonstriert hat, wie man Mobiltelefone mit SS7 lokalisieren kann. Damals ging es noch um die Ortung auf Landes- und Stadtebene, mittlerweile kann jeder mit etwas Geldinvestition von der ganzen Welt aus verfolgen, wie sich jemand eine Straße entlang bewegt – allein anhand seiner Telefonnummer.

    NP.org: Welche Lücken in SS7 hast du 2008 bei deiner Demonstration auf dem 25C3 für die Mobilfunkortung ausgenutzt?

    Tobias Engel: Das war eigentlich keine wirkliche Lücke. Damit ich Dir eine SMS schicken kann, fragt mein Mobilfunk-Netz Dein Mobilfunk-Netz nach der Adresse der Vermittlungsstelle, die grade Dein Telefon bedient, um die SMS dann dorthin schicken zu können. Diese Adressen werde Global Title genannt und sehen genauso aus wie internationale Telefonnummern (+49171…). Wenn Du jetzt z.B. grade in Spanien Urlaub machst, fängt die Nummer der Vermittlungsstelle also mit +34 an. So kann man aus dem Global Title schon mal auf das Land schließen, in dem sich ein Telefon grade aufhält. Wenn man jetzt noch weiß, welche Vermittlungsstellen für welche Landesteile/Städte zuständig sind, kann man eben auch schließen, dass sich der Nutzer grade in diesem Landesteil bzw. dieser Stadt aufhält.

    Den SS7-Request für diese Abfrage haben viele Firmen als Web-Service angeboten und verkauft. Einfach Telefonnummer rein, Vermittlungsstelle raus. Schon für wenig Geld zu haben.

    Du sprichst von der Eingrenzung auf Stadtteile. In der Washington Post ist jedoch von der Möglichkeit die Rede, die Bewegung durch Straßen zu tracken. Wie grenzt man die Genauigkeit derartig ein? Geht das auch über einfache Anfragen bei den Funkbetreibern oder braucht man dazu nicht IMSI-Catcher?

    Das funktioniert ganz anders als die oben genannte Methode. Es gibt SS7-Requests, die die augenblickliche Funkzellen-ID zu einer Telefonnummer zurückliefern. Dafür braucht man dann aber einen SS7-Zugang. Aus der Funkzellen-ID kann man im Innenstadtbereich oft auf den Häuserblock schließen. IMSI-Catcher sind nicht vonnöten. Auf dem Land sinkt die Genauigkeit natürlich rapide, weil die Funkzellen viel größere Gebiete abdecken.

    Ist seit den Anfängen der Mobilfunktechnologie Tracking einfacher oder schwerer geworden? Kann man die Mechanismen, die du 2008 ausgenutzt hast, immer noch verwenden?

    Das Tracking ist seit der Entwicklung von SS7 in den 70er Jahren auf jeden Fall einfacher geworden. Bis in die 80er Jahre gab es nur wenige, oft staatlich geführte Telefongesellschaften. SS7 war deshalb als „Walled Garden“ konzipiert – innerhalb des Netzes vertraut man sich, und von draußen kommt man nicht dran. Inzwischen gibt es aber tausende kleine und große Telekommunikationsunternehmen, die alle Zugang zum SS7-Netz brauchen, um Ihre Dienstleistungen anbieten zu können. Der Zugang wird also immer einfacher. Und in weiten Teilen gilt noch immer: Wenn man drin ist, ist man drin. Strukturell hat sich seit den Anfängen nicht viel verändert.

    Eine Möglichkeit, die damals gezeigte Methode zu verhindern, ist Home Routing. Das bedeutet, dass meine SMS an Dich immer erstmal an ein Gateway in Deinem Heimatnetz geht, egal wo Du Dich aufhältst. So ist es nicht mehr möglich, auf einen Standort des Telefons zu schließen. Die Deutsche Telekom und Vodafone haben in Deutschland inzwischen Home Routing eingeführt.

    Warum erkennen die Provider die heute genutzten Abfragen der Überwachungsunternehmen nicht? Können sie sich überhaupt nichts dagegen wehren?

    Bisher war den Netzbetreibern die Problematik offenbar gar nicht so bekannt. Demnächst wird man da vermutlich viel mehr darauf achten. Aber aufgrund der Architektur von SS7 ist das gar nicht so einfach. Außerdem gibt es oft noch gar kein Netzelement, das illegitime Abfragen als solche erkennen könnte.

    Es gibt zwar wirksame Maßnahmen, die Abfragen zu erschweren, aber es ist aufwendig, diese in einem großen Netz umzusetzen. Viele Netzbetreiber scheuen die Investitionen für solche Maßnahmen. Wenn ein Netz unberechtigte Anfragen blockiert, sind zumindest alle Teilnehmer, die sich in diesem Netz aufhalten, vor diesen Anfragen „sicher“.

    Gibt es neben SS7 noch andere Systeme, die weniger anfällig gegen unbemerkte Datenanfragen sind?

    SS7 (Signalling System No. 7) wird nach und nach durch IMS (IP Multimedia Subsystem) abgelöst. Die Netzbetreiber setzen das bereits für LTE ein. Da GSM und UMTS jedoch noch lange Zeit weiter genutzt werden, rechnet man mit einem Parallelbetrieb von SS7 und IMS für ca. die nächsten 20 Jahre. Ob IMS in der Praxis wirklich weniger anfällig für Attacken ist, muss sich erst noch zeigen. Zumindest müssen IMS und SS7, solange sie parallel existieren, miteinander sprechen können. Deshalb gibt es
    unzählige Interfaces, um beide System miteinander zu verbinden.

    Ist es deiner Meinung nach möglich, den Export- und Verkauf von Mobilfunk-Überwachungstechnologie durch Privatunternehmen zu kontrollieren damit beispielsweise autoritäre Regimes und Kriminelle sie nicht in die Hände bekommen?

    Das Problem ist ja, daß SS7 wie das Internet ein weltweites Netzwerk ist. Ich kann auch mit einem SS7-Zugang auf der anderen Seite der Welt Telefone in Deutschland überwachen. Ein Verkauf über Ländergrenzen hinweg ist also gar nicht unbedingt nötig.

    Außerdem ist die Entwicklung eines eigenen Systems – wenn man den Zugang und das Know-How hat – nicht sonderlich schwierig. Die benötigte Software-Basis, den SS7-Stack, gibt es in mehreren Implementierungen als Open-Source.

    Kann man als Nutzer etwas tun, um sich gegen Mobilfunk-Ortung zu schützen?

    Ja: Telefon ausschalten.

    Danke für das Interview!

    von Anna Biselli 26. August 2014 6
  • : Gewerkschaft der Polizei will Vorratsdatenspeicherung zurück
    Gewerkschaft der Polizei will Vorratsdatenspeicherung zurück

    Die Gewerkschaft der Polizei hat heute die Bundesregierung aufgefordert, ein neues – „verfassungskonformes“ – Gesetz zur Vorratsdatenspeicherung auf den Weg zu bringen. Begründet wird das mit der kriminellen Bedrohung aus dem Internet:

    [Es] sind im vergangenen Jahr 257.500 Fälle in der Rubrik Tatmittel Internet von der Polizei erfasst worden, und damit rund zwölf Prozent mehr als noch 2012, als 229.400 Fälle registriert wurden.

    Die Bundesregierung solle, trotz politischem Gegenwind durch die NSA-Affäre, die Speicherung von Verkehrsdaten zuzulassen. Um die Forderung zu untermauern habe das BKA ein umfangreiches Archiv der mangels Vorratsdatenspeicherung unaufgeklärten Fälle angelegt, ein Fall der sexuellen Nötigung einer 13-Jährigen wird zitiert. GdP-Bundesvorsitzender Oliver Malchow fordert, „[e]s müsse möglich sein, in Fällen schwerer Kriminalität, insbesondere auch zum Schutz der Menschen, die bei privaten Dienstleistern vorliegenden Daten auch der Polizei zugänglich zu machen.“

    Das Max-Planck-Institut kam in einer Studie zu anderen Ergebnissen, derzufolge Vorratsdaten kein wirksames Ermittlugsinstrument seien. Und die Erfahrung zeigt, dass es im Falle einer Einführung, ähnlich der Funkzellenabfrage, kaum bei „schwerer Kriminalität“ bleiben wird.

    von Anna Biselli 26. August 2014 9
  • : Protect your email the German way – The Guardian über Posteo
    Protect your email the German way – The Guardian über Posteo

    Der deutsche Mailanbieter Posteo hat es in den Guardian geschafft. Der Artikel lobt das junge Unternehmen dafür, anonym E‑Maildienste anzubieten und damit das Befolgen von Polizeianfragen nach Personendaten von Haus aus unmöglich zu machen. Die Betreiber, Patrik und Sabrina Löhr dazu:

    Wir wollen die Daten unsrer Kunden nicht. Wir wollen nicht ihre Namen, ihre Adressen, ihre Geburtsdaten. Und weil wir diese Daten nicht haben, können wir sie auch nicht verlieren oder dazu gezwungen werden, sie weiterzugeben.

    Besonders in Zeiten nach Snowden ist das Datenschutzversprechen von Posteo attraktiv. Seit den ersten Leaks wuchs die Kundenzahl von 10.000 auf 70.000 an. Damit Nutzer konsequenter verschlüsselt kommunizieren können und Mails nicht mehr unverschlüsselt auf Posteos Servern liegen müssen, wird gerade an einer Lösung gearbeitet, ebenso wie an einem Support für Mailverschlüsselung via PGP.

    Disclaimer: Posteo ist Sponsor von netzpolitik.org und einige unserer Autorinnen und Autoren sind dort Kunden.

    von Anna Biselli 25. August 2014 16
  • : Handytracking im Angebot: Washington Post berichtet über Handytracking-Produkte von Privatunternehmen
    Handys - Ortungswanzen in der Tasche (CC BY-SA 2.0 via flickr/st3f4n)
    Handytracking im Angebot: Washington Post berichtet über Handytracking-Produkte von Privatunternehmen

    Wer glaubt, nur Geheimdienste und Polizeibehörden besäßen die Kapazitäten, um Mobiltelefone weltweit zu tracken, liegt falsch. Das illustriert ein Bericht der Washington Post. Handytracking funktioniert sehr einfach, das wissen wir bereits und haben das im ersten Teil unsrer How-To Analyze-Serie erläutert. Noch einmal im Schnelldurchlauf:

    • Um telefonieren, SMS versenden oder Daten über das Mobilfunknetz empfangen und erhalten zu können, muss sich das Telefon in eine Funkzelle einwählen.
    • Die Betreiber der Funkmasten loggen, wer sich wann wo eingeloggt hat und ob die Person Roaming nutzt.
    • Über die Position der Funkmasten lässt sich der Aufenthaltsort der Person abschätzen, besonders in Gebieten mit hoher Bevölkerungsdichte, wo Funkzellen kleiner sind als auf dem Land, in Berlin kann man auf Häuserblöcke genau bestimmen, wo sich eine Person aufhält.
    • IMSI-Catcher werden zur detaillierteren Überwachung eingesetzt, indem sie sich in noch kleinerem Radius gegenüber Mobiltelefonen als Funkmast und gegenüber den Funkmasten als Mobiltelefon ausgeben.
    • Dadurch kann der Standort des überwachten Telefons – und aller anderen Telefone, die sich als Beifang beim gleichen IMSI-Catcher einloggen – mitgetrackt werden, getrackt werden. Ein detailliertes Bewegungsprofil entsteht.

    Diese Fähigkeit wird oftmals missbraucht und trotz vergleichsweise strenge gesetzlicher Auflagen als Standardermittlungsmethode eingesetzt. Eine Gefahr stellt außerdem die Nutzung durch autoritäre Regierungen und Hacker mit kriminellen Absichten dar, denn entgegen eigener Beteuerungen gehört es zum Tagesgeschäft privater Herstellung von Überwachungstechnologie, ihre Technik auch an zweifelhafte Kunden zu verkaufen. Ein anonymer Vertreter aus der Überwachungsindustrie habe bestätigt, dass Dutzende Regierungen auf diese Möglichkeit zurückgegriffen hätten.

    Dass Mobilfunküberwachung zunehmend durch Privatunternehmen entwickelt wird, die ungeachtet gesetzlicher Einschränkungen agieren, führt dazu, dass nicht einmal mehr die Funkbetreiber von der Überwachung erfahren, denn diese versuchen bisweilen, unauthorisierte Abfragen zu verhindern. Neben IMSI-Catchern werden Sicherheitslücken in den Systemen und Protokollen genutzt. Die Washington Post berichtet, dass ein Berliner Sicherheitsforscher in einem eigenen Versuch Schwächen im 1975 von AT&T entwickelten, weitverbreiteten SS7-Signalisierungssystem genutzt hat, um eine Reporterin auf Häuserblockgröße genau zu verfolgen.

    Der Sicherheitsdirektor von GSMA, der  weltweiten Industrievereinigung der GSM-Mobilfunkanbieter, sagte sogar:

    SS7 ist von Hause aus unsicher, es ist nie als sicheres Verfahren entworfen worden. Mit Zugang zu SS7 ist es möglich, eine Anfrage auf Datensätze aus einem Netz abzusenden.

    SS7 zu ersetzen oder Sicherheitslücken zu schließen ist aufgrund seiner umfangreichen Verbreitung und der Jahrzente lang gewachsenen Strukturen aufwendig und riskant. Die Möglichkeiten hören nicht nur bei Standortdaten auf, sondern auch Gespräche werden abgehört, Spyware installiert und Handydaten ausgeschnüffelt. Das wird durch Enthüllungen über die Praktiken der NSA und in Werbebroschüren der Überwachungsunternehmen klar, die normalerweise der Öffentlichkeit verborgen bleiben. Privacy International veröffentlichte im letzten Jahr Produktbroschüren, die derartige Technik bewerben. Die Washington Post berichtet von weiteren, bisher unveröffentlichten Werbebroschüren der Firma Verint, die Handyüberwachung weltweit anpreisen – Preise richteten sich nach der Abgelegenheit der Orte. Manche Firmen verbergen ihre Produktfeatures nicht einmal vor den Augen der Allgemeinheit und werben auf ihren Webseiten explizit  mit den Verborgenheits- und Manipulationsfeatures ihrer Produkte. Und NSA-Enthüllungen haben uns gezeigt, dass die Möglichkeiten noch viel weiter gehen und auch das Abhören von Inhalten und das Ausschnüffeln des Telefonbuchinhalts lange keine Negativutopie mehr ist.

    von Anna Biselli 25. August 2014 2
  • : NP10: Kommentare unter die Lupe genommen
    NP10: Kommentare unter die Lupe genommen

    Bei der letzten Geburtstagsstatistik ging es um unsere Autoren. Heute wollen wir uns die Kommentare vornehmen. Denn ohne unsere Kommentatoren wäre das Schreiben nur halb so spannend. Zum Einen weil dann viele wichtige und aufschlussreiche Hinweise verloren gingen, zum Anderen weil uns Stammtrolle immer wieder tiefe Einblicke in die Troll-Psyche gewähren. Daher wollen wir einen Blick auf unsere Kommentarstatistiken werden. Insgesamt haben sich etwa 162.000 Kommentare angesammelt, wenn man von Unmengen Spam absieht.

    Unsere Top 10 der meistkommentierten Artikel sind:

    Sieht man sich die Kommentarverteilung über die Jahre an, fällt auf, dass die Anzahl von etwa 8000 Kommentaren im Jahr 2008 auf über 30.000 im Folgejahr explodiert ist. Ziemlich merkwürdig, denkt man auf den ersten Blick. Aber wenn man sich anschaut, welches Thema 2009 anstand, wird vieles klar: Die Zensursula-Debatte um Netzsperren hat viele im Internet politisiert und für riesiges Aufregungspotential gesorgt. Die drei Artikel „Die dreizehn Lügen der Zensursula“,  „CDU-Plakate darf man nicht remixen? „, „Die Demagogie der Zensursula“ und nicht zuletzt der Schäuble-Plakat-Wettbewerb haben allein für etwa insgesamt 1500 Kommentare gesorgt.

    23_kommentare

    Wer kommentiert uns eigentlich? Sind das immer die selben üblichen Verdächtigen oder eher Zufallskommentatoren. Klar, jeder kann jedesmal unter einem anderen Pseudonym kommentieren, aber viele behalten ihres bei. Und so zeichnen sich auch deutlich die aktivsten Kommentatoren ab – unsere Top 20 aus den letzten beiden Jahren. Danke dafür!

    top_20_der_kommentatoren_20132014 (1)

    Nicht überraschend ist, dass unsere Kern-Redaktion sich unter den Top 20 befindet. Noch interessant fanden wir, wie die Verteilung aussieht – welcher Anteil an Artikeln wird wie oft kommentiert? Wie erwartet werden die meisten Artikel gar nicht oder spärlich kommentiert, einige wenige dafür ungewöhnlich häufig. Wir haben das mal für 0 bis 50 Kommentare dargestellt und kamen darauf, dass man etwa eine inverse Funktion annehmen kann.

    kommentarverteilung

    Und wer wird am meisten kommentiert?

    kommproautor

    Wie immer: Anmerkungen was ihr noch aus unserer Datenbank wissen wollt in die Kommentare!

    von Anna Biselli 21. August 2014 8
  • : Informationsfreiheits-Ablehnung des Tages: „Keine Ahnung, wovon der SPIEGEL spricht, aber auf jeden Fall ist alles geheim“
    CC-BY-NC-ND 2.0 via flickr/kiwien
    Informationsfreiheits-Ablehnung des Tages: „Keine Ahnung, wovon der SPIEGEL spricht, aber auf jeden Fall ist alles geheim“

    Der SPIEGEL hat in Ausgabe 30/2014 vom 21. Juli in Zusammenhang mit der Spionageabwehr im Bundestag berichtet:

    Immerhin liegt bei Innenminister de Maizière schon seit Längerem ein umfassender Plan zur technischen Aufrüstung und besseren Spionageabwehr vor. Dazu zählt die gezielte Beobachtung von Botschaften und Konsulaten jener Staaten, die offiziell weiterhin als Freunde gelten. Noch hat der Minister den Vorschlägen seiner Beamten nicht abschließend zugestimmt, das soll nun aber schneller geschehen als ursprünglich geplant.

    Diesen Plan wollten wir uns einmal ansehen, mit der heute eingetroffenen Ablehnung war aber fast zu rechnen. Das Innenministerium argumentiert wie erwartet damit, dass „das Bekanntwerden des Inhalts von Dokumenten, für die Sie Informationszugang beantragt haben, auf die internationalen Beziehungen Deutschlands nachteilige Auswirkungen haben dürfte“. Außerdem seien Belange der äußeren und inneren Sicherheit betroffen.

    Da der BND involviert ist, argumentiert das Ministerium zusätzlich mit der „Bereichsausnahme des § 3 Nr. 8 IFG“. Die besagt, dass gegenüber den Nachrichtendiensten des Bundes kein Anspruch auf Informationszugang besteht. Mit diesem Argument wurde bereits eine frühere Ablehnung begründet, diesmal gibt es jedoch noch eine Ergänzung seitens des Innenministeriums:

    Dies gilt auch für Unterlagen von Nachrichtendiensten, die nicht bei dem Nachrichtendienst selbst, sondern bei ihrer jeweils übergeordneten Dienstaufsichtsbehörde liegen, wie etwa Unterlagen des BfV [Bundesamt für Verfassungsschutz] beim Bundesministerium des Innern (BMI).

    Darüberhinaus liefen die Beratungen in den Behörden noch, es liege keine Entscheidung vor.

    Eine Herausgabe und somit Veröffentlichung maßgeblicher Unterlagen zu diesem Abstimmungs- und Meinungsbildungsprozess würde Rückschlüsse auf die Beratungen sowie den Meinungsbildungsprozess zulassen und hätte das Risiko erheblicher negativer Auswirkungen.

    Im SPIEGEL klang es so, als sei der Prozess quasi bereits abgeschlossen und bedürfe nur noch de Maizières Zustimmung. Das macht stutzig, doch das Bemerkenswerteste folgt, indem das Innenministerium vorgibt, im Gegensatz zu dem SPIEGEL-Bericht überhaupt keinen derartigen Plan zu haben:

    Im Übrigen ist ein einheitlicher umfassender Plan zur technischen Aufrüstung und Spionageabwehr, wie im Spiegel 30/2014, Seite 24/25 angedeutet, nicht existent.

    Aber auch wenn das BMI nicht genau weiß, um welche Dokumente es geht und eigentlich gar kein bestimmter Plan vorliegt, eines weiß es – sie sind auf jeden Fall geheim:

    Zwar ist vorliegend unklar, welche Unterlage vom Spiegel in der Presseberichterstattung angesprochen wurde. Die in Frage kommenden Unterlagen zur Ertüchtigung und Neuausrichtung des BfV im Bereich der Spionageabwehr sowie zur Stärkung der Sicherheit der Regierungskommunikation sind jedoch sämtlich mit den VS-Graden „Verschlussache – Nur für den Dienstgebrauch“ (VS-NfD) und höher (bis zu „GEHEIM“) eingestuft, …

    von Anna Biselli 21. August 2014 4
  • : Leseverbot bei der US Army für „The Intercept“: Die Seite könnte geheime Dokumente enthalten
    Leseverbot bei der US Army für „The Intercept“: Die Seite könnte geheime Dokumente enthalten

    Das US-Militär warnt davor, „The Intercept“ zu besuchen, die investigative Nachrichtenplattform, die unter anderem von Glenn Greenwald und Laura Poitras ins Leben gerufen wurde und seitdem einige neue Snowdendokumente veröffentlicht hat. In einer Rundmail an mehrere Einheiten ermahnte man die Mitglieder der US Army dazu, die Seite nicht mehr zu besuchen:

    Wir haben Informationen von unsrer vorgesetzten Zentrale bekommen, die von der Gefahr eines potentiell neuen Leakers von geheimen Informationen handeln. Obwohl es noch keine formelle Bestätigung gibt, halten wir es für klug, alle Angestellten und untergeordnete Kommandogruppen zu warnen. Bitte besuchen Sie keine Webseiten, die „The Intercept“ heißen, denn sie könnten höchstwahrscheinlich geheime Informationen enthalten.

    Absurd genug, dass man Menschen davon abhalten will, auf öffentlich gemachte Informationen zuzugreifen. Noch absurder ist die Erwähnung, das Ansehen der Dokumente stelle einen Verstoß gegen Sicherheitsbestimmungen dar, da es die nationale Sicherheit gefährde. Laut einer Quelle von The Intercept gelte das sogar für diejenigen, die sonst offiziell Zugang zu Top-Secret-Dokumenten hätten. Falls das Kind in den Brunnen gefallen ist und man bereits geheime Informationen zu Gesicht bekommen hat, ist in der Mitteilung jedoch eine Kontaktadresse angegeben, an die man sich wenden kann. Soll das etwa den Gewissensproblemen entgegenwirken, die man zwangsläufig bekommen sollte, wenn man weiß, was im Hintergrund passiert?

    Die Mitteilung stellt eine Zensurmaßnahme dar, die nicht allein steht: Im letzten Jahr war beispielsweise der Zugriff auf die Seiten des Guardians aus der US Army geblockt worden, 2010 wurde WikiLeaks Gegenstand von Zensur.

    von Anna Biselli 20. August 2014 8
  • : BND hat die Türkei schon unter der rot-grünen Bundesregierung abgehört
    BND hat die Türkei schon unter der rot-grünen Bundesregierung abgehört

    Laut einer Meldung der dpa hört der BND die Türkei nicht erst seit 2009 ab, wie es kürzlich bekannt geworden ist. Die Überwachung habe bereits zu Zeiten der rot-grünen Bundesregierung, 1998 bis 2005, unter Schröder stattgefunden. Das ergebe sich aus dem damaligen „Auftragsprofil der Bundesregierung“.

    Der jetzige Außenminister Frank-Walter Steinmeier, der damals Geheimdienstkoordinator und Kanzleramtschef war, will von nichts gewusst haben. Ziemlich unglaubwürdig, denn an der Erstellung der Auftragsprofile sind sowohl Kanzleramt, Auswärtiges Amt, Innenministerium, Verteidigungs- und Wirtschaftsministerium und der BND beteiligt. Oder eine weitere Bestätigung dafür, dass sich die Dienste ihre Aufträge selbst schreiben.

    von Anna Biselli 20. August 2014
  • : Analyse der „stiftung neue verantwortung“: Braucht die Digitale Agenda das Kanzleramt?
    Gibt die Vorhabendokumente nur an ausgewählte Journalisten & Lobbyisten: Bundeskanzleramt in Berlin. Bild: <a href="https://commons.wikimedia.org/wiki/User:Tischbeinahe">Tischbeinahe</a>. Lizenz: Creative Commons <a href="https://creativecommons.org/licenses/by/3.0/deed.de">BY 3.0</a>.
    Analyse der „stiftung neue verantwortung“: Braucht die Digitale Agenda das Kanzleramt?

    Sebastian Rieger von der stiftung neue verantwortung hat eine Analyse verfasst, in der er beleuchtet, ob es sinnvoll war, die Federführung für die Digitale Agenda auf die drei Ministerien Wirtschaft, Innen und Verkehr aufzuteilen. Er kommt zu dem Schluss, dass die Konstellation primär nachteilig ist, da die Zuständigkeiten zu breit verteilt seien und damit nur ineffizient und mit hohem Koordinationsaufwand gearbeitet werden könne. Konkurrierende Parteiinteressen in den von unterschiedlichen Fraktionen geführten Ministerien erschwerten eine konstruktive Arbeit zusätzlich.

    Wir hatten uns schon bei Bekanntwerden der Strategie dagegen ausgesprochen, dass Netz- und Digitalpolitik auf derartig viele kleine Ressorts verteilt und dementsprechend immer noch nicht als eigenständiger Bereich angesehen werden. Das zeigt auch der Ausschuss Digitale Agenda, der keine Federführung bekommen hat. Die Befürchtung, dass so keine sinnvollen Ergebnisse erzielt werden können, hat sich bisher bestätigt. Zuletzt erst heute bei der Vorstellung der Digitalen Agenda.

    Rieger macht in seiner Analyse einen Vorschlag, wie die Situation verbessert und die verteilten Zuständigkeiten gebündelt werden könnten, als „Vormodell“ zu einem eigenen Internet-Ministerium:

    Dafür würde zunächst die gemeinsame Verantwortlichkeit der drei Kernressorts aufgelöst und die Digitale Agenda zu einer Gesamtaufgabe der Bundesregierung erklärt. Das Bundeskanzleramt (BKAmt) würde mit einem zuständigen Staatsminister und einer eigenen Geschäftsstelle eine zentrale Rolle bei der Koordinierung der Digitalen Agenda einnehmen und in Ausnahmefällen steuernd eingreifen.

    von Anna Biselli 20. August 2014 2
  • : „Die Welt der Geheimdienste hat offenbar einen schweren Knall“ – Spionage in der Türkei lässt Deutschlands moralischen Vorteil schwinden (Update)
    "Nazar", ein typischer Glücksbringer in der Türkei, der vor bösen Blicken schützen soll - CC-BY-SA 3.0 via wikimedia/Guruharsha
    „Die Welt der Geheimdienste hat offenbar einen schweren Knall“ – Spionage in der Türkei lässt Deutschlands moralischen Vorteil schwinden (Update)

    Nachdem am Samstag durch eine Aussage des im vorigen Monat enttarnten BND-Spitzels bekannt wurde, dass der deutsche Auslandsnachrichtendienst BND die Türkei und US-Außenminister John Kerry überwacht – offiziell als einmaligen „Beifang“, der sofort gelöscht wurde -, brach zunächst eine Welle der Empörung aus. Aus Regierungskreisen rechtfertigte man jedoch die aktiven Abhöraktionen in der Türkei, in der FAZ hieß es, die Lage in der Türkei sei aus mehreren Gründen relevant für die Sicherheit Deutschlands:

    Das reiche von den Aktivitäten der kurdischen PKK oder links- und rechtsextremistischer türkischer Gruppen in Deutschland über den Drogenschmuggel bis hin zur Schleuserkriminalität. Auch sei bekannt, dass die türkische Regierung versuche, politische Ziele über türkische Vereine und Verbände in Deutschland durchzusetzen.

    Jürgen Trittin von den Grünen riet gegenüber der Berliner Zeitung zu „weniger Wehleidigkeit, mehr eigener Aufklärung und besserer Spionageabwehr“, ein Ausspähen der Türkei sei gerechtfertigt, denn die „Sicherheit Deutschlands ist durch die Vorgänge im Grenzgebiet zwischen der Türkei und Syrien und dem Irak unmittelbar betroffen.“ Diese Argumentation ist bemerkenswert, denn sie ist derjenigen der USA bei der Rechtfertigung der NSA-Praktiken in Deutschland ähnlich: Besondere geopolitische Lage – hier in der Mitte Europas – und Aktivitäten und Beziehungen zu potentiellen Bedrohungen und Widersachern der nationalen Sicherheit – hier vor allem Russland.

    CDU-Mann Wolfgang Bosbach teilt Trittins Meinung, gibt jedoch zu Bedenken, dass die Nachricht für die USA „ein Geschenk des Himmels“ sei. Damit hat er recht, denn die Doppelmoral, Ausspähung Deutschlands durch die NSA „geht gar nicht“, das Ausspähen anderer ist aber berechtigt, tritt nun deutlich zu Tage und die Bundesregierung verliert ihren vermeintlichen moralischen Vorteil.

    Der Linken-Fraktionsvorsitzende Gregor Gysi findet für die Vorfälle deutliche Worte:

    Die Welt der Geheimdienste hat offenbar einen schweren Knall.

    Den USA könnte der Skandal über ihren Spion demnach im Nachhinein zum Nutzen gereichen. Bisher halten diese sich mit einer Bewertung noch zurück, eine Sprecherin des US-Außenministeriums rückte stattdessen die Zusammenarbeit mit den deutschen Freunden in den Vordergrund:

    Wir haben eine sehr enge Arbeitsbeziehung mit Deutschland, um gemeinsame Bedrohungen zu bekämpfen

    Die Türkei zeigte sich verärgert. Außenminister Frank-Walter Steinmeier bezeichnete die Reaktion seines türkischen Amtskollegens am Telefon als „sehr ungehalten“. Die Türkei bat daraufhin den deutschen Botschafter am Montag zum Gespräch, das entgegen der Vorzeichen in „freundschaftlicher Atmosphäre“ stattgefunden habe und während dessen der türkische Unterstaatssekretär Erdogan Iscan dem deutschen Botschafter „die Besorgnis der Türkei“ dargelegt habe. Ein Treffen der Geheimdienstchefs beider Länder steht noch bevor.

    Durch die Spähpraktiken gegenüber der Türkei werden noch weitere Fragen aufgeworfen: Wenn der BND die Türkei überwacht, wen überwacht er noch? Es wird beteuert, die Türkei sei nicht mit den „USA oder Ländern wie Frankreich oder Großbritannien vergleichbar“. Was ein Land zu einem sicherheitsrelevanten Ziel macht und was nicht, erfährt man jedoch nicht und der Intransparenz der Dienste ist es inhärent, dass man keine verlässlichen Kriterien für Freund und Feind benennen kann. Eine Bündnispartnerschaft – das weiß man nun – schützt nicht vor Spionage. Und so spekulierte das Mitglied des Parlamentarischen Kontrollgremiums Hans-Christian Ströbele von den Grünen:

    Man fragt sich schon, ob es vielleicht noch weitere Nato-Länder gibt, die vom BND abgehört werden. Beispielsweise Griechenland.

    Ebenso unklar ist, wer oder was im „Aufklärungsziel“ Türkei abgehört wird. Es wird nicht erwähnt, ob es sich um Politiker oder die gesamte Bevölkerung handelt, ob Metadaten oder Inhalte betroffen sind.

    Und wie stabil ist ein Nachrichtendienstsystem, wenn Praktiken, die man um jeden Preis geheim zu halten versucht, durch einen vermeintlich unbedeutenden BND-Mitarbeiter mit 1500 Euro Monatsgehalt ans Licht gebracht werden können? Der Geheimdienstapparat ist nicht kontrollierbar, aber er ist fragil. Das ist eine Chance, die genutzt werden kann. Wir brauchen mehr Whistleblower, die an die Öffentlichkeit treten und ihre Informationen, nicht als amerikanische Spione, sondern zum Wohl aller nutzen. Dafür brauchen wir mutige Menschen, aber vor allem auch mehr Schutz für diejenigen, die sich durch ihren Mut selbst in Gefahr bringen. Denn eines ist klar: Die Türkei ist sicher nicht das einzige Land, in dem der BND mit fragwürdigen Motiven „Aufklärungsarbeit“ betreibt.

    Update: Mittlerweile ist bekannt geworden, dass die Spionage bereits unter der rot-grünen Bundesregierung bestand, mehr hier.

    von Anna Biselli 20. August 2014 11
  • : „Sicherheitsgurte für die IT der kritischen Infrastrukturen“ – Entwurf zum IT-Sicherheitsgesetz vorgestellt
    Sicherheit statt Freiheit - CC-BY-NC-SA 2.0 via flickr/Free Press
    „Sicherheitsgurte für die IT der kritischen Infrastrukturen“ – Entwurf zum IT-Sicherheitsgesetz vorgestellt

    Im gestrigen FAZ-Beitrag hat unser Innenminister de Maizière nicht nur kundgetan, dass ihm unsere Agenda-Leaks gegen den Strich gingen, sondern er hat ebenso das geplante IT-Sicherheitsgesetz angesprochen, dessen Entwurf mit Stand von gestern man auf den Seiten des Innenministeriums herunterladen kann. Es ist außerdem ein Ausblick auf die Digitale Agenda der Bundesregierung, die morgen vorgestellt werden wird.

    In dem Entwurf zur Digitalen Agenda heißt es:

    Wir verbessern die IT-Sicherheit durch den Ausbau von Partnerschaften mit Betreibern kritischer Infrastrukturen und durch gesetzliche Vorgaben zu Mindestsicherheitsstandards und eine Meldepflicht für erhebliche IT-Sicherheitsvorfälle im Rahmen eines IT-Sicherheitsgesetzes.

    De Maiziére spricht in seinem Gastbeitrag davon, die „IT-Systeme und digitalen Infrastrukturen Deutschlands sollen die sichersten weltweit werden“. Um das zu erreichen, werden im IT-Sicherheitsgesetz diverse Maßnahmen vorgeschlagen. Unter anderem, weg vom Prinzip der Freiwilligkeit bei der Sicherung der IT-Infrastruktur in Unternehmen zu gehen, hin zu stärkeren „ordnungspolitischen Eingriffen“, um Unterschiede zwischen den Branchen zu verringern. Auch für die IT-Systeme des Bundes solle es verbindliche Vorgaben geben. Eine freiwillige Basis reiche nicht mehr aus, stattdessen fordert der Minister eine Anschnallpflicht im Digitalen – „Sicherheitsgurte für die IT der kritischen Infrastrukturen“.

    Nicht der erste Versuch von Regelungen für IT-Sicherheit

    Auf EU-Ebene steht ein mittlerweile im Parlament bestätigter Entwurf für eine Richtlinie zur Netz- und Informationssicherheit (NIS) seit Längerem im Raum und bereits Ex-Innenminister Friedrich hatte in der letzten Legislaturperiode einen Anlauf für das IT-Sicherheitsgesetz gewagt. Er präsentierte 2013 seinen Entwurf, der von vielen Stimmen kritisiert wurde, unter anderem vom ehemaligen Datenschutzbeauftragten Peter Schaar, der eine Vorratsdatenspeicherung durch die Hintertür unter Rechtfertigung durch den Cyber-Abwehrkampf fürchtete und den Aktionismus ohne abgestimmte Strategie bei der Abwehr von Gefahren aus dem Internet anmahnte. Doch nicht nur Datenschützer, vor allem auch Stimmen aus der Wirtschaft zeigten sich unzufrieden. BITKOM beispielsweise nannte „Überregulierung und Überschneidung von Kompetenzen“ als aus deren Sicht Schwachpunkte des Vorschlags. Besonders die Meldepflicht wurde kontrovers diskutiert. Letztlich hat die Industrielobby derart massiven Druck auf das Wirtschaftsministerium ausgeübt, dass eine Verabschiedung des Gesetzes von diesem blockiert wurde.

    Lobbydruck durch Wirtschaft war erfolgreich

    Diesmal soll die Wirtschaft nicht wieder dazwischenfunken, dafür zeigt man schon im Vorfeld massives Entgegenkommen. Es sind Erleichterungen in Form anonymer Meldemöglichkeiten bei noch nicht erfolgtem „gefährlichen Ausfall oder einer Beeinträchtigung der kritischen Infrastruktur“ – wie auch immer das definiert wird – vorgesehen, damit Firmen keine Imageschäden mehr fürchten müssen. Außerdem fallen die zu meldenden Angaben minimal aus. Lediglich die „technischen Rahmenbedingungen, insbesondere der eingesetzten und betroffenen Informationstechnik“ und die Branche müssen ans BSI übermittelt werden. Sinnvoll wäre aber außerdem eine Angabe zu der Schwere von Schäden und der Menge der Betroffenen.

    An diesem Punkt haben die Industrielobbyisten ganze Arbeit geleistet. De Maizière ist darauf bedacht, sie von ihrem Vorteil bei der Sache zu überzeugen. Informationen seien die Währung der heutigen Zeit, der Staat zahle als Gegenleistung für die Meldepflicht „bar zurück“, da alle Unternehmen von Informationen profitierten, die vom BSI gesammelt wurden und sich somit selbst besser schützen können.

    Dabei bleibt aber außer Acht, dass die anonyme Meldepflicht Schlupflöcher lässt, sich der Verantwortung zu entziehen. Denn wenn ein Sicherheitsproblem durch ausschließliche Meldung an eine Behörde keinen öffentlichen Druck für das Unternehmen erzeugt, sondern nur eine anonyme Nachricht erfordert, ist die Motivation gering, proaktiv für genügend Sicherheit zu sorgen. Denn im Zweifel kann man sparen und nimmt Sicherheitslücken im Glauben, es werde schon alles gut gehen, in Kauf.

    Die eigentlichen Betroffenen werden im Unklaren gelassen

    Die eigentlich Betroffenen – die Verbraucher – erfahren bei einer anonymen Meldemöglichkeit nichts, daran krankten bereits der vorige Entwurf des Gesetzes sowie die geplante EU-Richtlinie. Mit einer bloßen Benachrichtigung von Behörden kann die „besondere Verantwortung für das Gemeinwohl“, von dem im Entwurf die Rede ist, nicht durchgesetzt werden. Diejenigen, die qua Gesetzentwurf zukünftig Verbraucher informieren müssten, sind Telekommunikationsanbieter. Dafür sollen ihnen im Gegenzug Bestands- und Verkehrsdaten seiner Kunden zum „Erkennen, Eingrenzen oder Beseitigen von Störungen“ zur Verfügung stehen. Wer hier eine Hintertür-Vorratsdatenspeicherung wittert, liegt richtig. Außerdem fragt man sich, warum nur die Telekommunikationsanbieter in die Benachrichtigungspflicht genommen werden? Warum nicht alle, die personenbezogene und ‑beziehbare Daten speichern, Onlineshops beispielsweise?

    Es gibt noch weitere Appetit-Häppchen für die Wirtschaftsvertreter. De Maizière betont, wie wichtig ihm die Beteiligung von Unternehmen trotz zunehmender Außenregulierung sei und wie er sie einbeziehen will:

    Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards vorschlagen.

    Daraus ergebe sich durch die Vorreiterrolle Deutschlands ebenso eine Stärkung der Wirtschaft, Exportchancen für Sicherheitsunternehmen würden verbessert. Tatsächlich bietet sich aber ein offenes Tor für die Bestrebungen, möglichst wirtschaftliche, sprich minimale, Anforderungen zu formulieren und tatsächliche Sicherheit und vor allem Datenschutz zu schwächen. Der gesamte Entwurf ist durch die Lobbyarbeit der IT-Branche beim letzten Versuch verwässert worden.

    Mehr Geld und Kompetenzen für BKA, BSI, BBK und Verfassungsschutz

    Neben IT-Sicherheit bei Unternehmen soll eine Ausweitung der Kompetenzen des BKA auf dem Gebiet der „Cybercrime-Bekämpfung“ Abhilfe schaffen. „Cyberdelikte“ fielen dann nicht mehr unter die Zuständigkeit der einzelnen Bundesländer sondern würden zentral dem BKA zugeordnet. Dafür gebe es extra Gelder, auch für BSI, den Bundesverfassungsschutz und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). Insgesamt sollen etwa 270 neue Stellen entstehen. Dafür seien 20 Millionen Euro eingeplant, was in Widerspruch zu den von anderer Stelle bekanntgegebenen Sparmaßnahmen beim BSI steht. Das IT-Sicherheitsgesetz enthält übrigens auch eine Änderung des BSI-Gesetzes, das die Forderungen der SPD nach Unabhängigkeit der Behörde vom Innenministerium hinfällig macht:

    Der Bund unterhält ein Bundesamt für Sicherheit in der Informationstechnik als nationale Informationssicherheitsbehörde. Es untersteht als Bundesoberbehörde dem Bundesministerium des Innern.

    Fazit

    Der Journalist Thorsten Kleinz kommentiert einen Aspekt des Entwurfs treffend:

    Das Problem: Das IT-Sicherheitsgesetz definiert das Internet selbst als Problem. Würde man so eine Problembeschreibung beginnen, die sich um Verkehr oder das Energienetz dreht? „Der Straßenverkehr durchdringt Staat, Wirtschaft und Gesellschaft in immer größerem Maße.“ Oder: „Quer durch alle Branchen ist heute schon mehr als die Hälfte aller Unternehmen in Deutschland von Elektrizität abhängig.“

    Das Internet ist immer noch Neuland und aus Angst vor diesem setzt man stets auf mehr Durchregulierung, Kontrolle und Sicherheit, man militarisiert das Internet. Freiheit und Datenschutz bleiben dabei auf der Strecke. Von Datenminimierung beispielsweise ist keine Rede. Dabei könnte die dabei helfen, die Schäden von Datenlecks einzudämmen. Denn wenn sensible persönliche Daten gar nicht erst erhoben oder zeitnah gelöscht werden werden, soweit sie nicht dringend nötig sind, können sie auch nicht in die falschen Hände geraten. Doch der Einfluss der IT-Industrie zählt mehr als der Schutz der Bevölkerung. Nach den NSA-Skandalen ist der Schutz vor Wirtschaftsspionage vor den Schutz der Normalnutzer gerückt.

    Der Entwurf wurde heute in die Ressortabstimmung der beteiligten Ministerien gegeben. Dem soll eine Debatte „mit den beteiligten Kreisen aus Wirtschaft und Gesellschaft“ folgen. Danach bleiben die Unternehmen zwei Jahre Zeit, beschlossene Standards umzusetzen. Wir finden, das ist die falsche Reihenfolge. Die Bevölkerung vor vollendete Tatsachen zu stellen, um ihnen dann die Illusion von Mitsprache zu geben, reicht nicht. Wir würden uns deshalb freuen, wenn ihr uns mitteilt, wie ihr den Entwurf einschätzt und wo ihr die kritischen Punkte sehr. Verweise auf andere aufschlussreiche Analysen dürft ihr auch gern in den Kommentaren posten.

    von Anna Biselli 19. August 2014 4