Datenschutz: Schwerwiegender Verstoß durch BND

Bundesdatenschutzbeauftragte Andrea Voßhoff

16. April 2016

Der Spiegel berichtet:

Die Bundesdatenschutzbeauftragte Andrea Voßhoff wirft dem Bundesnachrichtendienst (BND) vor, ihre Behörde missachtet zu haben. In einem 60-seitigen Bericht zur deutsch-amerikanischen Kooperation in der Überwachungsstation Bad Aibling kritisiert Voßhoff, der BND habe sich geweigert, ihrer Behörde die sogenannten NSA-Selektoren zur Prüfung zu überlassen. Dies sei ein "schwerwiegender Verstoß" gegen das Bundesdatenschutzgesetz, das allen öffentlichen Einrichtungen des Bundes vorschreibt, die Datenschutzbehörde zu unterstützen. Alle Selektoren, die über deutsche Systeme laufen, heißt es in Voßhoffs Bericht, unterlägen deutschem Recht und damit der Kontrolle ihrer Behörde. Über Jahre hatte der BND für den US-Geheimdienst NSA Millionen Suchbegriffe, sogenannte Selektoren, in seine eigenen Systeme eingespeist. Viele davon konnte der deutsche Dienst nach eigenen Angaben nicht zuordnen. Diese Selektoren, so schreibt die Bundesdatenschutzbeauftragte weiter, hätten niemals verwendet werden dürfen.

heise online

Frank-Walter Steinmeier vor dem NSAUA

Bundesaussenminister Frank-Walter Steinmeier

Bild: netzpolitik.org

18. März 2016

Der NSA-Untersuchungsausschuss verhörte am 17.03.2016 den amtierende Bundesaussenminister Frank-Walter Steinmeier. Steinmeier hatte in den Jahren seit 2001 mehrere Ämter inne, die mit der NSA-Affäre in Zusammenhang stehen…

1998 -1999 Staatssekretär im Bundeskanzleramt und Beauftragter für die Nachrichtendienste
1999 – 2005 Auch Chef des Bundeskanzleramtes
November 2005 – Oktober 2009 Bundesminister des Auswärtigen

In Steinmeiers Amtszeiten fallen mehrere Themen des Untersuchungsausschusses. Insbesondere die Ausarbeitung des Memorandum of Agreements – dem Kooperationsvertrag zwischen BND und NSA – zwischen 1999 und 2002 ist dabei von Interesse. Hier wurden die grundlegenden Vereinbarungen für die Kooperation der Dienste getroffen…
Das Ziel der Operation Eikonal sei gewesen, die Kommunikation zwischen ausländischen Partnern zu erfassen, die durch Deutschland geleitet wurde. Steinmeier war das bekannt und es scheint ihm auch heute richtig…
Das Thema „Geheimer Krieg“ kam in Steinmeiers Eingangsstatement nicht vor. Kein Wort zu den Aktivitäten der USA in Ramstein, keine Bezüge zur Aussage des ehemaligen US-Drohnenbedieners Brandon Bryant aus dem Oktober 2015. Bryant hat in seiner Aussage vor dem NSA-Untersuchungsausschuss Ramstein als Relaisstation und unersetzlichen Teil der Drohnensteuerung beschrieben.
Auf Nachfrage der Obleute schilderte Steinmeier, dass es erste Diskussionen rund um den Komplex Geheimer Krieg in 2007 gegeben habe. Auslöser war die Einrichtung des US-Kommandos AFRICOM in Stuttgart…
Steinmeier äußerte die bereits von Mitarbeitern des Außenministeriums in den letzten Wochen vorgetragene Auffassung, dass aus Ramstein keine Drohnen starten würden.
Außerdem habe der US-Präsident öffentlich geäußert, es gäbe keine Drohnensteuerung aus Ramstein. Deshalb gäbe es keinen Anlass für die Bundesregierung das anzuzweifeln… (Auszug aus netzpolitik.org CC by-nc-sa)

netzpolitik.org | netzpolitik.org | SPIEGEL ONLINE | Süddeutsche.de | ZEIT ONLINE

Löcher im Privacy Shield

Logo der neuen Vereinbarung: EU-US-Privatsphäre-Schild

Bild: EU-Kommissar Andrus Ansip

1. März 2016

Die EU-Kommission hat den Entwurf für den geplanten Safe-Harbor-Nachfolger herausgegeben: Das EU-US-Privacy-Shield soll den Datenaustausch von Firmen zwischen den USA und der EU neu regeln, nachdem der Vorgänger „Safe Harbor“ vom Europäischen Gerichtshof im letzten Oktober für ungültig erklärt worden war.
Die EU-Kommission meint, dass es dadurch keine anlasslose Massenüberwachung mehr geben werde.

Datenschützer und kritische Medien kommen aber zu einer ganz anderen Einschätzung.
Stellvertretend sei hier der Spiegel zitiert:

Massenhaft erfasste Daten sollen demnach "nur für sechs spezifische Zwecke" verwendet werden dürfen. Das versichert das Büro von US-Geheimdienstkoordinator James Clapper in einem Brief…
Diese Ausnahmen sollen Jahr für Jahr überprüft werden – von Clapper selbst…
Aus Clappers weit gefassten Aussagen lässt sich ableiten: Die US-Dienste haben nicht vor, irgendetwas an ihrem Verhalten zu ändern. Sie erwarten weiterhin, dass Europa darauf vertraut, dass sie mit ihrem alles sehenden Internetauge schon nichts Verwerfliches anstellen werden.
Außerdem dürfen die Daten, die die US-Dienste und ihre Verbündeten aus dem Netz ziehen, lange aufbewahrt werden. In der Regel sind das fünf Jahre. Wenn Clapper erklärt, dass es im nationalen Interesse ist, die Daten länger aufzuheben, kann die Frist auch überschritten werden.

SPIEGEL ONLINE | heise online | Datenschutzbeauftragter INFO | ZEIT ONLINE | netzpolitik.org

USA: Datenschutz soll weiter ausgehebelt werden

Bild: Screencopy Edward Snowden/Twitter

27. Februar 2016

Die New York Times titelt: Nach Informationen gut unterrichteter Kreise steht die Obama-Administration kurz davor, der National Security Agency zu erlauben, einen größeren Teil der abgefangenen privaten Kommunikation an andere amerikanische Nachrichtendienste weiterzugeben, ohne dabei den Schutz der Privatsphäre zu berücksichtigen.
Edward Snowden hebt die Bedeutung dieses Artikels auf Twitter hervor mit den Worten:

Für wie gefährlich Sie das auch immer halten mögen, ich verspreche Ihnen, dass es noch schlimmer ist.

However bad you think this is, I promise you it’s worse. https://t.co/BqKJQcVYaZ #Obama #NSA #FBI @POTUS pic.twitter.com/uVPf7EpcMV

— Edward Snowden (@Snowden) 27. Februar 2016

The New York Times

NSA belauschte Angela Merkel und Ban Ki-Moon

Bild: The White House/Flickr (public domain)

23. Februar 2016

Die Enthüllungsplattform Wikileaks hat neue, als geheim eingestufte Dokumente veröffentlicht, die zeigen, wie der US-Geheimdienst NSA unter anderem Gespräche zwischen UN-Generalsekretär Ban Ki-Moon und Angela Merkel im Jahr 2008 auswerteten. Ban und Merkel tauschten sich laut dem Gesprächsprotokoll von 2008 über Ziele in der Klimapolitik aus und wie sie auf den Klimagipfel in Kopenhagen im Jahr 2009 zusteuern sollten…
Im Jahr 2011 protokollierte die NSA ein Gespräch zwischen dem damaligen französischen Staatschef Nicolas Sarkozy, Silvio Berlusconi und Angela Merkel. Sarkozy und Merkel nahmen Berlusconi laut dem Gesprächsprotokoll hart ins Gericht…

RELEASE: TOP SECRET NSA recording of private meeting between UN’s Ban KiMoon and Germany’s Angela Merkel https://t.co/RwOVWzozrQ @UN

— WikiLeaks (@wikileaks) 23. Februar 2016

Außerdem bespitzelte der US-Geheimdienst den israelischen Ministerpräsidenten Benjamin Netanyahu im Gespräch mit dem damaligen italienischen Staatschef Silvio Berlusconi.

WikiLeaks: NSA Spied on Israel’s Attempts to Repair Relations With U.S. https://t.co/olJZXDDtDl pic.twitter.com/AWW5fxfox4
— The Intercept (@the_intercept) 23. Februar 2016

ZEIT ONLINE zitiert abschließend WikiLeaks-Gründer Julian Assange:

Wir haben heute gezeigt, dass die privaten Treffen von UN-Generalsekretär Ban Ki-Moon zum Schutz des Planeten vor dem Klimawandel von einem Land ausgespäht wurden, das seine größten Ölfirmen schützen will. Die Reaktion der Vereinten Nationen wird interessant sein, denn wenn der Generalsekretär folgenlos ins Visier genommen werden kann, dann ist jeder in Gefahr – vom Staatenlenker bis zum Straßenkehrer.

WikiLeaks | heise online | SPIEGEL ONLINE | ZEIT ONLINE | netzpolitik.org

Codename "Nitro Zeus"

Bild: Screencopy berlinale.de

18. Februar 2016

Unter dem Codenamen „Olympic Games“ war der Computerwurm „Stuxnet“ gemeinsam von den Geheimdiensten der USA und Israels – ev. auch mit britischer und deutscher Unterstützung (Siemens) – entwickelt worden, um dem iranischen Atomprogramm einen massiven Schaden zuzufügen.
Auf der Berlinale hat nun der neue Dokumentarfilm "Zero Days" von Oscar-Preisträger Alex Gibney weitere Einzelheiten dieser Pläne aufgedeckt. „Stuxnet“ war nur ein Teil eines breit angelegten Angriffsplans.
ZEIT ONLINE führt aus:

Demnach haben die USA und Israel mit britischer Hilfe Hunderttausende Rechner und Netzwerke im Iran über Jahre hinweg infiltriert. Betroffen waren angeblich Industrieanlagen, das Stromnetz, Luftabwehr, Transport-Infrastruktur und andere Bereiche. "Nitro Zeus" hieß das groß angelegte Programm, mit dem der Iran praktisch mit einem Schlag aus der Ferne hätte lahmgelegt werden können – ohne dabei einen direkten Hinweis auf die Verursacher zu hinterlassen.

Süddeutsche.de ergänzt:

Die New York Times konnte nach eigenen Angaben die Aussagen des Filmes bestätigen, auch die Webseite Buzzfeed kommt anhand eigener Recherchen zum selben Ergebnis.
Wäre ein Angriff dieser Art erfolgreich gewesen, hätte er weitreichende Folgen auch für Irans Zivilbevölkerung gehabt. Der Plan mit dem Codenamen "Nitro Zeus" bestätigt Horrorszenarien, vor denen Experten seit Jahren warnen. Nun zeigt sich: Eine digitale Attacke auf die Lebensadern eines Landes ist nicht nur möglich, sondern wurde offenbar detailliert geplant und vorbereitet. Sogar der ehemalige NSA-Chef Michael Hayden gibt im Film zu, dass der US-Plan, wenn er umgesetzt worden wäre, ein Angriff auf die zivile Infrastruktur eines Landes gewesen wäre. Eines Landes, mit dem sich die USA offiziell nicht im Krieg befinden.

The New York Times | ZEIT ONLINE | netzpolitik.org | Süddeutsche.de | Berlinale

IoT: „Internet der Dinge“

Bild: macrovector/123RF (Montage)

10. Februar 2016

„Kommuniziert wurde anfangs zwischen Menschen und Menschen (Telefon), später zwischen Menschen und Maschinen (Internet). Der nächste nahe liegende Schritt ist die Kommunikation von Maschinen mit anderen Maschinen, ohne dass ein Mensch dabei eingreifen muss.“

schrieb der renommierte Informatiker Friedemann Mattern 2003.
Ermöglicht wird diese Kommunikation nun durch das „Internet der Dinge“ (engl. Internet of Things: IoT). Immer mehr Geräte werden mit Netzschnittstellen ausgestattet: Im „Smart Home“ sind dies intelligente Stromzähler (Smart Meter), smarte Heizungsthermostate, Fernseher, Spielekonsolen, Kameras, Kühlschränke, Waschmaschinen, Heimtrainer… Gesundheitsdaten lassen sich fernüberwachen und auch Fitnessarmbänder können Daten in die Cloud schicken. Smarte Chips ermöglichen GPS-Tracking von Haustieren und Paketsendungen lassen sich im Netz verfolgen. Smarte Autos vernetzen sich während der Fahrt selbstständig…
Nun hat US-Geheimdienstdirektor James Clapper in einer Anhörung vor dem US-Senat ausgeführt: „Diese Entwicklungen werden eine Herausforderung für unsere Cyberabwehr und unsere Spionagepraxis sein, aber auch neue Möglichkeiten für unsere Ermittler schaffen.“
Konkret räumte er ein, dass Geheimdienste das Internet der Dinge für ihre Arbeit nutzen könnten, zur "Identifizierung, Überwachung, Beobachtung, Lokalisierung und zur Auswahl für die Rekrutierung oder um Zugang zu Netzwerken oder Passwörtern zu gewinnen".
Vermutlich liegt hier auch einer der Gründe, warum der US-Geheimdienst NSA seinen massiven Widerstand gegen die Einführung zuverlässiger Verschlüsselungstechniken aufgegeben hat: „Cloud“-Dienste und „smarte“ Geräte verpassen den Überwachern ganz neue Augen und Ohren.
Ein weiterer Grund dafür könnte aber auch darin bestehen, dass die NSA im Rahmen einer Umstrukturierung verschiedene Arbeitsbereiche zusammenlegen wird – darunter auch die offensiven und defensiven "Cybersecurity"-Spezialisten. Diejenigen, die den Unternehmen helfen, Schwachstellen in deren Hard- und Software zu finden und zu schließen, sitzen Tür an Tür mit denen, die rund um die Uhr nach eben solchen Hintertüren und Schlupflöchern suchen, um in Rechner und Netzwerke einzudringen!
Im Lichte all dieser Offenbarungen sollte man sich wohl sicherheitshalber die angekündigten Zusagen von Clappers Behörde an die EU-Unterhändler bei den Privacy-Shield-Verhandlungen doch noch einmal genauer ansehen. Es erscheint wenig plausibel, dass die NSA bei ihrer weltweiten Massenüberwachung („Take it all“) gerade die „europäischen Freunde“ außen vor lässt…

heise online | SPIEGEL ONLINE | ZEIT ONLINE | The Guardian | Golem.de

"Privatsphäre-Schild" oder Datenkrieg?

Logo der neuen Vereinbarung: EU-US-Privatsphäre-Schild

Bild: EU-Kommissar Andrus Ansip

3. Februar 2016

15 Jahre lang hatte das Safe-Harbour-Abkommen US-Konzernen ermöglicht, die Daten ihrer europäischen Kunden in die USA zu übertragen, obwohl dort keine Datenschutzregeln existieren, die EU-Standards genügen. Bei diesen Daten haben sich bekanntlich nicht zuletzt auch die US-Geheimdienste bedient.
Diese Praxis wurde durch das Urteil des EuGH vom Oktober für illegal erklärt, den betroffenen Unternehmen aber noch eine Duldungsfrist für Datentransfers nach dem alten Safe-Harbor-Abkommen bis 1. Februar 2016 eingeräumt. Seither laufen zwischen der EU und den USA Verhandlungen über ein Folgeabkommen. Die Delegationen standen unter Zeitdruck, haben es aber mit nur einem Tag Verspätung angeblich fast geschafft.
Die zuständigen EU-Kommissare, Věra Jourová (Justiz) und Andrus Ansip (Digitaler Binnenmarkt) haben nun auf einer Pressekonferenz in Straßburg bestätigt, dass sich beide Seiten geeinigt hätten, wie der Datenaustausch zwischen der Europäischen Union und den Vereinigten Staaten künftig geregelt werden solle. Der neue Name soll dann "EU-US-Privatsphäre-Schild" heißen. Justizkommissarin Jourová betonte: "Die USA haben versichert, dass Europäer von ihnen nicht massenhaft oder willkürlich überwacht werden." Dazu werde es schriftliche Zusagen des nationalen Geheimdienstdirektors geben.
Die einprägsamste Antwort auf diesen „Deal“ kam (zwei Tage später) vom österreichischen Datenschutzaktivisten Max Schrems, dessen Klage vor dem EuGH das Safe-Harbour-Abkommen zu Fall gebracht hatte:

US-Geheimdienstdirektor James Clapper hatte bekanntlich im März 2013 völlig ungeniert sogar den amerikanischen Kongress belogen… und ist immer noch im Amt! Und er soll nun den Schutz europäischer Daten schriftlich garantieren???
Schon gleich nach der Pressekonferenz in Straßburg gab es unzählige qualifizierte Stellungnahmen:
Edward Snowden twitterte um 12:23 „EU kapituliert völlig bei Safe Harbor. Erstaunlich, da sie alle Karten in der Hand hatten.“

EU capitulates totally on #SafeHarbor. Interesting, given that they held all the cards. https://t.co/GmM8xGWPP6 https://t.co/EVSzYvgooX
— Edward Snowden (@Snowden) 2. Februar 2016

Kurz darauf gab es eine grundlegende Kritik an dem Vorschlag der EU-Kommission von Jan Philipp Albrecht für die Grünen: „Alles andere als sicher: Der Vorschlag zu #SafeHarbor erfüllt nicht Vorgaben des #EuGH.“

Alles andere als sicher: Der Vorschlag zu #SafeHarbor erfüllt nicht Vorgaben des #EuGH: https://t.co/6tWkxFYyLn pic.twitter.com/itXxIVTuUO

— Europagruppe GRÜNE (@Gruene_Europa) 2. Februar 2016

Einige Stunden später legt er nach:

Das kann nur ein Scherz sein. Die EU-Kommission betreibt den Ausverkauf von EU-Grundrechten und setzt sich der Gefahr aus, schon wieder vom Gerichtshof der EU belehrt zu werden.

Und anschließend: „EU-Kommission verramscht EU-Grundrecht auf Datenschutz…“
Nach all diesen Steilvorlagen ist es schwer erträglich, dass Günther Oettinger, ehem. Ministerpräsident von Baden-Württemberg und seit 2014 EU-Kommissar für Digitale Wirtschaft und Gesellschaft etwa zur gleichen Zeit unbefangen daherzwitschert:

Herzlichen Glückwunsch Věra Jourová zum erfolgreichen Abschluss der Verhandlungen mit den Vereinigten Staaten! Sicherheit ist gut für’s Geschäft!:

Congrats to @VeraJourova for successful negotiations with US! Certainty is good for business! Details: https://t.co/uYYEyS8hgr #SafeHarbor
— Günther H. Oettinger (@GOettingerEU) 2. Februar 2016

NSA-Chef für Verschlüsselung

Bild: Screencopy AtlanticCouncil/YouTube

22. Januar 2016

Während sich weltweit Chefs von Polizeien und Geheimdiensten gegenseitig mit ihren Rufen nach wahlweise Hintertüren oder einem Komplettverbot von Verschlüsselungsstechnologien überbieten, spricht sich NSA-Direktor Mike Rogers für eben jene verteufelte Technologie aus. Das heißt aber nicht, dass der NSA-Direktor jetzt plötzlich zu den Guten gehört.
Wie das amerikanische Online-Magazin The Intercept berichtet, sagte Rogers auf einer Podiumsveranstaltung des Thinktanks Atlantic Council in Washington D.C., dass „Verschlüsselung fundamental für die Zukunft sei“ und jegliche Diskussion darüber Zeitverschwendung sei. Gerade die letzten großen Leaks von persönlichen Daten in den USA hätten die Bedeutung von Verschlüsselung für die Privatsphäre hervorgehoben.
Nun ist generell erstmal Skepsis angesagt, wenn der Chef des wahrscheinlich weltweit größten Überwachungsprogramms von Telekommunikation und Internet zum wiederholten Male eine Technologie lobt. Bedeutsam ist Rogers Aussage aber trotzdem, weil sein Kollege vom FBI, James Comey, aktuell massiv gegen Unternehmen lobbyiert, welche Ende-zu-Ende Verschlüsselung zum Schutz ihrer Kunden implementiert haben.
Schon einer von Rogers Vorgängern im Amt, Michael Hayden, war ein Verfechter von Verschlüsselungssoftware und distanzierte sich gegenüber CNN vom FBI-Direktor: „I disagree with Jim Comey. I actually think end-to-end encryption is good for America.“
Wie aber auch Jenna McLaughlin bei The Intercept richtigerweise schreibt, liegt diese erstmal überraschende Aussage wohl vor allem daran, dass verschlüsselte Inhalte für die NSA kein großes Problem darstellen. Rogers wirbt demnach für die Nutzung von Verschlüsselung, weil sein Dienst noch andere Wege hat, an seine Informationen zu kommen. Durch das Hacken von Computern, Netzwerken, Hard- und Software umgeht oder knackt der Geheimdienst Verschlüsselungen und gelangt direkt an die gewünschten Inhalte.
Doch es gibt Hoffnung: Alles kann die NSA wohl auch nicht knacken, wie eine Analyse von Snowden-Dokumenten des Spiegels nahelegt. Dort geben eine Reihe von namhaften Autoren eine Übersicht über die bis dato (Dezember 2014) wahrscheinlich (nicht) geknackten Verschlüsselungstechnologien. [Übernommen von netzpolitik.org CC by-nc-sa]

heise online | YouTube | netzpolitik.org

Mercury: Terrorakte vorhersagen?

Bild: andrej/Flickr

6. Januar 2016

In den USA startet im Januar ein neues Programm der militärischen Forschungsagentur IARPA namens "Mercury" zur automatisierten Früherkennung und Vorhersage von Terrorakten". Die dafür herangezogenen Datensätze aus dem Nahen Osten und Nordafrika werden von Stationen zur Satellitenüberwachung (SIGINT) abgefangen. Das berichtet FM4, das vierte und jüngste Radioprogramm des Österreichischen Rundfunks.
FM4 analysiert Mercury wie folgt:

Um die Voraussetzung der Zeitnähe zu erfüllen, müssen die Daten quasi vor Ort verarbeitet werden, also bevor sie auf den großen Datenhalden von Ft. Meade, Maryland oder Bluffdale, Utah landen, aus denen sie dann erst wieder extrahiert werden müssen. Bei Datensätzen von Echelon-Stationen wie Bad Aibling, der Königswarte oder der Station des GCHQ in Zypern hat man es mit vergleichsweise überschaubaren Datensätzen zu tun. Dabei handelt es sich um unverschlüsselte Metadatenströme von Mobilfunkern, die Daten via Sat-Transponder überspielen, aber auch um SMS, Telefonate, Internet-Up- und Down-links…
Die Wahrscheinlichkeit, tatsächlich relevante Informationen direkt von Quellen in Nahost zeitnahe abzugreifen, ist bei dieser Art von regionaler Vorauswahl der Daten ungleich höher, als bei den Staubsauger-Abgriffen an den Glasfasern.

Dieser Ansatz erinnert an das in den 90er Jahren unter dem ehemaligen technischen Direktor der NSA, William Binney, entstandenen Analyseprogramm "ThinThread", das sich ausschließlich auf den Abgriff jener Metadaten konzentrierte, die für die Analyse brauchbar waren. Als dieser Ansatz von dem damaligen NSA-Chef Michael Hayden verworfen wurde, quittierte Binney unter Protest den Dienst und gehört nun zu den profiliertesten Whistleblowern. Binney sieht den Hauptgrund des ständigen Versagens der Geheimdienste in dem Auftürmen von gewaltigen "Heuhaufen", in denen die gesuchte "Nadel" auch mit den schnellsten Computerprogrammen nicht mehr gefunden werden kann.
Im Mercury Programm sollen offensichtlich unterschiedliche Teams mit unterschiedlichen Methoden um die höchsten Trefferraten in der Voraussage von real eintreffenden Ereignissen konkurrieren.
FM4 konstatiert hier wieder einen Trend zur Dezentralisierung der Überwachung:

Bereits 2014 hatte das Oberkommando der US-Army in Europa ein Projekt zur Überwachung Sozialer Netze an Ort und Stelle ausgeschrieben, das Gefahren für Einrichtungen der US-Streitkräfte frühzeitig erkennen und damit verhindern soll.

fm4.ORF.at | Twitter | fm4.ORF.at

Hintertüren in Firewalls

Bild: Juniper Networks/Flickr

24. Dezember 2015

Juniper Networks ist der weltweit zweitgrößte Netzwerkausrüster. Zu dessen Kunden gehören unter anderem Banken und Regierungsorganisationen.
Vor einer Woche musste der Konzern in einer öffentlichen Mitteilung eingestehen, dass bei einer internen Überprüfung des Codes des Betriebssystems von Firewall-Geräten für die Absicherung des Internet-Datenverkehrs gleich zwei „Backdoors“ (Hintertüren) gefunden wurden, die als Einfallstor für einen Lauschangriff genutzt werden könnten – ohne Spuren zu hinterlassen. Juniper betonte, dass sie sich hohen ethischen und sicherheitstechnischen Standards verpflichtet fühlen und niemals absichtlich Backdoors in eigene Produkte eingebaut hätten.
The Intercept belegt mit einem Dokument aus dem Jahr 2011, dass der britische Geheimdienst GCHQ und der US-Dienst NSA schon damals die Sicherheitslücken in 13 verschiedenen Modellen der Firewalls von Juniper-Geräten auszunutzen konnten.
derStandard.at ergänzt hierzu:

Kryptographie-Experte Matt Blaze von der University of Pennysylvania geht nicht davon aus, dass die 2011 von NSA und GCHQ gefundenen Sicherheitslecks in Zusammenhang mit den aktuell entdeckten Problemen stehen. Viel mehr könnten diese mit einer NSA-Malware namens "Feedthrough" zu tun haben, deren Existenz bereits 2007 bekannt geworden war.

Heise Security gibt zu bedenken:

Die spannende Frage, so die Experten, lautet längst, wo überall noch solche Hintertüren lauern. Wer sich jetzt in Sicherheit wiegt, weil er nur Systeme der Konkurrenz wie die von Cisco einsetzt, wiegt sich in trügerischer Sicherheit. Edward Snowden bringt das bei Twitter auf den Punkt: "Juniper hat Hintertüren in seiner Software geschlossen, die von Cisco stehen noch sperrangelweit offen."

This thinking misses the point. Juniper just *closed* backdoors in their product. Cisco’s still wide open. https://t.co/ZXFGnrxE1j

— Edward Snowden (@Snowden) 19. Dezember 2015

derStandard.at | heise Security | Golem.de | The Intercept | derStandard.at

Kontrolleure klagen in Karlsruhe

Bild: gravitat-OFF/Flickr

2. Dezember 2015

Die G-10-Kommission des Bundestages würde gern Einblick in die NSA-Selektorenliste nehmen. Süddeutsche Zeitung, NDR und WDR berichten, dass nun eine Klage vorbereitet wurde, die in Kürze dem Bundesverfassungsgericht (BVerfG) vorgelegt werden soll.
Die G-10-Kommission ist für die Aufsicht und Genehmigung von Überwachungsmaßnahmen zuständig. Diese Kontrollfunktion kann sie naturgemäß aber nur dann wahrnehmen, wenn sie umfassend über die Tätigkeiten der Geheimdienste informiert ist. Das ist augenscheinlich nicht der Fall, denn der Einblick in die NSA-Listen blieb bisher verwehrt, die Grundrechtseingriffe durch die Operation Eikonal wurden vor den Kommissionsmitgliedern verborgen. Frank Hofmann, Mitglied der Kommission, sagte gegenüber der SZ: "Die haben uns hinter die Fichte geführt, das Vertrauen ist erschüttert." [übernommen von netzpolitik.org CC by-nc-sa]

Süddeutsche.de | netzpolitik.org

“Snowden Effekt” in Aktion

Bild: Screencopy Edward Snowden/Twitter

29. November 2015

Die umfangreiche Vorratsdatenspeicherung US-amerikanischer Daten bei den US-Geheimdiensten wird mit Ablauf dieses Monats beendet. Dies geschieht aufgrund des sog. „USA Freedom Acts“, der im Juni 2015 vom Kongress beschlossen wurde. Die Umsetzung dieses Beschlusses wurde nun von US-Geheimdienstchef James Clapper bestätigt. Das bedeutet „natürlich“ nicht das Ende der Vorratsdatenspeicherung, diese werden dann aber bei den jeweiligen Telekommunikationsanbietern gespeichert werden. Bei begründetem Terrorverdacht und nach Beschluss des Geheimgerichts FISC (Foreign Intelligence Surveillance Court) darf der Geheimdienst NSA die Informationen aber weiterhin zunächst sechs Monate lang abfragen.

“Snowden Effect” in action: NSA authority to collect bulk phone metadata expires tonight https://t.co/58BS5demRa pic.twitter.com/Sj8W5vJRm1

— The Intercept (@the_intercept) 28. November 2015

Bei der Speicherung von Daten der Auslandsspionage der NSA ändert sich „natürlich“ nichts!
Heise online resümiert:

In der Praxis dürfte sich durch das neue Verfahren wenig ändern. Ein Sprecher des nationalen US-Sicherheitsrats zeigte sich zuversichtlich, dass der Kompromiss es dem Staat erlaube, trotz der verschiedenen Reformen "das Land weiterhin zu schützen". Gutachter konnten zuvor im Auftrag von US-Präsident Barack Obama keinen Fall ausfindig machen, in dem die NSA-Vorratsdatenspeicherung zu einem durchschlagenden Erfolg bei der Terrorismusbekämpfung geführt hätte.

heise online | Handelsblatt | The Intercept

Einblicke in BND-Selektoren

Bild: Screencopy photographyrz/YouTube

17. November 2015

Ab nächsten Montag sollen die Obleute des NSA-Untersuchungsausschuss im Kanzleramt Einsicht in die Liste der BND-eigenen Selektoren erhalten. Dies war seit Bekanntwerden der Selektoren von den Obleuten der Parteien im Ausschuss gefordert worden.
Wie die Süddeutsche Zeitung berichtet, hat das Kanzleramt den Ausschussmitgliedern am Montag mitgeteilt, dass die Obleute ab der nächsten Woche Einblick in die Liste der BND-Selektoren bekommen. Bislang war dies nur einer „Task-Force“ des Parlamentarischen Kontrollgremiums gestattet worden, die in ihrem Zwischenbericht festgestellt hat, dass mehrere europäische Innenministerien, ein deutscher Diplomat und internationale Organisationen ausspioniert worden sind.
Es handelt sich hierbei, entgegen der ersten Medienberichte, nicht um die Selektoren, die der US-amerikanische Geheimdienst NSA an den BND geschickt hat und die nur vom Sonderbeauftragten Kurt Graulich eingesehen werden durften.
Die BND-Selektoren sind nicht deckungsgleich mit den NSA-Selektoren, aber es gibt Hinweise aus dem Untersuchungsausschuss, dass der BND teilweise Selektoren von der NSA übernommen hat, die zuvor durch die Filter aussortiert worden waren. [übernommen aus netzpolitik.org CC by-nc-sa]
Der Opposition reicht dieses „Zugeständnis“ nicht:

Der #nsaua kann im Treptow-Verfahren die BND-Selektoren einsehen.Ein Erfolg für den PUA aber nur ein erster Schritt.Wir brauchen alle Akten!

— Konstantin v. Notz (@KonstantinNotz) 16. November 2015

Süddeutsche.de | ZEIT ONLINE | netzpolitik.org | Golem.de

Anhörung des Dr. Graulich: Mehr als fragwürdig…

Bild: netzpolitik.org

6. November 2015

Die Bundesregierung hat trotz schärfster Proteste der Opposition dem Geheimdienst-Untersuchungsausschuss des Parlaments noch immer die Einsicht in die NSA-Selektorenlisten verweigert, die fast 40.000 problematische Suchbegriffe enthalten sollen. Der stattdessen von der Bundesregierung eingesetzte Sondergutachter Dr. Kurt Graulich, ehemaliger Richter am Bundesverwaltungsgericht, hat einen Prüfbericht erstellt und ist nun als Sachverständiger vom Untersuchungsausschuss geladen.
Geheime Dokumente, die der Süddeutschen Zeitung vorliegen, zeigen, dass Graulich in seinem Abschlussbericht wichtige rechtliche Einschätzungen ohne Quellenangabe aus einem vertraulichen, vier Seiten langen Kurzgutachten des Bundesnachrichtendienstes abgeschrieben hat und somit als ein parteiliches Sprachrohr des BND zu bewerten ist.
Die Süddeutsche erläutert:

Das Gutachten behandelt zwei für den BND elementare Rechtsfragen. Da ist zum einen die sogenannte Weltraumtheorie, die sich der BND zurechtgelegt hat. Danach soll es zulässig sein, dass der BND Datenströme, die er über seine Satellitenabhörstation in Bad Aibling aus dem Weltraum gefischt hat, ohne jede rechtliche Einschränkung an die Spionage-Partner von der NSA weiterleitet. Für den BND stehen im Weltraum erhobene Daten nämlich nicht unter dem Schutz des Grundgesetztes. Zudem geht es um den Umgang mit Metadaten, die der BND grundsätzlich für nicht personenbezogen hält. Und damit rechtlich für vogelfrei.

Nach der Sitzung des Untersuchungsausschusses konstatiert heise online:

Vertreter der Opposition und der Sonderbeauftragte der Bundesregierung für die vom Bundesnachrichtendienst (BND) abgelehnten NSA Selektoren, Kurt Graulich, lieferten sich am Donnerstagabend einen heftigen Schlagabtausch im Bundestag. Der frühere Richter am Bundesverwaltungsgericht treffe in seinem Prüfbericht "falsche Feststellungen", warf der Linke André Hahn ihm im NSA-Untersuchungsausschuss vor. Seine Fraktionskollegin Martina Renner hieb in die gleiche Kerbe: "Ich wäre froh gewesen, wenn Sie sich sachkundig gemacht hätten."

Süddeutsche.de | Süddeutsche.de | netzpolitik.org | heise online

NSA’s Tailored Access Operations (TAO) complex in San Antonio, Texas

Bild: SPIEGEL ONLINE

Google Earth

BND löschte wieder NSA-Selektorenlisten

Bild: Kirill Makarov/123RF

24. September 2015

Bei der heutigen Sitzung des Geheimdienst-Untersuchungsausschusses des Bundestags waren vier Mitarbeiter des Bundesnachrichtendienstes (BND) als Zeugen vorgeladen. Der Zeuge K.M., ein Sachbearbeiter in der BND-Zentrale in Pullach, sorgte für Aufregung als er freimütig berichtete, dass E-Mails eines halben Jahres mit problematischen NSA-Selektoren „versehentlich“ gelöscht worden seien.
Mit der Einsetzung des Bundestagsuntersuchungsausschusses war ein Löschmoratorium ausgesprochen worden: Das sollte verhindern, dass Beweise vernichtet werden. Offensichtlich aber hat der Bundesnachrichtendienst – willentlich oder unwillentlich – dagegen verstoßen.
Heise online weist darauf hin, dass im Geheimdienst-Untersuchungsausschuss schon bei einer Zeugenanhörung im Mai dieses Jahres herauskam, dass der BND eine Selektorenliste brenzliger Ausspähziele gelöscht hatte.
Und unsere parlamentarischen Untersuchungsausschüsse haben sich noch immer nicht daran gewöhnt, dass immer wieder Akten geschreddert werden oder Beweise verschwinden…
ZEIT ONLINE resümiert:

Angesichts der Tatsache, dass alles zum Thema Selektoren geheimgehalten wird, fällt es schwer, an einen Zufall zu glauben. Noch ein Detail in diesem Zusammenhang: So sagte K. M. auch, intern habe man solche Nachrichten, in denen aussortierte Selektoren aufgeführt waren, mit der niedrigsten Geheimhaltung verschickt. Unter den Abgeordneten des Ausschusses wurde daraufhin Unmut laut, da ihnen jeder Einblick in Selektorenlisten verboten ist – sie werden als "streng geheim" behandelt. Nur ein von der Bundesregierung eingesetzter sogenannter Vertrauensmann darf die Selektorenlisten sehen und dann dem Ausschuss darüber berichten. Die Opposition hat deswegen vor dem Bundesverfassungsgericht bereits eine Klage eingereicht.

ZEIT ONLINE | Süddeutsche.de | heise online

USA kein „sicherer Hafen“!

Bild: Screencopy Jan Philipp Albrecht MEP/YouTube

23. September 2015

Yves Bot, Generalanwalt am Europäischen Gerichtshof (EuGH), ist der Ansicht, die Kommission hätte die USA nicht als "sicheren Hafen" für personenbezogene Daten von EU-Bürgern einstufen dürfen. Mit anderen Worten: Er hält das Safe-Harbor-Abkommen für ungültig.
Die Vorgeschichte: Max Schrems, österreichischer Datenschutzaktivist und Gründer von Europe versus Facebook legt sich seit Jahren immer wieder mit Facebook und der irischen Datenschutzbehörde an. Er ist überzeugt, dass das US-Unternehmen Facebook, das seinen europäischen Sitz in Dublin hat, massiv gegen europäisches Datenschutzrecht verstößt.
Spätestens seit den Snowden-Enthüllungen weiß man, dass der US-Geheimdienst NSA unmittelbar – oder durch Beschluss des Geheimgerichts FISA Court – alle US-Internetunternehmen zwingen kann, Nutzerdaten herauszugeben. Nach europäischem Datenschutzrecht dürfen personenbezogene Daten aber nur in begründeten Einzelfällen an staatliche Dienststellen weitergegeben werden. Max Schrems legte daraufhin beim irischen Datenschutzbeauftragten Beschwerde ein. Dieser wies aber die Beschwerde ab, da die EU-Kommission die Weiterleitung europäischer Daten in die USA nach dem sog. „Safe-Harbor-Abkommen“ gestattet habe. Schrems gab sich mit dieser Begründung nicht zufrieden und zog vor den obersten irischen Gerichtshof. Dieser wiederum legte den Fall dem EuGH in Luxemburg vor.
ZEIT ONLINE folgert:

Nun also hat der Generalanwalt seine Schlussanträge veröffentlicht. Meistens, aber nicht immer, folgt das Gericht der Meinung des Generalanwalts. Das wäre in diesem Fall brisant, denn wenn Safe Harbor kippt, bräuchten mehr als 4.000 US-Unternehmen eine neue rechtliche Grundlage oder ein anderes Abkommen für den Datentransfer aus Europa.

Der Geschäftsführer des Vereins Digitale Gesellschaft, Alexander Sander, kommentiert:

Der Generalanwalt tut einen überfälligen Schritt, um dem politischen Rumgeeiere bei der geheimdienstlichen Massenüberwachung ein Ende zu setzen. In seinem Votum stellt er nicht nur klar, dass die Kommission den Schutz personenbezogener Daten seit Jahren schleifen lässt. Er plädiert auch dafür, die von Edward Snowden enthüllte Totalüberwachung der elektronischen Kommunikation durch US-Dienste erstmals höchstrichterlich zu bestätigen. Folgt das Gericht dem Votum, so können politische Entscheidungsträger in Deutschland und Europa die Massenüberwachung künftig nicht mehr als unbewiesene Behauptung abtun.

ZEIT ONLINE | Europe versus Facebook | YouTube | Digitale Gesellschaft | FM4.ORF.at

EU: Menschenrechte und Technologie

Bild: dr. avishai teicher/Wikimedia Commons

10. September 2015

Am Dienstag verabschiedete das europäische Parlament eine Entschließung zu Technologieexporten. Darin mahnte es an, welche Rolle europäische Technologien derzeit beim Ausbau von Massenüberwachung weltweit spielen…
So heißt es in der Resolution vom vergangenen Dienstag, das EU-Parlament „vertritt die Auffassung, dass die aktive Komplizenschaft bestimmter Mitgliedstaaten der EU an der Massenüberwachung der Bürger und der Ausspionierung politischer Führungspersönlichkeiten durch die NSA, wie sie von Edward Snowden enthüllt wurden, der Glaubwürdigkeit der Menschenrechtspolitik der EU schwer geschadet und das weltweit herrschende Vertrauen in die Vorteile der IKT unterlaufen haben.“
Die Entschließung ist ein klarer Seitenhieb auch in Richtung der bundesdeutschen Geheimdienstaufsicht…
Eine klare Ansage ging an die EU-Kommission, ein wirksames Gesetz zum Whistleblowerschutz auf den Weg zu bringen, das ihnen einen internationalen Schutz vor strafrechtlicher Verfolgung zu gewähren soll. Die Enthüllungen von rechtswidrigen Überwachungspraktiken machen Whistleblower und Journalisten zu Menschenrechtsverteidigern, die von der EU zu schützen wären. Netzneutralität, Verbreitung von Offener Software in Drittländern und die Förderung von Verschlüsselung sieht das Parlament außerdem als notwendige Ziele an. [Auszüge aus netzpolitik.org CC by-nc-sa]

Europäisches Parlament | netzpolitik.org

Verfassungsschutz zahlt mit unseren Daten

public domain

27. August 2015

Die deutsche Wochenzeitung DIE ZEIT ist im Besitz einer Übereinkunft, die zwischen dem US-amerikanischen Geheimdienst National Security Agency (NSA), dem Bundesnachrichtendienst (BND) und dem Bundesamt für Verfassungsschutz (BfV) geschlossen wurde. Im April 2013 vereinbarten diese drei Dienste, dass das BfV die NSA-Spionagesoftware XKeyscore erhält und nutzen darf und dafür im Gegenzug "in größtmöglichem Ausmaß" alle relevanten Daten mit der NSA teilen werde.
Aus den Snowden-Dokumenten ist seit Juli 2013 bekannt, dass der BND XKeyscore einsetzt. Damals hatte die Bundesregierung behauptet, erst aus der Presse von den Spähprogrammen der US-Regierung erfahren zu haben. Nun ist belegt, dass die zuständigen Organe schon Monate vorher in Kenntnis gesetzt worden sein mussten… oder sie sind ihren gesetzlichen Aufsichtspflichten in erschreckendem Umfang nicht nachgekommen.
SPIEGEL ONLINE präzisiert die Funktionsweise des Programms:

Das System XKeyscore ist einer internen NSA-Präsentation vom Februar 2008 zufolge ein ergiebiges Spionagewerkzeug und ermöglicht annähernd die digitale Totalüberwachung. Ausgehend von Verbindungsdaten ("Metadaten") lässt sich darüber beispielsweise rückwirkend sichtbar machen, welche Stichworte Zielpersonen in Suchmaschinen eingegeben haben. Zudem ist das System in der Lage, für mehrere Tage einen "full take" aller ungefilterten Daten aufzunehmen – also neben den Verbindungsdaten auch zumindest teilweise Kommunikationsinhalte.

ZEIT ONLINE ergänzt, dass XKeyscore beim Verfassungsschutz unter dem Decknamen "Poseidon" betrieben wird, um die Verbindung zur NSA zu verschleiern, und dass diese Spähsoftware ein mächtiger Datenknacker ist, denn sie fände jedes Passwort, und resümiert:

Weder der Datenschutzbeauftragte noch das zur Überwachung des Verfassungsschutzes eingesetzte Parlamentarische Kontrollgremium des Bundestages (PKGr) wurden bislang vollständig über die Abmachung informiert. "Wieder muss ich von der Presse von einem neuen Vertrag BfV/NSA und unerlaubter Weitergabe deutscher Daten an den US-Geheimdienst erfahren", klagt der grüne Bundestagsabgeordnete Hans-Christian Ströbele, Mitglied im PKGr.

ZEIT ONLINE | ZEIT ONLINE | SPIEGEL ONLINE | ZEIT ONLINE