Die Staatstrojaner: Wo bleibt die Empörung der Datenschutz-Beamten?

Ich habe es hier ja mehrfach thematisiert: Bei der ganzen Aufregung über Datenschutzvergehen von Google, Facebook oder Apple und der Empörungsspirale der Staatsaufseher im Datenschutz sollten wir die Aktionen des Staates gegen seine Bürger nicht außen vor lassen. Wer schützt denn hier die Freiheitsrechte jedes Einzelnen? Wer schaut denn mal genauer hinter die Kulissen von BKA, LKAs und Co.? Warum betreiben die Staatsorgane so eine Geheimniskrämerei beim Einkauf ihrer Überwachungstechnik? Vielleicht wird schon mehr eingesetzt als in der Öffentlichkeit bekannt und nach der Gesetzeslage erlaubt ist? So hat die bayerische Polizei zwischen 2009 und 2010 den sogenannten Bayerntrojaner fünf Mal verwendet, erklärte das bayerische Justizministerium auf eine Anfrage der Grünen, berichtet der Fachdienst Golem und bezieht sich dabei auf den Spiegel.

Die umstrittene Spionagesoftware kam in den Städten Augsburg, Nürnberg, München und Landshut zum Einsatz. Die Polizei gab als Grund an, Straftaten wie Handel mit Betäubungs- und Arzneimitteln sowie banden- und gewerbsmäßigen Betrug aufklären zu wollen. „Mit der Spionagesoftware kann die Polizei im Grunde alle relevanten Aktivitäten auf dem Computer ausspionieren. Die Ermittlungsbehörden nutzten unterschiedliche Verfahren, um die Spionagesoftware auf einem zu untersuchenden Computer aufzuspielen. So wurde die Software unter anderem über eine Remote-Installation aufgespielt, ein anderes Mal wurde eine Hausdurchsuchung dazu missbraucht, den Bayerntrojaner zu installieren“, schreibt Golem. Dagegen ist doch Google Street View ein Kindergeburtstag.

Kürzlich hatte noch die Bundesregierung Angaben zu einer parlamentarischen Anfrage verweigert, ob der Bundestrojaner gegen Terrorverdächtige bereits eingesetzt wurde.

Wer weiß, was da jeden Tag schon praktiziert wird und erst im nachhinein durch Gestzesänderungen legitimiert werden soll.

Wir sollten uns also weniger mit den vermeintlichen Einflüsterungen personalisierter Werbung von Facebook oder Google herumschlagen, sondern mit der Bedrohung der Privatsphäre beschäftigen durch staatliches Handeln unter dem Deckmantel von Terrorgefahren und einem Cyberwar, der vor allen Dingen in den Spionage-Hirnen von Verkäufern von Sicherheitssoftware gedeiht. Glauben Contanze Kurz und Frank Rieger vom Chaos Computer Club, dass eine Stiftung Datenschutz, die sie in ihrem Buch „Die Datenfresser“ vorschlagen, hier mehr Schutz für die Gesellschaft bringt? Ist es nicht etwas kümmerlich, wenn diese Stiftung mehr Aufklärung bei den allgemeinen Geschäftsbedingungen und Datenschutzerklärungen bringt, wie es die Stiftung Warentest bei Babyschaukeln und Gartengeräten vormacht?

Wer schützt uns denn vor den illegalen Aktionen des Staates? Genau das ist der Ansatz der Post-Privacy-Debatte. Man sollte den Leuten nicht einreden, über Regeln, Gesetze und staatliche Datenschützer besser geschützt zu werden. Das ist ein trügerischer Glaube.
Das sollte man nicht gleichsetzen mit Defätismus oder Indifferenz gegenüber den Sauereien, die auch von Technologiekonzernen ausgehen. Es geht auch nicht um den Glaubenssatz: „Wenn wir alle transparent sind, wird alles schön“, so die etwas spöttische Bemerkung von Constanz Kurz in einem Interview. Das ist nicht der Punkt. Man sollte allerdings auch nicht Faktor Machbarkeit in seinen netzpolitischen Überlegungen ausklammern.

Eine Stiftung Datenschutz ist nun wirklich nur eine Beruhigungspille.

Zu den Hauptursachen für fremdschaminduzierenden und datenschutzhomöopathischen Aktionismus der sonst eher arbeits- oder erfolglosen Datenschützer ist folgender Beitrag lesenswert: IP-Adressen: Teufelszeug oder harmlos? Ein datenschutzkritischer Dreiteiler.

Der Spion, der aus der Tasche kam – Warum Geheimdienste den Mobilfunk lieben und die Sicherheitsstandards niedrig sind

Hier ein Auszug meiner The European-Kolumne, die jetzt immer am Montag erscheint: Ein Handy hat jeder. Das Protokoll, nach dem die meisten Geräte arbeiten, heißt GSM. Alle reden von den Datenkraken Google und Facebook im stationären Internet. Kaum einer interessiert sich für die Sicherheit in der mobilen Kommunikation. Daran sind die Geheimdienste nicht ganz unschuldig, vermutet Consdanze Kurz, Sprecherin des Chaos Computer Clubs.

Der Verschlüsselungsstandard, der die Verbindung des Telefons mit der Funkzelle gegen ungewollte Lauschangriffe absichern soll, sei absichtlich schwach konstruiert worden, so dass Geheimdienste ihre Arbeit ohne Hürden verrichten können. „GSM-Telefonie ist die auf der Welt am weitesten verbreitete Kommunikationstechnologie. Man sollte also meinen, es gäbe ein gewisses Interesse daran, für Abhilfe zu sorgen, wenn Sicherheitslücken öffentlich werden. Stattdessen wurde jedoch jahrelang abgewiegelt und zuweilen dreist geleugnet“, schreibt Kurz in einem Gastbeitrag für die FAZ.

Bei GSM-Handys von Geheimnisträgern wie der Bundeskanzlerin sieht das etwas anders aus. Die Sicherheitsanforderungen für die Informationstechnik der Bundesverwaltung werden durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zuständige Behörde festgelegt. Insbesondere für den Einsatz in Bereichen wie den Regierungsnetzen, die den Regelungen der Allgemeinen Verwaltungsvorschrift des Bundesministeriums des Innern zum materiellen und organisatorischen Schutz von Verschlusssachen (VS-Anweisung – VSA) unterliegen, ist für einen Einsatz eine Zulassung oder eine Einsatzempfehlung des BSI erforderlich: „Für die verschlüsselte Sprachkommunikation über das klassische Handy gibt es im Moment zwei Geräte, die vom BSI für den Einsatz bis VS-NfD (VERSCHLUSSSACHE – NUR FÜR DEN DIENSTGEBRAUCH) zugelassen sind: dies sind die Produkte ‚Secuvoice‘ der Firma Secusmart und ‚TopSec Mobile‘ der Firma Rhode & Schwarz SIT. Alle diese Produkte werden bereits in der Bundesverwaltung eingesetzt“, sagt die BSI-Sprecherin Nora Basting gegenüber NeueNachricht.

Angeblich werden für Regierungsmitglieder keine Smartphones angeschafft. Zumindest wenn es um vertrauliche Informationen geht. Ein mobiler Datentransfer gilt als zu unsicher. Bestätigt wurde das vom BSI nicht: „Grundsätzlich werden Smartphones, ebenso wie andere mobile Geräte wie Handys oder Laptops, auch in der Regierungskommunikation eingesetzt. Das BSI kann jedoch keine Auskünfte darüber geben, welche Personen in der Bundesregierung welche einzelnen Geräte einsetzen. Zuständig sind die einzelnen Ressorts“, so die BSI-Sprecherin.

In internen Analysen sollen die Aktivitäten ausländischer Geheimdienste zum Smartphone-VerbotAversion geführt haben. An der Spitze steht wohl die USA. Das BSI möchte dazu nichts sagen: „Für nachrichtendienstliche Aktivitäten sind auf Bundesebene andere Institutionen zuständig wie beispielsweise das Bundesamt für Verfassungsschutz.“ Allerdings bestätigt das BSI die Möglichkeit, „Schadsoftware über offene Schnittstellen wie Bluetooth oder W-LAN auf ein Smartphone zu spielen – unabhängig von Zielen oder Hintergrund der Angreifer.“ Für Aufklärung könnten ja die liebwertesten Gichtlinge von WikiLeaks sorgen. Hier geht es zur Kolumne.

BKA/BDK: Die geistigen Atompilze der Sicherheitsfanatiker

Der Bund Deutscher Kriminalbeamten (BDK) hat der Bundesregierung ein 15-Punkte-Programm zum Kampf gegen Netzkriminalität vorgelegt. Darin schlägt der Verband unter anderem eine Ausweispflicht für das Internet vor. „Was wir brauchen, ist ein verlässlicher Identitätsnachweis im Netz. Wer das Internet für Käufe, Online-Überweisungen, andere Rechtsgeschäfte oder Behördengänge nutzen will, sollte sich zuvor bei einer staatlichen Stelle registrieren lassen müssen“, sagte BDK-Vorsitzender Klaus Jansen der Neuen Osnabrücker Zeitung.

Die schwarz-gelbe Bundesregierung müsse endlich „Verkehrsregeln“ für das Internet schaffen. Inzwischen stehe das Gewaltmonopol des Staates auf dem Spiel. Das Internet habe sich zum größten Tatort der Welt entwickelt, und die Bundesregierung verharre immer noch in der Zuschauerrolle.

Der BDK verlange klare „gesetzliche Befugnisse für offene und verdeckte Ermittlungen im Internet, speziell in Sozialen Netzen wie Facebook, SchülerVZ oder Twitter“. Die Polizei soll Trojaner, Viren und Schadprogramme von privaten Rechnern entfernen dürfen, die unbemerkt von Kriminellen gekapert worden seien. „Gegenwärtig gibt es hier eine riesige rechtliche Grauzone“, glaubt Jansen.

Jansen: „Attacken auf die digitale Infrastruktur des Landes können sich ähnlich verheerend auswirken wie atomare Angriffe.“ Deshalb bedürfe es eines „Reset-Knopfs für das Internet“, mit dem das Kanzleramt Deutschland im Ernstfall sofort vom Netz nehmen könne. Nur so lasse sich eine laufende Attacke schnell stoppen.

Vielleicht gibt es ja auch einen Reset-Knopf für Interviews, die gezielt Hysterie schüren. Der semantische Trick der Adepten des starken Staates ist immer gleich. Ob BKA oder jetzt der BDK – sie schüren Sicherheitsängste, um eine Mehrheit für schärfere Gesetze zu gewinnen.

Das funktioniert in Deutschland wie ein Uhrwerk – demoskopisch ist das in sehr gut erforscht. Je dramatischer die Sicherheitslage dargestellt wird, desto einfacher ist es möglich, unter Berufung auf die Sicherheit einen großen Teil der Bevölkerung von der Notwendigkeit massiver Eingriffe in die Freiheitsrechte des einzelnen zu überzeugen.

Auf die Allensbach-Frage „Einmal unabhängig davon, ob das tatsächlich verboten ist oder nicht: Was meinen Sie, was sollte der Staat in jedem Fall verbieten, wo muss der Staat die Menschen vor sich selbst schützen?“. Rund 60 bis 80 Prozent nennen eine ganze Latte an Verboten, die weiter gehen als derzeit vom Gesetzgeber gewünscht. Der Schlüssel für diese Meinungsmanipulation steckt in der Formulierung, dass viele Menschen vor sich selbst geschützt werden müssen. Selbst vom Grundgesetz garantierte elementare Grundrechte werden dann in Frage gestellt, sobald der Eindruck entsteht, dass ihre Einschränkung der Verwirklichung größerer Sicherheit dienen könnte. Genau diese Instinkte bedienen BKA und BDK.

„Der Reset-Knopf ist eine lächerliche Schnapsidee“, konterte Constanze Kurz vom Chaos Computer Club. Damit würden sowohl die Menschen vom Informationsfluss abgeschnitten als auch die Wirtschaft generell ausgeschaltet. Die Kriminalitätsstatistik zeige zudem, dass Straftaten im Internet deutlich häufiger aufgeklärt würden als in der nichtvirtuellen Welt. Es sei gefährlich, das Netz als Gefahrenraum zu hysterisieren.

Siehe auch:
Der BKA-JU-Super-Nanny-Staat und warum ich wieder Max Stirner und Paul Feyerabend lese.

Das verlorene Ego: Auf der Suche nach Identität im Chaos der tausend Karten und Passwörter

„Das Wuchern von Karten und Identitäten ist lästig und widersinnig, wenn man mehrere Karten ziehen muss, um einen einzigen Prozess durchzuführen, etwa beim Bezahlen im Geschäft mit Kundenkarte und Kreditkarte. „Das Kartenhaus der tausend Egos stürzt spätestens zusammen, wenn das Plastikpaket gestohlen oder verloren wird. Ein besonders fruchtbares Biotop für den Wildwuchs täglich neuer Identitäten ist das Internet, angereichert durch ebenso viele Passwörter“, bemängelt Systemarchitekt Bruno Weisshaupt, Geschäftsführer von origo und Autor des Buches SystemInnovation (Orell Füssli-Verlag).

Es sei nachvollziehbar, wenn man das Online-Banking durch eine gut abgesicherte Identität schützt. Aber warum müsse man sich in ganz normalen Online-Shops noch immer zuerst anmelden, seine 757. Identität samt Passwort erfinden, um schon im nächsten Schritt ohnehin mit der Kreditkarte zu zahlen. „Sicherheit sieht jedenfalls anders aus: Irgendwann beginnt jeder, seine Identitäten zu notieren, weil man ansonsten keine Chance hat, den Überblick zu bewahren“. Besser wäre es nach seiner Meinung, wenn sich die technische Welt dem Menschen anpasst, individuell und komfortabel. „Intelligente Interaktion zwischen Mensch und System verlangt nach Identität, und zwar auf beiden Seiten. Das System muss wissen, wer ich bin, wenn es mir jene Informationen, Services oder Produkte zukommen lassen soll, die ich nachfrage. Und umgekehrt gilt ebenso: Der Einzelne muss wissen, welchem System er gegenübersteht, was dieses System kann oder nicht kann“, erläutert Weisshaupt.  

Nach einer Erhebung des Statistischen Bundesamtes muss sich jeder Bundesbürger im Schnitt rund sechs so genannte Pins merken. Der Datenschutzbeauftragte der Bundesregierung sieht die Grenzen der Merkfähigkeit bereits erreicht. Im Extremfall werde die Geheimzahl sogar schon auf die EC-Karte geschrieben, damit man sie beim Abheben am Geldautomaten gleich zur Hand hat. „Mit der Einführung von weiteren Verfahren wie dem elektronischen Personalausweis, ELENA und der elektronischen Gesundheitskarte wird die Zahl der zu merkenden PINs und Passwörter noch steigen. Ich selbst halte eine PIN-Anzahl von zwölf pro Bundesbürger für nicht unrealistisch“, so Peter Schaar.

 

Lernende Systeme müssten automatisch den Einzelnen erkennen und ihm Routineabläufe abnehmen. Beispielsweise über einen Sender, der uns erlaubt, mit der Umgebung, mit einem System automatisch und sicher zu kommunizieren. Eine smarte Identifikationstechnologie sei nach Ansicht Innovationsexperten Weisshaupt der Schlüssel für die Zukunft. Ein wichtigen Beitrag könnte die Sprachbiometrie leisten – so genannte Voice Prints. „Noch vor wenigen Jahren war es aufgrund der Rechenkapazitäten und der Geschwindigkeit der Serverarchitekturen nicht möglich, große Voice Prints-Datenbestände, wie sie in Konsumentenanwendungen entstehen würden, in akzeptabler Zeit gegen eine Stimme abgleichen zu lassen. Mittlerweile ist die Zahl der Nutzer eines sprachbiometrischen Systems kein begrenzender Faktor mehr – Netzbandbreiten ebenso wie Prozessorgeschwindigkeiten und Rechenkapazitäten haben sich vervielfacht, während gleichzeitig die Modelle der Voice Prints so verfeinert werden konnten, dass auch zehntausende Nutzer die Rechenzentren nicht mehr in die Knie zwingen können“, erläutert Bernhard Steimel, Sprecher  der Voice Days http://www.voicedays.de, gegenüber NeueNachricht http://www.ne-na.de.

 

Das belege beispielsweise das sprachbiometrische Self Service-Portal der Volksfürsorge. „Noch größere Anrufvolumina bewältigt das derzeit weltgrößte System von Bell Canada http://www.bell.ca. Es bedient alle interessierten Kunden der Festnetz-, Mobilfunk-, Internet-, TV- und VoIP-Sparten des Unternehmens. Der Anrufer muss lediglich den Satz ‚At Bell, my voice is my password’ zweimal wiederholen. Will er danach etwa seinen Kontostand abfragen, spricht er diesen Satz einmal ins Telefon und wird bei positiver Identifikation an den Agenten weitergeleitet, der auf seinem Bildschirm einen entsprechenden Vermerk sieht und dann die gewünschten Informationen weitergibt“, sagt Steimel.

 

Das komme bei den Kunden gut an. „Über 16.000 Anmeldungen pro Woche summieren sich zu einer Nutzerbasis von über 300.000 registrierten Teilnehmern. Das beweist, wie man Sprachbiometrie für den Massenmarkt nutzen kann“, betont Steimel. Sprachbiometrische Systeme seien ortsunabhängig und bieten unterwegs, zu Hause oder  beim Kunden. Die Präsenz des Kunden an einem Sensor sei im Gegensatz zu anderen Biometriesystemen nicht erforderlich. „Die Sensorik, die erforderlich ist, um sprachbiometrische Dienste anbieten zu können, ist im Gegensatz zu anderen Technologien überall verfügbar: Statt eines Fingerabdrucksensors oder einer Kamera für die Gesichts- oder Iriskontrolle braucht man für Sprachbiometrie nur ein Mikrofon, wie es in fast jedem Telefon eingebaut ist“, führt Steimel aus.Einen entscheidenden Vorteil würden allerdings alle biometrischen Verfahren aufweisen: „Während Ausweise oder Passwörter vergessen, gestohlen oder gefälscht werden können, sind Fingerabdruck, Iris, Gesicht oder Stimme untrennbar mit der Person verbunden“, resümiert Steimel. Beim Fachkongress Voice Days vom 15 bis 16. Oktober in Wiesbaden werden in einem Intensivworkshop biometrische Verfahren im Kundenservice erörtert. Experten: Wolfgang Fröhlich von Nuance, Frank Grefrath vom Bundesamt für Sicherheit in der Informationstechnik, Dr. Waldemar Grudzien vom Bundesverband deutscher Banken, Christel Müller, Beraterin und Autorin des Buches „Einführung von Sprachtechnologie“, Christian Pereira von D+S solutions und René Zühlke von der Postbank.

Deutschland unter Generalverdacht – Vorratsdatenspeicherung treibt Kosten in Unternehmen und Behörden

Wieder einmal befasst sich das höchste deutsche Gericht mit der Klärung, ob getroffene politische Entscheidungen mit dem Grundgesetz vereinbar sind. Noch in der letzten Woche war aber noch strittig, ob es der Erste oder Zweite Senat des Bundesverfassungsgerichts http://www.bundesverfassungsgericht.de sein würde, der die Frage der Verfassungsmäßigkeit der so genannten Vorratsdatenspeicherung verhandeln muss – an der Ablehnung des Gesetzes durch Bürgerrechtler und unterschiedlichste Verbände hat dies keinen Einfluss.  Denn die Verpflichtung für die Telekommunikationsanbieter zur Registrierung von elektronischen Kommunikationsvorgängen, ohne dass ein Anfangsverdacht oder konkrete Hinweise auf Gefahren bestehen, stößt nach wie vor auf massive Kritik. „Die Bundesregierung verspricht Sicherheit, liefert aber nur sichere Einnahmen für die Überwachungsindustrie“, kritisiert denn auch Ricardo Cristof Remmert-Fontes vom Arbeitskreis Vorratsdatenspeicherung http://www.vorratsdatenspeicherung.de und ergänzt: „In einer freien Gesellschaft hat die Überwachung der Reisebewegungen jedes einzelnen ebenso wenig Platz, wie die Überwachung des Telekommunikationsverhaltens jedes einzelnen“, so Remmert-Fontes mit Blick auf die von EU-Kommissar Frattini mittlerweile auch vorgesehene Speicherung von Flugreisedaten der Bürger. Erfasst werden sollen sämtliche Flüge zwischen Europa und Nicht-EU-Staaten. Der Arbeitskreis Vorratsdatenspeicherung hatte zum Jahreswechsel die Verfassungsbeschwerde gegen die sechsmonatige Speicherung aller Verbindungsdaten mit initiiert.  Auch der Verband der deutschen Internetwirtschaft http://www.eco.de hat das Gesetzgebungsverfahren sehr kritisch begleitet. „Die Information, wer wann mit wem telefoniert hat, eine E-Mail geschickt hat oder im Internet war, lasse weitreichende Schlüsse über persönliche Lebensumstände zu“, sagt Oliver Süme, Vorstand Recht und Regulierung des Verbandes. Ihre Nutzung müsse deshalb auf den Zweck der Aufklärung von gravierenden Straftaten und Auskünfte gegenüber Strafverfolgungsbehörden beschränkt bleiben, so die Argumentation des Verbandes. Die ursprüngliche Rechtfertigung für das Anhäufen riesiger Mengen sensibler Daten über die Kommunikationsverbindungen aller Bürgerinnen und Bürger war die Bekämpfung von Terrorismus und organisierter Kriminalität. Genutzt werden dürfen sie nun aber zusätzlich zur Gefahrenabwehr, durch Nachrichtendienste, und zur Aufklärung auch minder schwerer Straftaten. Eco-Vorstandsvorsitzender Michael Rotert weist darüber hinaus auch auf die Kostengesichtspunkte für Behörden und Unternehmen hin: „Aus technischer Sicht kann man die Forderungen der Politiker an die Serviceprovider nur als Hirngespinste abtun. Vor allem weil die Politiker glauben, dass man mit dieser kostenlosen Unterstützung durch die Serviceprovider Geld sparen kann! Das Gegenteil wird der Fall sein. Die meisten Behörden sind weder personell noch technisch ausgestattet, die sich jährlich verdoppelnden Datenströme ermittlungstechnisch zu analysieren“, so Rotert. Die Vorratsdatenspeicherung verpflichtet ab 2009 auch alle Internet Service Provider, Daten der Nutzer für sechs Monate zu speichern. „Welcher Beamte kann 15.000 Mail-Adressen und 500.000 An- und Abmeldungen analysieren, denn so viele fallen allein beim Dienst E-Mail bei drei Monaten Überwachung an einem einzigen Account an. Und 95 Prozent davon sind Spam. Die Mehrbelastung bei den Providern haben letztendlich die Endverbraucher zu tragen“, prognostiziert Rotert. Die Lobby der Rechteinhaber, so bemängelte der Eco-Verband, möchte dabei erreichen, dass sie ohne richterliche Kontrolle einen direkten Auskunftsanspruch bekommt. Würden die Beschränkung der Verwendung der Daten und der Richtervorbehalt aufgehoben, hätten Private sogar einen leichteren Zugriff auf die Vorratsdaten als staatliche Stellen. „Die Vorratsdatenspeicherung sorgt bei vielen Unternehmen für Missmut, erzeugt Kosten und Aufwand“, bestätigt Omar Khorshed, Vorstandschef der Düsseldorfer acoreus AG http://www.acoreus.de, ein Outsourcing-Dienstleister für Kundenmanagement, Abrechnung und Zahlungsverkehr . Mit dem Paradigmenwechsel im Datenschutz, weg vom bisher geltenden Verbot anlass- und verdachtsunabhängiger Datenspeicherung, würden die Nutzer in Deutschland unter Generalverdacht gestellt. Er erwartet außerdem, dass „die Verbände der Musik- und Filmwirtschaft, die die Daten zur Verfolgung von Urheberrechtsverletzungen nutzen wollen, die Ermittlungsbehörden mit Anzeigen lahm legen und die Fahndung nach Terroristen erschweren.“