Recht auf Datenauskunft beim GCHQ

Der britische Geheimdienst GCHQ erhielt jahrelang personenbezogene Daten, die andere Geheimdienste, beispielsweise die US-amerikansiche NSA gesammelt hatten. Es handelte sich dabei um Daten britischer und weiterer Staatsangehöriger.

Diese Praxis hat der britische Gerichtshof IPT (Investigatory Powers Tribunal) für ungesetzlich erklärt, soweit es Daten betrifft, die dem GCHQ vor Dezember 2014 übermittelt wurden. Mit der massenhaften Sammlung privater Daten habe der GCHQ gegen die europäische Menschenrechtsgesetzgebung verstoßen (Artikeln 8 und 10 der Europäischen Menschenrechtscharta).

Antrag auf Datenauskunft stellen.

Wer wissen will, ob seine Daten gespeichert worden sind und einen Antrag auf Löschung stellen möchte, kann dies über die Nichtregierungsorganisation Privacy International oder selber direkt beim GCHQ tun. Privacy International hat dazu folgende Information veröffentlicht. Die Bearbeitung bis hin zu einer Antwort kann aufgrund der hohen Fallzahlen Monate bis Jahre dauern.

steinadler

Quelle: IPT, Privacy International

Wie hacken Geheimdienste?

Der beste Hack ist immer noch der, zu dem einem die Schwachstelle des angegriffenen Computers vorher bekannt ist. Dieser Leitsatz aus Hackerkreisen genießt auch im Geheimdienstmilieu bei GCHQ & Co. seine Anerkennung und Berechtigung.

Schwache Passwörter oder Passwörter, die bereits einmal gehackt worden sind, sind Schwachstellen in jedem Computersystem.  Jedes Passwort, welches Hackern einmal in die Hände gefallen ist, wird wieder und wieder zu weiteren Angriffsversuchen benutzt, immer in der Hoffnung, dass das Opfer dasselbe Passwort mehrmals benutzt. Nicht selten kaufen sich NSA, GCHQ und andere Geheimdienste Passwortlisten, um sie bei ihren Angriffen selbst zu benutzen.

Die wichtigste Angriffsfläche für Geheimdienste jedoch sind Angriffe auf Schwachstellen in Softwareprogrammen selbst. Software wird von Menschen geschrieben, den Vorgang des Schreibens nennt man programmieren. Menschen machen Fehler, auch beim Schreiben von Software. Schätzungsweise sind 3-4% eines Programms auf irgendeine Art und Weise schadhaft. Wenn man bedenkt, dass allein das Betiebssystem Linux derzeit ca. 9 Mio. Zeilen Code hat, kommt da einiges zusammen:

find . -name *.[hcS] -not -regex ‚\./\.git.*‘ | xargs cat | wc -l

Diese Sicherheitslücken führen erst dazu, dass Angriffe auf Computersysteme überhaupt möglich sind. Zum Erkennen der Fehler in der Software setzen Hacker

Exploits

ein. Hat der Hacker Erfolg und einen sicherheitskritischen Fehler in einer Software festgestellt, ist er im Besitz eines sogenannten

Zero Day Exploits,

einer öffentlich nicht bekannten Schwachstelle im System. Öffentlich nicht bekannte Schwachstellen sind im ideellen und monitären Sinne wertvoll. Gegen sie kann -da sie niemand kennt- niemand eine Verbesserung programmieren, wie Fachleute sagen: niemand kann den Bug fixen.

Und an dieser Stelle kommen die Geheimdienste ins Spiel. Sie bedienen sich auf dem Markt, der sich für Zero Day Exploits entwickelt hat und halte mit hohen Summen die Preise hoch.  Warum sie das tun? Einerseits erhalten Geheimdienste so Zugang zu diversen Computersystemen, können Wirtschaftsspionage betreiben, minimieren den eigenen Aufwand, benötigen selbst weniger Informatiker – andererseits führt der Wert der Sicherheitslücken dazu, dass sie nicht veröffentlicht werden. Werden sie nicht veröffentlich, werden sie nicht behoben. Werden sie nicht behoben, besteht der illegale Zugang weiter, Geheimdienste und Hacker können sie bequem weiter.

Ironie des Systems: Die Überwachten, also die freien Bürger eines demokratischen Landes, deren Unternehmen und Konsumenten, bezahlen ihre Überwachung über ihre Steuern selbst.

Geht es um illegale Up- oder Downloads, sind die Staaten schnell zur Stelle, den vermeintlich kriminellen Sumpf auszutrocknen. Keiner der Staaten scheut sich jedoch, sich selbst auf dem Markt für in der Anwendung strafbare Exploits zu bedienen, die Softwarefehler in den Installationen gugläubiger Erwerber von Programmen , die prinzipiell den Datenschutzregelungen demokratischer Staaten genügen, ausnutzen.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, kaufte übrigens bis Ende August Erkenntnisse zu Sicherheitslücken von VUPEN. Das Geschäftsmodell der französischen Firma VUPEN besteht im Verkaufen von Exploits. Das BSI gehörte früher zum deutschen Geheimdienst BND.  Das BSI schütze damit Regierungsnetze und gab die Lecks nicht an andere, beispielsweise Geheimdienste, weiter, sondern informierte die Hersteller, damit sie die Fehler beseitigen können.

Bild: #Novemberhitzewelle
IMG_1918

Quelle: Linux Kernel Statistiken, “ Linux Kernel Statistiken“ von Michael Florian Schönitzer steht unter einer Creative Commons Namensnennung-Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz, BSI, Netzpolitik.org

Edward Snowden erhält Alternativen Nobelpreis

Gemeinsam mit „Guardian„-Herausgeber Alan Rusbridger erhält der Whistleblower Edward Snowden den Alternativen Nobelpreis 2014. Snowden wird ausgezeichnet, weil er mit „Mut und Kompetenz das beispiellose Ausmaß staatlicher Überwachung“ enthüllt hat.

Quelle: http://www.rightlivelihood.org/snowden.html

Durch die Veröffentlichungen von E. Snowden wurde weiten Teilen der Weltöffentlichkeit das enorme Ausmaß der Überwachung ihrer Kommunikation wie ihres gesamten Lebens und Verhaltens bekannt. War anfänglich nur der amerikanische Geheimdienst NSA von den Enthüllungen unmittelbar betroffen, wurde bald klar, dass auch der britische GCHQ und weitere vertraulich arbeitende Dienste und Organisationen jeden einzelnen überwachen. Die totale Überwachung wurde von Snowden durch zahlreiche Dokumente nachgewiesen. Er wird seitdem von den USA mittels Haftbefehl gesucht und hat -ein Treppenwitz der Geschichte- in Russland Asyl gefunden..

Für die Beziehungen der demokratischen Staaten untereinander so wie für die Demokratie an sich haben die Überwachungen und deren Veröffentlichungen weitreichende Folgen. Die USA haben sich durch die Überwachung von Bevölkerungen und Regierungen befreundeter demokratischer Staaten in eine unorteilhafte, defensive Rolle manöveriert und selbst enge Partnerdazu gebracht, technisch gegen die USA aufzurüsten. Größere Erfolge zeigten die Überwachungsmaßnahmen (wie seinerzeit bei der Überwachung der DDR-Bevölkerung durch die Stasi), nicht. Weder konnten die Geheimdienste die Entwicklungen in der Ukraine vorhersehen noch das Erstarken der IS (ehem. ISIS) in der Levante. Stattdessen beschädigte die Massenüberwachung den Kernbereich der demokratischen Prozessen in freiheitlichen Rechtsstaaten.

Der Alternative Nobelpreis („Right Livelihood Award„) wird seit 1980 verliehen.

HACIENDA – noch totalitärere Überwachung durch NSA und GCHQ

Dem Computermagazin Heise (heise.de) liegen „neue, als streng geheim klassifizierte Dokumente des britischen Geheimdienstes General Communication Headquarter (GCHQ), exklusiv vor, die  zeigen, dass Geheimdienste das Scannen offener Ports ganzer Länder als Standardtool einsetzen“.

Ein Programm mit dem Namen „Hacienda“ wurde demnach vom GCHQ entwickelt und seit mindestens 2009 eingesetzt. Hacienda und dessen Ergebnisse können alle „Five Eyes“ nutzen (USA, GB, Canada, Australien und Neuseeland). Hacienda kann und wird gegen alle Nutzer des Internets eingesetzt, unabhängig davon ob ein wie auch immer begründeter Verdacht besteht. Ein Portscan untersucht die Rechner eines Netzwerkes auf aktive Dienste wie HTTP (Webbrowser, Onlinebanking, TELNET, FTP (Download von Dateien) usw. Jedem dieser Dienste wird vom Betriebssystem eine eigene Adresse (die sog. TCP/ UDP-Portnummer) zugewiesen wird. Zweck des Angriffs dürfte in aller Regel sein, den angegriffenen Rechner zu übernehmen (durch den Geheimdienst selbst zu steuern) oder dahinter verborgene Rechner zu identifizieren.

Analog zum Online-Betrug, Identitätsdiebstahl, Computersabotage oder anderen Delikten erfolgt der Angriff durch den Staat in folgenden Schritten:

  1. Scan offener Ports (Zugänge des Computers)
  2. Kompromittierung (Ausnutzung einer Sicherheitslücke)
  3. Installation eines Rootkits (Übernahme des Rechners)
  4. Diebstahl von Daten

Bedenklich dabei ist nicht das Vorgehen bzw. die Technik an sich. Es kann von einem Geheimdienst erwartet werden, dass er Staatsfeinde und Terroristen auf alle möglichen Wegen das Leben schwer macht.

Die Redakteure bei Heise (Julian Kirsch, Christian Grothoff, Monika Ermert, Jacob Appelbaum, Laura Poitras, Henrik Moltke) sprechen in diesem Zusammenhang von einer

Kolonialisierung des Internet

Als Grund für diese Form der Überwachung aller Menschen kommt nach Auffassung dieses BLOG ausschließlich Industrie- und Wirtschaftsspionage in Betracht. Terroristen lassen sich aus den gewonnenen Datenmassen oder Computerzugängen nicht herausfiltern, die schiere Menge der Daten erinnert vielmehr an die Sammlungen der Staatssicherheit der „DDR“, die enorme Datenmengen über ihre Bürger besaß, letztendlich aber genau daran zugrunde gegangen ist und sprichwörtlich den Wald vor lauter Bäumen nicht mehr sah.

Die totale Überwachung der Menschen ist der größte Demokratie gefährdende Faktor im beginnenden 21. Jahrhundert. Überwachung in einem derartigen Ausmaß ist ein Mittel totalitärer Staaten, ein Staat, der sich der Mittel totalitärer Staaten bedient, verliert sein Gesicht. Der Grundkonsens von Gesellschaft und Staat, die Freiheit des Einzelnen, seine Meinungsfreiheit, seine Freiheit zu wirtschaften, sein Recht auf vertrauliche Kommunikation, diese Grundwerte der westlichen Demokratien werden durch GCGQ und NSA beschädigt. Es ist die Zeit gekommen, dass die verantwortlichen Demokraten der beteiligten Staaten endlich verantwortlich handeln. Das Machbare zu machen, nur weil es machbar ist, ist selten eine gute Idee.

port-stettin

Facebook und Youtube Nutzer mit psychologischen Mitteln überwacht

Der britische Geheimdienst GCHQ spioniert Nutzer sozialer Medien (social media), darunter auch in Deutschland, systematisch mit psychologischen Mitteln aus. Die geht eindeutig aus Teilen der sogenannten Snowden-Dokumente hervor (Quelle), welche unter anderem Arbeitsanweisungen zur Auswertung von Facebook-„Likes“ und Twitter-„Tweets“ enthalten.

psyschologie-sigdev
Quelle: GCHQ/E.Snowden/Aclu

Offenbar ohne Wissen von Betreibern wie Google oder Facebook saugt der GCHQ an Glasfaserkabeln, die über britisches Territorium gehen, deren Daten ab und wertet sie in Echtzeit aus. Geschätzt 10% des weltweiten Verkehrs der größeren Netzwerke geht über britisches Territorium, europäische Nutzer dürften in besonderem Maße betroffen sein.

„SQUEAKY DOLPHIN“ heißt das Programm, welches uns in Echtzeit überwacht, täglich Milliarden Daten sammelt, Benutzerinformationen speichert und für Analysezwecke bereitstellt.
Als „SIGDEV“ bezeichnet man Programme für die weitgehend automatische Auswertung und Analyse mittels „SIGINT“ (Beschaffung elektronischer Informationen) erlangter Informationen. Welch umfassendes Wissen über uns die Geheimdienstexperten von uns zu erlangen trachten, zeigt diese Schulungsgrafik des GCHQ:
erkenntnisse
Durch die Praktiken, deren Erkenntnisse der GCHQ mit der NSA teilt, werden die Meinungen und Ansichten 100er Millionen Menschen weltweit ausgespäht, erfaßt und katalogisiert. Es handelt sich aber nicht „nur“ um einen Angriff auf Meinungsfreiheit und Demokratie: geschädigt werden auch die wirtschaftlichen Interessen von Facebook, Google & Co.  Juristisch gesehen, dürfen die Geheimdienste nur Ausländer ausspähen, was die Kooperation von britischem und ameriknischem Geheimdienst unheimlich praktisch macht: Die NSA kann ungestraft die „Ausländer Engländer“ ausspähen, der GCHQ kann gleiches mit US-Amerikanern tun. Über den Partner weiß man dann alles auch vor der eigenen Bevölkerung, die man eigentlich nicht überwachen dürfte. Zu der Gruppe der Ausländer gehören aus sich von England und den USA natürlich unter anderem Deutsche. Generell können Eingriffe in die Kommunikation als problematisch für Staatsform „Demokratie“ angesehen werden.
Der GCHQ hat übrigens die Existenz des Squeaky Dolphin-Programms weder bestätigt noch dementiert. Ein Sprecher betonte, dass die Agentur im Rahmen des Gesetzes betrieben wird. Die NSA teilte mit, Kommunikation nur insoweit zu überwachen, als dass sie dazu gesetzlich ermächtigt sei.
sassofeltrio

GCHQ saugt Facebook’s User-Daten: so geht’s

Der britische Geheimdienst überwacht Facebook Nutzer mindestens seit 2011. Dieser BLOG hält rechtsstaatlich determinierte Maßnahmen der Sicherheitsbehörden für sinnvoll und notwendig, Masssenüberwachung jedoch für demokratiefeindlich. Dieser Beitrag beschreibt wie der der GCHQ User-Daten bei Facebook absaugt und richtet sich ausdrücklich nicht an Informatiker.

Es geht bei der beschriebenen Methode um Massenüberwachung und nicht die rechtsstatlich erforderliche Abwehr von Gefahren oder Verfolgung von schweren Straftaten im Verdachtsfall.

Ein User (Nutzer) kommuniziert mit dem bzw. über das soziale/n Netzwerk Facebook, indem er über seinen Webbrowser (Chrome, Firefox, Internet Explorer oä.) oder Apps (Client-Programme) Daten von Facebook anfordert. Hinter dem einfachen Antippen einer App verbirgt sich simplifiziert folgendes: Zunächst sendet der User über das HTTP-Protokoll seinen Usernamen und sein Passwort an einen „Core Facebook Server“. Inhalte wie Bilder werden dem User dann über die Akamai Schnittstelle bereitsgestellt. Über einen HTTP-Request werden zB von der Facebook App Profilbilder angefordert, die von Facebook Content Delivery Network (CDN) Servern via Akamai wiederum über das HTTP-Protokoll an (zB) das Smartphone des Users geschickt werden.

Wer spähen will, zerlegt zunächst die von Facebooks CDN generierte URL und extrahiert die User-ID von der Person, von der man heimlich Daten ausspähen will. So erhält man die exakte Bezeichnung des CDN Servers, dessen genaue Adressierung im Internet sowie ausreichend Angaben zum User und zum Bildnamen. Ausgenutzt werden zwei hier bekannte Schwächen bei Authentifikation und Sicherheit. Letztendlich erhält der GCHQ-Analyst auswertbare Daten (Bilder usw.) direkt vom Facebook Server.

Folgt man den Snowden-Dokumenten, hat die NSA die Methode adaptiert und „ein breites Spektrum von Facebook Daten für Überwachungen und Suchaktivitäten“ genutzt. Die NSA bezeichnet das selbst so: man habe eine neue Facebooksammlung, die die Gelegenheit für nachrichtendienstliche Informationsgewinnung (SIGINT) gegen diverse Ziele bietet, angefangen von IP- oder User-Agent basierenden Geolocation Daten, Sammlungen privater Nachrichten bis hin zu Profildaten.

Quelle: NSA/Snowden: nsafb

 

Big Data vs. Demokratie

Techechnologien können Einfluß auf Gesellschaftssysteme haben. Neue, eruptive und skalierbare Technologien verändern Gesellschaften im Regelfall grundlegend. Einige Technologien haben das Zeug dazu, bestehende Gesellschaftssysteme zu verändern. Dieser Beitrag beschäftigt sich mit dem Einfluss von Big Data auf freiheitliche Demokratien.

Eine Demokratie wie wir sie kennen ist eine auf einer Verfassung, die allen Bürgern allgemeine und politische Rechte garantiert, basierende Staatsform mit freien Wahlen und unabhängigen Gerichten. Wesentlich für die Demokratie ist, dass die Bürger ihr Recht auf Meinungsfreiheit und Privatspäre wahrnehmen können. Nur so kann innerhalb der demokratischen Gesellschaft ein demokratisch legetimierter Meinungsbildungsprozess stattfinden. Störungen im Meinungsbildungsprozess führen unmittelbar zu Störungen im demokratischen Staatswesen, unfrei gebildete „Meinungen“ beeinträchtigen die Legitimität der Volksvertreter, in Deutschland zB der Bundestagsabgeordneten, da die Wahlgrundsätze verletzt sind, wenn der Meinungsbildungsprozeß gestört ist. Wird die Privatsphäre der Bürger überwacht oder kennt jemandschon vorher Ergebnisse von Meinungsbildungsprozessen, Wahlen, Entscheidungen, poltischen Diskussionen usw. ist eine freiheitliche Demokratie im Kern gefährdet, alle Gewalt geht dann nicht mehr vom Volke aus sondern von jenen, die auf Bürger- und Menschenrechte sowie demoktratische Prozesse eingewirkt haben.

Ob nun etwa ein selbstherrlicher Landesfürst absichtlich und aus selbstherrlichen Gründen die demokratischen Bürgerrechte negiert oder sich Gefährdung oder Abschaffung der Demokratie letztlich als Zufallsprodukt einer technisch-mathematischen Entwicklung ergeben, ist für das Ergebnis egal:

Demokratie  und Menschrechte werden eingeschränkt.

Und hier setzt die Big Data Problematik ein: quasi als Zufallsprodukt hat sich Big Data als Risiko für die Demokratien entwickelt, als Risiko für alle, die in einer freiheitlich-demokratischen Gesellschaft leben wollen.

Nehmen wir ein tatsächliches, reales Beispiel aus der Welt der Geheimdienste:

gchq und  fb

Der britische Geheimdienst überwacht Facebook Nutzer mindestens seit 2011. Davon gibt es alleine in Deutschland 27,38 Millionen (Stand Jan. 2014, Quelle: Statista). Wenn auch jeder weiß, dass man über Facebook keine Vertraulichkeit genießt, geht doch wohl niemand davon aus, systematisch überwacht zu werden. „Überwachen“ in diesem Sinne heißt hier nicht nur, dass mitgelesen und mitgespeichert wird.  „Überwachen“ bedeutet vielmehr,

  • persönliche Daten detailliert auszuwerten und zu erfassen
  • das Leben des Nutzer als (mathematisches) Muster darzustellen
  • Verbindungen zu anderen Menschen zu dokumentieren
  • die Mediennutzung des/der Facebookuser zu überwachen

Selbst die Daten nicht mehr aktivierter Facebook Accounts werden nachträglich aufgrund von Schwächen in Facebook’s Sicherheitsarchitektur erfasst.
(Quelle: GCHQ via E. Snowden vom 14.3.2011)snowden_gchq_fb)

Wer sich durch diese Überwachung in seiner Denkweise, in seiner Ausdruckweise, bei Sprechen, beim Lesen im Internet oder beim Posten via Facebook nicht beeinflussen? Es dürfte unstrittig sein, dass allein schon diese Art der Überwachung den Meinungsbildungsprozess weiter Gesellschaftskreise beeinflusst. Und dabei ist die Big Data Problematik durch die Facebook-Datensammlung beim GCHQ höchstens gestreift. Big Data Analysen werden in Wirtschaft, Forschung, Medizin, bei Versicherungen und vielen weiteren Institutionen und Organisationen als Tool genutzt.  Selbst Anwender, die es nicht darauf anlegen, jemanden auszuspionieren, erfahren dabei quasi ungewollt als „Abfallprodukt“ alles nur Erdenkliche über privateste Angelegenheiten ihrer Mitmenschen.

Big Data gefährdet die Informationelle Selbstbestimmung, jegliche Privatsphäre, das Recht auf Meinungsfreiheit und Meinungsbildung, indem es die Bürger, die Gesellschaft wie den Einzelnen total kontrolliert.

Big Data: totale Kontrolle

Big Data, die Verknüpfung riesiger Datenbestände zu noch gigantischeren Datenbständen ist erst seit wenigen Jahren technisch möglich, wirklich große Datenmengen fallen erst seit dem Jahr 2010 an:

2010: 1227 Exabit weltweit
2012: 2837 Exabit weltweit
Prognosen:
2015: 8591 Exabit weltweit
2020: 40026 Exabit weltweit
(Datenvolumen verdoppelt sich alle zwei Jahre
1 Exabit = 909494 Terrabit oder 931.322.574,6154785 Gigabit )

Die Macht der Algorhythmen läßt (Verhaltens-)Muster jedes Einzelnen von uns erkennen, durchleuchten und unser zukünftiges Verhalten vorhersagen. Und dies selbst für Menschen, die noch nie einen Computer oder einSmartphone besessen haben. Menschliches wird ist nicht nur vorhersagbar, es und damit wir sind in einer Matrix darstellbar, wobei die Matrix keinen Zeitpunkt in der Gegenwart oder Vergangenheit zeigen muss. So sicher, wie unser gegenwärtiges oder vergangenes Verhalten dokumentierbar ist, kann unser zukünftiges Verhalten berechnet werden.

In der Konsequenz bedeutet dies:

Abschaffung der Wahlen und damit Abschaffung der Demokratie

Demokratie vs. Big Data gewinnt Big Data, wenn die verantwortlichen Demokraten in allen Ländern jetzt nicht handeln und ein Regelwerk für die Nutzung und Anwendung von Big Data schaffen.

rhodo

Artikel 19 der Allgemeinen Erklärung der Menschenrechte 
„Jeder hat das Recht auf Meinungsfreiheit und freie Meinungsäußerung; dieses Recht schließt die Freiheit ein, Meinungen ungehindert anzuhängen sowie über Medien jeder Art und ohne Rücksicht auf Grenzen Informationen und Gedankengut zu suchen, zu empfangen und zu verbreiten.“

Britische Geheimdienstkontrolle unzureichend

Ein gestern veröffentlichter Bericht des parteiübergreifenden Commons home affairs select committee fordert eine radikale Reform des derzeitigen Systems der Kontrolle der Geheimdienste MI5 , MI6 und GCHQ. Das momentane parlamentarische Kontrollsystem sei wirkungslos und untergrabe damit die Autorität des demokartisch gewählten Parlamentes. Die Abgeordneten des Commons home affairs select committee kommen zu der Fesststellung, dass das derzeitige Kontrollsystem im Vor-Internet-Zeitalter entwickelt wurde und noch nicht der Realität des 21. Jahrhunderts angepasst wurde.

Während die Geheimdienste sich den aktuellen Gegebenheiten angepasst haben und insbesondere technisch up-to-date sind, ist das System der Kontrolle der Macht der Geheimdienste nicht gewachsen.

Der Bericht kommt zu dem Schluss, dass erst die Erkenntnisse  aus den Snowden-Dokumenten zur Telefon- und Internetüberwachung die Abgeordneten aufgerüttelt haben und zur Auffassung gelangen ließen, dass Reformen in der Geheimdienstaufsicht von nöten seien. Die Abgeordneten fordern eine radikale Reform des Systems der Aufsicht einschließlich der Wahl der Mitglieder des Nachrichten-und Sicherheitsausschuss, darunter ihres Vorsitzenden. Der Vorsitzende sollte auch ein Mitglied der größten Oppositionspartei sein.

potsdamheinrichottotheater