Der österreichische Jurist und Datenschützer Max Schrems geht erneut gegen Facebook vor Gericht. In der heute stattfindenden ersten mündlichen Verhandlung vor dem Europäischen Gerichtshof geht es um die Frage, ob Facebook personenbezogene Daten seiner Nutzer in die USA transferieren und auf dortigen Servern speichern darf, was nur zulässig ist, wenn dabei die europäischen Datenschutzstandards eingehalten werden.
Dr. Patrick Breyer MdEP erklärt zu der heutigen EuGH-Verhandlung im Fall Schrems gegen Facebook:
„Die NSA-Massenüberwachung verstößt heute ebenso gegen unser Recht auf Privatsphäre, wie als sie aufflog. Personendaten werden von den USA für schwere Menschenrechtsverletzungen wie außergerichtliche Drohnentötungen genutzt. Deshalb darf allenfalls in Notfällen ein Datenaustausch stattfinden. Ansonsten existiert in den USA kein Schutzniveau, das Datenauslieferungen rechtfertigen könnte. Wie viele Klagen braucht es noch, bis die EU-Kommission einsieht, dass der Schutz unserer Privatsphäre nicht im Profitinteresse der Wirtschaft oder aus ’strategischen Interessen‘ heraus verkauft werden darf?“
Am einfachsten lässt sich der Irrsinn dieser ganzen Sache anhand eines Zitats des sächsischen Innenministers Markus Ulbig verdeutlichen, der wörtlich sagte: „Befugnislücken sind Sicherheitslücken„. In diesem kurzen Satz steckt eigentlich alles ‚drin, was den Sicherheitsfanatikern in unserem Land so vorschwebt und was wir Piraten genau NICHT wollen. Ulbig spricht von „Befugnissen“ für „die Guten“ (also die Behörden), meint damit allerdings die Implementierung von Hintertüren in Software und kryptografischen Algorithmen, die auch von „den Bösen“ genutzt werden können. Damit war schon die NSA sehr erfolgreich – WannaCry lässt grüßen.
Diese Hintertüren für die Behörden, das steht ohne Zweifel fest, sind wahrhaftige Sicherheitslücken. Das ist keineswegs eine neue Erkenntnis, leider aber eine, die von unseren Innenministern seit Jahren konsequent ignoriert wird. Um das auszuführen, ein kurzer Abstecher in die technische Seite des Ganzen: wie sieht eigentlich so eine garantierte staatliche Zugriffsmöglichkeit aus?
Im ersten Schritt braucht man entweder eine Art Zweitschlüssel (zumeist ein Universalschlüssel) für die Verschlüsselung oder man schwächt die Verschlüsselung gezielt so, dass sie grundsätzlich leicht zu knacken ist, wenn man das Verschlüsselungsverfahren kennt. Das Schwächen der Verschlüsselung ist am besten mit einem Tresor zu vergleichen, der eine Ecke hat, an der man ihn mit einem gut gezielten Hammerschlag aufbrechen kann, während er ansonsten durchaus auch mehreren Stangen Dynamit standhalten würde.
Und genau wie bei diesem Tresor ist es vollkommen unmöglich, eine solche Schwachstelle auf Dauer geheim zu halten.
Der Universalschlüssel erklärt sich fast von selbst – wichtig ist hierbei vor allem, dass es nur eine Frage der Zeit ist, bis der Schlüssel nicht mehr nur gegen jeden funktioniert, sondern auch für jeden verfügbar ist. Damit ist die Verschlüsselung dann so nützlich wie eine Haustüre, deren Schlüssel in der ganzen Stadt verteilt sind. Alternativ kann man eine Möglichkeit, die Daten durch eine „geheime Hintertür“ in der Software direkt aus dem Client abzugreifen, implementieren.
Eine gezielt implementierte Hintertür ist jedoch in mehrfacher Hinsicht noch schlimmer, denn:
Wenn das Gesetz ein Schlupfloch für Behörden vorschreibt, weiss ein Verbrecher wonach er suchen muss. Da es sich hierbei nicht um einen zufälligen Makel irgendwo im Code handelt, den selbst die Kenner der Materie nur mit Mühen aufspüren können, sondern um eine komfortable, für Menschen gemachte Schnittstelle, hält sich der Aufwand für das Beschaffen einer Eintrittskarte für diese Schnittstelle selbst für weniger ambitionierte Cracker in Grenzen.
Die Methode ist also mit absoluter Sicherheit schon kurz nach ihrem Einbau verfügbar für jeden, der es wirklich darauf anlegt. Sollte der von der Versammlung unserer, offensichtlich nicht durch Fachwissen verunsicherten Innenminister geplante Wahnsinn wirklich umgesetzt werden, wäre in kurzer Zeit die nächste Welle von durch Botnetze übernommenen Geräten zu erwarten.
Analog zur Bezeichnung IoT-Botnet für vernetzte Thermostate, die auf einmal bösartig werden, würde ich hier von einem IoF-Botnet sprechen: Internet of Fools. Denn so dumm, im Namen der Sicherheit Kriminellen effektiv Zugriff auf die Geräte jedes Smartphone-Besitzers im Land zu geben, muss man erst einmal sein. Hier zeigt sich einmal mehr, warum Piraten im Bundestag dringend benötigt werden und warum die derzeit an Bundes- und Landesregierungen beteiligten Parteien eigentlich unwählbar sind.
Habt ihr wirklich gedacht, die Europäische Union würde Eure Privatsphäre schützen? Seid nicht so blauäugig. Das US-EU-Abkommen Privacy Shield ist eigentlich dazu gedacht, die Daten von EU-Bürgern zu schützen. Aber wie ich bereits erwähnte, hat das Privacy Shield-Programm so viele rechtliche Schlupflöcher, dass dieses „Schutzschild“ bestenfalls wie ein Schweizer Käse aussieht.
Und als wäre das noch nicht schlimm genug, Privacy Shield versagt nicht nur dabei persönliche Daten zu schützen, sondern lädt zudem noch Zulieferfirmen und Vertragspartner der NSA dazu ein, sich daran zu beteiligen! Das Privacy Shield-Programm ermöglicht es diesen Unternehmen personenbezogene Daten, die in der EU gespeichert worden sind, auf US-Server zu übertragen. Wenn ihr in den vergangenen Jahren das Weltgeschehen beobachtet habt, werdet ihr euch vermutlich daran erinnern, wie Edward Snowden über die Massenüberwachungsprogramme der NSA auspackte. Snowden deckte auf wie die US-Regierung Zugang zu euren E-Mails erhielt und eure Telefonate abhören konnte.
NSA-Zulieferern Zugang zu Privacy Shield zu verschaffen ist ein wenig so, wie einen Fuchs den Hühnerstall bewachen zu lassen. Obwohl einige dieser NSA-Partner lediglich eingewilligt haben Personaldaten zu teilen, trägt ihre Teilnahme an Privacy Shield nicht gerade dazu bei, den ohnehin schon üblen Ruf, welchen sich das Programm erworben hat, zu verbessern. Diesen Firmen wird der Zugang zu Privacy Shield gestattet, nachdem sie eine Selbsteinschätzung (ein sogenanntes Self-Assessment) darüber abgegeben haben, wie gewissenhaft sie die Standards von Privacy Shield erfüllen. Das bedeutet konkret, dass diese Unternehmen wenig bis gar keiner unabhängigen Kontrolle unterliegen. Bislang sind folgende Unternehmen dem Privacy Shield-Programm beigetreten: BAE Systems, Boeing, General Dynamics, Lockheed Martin, Northrop Grumman und Raytheon.
BAE Systems
2013 gewann BAE Systems eine Ausschreibung über einen mehrjährigen, 127 Millionen Dollar schweren Vertrag für die Durchführung von computergestütztem Hochleistungsrechnern für die NSA. Ein 2013 durchgesickertes Top-Secret-Dokument enthüllte die vorrangigen Überwachungsziele der NSA für die Jahre zwischen 2012 und 2016. Eines dieser Ziele besteht darin, computergestütztes Hochleistungsrechnen zum Knacken von Verschlüsselung einzusetzen. Ein weiteres Ziel besteht laut des Dokuments in der „Dynamischen Einbindung von [Endgeräten, IT-Infrastruktur, industriell standardisierten und kryptoanalytischen Ressourcen], um bislang nicht erreichte Ziele in Informationsbeschaffung, [Cyber]-Abwehr und [Cyber]-Einsätzen zu verwirklichen“. Einfacher ausgedrückt, die NSA plant computergestütztes Hochleistungsrechnen zum Ausbau ihrer Überwachungskapazitäten einzusetzen und BAE Systems hilft ihr dabei.
Boeing
Die US-Telefongesellschaft AT&T hatte 2003 einen geheimen Raum in einer ihrer Zentralen errichten lassen, um von dort aus NSA-Überwachungseinsätze durchzuführen. 2006 ließ ein AT&T-Techniker die ganze Sache auffliegen und enthüllte die massiven Spionage-Einsätze der NSA. Die NSA hatte ein Gerät benutzt, um riesige Datenmengen aus Internet-Knoten abzufangen und zu sichten. Hersteller des Geräts war die Firma Narus. Narus wurde 2010 vom Boeing-Konzern aufgekauft.
Bereits zwei Jahre zuvor, im Jahre 2008, hatte Boeing das Unternehmen Digital Receiver Technology (DRT), einen Hersteller von Hochleistungs-Funkempfängern, geschluckt. Die von DRT hergestellten Geräte ermöglichen es der NSA, Personen über die Funksignale ihrer Mobiltelefone zu orten. Einige von DRT entwickelte Geräte schaffen es sogar, per Mobilfunk übermittelte Telefongespräche abzuhören und Mobilfunksignale zu blockieren. Im Überwachungsgeräte-Katalog der NSA sind etliche DRT-Geräte gelistet.
General Dynamics
2014 enthüllte die Nachrichten-Website „The Intercept“, dass die NSA praktisch jedes Telefongespräch, das auf den Bahamas geführt wurde, aufzeichnete. Das dazugehörige Projekt wird SOMALGET genannt und ist Teil eines größeren Überwachungsprogramms namens MYSTIC. MYSTIC sammelt die Anruf-Metadaten einiger Länder, unter anderem Mexico, Kenia und die Philippinen. General Electrics hatte einen 51 Millionen Dollar schweren Achtjahresvertrag mit der NSA unterzeichnet, um die mit MYSTIC erlangten Überwachungsdaten auszuwerten.
Lockheed Martin
1988 ließ die Programmiererin Margaret Newsham, damals Mitarbeiterin bei Lockheed Martin, ein gewaltiges NSA-Überwachungsprogramm auffliegen. Die NSA hatte im Rahmen des Überwachungsprogramms ECHELON begonnen, riesige Mengen an Telefonanrufe und Daten abzuhören. In ihrer Zeit bei Lockheed Martin half Newsham dabei, Software zu entwickeln, mit der ECHELON betrieben werden konnte. Newsham enthüllte darüber hinaus, dass die NSA das Telefon eines US-Kongressabgeordneten abgehört hatte.
In den 2000er Jahren hatte die Forschungsabteilung des US-Militärs, DARPA, Aufträge für das Total Information Awareness Programm (TIA) ausgeschrieben. TIA sollte riesige Mengen an Daten sammeln, die in ein Predictive Policing-Programm zur Vorhersage von Verbrechen einfließen sollten. Anders ausgedrückt: TIA nutzte automatisierte Auswertungen dazu potenzielle Terroristen zu identifizieren. Es ist so gruselig, wie es klingt: Man wollte den Film „Minority Report“ zum Leben erwecken. DARPA verschaffte Lockheed Martin 23 Verträge über insgesamt 27 Millionen Dollar für das TIA Programm, an dem die NSA mit beteiligt war. 2012 enthüllte die New York Times, dass die NSA ein eigenes Überwachungsprogramm betrieb, das dem 2003 beendeten TIA stark ähnelte. Das volle Ausmaß der TIA-Altlasten kam erst 2013 durch die Enthüllungen von Edward Snowden ans Licht.
Northrop Grumman
Im Jahr 2000 startete die NSA das Projekt Trailblazer. Dessen Ziel war es, die Überwachungstechnik, die von der NSA im Kalten Krieg eingesetzt worden war, auf den neuesten Stand zu bringen. Das Projekt Trailblazer war ein einziger Skandal: Bis zum Projektende 2006 hatte die NSA eine Milliarde Dollar in ein nicht funktionierendes Programm versenkt und Northrop Grumman war eine der daran beteiligten Firmen.
2009 eröffnete die NSA das sogenannte „US Cyber Command“. Die neue Kommandozentrale sollte ihren Fokus vor allem auf defensive und offensive Cyber-Kriegsführung richten. Raytheon schaltete Stellenanzeigen, in denen „Cyberkrieger“ gesucht wurden, die in der Nähe von bekannten NSA-Standorten arbeiten sollten.
2010 vergab die NSA einen geheimen Vertrag über 100 Millionen Dollar an Raytheon für das sogenannte „Perfect Citizen“-Programm. Im Rahmen des Überwachungsprogramm sollte Sensortechnik, mit der Angriffe auf Netzwerke erkannt werden sollten, in kritische Netzwerkstrukturen öffentlicher Einrichtungen eingebaut werden. Ein Angestellter von Raytheon kritisierte das Programm in einer e-Mail mit einer Anspielung auf George Orwells Roman „1984“: „Perfect Citizen ist Big Brother“. Die NSA behauptete in einem Statement, dass „Perfect Citizen“ nicht zur Überwachung genutzt würde; dennoch äußerten Datenschützer Bedenken, dass das Programm für die Inlandsüberwachung genutzt werden könnte.
Durch die Einbeziehung von NSA-Zulieferunternehmen in das Privacy Shield-Programm wird deutlich, dass sich die US-Regierung nicht im geringsten um Datenschutz schert. Während sich die Europäer aufgrund von Privacy Shield noch in falscher Sicherheit wiegen, bauen die USA ihren Überwachungsstaat weiter aus.
»Gesetze zur verdachts- und wahllosen Vorratsspeicherung der Kommunikations- und Bewegungsdaten der gesamten Bevölkerung sind mit dem heutigen Urteil vom Tisch.«, jubelt Patrick Breyer, Themenbeauftragter der Piratenpartei für Datenschutz und Kläger vor dem Bundesverfassungsgericht gegen die Vorratsdatenspeicherung, über das heutige Urteil des Europäischen Gerichtshofs [1] [2].
»Auch das deutsche Gesetz zur Vorratsdatenspeicherung verstößt gegen europäische Grundrechte. Mit diesem Urteil erteilt Europa der NSA-Methode einer wahllosen Massenerfassung des Privatlebens unschuldiger Bürger eine klare Absage. Gespeichert werden darf nur unter bestimmten ‚Umständen und Voraussetzungen‘.
Nur diejenigen Personen dürfen erfasst werden, die in einem Zusammenhang mit schweren Straftaten oder Sicherheitsgefahren stehen können, nicht aber völlig unverdächtige Bürger. Es ist gut, dass einem Innenminister de Maizière, aber auch einem autoritären Staatschef wie Victor Orban, damit eine viel zu gefährliche Massenüberwachungswaffe aus der Hand geschlagen wird.
Nach dem heutigen Urteil verlangen wir von der Merkel-Regierung die sofortige Rücknahme des deutschen Gesetzes zur Vorratsdatenspeicherung. Die EU-Kommission muss Vertragsverletzungsverfahren gegen alle EU-Staaten mit solchen Gesetzen einleiten!«
„Dieses Urteil ist Karlsruhes Antwort auf den NSA- und den BND-Skandal: Daten über Deutsche an Staaten wie die USA weiterzureichen, wo kein angemessener Datenschutz gilt und Menschenrechtsverletzungen drohen, ist Polizei und Geheimdiensten ab sofort verboten.
Wir brauchen jetzt ein Gesetz zur Regelung des internationalen Datenschutzes. Darin sind Mindestanforderungen zum Grundrechtsschutz im Partnerland und eine Zuständigkeit der Datenschutzbeauftragten zur unabhängigen Prüfung der Angemessenheit festzulegen. Längst überfällig ist außerdem ein internationales Datenschutzabkommen für Polizei und Geheimdienste. Denn der ausufernde Überwachungsstaat ist eine Bedrohung für Freiheit und Demokratie.
Wir PIRATEN fordern: Wer persönliche Daten nicht schützt oder Menschenrechte verletzt, bekommt aus Europa keine Informationen mehr. Die Grundrechte sind für uns nicht verhandelbar. Punkt.“
Stefan Körner, Bundesvorsitzender der Piratenpartei Deutschland: „Das Urteil ist wieder einmal ein Zeugnis, dass unsere Regierung auf der völlig überzogenen Suche nach Sicherheit auf dem Weg ist, aus unserem Rechtsstaat einen Überwachungsstaat zu machen.“
Noch nicht entschieden hat das Bundesverfassungsgericht über eine Sammelbeschwerde der Piratenpartei gegen die Bestandsdatenauskunft sowie über eine Verfassungsbeschwerde von Breyer gegen den internationalen Austausch von Computer- und Metadaten im Rahmen der Cybercrime-Konvention.
