(internet-) überwachungsprogramme · pdf fileregulation of investigatory powers act ......

(Internet-) Überwachungsprogramme Andreas Krisch, 09.10.2013

(Internet-)Überwachungsprogramme

Andreas [email protected]


Inhalt

● Überwachungs-Überblick● US Telefondaten● PRISM● Boundless Informant● TEMPORA● Upstream● (US) Briefpost

● Auswirkungen● Gegenmaßnahmen


Überwachungs-Überblick

● Five Eyes / UKUSA● Überwachungspartnerschaft bestehend aus● USA, UK, Australien, Kanada, Neuseeland● als "sekundäre Partner"● weitere Kooperationen mit "tertiären Partnern"

● Echelon● Überwachung von Satelliten-Kommunikation● Betrieben von UKUSA● Existenz 2001 durch Europaparlament bewiesen


US Telefondaten

● Tägliche Übergabe von ● "Metadaten" (Wer, wann, mit wem, von wo aus, …)● aller nationalen und internationalen Anrufe● durch Verizon (und evtl. auch andere Provider)● an die NSA.

● Umfang● Etliche Millionen Datensätze täglich● Entspricht in etwa der Vorratsdatenspeicherung

● Angeordnet durch geheimes FISA-Gericht


PRISM (1)


PRISM (2)


PRISM (3)

● Zugriff auf Kommunikations-Inhalte● "Direkt" von Systemen der Internetdienste● Überwachung in "Echtzeit"● Benachrichtigung bei neuen Daten● Zugriff auf historische Kommunikationsinhalte● ~ 120.000 aktive Ziele / Betroffene (04/2013)


Boundless Informant (1)

● Visualisierung von Überwachungsdaten● Stand März 2013

● 97 Milliarden Datensätze insgesamt● davon rund 3 Milliarden Datensätze zu USA● Bezogen auf einen Zeitraum von 30 Tagen

● Relevanz● Nachweis: NSA hat Informationen zu Betroffenheit

von US-Bürgern und Kongress belogen● Deutschland wird stärker überwacht als Russland


Boundless Informant (2)


TEMPORA (1)

● Betrieben von GCHQ (UK) seit Herbst 2011● Abhören von (Unterwasser-)Glasfaserkabeln

● Bis zu 46 gleichzeitig, Zugang zu mehr als 200● Speicherdauer: Inhalte 3, Metadaten 30 Tage● Enthält

● Telefongespräche (600 Mio. "telephone-events" / Tag in 2012)

● E-Mails, Facebook-Postings, Webseiten-Aufrufe, ...● Was eben so über die Leitung geht.


TEMPORA (2)

● UK hat "biggest internet access" der Five Eyes● "larger amounts of metadata than NSA"● Datenauswertung (05/2012)

● 300 GCHQ- und 250 NSA-Analysten● Datenzugang in USA

● 850.000 NSA-Mitarbeiter und -Contractors● Rechtsgrundlage

● Regulation of Investigatory Powers Act (RIPA)● Voraussetzung: 1 Teilnehmer im Ausland


Upstream (1)

● Betrieben von NSA● US-Äquivalent zu TEMPORA● Zugriff auf Daten anderer Staaten

● über Verträge von US-Telkos mit nationalen Telkos● Ermöglicht direkten Zugriff auf deren Netze und● Übermittlung der Daten in die USA

● Überwachungsklauseln● bei Verkauf von US-Telkos an Ausländer● Besetzung von Schlüsselstellen mit US-Spionen


Upstream (2)


Upstream (3)


(US) Briefpost (1)

● Mail Isolation Control and Tracking program● Eingeführt nach Anthrax-Briefen (2001, 5 Tote)● 160 Milliarden Poststücke 2012

● Erfassung von Absender und Empfänger● Von jedem Poststück, das in USA gehandhabt wird● Speicherdauer unbekannt.


(US) Briefpost (2)

● Deutschland● Absender und Empfänger von 66 Mio Poststücken /

Tag werden gescannt und gespeichert● Pilotprojekte für Datenweitergabe an USA zur

"Vereinfachung der Zollabfertigung"● Weitergabe anderer Informationen "in seltenen

Fällen" "nur nach expliziter Aufforderung" an US-Behörden


Verschlüsselung

● Bewusste Schwächung kommerzieller Verschlüsselungslösungen● Starke Verschlüsselung: VPNs, E-Mail, ...● Jahresbudget: ~ 250 Mio USD

● Aushebeln schwacher Verschlüsselung● SSL

● Gezielte Beeinflussung der Normung


Verschlüsselung (2)

"What I took away from reading the Snowden documents was that if the NSA wants in to your

computer, it's in. Period."

(Bruce Schneier)


Grundsatzfrage

Wie amortisieren sich diese Investitionen?


Auswirkungen

● Vertrauliche Kommunikation ist kaum mehr möglich● Schadet der Gesellschaft und der Wirtschaft● Schadet langfristig der Demokratie

● Grundrechte werden massiv beschnitten● Vertrauen in Internetdienste ist schwer gestört

● Massive Nachteile für IT-Wirtschaft (z.B. Cloud)● Chance für Europäische IT-Wirtschaft

● Sichere Kommunikation / Privacy by Design


Gegenmaßnahmen (1)

● Durch den Einzelnen● Verschlüsselungslösungen● Nutzung (kleiner) europäischer Anbieter● Keine Möglichkeit für umfassenden Schutz● Nachteil:

– Wenn man sein Verhalten anpasst, ist ein Stück Freiheit schon verloren

– Als nächstes wird man seine Handlungen anpassen– Und dann seine Gedanken


Gegenmaßnahmen (2)● Durch Gesetze (EU Datenschutz)

● Datenweitergabe an Behörden von Drittstaaten verbieten / sanktionieren (ehem. Art. 42)

– Safe Harbour Abkommen EU-USA aufheben– Kein Export von VDS-Daten

● Effektive Rechtsdurchsetzung– Innerhalb der EU– Gegenüber Anbietern aus Drittstaaten

● Förderung datenschutzfreundlicher Technik– Vorrang bei staatlicher Beschaffung– Gütesiegel zur leichten Erkennbarkeit


Gegenmaßnahmen (3)

● Durch Gesetze (EU Datenschutz)● Stärkung d. (betrieblichen) Datenschutzes

– Datenschutzbeauftragte– Schulungsmaßnahmen (Schulen, Universitäten, IT-

Ausbildungen, …)

● Durch Politik (EU und National)● Beendigung der Massenüberwachung● (Forschungs-)Förderung für Privacy by Design● Bekenntnis zu Freiheit und Grundrechten

– auch als Maßstab für int. Abkommen und Kooperation


Quellen (1)● Europäisches Parlament: Bericht des nichtständigen Ausschusses des EP über das

Abhörsystem Echelon, 2001, http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+REPORT+A5-2001-0264+0+DOC+PDF+V0//DE

● The Guardian: NSA collecting phone records of millions of Verizon customers daily, 06.06.2013, http://www.guardian.co.uk/world/2013/jun/06/nsa-phone-records-verizon-court-order

● The Washington Post: NSA slides explain the PRISM data-collection program, 06.06.2013 / 10.07.2013, http://www.washingtonpost.com/wp-srv/special/politics/prism-collection-documents/?hpid=z1

● The Guardian: Boundless Informant: the NSA's secret tool to track global surveillance data, 11.06.2013, http://www.guardian.co.uk/world/2013/jun/08/nsa-boundless-informant-global-datamining#

● The Guardian: GCHQ taps fibre-optic cables for secret access to world's communications, 21.06.2013, http://www.guardian.co.uk/uk/2013/jun/21/gchq-cables-secret-world-communications-nsa

● The Washington Post: Agreements with private companies protect U.S. access to cables’ data for surveillance, 07.07.2013, http://www.washingtonpost.com/business/technology/agreements-with-private-companies-protect-us-access-to-cables-data-for-surveillance/2013/07/06/aa5d017a-df77-11e2-b2d4-ea6d8f477a01_story.html?hpid=z4


Quellen (2)● The New York Times: U.S. Postal Service Logging All Mail for Law Enforcement, 03.07.2013,

http://www.nytimes.com/2013/07/04/us/monitoring-of-snail-mail.html?pagewanted=all&_r=1&

● Heise: Deutsche Post schickt Daten an US-Behörden, 07.07.2013, http://www.heise.de/newsticker/meldung/Deutsche-Post-schickt-Daten-an-US-Behoerden-1912542.html

● The Guardian: Revealed: how US and UK spy agencies defeat internet privacy and security, 06.09.2013, http://www.theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security

● The Guardian: NSA surveillance: A guide to staying secure, 06.09.2013, http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure-surveillance


Vielen Dankfür die

Aufmerksamkeit!

Andreas [email protected]

(internet-) überwachungsprogramme · pdf fileregulation of investigatory powers act ......

Documents