massenüberwachung als gefährliches instrument zur ... · er kann ihre interessen in der...

Problem: Massenenüberwachung Mindsets/Methoden Situation CH Macht/Kontrollverlust Handlungsbedarf $meinInput

Massenüberwachung als gefährlichesInstrument zur Kontrolle von Politik,

Wirtschaft und ZivilgesellschaftInputreferat + Debatte

Hernâni Marques (@vecirex),Chaos Computer Club Schweiz (CCC-CH)

hernani@{ccc-ch.ch,vecirex.net}0EE4 679E 7198 7A66 37D0 3395 D425 5D18 53C9 182C

FHNW @ Brugg/Windisch, 2. Mai 2019, 8:15+Hernâni Marques (@vecirex), Chaos Computer Club Schweiz (CCC-CH)

Massenüberwachung als gefährliches Instrument zur Kontrolle von Politik, Wirtschaft und Zivilgesellschaft


Übersicht

1 Problem: Massenenüberwachung

2 Mindsets/Methoden

3 Situation CH

4 Macht/Kontrollverlust

5 Handlungsbedarf

6 $meinInput

Hernâni Marques (@vecirex), Chaos Computer Club Schweiz (CCC-CH)



Allgemeines

Verband von Hackerspaces/-organisationen – als Teil derZivilgesellschaft: https://ccc-ch.ch/Überall in der Schweiz – eintrittsfreie – allwöchentlicheTreffen zu technischen und digital-/netzpolitischenThemen.In Zürich “Chaostreff” beim Chaos Computer Club Zürich(CCCZH), Röschibachstr. 26, mittwochs ab 19 Uhr:https://ccczh.ch/



https://ccc-ch.ch/

https://ccczh.ch/


Zweck CCC-CH

Der Verband fördert den Erfahrungsaustausch unterHackern in der Schweiz. Er kann ihre Interessen in derÖffentlichkeit und gegenüber politischen Instanzenvertreten. Überdies kann er sich für dietechnisch-wissenschaftliche Bildung einsetzen. DerVerband ist parteipolitisch und konfessionellneutral.i

iArt. 2 Statuten CCC-CH. URL: https://www.ccc-ch.ch/statuten.html (Abruf: 5. November 2017)



https://www.ccc-ch.ch/statuten.html


Die Hackerethik (des CCC)

Der Zugang zu Computern und allem, was einem zeigenkann, wie diese Welt funktioniert, sollte unbegrenzt undvollständig sein.Alle Informationen müssen frei sein.Misstraue Autoritäten – fördere Dezentralisierung.Beurteile einen Hacker nach dem, was er tut, und nichtnach üblichen Kriterien wie Aussehen, Alter, Herkunft,Spezies, Geschlecht oder gesellschaftliche Stellung.Man kann mit einem Computer Kunst und Schönheitschaffen.Computer können dein Leben zum Besseren verändern.Mülle nicht in den Daten anderer Leute.Öffentliche Daten nützen, private Daten schützen.




Mit Digitalisierung umgehen: Ausmass sehen (1)

Praktisch alle Prozesse werden digitalisiert – Sinn, Nutzenund Risiko (nicht nur individuelles, auch gesellschaftlichesRisiko) werden wenig hinterfragt – bis es zum Schadensfallkommt ...Grundlegende Kenntnisse über Funktionsweise vonComputern und Internet sind (noch) kein Allgemeinwissen.Begriffe und Zusammenhänge werden oft wild durchmischt– von sowohl Politik als auch Medien – undcoolness-/modernitätshalber genutzt (Hacken/r,Blockchain, Digitale Demokratie, ...).




Mit Digitalisierung umgehen: Ausmass sehen (2)

Verständnis um hinterlassene Datenspuren / Bewusstseinfür Privatsphäre und Sicherheit sind wenig geschärft.Es fehlt ganz allgemein an Kreativität / Vorstellungskraft,Gefahren / Technikfolgenabschätzung zu betreiben:braucht es erst einen grossen Knall?




Natur von Massenüberwachung (1)

Massenüberwachung ist gegeben, wenn Datenströme /Vorgänge (permanent gespeichert oder nicht) nach einer“Nadel” (im Datenheuhaufen) durchsucht werden.Es ist nicht nötig, die Daten permanent zu speichern: dieDaten / Vorgänge können auch nur flüchtig (imArbeitsspeicher) bestehen.




Natur von Massenüberwachung (2)

Physisch liegt Massenüberwachung an Flughäfen vor, wojede Person verdachtsunabhängig durchsucht wird – dieVerdachtsmomente sind oft willkürlich.Selbst wenn keine Treffer erfolgen (ähnlich Websuche beiüberspezifischer Suche), liegt Massenüberwachung vor,weil es alle (in einem Kontext) betrifft.




Typen von “Nadeln” oder Selektoren (1)

Es bestehen diverse Arten von “Nadeln” (=Selektoren oderSuchbegriffe):

Hard-Selectors (fokussiert auf Metadaten):Telefonnummern, E-Mail-Adressen, Chat-Nicknames,IP-Adressen etc.

Genutzt, wenn bekannt ist, wer die “Zielpersonen” sind:Telefonnummern von Diplomaten, Journalisten, CEOs,Angela Merkel . . .




Typen von “Nadeln” oder Selektoren (2)

Es bestehen diverse Arten von “Nadeln” (=Selektoren oderSuchbegriffe):

Soft-Selectors (fokussiert auf Inhalte): Wörter (inKombinatinen) in Text oder (transkribierter) Ton,Mustererkennung in Texten, Grafiken, Videos etc.

Der Ansatz wird gewählt, wenn man im Grundsatz keineAhnung hat, wonach man sucht, z. B. im Fall von“Terrorismus”, wo nicht genug “Trainingsdaten” existieren. . .




Massenhafte Datenpreisgaben – mit willentlicherHandlung

Stammdaten aus Kundenstämmen, Einkaufsverhalten,Social-Media, ...Identifikation von Personen (Karten-/Geräte-IDs,Gesichter, ...)Standort- und BewegungsprofileKommunikationsdaten (Meta- und Inhaltsdaten)Finanztransaktionen (bei Nutzung von Geldkarten, ApplePay, ...)Werbung mit Beacons auf Basis Apps (z. B. K-Kiosk)




Massenhafte Datenpreisgaben – ohne willentlicheHandlung

Werbetracking beim SurfenStandortprofilierung mit eingeschaltetem HandyBikesharing (z. B. LimeBike, mit GPS-Tracking)Gesichtserkennung Flughafen Zürich (Pilot)Videoüberwachung ÖV und öffentlicher RaumÜberwachung durch DrohnenDatenabfluss durch Leaks bei Staat und Wirtschaft (nachHacks)




Staatlich: Der NSA-Komplex überwacht global




Staatlich: NDB/Schweiz überwacht regional




Ausmass: Viele Datenquellen sind möglich

Zusammenfassung von OSINT-Informationen zu neuem(durchsuchbaren) WissenAnzapfen von SAT-Verbindungen, Untersee- undGlasfaserkabel (vgl. Snowden-Enthüllungen)Ausleitung von Daten von zentralisierten Providern (z. B.PRISM-Programm des NSA-Komplexes)Ausleitung von Daten aus spezifischen Zielen (z. B.RUAG-Hack)Ausleitung von Daten aus unspezifischen Zielen (bei z. B.automatisierter massenweisen Verwanzung von privatenPCs oder mit Tracking)




Nadel-Kreationismus für Five-Eyes-Analysten (1)




Nadel-Kreationismus für Five-Eyes-Analysten (2)




Ausleitung von Daten aus zentralisierten Plattformen




INDECT: Named-Entity-Recognition – “Terror”-Chat




Soft-Selektoren (thematische Suche) in E-Mails




Selektoren für alles Digitale




Bundesverfassung und die Privatsphäre

Art. 13 BV “Schutz der Privatsphäre”1 Jede Person hat Anspruch auf Achtung ihres

Privat- und Familienlebens, ihrer Wohnung sowie ihresBrief-, Post- und Fernmeldeverkehrs.

2 Jede Person hat Anspruch auf Schutz vor Miss-brauch ihrer persönlichen Daten.

Es besteht keine Verfassungsgrundlage für präventiveÜberwachung. ii

Im Gegenzug gibt es seit 2016 – durch das Ja zumNachrichtendienstgesetz – eine demokratischeLegitimation für eine Massenüberwachung der SchweizerBevölkerung.

iiDie “Fichenaffäre” war nicht einmal gesetzlich abgestützt.




“Sensoren” des Schweizer Geheimdienstes (NDB)




Vorratsdaten, oder: Die persönliche “Fiche” für jeden!

Vorratsdaten (euphemistisch/juristisch auch “Randdaten”) gebenAuskunft darüber wer, wann, mit wem, wie lange und ggfs. wokommuniziert hat.Vorratsdatenspeicherung (VDS) bedeutet

das Kontaktnetz vom ganzen Volk,das Kommunikationsverhalten aller zu speichern undvon allen Personen (allenfalls) Bewegungsprofile zuerfassen.

Details: VDS kann Betreffszeilen von E-Mails oder – technischbedingt – den Inhalt von SMS-Nachrichten erfassen.




Anhang VIS-NDB (Verordnung NDG): Datenfelder (1)




Anhang VIS-NDB (Verordnung NDG): Datenfelder (2)




(Ideen für) Angriffe, wo Massenüberwachung wirkt (1)

Individuum kann durch jahrelange Datensammlung Stückfür Stück zersetzt oder erpresst werden (vgl. Ansätze vonHandbücher StaSi, CIA, Verteilung Spy-/Ransomware etc.)– digital kann Schaden auch automatisiert und skalierenderfolgen!Diplomatische Spionage (vgl.NSA-Untersuchungsausschuss zu BND-Spionage)Wirtschaftliche Spionage (vgl. Echelon-Bericht desEuropäischen Parlaments)





Überwachung der Netzwerke (“Social Graph”)zivilgesellschaftlicher Player und Einflussnahme, umProteste zu verhindern / Gegenbewegungen zu etablieren(vgl. Zensur von Gruppen auf Social-Media / Emergenzvon bezahlter Schreiber – auch automatisierbar mittelsBots!)Verwanzung und/oder Störung kritischer Infrastrukturen,einschliesslich E-Voting-Systemen (vgl. Stuxnet-Angriffeauf das iranische Atomprogramm oder die Verwanzungvon Cisco-Routern gem. Snowden-Enthüllungen)Drohnenmorde auf Basis von Metadaten (vgl. Aussagen imdt. NSA-Untersuchungsausschuss punkto Ramstein AirBase)





Spitzen aus Politik, Wirtschaft und Zivilgesellschaft könnenim “Datenheuhaufen” identifiziert, ausgehorcht undmanipuliert werden (vgl. Merkel-Abhöraffäre oderWikiLeaks-Listen mit spezifischen harten Selektoren)Manipulation der öffentichen Meinung durch “Allsicht” derPositionen und entsprechender Steuerung vonGesellschaften (vgl. Cambridge-Analytica-Story oderaktuelles Russland-Bashing)




CH-Massenüberwachung: Eigenkontrolle = Illusion!

Die Massenüberwachung wird nicht vom NDB, sondernvom Schweizer Militär (Einheit: Zentrum für ElektronischeOperationen (ZEO)) durchgeführt. Der NDB erhält “nur”noch die Ergebnisse.Die vom Bund eingesetzte Soft- und Hardware entstammtnicht eigener Produktion: in der Regel handelt es sich umchinesische Hardware mit US-amerikanischenBetriebssystemen.Beispiel: Der deutsche BND nutzt die SuchmaschineXKeysscore der Five-Eyes (NSA-Komplex) mit.Die eigentliche Kontrolle ist privatisiert: Edward Snowdenhat bei Booz Allen Hamilton, nicht (!) bei der NSAgearbeitet.




Anforderungen für ein sicheres,datenschutzfreundliches Internet (1)

Benutzbare (voll) dezentralisierte Infrastrukturen(peer-to-peer oder zumindest förderiert), die zensur- undüberwachungsresistent sind (z. B. GNUnet)Freie Identitätswahl (anders als bei plattformbasiertenMessenger mit fixen, harten Selektoren (z. B.Tel.-Nummern))Ende-zu-Ende-Verschlüsselung für alle Dienste – mitprivaten Schlüsseln einzig auf den Endgeräten; öffentlicheSchlüssel sind P2P zu verteilen und einfachauthentifzierbar zu gestalten (ErschwerungMITM-Attacken)




Anforderungen für ein sicheres,datenschutzfreundliches Internet (2)

Festplattenverschlüsselung (Full-Disk-Encryption) für alleGeräteStarke Passwörter (= einfach merkbare Passphrases) für(Geräte-)LoginsUnverwanzte Soft- & Hardware: Free- &Open-Source-Software (FOSS) und Open-Hardware – mitReviews für jede Version




Zu beachten bei Verschlüsselungssoftware

Um sicherzustellen, dass die Software korrektverschlüsselt und ohne Hintertüren ist, mussVerschlüsselungssoftware zumindest

nach akzeptierten Verfahren verschlüsseln (z. B.OpenPGP),in allen Teilen quelloffen und(möglichst in allen Komponenten) Code-Reviewsunterzogen sein [werden].

Diese Kriterien sind wichtig, um das Vertrauen in diesekritische Software zu wahren.




Fazit: Dringender Handlungsbedarf (1)

Investitionen in Open-Hardware mit transparenterProduktionsketteInvestitionen in Freie/Offene Software mit Code-Reviewsund Reproducible-BuildsAlle IT ist mit Privacy-by-Design und -Default (Datenschutzper Voreinstellung) auszuliefern –Ende-zu-Ende-Verschlüsselung muss opportunistisch sein(d. h. automatisiert werden)




Fazit: Dringender Handlungsbedarf (2)

Dienste (z. B. Social-Media) und Netzwerke sind zudezentralisieren – (europäische) Alternativen müssenerschaffen werdenProdukthaftung ist erforderlich (Anreizsystem für sichereSoft-/Hardware)Freiheitsrechte müssen wieder gestärkt werden (gesetzlich/ gerichtlich)Medienkompetenz an Schulen ist einzuführen /auszubauen




$meinInput – your turn



massenüberwachung als gefährliches instrument zur ... · er kann ihre interessen in der...

Documents