Twitter: Wer hat uns gehackt?

Twitter-Warn-E-Mail auf deutschIn der Nacht auf den 12. Dezember hat Twitter Mails an einige Accounts verschickt. Darin stand eine kryptische Mitteilung: Möglicherweise würden die Accounts von ’staatlich unterstützten Akteuren‘ gehackt. „State sponsored actors“. Ich habe die Mail auch bekommen: einmal auf deutsch an meinen deutschsprachigen Account @annalist, einmal englisch an meinen englischen Account @Anne_Roth.

Noch in derselben Nacht posteten einige bei Twitter, dass sie auch solche Mails bekommen hatten. Es gab etwas Presse. Es blieben viele Fragen.

Beim Kongress des CCC Ende Dezember in Hamburg traf ich einige andere, die auch benachrichtigt worden waren. Zwischen uns gibt es ein paar Gemeinsamkeiten und viele Unterschiede. Was wir teilten, war die Ratlosigkeit darüber, warum ausgerechnet wir staatlich (gesponsort) gehackt werden oder wurden, von wem und wie überhaupt. Wir hatten angenommen, dass sich das irgendwann klärt, aber es geschah nichts mehr.

Deswegen veröffentlichen wir heute unsere Fragen und hoffen, dass wir irgendwann von irgendwem Antworten bekommen.

In Hamburg waren wir sechs oder sieben, aber wir wissen von etwa 50, die die Mail bekommen haben. Und wahrscheinlich gibt es noch viele andere, von denen wir nichts wissen. 25 haben unterschrieben, aus verschiedenen Ländern.

Theorien haben wir selber jede Menge, und natürlich haben wir auch an Twitter geschrieben. Ich habe keine Antwort bekommen, andere eher nichtssagende Textbausteine. Wisst Ihr was? Kennt Ihr wen bei Twitter? Seid ihr schon mal ’state sponsored actors‘ begegnet? Dann lasst es uns wissen, hier oder direkt unter unseren Fragen hier.

George (T)Orwell über Cyber-Neusprech

Das Team hinter der Anonymisierungssoftware Tor hat beim 32. Kongress des CCC beim Vortrag über den Stand der Dinge bei Tor ein gut gemachtes Video präsentiert, das mit ein paar Mythen aufräumt:

Es gibt Untertitel in mehreren Sprachen, unten rechts in den Einstellungen auswählbar.

Orwell spricht zu uns aus der Vergangenheit und ist erwartbar entrüstet:

Das Internet ist keine virtuelle, sondern ganz wirkliche Realität. Wenn wir nicht zulassen würden, dass Diktaturen vorschreiben, mit wem wir kommunizieren, dann gilt das genau so für Internet-Zensur. Die Einschränkung der Netzneutralität ist nichts anderes, als wenn wir alle unsere Informationen aus dem privaten Kabel-Fernsehen bekämen.

Würden wir zulassen, dass die Gedankenpolizei alles aufzeichnet, was wir tun, wohin wir gehen, alles, was wir lesen und damit in unsere Köpfe gucken? Nichts anderes ist die Vorratsdatenspeicherung.

Die Unterscheidung von „online“ und „echtem Leben“ ist Neusprech, es gibt keinen „Cyberspace“.

Digitale Rechte sind nichts anderes als allgemeine Menschenrechte.

Und was den Blödsinn angeht, Ihr hättet nichts zu verbergen: da gilt, was Snowden gesagt hat: das wäre dasselbe, als wenn ihr sagt, dass Meinungsfreiheit unwichtig ist, weil Ihr nichts Bedeutendes zu sagen habt.

(Frei übersetzt aus dem Video).

Wunderbar klar zusammengefasst, dem habe ich nichts hinzuzufügen.

Post von Twitter: Du wirst staatlich gehackt

Freitag nacht bekam ich zwei E-Mails von Twitter. Eine, um 23:15, auf Englisch und eine Stunde später dieselbe auf Deutsch:

„Rein vorsorglich möchten wir Sie darüber informieren, dass Ihr Account zu einer kleinen Gruppe von Accounts gehört, die Ziel eines staatlich motivierten Hackerangriffs geworden sein könnte. Das bedeutet, dass die Hacker möglicherweise mit einer Regierung in Verbindung stehen. Wir vermuten, dass Daten und Informationen wie zum Beispiel Email-Adressen, IP-Adressen und Telefonnummern ausspioniert werden sollten.“

„Staatlich motivierter Hackerangriff“. Klingt in etwa wie „Polizei raubt Bank aus“. Oder “ Verfassungsschutz finanziert Nazis“. Absurd, aber nicht undenkbar.

Die Mail in voller Schönheit:

Twitter-Warn-E-Mail auf deutsch

Mail von Twitter an mich vom 11. Dezember 2015

Parallel sah ich, dass verschiedenen Leute bei Twitter zu posten begannen, dass sie ebenfalls solche Mails bekommen hatten. Viele vermuteten, die Mails seien Fake. Klar habe ich mir die Mail-Header und die Links in der Mail angeguckt, und konnte nichts feststellen, was darauf hinweist, dass sie nicht wirklich von Twitter sind.

Ich habe Twitter dann eine Mail geschickt mit verschiedenen Fragen, aber eine Antwort habe ich bisher nicht bekommen. Nicht wirklich überraschent, denn:

Wir würden uns selbst wünschen, Ihnen genauere Informationen mitteilen zu können. Leider liegen uns solche zu diesem Zeitpunkt nicht vor.

Die nächste Frage, die sich stellt ist: warum wir? Was sind die Gemeinsamkeiten der Leute, die diese Mails gekriegt haben?

Sarah Jeong bei Motherboard:

A couple are engaged in activism and are connected to the Tor Project in some capacity. A few are located in Canada, and vaguely associated with the security community at large. However, I could not determine any common factors between all recipients.

(Ein paar sind Aktivist_innen und in irgendeiner Form mit dem Tor Projekt verbunden. Eine sind in Kanada und haben lose mit der Sicherheits-Community zu tun. Aber ich habe keine Gemeinsamkeiten zwischen allen Adressat_innen feststellen können.)

Meine Arbeitsthese bisher ist, dass es sich um Leute handelt, die Tor benutzen und damit auch in ihren Twitter-Account einloggen. Ich bin sicher, dass es viel mehr Leute gibt, die diese Mails kriegen, aber die, bei denen ich es weiß, benutzen alle Tor.

Eine wunderbare Ironie der Geschichte ist, dass Twitter selbst in der Mail empfiehlt:

Entsprechende Tipps und Hinweise, wie Sie Ihre Identität und Daten online schützen können, finden Sie auf folgenden Internetseiten: Tor Project oder EFF’s Protecting Yourself on Social Networks.

Absolut vernünftig, aber es ist eben so, dass Twitter regelmäßig Accounts blockiert, deren User_innen sich über Tor einloggen wollen. Ist mir selbst auch zigmal passiert. Dann hilft nur: neues Passwort anfordern und nochmal probieren, oder eben kein Tor benutzen. Allerdings bestreiten sie das: Joseph Cox schrieb im September, dass sie Twitter danach gefragt hatte und Twitter erklärt habe, dass das nicht spezifisch auf Tor zurückzuführen sei, sondern allen passiere, bei deren Accounts ’spam-artiges Verhalten‘ festgestellt werde (Quelle: Motherboard).

Vielleicht ergibt sich auch eine Antwort aus der Frage: was wollen die dunklen Mächte? Was haben sie davon, sich in meine Twitter-Accounts zu ‚hacken‘? Da drin findet sich ja fast nichts geheimes. die Tweets sind öffentlich, genauso auch, wem ich folge und wer mir. Die paar Direct Messages können den Aufwand eigentlich auch nicht wert sein.

Wo ich mich befinde, ergibt sich in aller Regel aus den Tweets selbst. Was könnte dann interessant sein? Dass ich – manchmal – Tor benutze.

Wir haben in den meisten Staaten, die sich demokratisch nennen und zumindest per Gesetz und Verfassung Wert auf Schutz der Grundrechte legen, seit längerem eine Debatte, ob echte Verschlüsselung erlaubt sein sollte. Die Sicherheitsbehörden wollen entweder per Gesetz Hintertüren einbauen – also die Möglichkeit, per ‚Nachschlüssel‘ die scheinverschlüsselte Kommunikation mitlesen zu können -, oder sich selbst die technischen Fähigkeiten aneignen, Verschlüsselung zu knacken. Am liebsten beides.

Damit einher geht, dass sie sich dafür interessieren, wer Verschlüsselung benutzt. Wer verschüsselt, macht sich verdächtig. Zwar stellen (deutsche) Gerichte immer mal fest, dass es völlig legal ist, zu verschlüsseln. Findet übrigens sehr dezidiert auch die Wirtschaft, die ihre Geschäftsgeheimnisse gern vernünftig geschützt wissen will. Das hindert aber Ermittlungsbehörden nicht, bei der Sammlung der Verdachtsmomente gern zu erwähnen, dass Beschuldigte verschlüsselt haben. Im Umkehrschluss: wer verschlüsselt, hat doch was zu verbergen. Auch die Dokumente von Edward Snowden haben gezeigt, dass genau solche Nutzer_innen zumindest für die NSA besonders interessant sind.

Nun wissen wir leider nicht, wer die ’staatlich motivierten Hacker‘ ist – vom Staat bezahlte Kriminelle? Die Cyber-Abteilung des Verfassungsschutzes? Die NSA beim Rumexperimentieren?

Was weiß Twitter wirklich? Woher wissen sie, dass es sich um Sicherheitsbehörden oder Geheimdienste handelt, wenn sie nicht wissen, welche? Möglicherweise darf Twitter auch nicht mehr sagen. Es ist wohl schon ein Akt der Zivilcourage (oder: Geschäftsinteresse), diese Mails zu verschicken und damit nicht den vermutlich deutlichen Hinweisen amerikanischer Behörden nachzukommen, dass sie den Mund halten sollen. Wenn’s aus China kommt, entfällt das natürlich. Aber was sollte China von westlichen Grundrechte-Aktivist_innen wollen?

The Verge schrieb, dass nicht nur Twitter, sondern auch Google und Facebook solche Mails verschicken:

Both Facebook and Google have similar emergency alerts in place for state-sponsored attacks. Facebook’s launched in October and immediately recognized attacks on State Department employees. …  Access to social media accounts can be lucrative for determined attackers. One account could yield access to dozens of others and open up lines of communication between people in a particular field or network.

Interessant sei für Angreifer_innen weniger der Inhalt, sondern die Metadagen: wer kommuniziert mit wem, wen kennt wen. Das wäre auf jeden Fall eine plausible Erklärung, denn es ist inzwischen klar, dass Geheimdienste mit diesen Beziehungsnetzen viel mehr anfangen können, also mit massenhaft Inhalten, deren Auswertung viel schwieriger und aufwändiger ist. Allerdings: die Beziehungen bei Twitter sind völlig öffentlich.

Wen hat es bisher ‚erwischt‘? Jens Kubieziel, der auch eine Mail bekam, hat eine Liste. Wenn Ihr auch betroffen seid (und nichts dagegen habe, dass es öffentlich bekannt wird), schreibt mir oder ihm.

Einige der Adressat_innen:


https://twitter.com/NorisFabio/status/675444195360813056

Hier die Mail auf Englisch:

Twitter Warn-E-Mail englisch

Mail von Twitter an mich vom 11. Dezember 2015

NSA-Untersuchungsausschuss – Wer kontrolliert wen?

Was passiert eigentlich im Untersuchungsausschuss, der „NSA“ heißt, aber besser Geheimdienst- oder BND-Ausschuss genannt werden müsste? Im Sommer habe ich darüber einiges im Camp des CCC erzählt:

Wer möchte, kann sich das auch bei YouTube angucken und dort kommentieren.

Nächsten Donnerstag geht’s weiter mit einer öffentlichen Anhörung des ehemaligen US-Drohnen“piloten“ Brandon Bryant, der von Nevada aus tödliche Drohnen steuerte. Außerdem wird die ehemalige Leiterin der ‚Hauptstelle für Befragungswesen‘ (HBW) ein zweites Mal kommen, und eine Mitarbeiterin des BAMF (Bundesamt für Migration und Flucht): beide werden dazu befragt, ob, wie und welche Daten von Geflüchteten an Geheimdienste weitergegeben werden.

Frau K., die Leiterin der HBW, war schon in der letzten Anhörung da und hat ziemlich spektakuläre Sachen ausgesagt, nachzulesen im Liveblog von netzpolitik.org. Leider war ausgerechnet letztes Mal kaum Presse bei der Anhörung, so dass wenig berichtet wurde.

Seit vielen Jahren wurden Geflüchtete während des Asylverfahrens von Mitarbeiter_innen der HBW – einer BND-Dienststelle – zur Situation in ihren Herkunftsländern befragt. Dabei waren oft auch Angehörige von US-Geheimdiensten, etwa dem DIA (Defense Intelligence Agency), einem militärischen Geheimdienst. Es gab auch Befragungen, bei denen die US-Befrager_innen mit den Geflüchteten allein waren. Frau K. hat außerdem berichtet, sie sei manchmal dienstlich in Stuttgart gewesen, um dort die DIA zu besuchen: Stuttgart ist der Sitz von AFRICOM, dem ‚Africa Command‘, also dem Sitz des US-Kommandos für alle Militäroperationen in Afrika. Dass Daten aus den Befragungen im Drohnenkrieg eine Rolle spielen, ist bei der Befragung deutlich geworden: insbesondere ging es auch um Geodaten. Die können zur Ortung von Drohnenzielen benutzt werden.

Frau K. hatte enorme Erinnerungslücken und als Leiterin der Dienststelle wusste sie auch frappierend wenig über die konkreten Vorgänge, aber vielleicht kann sie sich nächsten Donnerstag ja an noch ein paar Details erinnern.

Wie gesagt, die Sitzungen sind öffentlich. Wer kommen möchte, muss sich vorher per Mail mit Namen und Geburtsdatum beim Sekretariat des Untersuchungsausschusses anmelden. Mail an 1.untersuchungsausschuss@bundestag.de genügt. Die Mailadresse und weitere Informationen zum findet Ihr auch auf der Website des Ausschusses.

Ketten bilden gegen den BND

Leaving the Democratic SectorGestern fand ein kleiner Protest gegen den BND in Berlin statt. Etwa 150 Menschen wollten eigentlich eine Kette um den BND bilden, es wurde dann eine Kette vor dem BND.

Ich hatte die Gelegenheit, etwas zum BND und dem Untersuchungsausschuss zu sagen:

Wir stehen heute vor dem neuen Gebäude des BND. Der Bundesnachrichtendienst, der deutsche Auslandsgeheimdienst, demonstriert mit seinem Gebäude seine Bedeutung: er ist groß und mächtig, und auch sehr zentral. Geheimdienste waren lange geheim und unsichtbar: diese Epoche ist jetzt – wieder – beendet.

Ich bin seit ziemlich genau einem Jahr Referentin im sogenannten NSA-Untersuchungsausschuss des Bundestags. Der Ausschuss hat den Auftrag, die Überwachung der Five Eyes, also der Geheimdienste der USA, von Großbritannien, Kanada, Australien und Neuseeland in Deutschland zu untersuchen, und auch die Rolle der deutschen Geheimdienste dabei. Auslöser waren die Veröffentlichungen, die auf den Dokumenten der NSA basierten, die Edward Snowden im Sommer 2013 geleakt hat.

Mit NSA und GCHQ, dem britischen Geheimdienst, haben wir uns bisher kaum beschäftigt. Dafür gibt es verschiedene Gründe: ein wesentlicher ist, dass die Regierungen der USA und Großbritanniens dem Ausschuss wenig Informationen über ihre Geheimdienstaktivitäten geben, und die deutsche Regierung behauptet, sie könne dem Ausschuss ohne Erlaubnis der anderen Regierungen nichts geben. Sie hält also die nicht-öffentlichen Vereinbarungen der Geheimdienste für wichtiger als den für die Untersuchung dieser Praktiken durch das Parlament eingesetzten Ausschuss. Wer kontrolliert eigentlich wen?

Ein anderer Grund ist, dass der Ausschuss sich vor über einem Jahr als erstes Thema die Zusammenarbeit von BND und NSA vorgenommen hat. Sie sollte der Einstieg sein, um dann zu den anderen Kooperationen zu kommen.

Inzwischen hätten wir den Ausschuss längst in BND-Untersuchungsausschuss umbenennen müssen. Was das letzte Jahr zutage gefördert hat, hatte kaum wer erwartet.
Wir erleben, wie Bundesregierung und Vertreter_innen des BND beständig erklären, dass alles nach Recht und Gesetz zugehe. Aber beim genauen Hinsehen ist deutlich geworden, dass der BND die Gesetze sehr freizügig interpretiert. Mehrere Verfassungsrechtler haben als Sachverständige einmütig erklärt, dass die geltende Sicht, dass der Schutz nach Artikel 10 des Grundgesetzes natürlich nicht nur für Deutsche gilt, weil Grundrechte nicht teilbar sind. Dieser Artikel sagt:

„Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich“

Das dazugehörige Gesetz heißt G10-Gesetz und regelt, unter welchen Umständen Artikel 10 verletzt werden darf. Nach Auffassung des BND gilt dieser Schutz aber nur für Deutsche, d.h. alle anderen dürfen ohne Einschränkung abgehört werden. Wie gesagt, selbst der ehemalige Präsident des Verfassungsgerichts, der als CSU-Mitglied von der Union als Sachverständiger benannt worden war, hält diese Interpretation für nicht mit dem Grundgesetz vereinbar.

Die Bundesregierung ficht das nicht an – es geht alles weiter, wie gehabt.
Dies ist ein Indiz neben vielen anderen, dass es der Bundesregierung vor allem anderen darum geht, dass die Geheimdienste ungehindert machen können, was sie wollen.

Wir haben von der Operation Eikonal erfahren, bei der der BND in Deutschland Daten aus Kabeln der Telekom erfasst und an die NSA weitergegeben hat. Als dass der Telekom unheimlich wurde, bekam sie einen Brief des Kanzleramts, in dem stand, dass das schon ok sei. Eine gesetzliche Grundlage? War nicht nötig, da waren sich alle Beteiligten irgendwie einig und hofften, dass es nie jemand erfahren würde. Wenn aber doch, dann waren die jeweils anderen Schuld.

Als Hans de With, der ehemalige Vorsitzende der G10-Kommission, die solche Eingriffe genehmigt, durch den Untersuchungsausschuss von den Details der Operation erfuhr, war er entsetzt. Er sagte, dass die Kommission diese Eingriffe nie genehmigt hätte, wenn ihr die Details bekannt gewesen wären.

Das G10-Gesetz schreibt glasklar vor, dass der BND, wenn er Telefonate und Internetverkehr abhören will, nur maximal 20% des Inhalts eines vorher definierten Glasfaserkabels erfassen darf. Die restlichen 80% müssen gelöscht werden, und zwar muss das der erste Schritt bei der Erfassung sein. Vor etwa zehn Jahren wurde die Telekommunkation in Deutschland von analog auf digital umgestellt. Das bedeutet, dass keine vollständigen Telefonate durch ein Kabel transportiert werden, sondern viele kleine Datenpakete. Wenn der BND 20% dieser paketvermittelten Kommunikation erfasst, kann er damit nichts anfangen.

Das ist seit 10 Jahren so. Hat der BND protestiert? Die Regierung aufgefordert, etwas zu ändern? Nein. Der BND hat gemacht, was er immer macht: er hat das Gesetz ignoriert. Bemerkt hat das niemand. Eine tatsächliche Kontrolle seiner Arbeit gibt es nicht.

Wir haben erfahren, dass das BSI, dass die Geräte und die Software zertifiziert, die der BND von der NSA bekommt und hier benutzt, gar nicht wirklich prüft. Geprüft werden lediglich die Beschreibungen von Hard- und Software – ob die dann wirklich tun, was dort steht, weiß nur die NSA.

Der BND behauptet, das Metadaten keine personenbezogenen Daten seien. In Pakistan und Jemen werden Menschen mit Drohnen umgebracht. Diese Menschen müssen vorher geortet werden, sonst können die Drohnen sie nicht finden. Der BND erzählt uns, dass Menschen mit den Daten ihrer Handys dort nicht geortet werden können und gibt solche Daten an die NSA.

Im Frühjahr wurde dann bekannt, dass der BND für die NSA deutsche und europäische Unternehmen und Politiker_innen ausspioniert: das Auftragsprofil des BND ist so geheim, dass es nicht mal der Untersuchungsausschuss kennt, aber das gehört wohl ganz sicher nicht dazu. Die Bundesregierung, die für den BND verantwortlich ist und ihn beaufsichtigt, hat alles versucht, um die Details dieser Selektoren geheim zu halten. Sie gesteht nur ein, was absolut nicht mehr unter der Decke zu halten ist und argumentiert auch hier damit, dass die US-Regierung ihr verbiete, dem Parlament darüber zu berichten.

Es sieht so aus, als sei auch das gelogen gewesen.

Die Bunderegierung ist an Aufklärung nicht interessiert. Das sehen wir bei jedem Skandal, den dieses Thema seit Snowden produziert hat – und das waren nicht wenige.
Die parlamentarische Kontrolle findet faktisch nicht statt, weil die Kontrollgremien nichts können, als dem BND seine Märchen zu glauben – oder auch nicht. Aber sie haben keine Möglichkeit, irgendetwas zu prüfen. Das wird sich auch in Zukunft nicht ändern, wenn die Bundesregierung nach dem Ausschuss noch ein paar mehr Leute in die Kontrollgremien setzt.

Deswegen ist es wichtig, dass wir heute hier sind, um BND und Bundesregierung zu zeigen, dass sie so nicht einfach weiter machen können.

Der BND ist nicht kontrollierbar!

Mit einer Demokratie ist diese geheime Parallelwelt nicht vereinbar.

Die Geheimdienste müssen abgeschafft werden!

Das klingt vollkommen utopisch, und manchen vielleicht auch gefährlich. Aber: Als Ende der 80er Jahre das Atomkraftwerk in Tschernobyl in die Luft flog, hatte sich schon lange Menschen gegen Atomkraft engagiert.

Atomkraft ist unsichtbar, sie tut nicht weh und sie schien lange absolut unverzichtbar. Genau wie die Überwachung. „Wollt Ihr wieder mit Kerzen leuchten?“ sind wir gefragt worten. Es hat noch Jahrzehnte gedauert, aber der Kampf hat sich gelohnt.  Wir werden die Geheimdienste nicht in ein oder zwei Jahren abschaffen, aber wir dürfen nicht aufgeben!

Ich fand schade, dass wir so wenige waren. Es gibt verschiedene Gründe dafür: Einige fanden 12 Uhr am Samstag zu früh, aber das war sicher nicht entscheidend. Viele sind gerade mit der Unterstützung der ankommenden Geflüchteten beschäftigt und das ist auch wirklich gut so. Shit happens. Kette

Die Mobilisierung wurde von mehreren NGOs getragen: Amnesty International, Humanistische Union, Reporter ohne Grenzen, Digitalcourage, Whistleblower-Netzwerk und vor allem von #wastun gegen Überwachung, einer Initiative, deren Start ich selbst vor anderthalb Jahren mit angeschoben habe. Nicht sichtbar beteiligt waren einige relevante netzpolitische Gruppen: CCC, Digitale Gesellschaft, netzpolitik.org, AK Vorrat fallen mir vor allem ein. Am Tag vorher hatten Konferenz und Party zum 11. Geburtstag von netzpolitik.org stattgefunden und waren gut besucht. Beim Camp des CCC war mehr als deutlich, dass Interesse und Engagement zum Thema Überwachung nicht nachgelassen haben.

Mir haben hinterher einige erzählt, dass sie von der Mobilisieurung zu diesem Protest überhaupt nichts wussten: da kann also sicher noch einiges verbessert werden. Das ist nicht als Vorwurf gemeint, ich bin ja selber etwa vor einem Jahr aus der sich entwickelnden -Initiative sang- und klanglos in den Untersuchungsausschuss verschwunden, der mich seitdem mehr oder weniger komplett ‚auffrisst‘.

Vielleicht wäre es an der Zeit, sich mal wieder zusammenzuraufen und ab und zu gemeinsam an einem Tisch zu überlegen, wie Protest jenseits von Artikeln, Konferenzen und Partys stattfinden kann. Sonst müssen wir uns nämlich alle fragen, wie wir später unseren Kindern erklären, was wir eigentlich gemacht haben, als die Demokratie abgeschafft wurde.

Tracking für Anfänger, am Beispiel der deutschen Polizei

Die deutsche Polizei hat das Internet noch nicht so richtig verstanden, zeigte ein kurzer Dialog bei der re:publica. Jakob Appelbaum und Heiko Rittelmeier vom Bund Deutscher Kriminalbeamter, vorgestellt als IT-Forensiker, unterhalten sich darüber, ob die Polizei bei Ermittlungen im Internet anonym recherchieren sollte. Sehr gelacht.

ENGLISH: A conversation between Jacob Appelbaum, Tor Project, and Heiko Rittelmeier, IT forensics expert with the German police, about whether or not the police in Germany should use anonymization. During the conversation Mr. Rittelmeier explains that the only precaution used is a computer separate from the other police communications infrastructure. Quite hilarious:

Ab Min. 48:00.

Was die beiden gesagt haben, unten auch auf Deutsch:

Jacob Appelbaum: Do you ever use Tor to google things? Like when you’re using Tor Browser to search the internet using Tor?
Heiko Rittelmeier: No.
Jacob Appelbaum: Never? So when you do an investigation you connect directly to Google and tell them all the things you’re looking for? So they know that your police department is investigating a crime?
Heiko Rittelmeier: No, they won’t, I guess they won’t.
Jacob Appelbaum: Because you’re using a different anonymity network?
Heiko Rittelmeier: No! It’s just the normal internet connection.
Jacob Appelbaum: Ok. So I would really like to encourage you – I mean, I, I never thought this moment would come. But it’s here, it’s here. When you are using the internet and you connect from your office computer to Google – you use Google? Or are you a Bing guy?
Heiko Rittelmeier: No, I’m a Google guy.
Jacob Appelbaum: Alright, alright, you’re a Google guy. When you connect from your computer to Google Google can see that your computer is connecting to it and it can keep a log of all of your investigative terms and know that your police department is involved in, say, looking up an address, looking up a particular crime. The cookies on your computer but also your log-ins, your IP address, it all ties together.
Heiko Rittelmeier: I know but I don’t think so because we, we don’t use the normal working computer to connect to Google.
Jacob Appelbaum: But whatever computer you use..
Heiko Rittelmeier: It’s a stand alone one and it has its own line to the Internet.
Jacob Appelbaum: But does anybody other than the police use it for anything? It’s just you guys that use that stand alone computer, right?
Heiko Rittelmeier: Yeah.
Jacob Appelbaum: You should install Tor Browser on that computer so nobody knows what you’re doing! <Laughter, applause> I mean, I really never thought the day would come when I would encourage this but here we are. And I mean, imagine for a moment that the NSA knows that computer and they want to know whether or not you’ve uncovered, say, covert CIA agents doing something like they committed a crime, you’re investigating that crime. You don’t know it’s the CIA yet, you’re not helping them .. yet. Like the rest of the time that Germany helps the CIA <Laughter, applause> So you’re doing your job, your investigating that crime, they can see the progress of that criminal investigation while they do mass surveillance on your internet connection. They may not know you’re the police yet but they’ll see their agents name go through the selector, you know, what is it – 40.000 selectors Merkel has that she won’t give to the German people? So they’ll see, they’ll see those selectors and they’ll see that it’s tied to your police department. If you use the Tor Browser they won’t! I really.. I know it’s..
Heiko Rittelmeier: Ok, I think there are more in different ways to anonymize, not only using Tor and..
Jacob Appelbaum: Well, how would you ex… how should we anonymize ourselves?
Heiko Rittelmeier: Well it’s.. the .. I, I think we don’t, we shouldn’t discuss these technical terms here.. there are, I guess we have our ways and they are working
Jacob Appelbaum: There you have it. Even the German police have anonymity and they use it. And that’s great. And so shouldn’t we all have it? All power to the people. All anonymous power to the people!

Deutsch:

Jacob Appelbaum: Benutzen Sie eigentlich jemals Tor, wenn Sie googlen? Also, wenn Sie den Tor-Browser benutzen um herauszufinden, wer Tor benutzt?
Heiko Rittelmeier: Nein
Jacob Appelbaum: Nie? Also, wenn sie etwas ermitteln, gehen Sie direkt auf die Google-Seite und sagen denen, wonach Sie suchen? Damit die wissen, dass Ihre Abteilung ein Verbrechen ermittelt?
Heiko Rittelmeier: Nein, das wissen sie nicht, ich denke, das wissen sie nicht.
Jacob Appelbaum: Weil Sie ein anderes Anonymisierungsnetzwerk benutzen?
Heiko Rittelmeier: Nein! Es ist nur die normale Internetverbindung.
Jacob Appelbaum: Ok. Also ich würde Ihnen wirklich empfehlen – Ich meine, ich hätte nie gedacht, dass dieser Moment kommen wird. Aber jetzt ist er da, er ist da. Wenn Sie das Internet benutzen und von Ihrem Bürocomputer aus Google aufrufen – benutzen Sie Google? Oder sind sie ein Bing-Typ?
Heiko Rittelmeier: Nein, ich bin ein Google-Typ.
Jacob Appelbaum: Ok, ok, Sie sind ein Google-Typ. Wenn Sie von Ihrem Computer aus Google aufrufen, kann Google sehen, dass sich Ihr Computer mit Google verbindet und kann ein Protokoll all Ihrer Suchworte anlegen und kann wissen, dass Ihre Polizei-Abteilung damit beschäftig ist, sagen wir mal, eine Adresse aufzurufen, ein bestimmtes Verbrechen zu ermitteln. Die Cookies auf Ihrem Rechner, zusammen mit den Log-Ins, Ihrer IP-Adresse, das gehört alles zusammen.
Heiko Rittelmeier: Ich weiß, aber ich glaube nicht, weil wir .. wir benutzen nicht den normalen Arbeitsrechner, um Google aufzurufen.
Jacob Appelbaum: Aber egal welchen Computer Sie benutzen..
Heiko Rittelmeier: Es ist ein Stand-Alone-Rechner und er hat seine eigene Internetverbindung.
Jacob Appelbaum: Aber benutzt den irgendwer außer der Polizei für irgendwas? Nur Sie und Ihre Kollegen benutzen diesen Stand-Alone-Computer, oder?
Heiko Rittelmeier: Ja.
Jacob Appelbaum: Sie sollten den Tor-Browser auf diesem Rechner installieren, damit niemand weiß, was Sie machen!
<Gelächter, Applaus>
Ich mein, ich hätte wirklich nie gedacht, dass der Tag kommt, an dem ich das vorschlage, aber so sieht’s aus. Und ich meine, stellen Sie sich für einen Moment vor, dass die NSA diesen Computer kennt und wissen will, ob Sie, sagen wir mal, verdeckte CIA-Agenten enttarnt haben, die irgendwas machen, zum Beispiel ob sie ein Verbrechen begangen haben, und Sie ermitteln dieses Verbrechen. Sie wissen noch nicht, dass es die CIA ist, sie unterstützen sie nicht … noch nicht. So wie son, wenn Deutschland die CIA unterstützt.
<Gelächter, Applaus>
Sie machen also Ihren Job, Sie ermitteln dieses Verbrechen, sie können den Fortschritte dieser polizeilichen Ermittlung verfolgen während sie die Massenüberwachung auf Ihrer Internetverbindung betreiben. Sie wissen vielleicht nocht nicht, dass Sie die Polizei sind, aber sie werden die Namen ihrer Agenten mithilfe des Selektors sehen – Sie kennen das? Merkel hat 40.000 Selektoren, die sie der deutschen Bevölkerung nicht gibt? Die sehen das, die sehen diese Selektoren und sie werden erkennen, dass das mit ihrer Polizei-Abteilung zu tun hat. Wenn Sie den Tor-Browser benutzen, sehen sie das nicht! Ich, wirklich.. Ich weiß, dass es..
Heiko Rittelmeier: Ok, ich denke, dass es noch verschiedene Wege zur Anonymiserung gibt, nicht nur Tor und..
Jacob Appelbaum: Naja, wie würden Sie erkl.. wie sollten wir uns anonymisieren?
Heiko Rittelmeier: Naja, es … ist..  ich, ich denke, wir sollten, wir sollten diese technischen Begriffe hier nicht diskutieren.. es gibt, ich denke, wir haben unsere Methoden und die funktionieren.
Jacob Appelbaum: Na also. Sogar die deutsche Polizei hat Anonymität und benutzt sie. Und das ist wunderbar. Und sollten wir sie nicht alle haben? Alle Macht den Menschen. Alle anonyme Macht den Menschen!

Dies fand statt während der Fragerunde zum Panel A Deeper Frontier of Freedom — The State of the Deepweb.

Kaum jemand versteht im Detail, wie Tracking funktioniert. Aber die grundlegenden Fakten, dass also etwas Google und damit auch die NSA, leicht nachvollziehen können, welche Suchanfragen vom selben Rechner kommen, sollte zumindest bei im Netz ermittelnden Beamten bekannt sein.

Wer mehr über Tracking wissen will: es gibt eine sehr informative Website von Tactical Tech, die jetzt auch ins Deutsche übersetzt wurde: Mein digitaler Schatten.
(Disclaimer: daran habe ich zwei Jahre mitgearbeitet)

 

Trackography: You never read alone – #31C3

Beim 31. Chaos Communication Congress, auch 31C3, wurde ein neues Projekt von Tactical Tech gelauncht: Trackography. Ich war ganz am Anfang im Sommer auch Teil des Teams, aber das Ergebnis, das jetzt vorgestellt wurde, ist das Ergebnis der Arbeit von anderen.

In einem Satz: Trackography (Betonung auf der 2. Silbe) zeigt, wo Eure Daten landen, wenn Ihr News-Websites lest. Durch welche Länder (= deren Geheimdienste), über welche Server und zu welchen Firmen die Information wandert, für welche Nachrichen Ihr euch interessiert. Der geringste Teil davon sind die Server von Berliner Zeitung, Washington Post oder Guardian.

Ihr könnt auf trackography.org auswählen, welche News Ihr lest und dann auf einer Karte beobachten, wie sich Eure Informationen durch’s Netz bewegen.

Sehr cool fand ich, dass Maria Xynou und Claudio Agosti das am Montag an einem aktuellen Beispiel vorgeführt haben:

Am Abend vorher hatten Laura Poitras und Jakob Applebaum ebenfalls beim 31C3 neue Snowden-Dokumente präsentiert, die gleichzeitig bei Spiegel Online veröffentlicht wurden: Inside the NSA’s War on Internet Security. Sie bestätigten damit, dass viele vielbenutzte Methoden zur Verschlüsselung im Internet von der NSA geknackt werden können. Als Marias am Montag fragte, wieviele den Spiegel-Artikel während des Talks ohne den Anonymisierungsdienst Tor angeklickt hatten, hoben sich viele Hände.

Und Trackography führte vor, wem sie damit ihre Daten frei Haus geliefert hatten:

track-spon

spiegel.de – Prying Eyes: Inside the NSA’s War on Internet Security

Eure Daten – also Daten über Euren Browser, Euer Surf-Verhalten, den Rechner/das Smartphone oder Tablet und verschiedenes anderes, das ausreicht, um euch jeweils persönlich zu identifizeren, das ist hinreichend nachgewiesen – werden im Fall von Spiegel Online von 37 anderen Instanzen aufgezeichnet. Sie wandern über die Niederlande, Großbritannien, Dänemark, Spanien und die USA.

Für die verschiedenen Tracker gibt’s eine Tabelle, die auflistet, welche spezifischen Probleme sie mitbringen: Dauer der Vorratsdatenspeicherung in dem Land, in dem sie sitzen; unterstützen sie die Initiative ‚Do Not Track‚ (oder nicht), betreiben sie Profilbildung mit den Daten.

Die Arbeit an Trackography begann letzten Sommer und das Team hat wirklich Erstaunliches geleistet. Einiges fehlt noch, hier bspw. Infos über die Tracker plista, Admeta und Meetrics, aber für die anderen gibt es ausführliche Übersichten und dazu jeweils auch noch Erklärungen: was bedeutet Profiling, was ist Do Not Track, etc.

Im Fall des Spiegel-Artikels fällt bspw. auf, dass die Daten auch in Spanien getrackt werden, und wenn ich in der interaktiven Grafik Spanien anklicke, erscheint die Erklärung, dass dort der Server i.ctnsnet.com beheimatet ist. Coookiepedia hat nicht viele Informationen über ctsnet.com außer der, dass es viele Cookies von dort gibt, aktuell 1445, die auf 662 verschiedenen Websites zu finden sind. Hier gibt es also auf jeden Fall die Möglichkeit, viele Informationen über viel Menschen zusammenzuführen.

Die Grafik zum NSA-Krypto-Artikel bei Spiegel Online ist nicht online. Alles andere aber schon und was verblüfft ist, dass das Ergebnis für spiegel.de anders ausfällt. Hier gibt es kein Twitter und Facebook, soweit wenig überraschend, denn die finden sich jeweils bei den Artikeln zum weiterverteilen. Aber warum die Daten statt in Spanien, wie bei der Spiegel-Hauptseite, jetzt in Italien vorbeikommen, müsste wohl Spiegel Online erklären:

track-spon2

Spiegel.de

Hier haben wir stattdessen auch andere Werbefirmen, etwa AppNexus, die alle Daten volle zwei Jahre auf Vorrat speichern.

An diesem Punkt startet gewöhnlich die Debatte darüber, wie denn sonst Online-Journalismus finanziert werden soll? Ich weiß es auch nicht. Wenn ich das wüsste, würde ich aktuell was anderes machen, als hier rumzubloggen.

Trackography hat News-Websites als Beispiel genommen, weil das Ziel dieses Projekts ist, normalen Userinnen und Usern deutlich zu machen, was Tracking bedeutet. In der Annahme, dass die meisten Menschen Nachrichten online lesen, geht es hier um News, aber natürlich hätte es auch um Online-Shops gehen können, oder Sport, oder oder..  Das Problem ist überall dasselbe. Tracking findet statt, damit das Modell ‚Daten gegen Informationen‘ funktioniert. Wenn wir uns einig sind, dass es nicht erstrebenswert ist, dass irgendwo Profile von uns existieren, die wir nicht beeinflussen und nicht mal korrigieren können, wenn sie fehlerhaft sind, dann muss über das Internet neu nachgedacht werden. Spätestens seit wir wissen, dass die besten Kunden der Profilsammler die Geheimdienste sind.

Trackography zeigt nicht nur, welche News-Sites wie tracken, sondern erklärt auch die Systematik dahinter, wie die Daten aufbereitet wurden: Meet the Trackers.

Die Visualisierung zeigt nicht in Echtzeit, welche Wege die Daten nehmen. Für jedes Land, für das bei Trackography Daten vorliegen, wurde im Land von Freiwilligen Skripte ausgeführt – alles legal und mit öffentlich verfügbaren Informationen – um den Weg der Daten nachzuvollziehen. Es sind viel mehr Länder geworden, als anfangs geplant war, aber es fehlen auch noch viele.

track-worldEine „schöne“ Geschichte über Russland und die Ukraine wird im Talk erzählt, das Video steht unten. Das faszinierendste Beispiel aktuell: Syrien.

Wer Daten aus weiteren Ländern beisteuern kann, kann hier und hier weitere Informationen dazu finden, oder einfach eine Mail an trackmap@tacticaltech.org schicken.

Und schließlich gibt es natürlich auch viele Tips dazu, wie Ihr das Tracking reduzieren könnt: What can I do to prevent being tracked when reading the news online? mit den passenden Browser-Add-Ons dazu.

Ein paar Highlights aus der bisherigen Auswertung der Daten:

  • 90% alles Nachrichten-Websites weltweit routen ihre Daten über US-Infrastruktur
  • Die meisten Tracker finden sich bei
    • Wall Street Journall
    • Philippine Daily Inquirer
    • Kashmir Times
  • Libertad Digital, eine spanische News-Website, die für engagierten Journalismus steht, lässt 49 Firmen auf ihrer Seite tracken
  • Einige deutsche News-Websites routen ihre Daten über Indien, das derzeit überhaupt kein Datenschutzgesetz hat

Wie die Daten gesammelt und ausgewertet werden, steht hier: Trackography methodology.

Der Talk beim Congress:

Es gibt auch eine Aufzeichnung des Talks ohne Tracker und die Präsentation ist ebenfalls online.

Viel Respekt dafür nochmal an Claudio Agosti, Maria Xynou und meinen Lieblingsdeveloper Niko Para.

Disclaimer: hier trackt die VG Wort und ein sehr eingeschränktes Piwik.

Bei netzpolitik.org gibt es eine leicht veränderte Fassung dieses Blogposts.

Ein neuer Job

kugelIch werde bald anfangen für den Untersuchungsausschuss NSA zu arbeiten. Damit ist vorläufig eigentlich alles Wesentliche gesagt. Was das genau heißt, weiß ich selbst noch nicht genau, und wenn ich mehr weiß, darf ich nicht über alles reden, heißt es. Ich werde in einer Art Panzerschrank arbeiten.

Trotz der zu erwartenden Geheimhalterei ist das natürlich unglaublich spannend. Ich beschäftige mich sowieso den ganzen Tag mit Überwachung und ihren Auswirkungen, und der Zweck des Untersuchungsausschusses ist bekanntlich herauszukriegen, wie welche Geheimdienste in Deutschland wen überwachen, warum und auf welcher Grundlage.

Wieviel davon einem Untersuchungsausschuss (UA) gelingt, in dem dieselben Mehrheiten gelten wie im restlichen Parlament, werden wir sehen. Die Großwetterlage ist so, dass die insgesamt acht Abgeordneten des UA angesichts der regelmäßigen neuen kleinen Skandale um Spione in Ministerien, überwachte Handys – Huch! – und lästigen neuen Enthüllungen aus dem Snowden-Fundus die Situation nicht so richtig souverän in der Hand haben. (Die acht verteilen sich übrigens folgendermaßen: 4 CDU/CSU, 2 SPD, 1 Linke, 1 Grüne. ‚Nuff said.) Gerade deswegen gibt es viel zu tun.

Das Kleingedruckte:

Ich werde nicht direkt für den Ausschuss arbeiten, das wäre das Ausschusssekretariat, sondern als Referentin für die Abgeordeten der Linken im Untersuchungsausschuss. In erster Linie ist das Martina Renner, neu im Bundestag, aber geübt in Untersuchungsausschüssen, denn vorher war sie in Thüringen im NSU-Untersuchungsausschuss. Ich glaube, wir passen ganz gut zusammen.

Schade ist, dass ich ein paar Projekte bei Tactical Tech hinter mir lassen muss, an denen ich auch sehr gern weitergearbeitet hätte. Wir haben gerade die Website ‚Me and My Shadow‚ runderneuert, da steckt viel Arbeit von mir drin und ich hätte das gern weiter betreut.

Auf der Seite gibt es reichlich Informationen dazu, wie wir digitale Spuren hinterlassen, aber auch Tips, wie sich das ändern lässt. Seit Neuestem nicht nur Englisch, sondern auch auf Spanisch, Französisch, Arabisch, Russisch und Urdu (Pakistan – hättet Ihr gewusst, oder?). Falls Ihr also Leute kennt, die sich dafür interessieren: gern weiterreichen. Einen guten Einstieg gibt es hier. Auf der Seite wird es bald noch mehr Neues gebe, es lohnt sich auf jeden Fall, da ab und zu vorbeizugucken.

Ein anderes, neues Projekt verbindet zwei Themen, die mir wichtig sind: Gender und Privacy, dabei werden u.a. Frauen dazu ausgebildet, andere im Bereich Privacy und digitale Sicherheit weiterzubilden, es wird darum gehen herauszufinden, wie Kurse und Lehrmaterialien so gestaltet werden können, dass sie Frauen*, Frauen*organisationen, Feministinnen tatsächlich dabei helfen, sicherer zu kommunizieren, mit Schwerpunkt im globalen Süden. Aber das wird so oder so stattfinden, und irgendwann ist der Untersuchungsausschuss ja auch vorbei.

Mehr zu mir und dem Untersuchungsausschuss demnächst hier – vorläufig bin ich aber noch ein bisschen im Urlaub.

Foto: 96dpi via photopin CC-BY-NC-Lizenz

Warum Überwachung ein Problem ist, in drei Minuten

Ich habe mich überrumpeln lassen, zur Europa-Wahl aufzurufen, was normalerweise nicht so meine Sache ist. Deswegen rede ich in dem Spot auch vor allem über was anderes: Überwachung, Snowden, Geheimdienste und warum uns das betrifft, auch wenn wir echt wirklich nichts zu verbergen ™ haben.

Nebenbei ist sicher allein deswegen vernünftig, wählen zu gehen, damit keine Nazis in die Parlamente gewählt werden.

Binningers Rücktritt, oder: Die Erde ist eine Scheibe

3monkeysEine Woche nach der Konstituierung des NSA-Untersuchungsausschusses des Bundestags ist gestern sein Vorsitzender zurückgetreten. Das ist ziemlich ungewöhnlich, deswegen war die Nachricht überall Top-Meldung. Einen Ausschussvorsitz geben Abgeordnete nur selten freiwillig ab, denn er ist mit allerhand Macht und entsprechender Öffentlichkeit verbunden, siehe auch etwa Edathy als Vorsitzender des NSU-Untersuchungsausschusses in der letzten Wahlperiode.

Und was geschah gestern? Agenturen und nach und nach die Qualitätsmedien des Landes tippten brav ab, was Binninger diktierte: Zuerst, er sei zurückgetreten, weil es Unstimmigkeiten unter den Ausschussmitglieder gegeben habe und „eine sachdienliche Zusammenarbeit aller Fraktionen nicht möglich“ sein würde. Kurz danach hieß es, die Opposition wolle den Untersuchungsausschuss zur parteipolitischen Profilierung nutzen.

My ass. Natürlich will sie das. Es ist ja nicht so, dass sonst im Bundestag alles im Konsens entschieden würde, oder die Regierungsfraktionen nicht an Profilierung interessiert wären. Dass es zum Thema NSA unterschiedliche Interessen gibt, war Herrn Binninger sicher auch nicht neu, immerhin war ja schon das Zustandekommen des Ausschusses keine besonders harmonische Angelegenheit: CDU und SPD haben aus nachvollziehbaren Gründen nicht so großes Interesse an Aufklärung etwa der Rolle der deutschen Geheimdienste und der Verwicklung ihrer eigenen Politiker_innen in die Pauschal-Überwachung in Deutschland. Das wusste er schon, als er den Job übernommen hat.

Und die Medien also? Keine kritische Nachfrage. Böse, böse Opposition! Wollte einfach die 0,5 Minderheitenrechte, die sie haben, auch durchsetzen. Wer konnte das ahnen! Sie bestand darauf Snowden einzuladen: ungeheuerlich! Ohne darauf herumreiten zu wollen, aber: die Grünen sind die kleinste Fraktion im Bundestag. Ihre Möglichkeiten in den vier Jahren dieser Legislarur sind denkbar schlecht. Mit Ströbele und dem Thema Snowden haben sie ein gutes Thema und auch ein völlig vernünftiges Thema, und keine Regierung(sfraktion) der Welt wäre ernstlich schockiert, wenn ihnen sowas präsentiert würde.

Die offensichtlichen Fragen sind doch, was tatsächlich der Grund für den Rücktritt war. Da gibt es verschiedene Möglichkeiten:

  • Binninger wurde unter Druck gesetzt: von wem? warum?
  • Binninger wurde etwas Besseres versprochen: was?
  • Binninger hat etwas erfahren, was ihn so stört, dass er nicht mehr will – das müsste dann schon was ziemlich Erhebliches sein: was?

Heute morgen bewegt sich die Medienlandschaft gemächlich in Richtung der einen oder anderen Nachfrage. Ich unterstelle mal, dass die Hauptstadtjournalist_innen mit besseren Kontakten zur CDU deutlich mehr über die Hintergründe wissen als ich oder alle anderen, die bloß zugucken.

Im Deutschlandfunk entwickelt sich ein Appetit am Thema, da wurde heute morgen Wolfgang Kaleck, Snowdens deutscher Anwalt, gefragt:

„Herr Binninger hat sinngemäß gesagt, Snowden hat wahrscheinlich nicht so wahnsinnig viel zur Aufklärung beizutragen, weil er das Material, das er ja hat mitgehen lassen, weitergegeben habe an Journalisten, und außerdem handele es sich bei ihm lediglich um so etwas wie eine Art Systemadministrator. …“


Vielleicht ist ja auch erkannt worden, dass sich Herr Binninger an sich nicht so richtig für Innenpolitik eignet, aber es wäre sicher trotzdem interessant, wie das genau vor sich gegangen ist.

Update: Die Süddeutsche hatte schon gestern ein paar Fragen: Binningers mysteriöser Sinneswandel (Danke, Hannah Beitzer)

Foto: Stéfan via photopin, CC-BY-NC-SA-Lizenz