Deutsche Software hilft bei der Überwachung von AktivistInnen weltweit

You only click twice: FinFishers's Global Proliferation

Wenn es für den Export von Waffen aus guten Gründen Beschränkungen und Kontrollen gibt, warum dann nicht für Software? Wenn Regierungen Software gegen die eigene Bevölkerung einsetzt, sie dann überwacht, festnimmt, foltert und ermordet, gibt es keinen Grund, den Verkauf nicht genauso zu reglementieren. Eigentlich.

Zur Praxis hat Reporter ohne Grenzen letzte Woche zum diesjährigen Welttag gegen Internetzensur den »Bericht über die „Feinde des Internets“« veröffentlich.

Zu den Feinden des Internets zählt der Bericht auch die IT-Sicherheitsfirmen GAMMA INTERNATIONAL (UK/Deutschland), TROVICOR (Deutschland), HACKING TEAM (Italien), AMESYS (Frankreich) und BLUE COAT (USA). Mit Produkten dieser Firmen spüren autoritäre Regime kritische Journalisten auf, nehmen sie fest und blockieren ihre Webseiten. Die Anbieter verkaufen ihre Software entweder selbst an solche Regierungen und nehmen Übergriffe damit in Kauf, oder sie haben es versäumt, den Export ihrer Software so zu kontrollieren, dass Missbrauch ausgeschlossen ist. (Reporter ohne Grenzen)

Einen Tag später erschien ein neuer Bericht von Citizen Lab: You Only Click Twice: FinFisher’s Global Proliferation. Es ist nicht einfach nachzuweisen, wer in welche Länder Überwachungssoftware verkauft. CitizenLab hat in 25 Ländern FinFisher-Server lokalisiert, die von Gamma International betrieben werden.

Server auf der ganzen Welt funktionieren als Kommando-Zentralen für den kommerziellen Staatstrojaner FinFisher/FinSpy. Das geht aus einem Bericht des Citizen Lab hervor, der 33 Server in 25 Staaten auflistet. Das verstärkt die Vermutung, dass diese deutsche Überwachungstechnologie auch in Staaten eingesetzt wird, die für Menschenrechtsverletzungen bekannt sind. (netzpolitik.org)

Ich hatte vor einem Monat schon über FinFisher geschrieben: Fin’s Fisher fischt frische Fishe

Citizen Lab nennt zwei Beispiele, in denen FinFisher gegen AktivistInnen eingesetzt wurde: gegen Oppositionelle in Äthiopien. Die Variante für Mobiltelephone wurde in Vietnam gefunden – beides wird im Bericht ausführlich beschrieben.

Die Firmen, die die Software verkaufen, gehen sind nicht erpicht auf Öffentlichkeit. Wenn es sich nicht vermeiden lässt, wird darauf verwiesen, dass die Software nicht an Diktaturen verkauft werde und sowieso: „Software foltert keine Leute.“ Sowas hatten wir von den Erfindern der Atombombe auch schonmal gehört. (Auch dieser Link wird demnächst dem neuen Gesetz zum ‚Leistungsschutzrecht‘ zum Opfer fallen)

Eine Ausnahme gab es Ende Februar bei der RSA-Konferenz, wo es ein Podium mit dem amerikanischen Vertreter der italienischen Firma Hacking Team gab, die auch zu den von Reporter ohne Grenzen definierten ‚Feinden des Internets‘ gehört. Mit ihm diskutierten Dale Beauchamp (US Homeland Security), Jacob Appelbaum (Tor Project), Kurt Opsahl (EFF) und Claudio Guarnieri (Rapid7): The spy within: researchers, hackers spar over state-sponsored malware,  von Quinn Norton in The Verge. Darf Überwachungssoftware überhaupt eingesetzt werden? Gegen wen? Wer legt fest, wer die Terroristen sind? Beauchamp, der Vertreter der US-Sicherheitsbehörden, ließ nichts aus:

„Believe it or not, if [Hacking Team] doesn’t sell the tool, [its clients] are going to do what they’re doing. So let’s not attack the tool, let’s attack what they’re doing,“

Auch dazu Spitzelsoftware-Hersteller: „Des einen Terrorist ist des anderen Aktivist“ (SpOn). (Auch dieser Link wird demnächst dem neuen Gesetz zum ‚Leistungsschutzrecht‘ zum Opfer fallen)

Die Aufnahme dieser Veranstaltung würde ich SEHR gern sehen.

The Young Turks pointiert (leider sehr schnell gesprochen) über FinSpy:
‚Finspy‘ Hijacks Activist Computers – Are You Being Monitored?

Überwacht wird natürlich nicht nur mit Trojanern wie FinFisher. Auch Skype reicht dazu oft völlig aus. Aus Russland wurde gerade bekannt, dass die Sicherheitsbehörden seit Jahren über Skype dessen NutzerInnen überwachen. Skandalös, würde man denken. Frankreich, unumstritten der stabilere Rechtsstaat, prüft gerade, ob es gegen Skype juristisch vorgehen kann, weil Skype die Überwachungsmöglichkeiten nicht offiziell mitliefert.

Und schließlich scheint es einen neuen ‚Sport‘ zu geben, der darin besteht, andere heimlich über Kamera ihrer Laptops zu beobachten – und die Aufnahmen hinterher ins Netz zu stellen: Meet the men who spy on women through their webcams. Also: immer schön die Kamera zukleben, und das Mikrofon ausschalten!

 

German police monitors Skype, GoogleMail and Facebook chat

The German government a while ago answered questions about expenditures by the federal ministry of home affairs for private service providers – hardly noticed by the English speaking world. The parlamentary enquiry („Minor interpellation“) no. 17/10077 by Jan Korte, MP of The Left party, has now been translated into English.

Download the document in English (pdf) or German (pdf).

The answers were far more detailed than one would expect.

There’s 43 pages (this includes questions), 20 of which are tables that list who was contracted, how much money was paid, what for and how each paid item was used. Even though 12 out of 30 answers were defined as classified information – e.g. questions regarding Germany’s domestic and foreign intelligence services or the Federal Office for Information Security (BSI) –  there’s still some interesting news to be found.

The German ministry for home affairs and thus the German police clearly state that they are monitoring Skype, Google Mail, MSN Hotmail, Yahoo Mail and Facebook chat if deemed necessary. Money is spent on trojan viruses and we can be quite certain which company produces the IMSI catchers used by German police. We know how much money was spent by the Federal Police on border control biometrics, on passenger information systems and telecommunications surveillance. Digitask, a company whose reputation was clearly damaged after its trojan virus was found and analysed by the Chaos Computer Club in 2011, seems to still be a regular contractor of German authorities. Altogether more than a billion Euro was spent on private services by German police and other public authorities in the realm of the ministry of home affairs in the years 2002 – 2012.

The translation into English, commissioned by MP Korte, leaves out the 20 pages that contain tables with data who was paid how much for what exactly. If your preferred translation website can’t be of help, let me know and I’ll do my best. I noticed one mistake in the translation of question no. 10: „Federal Agency for the Protection of the Environment (BfV)“ should instead be the domestic secret service „Bundesamt für Verfassungsschutz BfV“.

 

 

Picture: Toban Black, Flickr, CC licence

 

Bundesbehörden zahlen in 10 Jahren 1 Milliarde für Überwachungstechnik

Aktualisiert

Weitgehend im Sommerloch untergegangen ist eine Kleine Anfrage der Linken im Bundestag zu deutscher Überwachungstechnologie. Ich habe sie auch nur wegen dieses Artikels bei Zeit Online vor kurzem bemerkt: „Umstrittene Hoflieferanten„.

Das ist schade, denn es steckt eine Menge drin. Die Antwort unterscheidet sich von den meisten Kleinen Anfragen im Bundestag auch deshalb, weil sie ziemlich ausführlich ist. Wobei vieles auch nicht beantwortet wurde:

Die Beantwortung dieser Frage ist der Bundesregierung in dem für die Öffentlichkeit einsehbaren Teil der Beantwortung der Kleinen Anfrage aus Geheimhaltungsgründen nicht möglich.

Es bleiben immer noch seitenweise Tabellen dazu, wieviel Geld Bundesbehörden wofür ausgegeben haben.

Darunter: Überwachung mit Trojanern (3x), Überwachung von Skype (3x), Überwachung von Google Mail, MSN Hotmail, Yahoo Mail oder eine Mail-Lizenz für Yahoo und Bit-Torrent (gezählt von Detlef Borchers für Heise). Außerdem der Facebook-Chat.

Die Mail- und Facebook-Überwachung ist auch deswegen interessant, weil eigentlich alle Anbieter sagen, dass sie bei begründeten Anfragen von Behörden sofort alle privaten Daten herausgeben (sonst sähe es ziemlich schlecht aus für ihr Business-Model).

Ein paar Häppchen:

2008 hat DigiTask 2.075.256 Euro für Kapazitätsanpassung der ETSI-Schnittstellen bekommen. Digitask – wir erinnern uns, das ist die Firma, die den Bundestrojaner hergestellt hat, der letztes Jahr vom CCC analysiert wurde. Derselbe Bundestrojaner, der in der Folge so in der Luft zerrissen wurde, dass eigentlich nur damit zu rechnen war, dass niemand jemals mehr wagen würde, den Namen der Firma in den Mund zu nehmen. Aber nicht bei uns. Innenpolitische Skandale werden weiter schweigend ausgesessen.

Zu ETSI und den angeforderten technischen Voraussetzungen für Überwachung in der EU gab es am Freitag einen ausführlichen Artikel von Erich Moechel Polizeizugriff auf neues Handy-Zahlsystem.

Digitask verleiht auch Gerätschaften an Bundesbehörden und verdient viel Geld damit, etwa zum Abhören von Skype. Falls also noch irgendwer hoffte, Skype sei irgendwie sicher: dem ist nicht so. Überhaupt werden in den Teilen der Antwort, die nicht als ‚vertraulich‘ klassifiziert sind, alle Firmen genannt, die Geld für Überwachungstechnik bekommen.

IMSI-Catcher (plus Service) stammen offenbar von der Schönhofer GmbH, die z.B. 2009 456.319 Euro für den Ausbau von GPS-IuK-Fahrzeugen bekommen hat. Firewire Revolution liefert Hard- und Software für Password Remover, Cellebrite Handyauswertungssysteme. Usw. usf. In Berlin-Brandenburg wurde auch WhatsApp ausgewertet (wieder Digitask). Zu den Länder-Details findet sich sonst wenig: vielleicht könnten entsprechende Anfragen auch in den Länderparlamenten gestellt werden?

Es ist nicht überraschend, dass diese Technik benutzt wird, aber interessant, schwarz auf weiß lesen zu können, wieviel Geld den Behörden welche Formen der Überwachung wert sind.

Noch ein paar Zahlen: Das BSI hat von 2002 bis 2011 für Studien und Entwicklungsvorhaben 170.147.000€ bezahlt. 170 Millionen Euro. Das BKA „nur“ 7 Millionen.

Insgesamt wurden seit 2002 für Überwachung 1.633.210.074,21 Euro an private Firmen bezahlt.

Update:

Auch dazu

 

Foto: sortofbreakit, Flickr, CC-Lizenz by-nc