Überwachung - 10

Bei Heise lese ich, dass der Vorsitzende der Gewerkschaft der Polizei gegen das Übermitteln von Daten an die Amerikaner wettert. Er findet nämlich, dass Teile dieser Daten die hiesige Polizei legalerweise garnicht haben dürfte:

Nicht nachvollziehbar seien, so der GdP-Bundesvorsitzende Konrad Freiberg, vor allem die Regelungen zur Übermittlung von Daten, aus denen "Rasse oder ethnische Herkunft, politische Anschauungen, religiöse oder sonstige Überzeugungen oder die Mitgliedschaft in Gewerkschaften" hervorgehe oder "die Gesundheit und das Sexualleben" beträfen.

Konrad Freiberg: "Wozu gerade diese Daten bei der Bekämpfung schwerwiegender Kriminalität wie Terrorismus benötigt werden, ist mir schleierhaft. Ebenso unklar ist, warum und auf welcher Rechtsgrundlage deutsche Sicherheitsbehörden solche datenschutzrechtlich hoch sensiblen Daten überhaupt erhoben und gespeichert haben sollen."

Lustigerweise teilt er dabei die Meinung des Bayerischen Datenschutzbeauftragten, der in wirklich jedem seiner Tätigkeitsberichte meckert, dass die Polizei solche Dinge eben schon speichert. Unsere Polizei hat nämlich eine unüberschaubare Anzahl von Dateien mit tollen Namen angelegt, die unter dem Oberbegriff GAST ("Gefahrenabwehr und Verfolgung von Straftaten und Ordnungswidrigkeiten") alle möglichen Dinge speichern, die noch nicht für den Eintrag ins Führungszeugnis langen.

Ich verstehe das ja auch ein bisschern, die modernen Polizisten brauchen einen Ersatz für den guten alten Schutzmann zu Fuss, der im Gedächtnis hatte, wer in seinem Revier mit welchen finsteren Gestalten rumhängt und wo demnächst ein Eifersuchtsdelikt zu erwarten ist. Solche Informationen über Szenezugehörigkeit, weltanschauliche Überzeugung und sexuelle Vorlieben will man halt jetzt auch noch haben, am besten nicht nur im Stadtviertel, sondern ganz global. Nur sollen die Oberpolizisten bitte nicht so tun, als hätten sie garnichts über uns gespeichert ausser Name und Geburtsdatum.

Ein paar Beispiele aus den Tätigkeitsberichten der letzten Jahre, der Einfachheit halber nur aus Bayern:

• Drei Leute halten bei der Sicherheitskonferenz Transparente mit "Rumsfeld Massenmörder" hoch, einer davon 14 Jahre alt. Das Strafverfahren gegen sie wird eingestellt, weil weder die Staatsanwaltschaft noch Herr Rumsfeld einen Prozess wünschen. Dennoch landen alle drei unter der Rubrik "Antiamerikanismus" in ISIS ("Staatsschutzdatei"). (TB 2006)


• "Bei meiner Prüfung der Speicherungen [in der Datei "Gruppentypische Aggressionsdelikte / kriminogene Gruppierungen / Skinheads] bei einem Polizeipräsidium habe ich festgestellt, dass fünf Personen gespeichert waren, die von der Polizei der sog. Punkerszene zugeordnet wurden. Nach den Erkenntnissen aus der Datei selbst und der mir zu den Personen vorgelegten Unterlagen waren die von der Errichtungsanordnung vorgegebenen Speicherungskriterien nicht erfüllt. Beispielsweise war eine junge Frau gespeichert, zu der als einzige Erkenntnis ihre Eigenschaft als Geschädigte eines Diebstahls vorlag. Auch bei den anderen "Punkern" gab es nach meiner Feststellung keine polizeilichen Erkennisse dafür, dass gegen diese wegen jugend- oder gruppentypischer Aggressionsdelikte ermittelt wurde oder dass sie gewalttätigen Gruppierungen oder deren engerem Umfeld zuzuordnen sind." (TB 2000)


• Zur Datei "Sittlichkeitsdelikte" (SITTE): "Bei meiner datenschutzrechtlichen Prüfung der Polizeidirektion habe ich insbesondere diese Speicherungen auf ihre Zulässigkeit hin überprüft. Dabei stellte ich aber auch eine Speicherung zu einer männlichen Person fest, die allein deshalb in der Datei erfaßt worden war, weil sie bei einer polizeilichen Verkehrskontrolle mit Frauenkleidern in ihrem Pkw angetroffen wurde. Nachdem weder Anhaltspunkte für die Begehung von Straftaten zu der Person vorlagen, noch ein Gefährdungspotential aus dieser Neigung erkennbar war, war ihre Speicherung alleine aufgrund ihrer offenkundigen straflosen sexuellen Neigung unzulässig." (TB 1998)


• Im Tätigkeitsbericht 2002 bemängelt der Datenschutzbeauftragte, dass die Datei "Rasterfahndung BAO-USA", die im September 2001 angelegt wurde um Terroristen zu fangen auch nach der Fahndung immer noch in den Behörden rumgammelt. Das Landeskriminalamt hat die Datei zwar gesperrt, aber nicht gelöscht, weil vielleicht weitere Rasterfahndungen angeordnet werden könnten. Die Datei enthält 94000 Datensätze, wovon ca 1900 manuell überprüft wurden. Die 94000 sind "muslimische Männer zwischen 18 und 40 mit technischem Studium, die sich legal hier aufhalten, keine Sozialhilfe beziehen und aus bestimmten Ländern stammen". Die Daten wurden bei Sozialämtern, Meldebehörden, Ausländerbehörden und Unis angefordert und zusammengeführt.

Das mögen alles Einzelfälle sein, aber zumindest in diesen ist es möglich, einen Datensatz "Muslimischer, antiamerikanischer Punk, der gerne Frauenkleider trägt" an die transatlantischen Freunde zu liefern. Sie haben jedenfalls die Daten und an der Legalität der Erhebung und Speicherung sollte ein deutscher Kriminalhauptkomissar keinen Zweifel haben.

Vielleicht geben unsere Polizisten den Gewerkschaftlern ja keinen Zugriff auf all die schönen Datensätze, was ich aber andererseits nicht glaube, weil der DSB fast mantraartig wiederholt, dass ihn vor allem der breit gestreute Zugriff auf die Daten stört. Es würde aber auch reichen, einfach nur die amtlichen Veröffentlichungen über unsere Polizei zu lesen.

Seit der Verabschiedung der Vorratsdatenspeicherung sammel ich ordentlich meine Daten. Was für die grossen Provider richtig ist, kann ja für die Miniprovider, die nur einen Haushalt versorgen nicht falsch sein. Ich hab inzwischen also 180 Dateien gesammelt, die alles enthalten, was das Gesetz uns befiehlt:

• Zeit, Absender und Absendehost für alle Mails, die mein Postfach erreicht haben


• Zeit und Empfänger aller Mails die ich verschickt habe


• Zeit aller Zugriffe auf meine Mailbox, sowie die IP-Adresse, von der aus ich zugegriffen habe


• Zeit und IP-Adresse der Nutzer des Webproxies auf diesem Server

Was natürlich noch fehlt, sind die IP-Adressen, unter denen ich mich mit dem Netz verbunden habe (also meine heimische Surferei), die lassen sich allerdings leicht aus den Mailboxzugriffen rausbekommen. Ausserdem fehlt noch mein Handyprofil bei den Vorratsdaten, aber bei meiner Handynutzung gibt das vermutlich nicht viel her.

Was ausserdem bei den Daten fehlt, sind die Logs des Tor-Servers. Da ist ja noch völlig unklar, ob die gespeichert werden müssen und ausserdem kann ich zwar zum Testen mit unseren Daten spielen, aber nicht mit den Daten völlig unbekannter Nutzer, die noch dazu besonderen Wert auf Anonymität legen. Mir gings ja auch mehr um meine eigenen Datenspuren und das, was jeder Provider über praktisch jeden Internetnutzer speichern muss.

Das ganze liegt in handlichen Dateien (eine pro Tag) auf dem Server, natürlich ordentlich verschlüsselt, es wird also ohne grössere Hacks nicht funktionieren, an meine Daten ohne mein Wissen ranzukommen. Aber wenn ich als Provider auftreten würde, wäre das kein Problem, der Provider kooperiert ja gezwungenermassen mit den Schnüfflern.

Ich muss sagen, ich habs mir vor einem halben Jahr schwieriger vorgestellt, mit den vielen Daten umzugehen. Dabei ist das ganze garnicht so tragisch. Ein wie ich glaube recht durchschnittlicher 2-Personen-Haushalt kommt auf insgesamt 6,4 MByte an Vorratsdaten, komprimiert sind das nichtmal 1 MByte. Ein Tag fehlt allerdings, da hab ich eine Mailschleife gebaut und die massenweise kreisenden Mails hätten die Logs gesprengt. Also hab ich da auf die Speicherung verzichtet und hoffe, so ein technisches Versagen würde nicht gegen mich verwendet werden.

Auswertung

Die Auswertung ist auch relativ einfach. Der Auswerter müsste sich halt auf meine vielleicht verschrobene Art einstellen, Logfiles zu formatieren. Richtlinien, in welcher Form man Logfiles an die Sicherheitsorgane übermittelt, scheint es ja noch nicht zu geben. Aber das lernt er sicher schnell und wenn er sich auf ein paar Tage konzentriert, kann er die Listen auch von Hand durchgehen. Insgesamt ist selbst das halbe Jahr mit 50000 Zeilen Log leicht zu analysieren:

• 36612 Mails gingen durch diesen Server


• 7679 davon an die Adresse, die ich auch hier verwende, die anderen zähle ich im Folgenden nicht.


• 2370 kamen von der Domain meines Arbeitgebers


• 2782 Mails kamen über ein paar Mailinglisten


• 2527 Mails müssen noch einzeln ausgewertet werden, irgendwo zwischen dem vielen Spam sind sicher auch noch interessante Fundstücke. Es sollte aber einem Menschen zum Beispiel möglich sein, auf meine Korrespondenz mit einem Waffenhersteller zu stossen.


• 125 Mails habe ich geschrieben


• 47 in die Arbeit


• 78 an andere Leute


• Die IP-Adressen, unter denen ich die abgeschickt habe, wurden gespeichert, 10 davon stammen allerdings lokal von diesem Server. Woher der Zugriff auf die Shell erfolgte, ist nicht klar.


• 15287 Mal wurde auf die Mailbox zugegriffen, allerdings nur von


• 182 verschiedenen IP-Adressen. Das passt ganz gut zu 180 Tagen, die Nachfrage beim Provider nach meinen IP-Adressen erübrigt sich also.


• 21 Mal wurde Webmail benutzt. Am 22. April zum Beispiel von einer IP-Adresse, die zu einem hotspot von T-mobile gehört.


• 4440 Seiten wurden per Proxy geladen. Die IP-Adressen des Nutzers wurden festgehalten, die Ziele natürlich nicht. Am 22. April wurden 230 Seiten geladen. Die an diesem Tag festgehaltene IP-Adresse ist der Webserver selbst. Der Proxy wird also vermutlich in irgendeiner Form getunnelt angesprochen.

Ergebnis

Die IP-Adressen sind natürlich nur interessant, wenn man auch das Gegenstück, den angesprochenen Server oder den Chat beobachtet, in dem ich mich zu dieser Zeit rumgetrieben habe. Als Bewegungsprofil könnte die Speicherung schon ganz gut funktionieren. Dass ich am 22. April nicht zuhause war, sieht man recht deutlich. Wo T-mobile diesen hotspot betreibt, ist sicher leicht zu erfragen. Ist aber auch sonst nicht schwer, dank Handy und Erfassung aller Fluggäste kommt man schnell drauf.

Mein "soziales Netzwerk im Internet" zu erforschen dürfe da schon wesentlich ergiebiger, aber auch viel schwerer sein...

Die Daten sind hilfreich bei der Frage "Hat der Max schonmal Mails von @girlsdressshop.com bekommen?" (Ja, am 1.2.08 21:13:09; aber vermutlich nicht gelesen, ich filter auch lokal auf Spam; Beweisen kann ich letzeres natürlich nicht).

Die Frage "Wer sind denn die Kumpels vom Max?" dürfte aber nicht leicht zu beantworten sein. Dazu geht einfach zu viel im Rauschen des Spams unter. Meine Auswertung leidet z.B. auch darunter, dass ich "Arbeitsmails" einfach ausblende. Ich trenne zwar Arbeitsmails und Privatmails, aber es gibt da schon Schnittmengen, sonst gäbe es auch keine Mails mit privater Absendeadresse an die Arbeit.

Was natürlich überhaupt nicht erfasst wird, ist alle Kommunikation, die über Chat, Messenger und irgendwelchen Communities und Foren mit Messagesystem läuft. Das Gesetz kennt da nur die "Kennung des elektronischen Postfachs". Das könnte man natürlich auch auf alles mögliche passend zurechtbiegen, da man aber gleichzeitig den "Inhalt der Kommunikation und Daten über aufgerufene Internetseiten" explizit nicht speichern darf, scheiden zumindest webbasierte Messagesysteme aus.

Und jetzt?

Speicherung abschalten, den ganzen Kram löschen und mal sehen, was Karlsruhe dazu sagt.

Mich betriffts eh nicht, ich erbringe alle Dienste kostenlos. Frau Zypries hat ja im Bundestag erzählt, dass in Zukunft nur Daten gespeichert werden, die jetzt schon für Abrechnungszwecke erhoben werden. Die Frau ist Justizministerin, sicher eine profunde Kennerin des Gesetzes und würde das Parlament und mich doch nicht anlügen.

Die Süddeutsche hat auch schon nützliche Hinweise für die Bevölkerung, wie sie sich gegen Schäubles Trojanische Pferde schützen kann. Irgendwie schon lustig, vermutlich gibt es keine andere polizeiliche Ermittlungsmassnahme, die derart fleissig von den Medien sabotiert wird. Finde ich zwar schön, aber warum sollten Leute gegen den Bundestrojaner Schutzmassnahmen ergreifen, die bisher auch nichts dagegen hatten, ominösen Botnetzbetreibern ihre Rechner zur Verfügung zu stellen?

Manchmal frag ich mich nur, wo die von der Süddeutschen ihre Computerratgeber herhaben... Da steht dann

Die Installierung von Firewalls ist prinzipiell nur sinnvoll, wenn mehrere Computer vorhanden sind, da das Schutzprogramm nicht auf dem zu schützenden System laufen soll.

Und der Leser fragt sich, was wohl mit einem einzelnen Rechner ist, der geschützt werden soll und das Schutzprogramm dennoch nicht auf ihm laufen soll...
Ein bisschen stimmts aber. Firewalls helfen nicht gross gegen typische Holzpferde der Feinde. War ja der Witz an der Sache damals in Kleinasien, dass die Trojaner das Pferdchen der Griechen selbst in die Stadt holten, da half auch keine stabile Stadtmauer. Was natürlich kein Argument gegen Stadtmauern und Firewalls an sich ist. Kluge Belagerungsopfer hätten halt das Tor zugelassen.

Am schönsten finde ich

dagegen hilft nur eines: keine unbekannten Anhänge öffnen. Der Initiator des Gesetzes, Innenminister Wolfgang Schäuble, sagt selbst: "Ich öffne grundsätzlich keine Anhänge von E-Mails, die ich nicht genau einschätzen kann." Gute Mail-Dienste haben einen Spam-Schutz eingebaut.

Also ich glaube ja auch nicht, dass die Zahl von "höchstens 10 Fälle" stimmt, die unser BKA-Präsident gerne angibt. Aber dass der Bundestrojaner als nächste Spamwelle nach Casino, Aktien und Medikamenten über uns schwappt, glaube ja nichtmal ich. Aber gut, dass wir "Spam" auch noch im Artikel untergebracht haben, klingt fachkundig.

Ausserdem öffnet Schäuble seine Mails nicht selbst, der sagt das nur so um halt auch mitzureden. Die werden ausgedruckt, in der Poststelle des Ministeriums auf Sprengstoff und Anthrax untersucht und dann erst dem Vorzimmer vorgelegt.

Unsere Landesjustizministerin ist froh über den Kompromiss zwischen Zypries und Schäuble zum Bundestrojaner. Natürlich geht er ihr nicht weit genug, aber das liegt in der Natur der Sache. Besonders unzufrieden ist sie mit der Einschränkung, dass der Bundestrojaner wirklich übers Netz kommen soll, wie es sich eben für einen richtigen Trojaner gehört. Millionenfach haut das ja auch ganz gut hin, aber vermutlich will die Ministerin nicht nur den unbedarften Teil der Computernutzer infizieren. Sie findet jedenfalls:

Wenn es zur Installation eines Trojaners unbedingt notwendig ist, etwa zur Überwindung einer Firewall, muss auch das - selbstverständlich mit Genehmigung eines Richters - geschehen können. Auch in der einschlägigen Entscheidung des Bundesverfassungsgerichts finden sich keine Anhaltspunkte dafür, dass zur Vorbereitung einer Online-Durchsuchung keine Wohnung betreten werden darf. Hier wird man nachbessern müssen.

[Anmerkung: Man beachte die Wortwahl, da steht wirklich "Trojaner", nicht "forensisches Programm" oder "Online-Datenerhebung". Sicher ein Versehen der Schlussredaktion, keinesfalls das Zeichen einer neuen Offenheit...]

Ich glaub, sie kann beruhigt sein, die SPD ist in dieser Angelegenheit schon so weit umgefallen, dass ein kleiner Einbruch bei "allerdringendsten Fällen" wie z.B. "Terrorismus" oder "Kinderpornographie" (das zieht immer, wer will da schon "Nein, ist nicht rechtstaatlich" sagen) sicher noch genehmigungsfähig wird. Spätestens wenn sich herausstellt, dass die Programmierer des BKA keine Viren schreiben können, die sie zielgerichtet über Internet auf den Computern wirklich interessanter Leute platzieren können und die schöne online-Durchsuchung damit einfach nicht hinhaut.

Ausserdem muss man den Bundesrichtern einfach Zeit lassen. Für die ist das ja auch alles Neuland. Bisher war für die das Konzept einer "heimlichen Durchsuchung" ausserhalb des Spitzelmilieu der Geheimdienste praktisch unbekannt. Nur für das Urteil zum Grossen Lauschangriff haben sie den Einbruch zur Installation der Wanze kurz beurteilen müssen und als Teil des Grundrechtsbruchs qualifiziert.

Durchsuchungen dagegen kennen sie eher als öffentliche Darbietungen: Mit massig Autos in der Einfahrt, erschreckten Verdächtigen und Familien, aufgebrochenen Türen, kistenschleppenden Beamten, unparteiischen Zeugen und wenns gegen Vorstände grosser Staatsunternehmen geht auch gern mit vorheriger Einladung an die Presse. Die Vorstellung, dass das in der modernen Zeit auch ohne den Verdächtigen, ohne Zeugen und ganz ohne Kontrolle des Ablaufs geht, ist ihnen einfach noch fremd.

Den passendsten Kommentar zum neuesten Scheingefecht der Koalition zur Online-Durchsuchung fand ich im Heise-Forum. Es geht jetzt darum, ob die Wanze auch auf dem Rechner installiert werden kann, wenn man technisch noch nicht so weit ist, das online zu erledigen. Dann muss der Polizist ja heimlich in die Wohnung einbrechen, den Trojaner installieren und wieder verschwinden. Die SPD findet nun dieses Detail (bis auf weiteres) untragbar und mit ihr nicht machbar, während der Innenexperte der CDU Clemens Binninger das ganz normal findet:

„Es liegt doch in der Natur der Sache, dass wir, wenn wir den Sicherheitsbehörden aus guten Gründen die Online-Durchsuchung erlauben, ihnen auch die Möglichkeit geben müssen, im Bedarfsfall physisch auf den Rechner zuzugreifen.“ Dabei handele es sich schließlich nicht um eine Durchsuchung der Wohnung des Verdächtigen, sondern lediglich um ein Betreten. „Und das ist von der heutigen Verfassungslage im Bereich der Gefahrenabwehr gedeckt.“

Und dazu meinte der FuntKlakow

PC verstecken

Dann reicht es also aus, den PC so zu platzieren, das man ihn nicht auf den ersten Blick sieht. Wenn er dann die Wohnung nach dem PC durchsuchen muss, handelt er rechtswidrig! ;-)

Ich finde, schöner kann man die bizarre Welt in der unsere Innenexperten anscheinend leben nicht kommentieren.