Alles schießt gegen Telegram. Die einen wollen Geoblocking, die anderen wollen den Messenger aus den Appstores schmeißen. Aber für den Hass auf der Plattform ist das nicht die Lösung. Denn das Problem ist viel älter als der Messenger selbst. Ein trefflicher Kommentar von Anna Biselli auf netzpolitik.org.

Telegram Logo

Gemeinfrei-ähnlich freigegeben durch unsplash.com Dima Solomin

Wir haben ein Problem. Eines mit Hass, der sich massenhaft auf diejenigen entlädt, die Kinder gegen Corona impfen oder einfach PolitikerInnen sind. Wir haben ein Problem mit Mordplänen gegen sächsische Ministerpräsidenten und einschüchternden Fackelmärschen vor Privathäusern. Und wir haben ein Problem mit Leuten, die mutmaßlich von irgendwo auf den Philipinnen darüber fabulieren, dass man alle Regierungsmitglieder hinrichten müsste.

Nicht erst seit Beginn der Corona-Pandemie ist das bekannt. Und auch wenn sich Pandemie-Leugner:innen auf Telegram zusammentun, um sich in oft öffentlichen Kanälen gegenseitig zu bestätigen und zu organisieren: Die App ist nicht das Problem. Das Problem sind die Menschen, die sich dort zusammenfinden.

Aber was ist die politische Antwort? Der niedersächsische Innenminister Boris Pistorius fordert, dass der Messenger Telegram aus den App-Stores fliegen soll. Der Ex–Digitale-Infrastrukturminister Alexander Dobrindt fabuliert von Geoblocking und andere holen die Klarnamenpflicht aus der Mottenkiste der Grundrechtseingriffe.

Es ist ein Ausdruck von Hilflosigkeit und Ablenkung vom jahrelangen Versagen im Umgang mit Nazis, Verschwörungsideologen und Menschenfeinden. Realitätsverweigernde Symbolpolitik. Der Versuch, ein soziales Problem mit Technik zu lösen, hat sich schon derart oft als Irrweg erwiesen, dass es sich nicht einmal lohnt darauf einzugehen, dass manche der mittlerweile aufgekommenen technischen Wege nicht mal einfach möglich wären.

Klar ist man als Staat verärgert, wenn irgendein Libertärer namens Pavel Durov irgendwo in Dubai einfach nicht auf die Briefe des deutschen Bundesamts für Justiz antwortet und sich von drohenden NetzDG-Bußgeldern offenbar nicht beeindrucken lässt. Aber es ist nicht hinnehmbar, damit vom eigentlichen Problem und der eigenen Ratlosigkeit abzulenken. Und dafür einen massiven grundrechtlichen Kollateralschaden in anderen Bereichen hinzunehmen, während man sich zusätzlich als ehrenvolle Blaupause für autoritäre Staaten feilbietet. Denn klar, was im demokratischen Deutschland gemacht wird, kann doch anderswo nicht so böse sein.

Telegram abzuschießen wird keinen hasserfüllten, fackelschwingenden Nach-Feierabend-Radikalisierten wieder zum Verteidiger der freiheitlich-demokratischen Grundordnung machen. Denn das war der schon vorher nicht. Vielleicht ist er dann motiviert genug, um auf andere Plattformen auszuweichen. Welche, bei denen die Polizei vielleicht nicht einfach mitlesen kann, bis man dann wieder panisch nach der Schwächung von Verschlüsselung ruft. Vielleicht ist er aber auch nicht ganz so motiviert. Bis die nächste Gelegenheit kommt, bequem und in großem Stil den gemeinsamen Hass zu kultivieren.

Vielleicht hat Telegram es leichter gemacht, dass die Bernds dieser Welt sich mit Gleichgesinnten auf einer riesigen öffentlichen Pinnwand zusammenfinden, sich zu Demo-Fahrgemeinschaften verabreden, hetzen und krude Desinformation verbreiten. Jeden Tag ein bisschen mehr, weil die Bestätigung der anderen sie antreibt. Aber Hass ist nicht monokausal. Dass Menschen zu hasserfüllten Faschist:innen werden, hat keine einzelne Ursache. Und keine einzelne Lösung.

Um überhaupt in die Nähe einer Lösung zu kommen, darf man keine Scheindebatte führen. Man muss Fehler eingestehen und aus ihnen politische Konsequenzen ziehen.

Dazu gehört, sich einzugestehen, dass die Polizei in Sachsen und anderswo offenbar nicht immer gewillt ist, geltendes Recht wie Demoauflagen oder coronabedingte Versammlungsverbote gegen Nazis und Coronaleugner auch effektiv durchzusetzen.

Sich eingestehen, dass man es nicht schafft, für die Sicherheit von Journalist:innen auf Demos von Corona-Leugner:innen zu sorgen. Sich klar werden, dass es offenbar einen Bericht im ZDF von ebensolchen Journalist:innen braucht, bis Polizei und Staatsanwaltschaft auf Mordpläne in öffentlich zugänglichen und mitlesbaren Chatgruppen aufmerksam werden und handeln. Und dass man dadurch übrigens ziemlich doof da steht mit der Mär von der bösen, verschlüsselten Kommunikation, wenn man in einer solch aufgeheizten Situation nicht einmal öffentliche Kommunikationskanäle mitliest.

Sich eingestehen, dass Leute wie Attila Hildmann unter ihrem Klarnamen öffentlich hetzen, drohen und beleidigen können, weil sie wohl aus der Staatsanwaltschaft heraus gesteckt bekommen, wenn ein Haftbefehl vorliegt.

Der wohl größte Fehler bleibt: Dass man jahrelang die Augen davor verschlossen hat, dass wir ein reales Problem mit Rechtsradikalen in diesem Land haben. Und das schon lange, bevor es Telegram überhaupt gab.


Anna auf Netzpolitik.org
Creative Commons BY-NC-SA 4.0

Was steht im Koalitionsvertrag zu Netzpolitik, Datenschutz, digitaler Infrastruktur und Bürgerrechten? Netzpolitik.org hat die 177 Seiten der Ampelparteien durchforstet und fasst für euch die wichtigsten Punkte zusammen:

Annalena Baerbock, Olaf Scholz, Christian Lindner
So sehen Ampel-Koalitionär:innen aus. – Alle Rechte vorbehalten YouTube-Livestream “Vorstellung des Koalitionsvertrags”, Bearbeitung: netzpolitik.org

„“Die Ampel steht”, sagte Olaf Scholz bei der Vorstellung des Koalitionsvertrags. SPD, Grüne und FDP wollen in den kommenden Jahren die Regierung stellen. Die selbsternannte Zukunftskoalition hat sich viel vorgenommen, auch im Digitalen. Wir haben die wichtigsten netzpolitischen Punkte in dem Dokument ausgemacht und fassen sie hier zusammen. Manche Themen wie ein starkes Bekenntnis zu Open Source ziehen sich durch alle Bereiche, während andere kleinere Aspekte sicher noch unentdeckt sind. Wenn euch etwas auffällt, schreibt es gern in die Ergänzungen.“

Direkt zu den einzelnen Themen


Ein Beitrag von Netzpolitik.org / Creative Commons BY-NC-SA 4.0.

Die NGO FragdenStaat hat eine Klage verloren: Das verklagte Innenministerium muss Twitter-DMs nicht herausgeben, so hat es das Bundesverwaltungsgericht entschieden (BVerwG,  Urteil vom 28. 10. 2021, Az.10 C 3.20). Das Gericht hält Twitter-Direktnachrichten von Ministerien für nicht aktenrelevant. Das gibt Behörden und Ministerien Spielraum für Intransparenz in ihrer Kommunikation in sozialen Medien. ein notwendiger Kommentar von Markus Reuter auf Netzpolitik.org.

Das Bundesverwaltungsgericht hat in einer Klage der Informationsfreiheitsorganisation FragdenStaat gegen das Bundesinnenministerium entschieden, dass staatliche Stellen Twitter-Direktnachrichten und Nachrichten aus ähnlichen Kanälen prinzipiell herausgeben müssen, wenn diese relevant seien. Gleichzeitig gab es den staatlichen Stellen einen Freifahrtschein mit auf den Weg: Diese können selbst einstufen, was eine „relevante Nachricht“ ist.

Das Gericht ordnet damit Direktnachrichten auf Twitter oder anderen sozialen Netzwerken nicht einmal als richtige Akten ein. Damit geht das Urteil an den Realitäten der modernen Kommunikation vorbei und ist irgendwo zwischen Aktenordner und E-Mail stehen geblieben. Richtiger wäre gewesen: Da wo Behörden kommunizieren, da müssen sie auch archivieren. Wer Facebook, Twitter oder WhatsApp für die offizielle Kommunikation nutzt, der muss auch sehen, wie er die Nachrichten „veraktet“ bekommt.

Auch aus journalistischer Sicht ist das Urteil höchst unbefriedigend. Erstens ist es kaum zu überprüfen, nach welchen Kriterien ein Ministerium oder eine Behörde eine Direktnachricht als „relevant“ einstuft. Und selbst, wenn eine Behörde oder ein Ministerium die Einstufung richtig vornehmen würde, erschwert sie damit das Erkennen der Gesamtkommunikation. Denn bei Recherchen mit dem Mittel der Informationsfreiheit können kleine, irrelevant erscheinende Hinweise ein wichtiges Puzzlestück auf größere relevante Zusammenhänge sein. Manchmal ist es eine kurze geschriebene Zustimmung, ein kleiner Nebensatz oder eine Mailadresse, die ganz neue Tore und Themen einer Recherche öffnet. Was später für die Öffentlichkeit relevant ist, sollten Ministerien nicht selbst bestimmen dürfen.

Das Urteil des Bundesverwaltungsgerichtes trägt also nicht zur Klärung der Situation bei, sondern erschwert es Journalist:innen und Zivilgesellschaft, behördliches Handeln transparent zu machen. Ganz im Gegenteil sind dadurch Kommunikationen auf Twitter oder WhatsApp deutlich geschützter als die behördliche Kommunikation per E-Mail. Warum es einen Unterschied machen soll, ob das Bundesinnenministerium nun per Mail oder Messenger kommuniziert, wird durch das Urteil nicht deutlich. So wird das Urteil zum Freifahrtschein, Kommunikationen und Direktnachrichten in sozialen Netzwerken zu vernebeln und vor der Öffentlichkeit zu verstecken. Es erweist der Transparenz von Regierungshandeln einen Bärendienst.

—-

Quelle: Netzpolitik.org, Creative Commons BY-NC-SA 4.0.

 

verweigert

25. August 2021

In vier Staaten Europas dürfen Geheimdienste massenhaft Kommunikationsdaten sammeln und auswerten, darunter der deutsche BND. Darüber berichtet heute netzpolitik.org und schreibt: Wegen eines Urteils des Europäischen Gerichtshofs für Menschenrechte (EGMR) gelten dafür neue Regeln. Die Bundesregierung verweigert aber weiterhin die Antwort, ob sie aufgrund des Urteils einen Handlungsbedarf beim BND-Gesetz sieht.

BND-Zentrale in Berlin. Zaunansicht.

Die Bundesregierung grübelt schon seit Monaten, ob sie einen Handlungsbedarf sieht, der wegen eines höchstrichterlichen Urteils des Europäischen Gerichtshofs für Menschenrechte (EGMR) vom 25. Mai dieses Jahres entstanden sein könnte. Im Juni versprach das Bundesinnenministerium, das Urteil werde „derzeit intensiv geprüft und ausgewertet“. Man stimme sich auch mit den „betroffenen Ressorts“ ab. Nun teilt das Ministerium mit, dass es auch noch weiter zu prüfen gedenkt. Das geht aus einer Antwort auf eine parlamentarische Anfrage (pdf) hervor, die wir veröffentlichen.

Es geht inhaltlich um die Einhegung der Befugnisse der Geheimdienste bei der Massenüberwachung der Kommunikation, insbesondere die des aktuell wieder in starker Kritik stehenden Bundesnachrichtendienstes (BND). Der hatte die Notwendigkeit, dass er weiterhin ohne Anlass enorme Datenmengen einsammeln müsse, immer wieder gerade auch am Beispiel Afghanistan zu begründen versucht. Dass aber die weitreichenden Befugnisse des Geheimdienstes in der aktuellen Afghanistan-Krise irgendwie hilfreich gewesen seien, behaupten nicht einmal mehr diejenigen, die sich sonst stets für mehr technische Überwachungsmaßnahmen und die anlasslose strategische Überwachung starkmachen.

Das BND-Gesetz gibt dem deutschen Auslandsgeheimdienst die Befugnis, massenhaft Kommunikationsdaten zu sammeln und auszuwerten. Das Urteil des EGMR legt für diese Massenüberwachung und für deren Beaufsichtigung neue Anforderungen fest. Wie es schon das Bundesverfassungsgericht in seinem Urteil zum BND-Gesetz aus dem Jahr 2020 festgestellt hatte, so fordert auch der Straßburger Gerichtshof, dass Geheimdiensten klare Schranken bei der Überwachung von Journalisten auferlegt werden.

Da das Urteil des EGMR zwar gegen die britische Regierung und den dortigen Geheimdienst GCHQ erging, aber auch alle anderen Staaten der Europäischen Menschenrechtskonvention bindet, war bereits kurz nach der Entscheidung der Großen Kammer des Gerichtshofs bei der Bundesregierung eine Reaktion erfragt worden. Auf eine erneute schriftliche Frage des Abgeordneten und stellvertretenden Fraktionsvorsitzenden der Grünen, Konstantin von Notz, am 10. August 2021 gab für das Innenministerium Hans-Georg Engelke nun eine weitere wenig aussagekräftige Antwort:

Die Prüfung innerhalb der Bundesregierung ist noch nicht abgeschlossen.“

Der Staatssekretär verweist ansonsten nur auf seine vorherige Antwort vom Juni (pdf).

Konstantin von Notz (Grüne). – Alle Rechte vorbehalten Stephan Pramme

Der Grüne von Notz, der auch stellvertretender Vorsitzender des Parlamentarischen Kontrollgremiums für die Geheimdienste ist, bemerkt dazu:

„Zehn Jahre nach den Enthüllungen von Edward Snowden hat der Europäische Gerichtshof für Menschenrechte die britischen und schwedischen Gesetzesgrundlagen für weitgehend illegal erklärt und weiteren Reformbedarf bei der Kontrolle geheimdienstlicher Überwachungsmaßnahmen aufgezeigt. Aufgabe der Bundesregierung wäre es, das Urteil schnellstmöglich hinsichtlich zu ziehender gesetzgeberischer Konsequenzen zu analysieren. Solche hätten bereits im Rahmen der Reform der Aufsicht über den BND gezogen werden können und müssen. Darauf hatten auch die Sachverständigen in der Anhörung des Innenausschusses hingewiesen.“

Stattdessen spiele die Bundesregierung aber weiter auf Zeit, so von Notz:

„Offenkundig plant sie keine gesetzgeberischen Konsequenzen mehr in dieser Wahlperiode zu ziehen. Anders ist es kaum zu erklären, dass sie trotz mehrfacher Nachfragen rund ein knappes Viertel Jahr nach dem Urteil noch immer zu ziehende Konsequenzen prüft.“

Neben Großbritannien sind Frankreich, Schweden und eben Deutschland von dem Urteil des Gerichtshofs deswegen in besonderer Weise betroffen, da diese europäischen Staaten eine geheimdienstliche Massenüberwachung der Kommunikation per Gesetz erlauben. Hierzulande regelt das BND-Gesetz diese sogenannte „strategische Ausland-Ausland-Fernmeldeaufklärung“. Es musste wegen des Urteils des Bundesverfassungsgerichts überarbeitet und verbessert werden, da es in Teilen verfassungswidrig war.

Doch auch die in diesem Jahr erfolgte Reform des BND-Gesetzes steht in der Kritik. So sieht von Notz darin nur eine „unzureichende Neuregelung der Kontrolle der Arbeit der Nachrichtendienste“. Wegen der „Verweigerungshaltung der amtierenden Großen Koalition“ dürfte aus seiner Sicht dann erst eine neue Bundesregierung nach der Bundestagwahl vor der Aufgabe stehen, gesetzgeberisch auf das Urteil zu reagieren.

Keines der Länder mit geheimdienstlicher Massenüberwachung kann übrigens auf hilfreiche Erkenntnisse in der Afghanistan-Krise verweisen, obgleich nicht nur der BND, sondern auch etwa der mit Abstand größte der Geheimdienste, das britische GCHQ, den Militäreinsatz am Hindukusch seit Jahren als Begründung für die Notwendigkeit der Massenüberwachung der Kommunikation heranzieht.

(Quelle: Constanze Kurz auf netzpolitik.org; CC BY-NC-SA 4.0.)

Im Onlineshop von Lidl gelten neue Regeln. Das Unternehmen gibt nun auch Namen und E-Mailadressen an Werbeplattformen wie Facebook weiter, sofern man nicht widerspricht. Die zuständige Datenschutzbehörde sieht die Rechtslage etwas anders.

Onlineshop-Kund:innen des Discountunternehmens Lidl haben kürzlich eine E-Mail bekommen: Betreff: „Aktualisierung unserer Datenschutzbestimmungen“. Wer diese E-Mail nicht gelesen hat, für den gelten die Änderungen jetzt trotzdem. Denn sie beinhaltete einen Link zum Widerrufen, nicht aber, um den neuen Bedingungen zuzustimmen.

Ist eine Nicht-Antwort also schon eine Einwilligung? Da Lidl Deutschland in Stuttgart sitzt, ist die Datenschutzbehörde Baden-Württembergs unter Leitung von Stefan Brink zuständig. Auf Nachfrage von netzpolitik.org hat sich der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) den Fall angeschaut und kommt zu dem Schluss: „Die Möglichkeit des Widerspruchs reicht nicht.“ Nutzer:innen müssten sich aktiv für eine Weitergabe ihrer Daten entscheiden.

Bei der Änderung in den Datenschutzbestimmungen geht es um die Verwendung von personalisierten Daten zu Werbezwecken auf anderen Plattformen wie Facebook:

Wenn Sie mit uns einen Vertrag abgeschlossen haben, nutzen wir die Information zu Ihrem Einkauf in unserem Online-Shop gemeinsam mit Daten zu Ihrer Identifizierung (Name und Kontaktdaten einschließlich Ihrer E-Mail-Adresse), um Ihnen in Sozialen Netzwerken, wie z.B. http://www.facebook.de, oder anderen Werbeplattformen für Sie individualisierte Werbung zu unseren Lidl-Angeboten anzuzeigen. Die Betreiber der sozialen Netzwerke und der anderen Werbeplattformen erhalten dabei neben pseudonymisierten Informationen zu Ihrer Identifizierung lediglich den Auftrag zum Ausspielen bestimmter Werbung.

Auf Anfrage von netzpolitik.org teilt Lidl Deutschland mit, dass sich das Unternehmen aus seiner Sicht mit den Änderungen an die Datenschutzgrundverordnung (DSGVO) halte und begründet das so:

„Die Datenverarbeitung zum Ausspielen von Werbung in einem sozialen Netzwerk ist auf Grundlage des berechtigten Interesses von Lidl an der Durchführung von Direktwerbung zulässig und damit auch nicht einwilligungsbedürftig. Wir haben die Nutzer vorab über die Änderungen informiert. Sie können gegen diese Datenverarbeitung jederzeit Widerspruch einlegen. Der Hinweis darauf sowie ein Link zur Ausübung des Widerspruchsrechts findet sich zudem in unseren Datenschutzbestimmungen.“

Der LfDI kommt jedoch zu einer anderen Einschätzung: „Ein solches berechtigtes Interesse liegt zwar vor, kann nach der notwendigen Abwägung mit den Rechten der App-Nutzenden aber nicht als Rechtsgrundlage für die Übermittlung von Nutzerdaten an z.B. Facebook herangezogen werden.“

Es sei zu überprüfen, „ob die Übermittlung von Namen, Kontaktdaten einschließlich E-Mailadressen, an Facebook und andere ungenannte ‚Werbeplattformen‘ erforderlich ist. Außerdem müsse eine Abwägung mit den Rechten der Nutzenden stattfinden. Bei dieser Interessenabwägung komme man „regelmäßig zum Schluss, dass auf Basis des berechtigten Interesses eine solche Übermittlung nicht möglich ist.“

Daher bleibe als Rechtsgrundlage grundsätzlich nur „die vorherige, informierte, freiwillige, aktiv und separat von anderen Erklärungen abgegebene Einwilligung der betroffenen Personen.“

Wenn es sich lediglich um Datenschutzhinweise handelt, reiche aus, dass Informationen ohne Einwilligung einfach nur zur Verfügung gestellt werden. Solche Datenschutzhinweise könnten aber keine neue Rechtsgrundlage abbilden, so die Datenschutzbehörde. Genau das sei aber „stets notwendig“, wenn es – wie in diesem Fall – um die Verarbeitung personenbezogener Daten geht.

Damit folgt die Baden-Württembergische Datenschutzbehörde in diesem Fall der Linie des Bayerischen Landesamtes für Datenschutzaufsicht, das bereits 2017 erklärt hatte, dass die Custom-Audience-Funktion bei Facebook grundsätzlich eine Zustimmung erfordere. So nennt Facebook seine Funktion, mit der Unternehmen Informationen über ihre Kund:innen bereitstellen, damit die Plattform diesen gezielte Werbung der Unternehmen ausspielt. Die Idee dahinter: Punktgenau jene erreichen, die eh schon mal im eigenen Shop eingekauft haben.

Dafür laden die teilnehmenden Unternehmen eine Liste mit den Kontaktdaten ihrer Onlineshop-Kund:innen bei Facebook hoch. „Vor der Verwendung versieht Facebook diese Informationen mit einem Hash“, also einer Art kryptografischem Fingerabdruck, der unverwechselbar einem Kundenprofil zugeordnet werden kann, beschreibt der Konzern das Vorgehen. Dann gleicht er die Kundenlisten mit existierenden Facebook-Profilen ab, sodass den Profilen mit Übereinstimmungen personalisierte Werbung für den jeweiligen Onlineshop angezeigt wird.

Sind die Daten damit ausreichend geschützt? Auch die Umwandlung der persönlichen Daten in Hashwerte vor dem Abgleich anonymisiere die Daten nicht, sagte 2019 die bayerische Datenschutzbeauftragte Kristin Benedikt in einem Interview mit netzpolitik.org. Schließlich gebe es mittlerweile viele Möglichkeiten, Hashwerte wieder zurückzurechnen und die dahinterstehenden Informationen erkenntlich zu machen.

Lidl teilt die Daten laut seiner neuen Bestimmungen neben Facebook mit „anderen Werbeplattformen“, die das Unternehmen in den Datenschutzbedingungen nicht weiter benennt. Erst auf unsere Anfrage teilt Lidl mit, dass es für personalisierte Werbung auch mit Google und den beiden Online-Vermarktern United Internet Media und Addition/Active Agent zusammenarbeitet. United Internet betreibt unter anderem die Portale 1&1, web.de und GMX.

Der LfDI Baden-Württembergs ist der Meinung, dass in den Datenschutzbestimmungen grundsätzlich alle Empfänger personenbezogener Daten genannt werden müssten. „Ebenso muss informiert werden, welche Daten genau für welche Zwecke (auch die Zwecke der Plattformen) verarbeitet werden.“

Nun werde man auf Lidl zugehen, um die Rechtslage zu besprechen, heißt es von der Datenschutzbehörde aus Stuttgart. „Über weitere Maßnahmen werden wir im Anschluss entscheiden.“


Der Bundestag hat die beiden Staatstrojaner-Gesetze angenommen. Das neue Verfassungsschutz-Recht erlaubt allen 19 deutschen Geheimdiensten die „Quellen-TKÜ plus“. Was die Große Koalition als Sicherheitsgewinn feiert, schafft neue Sicherheitsrisiken und ist möglicherweise verfassungswidrig.

Der Bundestag hat gestern mit einer Mehrheit von 355 Stimmen aus CDU/CSU und SPD das Gesetz zur Anpassung des Verfassungsschutzrechts angenommen. Es erlaubt allen 19 Geheimdiensten Geräte wie Smartphones oder Computer mit Staatstrojanern zu hacken. Alle Oppositionsparteien haben das Gesetz zuvor heftig kritisiert und dagegen gestimmt. Aus dem namentlichen Abstimmungsergebnis wird deutlich, dass auch fünf Mitglieder der SPD-Fraktion gegen das Gesetz stimmten, drei enthielten sich. 34 Abgeordnete der Regierungsparteien gaben keine Stimme ab, darunter auch die SPD-Abgeordnete  Daniela de Ridder (Bad Bentheim).

Bereits am Dienstagabend hatte sich die Große Koalition auf einen Änderungsantrag geeinigt. Mit dem Gesetz bekommen die Verfassungsschutzämter auf Bundes- und Länderebene, der Militärische Abschirmdienst und der Bundesnachrichtendienst die Erlaubnis, Geräte zu hacken um Kommunikation auszulesen.

Außerdem verpflichtet das Gesetz Internet-Provider, bei der Installation von Schadsoftware zu helfen. Andere Telekommunikationsanbieter wie Messenger- oder E-Maildienste sind davon ausgenommen. Die G-10-Kommission soll um sechs Richter:innen verstärkt die Fälle kontrollieren, in denen Staatstrojaner zum Einsatz kommen.

Die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ), auch „kleiner Staatstrojaner“ genannt, bedeutet, dass Behörden Schadsoftware auf Geräten installieren und ab diesem Zeitpunkt laufende Kommunikation überwachen. Der große Staatstrojaner, die „Online-Durchsuchung“, leitet nicht nur laufende, sondern auch gespeicherte Daten aus – zum Beispiel ältere Chatnachrichten, die vor der Installation der Schadsoftware gesendet und empfangen wurden.

Bei der nun beschlossenen Verfassungsschutzrechts-Novelle handelt es sich um einen Kompromiss aus kleinem und großem Staatstrojaner: die „Quellen-TKÜ plus“. Diese ermöglicht den Zugriff auf laufende Kommunikation plus die Kommunikation, die vor Installation der Schadsoftware, aber nach Anordnung der Überwachungsmaßnahme stattgefunden hat.

Ursprünglich wollte Innenminister Horst Seehofer mit seinem ersten Gesetzentwurf im März 2019 den großen Staatstrojaner für BND und Verfassungsschutz durchsetzen. Damals stieß das noch auf heftige Kritik beim Koalitionspartner SPD. Die Parteivorsitzende Saskia Esken sagte, sie lehne Staatstrojaner ab, die SPD werde das Vorhaben der Union nicht unterstützen.

Der zweite Gesetzentwurf des Innenministeriums im Juni 2019 sah dann den kleinen Staatstrojaner vor – aber für alle 19 Geheimdienste. Und die Kritik der SPD verstummte mehr und mehr: Im Oktober 2020 setzte sich das Innenministerium mit seinem Vorschlag durch und die Koalition einigte sich, alle Geheimdienste mit Staatstrojanern auszustatten.

Viele Sachverständige und Jurist:innen schätzen die Quellen-TKÜ als verfassungswidrig ein, da sie weit in die Grundrechte eingreift. Die Gesellschaft für Freiheitsrechte erwägt, gegen die Regelung zu klagen. Gegen andere Gesetze, die den Einsatz von Staatstrojanern erlauben, laufen bereits Verfahren vor dem Bundesverfassungsgericht.

Auch die Organisation Reporter ohne Grenzen kündigte gestern an, mit dem Berliner Rechtsanwalt Prof. Niko Härting Verfassungsbeschwerde einzulegen. Sie sieht die Pressefreiheit und den digitalen Quellenschutz durch das Gesetz bedroht. „Einen so massiven Angriff auf die Vertraulichkeit journalistischer Recherchen und die Anonymität von Quellen dürfen wir nicht hinnehmen“, so Geschäftsführer Christian Mihr.

Kritik an den Staatstrojanern vereint auch internationale Tech-Konzerne wie Google und Facebook mit zivilgesellschaftlichen Organisationen wie dem Chaos Computer Club, die sich in einem offenen Brief gegen diese Form von Überwachung wehren.

Die Unionsfraktion begründet den Einsatz von Staatstrojanern damit, dass man den Verfassungsschutz so auf den Stand der Technik bringe. „Als die Leute sich noch mit Rauchzeichen oder Topfschlagen verständigt haben, da konnte jeder mithören“, so der CDU Abgeordnete Mathias Middelberg (Osnabrück) in der Aussprache im Bundestag. Die Quellen-TKÜ plus sei einfach „die Anpassung an technische Verhältnisse“ und wichtig, um Terrorismus abzuwehren und die innere Sicherheit zu verbessern.

Es sei „ein guter Tag für die Sicherheit in Deutschland“, meinte der CSU-Abgeordnete Michael Kuffer im Bundestag. „Ein massives Sicherheitsproblem, was sie hier veranstalten“, nannte es der Grünen-Abgeordnete Konstantin von Notz. Auch Stephan Thomae von der FDP warnte vor dem Sicherheitsrisiko, das Staatstrojaner mit sich bringen.

Um Staatstrojaner zu installieren, müssen Behörden IT-Sicherheitslücken auf Geräten ausnutzen. Es entsteht also ein Anreiz, bekannte Sicherheitslücken offen zu halten. Und das kann der inneren Sicherheit mehr schaden als nützen.

Dieses Problem kennt die SPD-Parteivorsitzende Esken. Sie schrieb noch am Tag vor der Abstimmung, dass sie die beschlossenen Mittel falsch findet, denn sie „schaden der Idee demokratischer Netze und unser aller Sicherheit.“ Sie stimmte aber im Bundestag nicht dagegen, sondern gab gar keine Stimme zu dem Gesetz ab. Die Jugendorganisation der SPD versuchte kurz vor der Abstimmung mit einem offenen Brief, die Bundestagsfraktion von ihrer Zustimmung zum Gesetz abzuhalten.

Vergeblich: Kurz vor dem Ende der Legislaturperiode haben SPD und Union gleich zweimal grünes Licht für Staatstrojaner gegeben. Denn auch für die Bundespolizei hat die Große Koalition den Einsatz von Staatstrojanern in dieser vorletzten Sitzungswoche des Bundestags ausgeweitet. Die Polizei darf die Überwachungsmethoden schon anwenden, wenn noch gar keine Straftat begangen wurde.


Ein Beitrag von (CC netzpolitik.org)

Fazze gegen Biontech

31. Mai 2021

Die Woche beginnt, aber nehmt Euch bitte ein paar Augenblicke für diesen @netzpolitk-Text:

Eine Londoner Agentur bietet nämlich Influencer:innen auf der ganzen Welt Geld an, damit sie falsche Behauptungen über den Impfstoff von Biontech/Pfizer verbreiten. Mehrere beißen an und veröffentlichen Videos. Recherchen von netzpolitik.org und dem ARD-Magazin Kontraste zeigen: Hinter der Kampagne steckt eine Werbefirma, die vor allem in Russland operiert.

Eine Scheinfirma mit besten Verbindungen nach Russland macht Stimmung gegen den Impfstoff von Biontech/Pfizer – aber weshalb?
Eine Scheinfirma mit besten Verbindungen nach Russland macht Stimmung gegen den Impfstoff von Biontech/Pfizer – aber weshalb? (Symbolbild) Gemeinfrei-ähnlich freigegeben durch unsplash.com Hakan Nural

Sein Video vom Freitag beginnt Ashkar Techy noch mit einem Zusammenschnitt aus lustigen Instagram-Filmchen, auf einmal ist das Bild schwarz. „Leute, bitte überspringt das jetzt nicht, ich habe etwas Wichtiges zu sagen“, wird eingeblendet. Dann überbringt der indische YouTuber seinen 500.000 Follower:innen von seinem Gaming-Stuhl aus eine Botschaft, die dramatisch klingt: Die Sterblichkeitsrate von Menschen, die den Impfstoff von Biontech und Pfizer erhalten haben, sei um ein Vielfaches höher als die von Menschen, die mit Astrazeneca geimpft wurden. Dazu blendet er eine Tabelle ein, die der Überschrift zufolge Impftote in Ländern auf der ganzen Welt auflistet.

Auch Everson Zoio, ein Influencer aus Brasilien, teilt am Donnerstag die scheinbare Schocknachricht. Er lässt sich dabei mit einer Sonnenbrille am Steuer eines Autos filmen und beruft sich auf einen Artikel, dessen Titel behauptet, ein Impfstoff könne einen schneller töten als das Coronavirus, und dazu eine schaurige Statistik präsentiert.

Die jungen Männer trennen 15.000 Kilometer, aber es ist kein Zufall, dass sie nun beide über dieses Thema sprechen. Ashkar Techy und Everson Zoio haben denselben Werbekunden. Bei den Videos vergangene Woche arbeiten sie nicht zum ersten Mal für ihn, aber so brisant wie diesmal war es wohl noch nie. Diesmal sind sie Teil einer weltweiten Desinformationskampagne. Sie ist ein Angriff auf den Ruf des in Deutschland entwickelten Impfstoffs von Biontech/Pfizer. Um ihr Ziel zu erreichen, haben geheime Auftraggeber Influencer:innen auf der ganzen Welt Geld angeboten – auch in Frankreich und in Deutschland.

Gemeinsame Recherchen von netzpolitik.org und dem ARD-Magazin Kontraste zeigen nun, wie sie dabei vorgegangen sind. Wir konnten den geschützten Bereich auf der Website einer Londoner PR-Agentur einsehen, die penible Anweisungen für die Verbreitung der Behauptungen erteilte. Ihre Spur führt zu einer Scheinfirma mit besten Verbindungen nach Russland. Deutsche Sicherheitsbehörden nehmen den Fall offenbar ernst.

Die Umsetzung der Kampagne beginnt mit einer E-Mail. Verfasser ist ein Mitarbeiter von Fazze, der Agentur in Großbritannien. Der Mann schreibt auf Englisch, er engagiere sich in einer Informationskampagne über Coronavirus-Impfstoffe. Ein Datenleck habe eine signifikante Anzahl von Todesfällen nach der Impfung von Pfizer gezeigt. Wie viel es wohl kosten würde, einen Link zu teilen?

Empfänger dieser E-Mail, wie sie offenbar an zahlreiche Influencer:innen ging, ist auch der Journalist Mirko Drotschmann, bekannt für seinen YouTube-Kanal „MrWissen2go“ mit rund 1,5 Millionen Abonnent:innen. „Ich war überrascht darüber, wie plump diese Anfrage war“, sagt er. „Man hat gemerkt, dass die Agentur sich überhaupt nicht über die Person informiert hat, die sie angeschrieben hat.“ Es passiere immer wieder, dass Influencer dubiose Anfragen erhielten. „Aber dass man Geld angeboten bekommt, um Falschnachrichten zu verbreiten, ist eine völlig neue Dimension.“

Drotschmann hat kein Interesse daran, sich auf das dubiose Angebot einzulassen, aber er ist neugierig geworden. Er twittert einen Screenshot der E-Mail und stellt eigene Nachforschungen, erkundigt sich, wer die Influencerkampagne bezahle. Aber der Mitarbeiter will keine Auskunft darüber geben, er schreibt, es handele sich dabei um eine „streng vertrauliche“ Information.

Spielanleitung für Desinformation

Wer die Verbreitung von Desinformation zurückverfolgen will, hat vor allem ein Problem: Kampagnen fallen in der Regel erst auf, wenn sie bereits Auswirkungen haben. Weil Spuren verwischt wurden, bleibt ihr Ursprung meistens im Verborgenen, wer eine Falschbehauptung gestreut hat, höchstens ansatzweise nachvollziehbar. Im Fall der Fazze-Kampagne ist das anders.

Auf der Website von Fazze gibt es einen geschützten Bereich, Zugang erhält nur, wer ein Passwort kennt. netzpolitik.org und Kontraste konnten diese Unterseite einsehen, wie sie auch eingeloggten Influencer:innen angezeigt wird. Sie enthält eine umfangreiche Anleitung, wie die YouTuber:innen vorgehen sollen, wenn sie die Desinformation teilen.

„Verwenden Sie keine Wörter wie ‚Werbung‘, ‚gesponsertes Video‘ usw. in Ihren Beiträgen, Geschichten und Videos!“, heißt es etwa – ein Vorgehen, das in Deutschland klar gegen die Kennzeichnungspflicht von Werbung verstoßen würde.

Was Fazze von den Influencer:innen verlangt, ist ein Aufruf, ihre Follower:innen in den sozialen Medien gezielt in die Irre zu führen: „Tun Sie so, als hätten Sie die Leidenschaft und das Interesse an diesem Thema. Präsentieren Sie das Material als Ihre eigene, unabhängige Sichtweise.“

Echte Zahlen, aber eine falsche Darstellung

Im Zentrum der Kampagne steht eine Tabelle, die vermeintlich die Zahl der Impftoten abbildet. In Deutschland sollen umgerechnet auf eine Million Dosen 29,9 Menschen infolge einer Impfung mit Biontech/Pfizer gestorben sein, 6,5 Menschen durch Astrazeneca. Das Problem daran: Die Zahlen sind echt, aber ihre Darstellung ist falsch.

Das Paul-Ehrlich-Institut (PEI) bezeichnet die Tabelle, wie Fazze sie verbreitet hat, gegenüber netzpolitik.org und Kontraste als grob irreführend. Die Zahlen für Deutschland, die offensichtlich auf öffentlich zugänglichen Daten des PEI von Anfang April beruhen, sagen in Wahrheit gar nicht aus, wie viele Menschen durch eine Impfung gestorben sind, wie es in der Überschrift behauptet wird, sondern lediglich, wie viele Menschen innerhalb von 40 Tagen nach der Impfung gestorben sind.

Ein Zusammenhang zwischen den Impfungen und den Todesfällen ist damit unbelegt, obgleich die Fazze-Kampagne einen solchen als Tatsache darstellt. Hinzu kommt, dass die nach einer Impfung Verstorbenen im Schnitt älter als 80 Jahre waren – also altersbedingt ein deutlich erhöhtes Risiko hatten, aus natürlichen Gründen zu sterben.

„Gäbe es einen Hinweis auf eine erhöhte Sterblichkeit nach Impfung mit einem Impfstoff und damit ein Sicherheitssignal, würde dieses nachverfolgt und untersucht“, schreibt das PEI uns.

Dennoch nutzt Fazze diese aus dem Zusammenhang gerissenen Daten, um nun auch jungen Menschen Angst vor einer Impfung zu machen. In den Tagen vor der E-Mail des Fazze-Mitarbeiters wurde die Tabelle auf einer Reihe von Plattformen hochgeladen, darunter Reddit und Medium. Die dafür verwendeten Benutzerkonten sind offenbar erst kurz davor erstellt worden, sie tragen bizarre Namen wie „Heuristic Leavitt“ oder „Keith Farrow George Koch“. In ihren englischsprachigen Beiträgen verweisen die Autor:innen auf weitere Artikel, die ihre Darstellung stützen sollen, in Wahrheit aber Teil desselben Netzwerks sind.

In einem der Texte wird dazu aufgerufen, unter keinen Umständen den Impfstoff von Pfizer zu nehmen. Ein anderer nimmt Bezug auf die vermeintliche Herkunft der Daten: ein angebliches Datenleck bei Astrazeneca. Das Unternehmen distanziert sich von dieser Behauptung. „Wir verurteilen auf das Schärfste jede Initiative, die darauf abzielt, das Vertrauen in Impfstoffe zu untergraben“, so eine Sprecherin.

Doch Fazze legt nach. Den vermeintlichen Täter setzen die Verfasser:innen mit einem Superhelden gleich. „Der Hacker ist wie ein freundlicher Nachbar, ein Spiderman im World Wide Web.“

Spiderman im World Wide Web

Auch Ashkar Techy und Everson Zoio werden diese Beiträge mit der Impftoten-Tabelle später verlinken. „Sagen Sie, dass diese Information in der berühmten französischen Publikation ‚Le Monde‘ veröffentlicht wurde“, lautet dennoch die Anweisung.

Der Verweis auf die Zeitung soll die Desinformation womöglich glaubwürdiger machen. Fazze hat den Artikel als Quelle verlinkt, aber nur wer Französisch versteht, merkt: Der Text hat nichts mit den angeblich gerade bei Astrazeneca geleakten Zahlen zu tun, sondern ist bereits im Januar erschienen.

Der Text beruht auf Dokumenten, die bei einem Hackerangriff auf die Europäische Arztneimittelagentur (EMA) in Amsterdam am 9. Dezember erbeutet wurden. Einem Bericht von WDR und BR zufolge gehen niederländische Ermittlungsbehörden davon aus, dass ein staatlicher Akteur die Attacke verübt hat – mit einem geheimdienstlichen oder militärischen Hintergrund.

„Le Monde“ zufolge zeigen die Dateien, unter welchem Druck die EMA gestanden habe, den Impfstoff von Biontech und Pfizer zuzulassen. Ende Dezember waren sie im Darknet in einem russischen Hacking-Forum aufgetaucht. Die Überschrift des dortigen Beitrags ließ wenig Zweifel an der Motivation hinter der Veröffentlichung. Reißerisch war da die Rede von angeblichen „Beweisen für den Big-Data-Scam der Impfstoffe von Pfizer!“

Doch die bei der EMA geleakten Dokumente, die netzpolitik.org und Kontraste vorliegen, enthalten keine solchen Beweise. In einer Pressemitteilung gab die EMA zudem an, die Angreifer:innen hätten das Material nur teilweise veröffentlicht und es so ausgewählt, dass es dazu geeignet sei, das Vertrauen in die Impfstoffe zu untergraben.

Augenscheinlich sollte der Eindruck erweckt werden, beim Impfstoff von Biontech/Pfizer gebe es massive Probleme. Damit deutet einiges darauf hin, dass die unbekannten EMA-Angreifer:innen ein ähnliches Ziel verfolgt haben könnten wie der Auftraggeber der Kampagne, für die Fazze jetzt Influencer:innen engagiert hat.

Eine Fassade aus Backstein

Die Agentur hat ihren Sitz laut Angaben auf ihrer Website in einem Backsteinbau im Londoner Stadtteil Fitzrovia (Foto lks.). An der Adresse sind im britischen Handelsregister weit über hundert Firmen gelistet, doch Fazze ist keine davon. Offenbar ist die vorgebliche Firma noch nicht einmal angemeldet.

Ein Mann namens Vyacheslav Usoltsev, der im Karrierenetzwerk LinkedIn als Geschäftsführer der Agentur auftritt, ließ eine Anfrage von netzpolitik.org und Kontraste unbeantwortet. Nach eigener Darstellung arbeitet Usoltsev von Moskau aus. Auch alle vier Firmenkunden, die Fazze auf der Website eingeloggten Influencer:innen als potenzielle Auftraggeber präsentiert, haben erkennbare Bezüge zu Russland. Es handelt sich dabei um Unternehmen aus dem Technologiebereich sowie Plattformen, die den Handel mit einer Form von Finanzderivaten anbieten, wie er in Deutschland verboten wäre.

Vieles spricht dafür, dass Fazze lediglich eine Fassade ist, die verdecken soll, wer wirklich hinter mitunter fragwürdigen Influencerkampagnen steckt. Mehrere Internetdomains, über welche die Agentur ihre Geschäfte betreibt, gehören laut einer Datenbank des IT-Sicherheitsunternehmens RiskIQ eigentlich einer anderen Firma mit dem Namen AdNow.

Recherchen von netzpolitik.org und Kontraste ergeben zudem, dass auch E-Mails, die an Fazze adressiert sind, zu AdNow umgeleitet wurden. Der angebliche Fazze-Geschäftsführer Vyacheslav Usoltsev hat seinem LinkedIn-Profil zufolge in der Vergangenheit für AdNow gearbeitet. Und selbst beim genannten Fazze-Sitz in Fitzrovia gibt es eine Überschneidung: 2014 wurde hier AdNow gegründet.

Niemand, der gefunden werden will

Auf seiner Firmenwebsite schreibt AdNow, das Unternehmen sei das Produkt von Nerds, die ein neues „natives Werbeformat“ entwickelt hätten. Der Ansatz nativer Werbung ist es, möglichst nicht als Werbung wahrgenommen zu werden – statt klassischer Anzeigen preisen etwa Artikel oder Videos ein bestimmtes Produkt an. Es ist eine ähnliche Herangehensweise, wie sie auch Fazze bei der Desinformationskampagne verfolgt: Wer die Videos der Influencer:innen schaut, soll am besten gar nicht merken, dass es sich dabei um bezahlte Botschaften handelt.

Gründer und Geschäftsführer von AdNow sind zwei Männer und wieder scheint einer von beiden Wurzeln in Russland zu haben: Stanislav Fesenko. Bis 2017 lebte der heute 39-Jährige dem britischen Handelsregister zufolge in Moskau, dann meldete er eine Adresse in Budapest. Fesenko ist dem Anschein nach niemand, der gefunden werden will. Kaum etwas ist über seine Biografie bekannt, umso mehr hingegen über seine Geschäfte.

Seit Jahren taucht sein Name in Verbindung mit einer Reihe von Firmen auf, die im Werbegeschäft tätig oder in den Handel mit Finanzderivaten verwickelt sind. Vor Jahren versuchte er sich als Entwickler eines Videospiels, wie man einem Beitrag in einem Internetforum entnehmen kann. Zuletzt war er laut in einer Domaindatenbank hinterlegten Angaben in die Arbeit einer Beratungsfirma verwickelt, die aus Ungarn heraus Menschen mit russischem Pass eine Aufenthaltsgenehmigung in der EU beschaffen wollte – für 10.000 Euro pro Kopf.

Viele von Fesenkos Firmenwebsites sind noch immer abrufbar, gelistet sind dort auch Telefonnummern, die in den meisten Fällen eine russische Ländervorwahl haben. Ruft man dort an, nimmt niemand ab oder der Anschluss wurde längst abgeschaltet. Als bei AdNow doch einmal jemand den Hörer abnimmt, wird aufgelegt, sobald wir Fesenkos Namen nennen.

Auf Fragen, die wir ihm per E-Mail schicken, antwortet der AdNow-Chef nicht. Damit lässt er offen, ob der geheime Auftraggeber der Desinformationskampagne zu Biontech/Pfizer wie schon die übrigen bekannten Fazze-Kunden aus Russland kommt.

Eine Kampagne wie aus dem Lehrbuch

Es wäre nicht das erste Mal, dass aus Russland Zweifel an westlichen Impfstoffen befeuert werden. Das Land hat mit „Sputnik V“ seinen eigenen Impfstoff entwickelt (Foto lks), kommt mit der Verabreichung der Dosen aber nur langsam voran. Ein offizieller „Sputnik V“-Account auf Twitter schießt seit geraumer Zeit gegen die westliche Konkurrenz, auch mit bezahlten Anzeigen. Wie der BR berichtete, ist an der Kampagne hinter diesem Twitter-Account ein Investmentfonds beteiligt, der dem russischen Staat gehört.

Am 23. April twitterte „Sputnik V“ etwas, das der Fazze-Kampagne auf den ersten Blick erstaunlich ähnelt: Eine eigene Studie habe gezeigt, dass es signifikant mehr Todesfälle nach einer Impfung mit Biontech/Pfizer gebe als mit Astrazeneca. Unheilvoll fragten die Verfasser:innen, ob „die EU-Medien“ dies noch immer verschweigen könnten.

Fazze erteilte Influencer:innen die Anweisung: „Sagen Sie, dass die Mainstream-Medien dieses Thema ignorieren.“

Felix Kartte von der Initiative Reset zufolge ist es schwierig, zu beurteilen, ob der Kreml hinter der Fazze-Kampagne stehe. Sie entspreche jedoch geradezu lehrbuchartig Taktiken, die man während der Pandemie beobachtet habe. Häufig konzentriere sich Russland auf Themen, die das Potenzial hätten, Angst zu schüren und Gesellschaften zu spalten. „Es ist überhaupt nicht unüblich, dass der Kreml PR-Agenturen beauftragt. Ein Grund dafür ist, dass das die Zuordnung schwieriger macht – und der Kreml selbst seine eigene Autorenschaft gut verschleiern kann.“

Der außenpolitische Sprecher der Grünen-Fraktion im Bundestag Omid Nouripour sieht einen eindeutigen Nutznießer derartiger Kampagnen. „Das Schlechtreden der Impfstoffe im Westen unterminiert das Vertrauen in unsere Demokratien und soll das Vertrauen in die Impfstoffe Russlands erhöhen und da gibt es nur eine Seite, die etwas was davon hat und das ist der Kreml.“

Behörden sind alarmiert

Das Bundesinnenministerium (BMI) ist auf den Fall aufmerksam geworden. Dort beschäftigt man sich mit sogenannten hybriden Bedrohungen, unter welche die mögliche Einflussnahme fremder Staaten fällt. Nach Informationen von netzpolitik.org und Kontraste haben die Sicherheitsbehörden damit begonnen, zu den Hintergründen der Desinformationskampagne zu ermitteln.

Auch in Frankreich hat der Fall Wellen geschlagen, auch dort hatte Fazze mehrere Influencer:innen kontaktiert – unter anderem den YouTuber Léo Grasset, der eine E-Mail der Agentur öffentlich machte. Ein angehender Arzt, der einen großen Instagram-Account betreibt, gibt an, er sei ebenfalls kontaktiert worden. 2000 Euro seien ihm für eine Teilnahme an der Kampagne geboten worden, schrieb er auf Twitter.

Nachdem französische Medien über den Fall berichtet hatten, äußerte sich Gesundheitsminister Olivier Véran. Gegenüber dem Fernsehsender BMFTV bezeichnete er das Vorgehen als „armselig, gefährlich und verantwortungslos“.

Der brasilianische YouTuber Everson Zoio hat sein Video stillschweigend gelöscht, schriftliche Fragen von netzpolitik.org und Kontraste zu seiner Beteiligung an der Kampagne beantwortete er nicht. Auch der indische Influencer Ashkar Techy hat reagiert. Sein Video mit den lustigen Instagram-Filmchen ist nun exakt 60 Sekunden kürzer, die ach so wichtige Botschaft an seine Abonnent:innen hat er einfach rausgeschnitten. Wahrgenommen haben dürften sie früheren Abrufzahlen zufolge dennoch Hunderttausende.


„…Karl-Heinz T., Parteimitglied, hat gerade Bauland gekauft“

Die Aktivistin Lilith Wittmann hat in der vergangenen Woche mehrere gravierende Sicherheitslücken in Wahlkampf-Apps gefunden. Im Interview erzählt sie, wie einfach sie tausende Datensätze mit Informationen zu Alter, Geschlecht und politischer Meinung finden konnte und was sie daran am meisten bestürzt. Übrigens: Die CDU hat ihre Wahlkampf-App erstmal offline genommen.

Haustürdaten werden in Wahlkampf-Apps gespeichert
Hinter welcher Tür steckt welche politische Meinung? Das dürfen die Apps eigentlich nicht erfassen. Gemeinfrei-ähnlich freigegeben durch unsplash.com Christian Stahl

Schon zur Bundestagswahl 2017haben verschiedene Parteien eigene Apps für den Haustürwahlkampf eingesetzt. Darin können Wahlkampfhelfer:innen beispielsweise eintragen, an wie vielen Türen sie schon geklingelt haben und an wie vielen ihnen geöffnet wurde. In der App „CDU-connect“ ließen sich auch weitere Informationen wie Alter, Geschlecht und politische Gesinnung speichern. Seit vergangener Woche ist die App offline. Die Aktivistin und Hackerin Lilith Wittmann hatte mehrere Sicherheitslücken gefunden, die es genauso auch bei den baugleichen Wahlkampf-Apps der CSU, der Österreichischen Volksparteiund der Schweizer CVP gab.

Allein durch die Lücke in der CDU-App standen Wittmann zufolge über 100.000 Datensätze zu besuchten Personen sowie die Daten von über 18.000 Wahlkampfhelfer:innen und mehr als 1.000 potenzielle Unterstützer:innen seit vier Jahren relativ ungeschützt im Netz. Im Interview hat sie uns von den Hintergründen ihrer Recherche erzählt und erklärt, warum sie den Wahlkampf mit Daten so bedenklich findet.

„Ich hätte nicht erwartet, dass es so einfach ist“

netzpolitik.org: Die größte Sicherheitslücke, die du in der CDU-Connect-App gefunden hast, ermöglichte es dir, über die Programmierschnittstelle auf die Datensätze zu gespeicherten Hausbesuchen zuzugreifen. Warst du überrascht, als du das gemerkt hast?

Lilith Wittmann: Ich hätte nicht erwartet, dass es so einfach ist, über die Objektdatenbank an die Daten zu kommen, die dort eigentlich gar nicht gedacht waren. Als ich…

[weiter bei netzpolitk.org]

Apples neue AirTags sollen beim Finden verlorengegangener Gegenstände helfen. Kritiker:innen bemängeln jedoch mangelhaften Datenschutz und Sicherheit. Das Produkt biete zu wenig Schutz gegen einen möglichen Einsatz als Überwachungsinstrument.

Eine Hand vor rot-schwarzem Hintergrund, die ein AirTag hält.
AirTags dienen zur Lokalisierung von Gegenständen, würden jedoch auch Tracking von Personen ermöglichen. Gemeinfrei-ähnlich freigegeben durch unsplash.com Onur Binay

Apple-Nutzer:innen können seit kurzem AirTags als Zubehör für das iPhone kaufen. Wer ein iPhone besitzt, kann das kleine Gadget beispielsweise an Handtasche oder Rucksack befestigen. Mithilfe der App „Wo ist?“ können Nutzer:innen auf einer Karte verlorengegangene Gegenstände ausfindig machen. Laut Apple seien die Standortdaten anonymisiert und mit einem „Höchstmaß an Schutz der Privatsphäre“ versehen. Man habe bei dem Entwurf des Produkts sorgfältig darauf geachtet, wie man Datenschutz richtig umsetzen könne, sagte Apple iPhone Marketing-Managerin Kaiann Drance.

Dennoch gibt es Kritik an den Sicherheitsmaßnahmen des neuen Produktes. Denn AirTags erlaubten durch ihre Design-Mängel „günstiges, effektives Stalking“, schreibt die Washington Post. Auch das National Network to End Domestic Violence (NNEDV) sieht in AirTags ein „besorgniserregendes Überwachungstool“, das Täter:innen für die heimliche Verfolgung von Partner:innen missbrauchen könnten. Einem deutschen Sicherheitsforscher mit dem Pseudonym Stack Smashing ist es nach eigenen Angaben sogar gelungen, den AirTag zu hacken und die Software zu manipulieren.

Sicherheitsmaßnahmen weisen Lücken auf

Zwar hat Apple Funktionen wie Alarm-Ton und Benachrichtigung in sein neues Produkt implementiert, um potentielle Opfer vor Stalking zu warnen. Jedoch seien diese Maßnahmen laut Washington-Post-Journalist Geoffrey Fowler leicht zu umgehen. Er ließ sich für einen Test eine Woche lang mit einem im Rucksack platzierten AirTag begleiten. Mithilfe der zugehörigen App und vom Gadget ausgehenden Bluetooth-Signalen habe der mit dem AirTag verbundene Nutzer über eine Karte einsehen können, wo sich Fowler befindet. Bei Bewegung reichte die Lokalisierung bis auf etwa einen halben Block. Dabei sollten laut Apple vom AirTag gesendete, häufig wechselnde Bluetoothsignalkennungen eine unerwünschte Standortverfolgung verhindern.

Auch andere Anti-Stalking-Maßnahmen seien unzureichend. Ein kurzer und nicht sehr lauter Alarm-Ton sei ertönt, nachdem der AirTag drei Tage lang vom Besitzer getrennt war. Fowler schreibt: „Drei Tage zu warten, um ein Opfer zu alarmieren, ermöglicht eine Menge Stalking.“ Was zumindest im Falle von Stalking helfe, sei die jeweilige Seriennummer des AirTags. Apples Marketing-Managerin Drance erklärt im Interview mit Fast Company, dass man bei Verdacht damit zumindest nach geltender US-Rechtslage für eine strafrechtliche Verfolgung die Identität von Täter:innen mithilfe der Apple ID feststellen könne, mit der auch der AirTag verbunden ist. Auch in Deutschland ist gerade im Netz immer noch eines der Hauptprobleme die Identifikation von Täter:innen, um diese vor Gericht zu bringen.

Stalkende Partner:innen nicht bedacht

In einem Interview mit dem Medium Fast Company erläutert Corbin Streett, Technologie-Sicherheitsexperte von NNEDV, Apple habe zwar die Möglichkeit des Stalking durch eine fremde Person auf der Straße bedacht, jedoch nicht zu Hause. Da der Alarm-Ton nur angeht, wenn der AirTag drei Tage lang nicht in der Nähe des zugehörigen iPhones ist, könnten Täter:innen zu Hause den Alarm-Countdown jede Nacht neu setzen. In der App können Alarme zudem ohne PIN- oder Passworteingabe einfach deaktiviert werden. Zusätzlich seien nicht alle Maßnahmen für Android-Nutzer:innen verfügbar. Eine schriftliche Warnmeldung bekommen beispielsweise nur iPhone-Nutzer:innen, die mindestens iOS 14.5 nutzen.

Streett betont daher, Apple hätte mit Google zusammenarbeiten können, um zumindest die gleichen Sicherheitsstandards für alle Nutzer:innen von AirTags zu garantieren. Auf die Frage von netzpolitk.org, ob Apple bereits an den Datenschutz- und Sicherheitsmaßnahmen arbeitet, antwortete das Unternehmen bisher nicht.

In Deutschland hat die Bundesregierung den Stalkingparagrafen vor kurzem verschärft, um auch Fälle von digitalem Stalking besser erfassen zu können. Allerdings landen nach wie vor viele Fälle nicht vor Gericht, weil Täter:innen nicht ermittelt werden können. Gerade zu den Formen digitaler Gewalt und zur Anzahl betroffener Personen gibt es hierzulande so gut wie keine Erkenntnisse. In der Kriminalstatistik wird zwar Stalking erfasst, Cyberstalking ist jedoch kein eigener Straftatbestand. Expert:innen gehen zudem von einer hohen Dunkelziffer aus. Verbände und Politikerinnen wie Anke Domscheit-Berg fordern daher seit einiger Zeit mehr Forschung und Studien zu dem Thema.


Ein Beitrag auf netzpolitk.org von , Creative Commons BY-NC-SA 4.0.

stümperhafter Einkauf

25. April 2021

Ralf Rottmann („@falf“ ist ehemaliger Tech-Startup-Gründer, Angel Investor und hat eine Leidenschaft für netzpolitische Themen. Es ist ein vehementer Kritiker von Luca und betreibt auf luca.denken.io eine Übersicht der Nutzung durch die Gesundheitsämter. Er wirft in einem Gastbeitrag auf netzpolitk.org den Bundesländern stümperhaften Einkauf vor.

Die meisten Bundesländer haben bereits Verträge mit Luca unterschrieben. Ralf Rottmann fragt, warum sie für eine Jahreslizenz der App bereits vorab und pauschal Millionen von Euro an das junge Unternehmen zahlen – statt auf nutzungsabhängige Preismodelle zu bestehen, wie sie in der Branche üblich sind.

Dank kräftiger Werbung durch den prominenten Investor Smudo konnte das frisch gegründete Start-up culture4life binnen wenigen Monaten über 20 Millionen Euro an Steuergeldern von unterschiedlichen Bundesländern einsammeln.

Zu Beginn dieser Woche versandte die culture4life GmbH einen elektronischen Rundbrief. Dafür nutzten die Luca-Macher den US-amerikanischen Dienst Mailjet. Bis zu 6.000 E-Mails pro Monat kosten dort nichts. Bis zu 30.000 gibt es ab 8 Euro im Monat.

Beim Einkauf von IT-Dienstleistungen setzt Luca konsequent auf nutzungsabhängige Preismodelle, die entlang der Strategie des „pay as you grow“ als Software-as-a-Service (SaaS) bezeichnet werden. Die Kundin wird erst dann zur Kasse gebeten, wenn der Service auch wirklich nennenswert genutzt wird.

Umso verwunderlicher ist es, dass Luca die Vorteile aus dem eigenen, bedarfsgerechten Einkauf von Ressourcen und Dienstleistungen nicht an die Steuerzahler weitergibt. Nicht nur verwunderlich, sondern in höchstem Maße ärgerlich ist, dass die Einkäufer in den Bundesländern dieses Modell nicht hart eingefordert haben.

Die Sorglosigkeit, mit der Steuergelder in der Causa Luca zum Kauf von Lizenzen verwendet werden, erklärt die immer lauter werdenden Zweifel an der Einhaltung von Vergaberichtlinien.

SaaS-Modelle sind beim Einkauf von IT-Diensten inzwischen aus gutem Grund Standard:

Nutzungsabhängige Preismodelle verteilen das Risiko gleichermaßen auf Verkäuferin und Käufer. Ist der Käufer mit einem Dienst erfolgreich, partizipiert auch der Verkäufer anteilig. Bleibt der Service, zum Beispiel mangels Qualität, aufgrund gravierender Sicherheitsprobleme, bei fehlendem tatsächlichem Nutzen oder einfach nur aufgrund einer Fehleinschätzung eines Marktes weitestgehend ungenutzt, stehen dem keine hohen Vorabinvestitionen auf Käuferseite gegenüber. Das Start-up Luca hat jedoch das gesamte Investitionsrisiko einseitig auf die Steuerzahler verteilt. Das bedeutet auch: Je weniger Luca sich durchsetzt, umso höher der Profit für die Investoren, weil sie umso weniger tatsächliche Leistung erbringen und einkaufen müssen.

Zum guten Ton in jeder Einkaufsverhandlung gehört es, nach direkten Kontakten zu Referenzkunden zu fragen. Doch gerade junge Start-ups können oft keine lange Liste erfolgreicher Projekte aus der Vergangenheit vorweisen. Kauft man also die sprichwörtliche „Katze im Sack“, versteht es sich nahezu von selbst, dazu nicht auch noch übermäßig in Vorleistung zu gehen. Verständlich, dass Luca keine Erfahrungswerte ins Feld führen kann. Unverständlich, dass man dem Vertriebsteam vollständig blind und in vorauseilendem Gehorsam folgt.

Nutzungsabhängige Preismodelle unterstreichen das Vertrauen des Anbieters in die eigene Lösung. Verkäufer, die ihre Lizenzen gerne vollständig im Voraus bezahlen lassen, lösen bei geübten Einkäufern Alarmsirenen aus. Wer unabhängig vom tatsächlichen Nachweis des Wertes eines angebotenen Dienstes zügig und schnell Kasse machen will, glaubt wahrscheinlich selbst nicht an die Versprechen auf den eigenen PowerPoint-Folien. Zum guten Ton gehören in solchen Fällen dann zumindest längere Erprobungszeiträume, für die keine hohen Kosten anfallen. Von Luca sind öffentlich keinerlei Vereinbarungen zu kostenlosen Testphasen für die einkaufenden Bundesländer bekannt. Das Unternehmen kassiert anscheinend gern zügig per Vorkasse ohne Skonto.

SaaS zwingt den Anbieter zur transparenten Dokumentation der tatsächlichen Nutzung. Hängt der wirtschaftliche Erfolg des Verkäufers direkt am messbaren Mehrwert der geschaffenen Lösung, ist dieser intrinsisch motiviert, über die Nutzung kontinuierlich Auskunft zu erteilen. Alle IT-Systeme – auch solche, die vorgeben, Ende-zu-Ende-Verschlüsselung umzusetzen – liefern dazu verwendbare Metriken. Während die Schnittstellen des Luca-Systems eine verschwindend geringe Nutzung durch die Gesundheitsämter vermuten lassen (der Autor scraped diese Metriken von den Luca-APIs und tabelliert sie hier), hält sich der Anbieter selbst bedeckt. Fragen zu Anzahl der Check-ins, Anzahl und Verteilung von Kontaktverfolgungsanfragen und deren jeweiligem Erfolg oder nach der tatsächlich messbaren Effizienzsteigerung bei den Gesundheitsämtern beantwortet Luca nicht. Das wirft die Frage auf: Was gibt es zu verbergen?

In den 80er und 90er Jahren hörte man als Argument für vorab zu bezahlende Unternehmenslizenzen vom Verkauf häufig, damit würden anteilig die hohen Anfangsinvestitionen abgegolten. Selbst wenn man Luca eine geringfügige Vorleistung zugesteht – an Luca arbeiteten in dem 2020 gegründete Unternehmen nach eigenen Angaben erst seit einigen Wochen mehr als ein Dutzend Entwickler:innen – rechtfertigen sie in keiner Weise die steuerfinanzierte Investition nördlich der 20 Millionen Euro. Gleichzeitig macht das Luca-System bei unabhängigen Prüfungen und im Testbetrieb bei weitem nicht den Eindruck, bereits fertig zu sein.

Von Luca selbst ist bekannt, dass Vorleistungen konsequent in elastischen Preismodellen eingekauft werden. Dank des stümperhaften IT-Einkaufs durch einige Bundesländer wird das Geschäft für Luca also genau dann besonders profitabel, wenn es tatsächlich kaum jemand nutzt. In zahlreichen Bundesländern ist das Kind bereits in den Brunnen gefallen. Kaufen weitere Bundesländer Luca nutzungsunabhängig ein, darf man das durchaus als fahrlässig bezeichnen.


Ein Beitrag auf Netzpolitik.org – Creative Commons BY-NC-SA 4.0.