Trügerische Sicherheit

11. Februar 2018

Ein Fall für diesen Wintersonntag: Der frühere Bundesdatenschutzbeauftrage Peter Schaar kritisierte in einem gut einstündigem Vortrag auf dem 34C3 die Gesetzespakete jüngster Zeit, die nur vorgeblich unser aller Sicherheit dienen. Er argumentiert, dass Überwachung der Sicherheit sogar schadet. Ein Vortrag über Leviathane, Terror, Angst und Gesetzesaktionismus.

„Wer sich nicht einmischt, darf sich am Ende auch nicht beschweren“, sagt Peter Schaar zum Einstieg seines Vortrages beim Chaos Communication Congress und verwies auf den Brexit. „Das hätte nicht sein müssen!“, dachten sich wohl viele Briten als das Ergebnis bekannt wurde. Wir hingegen, so Schaar, stehen im Bezug auf die Überwachungsproblematik hoffentlich noch nicht vor vollendeten Tatsachen. Deswegen: Tuwat!

Peter Schaar, von 2003 bis 2013 Bundesbeauftragter für Datenschutz, ist auch beim CCC kein Unbekannter. Schon 2013 hielt er auf dem Congress einen Vortrag über das Amt des Datenschutzbeauftragten. Zu seinem aktuellen Thema findet er einen interessanten Zugang: Hobbes‘ Leviathan.

Der Leviathan im Jahr 2017

Als Zeichen eines starken Staates soll dieser Leviathan nach Thomas Hobbes auch Sicherheit für seine Untertanen gewährleisten. Im historischen Kontext Hobbes’ des gerade beendeten 30-jährigen Krieges wünschten sich das sicherlich viele. Von 1651, dem Jahr der Veröffentlichung des Leviathan, springt Schaar aber nun ins Jahr 2017, in dem eine andere Schrift veröffentlicht wurde: Thomas de Maizières „Leitlinien für einen starken Staat in schwierigen Zeiten“. Der Text mag geistesgeschichtlich kaum dieselbe Wirkmacht wie die Schriften Hobbes entfalten, ist aber alles andere als irrelevant. Sicherheit, so Schaar, „scheint das entscheidende Thema für de Maizière und andere Politiker zu sein. Aber warum?“ De Maizières Leitlinien haben sowohl prognostisch als auch symptomatisch Geltung für eine Gesellschaft, die Angst hat.

„Wir leben in einer sehr ängstlichen Gesellschaft“

Peter Schaar beruft sich hierfür auf eine regelmäßige Studie, die die „Ängste der Deutschen“ untersucht. Obwohl die Zahl der Todesopfer durch Terroranschläge in Deutschland jährlich nie eine niedrige zweistellige Zahl überstieg, fürchten 71 Prozent der Deutschen, dass auch sie zum Opfer werden könnten. Damit ist Terror die größte Angst der Deutschen. Nüchtern betrachtet ist das absurd, ist doch beispielsweise allein das Risiko, durch einen Verkehrsunfall zu Tode zu kommen, fast dreißigmal höher.

Schaar argumentiert: Nicht unbedingt die Anschläge selbst, sondern die mediale Debatte und der Aktionismus der folgenden „Sicherheitsmaßnahmen“ ängstigten die Bevölkerung. All rights reserved R+V Versicherungen

Schaar stellt nicht nur fest, dass die Angst der befragten Bevölkerung nicht direkt mit den Anschlägen korreliert, sondern auch ein gewisser Timelag zwischen Terror und dem Ansteigen der Angst liegt, also ein zeitlicher Abstand zwischen Aktion und Reaktion. Diesen erklärt er nicht nur als medial bedingt, sondern auch durch die Gesetze, die oft als Reaktion auf Terror verabschiedet werden. Besteht der Zusammenhang also vielleicht nicht zwischen Terror und Angst, sondern eher zwischen „den Gesetzesinitiativen zur Terrorbekämpfung beziehungsweise der Berichterstattung darüber“ und der Angst? Bezeichnenderweise, so Schaar, scheinen auch die Urteile des Bundesverfassungsgerichts, die verfassungswidrige Überwachungsmaßnahmen kippten, eher mit einer Entspannung der Lage zu korrelieren.

Die Belastbarkeit der Umfrage als Datenbasis mag man anzweifeln, die Schlussfolgerung Schaars ist im Kern jedoch sicherlich richtig: „Wenn der öffentliche Diskurs nicht ausschließlich von Sicherheit geprägt ist, sondern beispielsweise auch Grundrechte eine Rolle spielen, fühlen die Menschen sich sicherer.“ Darüber hinaus stellte er fest: „Sicherheitsgesetzgebung führt nicht automatisch zu mehr Sicherheit, sie führt aber auf jeden Fall auch zu Verunsicherung.“

Sicherheit wird auf innere Sicherheit reduziert

Auch am „Supergrundrecht Sicherheit“ des ehemaligen Innenministers Hans-Peter Friedrich arbeitet sich Schaar ab. Streng genommen ist Sicherheit eigentlich gar kein Grundrecht. Darüber hinaus kritisiert er die Reduktion des Sicherheitsbegriffes:

Sicherheit ist nicht auf Registrierung und Repression alleine zu beschränken. Wenn wir über Sicherheit reden, müssen wir über soziale Sicherheit reden, über Sicherheit vor Umweltverschmutzung, vor Krieg und vielen anderen Gefährdungen unserer Existenz. Diese Reduktion auf die innere beziehungsweise öffentliche Sicherheit greift zu kurz und ist kontraproduktiv!

„Leidet Sigmar Gabriel an Gedächtnisschwund?“

„Was bleibt vom Leviathan, wenn er nicht mehr schützend seine Arme ausbreitet? Der untere Teil: Die Gewaltförmigkeit.“ Titelblatt des Leviathan von Thomas Hobbes

Aber zurück zur Realpolitik. Zum Zeitpunkt von Schaars Vortrag zeichnete sich bereits die neue schwarz-schwarz-rote Koalition ab, die Schaar mit einem Widerspruch konfrontierten will. Im „Spiegel“ zeigte sich Sigmar Gabriel im Dezember 2017 reumütig und anbiedernd: „Wir haben uns […] als Sozialdemokraten […] oft wohlgefühlt in postmodernen liberalen Debatten. […] Datenschutz war uns wichtiger als innere Sicherheit.“ Dem gegenüber stellt Schaar eine Auflistung der Überwachungs- und „Sicherheits“-Maßnahmen der letzten Großen Koalition. Die Frage Schaars, wie es um Sigmar Gabriels Gedächtnis bestellt ist, scheint berechtigt: Allein in ihren zwei letzten Jahren verabschiedete die Koalition 17 der 35 seit 2001 beschlossenen Gesetzespakete dieser Art.

Hier knüpfen auch de Maizières Leitlinien an. Eine erneute Koalition aus Union und Sozialdemokraten, der die quasi nicht-existenten Datenschutzbestrebungen der letzten Jahre noch zu viel sind, rücken de Maizières Wünsche in bedrohliche Nähe: Intelligente Videoüberwachung ist eines seiner Lieblingsprojekte, darüber hinaus forderte er aber auch erweiterte DNA-Analysen als Standardmaßnahme, eine Erfassung wirklich aller Reisebewegungen ins außereuropäische Ausland, Zugang über Hintertüren in Messengern, „Hack Backs“ und einiges mehr. Schaar präsentiert diese bürgerrechtlichen Alptraum unter der zynischen Überschrift „Ideen für die neue GroKo“.

„Der Leviathan ist tot!“

Auch wenn diese Bestrebungen anderes nahelegen, leben wir nicht mehr in der Zeit des Absolutismus, in der sich der Einzelne machtlos der Tyrannei und Willkür eines Herrschers unterwerfen muss. In der „globalisierten Welt gibt es viele Leviathane, die alle einen langen Arm haben“. Der heutige Staat habe „sich delegitimiert“, „sich an Befugnissen überfressen“, wobei „der Schutz der Untertanen unter die Räder gekommen ist“. Schaar resümiert: „Was ist übrig geblieben? Nicht die ausgebreiteten Arme, der Schutz der Untertanen, sondern die Gewaltförmigkeit.“ Die Kanonen auf dem Titelblatt sind obsolet und bewaffneten Drohnen gewichen.

Knopfdruck

21. März 2013

wissen-was-jeder-macht-300x183Passwörter, geheime Zugriffscodes von Smartphones, Namen und Adressen von Personen, denen online bestimmte dynamischen IP-Adressen zugeordnet waren – diese Informationen sollen Telekommunikationsfirmen in Zukunft ermitteln und über eine digitale Schnittstelle übertragen. Die „Bestandsdatenauskunft“
sieht ein von der Bundesregierung geplantes Gesetz vor. Im Bundestag wollen heute Union, FDP und SPD das Gesetz gemeinsam verabschieden.

Der Bundesdatenschutzbeauftragte Peter Schaar warnt derweil. Er hält das geplante Gesetz für „verfassungsrechtlich bedenklich“. Netzpolitik.org berichtet:

„Die Identifizierung von Personen anhand ihrer IP-Adresse im Internet soll zukünftig für deutsche Behörden per Knopfdruck möglich sein. Auch aktuelle Änderungen am Gesetzentwurf zu Bestandsdatenabfrage ändern nichts an diesen Befugnissen. [Heute] soll das Gesetz vom Bundestag beschlossen werden – mit den Stimmen von CDU, FDP und SPD.

Erst [vor]gestern [hat netzpolitik.org] berichtet, dass eine große Koalition aus Regierung und SPD den Behörden weitreichende Befugnisse zur Abfrage von Bestandsdaten geben will. Mittlerweile haben wir erneut einen aktuellen Änderungsantrag erhalten, den wir an dieser Stelle veröffentlichen: Änderungsantrag der Fraktionen der CDU/CSU, der FDP und der SPD zu dem Gesetzentwurf der Bundesregierung – Drucksache 17/12034.

Dieser Entwurf mit Stand von gestern enthält nur kosmetische Änderungen gegenüber dem von letzter Woche. Wie Stefan Krempl bei heise online berichtet, hat der Innenausschuss des Bundestags den Entwurf [am Mittwoch] angenommen. Bereits [heute] Abend soll das Gesetz vom Bundestag verabschiedet werden.

Wie in der gestern veröffentlichten Version enthält auch diese finale Version noch einige kritische Punkte:
(weiterlesen …)

(gefunden bei netzpolitik.org)

privat geheim

27. Februar 2012

Die niedersächsische Polizei spioniert Besitzer von Mobiltelefonen mithilfe einer privaten Firma aus: Das Versenden von sogenannter Ortungimpulse“, also sog. „stiller SMS“, wird von einem privaten Unternehmen für Telekommunikationsdienstleistungen durchgeführt. Dies geht aus der Antwort auf eine Kleine Anfrage der Linksfraktion im Niedersächsischen Landtag hervor. Das Versenden der „Ortungsimpulse“ über eine Firma hatte die Landesregierung in einer früheren Kleinen Anfrage der Linksfraktion sowie von  Bündnis ’90 – Die Grünen noch verheimlicht.

Betroffene einer Telekommunikationsüberwachung sollen nachträglich davon unterrichtet werden. „Stille SMS“ werden aber in entsprechenden Mitteilungen – sofern diese überhaupt versendet werden – nicht erwähnt. Dies mag erklären, wieso noch niemand gegen diesen fragwürdigen Grundrechtseingriff klagen konnte.

In der Antwort auf die Anfrage der Fraktion Die Linke heißt es: „Die Polizei in Niedersachsen nutzt zum Versenden von ’stillen SMS‘ den Server eines privaten Anbieters von Telekommunikationsdienstleistungen.“ Der Name der Firma werde jedoch geheim gehalten, so das Innenministerium: „Der Anbieter, der um Vertraulichkeit gebeten hat, muss mit erheblichen Nachteilen für seine Geschäftstätigkeit und gegebenenfalls auch mit Angriffen auf seine Systeme rechnen, wenn bekannt wird, dass er auch im Bereich der verdeckten polizeilichen Maßnahmen Dienstleistungen erbringt.“ Das Innenministerium werde nur in vertraulicher Ausschusssitzung hierüber Auskunft erteilen, hieß es weiter.

Die Firma und das Landeskriminalamt Niedersachsen seien zudem nach eigenem Bekunden nicht in der Lage zu zählen, wie viele stille SMS versandt wurden, so das Landesinnenministerium weiter in der Antwort. „Danach kann durch die zurzeit zum Versand von Ortungsimpulsen genutzte Software die Anzahl von versandten ’stillen SMS‘ nicht generiert werden. Hierzu wäre eine Veränderung und neue Programmierung der bisher genutzten Software des Leistungsanbieters erforderlich. Nach vorsichtigen Schätzungen würde eine neue Programmierung der Software Kosten in Höhe von etwa 80.000 Euro verursachen.“ (Blogger Kriesel schreibt dazu: „80.000 Euro, um da mal nen Counter einzubauen und neuzukompilieren. Das hört sich ja an, als hätten Digitask, Maik Mixdorf, und die IT-Referate der Polizei Niedersachsen ihre Kompetenzen gebündelt.“)

Nun, in anderen Bundesländern hat Die Linke auch nachgefragt. In Nordrhein-Westfalen wurden 2010 etwa 255.800 Ortungsimpulse im Rahmen von Ermittlungen versandt wurden; in Sachsen-Anhalt waren es zwischen Januar und November 2011 rund 15.000, in Hamburg rund 109.000 (2010) von der Polizei und weitere rund 25.700 (2011) vom Verfassungsschutz.

Stille SMS werden auf dem angepeilten Mobiltelefon nicht angezeigt. Beim Mobilfunkbetreiber entstehen aber Verbindungsdaten zur Funkzelle, woraus Standortdaten und Bewegungsprofile von Überwachten ablesbar sind. Inzwischen wurde bekannt, dass solche Spähaktionen  auch zur „Kontrolle unerwünschter Migration“ wird derart digital spioniert. Demgegenüber hatte die Landesregierung zuvor behauptet, die „Funkzellenauswertung“ und das Versenden von „stillen SMS“ nur zur Aufklärung von „Straftaten von erheblicher Bedeutung“ vorzunehmen.

Die Übertragung grundrechtsrelevanter Eingriffe auf private Dritte ist problematisch. Bundesdatenschutzbeauftragter Peter Schaar fordert unter anderem, dass Personendaten ausnahmslos  „vertraulich, zuverlässig und unversehrt“ übertragen werden. Hierfür müssen etwaige Mitarbeiter privater Firmen eine Geheimschutzüberprüfung absolvieren. Auch entsprechende Kommunikationswege zwischen Behörden und Privaten müssen für die Übermittlung sensibler Daten Anforderungen an den Datenschutz erfüllen. Innenminister Uwe Schünemann hat hierzu bislang nichts mitgeteilt.

Quellen: golem.de, telepolis, DIE LINKE)

Staatstrojaner

19. Februar 2012

Bei Indymedia -meldete am Freitagabend netzpolitik.org– „ist ein 66 Seiten langer Bericht vom Bundesdatenschutzbeauftragten Peter Schaarüber Maßnahmen der Quellen-Telekommunikationsüberwachung bei den Sicherheitsbehörden des Bundes” gelandet (PDF). Kurz: Ein Bericht über den Staatstrojaner.

Aus der Zusammenfassung:

Aus den vorhandenen Unterlagen ergab sich jedoch, dass die bei Maßnahmen der Quellen-TKÜ eingesetzte Software nicht den Anforderungen der gemäß §9 Bundesdatenschutzgesetz erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes Rechnung getragen haben. Dies gilt insbesondere für die unzureichende Verschlüsselung der anlässlich der Quellen-TKÜ ausgeleiteten Daten und die mangelnde Authentifizierung der an den Prozessen beteiligten Personen und Systeme. Mehr lesen…“ 

fefe kommentiert:

Der Schaar-Bericht zum Bundestrojaner ist geleakt. Und es ist ungefähr so schlimm, wie man sich das vorstellt. Von wegen Kernbereich:

Verwundert zeigte sich Schaar darüber, dass er zumindest in einem Fall auch Daten aus dem Kernbereich privater Lebensgestaltung in den Akten fand. Dabei hatte ein mutmaßlicher Drogendealer jeweils mit seiner Freundin telefoniert. „Kurzes erotisches Gespräch“ heißt es etwa in den Akten, „Liebesbeteuerungen“, „danach Sexgespräche“, „Ab 15.22.20 h bis 16.01.00 finden offensichtlich Selbstbefriedigungshandlungen statt“.

Haben wir ja gleich gesagt! Aber hey, wieso hat das BKA denn diese, sie inkriminierenden Beweise nicht diskret vernichtet? Damit hat die Polizei sonst kein Problem. Nun, das liegt daran, dass das eingesetzte Digitask-Produkt dafür zu ranzig ist:

Auch die zugehörigen Tonspuren waren noch vorhanden. Das BKA hätte sie zwar gern gelöscht, doch die digitask-Software ließ keine punktuelle Löschung zu.

m(

Nicht mal eine kreative Ausrede kriegen die Spezialexperten vom BKA hin. Das mit dem „die Software kann das nicht“ ist schon vom Arbeitsamt verbrannt.“

und ergänzt:

„Es gibt eine alternative Begründung, wieso das BKA die Kernbereichsdaten nicht löschen konnte. Weil sie die Löschfunktion nicht mitgekauft haben. Denn das ist bei Schnüffel-Technologie durchaus üblich:

Das Problem: Die Ermittlungsbehörden mussten die Funktion „löschen“ bei der Herstellerfirma Syborg extra bestellen. Die Kosten dafür belaufen sich auf 130.000 Euro.

Da weiß man gar nicht, wen man mehr verachten soll, das BKA, Digitask oder die Politiker, die für diese Gesetze verantwortlich sind.“

Noch Fragen?