Wie im kalten Krieg, bloß schlimmer
Zu Gast heute Werner Reiter von Epicenter.Works zu staatlicher Überwachung und einer Überwachungsgesamtrechnung.
Links:
Epicenter.Works (fka AK-Vorrat)
Kampagnenseite zum Überwachungspaket
PrivacyWeek
#WannaCry
Logbuch Netzpolitik #LNP258
Linus Neumann
Artikel zum Hessentrojaner auf netzpolitik.org
Notizen:
Es fing 2009 mit dem AK-Vorrat gegen die Vorratsdatenspeicherung und für eine Überwachungsgesamtrechunung an.
Der EUGH hat entschieden, dass die Vorratsdatenspeicherung eine anlasslose Massenüberwachung ist und nicht mit unseren Grundrechten vereinbar.
Am 27. Juni 2018 ist der 4. Jahrestag der Abschaffung der Vorratsdatenspeicherung in Österreich. Damals ein sehr großer Sieg! Das Urteil ist noch immer richtungsweisend.
Es ist ein harter und langer Kampf.
Heute stehen mehrere neue Formen von Vorratsdatenspeicherung im Raum: Vorratsdatenspeicherung von Fluggastdaten, Quickfreeze (seit Juni 2018 in Kraft), Vorratsdatenspeicherung von Verkehrsdaten (Videodaten).
Das Überwachungspaketwurde 2017 unter rot-schwarzer Koalition angekündigt, haben Epicenter-Works binnen 24h eine Demo organisiert. Mittlerweile ist das Versammlungsrecht verschärft worden, dass so kurzfristige Demos nicht mehr machbar sind. Im September 2017 musste der damalige Innenminister Wolfgang Sobotka öffentlich bekantgeben, dass sein Überwachungspaket gescheitert ist. Damals ein großer Erfolg.
Schwarz-Blau hat das Überwachungspaket wieder aufgenommen, obwohl die FPÖ (blau) vorher sehr kritisch demgegenüber war.
Das Überwachungspaket wurde im April 2018 beschlossen, seit 1. Juni sind die ersten Maßnahmen in Kraft.
Die Kampange seitens Epicenter.Works hat dennoch Einiges erreicht. Vor allem gab es eine intensive öffentliche Debatte zu den Themen. Auch die Bezeichnung „Überwachungspaket“ hat sich in den Köpfen der Menschen manifestiert und viele Medien haben den Begriff übernommen. Ein kommunikativer Sieg, doch in der Sache müssen wir noch weiter kämpfen.
Epicenter.Works bereitet aktuell mehrere Klagen vor, für die sie u.a. in den Oppositionsparteien Verbündete suchen.
Mithilfe ist immer gern gesehen!
Epicenter.Works ist auch mit (mindestens) einem Talk zum Überwachungspaket und den Umgang der derzeitigen Bundesregierung mit Datenschutz und Privatsphäre auf der PrivacyWeek vertreten.
DSGVO & lokale (AT) Gesetzgebung
Mehrere hundert Seiten Gesetze und Erläuterungen haben Epicenter.Works das erste halbe Jahr beschäftigt. Die spontane Änderung der lokalen Gesetzgebung gegen das Europagesetz hat Folgen und die laufen auf mehreren Ebenen.
Angefangen hatte alles mit dem „Datenschutzanpassungsgesetz Inneres“, womit geregelt wird, wie die Behörden, die dem Innenministerium unterstellt sind, mit Daten umgehen sollen. Größter Kritikpunkt hier war, dass die Protokollpflichten eingeschränkt werden. Sprich, wenn ein Beamter/eine Beamte auf Daten zugreift, soll es nur einen zeitlich sehr kurzen Vermerk dazu geben, der kürzer ist, als die dazugehörige Einspruchsfrist.
„Datenschutzanpassungsgesetz Wissenschaft & Forschung“ -> Zugriff auf ELGA-Daten (Elektronische Gesundheits Akte). Gesundheitsdaten sollen für Forschungszwecke zugänglich gemacht werden, allerdings in nur pseudonymisierter Form und mit bereichsspezifischer Kennzahl. Das bedeutet, dass forschungstreibende Unternehmen Zugriff auf Gesundheitsdaten von Menschen bekommen und dort wieder deanonymisiert werden können. Bei spezifischen Krankheiten, Alter und Region ist es sehr einfach, auf die einzelne Person zurückzuschließen.
„Verwarnen statt strafen“ – der Initiativantrag wurde am selben Tag eingebracht, an dem auch die Abstimmung stattfand. Es gab keinerlei Möglichkeit, das überhaupt im Detail zu analysieren. Das Ergebnis ist, dass die lokale Gesetzgebung sich genau entgegen die EU-Gesetzgebung stellt. Denn wenn jemand gegen die DSGVO verstößt, ist dies eine strafbare Handlung und kann nicht nur mit einer Verwarnung bedacht werden. Hier geht es nicht nur um Datenmissbrauch, sondern auch um Dokumentationspflichten und weitere vorbereitende Arbeiten.
Aus dem AT Gesetz ergibt sich also Folgendes: Wenn ein Unternehmen diese vorbereitenden Arbeit nicht macht, weil es Ressourcen sparen will, dann kriegt es halt nur eine Verwarnung und macht das eben (wenn überhaupt) später und alle, die die EU-Verordnung ordentlich umgesetzt haben, sind die Blöden.
Das ist eine ganz schlechte Idee und voraussichtlich wird dieses Gesetz auch nicht halten. Es gibt möglicherweise ein Vertragsveletzungsverfahren direkt von der Europäischen Kommission oder auch die österreichische Datenschutzbehörde exekutiert das lokale, DSGVO-widrige Gesetz nicht und hält sich an die EU-Gesetzgebung.
EU Ratspräsidentschaft
Am 1. Juli beginnt die EU Ratspräsidentschaft und für das Vorsitzland ist es ein denkbar schlechtes Signal, anderen Ländern zu sagen, man bräuchte sich nicht an EU Regelungen zu halten.
Datenschutz stand nirgendwo im Programm – dagegen Flüchtlinge, Außengrenzen, Verschärfung der Überwachungsgesetzgebung. Die Achse der Wahnsinnigen.
Überwachungsgesetzgebung
Painpoint Nr. 1: der Bundestrojaner
Die staatliche Spionagesoftware kommt erst 2019/2020. Hier wird es sehr spannend, welche Technologie verwendet werden soll und wie die diese dann das kann, was die Gesetzgeber sich vorstellen.
Die Software soll auf Mobiltelefonen und anderen Rechnern installiert werden, um Kommunikation zu überwachen. Problem: Dazu muss man tief in das Betriebssystem eingreifen und hat dadurch Zugriff auf alle Daten, nicht nur auf die Kommunikation.
Um überhaupt auf die Systeme zu gelangen, muss man Sicherheitslücken verwenden. Solche Sicherheitslücken sollten im Interesse des Staates und im globalen Sicherheitsinteresse geschlossen werden.
Wenn der Staat jetzt daran Interessiert ist, Sicherheitslücken offen zu halten um seine Spionagesoftware aufzubringen, dann begibt er sich auf dasselbe Niveau, wo sich Kriminelle bewegen und befördert einen Schwarzmarkt für Sicherheitslücken. Das ist für die gesamte, globale IT-Sicherheit eine Katastrophe.
Sicherheitslücken absichtlich offen zu halten ist vollkommen unverantwortlich und was passieren kann, hat man bei #WannaCry gesehen. Das war nur ein Vorgeschmack dessen, was passieren kann, wenn staatlich genutzte Sicherheitslücken von Malware ausgenutzt werden.
Ein Erpressungstrojaner hat für schwere Schäden gesorgt. Es gab sowohl finanzielle Schäden bei Unternehmen, schlimmer noch waren aber die Schäden, die dadurch verursacht wurden, dass kritische Stellen wie Krankenhäuser lahmgelegt wurden.
Dies und weitere Auswirkungen sind zu erwarten, wenn die Regierungen verstärkt mit solchen Spionagetools arbeiten wollen.
Logbuch Netzpolitik Nr. 258: In den Texten zum Hessentrojaner ist keine Rede von Software, hier könnte genausogut Hardware wie Keylogger oder Abhörwanzen genutzt werden.
Das fühlt sich sehr nach kaltem Krieg und eisernem Vorhang an.
In AT steht im Gesetz, dass es sich um eine Remote-Installation handeln soll, hier wird Hardware also nicht gehen.
Der Unterschied zu den Sechzigerjahren ist, dass damals nur sehr wenige Menschen betroffen waren. Sicherheitslücken in IT-Systemen waren damals auch noch kein Thema. Die ganze öffentliche und wirtschaftliche Leben hat damals noch nicht daran gehangen. Die Spionagetools von heute greifen großflächig.
Eine Sicherheitslücke offenzuhalten bedeutet, dass sämtliche Geräte z.B. eines Herstellers oder mit z.B. einem Betriebssystem weltweit betroffen sind. Global alle.
Auch die Idee, dass ein österreichisches Unternehmen die staatliche Spionagesoftware und die dazugehörigen Sicherheitslücken bauen/warten/betreuen soll, ist unwahrscheinlich. Eher wird eine Firma, die das global im großen Stil macht, zum Zuge kommen. Solche Firmen beliefern nicht nur das gerade noch demokratische Österreich, sondern auch Diktature und andere repressive Regime weltweit. Damit fördert Österreich – ebenso wie Deutschland – auch diesen Markt. Mit Steuergeldern.
Verstärkte Videoüberwachung
Videoüberwacung im öffentlichen Raum soll ausgebaut werden und Behörden sollen Zugriff auf Überwachungsanlagen von staatsnahen Unternehmen wie der Österreichischen Bundesbahn bekommen. Gefordert ist live- und Remotezugriff auf alle Überwachungseinrichtungen, auch die auf privaten Betreibern, die ihre Daten freiwillig zur Verfügung stellen können; Stichwort „Privatisierung der Rechtsdurchsetzung“. fsvo „freiwillig“ …
IMSI Catcher
Ein Tool, mit dem man Mobilkommunikation abfangen kann. Ursprünglich hieß es, dass es nur um eine Ortung von Geräten gehen soll, wie z.B. Lawinenopfer. Allerdings sind die am Markt erhältlichen IMSI Catcher auch in der Lage, Gesprächsinhalte und SMS abzufangen.
Auch hier deutet sich an, dass Gesetze von Juristen geschrieben werden, die technisch nicht Herr/in der Lage sind.
IMSI Catcher simulieren eine Funkzelle und das Gerät kann nicht unterscheiden, ob es sich in eine reguläre Funkzelle einwählt oder in einen IMSI Catcher.
Überwachung im Straßenverkehr
Hier sollen die Anlagen, die ursprünglich für die Maut-Erhebung eingerichtet wurden, auch für Überwachungszwecke auf den Straßen genutzt werden; eine klassische Ausweitung der Nutzung der technisch vorhandenen Möglichkeiten. Es gab bisher Urteile von österreichischen Gerichten, dass diese Daten nur im Fall einer Verkehrsverletzung gespeichert werden dürfen, bzw. falls das Kennzeichen auf einer Fahndungsliste steht. Dies wurde aufgehoben und die Überwachung im Straßenverkehr ist bereits seit Anfang Juni in Kraft.
Nota bene: Bei einer Veranstaltung zum Thema Dateneigentum war jemand vom ÖAMTC (ADAC Äquivalent) vor Ort und erzählte vor Publikum und Journalisten, dass die Section Control nie wie verkauft funktioniert hätte. An sich hieß es, es wird am Beginn und am Ende der Section ein Bild gemacht und nur wenn der Zeitabstand dazwischen zu kurz ist (= eine Geschwindigkeitsübertretung stattgefunden hat), würden diese Bilder ausgewertet werden. Das war technisch nie möglich, daher wurde von Anbeginn ausgewertet. Details waren in der Podiumsdisussion nicht genannt, hier lohnt es sich sicher, einmal nachzufragen.
Vorratsdatenspeicherung 2.0 aka Quickfreeze
Die sogenannte Anlassdatenspeicherung heißt, dass nur dann Daten gespeichert werden dürfen, wenn ein konkreter Verdacht vorliegt. So weit, so gut. Allerdings ist im Gesetz nicht klar geregelt, wie weit diese Überwachung gehen kann, was mit reinfällt, die Anzahl der Personen und Kontakte oder eine Eingrenzung auf ein bestimmtes Gebiet. Daher ist es doch wieder eine Massenüberwachung und Vorratsdatenspeicherung wie gehabt. Dieses Gesetz ist bereits seit Juni 2018 in Kraft.
Registrierungspflicht für Wertkarten
Gemeint ist eine Registrierungspflicht für Mobilfunkwertkarten, die in vielen anderen Ländern bereits zurückgezogen wurde, weil sie entweder nichts brachte oder die Beschaffungskriminalität in die Höhe geschnellt ist. Außerdem gibt es genügend Möglichkeiten für Kriminelle, auch ohne SIM-Karten zu kommunizieren. Tatsache ist, dass man damit keine Kriminellen trifft, sondern alle Kunden, da die Preise für die Wertkarten in die Höhe gehen, da eine Registrierungsinfrastruktur geschaffen werden muss.
Einschränkung des Briefgeheimnis‘
Um dem Handel mit Drogen aus dem Darknet Herr zu werden, wird das Briefgeheimnis aufgeweicht und es ist möglich und erlaubt, Post von Menschen zu öffnen, die nicht in Haft sitzen.
Solche Maßnahmen sind üblicherweise anzutreffen in diktatorischen Regimen und sollte in einem Land wie Österreich keinen Platz haben.
Nota bene: Ich kenne das persönlich noch aus den Kontakten zu Familienangehörigen in der DDR, wo wir immer mehr Kaffee und Schokolade in die Pakete gegeben haben, weil wir wussten, dass nicht alles ankommt. Wir wurden immer hingewiesen, dass wir darauf achten sollen, was wir in die Briefe reinschreiben. Und dann war da noch das Knacken in der Leitung und die Warnung meiner Oma: Jetzt hören sie wieder zu, jetzt musst Du aufpassen, was Du sagst!
Wir sind da heute verdammt nah dran.
Die Möglichkeiten, die die StaSi hatte waren Kindergarten dagegen. Mit den heutigen technischen Voraussetzungen wäre es extrem schwer, das DDR Regime wieder loszuwerden.
Das Gefährliche ist: Die Maßnahmen tun im ersten Schritt nicht weh. Alles, was finanzielle oder sehr persönliche Auswirkungen hat wie zum Beispiel der 12-Stunden-Tag, da gibt es breite Proteste. Aber Dinge, die an den Grundfesten der Demokratie rütteln, tun im ersten Schritt nicht weh, sind aber auf lange Sicht brandgefährlich. Mit Gesetzesänderungen wie dem Überwachungspaket macht man es einem möglichen diktatorischen Regime sehr leicht, uns unter Kontrolle zu halten. Und in dem Moment, wo es auffällt, ist es zu spät.
H.E.A.T.
Epicenter.Works arbeitet nicht nur am Abwehrkampf, sondern will auch Lösungen präsentieren. HEAT ist eine davon. Die Idee dazu stammt vom Gericht in Karlsruhe, die im Zusammenhang mit der Vorratsdatenspeicherung sagten, man bräuchte eine Überwachungsgesamtrechnung, die alle gesetzlichen Maßnahmen zusammenträgt, die in irgendeiner Weise Überwachung beinhalten und auf der anderen Seite ansehen: Sind die sinnvoll? Wie werden sie genutzt? Werden sie genutzt, wie es der Gesetzgeber vorgesehen hat?
HEAT steht für „Handbuch zur Evaluation der AntiTerrorgesetze“, aber „Überwachungsgesamtrechnung“ passt besser, da Antiterrorgesetze so klingt, als würden die Gesetze ausschließlich dazu dienen, Terrorismus zu verhindern oder aufzuklären. Aber es geht um Überwachung.
In Österreich sind hier Gesetze betroffen von Finanzstraftaten bis zu Überwachung und Vorratsdatenspeicherung. Dies ergibt eine Matrix darüber, wo Grundrechte vom Gesetzgeber eingeschränkt werden. Außerdem wurde eine Vielzahl parlamentarischer Anfragen gestellt um zu erheben, in welchem Ausmaß und für welche Zwecke die Gesetze genutzt werden.
Ein Ergebnis war, dass mit der damals noch in Kraft befindlichen Vorratsdatenspeicherung keine einzige Anfrage im Zusammenhang mit Terrorismus eingegangen ist, aber etliche im Zusammenhang mit Delikten mit geringen Strafen wie Drogenhandel oder Stalking.
Dieses Missverhältnis soll mit HEAT aufgezeigt und ein Raster geboten werden, wie neue Gesetzgebungen sinnvoll vonstatten gehen können; Stichwort: Wirkungsfolgenabschätzung. Diese ist zwar jetzt bereits gesetzlich vorgeschrieben, wird aber nur im Zusammenhang mit finanziellen Kriterien gemacht: Kosten der Maßnahme, Wartung, etc. Allerdings gibt es keine Abwägung mit den Grundrechten. HEAT bietet einen Entscheidungsbaum für eine solche Abwägung.
Alle österreichischen Oppositionsparteien haben sich dazu bekannt, eine solche Überwachungsgesamtrechnung durchzuführen; die einzigen, die da snoch nie gemacht haben, ist die ÖVP.
Neues Großprojekt: Eine überarbeitete Version von HEAT, die auch auf das Überwachungspaket, etc. eingeht, ist im Werden.
HEAT ist unter CreativeCommons veröffentlicht und auf der Website von Epicenter.Works prominent zu finden.
Urheberrechtsreform
Die Urheberrechtsreform mit Uploadfiltern & Leistungsschutzrecht wurde im Rechtsausschuss des EU Parlaments beschlossen und wird im Plenum des EU Parlaments Anfang Juli diskutiert. Jetzt aktiv werden und die Parlamentarier direkt ansprechen. Vor allem die Konservativen!
Netzneutralität
Wird aktuell neu evaluiert. Die große Kampagne, die Epicenter.Works europaweit koordiniert hat, legte den europäischen Regulatoren nahe, die Richtlinie sehr eng im Sinne des Konsumentenschutzes auszulegen. Damals ist dies gelungen, doch in der Re-Evaluation besteht die Gefahr, dass das freie und offene Internet an einigen Punkten doch abgegraben wird.
Wie kann man sich engagieren?
-> „Werde aktiv“ Button auf der Epicenter.Works Website
Spenden sind sehr willkommen. Epicenter.Works hat Angestellt und benötigt Kampagnenmaterial, Flyer, Websites, etc.
Unterstützt den Datenschutz Podcast