Geheimdienste im Internet: Überwachung und Kontrolle


Joint Threat Research Intelligence Group

Die Joint Threat Research Intelligence Group (JTRIG) ist eine Einheit des britischen Nachrichtendienstes GCHQ. Die Existenz von JTRIG wurde im Zuge der Globalen Überwachungs- und Spionageaffäre als Teil der Enthüllungen vom früheren NSA-Auftragnehmer Edward Snowden bekannt. Der Zuständigkeitsbereich des JTRIG umfasst "schmutzige Tricks", um Feinde “zu verleugnen, zu stören, zu zersetzen und zu zerstören”, indem sie “diskreditiert” werden, Fehlinformationen platziert werden und ihre Kommunikation stillzulegen versucht wird.

Quelle: Wikipedia.org

Anonymisierung im Internet

Schon im Jahr 2008 hatte der Bundesnachrichtendienst (BND) ein Angriffskonzept entwickelt, um das Tor-Netzwerk zu knacken. Andere Behörden wurden sogar gewarnt, das Anonymisierungsverfahren wäre „unwirksam“. Das geht aus internen Dokumenten hervor, die Netzpolitik.org veröffentlicht hat.

2017 NetzPolitik.org - Geheime Dokumente: Der BND hat das Anonymisierungs-Netzwerk Tor angegriffen und warnt vor dessen Nutzung

Überwachung Total! NSA, CIA & Co

Arte HD, 2016: Der Dokumentarfilm, für den zwei Jahre lang in den USA und in Europa recherchiert wurde, spannt einen Bogen von den Anschlägen des 11. Septembers 2001 über die Enthüllungen von Edward Snowden bis zu den aktuellen Entwicklungen und Diskussionen. Er zeigt die Schaltzentralen der Überwachung.

Internetaktivitäten der Geheimdienste (Überwachung, Kontrolle, Netzwerk-Zersetzung)

Spähprogramm MUSCULAR: So hat die NSA die Google- und Yahoo-Nutzer ausspioniert

Geheimdienste haben die internen Leitungen von Google und Yahoo ausgespäht. Damit konnten sie amerikanische Gesetze umgehen und viele Daten sammeln. Sogar zu viele für ihren Geschmack.

Abermillionen Nutzerdaten von Google und Yahoo, aus denen man sich bedienen kann - das jetzt bekanntgewordene Ausspäh-Programm „Muscular“ (“muskulös“) war offenbar eine ergiebige Datenquelle für den amerikanischen Geheimdienst NSA und den britischen GCHQ. Das Programm macht sich zunutze, dass die Unternehmen die Daten ihrer Nutzer in vielen verschiedenen Rechenzentren in unterschiedlichen Ländern speichern: der so genannten „Cloud“. Rechenzentren stehen zum Beispiel in Irland, Finnland, Chile, Taiwan, Hongkong und Singapur. Sie speichern E-Mails, Suchanfragen, Videos oder Fotos – alles, was die Nutzer den Firmen anvertrauen.

Zwischen den Standorten müssen die Daten immer wieder ausgetauscht und abgeglichen werden. Das geschieht auf Leitungen, die meistens nicht zum öffentlichen Internet gehören und oft nicht verschlüsselt sind. Die amerikanische Zeitung „Washington Post“ hat eine Strichzeichnung veröffentlicht, auf der die NSA das Prinzip deutlich macht: Die Verschlüsselung der Internetkonzerne setzt oft erst dann ein, wenn die Daten vom Nutzer im öffentlichen Internet abgerufen werden – und eben nicht vorher, wie die NSA mit einem Smiley bemerkte.

Zugang zu den internen Leitungen zu bekommen, ist nicht unbedingt leicht. Die meisten Konzerne schützen ihre Rechenzentren sehr penibel. Als die NSA den Zugang aber einmal hatte, konnte sie die Daten abhören, ohne eine aufwändige Verschlüsselung knacken zu müssen.

Schon länger ist bekannt, dass die Geheimdienste mittels des Programms „Prism“ („Prisma“) Daten von großen Internetkonzernen abgegriffen haben. Das jetzt bekanntgewordene Programm gibt dem Geheimdienst aber offenbar einen deutlich umfangreicheren Zugriff - schon allein, weil viele Daten außerhalb der Vereinigten Staaten abgegriffen werden und die NSA darum lockereren Gesetzen unterliegt.

Allerdings scheinen die Geheimdienste nicht so viele Daten auswerten zu können, wie sie abgreifen. Eine interne Publikation der NSA, die die „Washington Post“ veröffentlicht hat, beschreibt die Probleme der NSA mit der Datenmenge und die Lösungen, die der Geheimdienst sucht.

Die beiden betroffenen Internetkonzerne sagten der „Washington Post“, sie hätten von dem Ausspähen nichts gewusst. Google allerdings hatte sich schon im September öffentlichkeitswirksam Sorgen gemacht: Damals kündigte der Konzern an, Verschlüsselungen für die Leitungen zwischen seinen Rechenzentren zu installieren. Das habe der Konzern schon im vergangenen Jahr beschlossen.

Auch andere Konzerne wie Apple und Facebook haben damals begonnen, zusätzliche Sicherheitsvorkehrungen zu treffen. Wie wirksam diese Vorkehrungen sind, ist bis jetzt noch nicht klar.

Quelle: FAZ.net

Überwachung durch Geheimdienst GCHQ: Briten speichern Youtube-Klicks und Facebook-Likes

Den Arabischen Frühling hat der britische Nachrichtendienst beinahe verschlafen. Das sollte nicht noch einmal passieren - deswegen hat der GCHQ Snowden-Dokumenten zufolge eine Methode entwickelt, um den Datenverkehr bei Facebook und Youtube live abzufangen.

Sie überwachen alles, was wir im Internet tun und verfolgen jeden digitalen Schritt. Trotzdem haben die Geheimdienste NSA und GCHQ zu spät erkannt, dass mit dem Arabischen Frühling 2011 eine Revolution bevorstand. Das brachte den britischen Spionen Ärger vom eigenen Parlament ein - so dass sie das Programm "Squeaky Dolphin" ("quietschender Delfin") entwickelten.

Damit überwacht der britische Geheimdienst GCHQ offenbar in Echtzeit mehrere soziale Netzwerke und kann diese Nutzeraktivitäten einzelnen Regionen oder Städten zuordnen. Dies geht aus Dokumenten des ehemaligen NSA-Mitarbeiters Edward Snowden hervor, die dem US-Fernsehsender NBC vorliegen. Die Dokumente sollen Teil einer Präsentation gewesen sein, mit der der GCHQ das Überwachungsprogramm seinen US-amerikanischen Partnern von der NSA vorstellte.

Einzelne Nutzer wolle man mit dem Pilotprojekt nicht verfolgen, heißt es darin weiter. Für "breite Trends", die man damit erkennen wolle, verweist der GCHQ bereits auf erste Erfolge: Mit den Daten aus "Squeaky Dolphin" sei es gelungen, am 13. Februar 2012 die Proteste gegen die Regierung in Bahrain am Folgetag vorauszusagen, heißt es in der Präsentation. Dazu beobachtete der GCHQ unter anderem, welche Videos auf Youtube angesehen und welche Web-Adressen auf Facebook "geliket" werden.

Googles Weblog-Plattform Blogger soll ebenso von dem Programm überwacht werden. In den Dokumenten tauchen außerdem Beispiele aus Twitter auf. Allerdings ist aus dem Kontext nicht ersichtlich, ob der GCHQ auch hier in Echtzeit Verkehrsdaten und Inhalte abgreift.

Möglich ist diese Überwachung laut von NBC zitierten Experten, weil der GCHQ direkt auf das britische Telefonnetzwerk zugreift und sich in den Datenverkehr einklinkt. Bereits im Juni war bekannt geworden, dass der GCHQ diese Möglichkeit hat - und von großen Telekommunikationskonzernen unterstützt wird.

Bei Google sei man "schockiert"

Auch wenn es dem britischen Geheimdienst laut den Dokumenten hauptsächlich darum gehe, soziale Trends frühzeitig zu erkennen, ist es doch möglich, aus den so angehäuften Daten einige Informationen über einzelne Nutzer zu gewinnen. Eine anonyme Quelle bei Youtube-Eigentümer Google sagte gegenüber NBC, dass man im Konzern besonders "schockiert" über diese Enthüllung sei.

Erst am Dienstag war bekannt geworden, dass der GCHQ und die NSA auch Daten abfangen können, die vermeintlich harmlose Smartphone-Apps über ihre Nutzer ansammeln und über das Internet verschicken. Dabei war aber unklar, welcher Daten betroffen sind und ob diese tatsächlich geheimdienstlich gespeichert und ausgewertet werden. Allerdings stammen die Dokumente, die das belegen, aus dem Jahr 2010 und könnten mittlerweile überholt sein.

Quelle: Süddeutsche.de

Britischer Geheimdienst: #GCHQ #stasi #zersetzung

Der britische Geheimdienst GCHQ will "Cyber-Zauberer" ausbilden. Sie sollen Zielpersonen im Netz diskreditieren und ihre Netzwerke zersetzen. Netzaktivisten sehen Parallelen zu Methoden der Stasi.

Neue Dokumente aus dem Fundus von US-Whistleblower Edward Snowden zeigen Methoden der westlichen Geheimdienste zu verdeckten Onlineaktionen gegen Personen, Gruppen und Unternehmen. Eine Präsentation des britischen GCHQ trägt den Titel "Die Kunst der Täuschung" und will "Cyber-Zauberer" ausbilden. Andere Dokumente beschreiben, wie Personen oder Unternehmen mit falschen Angaben gezielt diskreditiert werden können. Der amerikanische Enthüllungsjournalist Glenn Greenwald veröffentlichte das Material in seinem neuen Portal The Intercept. Aktivisten wie Jacob Appelbaum und Frank Rieger verwiesen über Twitter unter anderem unter Hastags wie #stasi, #zersetzung und #Mfs auf frappierende Parallelen zu einer entsprechenden Richtlinie der Stasi aus dem Jahr 1976.

Hinter den Konzepten steht eine neu gebildete Einheit des GCHQ, die Joint Threat Research Intelligence Group (JTRIG). Diese führte auch DDoS-Angriffe gegen Aktivisten von Anonymous aus. Nach Darstellung Greenwalds richten sich die Infiltrationstechniken nicht gegen normale Spionageziele wie feindliche Staaten und deren Führer, sondern anstelle strafrechtlicher Ermittlungen gegen verdächtige Hacktivisten, die weder angeklagt noch verurteilt seien. Ein Dokument trägt die Überschrift: "Neue Möglichkeiten und Aktionen gegen Hacktivismus eröffnen."

Gezielte Rufschädigung

Die Methoden der Rufschädigung sind rabiat: So soll über soziale Netzwerke das Vertrauen von Zielpersonen erschlichen werden, um sich dann auf einem Blog als Opfer dieser Personen darstellen zu können. Der Familie sowie Freunden und Bekannten sollen E-Mails oder SMS geschrieben werden. Um Unternehmen zu diskreditieren, sollen vertrauliche Informationen an die Presse weitergegeben werden. Auf einschlägigen Foren soll negativ über die Firma berichtet werden. Darüber hinaus sollen Geschäfte beendet und Geschäftsbeziehungen ruiniert werden. In der erwähnten Richtlinie der Stasi wurden vergleichbare "bewährte Formen der Zersetzung" genannt: "systematische Diskreditierung des öffentlichen Rufes, des Ansehens und des Prestiges auf der Grundlage miteinander verbundener wahrer, überprüfbarer und diskreditierender sowie unwahrer, glaubhafter, nicht widerlegbarer und damit ebenfalls diskreditierender Angaben; systematische Organisierung beruflicher und gesellschaftlicher Mißerfolge zur Untergrabung des Selbstvertrauens einzelner Personen".

Die Geheimdienste bedienen sich dabei auch Erkenntnissen aus Psychologie und Sozialwissenschaften, um Aktivistengruppen nicht nur zu verstehen, sondern auch um sie zu kontrollieren. Eine "Humanwissenschaftliche Operationszelle" soll sich dabei "Strategischer Beeinflussung und Störungen" widmen. Einzelne Dokumente tragen dabei Titel wie "Die psychologischen Bausteine der Täuschung" oder die "Zehn Prinzipien der Beeinflussung". Die Präsentation beschreibt zudem die "Feststellung und Ausnutzung von Bruchstellen" in Gruppen. Als Methoden der Störung sind dabei sieben Operationen genannt, darunter "Falsche Flagge", "Falsche Rettung", Infiltration und List.

Das GCHQ wollte auf Anfrage Greenwalds keine Stellung zu den Dokumenten nehmen. Der Nachrichtendienst gab die Standardantwort, wonach keine geheimdienstlichen Themen kommentiert würden. Zudem erfolge jede Tätigkeit "in einem strikten rechtlichen und polizeilichen Rahmen, der garantiere, dass die Aktivitäten autorisiert, notwendig und angemessen sind". Ob und in welchem Umfang die Methoden tatsächlich angewandt wurden, bleibt offen.

Quelle: Golem.de

Wie westliche Geheimdienste Webseiten manipulieren

Russland trickst auf sozialen Medien? Der Westen nutzt die gleichen Methoden. Mustafa Al-Bassam hat es selbst erlebt, als er Ziel einer britischen Undercover-Aktion wurde.

Kalter Krieg im Netz: Auf dem Kongress des Chaos Computer Club in Leipzig geben Hacker ihr Wissen weiter.

US-Geheimdienste sagen: Russische Trolle haben 2016 Debatten im Internet manipuliert, um Donald Trump zu helfen, Präsident zu werden. Getarnt hinter falschen Nutzerkonten sollen sie Vorwürfe gegen Hillary Clinton ins Masslose übertrieben und versucht haben, die USA innenpolitisch weiter zu polarisieren. Angeblich geschah all das mit Rückendeckung des Kremls.

Dabei greifen westliche Staaten zu ähnlichen Mitteln, um politischen Einfluss im Ausland auszuüben. Sie arbeiten mit falschen Identitäten und manipulieren Webseiten. «Das läuft schon eine Weile, nicht nur von Russland oder China aus», sagt Mustafa Al-Bassam auf einer Bühne in den Leipziger Messehallen. Der britische IT-Sicherheitsexperte spricht auf dem 34. Jahreskongress des Chaos Computer Clubs in Leipzig, wo das grösste europäische Hackertreffen erstmals stattfindet.

Der 22-Jährige hat in digitaler Kleinarbeit zusammengepuzzelt, wie britische Agenten undercover versuchten, politische Aktivisten in Iran, Syrien und Bahrain auszuspähen. Sie wollten ihre Opfer dazu bringen, auf bestimmte Links zu klicken, um so an persönliche Informationen zu kommen. Es ist eine Taktik, die sonst von Cyberkriminellen angewendet wird.

Die Aktivisten wurden über die Links weiter auf Webseiten geleitet, die als sogenannte Honigtöpfe dienten: vermeintlich harmlose Seiten, die Nutzer anlocken wie Honig einen Bären. Al-Bassam zufolge wollten die Spione Material über regimekritische Bewegungen sammeln, um diese zu beeinflussen.

Joint Threat Research Intelligence Group (JTRIG) heisst die Unterabteilung des britischen Geheimdienstes GCHQ, die Al-Bassam für die Tricks verantwortlich macht. Ihre Existenz wurde 2013 von NSA-Whistleblower Edward Snowden enthüllt. Dokumente zeigten, dass die Einheit vor praktisch nichts zurückschreckt: Infiltration und Aktionen unter «falscher Flagge», «Disruption» und «Diskreditierung» stehen im Mittelpunkt ihrer Aktionen. Auch sexuelle «Honigfallen» gehören demnach zum Repertoire der Einheit. Ausserdem bauten sie Facebook-Gruppen oder andere Online-Foren auf, um dort Debatten zu überwachen und zu steuern. Es gehe darum, «Misstrauen zu säen, abzuschrecken».

Das Geheimnis in den Snowden-Dokumenten

Dass Al-Bassam entlarvt hat, wie JTRIG schmutzige Taktiken während Aufständen in Nahost einsetzte, hängt mit seiner persönlichen Geschichte zusammen. Er war einst Teil des berüchtigten Hacker-Kollektivs «LulzSec», das etliche grosse Webseiten mit sogenannten DDoS-Angriffen lahmlegte. Dabei ging es ihnen aber eher um Anarchie als um Geld. 2011 nahmen Ermittler die Gruppe fest. Al-Bassam, damals 16, bekam Bewährung. Heute macht er seinen Doktor in IT-Sicherheit in London.

Die Frage, wie sein Team auffliegen konnten, liess ihn nicht los. Einen Hinweis entdeckte er in den Snowden-Dokumenten: Die «LulzSec»-Mitglieder hatten unter Alias in einem öffentlichen Chat kommuniziert. Ein Besucher lockte einen Hacker aus diesem Chat auf eine präparierte Adresse. Offenbar hatten Geheimdienstmitarbeiter die URL so manipuliert, dass sie die wahre Identität des Hackers herausfinden konnten, als der auf den Link klickte. Dazu diente ein sogenannter URL-Shortener, der lange Adressen verkürzt und dabei mitunter das wahre Ziel des Links verschleiert.

Al-Bassam fand heraus, dass dieser Kürzungsdienst noch an anderen Orten im Netz eingesetzt wurde, um Nutzer mit Links zu ködern. Einige Twitter-Accounts imitierten iranische, syrische oder bahrainische Oppositionelle und verbreiteten URLs, die auf dieselbe Art und Weise manipuliert worden waren. Daraus schloss Al-Bassam, dass er JTRIG-Agenten aufgespürt habe, die Oppositionelle auf ihre Links locken wollten. Die Aktivisten, die auf die Links klickten, bekamen Texte und Videos zu sehen, die der Geheimdienst hochgeladen hatte.

Die USA operieren auch mit «Sockenpuppen»

«Sockenpuppen» heissen solche Fake-Personen im Netz - als würden sie von einem Puppenspieler mit der Hand gesteuert. «Sie tun so, als würden sie dir helfen, aber sie schaden dir dabei auch», sagt Al-Bassam. Zwar machten sie Aktivisten auf den verlinkten Webseiten auch Informationen zugänglich, die ihre Regime normalerweise zensierten. Doch die Briten benutzten die Aktivisten auch für ihre eigenen Zwecke und versuchten, in den Aufständen mitzumischen. Die Oppositionellen dachten dabei, sie hätten es mit Gleichgesinnten aus ihrem Land zu tun.

Auch die Amerikaner versuchten schon, mit «Sockenpuppen» Debatten im Netz zu beeinflussen. Der Guardian enthüllte 2011, dass ein Unternehmen im Rahmen der «Operation Earnest Voice» gegen al-Qaida einen Auftrag für die entsprechende Technik von der Armee erhalten habe. Ziel damals war die muslimische Welt: Die Fake-Personen sollten Paschtu, Arabisch, Farsi und Urdu sprechen.

Für Kuba kreierte die US-Entwicklungsbehörde USAID sogar ein komplettes Textnachrichten-Netzwerk, eine Art kubanisches Twitter. Deren Agenten hofften, damit zehntausende Kubaner lenken zu können, die das Netzwerk nutzten. Nachdem sie mit Nachrichten aus Sport und Unterhaltung angelockt worden waren, sollten die Nutzer im richtigen Moment zu politischen Protesten gegen die Regierung aufgewiegelt werden. Nur durch eine Recherche der Nachrichtenagentur AP kam das Projekt 2014 ans Licht. Der Erfolg all dieser aussenpolitischen Programme ist aber unklar.

In Leipzig fragt ein Besucher aus dem Publikum, wie sich denn echte Nutzer von Untergrund-Agenten unterscheiden liessen. Al-Bassam fällt nur ein Tipp ein: «Teilen Sie keine Informationen, die ihnen schaden könnten - auch nicht mit Personen, denen Sie vertrauen.» (Tages-Anzeiger)

Quelle: Tagesanzeiger.ch

Snowden-Dokumente: Britischer Geheimdienst kann Internet-Inhalte manipulieren

Der britische Geheimdienst besitzt Programme, mit denen er Inhalte im Internet manipulieren kann. Das soll aus weiteren Dokumenten des Ex-NSA-Mitarbeiters Edward Snowden hervorgehen.

Der britische Geheimdienst GCHQ verfügt offenbar über Programme, mit denen er Inhalte im Internet beeinflussen kann. Das berichtet der britische Journalist Glenn Greenwald auf seiner Online-Plattform The Intercept.

Demnach soll die Behörde unter anderem die Möglichkeit haben, die Ergebnisse von Online-Umfragen zu manipulieren, die Besucherzahlen bestimmter Seiten zu beeinflussen und bestimmte Video-Inhalte zu zensieren. Greenwald beruft sich in seinem Bericht auf neue Dokumente aus dem Fundus von Whistleblower Edward Snowden. "Intercept" hält eine detaillierte Auflistung der Programme bereit.

"Beunruhigende Beispiele von Propaganda und Manipulation"

Diese Enthüllung kommt zu einer Zeit, in der das britische Parlament über neue Kompetenzen für Geheimdienste debattiert. Die Regierung in London plant, die Überwachung von Telefon- und Internetverbindungen im Land mit Eilgesetzen neu zu regeln. Snowden selbst hatte die Überwachungspläne am Wochenende kritisiert.

Laut Greenwald wurden die nun bekannt gewordenen Tools von der Forschungsabteilung der Behörde entwickelt. Die Methoden stellten einige der "beunruhigenderen Beispiele von Propaganda und Internet-Manipulation dar, die aus den Snowden-Dokumenten hervorgehen", schreibt Greenwald.

In der Vergangenheit habe der britische Geheimdienst bereits auf ähnliche Methoden zurückgegriffen, um Online-Aktivisten zu überwachen, die Besucher von Seiten wie Wikileaks zu kontrollieren oder Nutzer von Youtube und Facebook auszuspähen. Die neuen Dokumente zeigten, "wie invasiv und hinterhältig" die Einheit vorgehe.

Greenwald: Dokumente werfen Fragen über die Rolle von Microsoft auf

Einige der Methoden seien die, für welche die Regierungen in den USA oder Großbritannien Internet-Aktivisten scharf verfolge, darunter Denial-of-Service-Attacken. In vielen Fällen handele es sich auch um bislang unbekannte Methoden der Manipulation und Verzerrung, schreibt Greenwald. Die überwiegende Mehrheit der Tools sei den Dokumenten nach "voll einsatzbereit".

Nicht nur könne die Behörde die politische Meinungsbildung beeinflussen und Propaganda verbreiten. Die Programme ermöglichten es ihr auch, massenhaft E-Mails oder Kurznachrichten zu versenden sowie Skype-Nutzer in Echtzeit auszuspähen. Das wiederum werfe Fragen auf, in wieweit der US-Konzern Microsoft als Eigentümer des Telefonservices mit den Spitzelbehörden zusammenarbeite, und wie sicher die Datenverschlüsselung von Skype tatsächlich sei. Das Dokument, dass sämtliche Methoden auflistet, soll zuletzt im Juli 2012 verändert und fast 20.000 mal aufgerufen worden sein.

Seit Montag müssen sich die britischen Geheimdienste vor Gericht gegen Vorwürfe wehren, die Massenüberwachung verstoße gegen Menschenrechtsgesetze. Geklagt hatten zehn britische und ausländische Bürgerrechtsgruppen. Eine Regierungssprecherin betonte am Montag, die britischen Ausspähregeln entsprächen der Europäischen Menschenrechtskonvention.

Quelle: Golem.de

Studie: So heftig wird das Domain Name System manipuliert

Internet-Zensoren manipulieren gerne DNS-Einträge. Das System Iris sammelt DNS-Stichproben, um den Umfang der Manipulation zu schätzen. Spitzenreiter sind demnach der Iran, China, Indonesien und Griechenland.

Damit ein Browser eine Webseite wie heise.de öffnen kann, braucht er die zugehörige IP-Adresse. Die bekommt er normalerweise vom Domain Name System Server des Providers (DNS-Resolver). Um den Zugriff auf unliebsame Seiten zu erschweren, manipulieren Zensoren gerne heimlich die Einträge in DNS-Resolvern. Besonders im Iran und der Volksrepublik China wird diese Methode intensiv genutzt, wie eine Stichprobe zeigt.

Bei 2330 über offene DNS in den jeweiligen Ländern abgefragten Domainnamen waren im Iran durchschnittlich rund sechs Prozent und in China durchschnittlich rund fünf Prozent der Antworten manipuliert. Während die falschen DNS-Einträge auf iranischen DNS-Resolvern in der Regel auf spezielle IP-Adressen zeigen, die für nicht-öffentliche Nutzung reserviert sind, weisen chinesische Falscheinträge auf falsche öffentliche IP-Adressen, die zum Teil zufällig gewählt erscheinen.

Auf Platz 3 liegt Indonesien mit durchschnittlich 2,8%, gefolgt von Griechenland mit 0,4% manipulierten Einträgen. In Griechenland entfällt die Hälfte aller Falschauskünfte auf Webseiten für Sportwetten oder Glücksspiel. Auch in Zypern und Rumänien spielt diese Kategorie eine große Rolle.

Starke Unterschiede innerhalb einzelner Länder

Die Stichprobe wurde mit einem neuen System namens Iris gezogen. Iris ist eine Entwicklung von Wissenschaftlern der Universität von Kalifornien in Berkeley. Sie haben ihr Verfahren und ihre Ergebnisse vergangene Woche auf der 26. Usenix Security in Vancouver vorgestellt.

Dabei wurde deutlich, dass die Zensur auch innerhalb einzelner Länder keineswegs einheitlich agiert: Im Iran fanden die Forscher einen DNS-Resolver, der sogar mehr als 22 Prozent aller Anfragen falsch beantwortete. In China lag der Spitzenwert bei 8,4%, in Indonesien bei 10%, im Irak bei 5,8%. Diese Ausreißer liegen wohl am besonderen Zensureifer einzelner Internetprovider oder sonstiger DNS-Betreiber wie zum Beispiel einer Universität.

In China glaubten die Forscher zunächst, auch DNS-Resolver gefunden zu haben, die alle Anfragen korrekt beantworteten. Doch dabei dürfte es sich um Server handeln, deren Standort falsch verzeichnet ist, und die zum Beispiel in der Sonderverwaltungszone Hongkong stehen.

Diese Domains werden untergraben

Die meisten Manipulationen betrafen eine Webseite für Online-Poker, gefolgt von einem Sportwettenanbieter und drei Pornoseiten. Diese fünf Domains wurden in jeweils 19 Ländern manipuliert. In 18 Ländern wurden die DNS-Daten für zwei Domains von The Pirate Bay verändert. Ein Pornoseite, eine Pokerseite und noch eine Pornoseite vervollständigen die Top 10.

Die Webseite des Tor- Netzes (Torproject.org) kommt erst auf Platz 80 (zwölf Länder). In neun Ländern geht es twitter.com an den Kragen (Platz 181), in acht Ländern youtube.com (Platz 250).

Quelle: Heise.de

Russlands Informationskrieg: So funktioniert eine Troll-Fabrik

Moderne Konflikte werden immer häufiger als Propagandakriege ausgetragen. Ein ehemaliger Mitarbeiter einer solchen russischen Propaganda-Institution gibt Einblick in den «Kosmos von Desinformation und Manipulation».

Die Propaganda-Fabrik: Ein unscheinbares Büro-Gebäude im Norden von St. Petersburg. Sawuschkin-Strasse Nummer 55, hier liegt eine der Kommando-Stellen in Russlands Informationskrieg, die einstige «GmbH für Internet-Forschung». Es ist eine geheimnisvolle Firma. Sie hat mehrfach den Namen gewechselt und es ist unklar, wie sie jetzt genau heisst. Eine Medienstelle für Anfragen gibt es nicht. Als «Troll-Fabrik» wird das Unternehmen auch bezeichnet. Hunderte so genannter Trolle sollen hier arbeiten, Leute, die gegen Bezahlung das Internet mit prorussischen und kremlfreundlichen Kommentaren fluten. Wie die Troll-Fabrik funktioniert, weiss man nur deshalb, weil mehrere ehemalige Mitarbeiter auspacken.

Im Grunde geht es darum, die Realität zu verzerren. Es wird der Anschein erweckt, dass die Mehrheit der Russen die Politik des Kremls unterstützt.

Autor: VitaliEhemaliger Arbeiter in einer Troll-Fabrik

Der «Text-Redaktor»: Einer dieser Ex-Trolle ist Vitali, ein hagerer junger Mann. Seinen Nachnamen möchte er für sich behalten. «Ich habe im September 2014 angefangen, in der Troll-Fabrik zu arbeiten. Erst wusste ich gar nicht, was das für eine Firma ist. Es hiess nur, ich müsse «Texte redigieren», in der Stellenbeschreibung stand, ich sei «Content-Manager». Man hat mir einen Monatslohn von 45'000 Rubel angeboten, rund 750 Dollar, das ist eine Menge Geld für eine solche Arbeit.»

So wird gearbeitet: Vitali wurde in die Abteilung «Ukraine» eingeteilt. Die Krise im Nachbarland war gerade in einer heissen Phase und Vitali arbeitete für verschiedene Webseiten, die sich teilweise als ukrainische Nachrichtenportale ausgaben – in Wahrheit aber in St. Petersburg produziert wurden. Das System Troll-Fabrik war damals, so beschreibt es Vitali, ein ganzer Kosmos von Desinformation und Manipulation.

«Im ersten Stock an der Sawuschkin-Strasse sassen ich und meine Kollegen, wir machten Webseiten mit Informationen über den Konflikt.»

«Im zweiten Stock sassen Karikaturisten, die Dinge zeichneten, wie ein Bild Obama, der eine Karte der Ukraine aufisst. Und darunter stand dann der Satz: ‹Dasselbe kann auch mit Russland passieren, wenn wir ihn nicht aufhalten›».

«Im dritten Stock war die grösste Abteilung untergebracht, die Kommentar-Schreiber, die für Facebook und andere soziale Netzwerke Kommentare verfassten.»

Eine weitere Etage besetzten die Blogger, die sich zum Teil als Ukrainer ausgaben. Vitali sagt, es sei schwierig gewesen, mit anderen Mitarbeitern der Troll-Fabrik ins Gespräch zu kommen. Er vermutet aber, dass diese Blogger zum Teil als eigentliche Nachrichtenproduzenten agiert haben.

So funktioniert das System: Ein Blogger zum Beispiel schreibt gemäss Vitali einen ziemlich frei erfundenen Beitrag über die angeblich schrecklichen Zustände in der Ukraine – die Nachrichtenportale der Troll-Fabrik greifen diesen vermeintlichen «Augenzeugenbericht» auf – und machen daraus einen Artikel. Eine Art Perpetuum Mobile der Propaganda. «Die Troll-Fabrik macht gefälschte Nachrichten-Websites, sie lässt Leute im Internet Kommentare schreiben, die echt aussehen sollen, aber es nicht sind. Im Grunde geht es darum, die Realität zu verzerren. Es wird der Anschein erweckt, dass die Mehrheit der Russen die Politik des Kremls unterstützt.»

Wer steckt dahinter? Vitalis Erzählungen über die Troll-Fabrik bestätigen andere ehemalige Mitarbeiter, etwa die Journalistin Alexandra Garmaschapova. Sie hat sich für die regierungskritische Zeitung «Novaja Gaseta» als Undercover-Reporterin bei der Troll-Fabrik beworben und ebenfalls kurz dort gearbeitet. Sie recherchierte auch viel über die Hintermänner des «Wahrheitsministeriums», wie die Firma an der Sawuschkin-Strasse ironisch genannt wird.

Es gibt viele Indizien, die auf Prigozhin hinweisen. Er selber hat bisher weder bestritten noch bestätigt, dass er die Troll-Fabrik finanziert. Er schweigt einfach.

Autor: Alexandra GarmaschapovaJournalistin

Für Garmaschapova gibt es kaum Zweifel, dass hinter dem Unternehmen Ewgeni Prigozhin steht. Der Mann betreibt ein Catering-Unternehmen, das unter anderem Gäste im Kreml bewirtet. Daher stammt auch sein Übername: Putins Koch. Der schwerreiche Unternehmer konnte zudem sehr lukrative Staatsaufträge ergattern: Prigozhin liefert Essen in Schulen und an die Armee.

Auch auf eine Anfrage von SRF hat Prigozhins Firma nicht reagiert. Warum aber soll ein Catering-Unternehmer viel Geld aufwerfen für eine Internet-Propaganda-Maschine? Journalistin Garmaschapova erklärt es sich so: «Prigozhin hat enge Verbindungen zum Kreml und sein Reichtum hängt davon ab, dass Putin weiter an der Macht bleibt. Er verdient grosse Summen mit staatlichen Aufträgen, die er auf undurchsichtige Weise erhält. Er finanziert die Troll-Fabrik also faktisch mit staatlichen Geldern.»

Was ist ein Troll?

Als Troll bezeichnet man im Internet-Jargon eine Person, die ihre Kommunikation im Internet auf Beiträge beschränkt, die auf emotionale Provokation anderer Gesprächsteilnehmer zielt. Dies erfolgt mit der Motivation, eine Reaktion der anderen Teilnehmer zu erreichen.

Quelle: SRF.ch

Spähprogramme Prism und Tempora: Spionage in größerem Stil

Washington -Die US-Justiz hat nach Informationen der „Washington Post“ den in Hongkong untergetauchten Enthüller Edward Snowden offiziell der Spionage beschuldigt. Wie die Zeitung am Freitag (Ortszeit) auf ihrer Internetseite berichtete, wirft die Staatsanwaltschaft dem 29-Jährigen in einer ersten Anklageschrift außerdem Diebstahl und Weitergabe von Regierungseigentum vor.

Snowden war Angestellter der Servicefirma Booz Allen Hamilton und arbeitete für die National Security Agency (NSA). Die Strafanzeige wurde vor über einer Woche im Bundesstaat Virginia eingereicht. Aus US-Kreisen verlautete zudem, die Behörden bereiteten einen Auslieferungsantrag an Hongkong vor. Dort soll sich Snowden verstecken.

Die US-Justiz stellte den Angaben zufolge einen Haftbefehl gegen Snowden aus und bat die Behörden in Hongkong, diesen zu vollstrecken.

"Tempora" soll noch größeren Umfang haben

Derweil berichtet der "Guardian", dass der britische Geheimdienst GCHQ Telefon- und Internetkabel anzapft und große Mengen von persönlichen Informationen an die US-Behörde NSA weitergibt. Das Programm mit dem Namen „Tempora“ bestehe seit etwa eineinhalb Jahren, berichtete das Blatt am Freitag auf seiner Webseite. Demnach zapfen die Geheimdienstler Glasfaserkabel an, durch die der transatlantische Datenverkehr abgewickelt wird. Die Informationen dürften bis zu einem Monat lang gespeichert werden.

Der „Guardian“ beruft sich ebenfalls auf Dokumente, die ihm von Snowden zugespielt wurden. Der britische Geheimdienst Government Communications Headquarters (GCHQ) arbeitet seit Jahrzehnten mit der NSA eng zusammen. Beide Behörden kooperieren zudem mit Geheimdiensten in den Kanada, Australien und Neuseeland. Dabei sei der Umfang von "Tempora" noch größer als der von "Prism".

Die Enthüllung dürfte den Druck auf die britische Regierung erhöhen, zu erklären, wie sie Daten sammelt und nutzt. Ein GCHQ-Sprecher lehnte einen Kommentar ab. Dem Bericht zufolge erfolgt die Spähaktion der Briten mit Hilfe von Firmen, die nicht genannt wurden. Sie seien per Gerichtsbeschluss zur Zusammenarbeit gezwungen worden und müssten die Anordnungen geheim halten.

Außenminister William Hague sagte kürzlich, der GCHQ halte sich bei der Auswertung von Spähaktionen immer an britisches Recht. Über eine Zusammenarbeit mit US-Geheimdiensten machte er keine Angaben. Snowden hatte in diesem Monat weltweit für Aufregung gesorgt, weil er dem „Guardian“ und der „Washington Post“ Informationen über ein US-Spähprogramm namens „Prism“ zuspielte. Dabei werden mit Hilfe von Internetkonzern große Mengen von Daten ausgewertet.

Bundesjustizministerin Sabine Leutheusser-Schnarrenberger hat sich entsetzt über die Berichte gezeigt. „Treffen die Vorwürfe zu, wäre das eine Katastrophe“, erklärte die Ministerin am Samstag in Berlin. Die Vorwürfe gegen Großbritannien klängen nach einem Alptraum a la Hollywood. „Die Aufklärung gehört sofort in die europäischen Institutionen“, forderte die stellvertretende FDP-Vorsitzende.

Obama verteidigt "Prism"

US-Präsident Barack Obama hat die Geheimdienstarbeit verteidigt und argumentiert, dass eine Balance zwischen Terrorismusabwehr und Datenschutz gefunden worden sei. Am Freitag traf er sich mit einem Gremium für Bürgerrechte, um Bedenken zu zerstreuen. Auch hochrangige Kongressabgeordnete haben das Programm verteidigt. (Reuters, dpa)

Quelle: Berliner-Zeitung.de

Massenüberwachung: BND speichert 220 Millionen Telefondaten pro Tag

Der Auslandsgeheimdienst sammelt in großem Stil Metadaten und liefert sie an die NSA. Das erfuhr ZEIT ONLINE. Die Amerikaner nutzen solche Daten zum Töten.

Metadaten helfen Amerikas Geheimdiensten beim Töten. Und der Bundesnachrichtendienst hilft der NSA und der CIA, genau solche Metadaten zu sammeln. Nicht gezielt, sondern massenhaft. Viele Millionen Metadaten fischt der BND ab und reicht sie an die amerikanischen Dienste weiter. Genauer: 220 Millionen jeden Tag.

Im deutschen Auslandsgeheimdienst vollzieht sich ein Paradigmenwechsel. Statt einzelnen Verdächtigen nachzuforschen, setzt der BND auf Massenüberwachung. Recherchen von ZEIT ONLINE zeigen nun zum ersten Mal, wie umfangreich dieser Umbau ist und wie problematisch.

Früher belauschten Spione Menschen, sie kopierten heimlich Briefe und hörten Telefonate ab. Sie wollten wissen, was die Leute sagen, was sie miteinander verabreden und sich gegenseitig weitererzählen. Bis heute bestimmt der mithörende Agent mit den Kopfhörern auf den Ohren die Vorstellung davon, wie Überwachung funktioniert. Doch das ist die Vergangenheit.

Die Spione der Gegenwart interessieren sich für ganz andere Spuren: Metadaten. Aus ihnen können die Geheimdienste herauslesen, wer wann wo mit wem und wie lange kommunizierte. Jede E-Mail trägt solche Metadaten, jede SMS, jedes digitale Bild, jede WhatsApp-Nachricht. Wer sie interpretieren kann, weiß nicht nur, was Menschen einander erzählen. Metadaten verraten viel mehr: Wo Menschen gerade sind, woher sie kamen, was sie im Moment tun, sogar was sie planen. Sie enttarnen jedes Versteck und jeden heimlichen Kontakt. "We kill people based on metadata", sagte der frühere NSA- und CIA-Chef Michael Hayden 2014. Wer die passenden Metadaten kennt, weiß, wohin er die tödliche Drohne schicken muss.

Genau so gehen NSA und CIA vor. Die menschlichen Ziele, auf die amerikanische Drohnen im Jemen, in Somalia oder Afghanistan ihre Hellfire-Raketen abschießen, werden mit ebensolchen weltweit mitgeschnittenen Metadaten ermittelt – mit GPS-Standortkoordinaten, mit Kommunikationsmustern, mit Kennungen von Mobiltelefonen. Anhand dieser Informationen lassen sich auch Profile erstellen und Muster im Verhalten der Zielperson erkennen. So können die Geheimdienste mit großer Sicherheit voraussagen, was eine bestimmte Person als Nächstes tun wird, wo sie sich zu einem bestimmten Zeitpunkt aufhalten wird. Für die NSA sind Metadaten eine der wichtigsten Informationsquellen.

Auch im BND weiß man schon lange um die Macht der Metadaten. Seit dem 11. September 2001 wird dort überlegt, die Arbeit stärker auf solche Daten zu stützen. Seit 2002 nahmen diese Überlegungen Kontur an, belegen Aktenvermerke des Dienstes. Sie zeigen auch, dass der BND inzwischen große Teile seiner Überwachung auf die Auswertung von Metadaten umgestellt hat.

ZEIT ONLINE hat von geheimen Akten des Auslandsnachrichtendienstes erfahren, aus denen hervorgeht, dass fünf Dienststellen daran beteiligt sind, Metadaten in großem Stil zu sammeln. In den BND-Außenstellen in Schöningen, Rheinhausen, Bad Aibling und Gablingen laufen in aller Welt abgesaugte Metadaten ein, 220 Millionen davon an jedem einzelnen Tag. Zwischen einer Woche und sechs Monaten werden sie dort gespeichert und nach bislang unbekannten Kriterien sortiert. Die Daten werden aber nicht nur gesammelt. Sie werden auch genutzt, um Verdächtige zu beobachten und zu verfolgen.

Woher der BND die Daten genau bezieht, ist noch unklar. Der NSA-Untersuchungsausschuss des Bundestages hat aufgedeckt, dass der Geheimdienst sowohl Satellitenkommunikation als auch Internetkabel abhört. Die 220 Millionen Metadaten sind nur ein Teil dessen, was bei diesen Abhöraktionen anfällt. Sicher ist, dass die Metadaten allein aus "ausländischen Wählverkehren" stammen, also aus Telefonaten und SMS, die über Mobilfunk und Satelliten geführt und verschickt wurden.

Daten werden zehn Jahre lang gespeichert

Von diesen 220 Millionen Daten, die jeden Tag anfallen, wird ein Prozent dauerhaft archiviert. Zwei Millionen Metadaten landen also in einer fünften Dienststelle. Dort werden sie in einer Datenbank für "Langfristanalysen" für zehn Jahre abgelegt. In diesem Langfrist-Speicher ist noch keine Internetkommunikation enthalten, keine Daten aus sozialen Netzwerken, keine E-Mails. Auch für diese interessiert sich der BND und sammelt sie in bislang noch unbekanntem Umfang. Allein der Telefondatenspeicher enthält jedoch schon "circa 11 Milliarden Einträge pro Jahr".

Doch offensichtlich ist das dem BND längst noch nicht genug. ZEIT ONLINE konnte weitere Geheimakten einsehen. Dort finden sich Hinweise, dass der Geheimdienst noch viel mehr solcher Informationen sammeln will. So hat der BND schon vor einigen Monaten im Bundestag beantragt, seinen Etat um 300 Millionen Euro aufzustocken. Mit diesem Geld soll die elektronische Ausstattung hochgerüstet werden. Der Name des Projekts: Strategische Initiative Technik (SIT). Darin findet sich ein Programm mit dem Namen EASD. Die Abkürzung steht für "Echtzeitanalyse von Streaming-Daten". Wie die Akten belegen, will der BND fast 700.000 Euro investieren, um eine spezielle Datenbank-Software namens Hana zu installieren. Hergestellt wird sie vom deutschen Software-Konzern SAP.

Das System Hana ist eine sogenannte In-Memory-Datenbank. Alle dort gespeicherte Daten liegen nicht auf Festplatten, sondern im sogenannten RAM, dem Arbeitsspeicher. Auf diesen kann innerhalb von Millisekunden zugegriffen werden. Hana kann deshalb Suchanfragen in einer Sekunde beantworten, für die ein festplattengestütztes System mindestens einen halben Tag brauchen würde. Fragt ein Agent ein solches System: Wo ist uns dieser Terrorist schon einmal aufgefallen?, erhält er unmittelbar ein Ergebnis. Wichtiger allerdings ist, dass Hana auch komplexe Anfragen fast ebenso schnell verarbeiten kann. Das heißt, die Datenbank kann viele verschiedene Daten miteinander verknüpfen, um Muster herauszulesen. Solche Technik braucht man, wenn man Metadaten in großem Stil auswerten will.

Verschleiert als Routineverkehr

Vielen Bürgern ist nicht bewusst, wie aussagekräftig Metadaten sind. Der BND tut einiges dafür, dass das so bleibt. Während der Anhörungen vor dem NSA-Untersuchungsausschuss sprechen die Geheimdienstler beispielsweise konsequent von "Routineverkehren", wenn sie Metadaten meinen. Das klingt nach schlechtem Sex und soll verschleiern, dass sich dahinter eine flächendeckende, anlasslose und massenhafte Überwachung verbirgt.

Außerdem argumentieren die Agenten, dass sie solche Routineverkehre überall in der Welt ohne Beschränkungen absaugen und nach Gutdünken verwenden dürfen. Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar teilt diese Ansicht ganz und gar nicht. Er ist der Meinung, dass auch Metadaten durch das Grundrecht des Brief- und Postgeheimnisses geschützt sind.

Aber selbst wenn Metadaten nicht unter dem Schutz des Grundgesetzes stehen sollten, müsste sich der BND eine Langfrist-Datenbank, die nach dem Gesetz eine "automatisierte Datei" ist, vom Kanzleramt genehmigen lassen. Über jede automatisierte Datei, in der Daten länger als sechs Monate gespeichert werden sollen, muss außerdem die Bundesbeauftragte für Datenschutz informiert werden.

Leider ist nicht zu erfahren, ob Letzteres geschehen ist. Dateianordnungsverfahren zu geheimen Dateien sind ebenfalls geheim, lautet die Antwort der Bundesbeauftragten auf entsprechende Fragen. Man könne sich dazu nicht äußern und die Existenz einer solchen Anordnung weder dementieren noch bestätigen. Es bleibt also nur die Hoffnung, dass die Datensammlung ordentlich genehmigt wurde. Eine kleine Hoffnung. Denn der BND hat schon andere Datenbanken teilweise über Jahre hinweg ohne die gesetzlich vorgeschriebene Zustimmung der Kontrollbehörden betrieben.

Informationen werden nur "reaktiv" preisgegeben

Die Nebelmaschine des BND funktioniert offenbar auch gegenüber der Bundesregierung. Es war 2013, in der Zeit der großen Aufregung um die Enthüllungen Edward Snowdens. Im Juni und Juli des Jahres versicherten Regierungsmitglieder wie Kanzleramtsminister Ronald Pofalla immer wieder, NSA und BND hielten sich an deutsche Gesetze.

Diskutiert wurden damals jedoch nur Inhaltsdaten, also Gesprächsmitschnitte sowie die Inhalte von Faxen und E-Mails. Um Metadaten ging es noch gar nicht. Erst Mitte August 2013 deutet der Grünen-Politiker Hans-Christian Ströbele erstmals an, dass es noch eine zweite Überwachungsebene geben könnte. Nach einer Sitzung des Parlamentarischen Kontrollgremiums sagte er, er habe erfahren, dass der Bundesnachrichtendienst "Hunderte von Millionen von Informationen von Kommunikationsverbindungen" aus der Auslandsaufklärung speichere und an die USA weiterleite. Die Dimension des Problems jedoch erkannte auch Ströbele damals offenbar nicht.

Im BND war man wohl ganz zufrieden damit, dass sich die öffentliche Debatte an anderen Themen abkämpfte und wirkte darauf hin, dass sich das auch nicht änderte. Ein Beispiel: ZEIT ONLINE hat Kenntnis von geheimen Akten, aus denen hervorgeht, dass der BND die Information über die Anzahl der abgefischten Metadaten für die Sitzung des Parlamentarischen Kontrollgremiums am 26. Juni 2013 zusammengestellt hatte. Doch selbst vor dem geheim tagenden und sehr verschwiegenen Kontrollgremium wollte der Dienst seine Aktivitäten nicht direkt offenbaren. Die Informationen sollten nur "reaktiv" vorgetragen werden, ist in der Akte vermerkt – also nur, wenn die Parlamentarier gezielt danach fragen.

Kontrolleure erfahren nur, was sie schon wissen

Die Geheimdienstler gehen oft so vor. Damit erschweren sie es den Parlamentariern gewaltig, ihrer Kontrollaufgabe nachzukommen. Denn auf diese Weise können die Abgeordneten die Geheimdienstler nur noch dazu zwingen, zuzugeben, was die Kontrolleure ohnehin schon wissen. "Sie können ja nur nach konkreten Vorgängen fragen, wenn sie davon schon Kenntnis haben", sagt Gisela Piltz. Sie war für die FDP im Bundestag und zur fraglichen Zeit Mitglied im Parlamentarischen Kontrollgremium. "Es war immer schwierig, umfassende Informationen zu erhalten, offensichtlich trauen die Nachrichtendienste auch Parlamentariern nicht unbegrenzt."

Ähnlich geht es gegenwärtig im NSA-Untersuchungsausschuss zu. Ein Unterabteilungsleiter des BND namens W.K. hatte beispielsweise im November 2014 im Ausschuss zum ersten Mal eine Zahl genannt: 500 Millionen. Das sei die Menge an Metadaten, die vom BND an die NSA gesandt werde – jeden Monat. Die große Menge erkläre sich dadurch, dass ein einzelnes Telefonat schon Dutzende von Metadaten enthalte. Vermitteln wollte er: So viel ist das alles nicht.

Tatsächlich steckt schon hinter diesen 500 Millionen Metadaten des Herrn K. ein Gegenwert von vielen Millionen Telefonaten oder SMS. Und das ist nur ein Bruchteil dessen, was wahrscheinlich übermittelt wird. Denn die 500 Millionen im Monat beziehen sich allein auf das Satellitenabhörprogramm in Bad Aibling. Wie viele der 220 Millionen täglich gesammelten Metadaten aus den anderen Abhörprogrammen in die USA gesendet werden, ist bislang nicht öffentlich geworden. W.K. verlor darüber kein Wort.

Nachtrag: Bei der Sitzung des NSA-Untersuchungsausschusses am 5. Februar 2015 sagte der gleiche W.K. vom BND, dass nur ein kleiner Teil der gesammelten Daten an die USA geschickt werde. Wie viele genau, wollte er nicht beziffern. Zitat: "Das ist weniger als ein Promillebereich, der an die USA geht." Das wären im Zweifel immernoch mehrere hunderttausend bis Millionen Metadaten am Tag.

FDP-Politikerin Piltz und auch verschiedene Mitglieder des NSA-Ausschusses fordern daher längst eine Überarbeitung der Geheimdienstkontrolle. Sie wünschen sich mehr Leute, mehr Sachverstand. Vor allem aber: mehr Einblick in die Arbeit der Agenten.

Quelle: Zeit.de

Internetüberwachung: Wer gerät in den Griff der Schweizer Spione?

Mit der Kabelaufklärung hat der Schweizer Geheimdienst umfassenden Zugriff auf die Kommunikation im Internet bekommen. Wie genau er die Daten abzapfen will, ist aber noch nicht klar. Offen ist auch, ob dabei wirklich nur die Kommunikation ins Ausland überwacht wird, wie das Gesetz verlangt.

Das Abstimmungsergebnis war klar: 65,5 Prozent der Schweizerinnen und Schweizer sagten Ja zum Bundesgesetz über den Nachrichtendienst. Kein einziger Kanton lehnte die Vorlage ab. Doch was sie da genau angenommen hatten, war wohl den wenigsten klar. Denn auch nach Inkrafttreten des Gesetzes am 1. September scheint in wichtigen Punkten noch offen, wie der Geheimdienst seine neuen Machtbefugnisse im Internet einsetzen wird.

Mit dem neuen Nachrichtendienstgesetz wird die sogenannte Kabelaufklärung möglich. Das bedeutet, dass der grenzüberschreitende Datenverkehr nach bestimmten Stichworten durchsucht werden kann – nicht ständig, sondern nur bei einem gegebenen Verdacht. Zuständig für die Überwachung ist der Nachrichtendienst des Bundes (NDB). Das eigentliche Abzapfen der Daten übernimmt das Zentrum für elektronische Operationen (ZEO) der Armee.

Das ZEO installiert im Auftrag des NDB bei den Schweizer Internet-Providern Software und Geräte, die für die Umsetzung der Kabelaufklärung nötig sind. Die Provider müssen den Mitarbeitern des Zentrums dazu jederzeit Zugang zu ihren Räumen gewähren. So steht es im Gesetz.

Wie lässt sich erkennen, ob Daten wirklich ins Ausland gehen?

Das Gesetz schreibt auch vor, dass der Geheimdienst keine Daten sichern und verwenden darf, bei denen sowohl der Sender als auch der Empfänger in der Schweiz sind. Doch auch nach dem Inkrafttreten des Gesetzes gibt es in diesem Punkt noch Fragezeichen. Denn ein grosser Teil des Schweizer Internetverkehrs läuft über Server im Ausland. Und das auch, wenn sich sowohl der Sender als auch der Empfänger einer Anfrage in der Schweiz befinden.

Dass sich die grenzüberschreitende Kommunikation kaum von der inländischen unterscheiden lässt, hat schon im Abstimmungskampf für Aufregung gesorgt. Und der Unmut hat sich bis heute nicht gelegt. Denn für die Kritiker wird mit dem neuen Gesetz die Massenüberwachung der Schweizer Bevölkerung möglich. Jeder könne ins Visier des NDB geraten, denn wenn aus technischen Gründen sämtlicher Internetverkehr durchsucht werde, dann seien nicht mehr nur Leute von der Kabelaufklärung betroffen, gegen die ein Anfangsverdacht bestehe.

Beschwerde gegen die Kabelaufklärung

Beim Geheimdienst sieht man das anders. NDB-Sprecherin Carolina Bohren schreibt auf Anfrage von SRF Digital: «Wo die Ausfilterung von Inland-Kommunikation technisch nicht möglich ist, werden solche Daten unverzüglich vernichtet, sobald ihre schweizerische Herkunft und Zieladresse erkannt wird.» Der NDB erhalte ausschliesslich Resultate, die von einem Mitarbeiter des ZEO im Einklang mit den gesetzlichen Grundlagen ausgewertet wurden.

Doch Erik Schönenberger von der Digitalen Gesellschaft genügt das nicht. «Die Überwachung beginnt mit der Auswertung durch das ZEO», erklärt er gegenüber SRF Digital. «Und laut Gesetz kann der Geheimdienst auch inländische Kommunikation verwenden, wenn das ZEO bei der Auswertung zum Schluss kommt, dass darin sicherheitsrelevante Dinge vorkommen.». Die digitale Gesellschaft hat deshalb Beschwerde gegen die Kabelaufklärung erhoben und verlangt vom NDB, die umstrittene Aufklärungsmethode zu unterlassen.

Internet-Provider sind noch im Unklaren

Ob die Kabelaufklärung die Massenüberwachung der Schweizer Internetkommunikation bedeutet, ist nicht die einzige ungeklärte Frage beim neuen Nachrichtendienstgesetz. Auch auf technischer Ebene ist in vielen Punkten noch nicht klar, wie der Geheimdienst beziehungsweise das Zentrum für elektronische Operationen ihrem Auftrag nachkommen werden. Kaum ein Internet-Provider weiss heute schon, was dabei genau auf ihn zukommen wird.

Auch beim Nachrichtendienst ist dazu nichts Konkretes zu erfahren: «Ein Provider ist verantwortlich, dem ZEO eine Kopie seines Signals zugänglich zu machen. Die weitere Verarbeitung und der Transport des Signals ist dann Sache des ZEO», schreibt Carolina Bohren vom NDB. Und erklärt, zu weiteren Details könne sie aufgrund der Geheimhaltung keine Stellung nehmen.

Im vertraulichen Gespräch mit SRF Digital war von einem Provider zu erfahren, dass erste Gespräche mit dem Geheimdienst erst in den nächsten Wochen stattfinden werden. Erst dann wird sich klären, wie die Überwachung im Einzelfall genau aussehen kann und wie das ZEO und schliesslich der NDB zu den abgezapften Daten kommen.

ZEO kopiert den grenzüberschreitenden Datenverkehr

Fragt man Spezialisten, dann sind verschiedene Methoden denkbar. Zum Beispiel, dass das ZEO an einem Knotenpunkt im Glasfasernetz einen sogenannten «optical splitter» installiert und so den gesamten ins Ausland gehenden Datenverkehr abzapft und zu sich umleitet. Das vermutet zumindest einer der von SRF Digital befragten Provider. Das ZEO würde den Datenstrom dann nach Stichworten durchsuchen und die Treffer schliesslich an den Nachrichtendienst weiterleitet.

Anderen Experten scheint diese Lösung zu aufwändig. Sie gehen stattdessen davon aus, dass das ZEO direkt bei den Providern den grenzüberschreitenden Datenverkehr kopiert und vor Ort nach Stichworten durchsucht. Dazu kommt ein Gerät zum Einsatz, das nicht viel grösser als ein Router in einem Industrienetzwerk ist und dessen Software die Entsprechung der vorgegebenen Suchbegriffe im immensen Datenstrom finden und aussortieren kann.

Über eine verschlüsselte Internetleitung werden die Treffer dann direkt zum ZEO übermittelt. Dieses untersucht sie noch einmal, bevor es die vom Gesetz zur Verwendung erlaubten Daten schliesslich an den NDB weiterleitet.

Quelle: SRF.ch

Daten-Detektive: Betrügern und Terroristen auf der Spur

Ob bei Credit Suisse, Fifa oder VW: Intelligente Software revolutioniert die Untersuchung­s­arbeit von Juristen und Geheimdiensten mit sehr grossen ­Datenvolumen. Wie die Recherche heute funktioniert.

Wie findet man Terrornetzwerke im Wirrwarr der pakistanischen Millionenstadt Rawalpindi? Wie spürt man die Deals eines Insidertraders in Milliarden von einzelnen Börsentransaktionen auf? Wie identifiziert man die kreativsten Teams in einem Weltkonzern?

Wer hier an Geheimagenten denkt oder gar an Hundertschaften von Kriminalbeamten, Anwälten oder Beratern, die Suchwörter in eine Datenbank eintippen, der ist aus der Zeit gefallen. Solche Fragen werden heute von Maschinen beantwortet. Wo selbst erfahrene Ermittler vor kurzem noch kapitulierten, liefern heute moderne Datendetektive die Beweise – mit selbstlernender Software. Bei der ­Untersuchung grosser Betrugsfälle entwickelten sie ihre revolutionären Werkzeuge zur Datenanalyse, und nun spannen sie auch mit Geheimdiensten und Militärs zusammen. Ihre Software wird schon bald Unternehmen umwälzen.

Als die Bundesanwaltschaft am Fifa-Sitz die elektronischen Archive mit E-Mails, Verträgen und Korrespondenzen gesichert hatte, amüsierte sich ein Betroffener noch: «Elf Terabyte Daten! Damit haben sie jetzt einige Zeit zu tun.» Der Manager war nicht up to date. Und in ­Medienkommentaren wurde das Volkswagen-Management schon ­voreilig exkulpiert, weil man in den rie­sigen Datenarchiven des Weltkonzerns die Mitwisser nie finden könnte.

Unstrukturierte Sammlung professionell durchsuchen

Doch, man kann. Datenanalyse funktioniert heute anders als Desktop-Search am Personal Computer. Wie es gehen kann, berichteten die investi­gativen Journalisten der «Süddeutschen Zeitung» über die Enthüllung der Pana­ma Papers. 2,6 Terabyte Daten hatte ihnen ein Informant übermittelt.

Sie kauften sich eine Workstation mit 64 Gigabyte ­Arbeitsspeicher, einer superschnellen SSD-Festplatte und drei weiteren Laufwerken und untersuchten das Material mit Hilfe amerikanischer Datenjour­nalisten. Dabei nutzen sie die Ermittler-Software Nuix, die ihre ­unstrukturierte Sammlung von 11,5 Millionen Dokumenten indexierte und professionell durchsuchbar machte. So identifizierten sie Regierungsmitglieder und deren Freunde. Das war nicht einmal die neueste Lösung.

Ende März gründete die Credit Suisse mit der Silicon-Valley-Firma Palantir, dem mächtigsten Softwarekonzern auf dem Gebiet der Datenrecherche, ein Joint Venture. Das Ziel: die Echtzeit-Über­wachung im Handelsraum.

Grosse Fischzüge im Datenmeer

Im Ermittlungsbüro von Deloitte Schweiz werden die Daten eines Grosskonzerns über sichere Leitungen erfasst. Die Festplatten befinden sich in einem Datenbunker irgendwo im Zürcher Glatttal. Der Konzernkunde ist einer Unter­suchung durch die US-Justiz ausgesetzt. Das Management will so schnell wie ­möglich wissen, was vorgefallen ist. Es will vor allem den gleichen Wissensstand erreichen wie die Behörden, die riesige Datenbestände gesichert haben: E-Mails, Verträge, Managementinformations­systeme, Spesenbelege, Bankdaten.

Im Deloitte-Büro geht es um grosse Fischzüge im Datenmeer. Grossbetrug, Veruntreuung, Korruption, Produkt­piraterie, solche Sachen. Das Team rund um David Fidan, Richard Kershaw und Bob Dillen zählt auf diesem Feld zu den Besten der Welt. Forensik-Experte Fidan ermittelt seit 16 Jahren in Fällen von ­Finanzkriminalität, darunter weltberühmte Fälle. Kershaw, Orientalist und Computerforensiker, kam Anfang 2015 aus Hongkong dazu. Und Datenanalytiker Dillen ermittelte 15 Jahre lang in New York. Im Team sprechen sie neben Englisch und den Schweizer Landessprachen Spanisch, Japanisch, Holländisch, Rumänisch und Russisch sowie die Programmiersprachen Perl, Python, SQL, Bash, Awk und SAS.

Am Beispiel des US-Energiekonzerns Enron, der 2001 nach Betrügereien und Bilanzschwindel kollabierte, demonstrieren sie, wie sie heute arbeiten. Der Enron-Fall wird gerne als Muster herangezogen, weil die Firmenarchive mit sämtlichen E-Mails ­öffentlich zugänglich sind – eine perfekte Test-Range also.

Sie filternGut und Böse

Sie durchkämmen das Enron-Material mit Software von den State-of-the-Art-Anbietern Relativity und Brainspace. Diese Programme erzählen nahezu auf Knopfdruck die Story, die hinter dem Kollaps des Konzerns stand – visualisiert mit schönen Grafiken und Timelines. «Concept Search» nennt sich das. Mit raffinierten Algorithmen entdecken sie Anomalien in der Sprache der Mitarbeiter wie in den finanziellen Transaktionen, korrelieren aussergewöhnliche Verhaltensmuster miteinander und stellen Verbindungen zwischen verdächtigen Personen und deren Geldgeschäften her. Sie verwerfen das Normale und trennen das Irreguläre heraus, sie filtern Gut und Böse.

So erzählt die Ermittlermaschine die Geschichte des Enron-Finanzmanagers Andrew Fastow, der Millionen in Briefkastenfirmen abzweigte, die schliesslich ihm selbst gehörten. Damals hatten die US-Ermittlungsbehörden mit grossen Teams mehr als ein Jahr benötigt, bis sie dies ­bewiesen hatten. Die Maschine braucht dafür ein paar Stunden.

Schneller als alle Ermittlungsteams

Im Fall eines raffinierten Hypothekarbetruges wird die Maschine mit seitenlangen Tabellen von Darlehensverträgen, Kundenadressen und Daten aus sozialen Netzen über die Beteiligten gefüllt. Zahlen, Zahlen, Zahlen, Tausende Zeilen davon. Nach nur 15 Minuten spuckt die Software die heissen Orte aus, wo die zweifelhaften Deals ­passierten. Diskret und geräuschlos.

Noch schneller werden aus gewaltigen Excel-Dateien mit Verkaufsdaten eines Grossunternehmens die verdächtigen Verkäufer genau lokalisiert. Am nächsten Tag können die trickreichen Mitarbeiter mit diesem Wissen kon­frontiert werden. Sie staunen und ge­stehen. An einem Fallbeispiel rechnet Brainspace vor, wie sie damit die Honorarkosten bei einer Untersuchung um 98 Prozent reduzierten.

Der Clou dabei: Die Software ent­wickelt selbst Suchwörter, selbstlernend erkennt sie passende und unpassende Muster und nimmt dann die Fährte auf. Das Problem dabei: Dieser Software-Einsatz ist sündhaft teuer. Lizenzen, Datenzentren, Wartung, Training und Einsatz der Teams verschlingen Millionen. Das rechnet sich nur bei wirklich «lohnenden» Fällen, bei denen wiederum Millionen auf dem Spiel stehen. Daher ist die Software nur bei wenigen Dienstleistern der Investigationsindustrie im Einsatz.

Lückenlose Arbeit wird verlangt

«Unsere Technik lässt sich vor Gericht verteidigen», sagt Fidan, «das erst macht sie zu einer forensischen Methode.» Denn die Justizbehörden wollen die Untersuchungsschritte nachvollziehen können, damit sie wissen, wie akkurat gearbeitet wurde. Das Programm des US-Justiz­ministeriums (DoJ) zur Suche nach Schwarzgeld von Amerikanern wirkte wie ein Katalysator. Deloitte hat für viele Banken die Daten für das DoJ aufbe­reitet. So wurden neue Standards etabliert – nicht nur im Strafverfahren, ­sondern auch in der Analysetechnik.

Bereits beim Abzapfen der Daten wird lückenlose Arbeit verlangt. «Wir mussten in den USA in einem einzigen Fall mehr als 60'000 Mobilgeräte sichern», erzählt Dillen. Smartphones ­zählen mittlerweile zu den wichtigsten Beweismitteln. Sie liefern Informationen über Zeitpunkt und Dauer eines Telefonkontakts sowie die Reaktionen. Die Spezialfirmen EnCase und Cellebrite bieten für jedes marktübliche Gerät das passende Absaugsystem. Der letzte Schrei: «Cloud Analyzer».

Wenn die Software selber lernt

Früher setzten das Deloitte-Team und andere ähnliche Büros ganze Batterien von Vertragsanwälten ein, welche die Daten mit Suchwörtern durchforsteten. Es waren Mammutprojekte mit Schwächen: teuer und lückenhaft. Analy­tiker sind gut honoriert, doch auch sie haben mal einen schlechten Tag.

Der entscheidende Fortschritt kam mit der intelli­genten, selbstlernenden Software. Am Anfang standen Programme, die den Datenbestand importierten, verschlagworteten und durchsuchbar machten. Erst haperte es beim Datenimport. Ausgemusterte Dateiformate, die oft noch in Firmenarchiven zu finden sind, waren nicht integrier- und lesbar. Erst Programme wie dtSearch konnten in ­kurzer Zeit Terabyte-Volumen an Webdaten, E-Mails und Dateien indexieren und auf komplexe Anfragen mit ­verknüpften Suchwörtern oder Zahlen eine Trefferliste anzeigen – in Sekundenbruchteilen. Darauf aufbauend wurden eDiscovery-Programme wie Nuix, Ringtail, Recommind oder Relativity und schliesslich Brainspace entwickelt.

Auch für Analysen der Firmenkultur genutzt

Das ist die heutige Praxis. An der Zukunft bastelt unterdessen Peter Gloor. Der Forscher lehrt an der amerikanischen Ostküste, am Center for Collective Intelligence des Massachusetts Institute of Technology (MIT). Er bietet seine Erkenntnisse auch über seine Firma Galaxy Advisors an. Konzerne nutzen sein Wissen nicht nur für Betrugsuntersuchungen, sondern auch für Analysen der Firmenkultur oder der Motivation der Mitarbeiter.

So destilliert Gloor aus den E-Mail-Archiven der Konzerne die kreativsten Teams heraus, welche Mitarbeiter starke Führungsrollen jenseits der Hierarchie innehaben oder wer gerade unmotiviert auf dem ­Absprung ist und dem Unternehmen verloren gehen könnte. Dabei wird nicht nur die Sprache analysiert und wie ehrlich ­jemand kommuniziert. Untersucht wird zum Beispiel auch, wer wem wie schnell auf eine E-Mail antwortet.

Das Konzept dahinter: Gloor sucht mit Erkenntnissen der Verhaltensforschung nach «ehrlichen Signalen», die ausgesendet werden. Damit lässt sich selbst in einem Weltkonzern ein regelwidrig operierendes oder aber ein besonders fortschrittliches Team entdecken. Denn die Sprache ist verräterisch.

Was Skype verraten kann

Fortschritte bei der maschinellen Gesichtserkennung eröffnen ein weiteres Feld: Viele Gespräche werden heute konzernintern via Skype geführt, also stehen riesige Gesprächsdatenbanken zur Ver­fügung. Kaum ein Mitarbeiter ahnt, was solche Videos über ihn aussagen.

Im Silicon Valley an der Westküste geht man noch einen Schritt weiter. Dort sitzt in Palo Alto der wohl mächtigste ­Datendetektiv der Welt: Palantir. Gegründet wurde die Firma von ehemaligen PayPal-Nerds, nachdem sie ein System entwickelt hatten, mit dem sie den In­ternet-Bezahldienst vor Betrügereien schützten. Startgeld bezogen sie von einem Innovationsfonds des US-Geheimdienstes CIA. Sie entwickelten eine ­intelligente Analyseplattform, mit der unstrukturierte Daten sogar in Echtzeit importiert, strukturiert und untersucht werden können. Mit rasantem Erfolg. Heute wird der Wert des Privatunternehmens auf 20 Milliarden Dollar geschätzt.

Auf Terror- oder Katastrophen­ereignisse schneller reagieren

Wie Search-Artisten surfen die Leute von Palantir auf den Datenwellen. Für das Pentagon verknüpfen sie weltweit verstreute Datenbanken, für die Geheimdienste liefern sie sensible Analysen, über die sie nicht sprechen dürfen. Durch­gesickert ist aber, dass sie Terrornetzwerke in Pakistan aufspüren, Bombennester in Afghanistan suchen und im Archiv des Anlagebetrügers Bernie Madoff Handelsdaten aus 40 Jahren analysierten. Vor allem die Fähigkeit zur Echtzeit-Analyse macht sie so nützlich. So können sie mit ihrer Plattform Twitter-Meldungen nach 15 Sekunden auswerten. Nachrichtendienste sind damit in der Lage, auf Terror- oder Katastrophen­ereignisse viel schneller zu reagieren.

In ihren Präsentationen zeigen junge Palantir-Forscher mit grosser Euphorie, wie sie US-Kriegseinsätze zu optimieren helfen und Polizeidienststellen vernetzen. Sie arbeiten für die CIA, die Homeland Security, für das FBI, die SEC, das Marine Corps, die Air Force sowie die Militär­akademie West Point, und sie ­liefern ­Special-Operations-Einheiten die In­formationen für deren Einsätze. In der Palantir-Niederlassung in Tysons Corner, ganz in der Nähe von Pentagon und CIA-Zentrale, arbeiten erfahrene Operations Officers der CIA. Sie machen aus all dem kein Geheimnis, man kann ihre Profile auf dem Expertenportal LinkedIn einsehen. «Palantir rettet Leben», erklärt CEO Alex Karp die Mission seiner Leute.

Palantir rettet auch Banker

Palantir rettet auch Banker. Ende März hat Palantir mit der Credit Suisse unter der Firma Signac ein Joint Venture mit Domizilen im US-Briefkastenzentrum Wilmington, Delaware, und in London gegründet. Sie soll in den Handelsräumen der CS die Händler überwachen, um rechtzeitig ­unautorisierte Aktivitäten zu entdecken. Man will diesen Service auch anderen Banken anbieten.

Die CS und die intelligenten Jungs vom Geheimdienst-Serviceprovider – wie geht das zusammen? Die Bank bemüht sich ­jedenfalls um Verständnis für die denkwürdige Liaison: «Signac beachtet alle schweizerischen Gesetze zum Datenschutz und zur Achtung der Privatsphäre», erklärt eine CS-Sprecherin. «Da Signac Daten im Auftrag eines Schweizer Anwalts analysiert, der von der CS be­auftragt wurde, unterliegt das Unter­nehmen den Bestimmungen des Schweizer Bankkundengeheimnisses.»

Alle Informationen würden in CS-­internen Netzwerken gespeichert und überprüft, alle kunden- und mitarbeiterbezogenen Daten in einem sicheren Arbeitsbereich in der Schweiz. Alle Signac-Mitarbeiter müssten «Need-to-know- und Geheimhaltungsverein­barungen» unterzeichnen, die gesamte Arbeit mit Daten erfolge ausschliesslich in der Schweiz, und die Arbeitsergebnisse würden ausschliesslich der CS und ihrem Anwalt zur Verfügung gestellt.

Da hat Palantir dann wohl eine Ausnahme gemacht. «Chinese Walls» widersprechen nämlich ihrem Konzept, das nur durch Kollaboration aller beteiligten Teams funktioniert, die ihr Wissen miteinander teilen.

Quelle: Bilanz.ch

Spionage-Schnittstelle gefordert: Geheimdienste machen Druck im Internet

Nachrichtendienste wollen Überwachungswerkzeuge fest in Internet-Protokollen verankern. Das lassen die Web-Ingenieure noch nicht zu. Jetzt planen NSA und Co. einen neuen Anlauf.

Das Internet braucht dringend einen besseren Verschlüsselungsstandard. Über den wird seit langer Zeit diskutiert. Vor knapp einem Monat standen nun auf der Londoner Konferenz der Internet-Ingenieure konkrete Verschlüsselungsprotokolle zur Abstimmung.

Hintertür knapp abgelehnt

Nur mit ganz knapper Mehrheit wurden die Protokollerweiterungen der Sicherheitsbehörden abgelehnt. Diese Protokollerweiterung haben die Nachrichtendienste auch "Inspektionserlaubnis" genannt.

Als Internet-Standard sollten die Ingenieure beschließen, dass beim Verbindungsaufbau von einem Web-Browser zu einem Server Dritte zugeschaltet werden dürfen und Nachschlüssel erlaubt sind.

Mit solchen Nachschlüsseln kann die verschlüsselte Verbindung, über die zum Beispiel ein Bankkunde per Online-Banking eine Überweisung veranlasst, im Nachhinein entschlüsselt werden. Auch Mails können so mitgelesen werden.

Nachrichtendienste wollen Direktmitteilungen mitlesen

Besonders großes Interesse haben die Nachrichtendienste daran, verschlüsselte Kommunikation zu Servern der sozialen Netzwerke in Echtzeit mitlesen zu können. Vertrauliche Direktmitteilungen auf Twitter und andere private Nachrichten können nach dem eingereichten Protokollvorschlag von den Sicherheitsbehörden immer eingesehen und live ausgewertet werden.

Vor jedem Verbindungsaufbau soll das Protokoll für die sogenannte Transportverschlüsselung deshalb nachfragen, ob eine Sicherheitsbehörde, zum Beispiel ein Nachrichtendienst, bei dieser Verbindung mit aufgeschaltet werden will.

Das Standardisierungsgremium der Internet-Ingenieure hat diesen Vorschlag zwar zunächst abgelehnt. Doch die Sicherheitsbehörden wollen diese Protokollerweiterung jetzt über das europäische Institut für Telekommunikationsstandards durchbringen.

Abhörschnittstelle bleibt auf der Tagesordnung

Außerdem wird ein Erweiterungsvorschlag dazu auf die nächste Konferenz der Internet-Ingenieure gesetzt werden, die Mitte Juli im kanadischen Montreal stattfindet. Der Kampf um die Abhörschnittstelle als Internet-Standard geht also weiter.

Zwar haben Mitarbeiter von Nachrichtendiensten schon immer an den Konferenzen der Internet-Ingenieure (Internet Engineering Task Force) teilgenommen und dort ihre Vorschläge eingebracht. Doch dabei waren sie bisher recht zurückhaltend. Die Konferenz Mitte März in London steht hier aber für einen deutlichen Paradigmenwechsel.

Erstmalig haben Mitarbeiter der Sicherheitsbehörden einen eigenen Protokollentwurf in das Standardisierungsgremium eingebracht, in dem Nachschlüssel und Überwachungswerkzeuge zum Internet-Standard erklärt werden.

Geheimdienste machen Internet-Politik

Netzaktivisten beobachten, dass sich dadurch das Diskussionsklima im Internet-Standardisierungsgremium deutlich verändert. Die dorthin entsandten Vertreter der Nachrichtendienste haben nämlich sehr offensiv ihre Lizenz zum Abhören als Internet-Standard durchzusetzen versucht.

Die Netz-Aktivisten, die auch im Standardisierungsgremium sitzen, sind hier ehrenamtlich tätig. Sie befürchten, dass sie auf Dauer den massiven Einflussmöglichkeiten der dort ebenfalls tätigen Vertreter von Nachrichtendiensten nicht genug Widerstand entgegensetzen können. Ihre Horrorvision: Dann setzen die Sicherheitsbehörden ihre Spionagewerkzeuge als Teile der Internet-Standards durch. Das Netz würde zu einer gigantischen Überwachungsmaschine.

Quelle: ZDF.de

Leaks: BND brüstet sich mit Angriffskonzept für Anonymisierungsnetzwerk Tor

Der BND hat 2009 eine Skizze für einen "Zwiebelhacker" entworfen, mit dem sich die Anonymität von Tor-Nutzern aufheben lassen sollte. 2010 warnte der Geheimdienst andere Behörden, das Netzwerk zur Verschleierung von Online-Spuren einzusetzen.

Der Bundesnachrichtendienst (BND) hat vergleichsweise früh das Anonymisierungsnetzwerk Tor (The Onion Router) ins Visier genommen sowie mit den Partnerdiensten NSA und GCHQ an Angriffen darauf gearbeitet. Dies geht aus geheimen, teils geschwärzten Dokumenten hervor, die Netzpolitik.org am Donnerstag veröffentlicht hat. Führender Kopf der Operation war demnach der Ex-Leiter der Abteilung Technische Aufklärung (TA) bei dem Auslandsgeheimdienst, Harald Fechner. Dieser hatte im NSA-Untersuchungsausschuss noch damit kokettiert, dass sich BND-Mitarbeiter für das Abschnorcheln von Daten an einem Frankfurter Netzknoten zunächst Handbücher wie "Internet for Dummies" gekauft hätten.

Kooperation gegen Tor

Laut den Papieren präsentierte die Abteilung TA, zu der eine eigene, derzeit als "Unterabteilung T4" bezeichnete, für "Cyberaufklärung" zuständige Hackereinheit gehört, den "großen Brüdern" aus den USA und Großbritannien im März 2008 einen ersten Plan "für eine mögliche Auflösung der Anonymisierungsfunktion" bei Tor. NSA und GCHQ signalisierten nach BND-Darstellung "hohes Interesse", vereinbart worden sei eine "Probeerfassung und Auswertung" von Datenverkehr aus dem Netzwerk mit der NSA.

Nach mehreren weiteren Treffen kann der BND im Februar 2009 ein 16-seitiges "Konzept" vorweisen "für die Rückverfolgung von Internetverkehren, die mit dem Tor-System anonymisiert wurden". Ein Zwiebelhacker ziert das Deckblatt, womit die Pullacher auf das Onion-Routing anspielen, das bei Tor zum Einsatz kommt. Das Prinzip dahinter: Der Internetverkehr wird zufällig über mehrere Server als Zwischenstationen geleitet, sodass ein- und ausgehende Pakete einander nicht mehr direkt zugeordnet werden können. Jeder Tor-Knoten kennt immer nur die nächste Station.

Die genauen Methoden, mit denen der BND Tor damals in Stücke schneiden wollte, sind in der nach außen gedrungenen Skizze geschwärzt. Vorab war die Rede von "einer Penetrationsmöglichkeit" des Netzwerks, doch vermutlich haben die BND-Hacker keine direkte Infiltrationsmöglichkeit gefunden, sondern setzen auf bereits bekannte, oft aber wenig durchschlagende Angriffsoptionen, die in der Regel auf bewussten Design-Kompromissen der Tor-Entwickler beruhen. Diese begrenzten den Weg von Paketen durchs Netz auf drei Hops, um die Latenz niedrig zu halten. Datenrouten wechseln zudem nur alle zehn Minuten, was die Anonymisierung weiter schwächt.

Schwächen sind bekannt

Bekannt ist so seit dem Start des Dienstes, dass Tor genausowenig wie ähnliche Systeme vor Angreifern schützen kann, die weltweit den Internetverkehr beobachten und statistische Analysen durchführen. Seit den Snowden-Veröffentlichungen hat sich ebenfalls herumgesprochen, dass Geheimdienste wie NSA oder GCHQ genau dazu mit Operationen und Programmen wie Tempora oder XKeyscore unter vergleichsweise hohem Aufwand fähig sind. Die Verschleierung der eigenen IP-Adresse wird damit deutlich schwieriger, Anonymisierungsversuche können umgangen werden können. Es gibt aber öffentliche Forschung zu Tor-Angriffen, die den Betreibern wiederum hilft, gefundene Schwachstellen auszumerzen.

Im September 2010 hat der BND offenbar nicht nur aufgrund seines eigenen Konzepts genug Hinweise gefunden, um andere Bundesbehörden einschließlich des Kanzleramts in einer Meldung darauf hinzuweisen, dass Tor "keine Anonymität im Internet" garantiere. Die Pullacher gehen demnach generell von einer "sehr hohen Überwachungsdichte innerhalb des Netzes" aus. So hätten andere Geheimdienste "über das Installieren eigener Tor-Knoten und die Verwertung der Protokolldaten für verschiedene Projekte und Ermittlungsverfahren bereits berichtet". Dafür spreche etwa die hohe Anzahl einschlägiger Server im Umkreis der US-Hauptstadt Washington.

Mehr gegen Angriffe unternehmen

Insgesamt hält der BND Tor so für "kompromittiert". Er geht dabei aber fälschlicherweise etwa davon aus, dass Information über die vorhanden Tor-Knoten noch unverschlüsselt von einem Server geladen würden. Zugleich unterstellt er Nutzern des Netzwerks, Aktivitäten verschleiern zu wollen, "von deren Legalität die Handelnden nicht überzeugt sind". "Reine Datenschutzüberlegungen" seien nur bei wenigen das Motiv.

Tor-Chefentwickler Roger Dingledine zeigte sich gegenüber Netzpolitik skeptisch, ob Geheimdienste in der Lage seien, "die gezeigten Angriffe in großem Maßstab durchzuführen". Die Dokumente machten aber deutlich, "dass wir weiter daran arbeiten müssen, das Tor-Netzwerk auszubauen, um es Angreifern schwerer zu machen, diese Art Angriffe durchzuführen". Staatliche Überwacher müssten zudem "auch politisch in die Schranken gewiesen werden".

Quelle: Heise.de

Wenn Hacker Hacker hacken, scheitert die Attribution

Einen Hack bis zu seinem Ursprung zurückzuverfolgen, gilt im IT-Sicherheitsbereich als schwieriges Geschäft. Neue Forschungen von Kaspersky zeigen, dass die Situation noch verfahrener ist, als bislang angenommen.

Was passiert eigentlich, wenn staatliche Hackergruppen andere staatlich geförderte Gruppen oder Geheimdienste hacken - und was bedeutet das für die Arbeit von Sicherheitsfirmen? Dieser Frage sind zwei Sicherheitsforscher von Kaspersky nachgegangen und haben die Ergebnisse ihrer Forschungen auf der Sicherheitskonferenz Virus Bulletin in Madrid vorgestellt (PDF).

Costin Raiu und Juan Andres Guerrero-Saade, beide Angestellte der Sicherheitsfirma Kaspersky Labs, bezeichneten dies in ihrer Präsentation als "fourth party collection" - also die unfreiwillige Gewinnung von geheimdienstlich verwertbaren Informationen (Signals Intelligence) über einen anderen Geheimdienst. Sie präsentierten mehrere Beispiele, in denen Angreifer sich in die Infrastruktur anderer Gruppen hackten oder deren Tools bei Angriffen verwendeten. Darunter hätten sich auch in Sicherheitskreisen bekannte Gruppen wie Nettraveler und Darkhotel befunden.

Attribution ist schwer

Die Erkenntnisse der Forscher haben über die konkreten Beispiele hinaus grundsätzliche Bedeutung. Denn nach großen Hacks wird immer wieder versucht, diese einem bestimmten Akteur zuzuordnen - der Prozess der Attribution. Immer wieder versuchen Sicherheitsfirmen, anhand bestimmter Merkmale die vermeintlichen Angreifer zu identifizieren. Neben geopolitischen Einschätzungen kommen dabei auch zahlreiche technische Indikatoren zum Einsatz. Doch diese sind offenbar noch weniger eindeutig, als bislang angenommen.

Analysten verlassen sich bei ihrer Einschätzung häufig auf ähnliche Angriffsmuster. Das können bestimmte Malwarefragemente sein, die immer wieder auftauchen, oder auch selten genutzte Verschlüsselungsalgorithmen zur Absicherung des Datenstroms. Auch andere Faktoren wie Zeitzonen, Metadaten sichergestellter Dateien oder die Sprache von im Code vorhandenen Kommentaren können Hinweise geben - aber natürlich auch gezielt gelegte Falschinformationen sein.

Informationen erster bis vierter Ordnung

Um das Vorgehen von Geheimdiensten und Hackergruppen besser zu verstehen, definiert Kaspersky verschiedene Arten von Informationen. Informationen aus erster Hand sind dabei solche, die ein Geheimdienst oder eine APT-Gruppe (Advanced Persistent Threat) selbst gewinnt, etwa durch das Abhören einer Leitung oder durch Backdoors in Software. Aus zweiter Hand stammen Informationen, die über ein Abkommen von einem anderen Geheimdienst übermittelt werden, etwa in der Zusammenarbeit der englischsprachigen Five-Eyes-Geheimdienste oder einer gemeinsamen Operation wie Eikonal.

Informationen aus einer dritten Quelle werden wiederum von nichtstaatlichen Quellen bezogen, etwa durch Datenabfragen bei einem Internetserviceprovider. Eine Datensammlung vierter Ordnung liegt nach Angaben der Kaspersky-Forscher vor, wenn ein Geheimdienst Informationen nicht direkt zugespielt bekommt, über welche Quelle auch immer, sondern andere Akteure die Arbeit machen lässt, um die Informationen später abzugreifen - etwa durch einen gezielten Hack. Beispiele für solche Operationen finden sich unter dem Stichwort Makers Mark auch in den Snowden-Dokumenten. Auch Kaspersky hat entsprechende Angriffe in freier Wildbahn gesehen. Für solche Hacks wollen die Kaspersky-Forscher Beispiele gefunden haben.

Wenn der Energetic Bear mit Zählpixeln überwacht wird

Ein Beispiel der Forscher betrifft die Gruppe Energetic Bear, die der russischen Regierung zugeschrieben wird. Energetic Bear ist vor allem im Infrastrukturbereich aktiv und hat diverse Ziele in der Öl- und Gasindustrie angegriffen. Um die Operationen zu steuern, wird nach Angaben der Forscher ein Netzwerk aus gehackten Webseiten als Command-und-Control-Infrastruktur genutzt (C2-Infrastruktur).

Über ein Managementportal soll es der Gruppe außerdem möglich gewesen sein, die gewonnenen Informationen auszulesen oder Angriffe zu steuern. Für eine begrenzte Zeit soll aber ein weiterer Akteur diese Infrastruktur infiltriert haben. Über ein Zählpixel wurden Informationen über die Aktivität der Webseiten ausgelesen.

Die gesammelten Informationen seien dann an einen Server nach China weitergeleitet worden. Mit dem Fingerprinting dieser Spionageaktion lässt sich nach Angaben von Kaspersky nicht viel Geld verdienen - es sei daher unwahrscheinlich, dass gewöhnliche Kriminelle solchen Aufwand betrieben. Die Firma geht daher davon aus, dass ein anderer Geheimdienst versucht habe, die Aktivitäten des APT zu überwachen und dabei eine möglicherweise in die Irre führende Spur nach China gelegt habe.

Backdoor in Nettraveler-Operation

In einem anderen Fall entdeckte Kaspersky auf Servern der Nettraveler-Gruppe eine Backdoor, die dort vermutlich von einem anderen mächtigen Akteur platziert wurde. Nettraveler hatte rund neun Jahre lang gezielt Regierungen und Forschungsinstitute ausspioniert.

Bei der Backdoor handelt es sich nach Angaben der Sicherheitsfirma um eine modifizierte svchost.exe. Der Code sei in Assembler geschrieben und dann in eine ausführbare Visual-C-Datei implantiert worden, vermutlich um eine Erkennung durch Antivirenprogramme zu erschweren.

Über die entsprechende Infrastruktur hätten die Angreifer die Operationen der Gruppe nicht nur beobachten, sondern auch manipulieren können. Außerdem seien sie in der Lage, zahlreiche Informationen zu kopieren und damit eigene Angriffe durchzuführen.

Darkhotel gehackt

In einem anderen Fall soll ein Akteur Angriffswerkzeuge einer bekannten Gruppe genutzt haben, um Angriffe zu starten. Eine Darkhotel genannte Gruppe - üblicherweise Südkorea zugeschrieben - nutzt seit Jahren unter anderem Exploits für Adobes Flashplayer, um Watering-Hole-Angriffe durchzuführen, bei denen bestimmte Webseiten im Umfeld der Opfer mit Malware infiziert werden. Damit soll eine indirekte Infektion mit Malware ohne den Versand von zum Beispiel Phishing-Mails erreicht werden.

Bei verschiedenen Operationen fanden die Forscher Ähnlichkeiten in den Angriffsmethoden - jedoch auf unterschiedliche Ziele. Sie gehen davon aus, dass eine zweite Gruppe mit dem Namen Scarcruft eine der Watering-Hole-Seiten von Darkhotel ebenfalls hacken konnte und die dort hinterlegten Angriffswerkzeuge für eigene Zwecke nutzte. Eine eindeutige Attribution vorzunehmen, erscheint vor diesem Hintergrund sehr problematisch.

Dass Angreifer gezielt falsche Spuren legen können, ist lange bekannt. Es ist zudem nicht einfach, falsche Fährten zu legen um eine False-Flag-Operation glaubhaft durchzuführen. Trotzdem zeigen die Beispiele, dass viele der Faktoren, die bei der Attribution eines Angriffs genutzt werden, sehr genau betrachtet werden müssen.

Verwirrung um Turla-Gruppe

Als Beispiel nannte Guerrero-Saade aktuelle Untersuchungen zu einer Gruppe, die Ähnlichkeiten mit der russischen Turla-Gruppe aufwies. Weil diese aber lange Zeit eine andere Infrastruktur und andere Code-Samples verwendet habe, sei die Community fast soweit gewesen, dahinter eine neue, bislang unbekannte Gruppe zu vermuten. Dann aber sei die Gruppe zu einigen bekannten Taktiken zurückgekehrt und doch als Turla identifiziert worden.

Je größer die Bandbreite an verfügbaren Tools für einen angreifenden Akteur ist, desto leichter kann dieser eine Erkennung anhand normalerweise verwendeter Indikatoren für einen Einbruch (Indicators of Compromise, IoC) umgehen. Am ehesten könnten bei der Identifikation von Mustern nach Angaben von Kaspersky noch Yara-Regeln helfen, also Beschreibungen bestimmter Muster in Text oder Binärcode.

Mit den Ergebnissen der Studie sehen die Autoren auch ein Ende der aus ihrer Sicht übertriebenen Darstellung der Aktionen von APTs. Nicht alle Bedrohungen und erfolgreichen Angriffe seien tatsächlich ein herausragender, langanhaltender Angriff. Als wirkliche APT-Gruppen bezeichnet Kaspersky demnach nur Equation, Regin, Duqu und Careto. Eine weitere bedeutsame Gruppe sei Project Sauron. Verschiedene Sicherheitsfirmen verwenden für die Gruppen oft ihre eigenen Namen, was der Übersichtlichkeit in diesem ohnehin komplexen Feld nicht immer guttut.

Quelle: Golem.de

Diese Aktivisten zeigen, wie viel Geheimdienste über Internetnutzer wissen

Niederländische Hacker haben sensible Daten von Millionen Menschen gesammelt - alle standen frei verfügbar im Netz. Die NSA hat noch ganz andere Möglichkeiten.

Erik, Robin, Frank-Jan, Marco und Beau. Ellen Bijsterbosch zeigt dem Publikum fünf Vornamen, sie werden auf eine Leinwand projiziert. Die Nachnamen sind ausgeblendet, das Geburtsjahr ist zu lesen. "Sucht einen aus", sagt sie, "alle fünf haben Geburtstag." Keine der Personen weiß, dass Bijsterbosch ihre Nummer hat.

Das Publikum entscheidet sich für Frank-Jan. Bijsterbosch nimmt ihr Smartphone in die Hand, stellt den Lautsprecher auf laut und ruft den Mann an, der nicht weiß, dass er hier auf dem Tech-Festival SXSW in Austin im Zentrum eines Experiments über die Macht der Datensammler steht.

Bijsterbosch ist Teil von Setup, einem Kollektiv niederländischer Digital-Aktivisten. "Wir machen lustige Dinge mit Computern", beschreibt sich die Gruppe. Sie setzt auf Aktionen, die wie ein guter Stunt im Film wirken, den maximalen Effekt erzeugen sollen.

Ein Geheimdienst zum Selbermachen

Der Anruf bei Frank-Jan ist Teil ihres aktuellen Projekts, das Bijsterbosch gemeinsam mit ihrem Kollegen Tijmen Schep in Austin präsentiert. Sie wollen eine "nationale Geburtstagsdatenbank" aufbauen. In den Niederlanden leben mehr als 17 Millionen Menschen. Über alle will Setup persönliche Informationen herausfinden und zeigen, wie leicht es ist, anhand von Daten aus dem Netz Profile von Millionen Menschen zu erstellen.

Deshalb haben Bijsterbosch und Co. eine "Do-it-yourself-NSA" aufgebaut. Einen Geheimdienst zum Selbermachen. An sechs Wochenenden haben 35 Personen so viele Daten wie möglich gesammelt. Teilgenommen haben größtenteils Hacker; eine Person habe aber auch einfach nur "richtig gut googeln" können, sagt Bijsterbosch.

Das Internet vergisst nicht

Die Daten fanden die Aktivisten in Telefonbüchern, Facebook-Accounts und auf Webseiten, die zwar seit 20 Jahren offline, aber über das Internet-Archiv archive.org noch zugänglich sind. "Ihr dachtet, das alles wäre längst verschwunden, aber es ist immer noch da", sagte Bijsterbosch. Durch so genanntes Webseiten-Scraping konnten sie Daten auslesen.

Es ist Setup gelungen, Adressdaten herauszufinden und mit der Einkommensverteilung in der Gegend zu kombinieren. Das Internet sei ein "All-you-can-eat-Buffet", erklärt Bijsterbosch. Ihr Kollege Schep ergänzt, dass man zwar mittlerweile wisse, dass Daten das neue Öl seien, doch intransparent bleibe, wie dieses Öl verwendet würde.

793 251 Niederländer sind im National Birthday Calendar bislang eindeutig identifiziert. Etwa acht Millionen Datensätze sollen noch verifiziert werden. Setup will mit dem Kalender auf Tour gehen und ihn auf Festivals und in Bibliotheken ausstellen und Vorträge halten. Besucher sollen ihre Daten prüfen, korrigieren oder löschen können.

Quelle: Süddeutsche.de

Auch Kanada hat ein Internet-Spähprogramm

Die USA stehen mit ihrer Kommunikationsüberwachung nicht allein da: Auch der kanadische Geheimdienst sammelt weltweit Telefon- und Internetdaten, wie Verteidigungsminister MacKay einräumte.

Nach dem Bekanntwerden des riesigen Spähprogramms des US-Geheimdienstes hat nun auch Kanada erklärt, dass sein Geheimdienst weltweit Telefon- und Internetdaten abgreift. Verteidigungsminister Peter MacKay bestätigte gestern im Parlament die Existenz des entsprechenden Programms, von dem zuvor eine Zeitung berichtet hatte. «Das passiert seit Jahren», sagte MacKay. «Der CSE überwacht nicht die Kommunikation von Kanadiern», betonte er. Laut der «Globe and Mail» ähneln die kanadischen Geheimdienstaktivitäten denjenigen der USA.

Dem Zeitungsbericht zufolge sollen mit dem kanadischen Programm eigentlich vor allem Telefon- und Internetaktivitäten im Ausland überwacht werden. Es sei aber «manchmal aus Versehen» auch die Kommunikation von Kanadiern betroffen, zitierte «Globe and Mail» einen Vertreter des mit dem Programm beauftragten Dienstes des Verteidigungsministeriums.

Beteiligung an US-Programm unklar

MacKay lehnte eine Antwort auf die Frage ab, ob sich Kanada an dem jüngst aufgedeckten US-Überwachungsprogramm Prism beteilige. Oppositionspolitiker kritisierten sein Schweigen.

Die kanadische Datenschutzkommissarin Jennifer Stoddart zeigte sich besorgt und kündigte eine Untersuchung an, ob Kanadier von Prism betroffen seien. Kanada arbeitet eng mit den anderen angelsächsischen Staaten USA, Grossbritannien, Australien und Neuseeland beim Geheimdienstnetzwerk Five Eyes zusammen.

Die «Washington Post» und der britische «Guardian» hatten in der vergangenen Woche zwei hoch geheime Programme des US-Geheimdienstes NSA zum weitreichenden Zugriff auf Telefon- und Internetdaten enthüllt. US-Präsident Barack Obama verteidigte die Aktivitäten als notwendige Massnahmen zum Schutz der nationalen Sicherheit, Kritiker sehen einen unzulässigen Eingriff in die Privatsphäre der Bürger. (rbi/AFP/sda)

Quelle: Tagesanzeiger.ch


Schreiben Sie uns einen Beitrag

Auf dieser Webseite finden Sie veröffentlichte Informationen zum Thema elektromagnetischer Wellen (Unsichtbare Strahlung)
Weiterführende Links: Einführung | Wissenschaft | Recherchen