Planet CCC - Blogs and more around CCC, CCC-Hamburg and Attraktor

June 25, 2016

Metalab

[alphabet] --PKowalsky on Twitter

4245 3c7f 400


--PKowalsky on Twitter

10 Jahre Metalab. Der gleiche Schmäh. Zeitlos.

June 25, 2016 10:28 AM

Netzpolitik.org

US-Zoll will Social Media Accounts bei Einreise erfassen

US-Zollbehörden wollen bei der Einreise die Social Media Accounts der Reisenden erfassen. Laut Vorschlag im Federal Register soll hierzu ein zusätzliches freiwilliges Feld in die Einreiseunterlagen eingeführt werden.

Die Behörden versprechen sich von der Datenabfrage „eine Verbesserung des bestehenden Abfrageprozesses“ sowie mehr „Klarheit und Transparenz für das Heimatschutzministerium, um mögliche illegale Aktivitäten und Verbindungen zu erkennen“.

Der bisherige Einreiseprozess umfasst schon heute die Abgabe von Fingerabdrücken, persönliche Fragen und verschiedene Datenbankabfragen. Hinzu kommen die Daten aus der Fluggastdatenspeicherung. Fraglich ist bei der neuen Verschärfung auch, wie freiwillig so ein Feld zum Beispiel bei jungen Menschen ist. Wer nichts einträgt, kann schnell mit unangenehmen Nachfragen rechnen.

Der Vorschlag kann jetzt 60 Tage von der Öffentlichkeit kommentiert werden, bevor er formal beraten wird.


Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende.

by Markus Reuter at June 25, 2016 09:54 AM

June 24, 2016

CCC Media

Introduction to performance analysis on openSUSE using Perf (osc16)

The perf tool was introduced with kernel version 2.6.31 but several major releases later, knowing which of its many features to use when and how to interpret the results is still challenging for many users. In this talk I will present a brief overview of the performance counters provided by modern x86 hardware followed by a discussion of the various monitoring capabilities offered by perf, when to use which and how to begin to interpret the results. This is intended as an introductory talk for those with no significant experience using perf or undertaking performance analysis. An understanding of programming and architecture basics will be helpful. [This talk could be extended to an hour if required, it could also be presented instead as a workshop or as a talk plus an associated workshop] about this event: https://c3voc.de

Video:osc16_dv-882-eng-Introduction_to_performance_analysis_on_openSUSE_using_Perf_sd.mp4

June 24, 2016 10:00 PM

Cheetah (osc16)

Cheetah is fast and secure native way to execute scripts and programs in Ruby. It includes native support for pipeing, streaming input/outputs, mandatory error handling and running in chroot. The session will contain live examples of usage and comparison to native ruby methods like backticks or system call. about this event: https://c3voc.de

Video:osc16_dv-824-eng-Cheetah_sd.mp4

June 24, 2016 10:00 PM

Kolab Summit 2.0 - Closing Talk (osc16)

Georg C. F. Greve KOLAB SYSTEMS CEO about this event: https://c3voc.de

Video:osc16_dv-1084-eng-Kolab_Summit_20_-_Closing_Talk_sd.mp4

June 24, 2016 10:00 PM

Kolab Summit 2.0 - Welcome (osc16)

Georg C. F. Greve KOLAB SYSTEMS CEO about this event: https://c3voc.de

Video:osc16_dv-1078-eng-Kolab_Summit_20_-_Welcome_sd.mp4

June 24, 2016 10:00 PM

Distribute or Die - Arguing against Additional Repositories. (osc16)

openSUSE has a wonderful platform with OBS, and tools like software.opensuse.org and 1-Click installs make it very easy for users to get additional software on their machines. This talk will discuss how this is quite often a very bad thing, leading to problems for users as well as extra work for maintainers in both the short and long term. It will discuss the benefits of putting software packages in both of openSUSE's distributions (Leap & Tumbleweed) and propose concrete steps which users and responsible package maintainers can take to ensure everything is put together and working as smoothly as possible. Finally, the session will accept the reality that putting absolutely everything in a distribution is infeasible and discuss possible criteria and guidelines for sensibly defined, maintainable additional repositories that avoid the issues raised earlier in the session. about this event: https://c3voc.de

Video:osc16-958-eng-Distribute_or_Die_-_Arguing_against_Additional_Repositories_hd.mp4

June 24, 2016 10:00 PM

Getting Geeko some cross-compilers (osc16)

openSUSE relies on native compilation today, resorting to QEMU linux-user emulation for non-native build targets. Here's a brief update of where we are with building real cross-compilers, including for non-Linux targets such as microcontrollers, from our SUSE-maintained GCC packages. about this event: https://c3voc.de

Video:osc16-918-eng-Getting_Geeko_some_cross-compilers_hd.mp4

June 24, 2016 10:00 PM

OBS and the real cool stuff (osc16)

OBS (Open Build Service) is an awesome piece of software which is yet unmatched by other available software suites. This talk shows how Kopano approached the change in their build system, and how they integrated fully fledged build requirements into OBS. From adding real custom distributions such as Collax (just using DEB, without bootstrapping at all) to integrating with Atlassian Stash - All this is possible with OBS and much more. How did we make OBS accessible for Windows users (using osc), how did we make sure we can make a sane structure based on build-time requirements for packages and not just include everything for distribution in the end? Where can I use curl requests, and how are they structured. And did you know there are authentication tokens? This talk delivers the answers to these questions. This talk will include a QA session in the end with the chance to give an answer on many (unfortunately also undocumented) features. about this event: https://c3voc.de

Video:osc16-852-eng-OBS_and_the_real_cool_stuff_hd.mp4

June 24, 2016 10:00 PM

Next openSUSE.Asia summit , moving forward (osc16)

The first openSUSE.Asia was awesome in Beijing, China, and this time we also made it great in Taipei , Taiwan. We designed some event made it different, and connected with local community to do more sharing and promotion for openSUSE. Just like last year said , we would like to continue this event in the future, so we will take this opportunity to introduce 2nd summit what it different, and what did we miss. This talk is quite flexible, we invite you to share your local openSUSE community, openSUSE events and openSUSE promotion in brainstorm. Or give your suggestion or advice about openSUSE promotion. Overall, anything about openSUSE promotion is welcome. about this event: https://c3voc.de

Video:osc16-846-eng-Next_openSUSEAsia_summit_moving_forward_hd.mp4

June 24, 2016 10:00 PM

Config Files API (osc16)

YaST has been trying to find a solution to work with configuration files in a way that is easy and reusable, while ensuring the consistency of the resulting configuration. The response is Config Files API (CFA), a generic framework to work with configuration files in Ruby. Although currently is only used in the yast2-bootloader module, CFA will become one of the key components of YaST in the near future. Its design and foundation look beyond YaST, making it a useful resource in any environment needing programatic and semantic management of configuration files. The talk will provide an overall overview of CFA's architecture and down to earth examples on how CFA can be used and extended. about this event: https://c3voc.de

Video:osc16-822-eng-Config_Files_API_hd.mp4

June 24, 2016 10:00 PM

Porting openSUSE to MIPS (osc16)

PowerPC and ARM ports exist for some time already, as well as unofficial SPARC and Motorola 68k efforts. This talk will go into details of how to start such a port with OBS and give an update on the progress made for mipsel. about this event: https://c3voc.de

Video:osc16-770-eng-Porting_openSUSE_to_MIPS_hd.mp4

June 24, 2016 10:00 PM

Keynote - Michael Miller (osc16)

Michael Miller is the President of Strategy, Alliances & Marketing for SUSE about this event: https://c3voc.de

Video:osc16-1042-eng-Keynote_-_Michael_Miller_hd.mp4

June 24, 2016 10:00 PM

openSUSE Infrastructure (osc16)

How openSUSE runs its own infrastructure about this event: https://c3voc.de

Video:osc16-1014-eng-openSUSE_Infrastructure_hd.mp4

June 24, 2016 10:00 PM

Metalab

Netzpolitik.org

Oberlandesgericht Köln: Adblocking legal, bezahltes Whitelisting verboten

Mit der Kombination aus "Blacklist" und "Whitelist" könne die Adblocker-Firma den Zugang zu Werbefinannazierung kontrollieren, sagt das Gericht Foto: CC-BY-SA 2.0  luckyfotostream

Mit der Kombination aus „Blacklist“ und „Whitelist“ könne die Adblocker-Firma den Zugang zu Werbefinannazierung kontrollieren, sagt das Gericht Foto: CC-BY-SA 2.0 luckyfotostream

In der gerichtlichen Auseinandersetzung zwischen dem Axel-Springer-Verlag und der Adblock Plus Firma Eyeo, hat Springer vor dem Oberlandesgericht Köln einen Teilerfolg erzielt.

Die Eyeo GmbH macht damit Geld, dass sie Werbetreibenden gegen Umsatzbeteiligung den Adblocker für so genannte „Acceptable Ads“ mit einer Whitelist öffnet. Dies nannte das Gericht eine „unzulässige aggressive Praktik“, da Eyeo seine Machtposition ausnutze. Adblock Plus hat nach Angaben von Eyeo etwa 100 Millionen Nutzer.

Der Axel Springer Verlag hatte erreichen wollen, dass Adblock Plus nicht mehr vertrieben wird und die Pflege der Werbe-Blacklist „Easylist“ verboten wird. Dem folgte das Gericht jedoch nicht, sondern stellte fest:

Die Ausschaltung der Werbung an sich stelle keine gezielte Behinderung des Wettbewerbs dar. Die Parteien seien zwar Mitbewerber, weil sie sich in einem Wettbewerb um Zahlungen werbewilliger Unternehmer befänden. Eine Schädigungsabsicht der Beklagten könne nicht vermutet werden. Anders als beim Abreißen von Plakaten werde nicht physisch auf das Produkt des Anbieters eingewirkt. Vielmehr würden der redaktionelle Inhalt der Website und die Werbung mit getrennten Datenströmen angeliefert, die als solche unverändert blieben. Es werde lediglich im Empfangsbereich des Nutzers dafür gesorgt, dass die Datenpakete mit Werbung auf dem Rechner des Nutzers gar nicht erst angezeigt werden. Es gebe aber keinen Anspruch, dass ein Angebot nur so genutzt wird, wie es aus Sicht des Absenders wahrgenommen werden soll. Auch die Pressefreiheit gebe nicht die Befugnis, dem Nutzer unerwünschte Werbung aufzudrängen.

Vor Gericht gaben sich laut heise.de beide Seiten als Sieger des Verfahrens aus. Eyeo wird in Revision gehen und vor den Bundesgerichtshof ziehen. Sein Produkt Adblock Plus soll an die Vorgaben des Gerichtes angepasst werden.

Die Urteilsbegründung (Az. 6 U 149/15) soll in den nächsten Tagen veröffentlicht werden.


Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende.

by Markus Reuter at June 24, 2016 04:47 PM

Wochenrückblick KW 25: Bundesregierung auf Überwachungskurs

Im Netzpolitischen Wochenrückblick fassen wir jeden Freitag die wichtigsten Themen der Woche zusammen. Ihr könnt ihn auch als Newsletter abonnieren.

Das Anti-Terror-Paket: Grundrechtabbau im Eilverfahren

Das dominierende Thema dieser Woche war das Anti-Terror-Paket der Bundesregierung. Am Montag kam es bei einer Sitzung im Innenausschuss zum umstrittenen Gesetzespaket zu einem Eklat.
Die Abgeordneten der Opposition verließen unter Protest geschlossen den Raum, weil die Große Koalition entgegen parlamentarischer Standards keine unabhängigen Experten zur Anhörung lud, sondern die Chefs von Bundespolizei, Bundesamt für Verfassungsschutz und Bundeskriminalamt (BKA), deren Behörden durch das Gesetzespaket neue Befugnisse erhalten würden. Im Ausschuss bezeichneten die beiden unabhängigen Experten das Anti-Terror-Paket hingegen als verfassungswidrig.

Diese Einschätzung wurde umso deutlicher nachdem die Große Koalition das Gesetzespaket am Mittwoch nochmal verschärfte. Unter anderem sollen nun bereits 14-Jährige überwacht werden können; Kinder und Jugendliche genossen bisher einen besonderen Schutz vor den Geheimdiensten. Zu den verfassungsrechtlichen Problemen, die das Gesetz bringen würde, kommen auch noch Millionenkosten für Wirtschaft und Verbraucher. So sollen allein die Kosten für die Identitätsfeststellung beim Kauf von Prepaidkarten 50 Millionen Euro pro Jahr betragen. All das für eine nutzlose Maßnahme, denn böse Buben können ihre Prepaidkarten unüberwacht im Europäischen Ausland kaufen, während der Otto-Normal-Verbraucher erfasst wird und dafür auch noch draufzahlt.

Gegen allen Protest hat die Bundesregierung nun jedoch das Anti-Terror-Paket erfolgreich mit den Stimmen der Großen Koalition durch den Bundestag gewunken. Mit ihm werden ein Ausweiszwang bei Prepaidkarten und der Informationsaustausch zwischen Geheimdiensten ins Gesetz aufgenommen.

Auch in Russland wird ein neues Anti-Terror-Gesetz verhandelt, das die dortige Vorratsdatenspeicherung auf drei Jahre erhöhen und den Behörden durch die Speicherung von Kommunikatonsinhalten und Backdoors in verschlüsselten Messenger-Apps Zugriff auf die Gespräche der Bürger geben soll.

Kontrolle der Geheimdienste: BND-Reform und NSAUA

Auch beim Thema BND-Reform geht es um die Erweiterung der Überwachungsbefugnisse. Aus dem von uns veröffentlichten, zweiten Teil des „BND-Reform-Pakets“ geht hervor, dass die Große Koalition die Befugnisse des BND ausweiten möchte und gleichzeitig kein Interesse daran hat, den deutschen Auslandsgeheimdienst besser zu kontrollieren. Die Geheimdienste können weiterhin selbst entscheiden, was sie den parlamentarischen Kontrollgremien mitteilen.
Wie gut oder eher schlecht diese parlamentarische Kontrolle funktioniert, sieht man daran, wie viele Skandale durch den Geheimdienst-Untersuchungsausschuss (oder auch den NSU-Untersuchungsausschuss, kurz NSUUA) ans Licht kommen.

In dieser Woche wurden im NSAUA zwei Zeugen mit technischer Expertise befragt. Der erste Zeuge Andreas Könen, Vizepräsident des BSI, widersprach zunächst den Verschwörungstheorien des Verfassungsschutz-Präsidenten Maaßens, welche er in der letzten Sitzung des NSAUA äußerte. Nach der Einschätzung des BSI-Vizepräsidenten gebe es keinen Grund, an der Authentizität der Snowden-Dokumente zu zweifeln. Im Gegenteil; die in den Dokumenten beschriebenen Angriffe seien so durchführbar, wie das BSI auch durch eigene Nachbauten der Systeme festgestellt habe. Das durch die NSA überwachte Handy der Bundeskanzlerin durfte das BSI hingegen nicht untersuchen. Ein entsprechendes Angebot an die Bundesregierung wurde abgelehnt.

Pläne zu Entschlüsselungsbehörde und Staatstrojaner-Einsatz in der EU

Dass das BSI nebst seiner eigentlichen Aufgabe, die IT-Sicherheit der Regierung, Behörden und auch der Bürger sicherzustellen, auch dabei hilft, sie zum Beispiel durch den Bundestrojaner zu unterwandern, scheint Könen nicht zu stören. Die Unterstellung der Behörde unter das Bundesinnenministerium und die Zusammenarbeit mit dem BND halte er für unproblematisch.

Die Unterwanderung der Kommunikation soll sogar noch ausgeweitet werden. Dazu soll zum einen eine Entschlüsselungsbehörde geschaffen werden und zum anderen der Einsatz des Staatstrojaners erweitert werden und ab 2017 auch im und vom EU-Ausland einsetzbar sein.

Berlin: Vorerst keine polizeiliche Videoüberwachung an gefährlichen Orten

Kurz vor der Sommerpause und der anschließenden Landtagswahl wollte Berlins Innensenator Henkel noch eine Gesetzesgrundlage für polizeiliche Videoüberwachung verabschiedet wissen. Diese hätte an „jedem öffentlich zugänglichem Ort“ jederzeit und nach alleinigem Ermessen der Staatsgewalt immer dann angewandt werden können, wenn diese glaubt, eine „Gefahr“ zu erkennen. Der Sachverständige Polizeirechtsprofessor wusste allein schon die bislang gültige Konstruktion solcher „Kriminalitätsbelasteter Orte“ und die der polizeilichen Videoüberwachung als „rechtsstaatlich schwerlich kompatibel“ einzustufen. Die geplante Videoüberwachung konnte er erst recht als „mangelhaft“ beurteilen.

Der vorerstige Stop des Vorhabens ist einzig der Piratenfraktion zu verdanken: Da der Ältestenrat des Berliner Abgeordnetenhauses bei solch „eiligen“ Gesetzesvorlagen einstimmig einer solch „eiligen“ Beratung zustimmen muss, stimmten sie als einzige Fraktion nicht zu. Die Geschäftsordnung sieht genau diesen Fall vor, da er aber seit 52 Jahren nicht auftrat, stellt er für den Berliner Politikbetrieb „diplomatisches Neuland“ dar.

Netzsperren reloaded: Jetzt neu auf EU-Ebene

Während aus Österreich erfreuliche Nachrichten über die Aufhebung der dortigen Netzsperren für Filesharing-Portale kommen, strebt die EU die genau entgegengesetzte Richtung an. Allen voran geht dabei die CSU-Abgeordnete Hohlmeier, die Netzsperren in der EU auf der Überholspur ermöglichen will. Auch die entschärft nachgereichte Version des Gesetzes bringt keine wirkliche Verbesserung. Die Gefahr von Netzsperren bleibt auf EU-Ebene bestehen.

Durch unsere Recherche aufgedeckt: Die Cider Connection

Aufgrund von fehlerhaften Creative-Commons-Referenzierungen sendet ein auf „Cider Connection“ getauftes Netzwerk zahlreiche Abmahnungen aus. Unsere Recherche deckt auf, wie der Prozess hinter Briefkastenfirmen funktioniert, wie die Akteure zusammenarbeiten, wie sie auch privat miteinander verknüpft sind und wie aus der Idee des Teilens ein Geschäftsmodell werden konnte, das genau diese Idee verhindert.

Die Zukunft des Breitbandausbaus und der Netzneutralität

Mozilla ruft dazu auf, sich an der derzeit laufenden Konsultation zur Netzneutralität in Europa zu beteiligen. Bis zum 18. Juli ist noch Zeit, sich über das Tool von SaveTheInternet.eu zu beteiligen.

Ebenfalls in dieser Woche legte die Bundesnetzagentur einen überarbeiteten Entwurf zum Thema Vectoring vor. Der vorherige Entwurf enthielt gravierende Mängel, während sich zur gleichen Zeit ein von den Grünen eingeleitetes Fachgespräch mit der Frage beschäftigte, warum der deutsche Breitbandausbau nicht vorankommt.

Gefordertes Verbot von Ad-Blockern, der Stand des Informationsfreiheitsgesetzes, WLAN in ICEs und Wochenendtips

Im Bericht der Bund-Länder-Kommission zur Medienkonvergenz fordern Medienanbieter ein Verbot von Ad-Blockern, zum zehnten Geburtstag des Informationsfreiheitsgesetzes zieht Andrea Voßhoff ein Zwischenré­su­mé und kommt zu dem Ergebnis, dass das Informationsfreiheitsgesetz angenommen und angekommen ist. Desweiteren versprach diese Woche Bundesinternetverkehrsminister Alexander Dobrindt noch bis Ende des Jahres kostenfreies WLAN in allen ICEs.

Für dieses Wochenende empfehlen wir die Aufzeichnungen der Konferenz „Deep Cables“, für das vorgezogene Wochenende am kommenden Donnerstag bietet sich ein Besuch bei den netzpolitischen Vorträgen auf der Fusion an.


Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende.

by Ben Siegler at June 24, 2016 04:04 PM

Bericht zur Informationsfreiheit: Kontrollbesuche bei Behörden offenbaren Nachlässigkeiten

Andrea Voßhoff bei der Vorstellung ihres neuen Tätigkeitsberichts

Andrea Voßhoff bei der Vorstellung ihres neuen Tätigkeitsberichts

Ein solches Urteil ist mutig: Die Auskünfte deutscher Behörden nach dem Informationsfreiheitsgesetz (IFG) lobte Andrea Voßhoff am Dienstag bei der Vorstellung ihres neuen Tätigkeitsberichts für die Informationsfreiheit als „ordentlich bis gut“.

Wer den neuen Tätigkeitsbericht von Voßhoffs Behörde zur Informationsfreiheit liest, kommt vermutlich zu einem anderen Schluss. Der 170 Seiten starke Bericht zeigt nämlich auf, dass teils überzogene Gebühren, unzulässig verweigerte Auskünfte und zu lange Bearbeitungszeiten nicht ungewöhnlich sind.

100 IFG-Anträge bei Umstrukturierung gelöscht

Beim Kontrollbesuch von Voßhoffs BehördenmitarbeiterInnen im Verteidigungsministerium wurde etwa deutlich, dass im Zuge einer Umstrukturierung des Hauses offensichtlich rund 100 IFG-Anträge gelöscht wurden, was einem Drittel aller Anfragen entspricht. Dies konnte nur deshalb bewiesen werden, weil bei FragDenStaat.de (im Bericht: „eine Internetplattform“) hunderte Anfragen ans Ministerium einsehbar sind.
Außerdem sei mindestens eine IFG-Anfrage nach einem militärischen Trainingszentrum nicht beantwortet worden, weil sie im Ministerium „schlicht versickert“ sei. Kein Referat habe sich für die Beantwortung zuständig gefühlt. Um dies in Zukunft zu verhindern, wolle das Ministerium die Einführung einer zentralen Koordinationsstelle für IFG-Anfragen prüfen.

Ein Kontrollbesuch beim Bundeswirtschaftsministerium hat nach Auskunft der Beauftragten ergeben, dass das IFG im Ministerium „angekommen“ und akzeptiert sei. Da das Ministerium jedoch naturgemäß viele Anfragen erhält, die in Bezug zu Unternehmensdaten stehen, müssten die MitarbeiterInnen oft über Betriebs- und Geschäftsgeheimnisse entscheiden:

Auch bei diesem Kontrollbesuch war in Einzelfällen wieder fraglich, ob das Vorliegen von Betriebs- oder Geschäftsgeheimnissen hinreichend gründlich geprüft oder lediglich die – mitunter schlagwortartige – Argumentation der Drittbeteiligten übernommen worden war.

Die mangelnde Prüfung, ob tatsächlich Geheimnisse vorliegen oder dies nur als Vorwand benutzt wird, um kritische Dokumente nicht herausgeben zu müssen, stellt sich etwa auch im Hinblick auf Daten zum Abgasbetrug von Volkswagen, Opel und Co.

Informationen „nicht vorhanden“, obwohl sie vorhanden sind

Außerdem spricht der Bericht das Problem der oftmals für Antragssteller nicht nachprüfbaren Ausrede an, angefragte Informationen lägen nicht vor. So hatte zum Beispiel das Bundeszentralamt für Steuern auf eine Anfrage nach der Zahl ihrer Beschäftigten geantwortet, „über die angefragten Informationen nicht zu verfügen“. Da dies allerdings reichlich unwahrscheinlich war, vermittelte die Bundesbeauftragte und erreichte die Herausgabe der Informationen.

Auch von Behörden, denen Voßhoffs Behörde eine gute Bearbeitung von Anträge bescheinigt, wünscht sie sich eine aktivere Informationspolitik:

Wünschenswert wäre z. B. eine eigene Rubrik unter dem Register „Service“ auf der Internetpräsenz des [Bundeskanzleramts], wo sowohl allgemeine Informationen zum IFG dargestellt werden als auch die Möglichkeit zur unmittelbaren Antragstellung eröffnet wird.

Das wäre tatsächlich eine gute Idee. Wenn die Ministerien jetzt ohnehin schon alle bei Twitter sind, sollten sie auch auf die Auskunftsrechte der Bevölkerung hinweisen.

Forderung nach mehr Personal für Datenschutz und Informationsfreiheit

Wie Andrea Voßhoff bei keinem öffentlichen Termin vergisst zu erwähnen, ging sie auch bei der Vorstellung ihres Tätigkeitsberichts auf die geringe Personalausstattung ihrer Behörde ein. Ihre wiederholte Kritik an fehlenden Ressourcen mag grundsätzlich berechtigt sein, gerade im Bereich der Informationsfreiheit. Um klare politische Zeichen zu setzen, braucht Andrea Voßhoff jedoch in erster Linie keine weiteren Mitarbeiter. Sie muss nur offensiv die Probleme benennen, die ihr eigener Bericht aufzeigt.


Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende.

by Arne Semsrott at June 24, 2016 03:07 PM

Große Koalition winkt Anti-Terror-Gesetz durch (Update)

Der Bundestag hat dem Anti-Terror-Paket am Freitagnachmittag zugestimmt.

Der Bundestag hat dem Anti-Terror-Paket am Freitagnachmittag zugestimmt. (Archivbild)

Kurz vor der Sommerpause peitschen CDU/CSU und SPD ein von zivilgesellschaftlichen Organisationen scharf kritisiertes Anti-Terror-Gesetz durch den Bundestag. Das „Gesetz zur Umsetzung der Maßnahmen zur Terrorismusbekämpfung“ (PDF), wie es offiziell heißt, ist ein sogenanntes Artikelgesetz, mit dem gleich neun verschiedene Gesetze auf einmal geändert werden sollen. Es enthält unter anderem die folgenden, aus grundrechtlicher Perspektive kritischen, Punkte:

  • Eine endgültige Abschaffung anonymer Mobiltelefonie durch die Verschärfung der Regeln zur namentlichen Registrierung bei Prepaid-SIM-Karten
  • Eine Entgrenzung internationaler Überwachungsdatenbanken durch die Etablierung einer Rechtsgrundlage für den automatisierten Informationsaustausch zwischen dem deutschen Inlandsgeheimdienst, dem Bundesamt für Verfassungsschutz, und ausländischen Geheimdiensten
  • Eine Verlängerung der Laufzeit gemeinsamer Überwachungsdatenbanken von Polizei und Geheimdienst
  • Eine Ausweitung invasiver polizeilicher Überwachung durch die Autorisierung des Einsatzes verdeckter Ermittler durch die Bundespolizei

Mit einem Änderungsantrag haben Union und SPD auf Wunsch von Verfassungsschutzpräsident Maaßen zudem eine weitere Verschärfung des Gesetzes vorgenommen: Das im Verfassungsschutzgesetz festgeschriebene Mindestalter für die Überwachung Minderjähriger wird von 16 auf 14 Jahre abgesenkt. Begründet wird dies mit der vermeintlich hohen Anzahl jugendlicher islamistischer „Gefährder“ und Minderjähriger, die in den Mittleren Osten reisen um für den Islamischen Staat zu kämpfen. Laut Antwort der Bundesregierung auf eine Kleine Anfrage der Linksfraktion sind unter den etwa 800 Menschen, die aus Deutschland in Richtung Syrien oder Irak gereist sind, um dort terroristische Gruppierungen zu unterstützen, jedoch lediglich 5 Prozent überhaupt minderjährig gewesen. Nur vereinzelt seien dies auch Personen unter 16 Jahren gewesen.

Vielfältige Kritik am Anti-Terror-Paket

  • Verschärfung der Identifizierung bei Prepaid-SIM-Karten bedeutet Ende anonymer Mobiltelefonie – laut EU-Kommission wirkungslos
  • Das Paket verursacht Kosten in Millionenhöhe, die noch nicht annähernd abgeschätzt wurden
  • Bei der internationalen Zusammenarbeit begrenzt der Entwurf den Datenaustausch nicht auf Staaten, in denen rechtsstaatliche Verhältnisse gelten
  • Automatisierte Verbunddateien ermöglichen Ringtausch
  • Trennungsgebot von Geheimdiensten und Polizei wird weiter aufgeweicht
  • Es handelt sich nicht nur um eine Indexdateien mit isolierten Informationen zu Einzelfällen, sondern Analysedatei mit Personenprofilen
  • Der Einsatz verdeckter Ermittler durch die Bundespolizei wird nicht wirksam auf so genannte Schleuserkriminalität begrenzt
  • Der Einsatz verdeckter Ermittler ist eine hochgradig invasive Überwachungsmethode, der Kernbereichsschutz ist im Gesetz nicht ausreichend vorgesehen. Sieht sogar vor, dass im Umfeld der Ermittler überwacht werden darf – d.h. auch eine Wohnung, in der VE noch oder gar nicht mehr sind
  • Prävention hilft gegen Radikalisierung Jugendlicher besser als Überwachung

Kritik am Verfahren

Interessanterweise hatte Verfassungsschutz-Präsident Maaßen sich in der Sachverständigenanhörung am Montag bereits bei Union und SPD für die Verschärfung bedankt. Er muss von dem Plan, die geheimdienstliche Datenspeicherung und -verarbeitung minderjähriger „Gefährder“ auszuweiten, wie es von Sicherheitsbehörden seit langem gefordert wird, also mindestens vor dem Parlament gewusst haben. Einen deutlicheren Beleg dafür, dass die von der Opposition als „Farce“ bezeichnete Anhörung tatsächlich eine reine Scheinveranstaltung war, kann es nicht geben.

Update: Die Debatte im Bundestag

Im Bundestag nannten die Vertreter der Großen Koalition die jüngsten Terrorangriffe in Paris und Brüssel als Grund für das Anti-Terror-Paket, die grundrechtlichen Bedenken der Opposition wiesen sie als unbegründet zurück. Der Parlamentarische Staatssekretär des Innern Günter Krings sagte: „Datenschutz ist wichtig, aber ebenso wichtig ist uns das Menschenrecht, nicht von einem Terroristen in die Luft gesprengt zu werden.“ Die Beiträge seiner Koalitionskollegen schlugen in die gleiche Kerbe: Statt sachlicher Begründungen, beschwörten sie den gemeinsamen Kampf gegen den islamistischen Terror, der nur mit diesem Anti-Terror-Paket gewonnen werde könne.

Linken-Politikerin Ulla Jelpke äußerte Verfassungsbedenken und kritisierte den Informationsaustausch mit der Türkei angesichts der dortigen Menschenrechtsverletzungen. Jelpke bezeichnete es als eine „glatte Provokation“, dass das Innenministerium bei der Sachverständigenanhörung von ihrer Seite ausschließlich die weisungsgebundenen Präsidenten von BKA, Bundespolizei und Verfassungsschutz eingeladen habe. Diese seien keine unabhängigen Experten. Das Gesetz sei ein weiterer Angriff auf die Grundrechte, unter dem Deckmantel der Terrorbekämpfung, sagte Jelpke.

Grünen-Fraktionsvize Konstantin von Notz nannte die übereilte Verabschiedung ein „parlamentarisches Armutszeugnis für diese Große Koalition“. Zusammen mit der BND-Reform und der gestern bekannt gewordenen neuen Entschlüsselungsbehörde treibe die Bundesregierung den Abbau der Grundrechte weiter voran. Notz kritisierte die Ausweispflicht bei Prepaid-Karten als nationalen Alleingang, welcher von Datenschützern und Wirtschaft zurecht bemängelt werde.

Sein Fraktionskollege Ströbele erinnerte an die Entscheidung des Bundesverfassungsgerichts zum BKA-Gesetz. Darin habe es klare Grenzen für den Datenaustausch mit ausländischen Diensten aufgezeigt. Im Anti-Terror-Paket würden diese nicht eingehalten, bemängelte Ströbele.

Mitarbeit (Bundestagsdebatte): Simon Rebiger


Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende.

by Ingo Dachwitz at June 24, 2016 02:27 PM

FoeBuD e.V.

Terrorthomas de Maizière: Mit Gesetzen die Bevölkerung terrorisieren

Schäublone

Endlich ein eigenes Konterfei

Unseren Bundesinnenminister Thomas de Maizière hat der Ehrgeiz gepackt. Seinem Vorgänger Wolfgang Schäuble wurde mit der „Schäublone“ ein fragwürdiges, aber bleibendes Denkmal gesetzt – dafür, dass er sich nachhaltig gegen das Freiheitsinteresse der eigenen Bevölkerung stellte und sich die Assoziation „Stasi 2.0“ mit viel Engagement verdient hat. So etwas hat seither nur Ursula von der Leyen geschafft, die ihre eigene Variation der Schäublone als „Zensursula“ erhielt. (Vereinzelt sieht man mal einen Hans-Peter Friedrich, aber darin besteht ja gerade der Witz ;)
Und nun bewirbt sich Herr de Maizière mit neu gewonnenem Eifer darum, auch in die Liste der Politiker.innen einzuziehen, die sich wegen besonders übergriffiger Internet- und Datenkontrolle einen Namen gemacht haben.

Langjähriges Engagement gegen die Grundrechte

Er war schon immer fleißig mit den Überwachungsgesetzen und sackte 2015 sogar einen BigBrotherAward dafür ein, dass er die Europäische Datenschutzgrundverordnung während ihrer Entstehung „systematisch und grundlegend“ sabotierte. Abgeholt hat er den Preis nicht. Auch auf dem evangelischen Kirchentag in Stuttgart, wo wir den Preis erneut überreichen wollten, lehnte er mit den Worten „Den nehme ich auf keinen Fall“ die Annahme brüsk ab.

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

Terrorangst schüren

Der Innenminister hat – wie seine Vorgänger – sein Lieblingsthema zur Begründung des Überwachungsstaates gefunden: Terrorbekämpfung. Erst den Menschen tüchtig Angst einjagen, um ihnen dann unbemerkt das zu entwenden, was sie am allermeisten schützt: ihre Freiheit.

Und jetzt legt er richtig los. Am 15. Juni 2016 rief er zu „mehr Wachsamkeit“ vor Terror auf, um uns alle mal wieder daran zu erinnern, dass wir uns mehr vor Terror fürchten sollen. Eine Woche später, am 24. Juni, soll sein „Anti-Terror-Paket“ in zweiter und dritter Lesung durch den Bundestag gepeitscht und verabschiedet werden.

Mit der Angst vor Terror lässt sich leicht spielen, doch ‚Terrorthomas‘ de Maizière weiß damit mit einer Dreistigkeit Leichtigkeit umzugehen, die ihresgleichen sucht. Mit seiner Politik lässt er uns seinen ganz persönlichen Gesetzes-Terror mehr und mehr spüren. (Oder eben nicht. Das ist ja das Schlimme bei Überwachung. Dass man sie erst spürt, wenn es zu spät ist.)

Gesetzesterror durch „Anti-Terror“-Gesetzgebung

Postkarte in unserem Shop

Mit seinem „Anti-Terror-Paket“ holt sich der Innenminister jetzt die Erlaubnis, selbst 14-Jährige zu überwachen. Und gibt den Geheimdiensten Befugnisse für die Grundrechtsverstöße, die sie ohnehin schon die ganze Zeit (illegal) machen. Eine Begründung dafür blieb er uns schon lange schuldig, da sie uns, also „die Bevölkerung verunsichern“ würde. Da ist es nur konsequent, bei der rechtlich verbrieften Eindampfung der Grundrechte auf die gängigen Regeln zu verzichten, die dann gelten, wenn man ins Grundrecht eingreift. Zeit zum Abwägen war in den zwei Wochen seit der ersten Lesung am 9. Juni wahrlich keine gegeben, und die Opposition beklagte außerdem, dass als ‚Sachverständige‘ die alles andere als neutralen Präsidenten der Sicherheitsbehörden eingeladen wurden. Nachdem die Opposition die Anhörung aus Protest verlassen hatte, erschien auf Netzpolitik.org ein Artikel zum Thema, der aus ‚unerfindlichen Gründen‘ als Aufmacherbild das deutsche EM-Männerfußball-Team zeigte.
Selbst die sonst so schweigsame Bundesdatenschutzbeauftragte Andrea Voßhoff kommt nicht mehr daran vorbei, das Gesetz deutlich zu kritisieren.

Den TERRORTHOMAS gibt es als Aufkleber, als Postkarte und als Poster in unserem Onlineshop.

Das Anti-Terror-Paket ist enorm teuer, hilft nicht gegen Terror und tendiert zu weiteren Verschärfungen durch Druck der Koalitionsparteien und Bundesländer.

Es gibt einen Moment bei einem Bewerbungsverfahren, da kann man aufhören zu lesen. Beispielsweise dann, wenn man endgültig überzeugt ist. Und so geht es uns auch hier. Es ist keine weitere Überzeugungsarbeit mehr nötig: Herr de Maizière hat sich sein eigenes Überwachungs-Meme wirklich verdient. Herzlichen Glückwunsch an den frisch gebackenen Terrorthomas. Bei so viel Engagement konnten wir einfach nicht anders.

Terrorthomas

Text: Leena Simon
Bild: Jens Reimerdes

by Leena Simon at June 24, 2016 01:29 PM

Netzpolitik.org

#IranVotes: Studie zur Rolle von Twitter in iranischen Wahlen

Illustration aus der Studie #IranVotes (unter der Lizenz )

Illustration aus der Studie #IranVotes (unter der Lizenz CC-BY-NC-SA 3.0)

Bei der Parlamentswahl im Februar 2016 wählten die Iraner*innen ihr konservatives Parlament ab – ein Signal der Unterstützung an den Präsidenten Rohani, der den Reformern nahesteht. In der Studie „#IranVotes: Political Discourse on Iranian Twitter During the 2016 Parliamentary Elections“ untersuchte die britische NGO Small Media in Zusammenarbeit mit dem Berkman Center for Internet & Society den politischen Diskurs auf Twitter während der Wahlen 2016.

Schon die Grüne Revolution von 2009 war als Twitter-Revolution bezeichnet worden, was sich im Nachhinein als übertrieben herausstellte. Twitter ist seitdem von der iranischen Regierung geblockt, die Nutzung von VPN-Diensten aber laut Studie weit verbreitet.

Resultat der Studie: Politische Diskussionen über den Iran bei Twitter werden von Anhänger*innen der Reformisten dominiert. Die Plattform dient vorrangig als Nachrichtenquelle und als Brücke zwischen im Exil lebenden Iraner*innen mit der Heimat. Es geht aber nicht nur um Politik: Technews und Katzenbilder sind auch in der iranischen Twittersphäre weit verbreitet:

These tech communities exist alongside sprawling communities of cultural enthusiasts — poets, writers and filmgoers — along with plenty of other users who just want to chat, flirt, and share cat videos.

Die komplette Studie kann hier als PDF-Datei heruntergeladen werden.


Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende.

by Simon Rebiger at June 24, 2016 11:55 AM

Wegen #Brexit: Vorabstimmung zur Einführung von Netzsperren in EU-Anti-Terror Richtlinie erneut verschoben

np-banner-websperren301Am kommenden Montag sollte im Innenausschuss des EU-Parlaments über die umstrittenen Kompromissvorschläge der CSU-Europaabgeordneten Monika Hohlmeier für die Anti-Terror-Richtlinie abgestimmt werden. Die Abstimmung war von letztem Dienstag um einige Tage verschoben worden, nachdem wir darüber berichtet hatten, dass Hohlmeier Netzsperren in den intransparenten Gesetzesprozess rein schmuggeln wollte.

Am kommenden Dienstag wird das EU-Parlament zu einer Sondersitzung zusammen kommen, um über den #Brexit zu debattieren. Zur Vorbereitung einer gemeinsamen Resolution wurden heute alle Ausschuss-Sitzungen am Montag abgesagt. Die erneute Verschiebung gibt weiter Hoffnung, dass der geplante Versuch, Netzsperren über die Anti-Terror-Richtlinie zu Leben zu erwecken von einer Mehrheit im Innenausschuss verhindert werden könnte.


Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende.

by Markus Beckedahl at June 24, 2016 10:33 AM

June 23, 2016

CCC Dresden

Plan­ungs­tref­fen Hack­space im Zentral­werk

Souterrain im Zentralwerk vor dem Bau
Datum
Donnerstag, 30. Juni 2016 um 20:00 Uhr
Ort
GCHQ, Lingnerallee 3

Der Umzug ins neue HQ steht im September bevor. Nächsten Donnerstag halten wir deshalb wieder Planungstreffen ab.

Bitte schaut euch bis zum Donnerstag, 30. Juni, die bestehenden Raumentwürfe im Tracker an. Ihr könnt auch selbst malen und eure Vorschläge zum Treffen vorstellen.

by CCC Dresden (mail@c3d2.de) at June 23, 2016 11:05 PM

CCC Media

openQA - Avoiding Disasters of Biblical Proportions (osc16)

What do we mean, biblical? 40 years of darkness, earthquakes, volcanos, human sacrifice, mass hysteria, dogs and cats living together... and on that note, did you know that openQA is used by both openSUSE and Fedora? What is so awesome about this tool that traditional distribution enemies are now working together? openQA is an automated testing tool, capable of full system, console, and graphical application testing. This session will give an introduction to openQA's capabilities, share how it is used by openSUSE for the testing of Tumbleweed and Leap, and suggest ideas to attendees as how it could be used for testing their software, operating systems, or virtual machine images. about this event: https://c3voc.de

Video:osc16_dv-956-eng-openQA_-_Avoiding_Disasters_of_Biblical_Proportions_sd.mp4

June 23, 2016 10:00 PM

A Guided Tour of Machinery (osc16)

As a Linux system administrator you are constantly working on tasks like: - Cloning a system from an existing one - Migrating a system to new hardware, a virtual environment or a different distribution - Debugging a broken system - Upgrading a system - Integrating your systems into a configuration management tool Determining and comparing the state of a system in order to work on these tasks is not a trivial thing. You have to know about services, packages, configuration files, etc. This proves to be even harder if one or more of your systems differ in version and/or distribution. You can use Machinery to inspect your Linux systems and use the generated descriptions to be interpreted in an off-line fashion, giving you the ability to compare a system at different points in time or against another system. Peace of mind will be the result of knowing that you can ensure the resulting state of your system and many other types of analysis based on your system descriptions. In this guided tour you will explore the basics of Machinery and see some examples in the wild. All from the safety of your seat. The focus will be on openSUSE systems but stay open to the use of any other distributions. Should you have any questions about Machinery your guide will be there for you at all times. about this event: https://c3voc.de

Video:osc16_dv-926-eng-A_Guided_Tour_of_Machinery_sd.mp4

June 23, 2016 10:00 PM

Kolab Summit 2.0 - Niche Markets (osc16)

Hans de Raad Owner at OpenNovations about this event: https://c3voc.de

Video:osc16_dv-1076-eng-Kolab_Summit_20_-_Niche_Markets_sd.mp4

June 23, 2016 10:00 PM

Kolab Summit 2.0 - Welcome (osc16)

https://summit.kolab.org/ Georg C. F. Greve KOLAB SYSTEMS CEO about this event: https://c3voc.de

Video:osc16_dv-1068-eng-Kolab_Summit_20_-_Welcome_sd.mp4

June 23, 2016 10:00 PM

Testing complex software in CI (osc16)

This talk will show stories from the trenches of developing tests for SSSD and Samba. How we developed complete integration tests that exercise all the capabilities of our software and run in environments without a real network access, without requiring root or sudo or touching the important OS interfaces. The authors of this talk work on SSSD, Samba and libssh - software that communicates over the network, often requires root access and communicates through OS interfaces. In this talk, we will show how we developed complete integration tests that exercise all the capabilities of our software and run in environments without a real network access, without requiring root or sudo or touching the important OS interfaces. In addition, our goal was that the tests must be easy to develop and must run both locally on developer's machine as well as inside popular CI engines of today, like Travis or Semaphore. To meet these goals, we had to leverage existing testing tools, but also build new ones such as pam_wrapper or libpamtest to be able to test OS-level PAM authentication and authorization. This talk will be useful for developers who write tests for software that is normally not easy to test -- attending the talk will show you how to test complex software systems in isolation. about this event: https://c3voc.de

Video:osc16_dv-1052-eng-Testing_complex_software_in_CI_sd.mp4

June 23, 2016 10:00 PM

Let openQA test you own stuff (osc16)

OpenQA is openSUSE's powerful installation testing environment. It normally tests whole ISO images that need to be mastered first it is not very straightforward to check single packages within the development process of new features or bug fixes. I'll show you how we managed to test our stuff as early as possible without mastering whole ISOs and how we enabled our developers to easily adapt existing openQA tests to changes in YaST's behaviour and user interface to be able to deliver updated openQA tests along with updated YaST versions. about this event: https://c3voc.de

Video:osc16-986-eng-Let_openQA_test_you_own_stuff_hd.mp4

June 23, 2016 10:00 PM

uEFI grub2 on Raspberry Pi (osc16)

Booting is hard. Booting in the ARM world is even harder. State of the art are a dozen different boot loaders that may or may not deserve that name. Each gets configured differently and each has its own pros and cons. As a distribution this is a nightmare. Configuring each and every one of them complicates code that really should be very simple. To solve the problem, we can just add another layer of abstraction (grub2) on top of another layer of abstraction (uEFI) on top of another layer of abstraction (u-boot). Follow me on a journey on how all those layers can make life easier for the distribution and how much fun uEFI really is. After this talk, you will know how ARM systems boot, what uEFI really means, how uEFI binaries interact with firmware and how we are going to move to uEFI based boot on openSUSE for ARM. about this event: https://c3voc.de

Video:osc16-946-eng-uEFI_grub2_on_Raspberry_Pi_hd.mp4

June 23, 2016 10:00 PM

An Embedded USB Cloud Storage Gateway with Tumbleweed (osc16)

Scale-out block storage offerings, such as Ceph RADOS Block Devices, offer a number of desirable features including fault tolerance, thin-provisioning, online resize and snapshots. Exposing such storage for access via an embedded USB storage gadget can solve a number of factors limiting adoption, namely: - Interoperability + Cloud storage can now be consumed by almost any system with a USB port - Ease of use + Configure once, then plug and play anywhere - Security + Encryption can be performed on the USB device itself, reducing reliance on cloud storage providers This presentation will introduce and demonstrate a USB cloud storage gateway prototype developed during SUSE Hack Week, running on an ARM board with openSUSE Tumbleweed. about this event: https://c3voc.de

Video:osc16-934-eng-An_Embedded_USB_Cloud_Storage_Gateway_with_Tumbleweed_hd.mp4

June 23, 2016 10:00 PM

openSUSE on ARM boards (osc16)

A lot of work has been going on around the openSUSE ARM port. Which hardware is new? Where is openSUSE running? What has improved in the past year? Whom can you contact? Where are things headed? Expect answers to these and more questions around ARM hardware. about this event: https://c3voc.de

Video:osc16-920-eng-openSUSE_on_ARM_boards_hd.mp4

June 23, 2016 10:00 PM

The state of ARM - a 64bit view of what does/doesn't work (osc16)

The AArch64 port is now in pretty good shape with most things ported and built. However we know that there is plenty of software that is not optimised and some may not actually work at all. Please come along and moan about anything you have found which doesn't work as well on AArch64 as it does on x86. We (Linaro, ARM and openSUSE) want your feedback on where to direct effort next. This talk will cover the current status of the port with both and upstream and openSUSE specific view, and crucially hardware availability. Only a few things are completely missing, but we know that a lot of software is using the basic 'fallback support' where other architectures have specific optimisations. Some stuff is probably building, but not actually working right. We are keen to fix things that are actively getting in the way of using AArch64 in real systems, but to do that we need feedback from users on what to look at next as we move from mostly enablement to mostly optimisation. GCC, OpenJDK, & LLVM are known to be in good shape, but there is a pile of other stuff that probably isn't. It's very hard to test 'all the software in the world', so please tell us about stuff you've noticed not working well, or incredibly slowly, or that you suspect might be a problem and need work. about this event: https://c3voc.de

Video:osc16-802-eng-The_state_of_ARM_-_a_64bit_view_of_what_does_doesnt_work_hd.mp4

June 23, 2016 10:00 PM

AppArmor Crash Course (osc16)

AppArmor is an effective and easy-to-use Linux application security system. AppArmor proactively protects the operating system and applications from external or internal threats, even zero-day attacks, by enforcing good behavior and preventing even unknown application flaws from being exploited. AppArmor security policies, called profiles, completely define what system resources individual applications can access, and with what privileges. A number of default profiles are included with AppArmor, and using a combination of advanced static analysis and learning-based tools, AppArmor profiles for even very complex applications can be deployed successfully in a matter of hours.

This talk gives an introduction to AppArmor. I'll show the AppArmor tools to create and update profiles and also explain the profile syntax so that you can understand and manually edit profiles. I'll also show some advanced usage - securing a typical webserver, setting up read-only root access to do backups and how to (ab)use AppArmor for debugging. about this event: https://c3voc.de

Video:osc16-786-eng-AppArmor_Crash_Course_hd.mp4

June 23, 2016 10:00 PM

Improve the quality of Plasma with Wayland (osc16)

A talk from Martin Graesslin (one of the top Plasma developers) about how to Improve the quality of Plasma with Wayland about this event: https://c3voc.de

Video:osc16-1056-eng-Improve_the_quality_of_Plasma_with_Wayland_hd.mp4

June 23, 2016 10:00 PM

The ARM race: the tortoise and the hare (osc16)

Norman Fraser, Ph.D. is the CEO of SoftIron Ltd. about this event: https://c3voc.de

Video:osc16-1040-eng-The_ARM_race_the_tortoise_and_the_hare_hd.mp4

June 23, 2016 10:00 PM

Netzpolitik.org

BSI-Vizepräsident widerspricht Maaßens Verschwörungstheorien

Zeuge Andreas Könen während seiner Aussage. Zeichnung: Stella Schiffczyk. Lizenz: nicht frei.

Zeuge Andreas Könen während seiner Aussage. Zeichnung: Stella Schiffczyk. Lizenz: nicht frei.

In der heutigen Sitzung des NSA-Untersuchungsausschusses wurde der Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Andreas Könen, befragt. Vor seiner Tätigkeit beim BSI war Könen von 1998 bis 2006 beim BND tätig und kannte daher auch die Geheimdienst-Operationen Eikonal und Glotaic.

Auf die Frage, ob der Wechsel vom Abhören hin zur Sicherung der Integrität von Kommunikation ein Interessensgegensatz sei, sagte Könen, dass dies eine klare Herausforderung gewesen sei. Die Stellung des BSI unter das Bundesinnenministerium (BMI), in dem laut Christian Flisek „Leute, die Verschlüsselung als Teufelszeug bezeichnen“ arbeiten, sieht Könen hingegen nicht kritisch. Das BSI produziere Sicherheit und strebe nicht nach einer Unabhängigkeit vom BMI, die Zusammenarbeit würde funktioneren.

Bezüglich der Echtheit der Snowden-Dokumente hat BSI-Vize Könen eine andere Einschätzung als Verfassungsschutz-Präsident Maaßen, der in der letzten Sitzung des Ausschusses spekulierte, Snowden könne ein russischer Agent und die von ihm weitergegebenen Dokumente gefälscht sein.

Nach Könen gebe es grundlegend keinen Zweifel an der Authentizität der Snowden-Dokumente. Die in ihnen beschriebenen Angriffe seien so durchführbar, was das BSI auch einige Male durch Nachprüfungen getestet habe. Jedes einzelne Dokument auf seine Echtheit zu prüfen sei schwer durchführbar, dies sei jedoch für das BSI nicht der entscheidende Punkt, da die in den Dokumenten dargestellte Systeme an sich realistisch seien. Die vor diesen Enthüllungen vom BSI als teuer und unpraktikabel abgetanen Angriffe wurden nach 2013 anders eingeschätzt. Die Bedrohungslage habe sich verändert, weshalb die gewählten Schutzmaßnahmen neu bewertet wurden.

Vorschlag für ein neues BSI-Logo

Vorschlag für ein neues BSI-Logo

Auch bei der Frage, ob Handynummern dazu genutzt werden können, um Personen genau zu orten, widersprach Könen Maaßen und anderen Vertretern des BfV. Die Ortung einer Person anhand einer Handynummer sei auf wenige Meter genau möglich. Dies ist vor allem im Bezug auf Drohnenanschläge, basierend auf auch von deutschen Behörden weitergegebenen Handynummern, relevant.

Überraschend war auch, dass das BSI im Falle „Merkelphone“ zwar die Anschuldigungen auf ihre Plausibilität überprüfte, das Gerät jedoch nicht physisch untersuchen durfte. Das BSI bot an, das Handy zu untersuchen, die Bundesregierung lehnte dies jedoch ab. So konnte nicht festgestellt werden, ob das Kanzlerinnen-Handy aktiv, also durch Schadsoftware, oder lediglich passiv überwacht wurde.


Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende.

by Ben Siegler at June 23, 2016 05:07 PM

Bundesregierung will Entschlüsselungsbehörde schaffen

Die Antwort der Bundesregierung auf den aktuellen Crypto War heißt Zitis: Zentrale Stelle für Informationstechnik im Sicherheitsbereich. Die Behörde soll verschlüsselte Kommunikation knacken, die immer mehr zum Standard wird. Das hat der Rechercheverbund aus Süddeutscher Zeitung, NDR und WDR herausgefunden. Die Süddeutsche schreibt:

Hunderte Spezialisten sollen dort die raffinierten Codes der Anbieter und Hersteller knacken, damit Polizei und Verfassungsschutz weiterhin mitlesen können. Zitis soll als Dienstleister fungieren, der Bundespolizei, Bundeskriminalamt und Verfassungsschutz dabei hilft, Licht ins Dunkel zu werfen. Einzelne Bundesländer sollen später andocken können. Um die gebotene Trennung zwischen Polizei und Geheimdienst nicht zu umgehen, soll Zitis nicht selbst abhören, sondern nur die notwendigen Techniken entwickeln, auf dem freien Markt kaufen oder von befreundeten Staaten übernehmen.

Zunächst sollen 60 Personen bei Zitis arbeiten, im Jahr 2022 dann um die 400. Weiter heißt es, dass sich die Bundesregierung bewusst gegen verpflichtende Backdoors und sich stattdessen für die Schaffung einer Entschlüsselungsbehörde entschieden habe. Diese soll nicht per Gesetz, sondern per „Errichtungserlass aus dem Innenministerium“ geschaffen werden.


Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende.

by Markus Reuter at June 23, 2016 04:37 PM

Die Cider Connection: Abmahnungen gegen Nutzer von Creative-Commons-Bildern

Zwei Männer Arm in Arm. Sie lachen, haben Weingläser in der Hand. Zwischen ihnen steht ein großes weißes Plastikfass mit rotem Deckel und Hahn. Am 8. März 2014 trinken die beiden Wahl-Kieler Philipp H. und Lutz S. einen selbstgemachten Cider und dokumentieren ihr Treffen mit einem Foto auf Facebook. Nun ist das gemeinsame Verkosten von Apfelschaumwein nichts Anrüchiges, gäbe es nicht das Abmahnmodell, mit dem beide Herren offenbar in Verbindung stehen. Was die Herren machen, ist nicht illegal. Es zeigt aber, wie perfide man die Strenge der Creative-Commons-Lizenzen mit der deutschen Art und Weise der Urheberrechtsdurchsetzung in geschäftlicher und böser Absicht pervertieren kann.

Screenshot: Facebook

Screenshot: Facebook

Philipp H. ist „Vorstandsvorsitzender“ eines Verbandes zum Schutz geistigen Eigentums im Internet, kurz VSGE. Einen Verband mit diesem Namen haben wir jedoch weder im Handels- noch im Vereinsregister gefunden. Auch der „Vorstandsvorsitzende“ des Verbandes selbst kann uns auf Nachfrage keine Angabe zur Rechtsform machen.

Lutz S. hat als Rechtsanwalt zahlreiche Fälle dieses Verbandes übernommen. Als am 11. März 2014 die Facebook-Seite des VSGE mit einer Jubelmeldung online geht, ist Rechtsanwalt Lutz S. über die Meldung des Mandanten begeistert und schreibt auf Facebook: „Jungs, ich bin sehr beeindruckt!“ Der Rest des Internets ist weniger begeistert. Bis heute hat der Verband auf Facebook erst 11 Likes gesammelt.

Der Anwalt ist beeindruckt von seinem Mandanten.

Der Anwalt ist beeindruckt von seinem Mandanten.

Philipp H. und Lutz S. wohnen beide in Kiel, kommen beide ursprünglich aus Hildesheim, gehen beide dort auf das selbe Gymnasium. Man kennt sich. Man arbeitet zusammen.

Es sind zahlreiche Fälle bekannt, in denen Webseitenbetreiber, Blogs und Medien seit Ende 2015 wegen Lizenzverletzungen bei Creative-Commons-Bildern abgemahnt wurden.

Der VSGE & die Kommerzialisierung von Rechten Dritter

Offiziell können sich Fotografen auf bilderdiebstahl.de, der Seite des Verbandes, einen Account machen und ihre Bilder registrieren. Der Verband mahnt dann in allen uns bekannten Fällen mittels Lutz S. die Rechteverletzer ab. Für den Fotografen gibt es laut bilderdiebstahl.de pro abgemahnter Person 40 Euro für das erste Bild und 10 Euro für jedes weitere. Dies steht in einem krassen Missverhältnis zu den Kosten, die von den Abgemahnten gefordert werden. Denn eine Abmahnung für zwei Bilder kostet schnell mal 1600 Euro Schadenersatz plus 600 Euro Anwaltsgebühren, wie aus einer Abmahnung hervorgeht, die uns vorliegt.

Die Domain bilderdiebstahl.de gibt es schon länger. Im Impressum der Seite steht bis Ende 2012 die LoogBerry GmbH, die mit dem Geschäftsmodell der Kommerzialisierung von Rechten Dritter einschlägig bekannt wird. Schon hier im Boot: Rechtsanwalt Lutz S. aus Kiel.

Firmen- und Beziehungsgeflecht der Cider Connection. Zum Vergrößern auf das Bild klicken.

Firmen- und Beziehungsgeflecht der Cider Connection. Zum Vergrößern auf das Bild klicken.

Im Januar 2013 erfinden dann die Macher von bilderdiebstahl.de den seriös klingenden Verband zum Schutz geistigen Eigentums im Internet (VSGE). Das Geschäftsmodell jedoch bleibt das gleiche.

Als Vorstandsvorsitzender des Verbandes wird ab diesem Zeitpunkt Jacek K. auf der Webseite genannt. Jacek K. versucht sich mit Abmahngeschäften in unterschiedlichen Bereichen. Er hat nicht nur die LoogBerry GmbH gegründet, sondern auch die Trade Buzzer UG. Letztere hat sich Begriffe wie „Gamer“ oder „Geek Nerd“ schützen lassen und mahnt damit unter anderem getdigital.de ab. Der Anwalt in diesem Fall ist ein alter Bekannter: Lutz S. aus Kiel. In zweiter Instanz verliert die Trade Buzzer UG den Prozess und wird in der Folge liquidiert.

Personelle Verbindungen zur RedTube-Abmahnaffäre

Jacek K. war zudem im Jahr 2008 für einige Monate Geschäftsführer der Piracy Guard IT Solutions GmbH von Pavel K.. Diese Firma hat mutmaßlich IP-Adressen beim Filesharing protokolliert. Pavel K. taucht in Zusammenhang mit der RedTube-Abmahnaffäre als Erfinder von Schnüffelsoftware auf.

Jacek K. ist in noch mehr Firmen aktiv, zum Beispiel bei der NotreFun Entertainment Media GmbH. Diese versendete unter anderem über den Anwalt Lutz S. aus Kiel Abmahnungen für Filesharing im Pornobereich.

Im Januar 2016 wird dann der Kieler Ciderfreund Philipp H. zum „Vorstandsvorsitzenden“ des Verbandes zum Schutz geistigen Eigentums im Internet. Unser Verdacht: Ein Strohmann. Jacek K. hingegen ist bis heute als Admin-C der Domain bilderdiebstahl.de eingetragen.

Wir wollen mehr wissen über diesen sonderbaren Verband. Wir versuchen es mehrfach telefonisch unter der auf der Webseite angegebenen Nummer, bekommen aber immer nur einen Anrufbeantworter zu hören, der nicht einmal den Namen des Verbandes ansagt. Auch über die angegebene Skype-Adresse ist keine Kontaktaufnahme möglich.

Im Haus der Briefkastenfirmen

Deswegen schauen wir am Montag um 11 Uhr morgens selbst vorbei. Schloßstraße 50. Im Süden Berlins. Hier soll der vermeintliche Verband residieren, der nur auf Facebook und auf der Domain bilderdiebstahl.de in Erscheinung tritt. Im Nachbarhaus der Immobilie ein indisches Restaurant, draußen auf dem Gehweg der vielbefahrenen Straße riecht es nach einem toten Tier, das in der Baumscheibe vor sich hingammelt.

An der Außenklingel ist der Verband zum Schutz geistigen Eigentums im Internet nicht zu finden. Wir klingeln bei einer Bürogemeinschaft im 1. Stock, weil hier unter sieben anderen Firmen der Name Sebastian K. steht. K. ist ein ehemaliger Geschäftsführer der LoogBerry GmbH, er stand früher auch einmal im Impressum von bilderdiebstahl.de. Sebastian K. führt mittlerweile die nach ihm selbst benannte KraSeb GmbH. Selbstgewählter Werbeclaim der Firma: Sicherheit & Kapital.

Der Verband teilt sich ein Zimmer mit der KraSeb GmbH in einer Bürogemeinschaft

Der Verband teilt sich ein Zimmer mit der KraSeb GmbH in einer Bürogemeinschaft

Und tatsächlich öffnet sich ohne weiteres Nachfragen die Haustüre mit einem lauten Buzzen. Im Treppenhaus der Schlossstraße 50 hängen Briefkästen. Es sind viele Briefkästen mit sehr vielen Namen darauf. Im Haus ansässig ist auch ein so genannter Büroservice, der anderen Firmen einen Briefkasten und eine Adresse verkauft, regelmäßig die Kästen leert und die Post weiterleitet. Mit dem Abmahnungen haben die anderen Briefkastenfirmen nichts zu tun.

Geöffnet wird uns oben im 1. Stockwerk von einer Dame mittleren Alters. Sie ist sehr freundlich. Es sei leider niemand da heute, wir könnten jedoch eine Telefonnummer hinterlassen.

Der VSGE - ein Name unter vielen am Briefkasten.

Der VSGE – ein Name unter vielen am Briefkasten.

Der Geschäftsführer kennt seine eigene Firma nicht mehr

Als wir über Umwege telefonisch nachforschen stellt sich raus, dass der Verband zum Schutz geistigen Eigentums im Internet in der Bürogemeinschaft bei der KraSeb GmbH angesiedelt ist. „Das macht Sebastian K.“ sagt uns die Quelle. Das bestätigt uns später auch Sebastian K. selbst am Telefon. Welche Rechtsform der Verband eigentlich habe? Dazu will sich K. nicht äußern. Dazu sei er nicht befugt wegen des Datenschutzes und Firmengeheimnissen, sagt er nervös. Auch die LoogBerry GmbH als frühere Domaininhaberin von bilderdiebstahl.de will K. nicht kennen. Das ist einigermaßen skurril, denn K. war dort selbst bis 2014 Geschäftsführer. Und auch seinen LoogBerry-Kompagnon und früheren VSGE-Vorstandsvorsitzenden Jacek K. verleugnet er. Nachzulesen ist deren Geschäftsverbindung natürlich im Handelsregister. Oder auf auf archivierten Seiten des Impressums von bilderdiebstahl.de. Bei weiteren Nachfragen wird K. wortkarg, will uns einen Termin „nächste Woche“ anbieten, bei dem man vor Ort mit dem Verband reden könne. Wir beenden das Gespräch und versuchen es bei Jacek K.

Doch auch der Anruf bei Jacek K. führt nicht wirklich weiter. Er sei zwar Mitglied des Verbandes, sagt er, aber man solle doch lieber beim Verband selbst anrufen, denn er könne nicht für den Verband sprechen und könne auch nichts zu dessen Rechtsform sagen. Überhaupt würde er lieber die Geschäfte seiner verschiedenen Unternehmen strikt trennen, sagt er. Kein Wunder. Jacek K. hat einige Firmen, darunter eine Arbeitsvermittlung für polnische Pflegekräfte. Die hat sogar – ganz seriös – einen eigenen Briefkasten. Für seine Abmahnungen hingegen nutzt Jacek K. nur einen gemeinsamen Briefkasten in einem Moabiter Eckhaus.

Traute Einigkeit der Abmahnfirmen am gemeinsamen Briefkasten.

Traute Einigkeit der Abmahnfirmen am gemeinsamen Briefkasten.

Nächster Anruf in Kiel. Philipp H. geht ans Telefon. Ob er der Vorstandsvorsitzende des VSGE sei? Ja, das sei er. Was denn die Rechtsform des Verbandes sei? Ein freier Wirtschaftsverband sei man. Welche Rolle Herr Jacek K. beim Verband spiele? Langes Zögern. Darüber möchte Philipp H. nichts sagen. Ob er mit dem Anwalt Lutz S. zusammen in die Schule gegangen sei? Befreundet sei? Auch darüber möchte der jetzt hörbar nervöse Vorstandsvorsitzende nicht reden – und legt ohne ein weiteres Gesprächsangebot auf.

Auch der Fotograf schweigt

Auch Dennis S. will nicht mit uns reden. Mehrfache Kontaktversuche über Mail und Telefon werden nicht beantwortet. S. ist Fotograf. Alle uns bekannten Abmahnungen des VSGE werden in seinem Namen verschickt. Dennis S. hat sich auf Symbolbilder spezialisiert. Bilder, die ständig irgendwie benutzt werden könnten. Er stellt diese unter einer Creative-Commons-Lizenz bei Flickr ins Netz. Und dann mahnt er über den VSGE Webseiten ab, die sich nicht zu 100 Prozent an die Vorgaben der Lizenz halten, die S. sogar noch mit zusätzlichen Bedingungen anreichert. Dennis S. wird in uns vorliegenden Abmahnungen als Mitglied des Verbandes zum Schutz geistigen Eigentums im Internet benannt.

Zu guter Letzt dann Anruf bei Lutz S., dem Kieler Anwalt des VSGE. „Jetzt also auch bei mir“, sagt der Anwalt. Er erwartet wohl schon unseren Anruf. Nicht nur Philipp H. hat ihm zuvor gesteckt, dass wir recherchieren. Das sagt Lutz S. selbst am Telefon. Die Abmahner sind wohl aufgeschreckt von unseren Recherchen, Lutz S. hat sich davor auch über den Autor des Artikels schlau gemacht. Philipp H. kenne er privat, sagt er, nachdem wir ihn auf das Cider-Bild ansprechen. Darüber hinaus will der Anwalt nichts sagen und beruft sich darauf, dass er über seine Mandanten nicht reden dürfe. Eine zu große Nähe oder Involvierung in die Geschäfte seiner Mandanten, will Lutz S. offenbar vermeiden. Er stellt sich einfach nur als deren Anwalt dar. So wie er das schon seit Jahren macht.

Forderungen und Vorgehensweise der Abmahner fragwürdig

Das Geschäftsmodell der Cider Connection ist nicht illegal, sagen uns mehrere Anwälte. Auch seien die von Lutz S. geforderten Sätze abmahnüblich.

iRights.net erscheinen die Forderungen und die Vorgehensweise der Abmahner als fragwürdig, sie knüpften jedoch an vermeidbare Fehler an. Wer Abmahnungen und Lizenzforderungen vermeiden will, sollte sich unbedingt an die Bedingungen der CC-Lizenzen halten. Diese sind:

  • Nennung des Urhebers,
  • Nennung des Titels, wenn vorhanden,
  • Nennung der Lizenz genannt und Verlinkung auf diese.

Hilfreich bei der Nutzung von Wikipedia-Bildern ist der Lizenzhinweisgenerator.

Eine zusätzlicher Link auf die Ursprungswebseite mit dem Werk sei nötig, wenn diese angegeben ist oder das Werk von dort übernommen wird, sagt Rechtsanwalt Till Jaeger, der den wissenschaftlichen Input beim Lizenzhinweisgenerator gegeben hat.

Im Fall des Fotografen Dennis S. kommt iRights aber zum Schluss:

Er verlangt, dass Nutzer der Bilder stets auf die jeweilige Bildseite bei Flickr verlinken. Eine solche Pflicht der Nutzer dazu ist im konkreten Fall fraglich, zudem müsste eine solche Bedingung für Nutzer klar erkennbar sein. Ein Hinweis darauf findet sich nur auf einer Unterseite seines Flickr-Profils. Die zusätzliche Bedingung dürfte hier nach den Bestimmungen der gewählten Lizenzversion im Detail (CC BY-ND 2.0), aber auch nach AGB-Recht unwirksam sein.

Cider and Ice. Foto: CC-BY-NC 2.0  David Merrigan

Cider and Ice. Foto: CC-BY-NC 2.0 David Merrigan

Wer abgemahnt wurde, sollte in jedem Fall einen Anwalt konsultieren, sagt Jaeger. Nicht alles was in den CC-Abmahnungen gefordert wird, sei auch berechtigt. Zum Teil stellten sich spezielle Fragen, z.B. ob der VSGE überhaupt „aktivlegitimiert“ sei, d.h. die Ansprüche überhaupt geltend machen könne.

Politisch ließe sich solchen Abmahnungen schnell ein Riegel vorschieben, sagt Volker Tripp vom Digitale Gesellschaft e.V.:

Dazu muss das überholte Urheberrecht an die Anforderungen des digitalen Wandels angepasst werden. Insbesondere die erste Abmahnung wegen eines Verstoßes durch Privatpersonen sollte für die Betroffenen kostenfrei sein. Anders wird es nicht gelingen, dieser rechtsmissbräuchlichen Abzocke die Grundlage zu entziehen.

Dieser Artikel baut auf einer gemeinsamen Recherche von Markus Reuter, Ben Siegler und Christoph Langner auf. Letzterer wurde selbst abgemahnt von der Cider Connection und lieferte wichtige Fakten und Zusammenhänge für diesen Artikel. Solche Recherchen kosten viel Zeit und Geld, wir freuen uns wie immer über Spenden, die solche Stücke ermöglichen.


Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende.

by Markus Reuter at June 23, 2016 02:14 PM

Verschlüsseln Terroristen ihre E-Mails? Keiner weiß es, doch Staatstrojaner gibt es bald länderübergreifend.

Dauerthema Verschlüsselung und Strafverfolgung. CC BY-SA 2.0, via flickr/kris krüg

Dauerthema Verschlüsselung und Strafverfolgung. CC BY-SA 2.0, via flickr/kris krüg

Auf der einen Seite beteuern Regierungsvertreter, sie wollen keine Hintertüren in Software einbauen, auf der anderen Seite fordern sie Zugang zur Kommunikation für Strafverfolger. „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ – so fasste die Bundesregierung ihre widersprüchliche Haltung im November 2015 zusammen.

Andrej Hunko, Abgeordneter der Linken im Bundestag, hat nun nachgefragt, wie es mit den „Anstrengungen zur möglichen Aushebelung verschlüsselter Telekommunikation“ auf europäischer Ebene aussieht. Die EU-Polizeiagentur Europol hatte sich wiederholt dafür stark gemacht, am Brechen von Verschlüsselung zu arbeiten, den Datenaustausch zwischen Polizeien zu verstärken und die Grenzen zwischen Polizei und Geheimdiensten nicht so genau zu nehmen – alles unter dem Schirm der Terrorbekämpfung. Der EU-Anti-Terror-Koordinator Gilles de Kerchove hatte explizit Hintertüren für verschlüsselte Kommunikation bei IT-Dienstleistern verlangt.

Europäische Ermittlungsanordnung erlaubt anderen Mitgliedstaaten Einsatz von Staatstrojanern in Deutschland

Besonders interessant ist in dem Zusammenhang die Europäische Ermittlungsanordnung, die es EU-Mitgliedstaaten erlaubt, in einem anderen Mitgliedstaat polizeiliche und justizielle Maßnahmen anzuordnen. Dazu gehört auch der Einsatz von Staatstrojanern und ähnlichen Mitteln zum Ausspähen von Kommunikationstechnik. Noch ist die Richtlinie, die die Ermittlungsanordnung regelt, nicht in deutsches Recht umgesetzt. Laut Antwort des Innenministeriums auf Hunkos Fragen plant man jedoch, das noch in diesem Jahr zu tun, um die offizielle Umsetzungsfrist im Mai 2017 einhalten zu können.

Das heißt, dass spätestens ab dann die zuständigen Behörden der EU-Mitgliedstaaten in Deutschland Staatstrojaner einsetzen dürfen. Das Innenministerium beteuert zwar, dass „das Recht des ersuchten Mitgliedstaates maßgeblich“ bleibt. Doch das ist nicht einmal ein schwacher Trost: Da deutsche Behörden grundrechtsinkompatibel Staatstrojaner einsetzen dürfen, gilt nun schlichtweg gleiches Recht zum Unrecht für alle.

Keine Statistiken zum Aufkommen von Verschlüsselung

Kurz darauf enttarnt sich die Regierung selbst, denn sie kann – wie in vorigen Anfragen zum selben Thema – keine konkreten Angaben dazu machen, wofür das Umgehen von Verschlüsselung überhaupt notwendig ist. Geschweige denn kann sie aufzählen, mit welchen Verschlüsselungstechniken Strafverfolger konfrontiert sind. Oder wie häufig verschlüsselte Inhalte vorliegen – nicht einmal für eine grobe Kategorisierung reicht es:

Für die Behörden des Bundes ist eine Kategorisierung in „selten“, „häufig“ oder „sehr häufig“ aufgrund fehlender statistischer Aufzeichnung nicht möglich.

Kein Wunder, denn auch wenn gern der Verschlüsselung die Schuld in die Schuhe geschoben wird, sobald es um Terror geht – im Nachhinein stellt sich oft heraus, dass die Täter über unverschlüsselte Kommunikationswege wie SMS kommunizierten.

Fragesteller Hunko betrachtet die Antworten der Regierung mit Sorge:

Die Debatte um das angeblich notwendige Umgehen oder Brechen von Verschlüsselung ist paradox. Die Nutzung von Kryptierung wird einerseits gefördert, während gleichzeitig Kriminalämter nach Hintertüren suchen. Wie bei der Vorratsdatenspeicherung wird die Angelegenheit nun auf EU-Ebene gehievt. Die Bundesregierung unterstützt das ausdrücklich. Dabei wird mit Behauptungen hantiert, die nicht belegt werden und meines Erachtens auch nicht belegbar sind. Laut dem Bundesinnenministerium finde sich ein „Streben nach einer abgeschirmten, klandestinen Übermittlung von Informationen“ in allen Phänomenbereichen, in denen Menschen sich in Netzwerken organisieren. Das ist eine Nullaussage. Das Ministerium ist nicht einmal in der Lage, eine Größenordnung zu nennen, in der die Strafverfolger mit verschlüsselten Inhalten konfrontiert sind.

Ich gehe ohnehin davon aus, dass die „Verschlüsselungsdebatte“ eigentlich nur den Boden bereiten soll, das Eindringen in die privaten Kommunikationssysteme zu rechtfertigen. Zuletzt hatte in Deutschland die Frühjahrskonferenz der Justizminister eine Ausweitung von Staatstrojanern auf mehr Behörden und mehr Straftaten gefordert. Mehr Einsätze staatlicher Schadsoftware sind also zu erwarten. Das geht dann übrigens auch auf Anordnung von Behörden anderer EU-Mitgliedstaaten, wenn die Bundesregierung wie geplant in den nächsten 11 Monaten die „Europäische Ermittlungsanordnung“ umsetzen will. Jeder Rest von Vertrauen in die Freiheit des Internet und der Telekommunikation wird auf diese Weise demontiert.

Was spannend ist, bleibt geheim

Die längste Antwort der Bundesregierung beschäftigt sich damit, warum sie keine Antwort geben will. Es geht um die Frage nach den „technischen Möglichkeiten für den ‚Zugriff auf Kommunikationsinhalte‘ unter Umgehung oder Aushebelung von Verschlüsselung oder Anonymisierung sowie zur ‚Entschlüsselung der rechtmäßig abgefangenen Kommunikation'“ bei Polizeien, Geheimdiensten und Zollkriminalamt in Deutschland. Zweieinhalb Seiten gönnt man sich, um zu erklären, wie sehr diese Informationen die Sicherheit des Bundes und die Arbeitsfähigkeit des BND beschädigen könnten und warum sie den Abgeordneten deshalb zum Teil nur eingestuft und zum Teil gar nicht zur Verfügung gestellt werden können.

Am Ende sagt das Innenministerium aber etwas erstaunlich Erfreuliches:

Nach Auffassung der Bundesregierung sind Freiheit und Sicherheit nicht als Gegensatz zu verstehen.

Finden wir auch. Das sollte man vielleicht aber nochmal all jenen Mitgliedern der Bundesregierung erklären, die bei jeder Gelegenheit Freiheit und Sicherheit gegeneinander ausspielen und „Im Zweifel für die Sicherheit!“ rufen oder nach Terroranschlägen fordern: „Datenschutz ist schön, aber in Krisenzeiten wie diesen hat Sicherheit Vorrang.“


Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende.

by Anna Biselli at June 23, 2016 01:34 PM

Dobrindt verspricht WLAN in allen ICE-Zügen noch 2016

Noch in diesem Jahr soll es in es allen ICE-Zügen kostenloses WLAN geben. CC BY-ND 2.0, via flickr/Gerard - Nicolas Mannes

Noch in diesem Jahr soll es in es allen ICE-Zügen kostenloses WLAN geben.
CC BY-ND 2.0, via flickr/Gerard – Nicolas Mannes

Laut Bundesverkehrsminister Alexander Dobrindt wird es noch in diesem Jahr kostenlosen WLAN-Zugang in allen ICE-Zügen geben, auch in der 2. Klasse. Das sieht eine Vereinbarung zwischen dem Verkehrsministerium, der Deutschen Bahn und der Bahnindustrie vor, die gestern auf dem „Zukunftsforum Schiene Digital“ unterzeichnet wurde. Zudem werde man auf die Mobilfunknetzbetreiber einwirken, künftig alle ICE-Strecken mit mobilem Breitband zu versorgen. Dazu haben sie sich im Rahmen der Frequenzversteigerung 2015 („Digitale Dividende II“) verpflichtet.

Wir bleiben gespannt. Unsere Erfahrungen hier in der Redaktion sind bislang eher durchwachsen – selbst kostenpflichtige WLAN-Zugänge leiden regelmäßig unter Ausfällen und schlechter Performance, mobile Zugänge unter Funklöchern und Überlastung. Für Erheiterung sorgte jedenfalls das Bullshit-Bingo von Dobrindt bei der Vorstellung:

Wir schmieden ein Zukunftsbündnis für die digitale Mobilitätsrevolution auf der Schiene. Die Bahn kann so das Verkehrsmittel des digitalen Zeitalters werden – neben Arbeitsplatz und Wohnung, ein zusätzlicher Ort zum Arbeiten und zur Kommunikation.


Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende.

by Tomas Rudl at June 23, 2016 01:26 PM

CCC Koeln

OpenChaos am Donnerstag, 30. Juni: Internet of Bats

Der OpenChaos Vortrag im Monat Juni bietet einen Einblick in hobbymäßig entwickelte Hard- und Software zur Überwachung von Fledermausquartieren. Vor allem geht es dabei um Lichtschranken und Recorder-Systeme.

by c4 at June 23, 2016 10:00 AM

Netzpolitik.org

Anti-Terror-Paket: Millionenkosten für Wirtschaft und Verbraucher

Bald nur noch mit Personalausweis: SIM-Karten. Bild: mroach. Lizenz: Creative Commons BY-SA 2.0.

Bald nur noch mit Personalausweis: SIM-Karten. Bild: mroach. Lizenz: Creative Commons BY-SA 2.0.

Die Bundesregierung legt ein so hohes Tempo bei der Verabschiedung des Anti-Terror-Paketes vor, dass normale gesetzgeberische und parlamentarische Vorgänge abgekürzt und übergangen werden.

Der Normenkontrollrat, der für den Bürokratieabbau zuständig ist, hatte vom Wirtschafts- und vom Innenministerium gefordert, dass diese Angaben zu den Folgekosten des Anti-Terror-Paketes machen. Erst mit viel Verspätung und dann auch noch unzureichend legte das Wirtschaftsministerium (BMWi) ein paar Daten vor. Der Normenkontrollrat schreibt in einem deutlichen Brief, den wir am Ende dieses Artikels veröffentlichen, an den Vorsitzenden des Innenausschusses:

Die heute mit einiger Verzögerung vorgelegten Angaben zum Erfüllungsaufwand entsprechen jedoch weiterhin nicht den Anforderungen, die wir an eine aussagekräftige Aufwandsdarstellung haben und die nach unserem Verständnis Voraussetzung für eine adäquate Entscheidungsgrundlage der Politik ist. Nach Aussage des BMWi hat die Nacherfassung „keine weiteren verlässlichen Daten ergeben“. Dies ist aus Sicht des Normenkontrollrats nur bedingt nachvollziehbar.

50 Millionen Kosten alleine für Prepaidkarten vom Discounter & der Tankstelle

Alleine mit den unzureichenden Daten des BMWi lassen sich alleine für den Identitätsüberprüfung bei den Prepaid-Karten jedoch schon Kosten in Höhe von mindestens 50 Millionen Euro errechnen:

Etwa 16 Millionen Prepaidkarten werden in Deutschland jährlich verkauft. Für die zehn Millionen Prepaidkarten aus dem Cash & Carry-Segment (Supermarkt, Tankstelle, usw.) wird es vermutlich eine Identitätsfeststellung per Post-Ident oder Web-Ident geben. Jede Identitätsüberprüfung wird vom BMWi mit mindestens vier Euro veranschlagt. 40 Millionen kostet demnach alleine die Identitätsüberprüfung dieses Segments. Hinzu kommen laut Ministerium pro Telekommunikationsunternehmen noch einmal drei Millionen Euro Kosten für die Einführung des Web-Ident-Verfahrens.

Bei den anderen etwa sechs Millionen Prepaidkarten aus dem Kommunikationsfachhandel, sind die Kosten noch nicht abzuschätzen. Das Wirtschaftsministerium schreibt:

Die geplante Gesetzesänderung wird voraussichtlich umfangreiche Prüfungen und ggf. Um- bzw. Neugestaltungen der betrieblichen Prozesse in den Telekommunikationsunternehmen erforderlich machen.

Hinzu kommen Kosten für die Speicherung der Identitätsdaten. Hierzu das Ministerium lapidar:

Für die Erfüllung der Pflicht zur Speicherung der Daten zu den Identitätsnachweisen bestehen derzeit noch keine Verfahren. Die Telekommunikationsunternehmen müssen bestehende Verfahren anpassen bzw. entsprechende IT-Verfahren entwickeln, die den datenschutzrechtlichen Anforderungen genügen. Auch die hierfür anfallenden Kosten lassen sich nicht ermitteln.

Wahrscheinlich ist, dass die die Folgekosten in Millionenhöhe zumindest teilweise auf die Kunden umgelegt werden. Dies hatte der Verband der Anbieter von Telekommunikations- und Mehrwertdiensten (VATM) auch schon so dem BMWi dargelegt. Die zahlen dann für eine Maßnahme, deren Effekt auf die Verfolgung von Terrorismus nicht belegt ist.

———–

Brief des Nationalen Normenkontrollrates vom 20. Juni 2016 an den Vorsitzenden des Innenaussschusses, Ansgar Heveling

Herrn
Ansgar Heveling, MdB
Vorsitzender des Innenausschusses
Deutscher Bundestag
Platz der Republik 1
11011 Berlin

Bundeskanzleramt
Willy-Brandt-Straße 1, 10557 Berlin
+49 (0)30 18 400-1300
+49 (0)30 18 400-1848
nkr@bk.bund.de

Berlin, 20.06.2016

Sehr geehrter Herr Vorsitzender,

der Entwurf eines Gesetzes zum besseren Informationsaustausch bei der Bekämpfung des internationalen Terrorismus soll am 22.06.2016 im Innenausschuss und am Folgetag im Plenum des Deutschen Bundestages behandelt werden.

Obgleich von erheblichen Folgekosten für die Wirtschaft auszugehen ist, hat die Bundesregierung im Gesetzentwurf hierzu keine Angaben gemacht. Auf Betreiben des Normenkontrollrats hatten BMI und BMWi zugesichert – und dies auch im Vorblatt vermerkt – noch vor Abschluss der parlamentarischen Befassung eine erste Nacherfassung der fehlenden Angaben zum Erfüllungsaufwand vorzulegen.

Die heute mit einiger Verzögerung vorgelegten Angaben zum Erfüllungsaufwand entsprechen jedoch weiterhin nicht den Anforderungen, die wir an eine aussagekräftige Aufwandsdarstellung haben und die nach unserem Verständnis Voraussetzung für eine adäquate Entscheidungsgrundlage der Politik ist. Nach Aussage des BMWi hat die Nacherfassung „keine weiteren verlässlichen Daten ergeben“. Dies ist aus Sicht des Normenkontrollrats nur bedingt nachvollziehbar.

Die entsprechenden Angaben finden Sie im Anhang zu diesem Schreiben. Wichtig ist uns, Ihnen und den Kolleginnen und Kollegen im Ausschuss zumindest diese Informationen zukommen zu lassen.

Für eine Verteilung an die Ausschussmitglieder und eine Kenntnisnahme durch den Ausschuss wären wir dankbar.

Mit freundlichen Grüßen

K. / Berichterstatterin BMI

F. / stellv. Berichterstatter BMI

Anhang

Gesetzentwurf zum besseren Informationsaustausch bei der Bekämpfung des internationalen Terrorismus
Nacherfassung des Erfüllungsaufwands für die Wirtschaft

Angaben des BMWi vom 20.06.2016

Der Erfüllungsaufwand, der für die Telekommunikationsunternehmen mit der Änderung des Telekommunikationsgesetzes (Art. 9 des Terrorismusbekämpfungsgesetzes) konkret einhergehen wird, lässt sich weiterhin noch nicht konkret abschätzen. Jährlich werden ca. 6,3 Mio. Prepaid-Karten über den Fachhandel verkauft, ca. 10 Mio. Prepaid-Karten über das Cash and Carry-Segment (Vertrieb bspw. über Lebensmittelhandel, Discounter, Drogerien, Kioske, Tankstellen) und den Fernabsatzvertrieb. Durch die Regelungen in Art. 9 werden neue Pflichten für die Wirtschaft eingeführt. Einerseits müssen zukünftig Identitätsdokumente überprüft werden und andererseits Daten zu diesen Dokumenten gespeichert werden. Die geplante Gesetzesänderung wird voraussichtlich umfangreiche Prüfungen und ggf. Um- bzw. Neugestaltungen der betrieblichen Prozesse in den Telekommunikationsunternehmen erforderlich machen. Es werden insbesondere technische und wirtschaftliche Prüfungen durchzuführen sein zur Ermittlung, welche Vertriebswege nach der geplanten Gesetzesänderung noch aufrechterhalten werden können sowie zur Entwicklung und Umsetzung technischer Vorgaben, die eine sichere und datenschutzkonforme Ausgestaltung der Überprüfungsverfahren gewährleisten.

Für die Erfüllung der Überprüfungspflicht sind je nach Vertriebsweg unterschiedlich hohe Kosten zu erwarten. Der Gesetzentwurf selbst regelt dabei nur den Vertriebsweg des Erwerbs von PrepaidKarten unter Anwesenden, für den die Vorlage bestimmter zugelassener Identitätsnachweise vorgesehen wird. Er sieht vor, dass die Bundesnetzagentur weitere geeignete Verfahren binnen sechs Monaten nach Inkrafttreten des Gesetzes festlegen wird. Das Überprüfungsverfahren der Vorlage des Identitätsnachweises wird voraussichtlich für den Vertrieb der Karten über den Fachhandel der Telekommunikationsdiensteanbieter Anwendung finden. Für das Cash and Carry- Segment und den Fernabsatzvertrieb werden die Telekommunikationsunternehmen vermutlich auf andere Überprüfungsverfahren zurückgreifen. Erst nach Festlegung dieser Verfahren durch die Bundesnetzagentur kann bewertet werden, mit welchem Erfüllungsaufwand ihre Anwendung einhergehen wird.

Denkbar wäre die Zulassung von sog Post-Ident- und Web-Ident-Verfahren. Die Kosten für die Durchführung eines Post-Ident-Verfahrens, bei dem Mitarbeiter der Post die Identität überprüfen, hängen von der Anzahl der für ein Telekommunikationsunternehmen monatlich durchgeführten Überprüfungen ab und bewegen sich zwischen 4,00 € und 8,50 €. Eine in der Postfiliale durchgeführte Überprüfung kostet derzeit 8,50 €, eine Überprüfung mittels Videochat 7,00 €. Ab einer Anzahl von 5.000 Überprüfungen pro Monat liegt der Preis pro Einzelüberprüfung bei 4,00 €.

Die unternehmensinterne Einführung und Verwendung von Web-Ident-Verfahren hat ein Telekommunikationsunternehmen mit jährlich wiederkehrenden Betriebskosten von mindestens 3 Mio. € beziffert; weitere Rückmeldungen hierzu haben wir nicht erhalten. Nicht einberechnet sind dabei Entwicklung und Implementierung sowie sämtliche Aufwände für die Behandlung von Rückläufern oder Nachbereitung von Unstimmigkeiten etc. Daneben stehen außerdem organisatorische Maßnahmen wie Schulungen für das betroffene Personal. Die Kosten für diese Maßnahmen hängen von verschiedenen unternehmensinternen Faktoren ab und lassen sich daher derzeit nicht konkret beziffern.

Für die Erfüllung der Pflicht zur Speicherung der Daten zu den Identitätsnachweisen bestehen derzeit noch keine Verfahren. Die Telekommunikationsunternehmen müssen bestehende Verfahren anpassen bzw. entsprechende IT-Verfahren entwickeln, die den datenschutzrechtlichen Anforderungen genügen. Auch die hierfür anfallenden Kosten lassen sich nicht ermitteln.


Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende.

by Markus Reuter at June 23, 2016 09:47 AM

Live-Blog aus dem Geheimdienst-Untersuchungsausschuss: „Snowden-Dokumente sind nachvollziehbar und reale Gefahren“



Zeuge Andreas Könen im Europasaal vor Beginn der Sitzung.

Zeuge Andreas Könen im Europasaal vor Beginn der Sitzung.

Heute tagt wieder der Geheimdienst-Untersuchungsausschuss im Bundestag. Wir sitzen wie immer drin und bloggen live. Die Zeugen diesmal sind:

Eine Zusammenfassung Sitzung findet sich auf bundestag.de: Dokumente Edward Snowdens authentisch

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass die von Edward Snowden vorgelegten Dokumente über Aktivitäten westlicher Geheimdienste gegen die Bundesrepublik authentisch sind. Dies gelte auch für den Vorwurf, die amerikanische National Security Agency (NSA) habe das Mobiltelefon der Bundeskanzlerin abgehört, sagte der Vizepräsident der Behörde Andreas Könen am Donnerstag, 23. Juni 2016, dem 1. Untersuchungsausschuss (NSA) unter Vorsitz von Prof. Dr. Patrick Sensburg (Union). Der Mathematiker ist seit Oktober 2006 im BSI tätig und bekleidet dort seit Anfang 2013 die Position des stellvertretenden Amtschefs.

Gliederung

Vorbemerkungen

Wir berichten aus den öffentlichen Sitzungen, an denen jeder teilnehmen kann. Dazu reicht eine einfache Anmeldung per E-Mail.

Disclaimer: Dieses Protokoll ist nach bestem Wissen und Können erstellt, erhebt jedoch keinen Anspruch auf Vollständigkeit oder umfassende Korrektheit.

Einleitung: Vorsitzender (11:35)

$Begrüßung

$Formalitäten

Zeuge 1: Andreas Könen, BSI, Vizepräsident (11:36)

Zeuge Andreas Könen. Bild: George C. Marshall European Center for Security Studies. Lizenz: Creative Commons BY-NC-ND 2.0.

Zeuge Andreas Könen. Bild: George C. Marshall European Center for Security Studies. Lizenz: Creative Commons BY-NC-ND 2.0.

Andreas Könen, geboren 01. März 1961. Beruf Informatiker. Vizepräsident des BSI. Anschrift des BSI: Godesberger Allee 185-189, 53175 Bonn.

Eingangsstatement (11:37)

$Begrüßung. $Danke.

Das BSI ist eine präventiv tätige Sicherheitsbehörde zu IT-Sicherheit. Gemeinsam mit Forschung Grenzen der IT identifizieren und forschen. Sicherheitsstandards wie IT-Grundschutz erstellen. Angriffe detektieren und bewerten, auch komplexe. Angriffe abwehren auf Bundesverwaltung. KRITIS.

IT-Landschaft seit Gründung BSI 1991 massiv verändert. Heute fast überall. Noch lange kein Ende in Sicht. Zunehmende Vernetzung, Internet of Things. Vorteile als Nutzer (Smartphones) machen deutlich: Es gibt kein zurück. Wir beschäftigen uns weiter mit Sicherheit. Vernetzung erhöht Angriffsfläche.

Ausgewählte Beispiele: Zunehmende Verbreitung von IT-Systemen und ständige Verbindung zum Internet führen zu vielen Scans wie Port-Scans. Früher waren die mal Angriff oder Angriffsvorbereitung, heute Hintergrundrauschen, missliebiger Normalfall. Schadsoftware per E-Mail führt Rangliste an. Alternativ Webseiten oder Werbebanner-Anbieter mit Drive-By-Exploits. Schwachstellen in Browsern ausnutzen. Masseninfektionen. Wir senden täglich 130.000 Mitteilungen zu Masseninfektionen an betroffene Stellen. Oft arglose Nutzer, die Teil eines Botnets wurden.

Angriffe werden immer professioneller. Exploit-Kits. Ransomware. Untergrund-Foren mit Support. Hoch-professioneller Schattenmarkt. Arbeitsteilige Cybercrime-Szene. Wir gehen dagegen vor.

Höchste Komplexität der Angriffe sind APTs. Ausspionieren des Umfelds der Ziele, Zero-Day-Exploits, Penetration, Persistierung. Organisation und Finanzierung. NDs oder andere staatliche Institutionen. BSI berichtete mehrfach über APT-Angriffe auf deutsche Einrichtungen.

BSI-Gesetz 1991, Novellierung 2009 und 2015. 1991 Aufgaben: Entwicklung von Sicherheitsvorkehrungen, Prüfung und Bewertung der IT-Systeme. Kryptografische Verfahren, Entwicklung und Bewertung, Kernkompetenz seit Gründung. Technische Richtlinien mit Empfehlungen bzw. Vorgaben. Halten auch Snowden-Enthüllungen stand. Aber: Implementierungsfehler und Seitenangriffe wie Abstrahlung. BSI nutzt Schwachstellen- und Seitenkanal-Analyse.

Erarbeitung von Sicherheits-Standards, technische Richtlinien, Evaluierung, Zertifizierung. „Stand der Technik“ präzisieren. Prüfungs- und Bewertung zu Krypto, Hard- und Software, Beratung, Audits, Pentests, Grundschutz, Smart-Metering, Telematik, Krypto-Produkte zu Geheimschutz und § 27 Abs. 3 TKÜV. Begriff „Zertifizierung“ ist nicht einheitlich. Aussagekraft eines Zertifikats ist im Lichte der Vorschrift zu bewerten.

Nationaler Plan zum Schutz der Informationsinfrastrukturen, …, KRITIS. Lagezentrum, Krisenreaktionszentrum. Lagezentrum 2005-2009 beeinflusste BSI-Gesetz 2009. Damit BSI erstmals auch operative Verantwortung. Cyber-Sicherheitsstrategie für Deutschland 2011 Wirtschaft und Bundesländer als Zielgruppe des BSI. Allianz für Cybersicherheit, Na­tio­na­les Cy­ber-Ab­wehr­zen­trum. Grundlage ist Beachtung der Rollen, Aufgaben, Ziele und Befugnisse der Beteiligten. Meldepflicht.

Globale Vernetzung. Internationale Zusammenarbeit. Nicht neu, schon seit Gründung seit 25 Jahren bi- und multilaterale Kooperationen: CERTs, EU, NATO. Finnische Behörde Finnish Communications Regulatory Authority (FICORA), Niederlande [NSCC?], Frankreich [ANSI?], USA DHS. In Europa und NATO: NATO Communications and Information Systems Services Agency (NCSA) und [NSDA?]. Vielzahl vom Gremien. Bei NCSA gestaltet BSI als eine der führenden Behörden EU- und NATO-Sicherheit mit. Auch bei NATO-Missionen und Afghanistan-Einsatz. Stärkung der deutschen Krypto- und Cybersicherheits-Industrie.

In den USA ist NSA zuständig, in UK GCHQ und [CESC?]. Beide Ansprechpartner sind Bestandteil der ANDs. Ist in fast allen angelsächsischen und skandinavischen Staaten so. Cyber-Sicherheit und Aufklärung: Information Assurance und SIGINT unter einem Dach. Aus deutscher Sicht: fehlende Trennung. Frankreich und Deutschland haben die Trennung umgesetzt. BSI und Mitarbeiter arbeiten auch mit NSA zusammen, sind sich aber Problem und Abgrenzung bewusst. Gerade deshalb sind wir stark.

Snowden-Veröffentlichungen: BSI hat sich kontinuierlich mit Enthüllungen auseinandergesetzt. Haben auch nur Quellen wie alle anderen auch. Unterschiedliche Auffassungen für Authentizität. Spielt aber keine Rolle, da Methoden nachvollziehbar sind und damit reale Gefährdungen darstellen. Können auch Dritte durchführen. Faktoren sehen grundsätzliche Authentizität der Dokumente.

BSI-Bewertung ohne Konjunktive: Snowden-Dokumenten beschreiben drei ND-Aktivitäten: 1. Strategische Aufklärung in TK-Netzen (Upstream), 2. individualisierte Angriffe (TAO), 3. Schwächung von IT-Systemen (BULLRUN).

1. Umfasst alle Strecken. Methoden waren bekannt. Aktivitäten überraschen hinsichtlich Menge und Dichte der weltweiten Erfassungspunkte. Enge und weitgehende Verknüpfung von Metadaten über verschiedene Programme hinweg. Werden auch für direkte Angriffe genutzt. Auch bei Funk wie WLAN klassische Abhörangriffe. BSI-Bericht zu Funk in Berlin-Mitte.

2. TAO soll Endgeräte gezielt manipulieren. ANT-Katalog. Hochspezialisierte Formen technischer Angriffe, diskutiert BSI seit Jahren, von uns bisher als unpraktikabel angesehen. Im ND-Umfeld müssen wir auch teuer und ungewöhnlich einplanen.

3. Gezielte Schwächung von IT: Manipulation wie Router und Firewalls. Grundsätzliche Beeinflussung von IT und Standards. Aufklärung und Angriffe technisch und operativ aufeinander abgestimmt.

Gefährdungen aus Einzelprogrammen übergreifend würdigen.

Mögliche Schutzmaßnahmen? Nach Snowden hat BSI Prävention überprüft. Schutz vor SIGINT: Ende-zu-Ende-Verschlüsselung, Verschlüsselung von gesamten TK-Strecken. Grundverschlüsselung: Regierungsnetz und BSI für Bürger. IT-Grundschutz. E-Mail made in Germany. Bei Verschlusssachen und Neuem Personalausweis entwickeln wir eigene Algorithmen und Verfahren. Mobilfunksicherheit: BSI war in Berlin-Mitte schon Ende der Neunziger unterwegs. Sichere Mobiltelefone und Tablets. In-House-Mobilfunkanlagen. Sofortmaßnahmen. Maßnahmenpaket „Sichere Regierungskommunikation“.

BSI seit 25 Jahren zum Schutz aktiv. Seit Gründung immer auf aktuelle Trends eingestellt. IT- und Cybersicherheit entwickelt und gefördert. Bedrohung analysiert und gewarnt. Snowden auch, aber nur ein Ausschnitt. Forderungen für zukünftigen Schutz:

1. Vertrauenswürdige IT, Hersteller und Anbieter
2. Cyber-Standards auf allen Ebenen
3. Cyber-Sicherheitslage erstellen
4. Detektion und Abwehr verbessern

Mit Herstellern, Dienstleistern und Nutzern. $Danke.

Fragerunde 1: Vorsitzender (12:02)

Zeuge Andreas Könen während seiner Aussage. Zeichnung: Stella Schiffczyk. Lizenz: nicht frei.

Zeuge Andreas Könen während seiner Aussage. Zeichnung: Stella Schiffczyk. Lizenz: nicht frei.

Sensburg: Werdegang? Mathe studiert? Danach?

Könen: Wehrdienst. Ab 01. Dezember 1988 Zentralstelle für das Chiffrierwesen, einer Unterabteilung des BND. Dann BSI.

Sensburg: Wie im BSI gestartet?

Könen: Am 01. Oktober 2006 Leiter des Leitungsstabs, drei Jahre. Februar 2009 Fachbereich KRITIS und Anwendungen. Umorganisation Fachbereichsleiter Koordination und Steuerung, Juli 2011. Dezember 2011 Abteilungsleiter. Seit 01. Januar 2013 Vizepräsident, bis heute.

Sensburg: NSAUA hat rund 100 Ordner an Beweismaterial zum Thema BSI. Haben Sie sich damit vorbereitet?

Könen: Ja, Dokumente. Dann auch zeitliche Abläufe.

Sensburg: Nach allem was sie bewerten können, sind Snowden-Dokumente und Deutschland-Akte authentisch?

Könen: Ja, auf jeden Fall authentisch im Sinne von realisierbaren technischen Maßnahmen und Angriffen. (!)

Sensburg: Welche Erkenntnisse und Analysen hat BSI dafür gemacht? Andere Zeugen bezweifeln die Dokumente.

Könen: Authentisch in dem, was an technischen Angriffen sichtbar ist. Sind so durchführbar. Haben das einige Male nachgebaut und nachvollzogen. (!) Jedes Einzelne Dokument und Unverfälschtheit davon, ist im Einzelnen schwer nachvollziehen, aber für BSI nicht entscheidender Punkt. Ist plausibel. (!)

Sensburg: Sieht Generalbundesanwalt anders. Gefährdung ist plausibel?

Könen: Ja.

Sensburg: Dann Maßnahmen und Empfehlungen treffen?

Könen: Ja.

Sensburg: Welche getroffen und erreicht?

Könen: Habe bereits vieles gesagt. Sind in vielen Nutzungsbereichen jetzt sensibler geworden. Verschlüsselung. In Behörden und Wirtschaft. E-Mail made in Germany. Volksverschlüsselung. Ausbauen. Cyber-Angriffe: Detektion. IT-Sicherheit stärken, Produkte genauer betrachten, Hersteller und Komponenten auch.

Sensburg: Deckt sich auch mit Aussagen der technischen Experten hier. (!) Schützt BSI deutsche Kommunikation nur innerhalb der deutschen Grenzen, oder auch außerhalb?

Könen: Direkt nur Bund, also Bundesverwaltung. Nationale IT- und Netz-Infrastruktur. Bei Überschreitung der Grenzen immer noch …. Direkte Wirkmöglichkeiten des BSI enden da. Aber Kooperation mit EU und NATO.

Sensburg: Und Bürger statt Behörden? Was ist, wenn AND Telekommunikation in Glasfaser außerhalb Deutschlands abhört? Schützt da BSI?

Könen: BSI kann nur das tun, was wir dürfen und können. Verschlüsselung. Sind auch auf globalen Blick angewiesen. Brauchen Informationen, wie ANDs und Kriminelle auf Informationen einwirken. Kann nur der BND erheben und uns mitteilen. Ausland ist Aufgabe des BND. (!)

Sensburg: Angriffe in Deutschland, TAO: Wie ist Arbeitsteilung da? Kanzler-Handy oder Eikonal? BSI involviert?

Könen: TK-Angriff bei deutschem Internet-Knoten?

Sensburg: Da wird uns immer gesagt, das geht nur schwer. Die Telekom bekommt das schon mit. Und Kanzler-Handy?

Könen: Nationales Netz ist komplett in Verantwortung der Provider. Pflichten aus IT-Sicherheitsgesetz, die gehören zu KRITIS. Sicherheitspflichten liegen bei Providern, werden sehr weitgehend eingehalten. Sehr hohe Sicherungsmaßstäbe bei TK-Netzen des Bundes, für Verfügbarkeit und Vertraulichkeit. Unterliegen gesetzlichen Verpflichtungen. Hohe Sensorik bei ISPs, eigene Lagezentren. Einige ISPs lassen Teile beim BSI zertifizieren, wie DE-CIX. Darüber hinaus Streckenverschlüsselung, Handshake-Verfahren mit Tunnel-Verfahren wie SSL. Einzelgeräte wie Kanzler-Handy: 1. Welche T-Netze? Festnetz und Mobilfunk: Provider verantwortlich. 2. Besondere Situation im Endgerät. Einmal GSM: Da waren große Verbesserungen erforderlich, wurde mit UMTS geheilt. (!) Schutz von Verkehrsdaten aber extrem schwierig, müssen den Berechtigen vorliegen. Ist mit heutigen TK-Methoden nicht anders zu lösen. 3. Endgerät heute zu 100 % aus nicht-deutscher Produktion, gibt es nicht. Hardware muss gründlich analysiert werden. Zertifizierung teuer. Betriebssystem und Software ist oft öffentlich zugänglich wie Android. Einerseits glücklicherweise offen, andererseits nur Betriebssystem-Kern mit Major Release konstant, Sicherheitslücken nur gefixt bei Sprung von 4 auf 5. Darüber Hinaus Apps wie WhatsApp mit jeweils neuen Angriffsvektoren. Großes Spektrum. BSI analysiert und warnt. Sicher ist weniger userfreundlich.

Sensburg: Zusammenarbeit mit ausländischen Behörden?

Könen: BMI-Äquivalent in USA ist DHS, dort gibt es keine IT-Sicherheits-Behörde. Deutsches CERT und US-CERT. Gesprächskontakte, jährlich. Dann Information Assurance bei NATO: Information Assurance Directorate der NSA. Common Criteria Recognition Agreement. NSA und GCHQ verantwortliche Partner. UK: Sämtliche Kontakte sind innerhalb des GCHQ, gibt keine anderen wesentlichen Kontakte. (!)

Sensburg: Nutzt BSI XKeyscore?

Könen: Nein.

Sensburg: In abgewandelter Form?

Könen: Nein.

Sensburg: Sagen ihnen PRISM, Tempora und Boundless Informant etwas?

Könen: Ja.

Sensburg: Wann?

Könen: Seit Juni 2013.

Sensburg: Erst durch Snowden?

Könen: Ja. Tempora wie Upstream: SIGINT von GHCQ. Boundless Informant: Wesentliche Informationen zu Netzwerkinfrastrukturen weltweit. PRISM komplementär zu Tempora und Upsteam bei entsprechenden Firmen.

Sensburg: Plausibilitätskontrolle gemacht?

Könen: Passive SIGINT: Folien angucken, Plausibilität prüfen, Abgleich mit bekanntem Wissen. Darüber hinaus keine konkreten wirklichen Kenntnisse.

Sensburg: Mal bei BND nach diesen Programmen gefragt?

Könen: Gab Austausch auf Arbeitsebene. Keine geordnete Kooperation wie Arbeitsgruppe. BfV und BND erhielten technische Einschätzungen von uns.

Fragerunde 1: Linke (12:29)

Renner: Sie waren in BND. Aber nie bei SIGINT zu unserem Auftrag?

Könen: BND 1988 bis 2006. Erstmal bis März 2005, dort kein Untersuchungsgegenstand.

Renner: Und danach?

Könen: War ich Leitungsstab BND, Sachgebietsleiter 90AD. Auch Dokumente zum Untersuchungsgegenstand. (!) Man gab mir Akteneinsicht, über zehn Jahre her.

Renner: Kannten sie Eikonal?

Könen: Eingestuft. . (!)

Renner: Haben Eikonal ausführlich öffentlich behandelt.

Könen: .

Renner: Kennen sie Operation Eikonal?

Könen: Mit der Bezeichnung aus Presse.

Renner: Anderer Name Granat?

Könen: Sagt mir etwas. (!)

Renner: Kennen Sie also?

Könen: Ich weiß das, was in den Dokumenten steht, die hier abgegegen wurde.

Renner: Kennen Sie auch Glotaic?

Könen: Ja. (!)

Renner: BND als Türöffner an Knoten, bei Glotaic ans Kabel. War Ihnen damals bekannt, dass Daten an USA ausgeleitet werden sollen?

Könen: Kann mich nicht erinnern.

Renner: Kannten Sie Ziel der Operation?

Könen: Muss ich Regierung fragen?

Sensburg: Eikonal eingestuft?

Wolff: Ja. Presse zitieren. Details .

Renner: Keine Details. Wenn man mit Wissen von BND ins BSI geht: Muss man das dann bei IT-Sicherheit mitnehmen oder abtrennen: Früheres Leben?

Könen: Man kann das präziser beschreiben. Kenntnisse aus BND machen einem deutlich, welche Gefährdungen es gibt. Klare Schere. IT-Sicherheit auf Basis des Wissens bestmöglich umsetzen. Loyalität unserem Staat gegenüber. (!) Technisch ist mir Operation klar, operational nicht.

Renner: Spielte bei BSI-Bewertung von Snowden-Dokumenten Wissen auf BND-Zeit eine Rolle? Werden da ja auch erwähnt.

Könen: Konkrete Operation nein, Methodik über Gefährungen klar.

Renner: Bei Wissen aus BND: Wussten Sie, dass NSA-Selektoren eine Rolle spielten?

Könen: Nein.

Renner: TKMs, Suchbegriffe?

Könen: Nein.

Renner: Wussten Sie, dass Daten in Bad Aibling bearbeitet werden?

Könen: Damals nicht, erst aus Presse.

Renner: Was wussten Sie damals, das mit den Daten passiert?

Könen: IIRC: Bearbeitung in Abteilung 2 (heute TA). Mechanismen waren mir durch Kommunikation mit der Abteilung bekannt.

Renner: Was passiert damit?

Könen: G-10-Filter.

Renner: Funktionierte nicht, bei Glotaic gab es gar keine G-10-Anordnung.

Könen: KA.

Renner: Waren Sie einziger Herr Könen im BND?

Könen: Ja.

Fragerunde 1: SPD (12:39)

Flisek: Vom BND zum BSI: Ist das angesichts der Zuständigkeiten und Aufgaben der beiden Behörden nicht Interessengegensatz? Abhören vs. Integrität von Kommunikation?

Könen: Ist eine klare Herausforderung, der müssen wir uns stellen. (!) Wir wollen verschlüsseln, aber Kriminelle können Verschlüsselung auch nutzen.

Flisek: Ja, deutliche Herausforderung. Ich fragte auch Zeuge Thomas de Maizière hier, ob dieser Spagat funktioniert?

Könen: Ja. Haben Schnittstelle zum BND für Zusammenarbeit in Cyber-Sicherheit. Das Problem besteht unabhängig von Ressorts. BSI muss nicht unabhängig vom BMI sein, wir brauchen den Nachdruck eines Ressorts. (!)

Flisek: Warum?

Könen: Stärkung und Nachdruck unserer Statements. BMI ist zuständig für Sicherheit, öffentliche und innere. Wir beschäftigen uns damit.

Flisek: Verstehe ich. Aber Innenminister hat Leute, die Verschlüsselung als Teufelszeug bezeichnen, Sie arbeiten an Volksverschlüsselung. Schizophren?

Könen: Nein. Gute Strukturen, sich in Behörde mit Thema auseinanderzusetzen. Man hindert uns nicht, Sicherheit zu produzieren. Wir führen Debatte um Quellen-TKÜ und Online-Durchsuchung, aber in klar sichtbarem Prozess.

Flisek: Sie fühlen sich in Armen des BMI gut aufgehoben und streben nicht nach Unabhängigkeit?

Könen: Ja, funktioniert offensichtlich. (!)

Flisek: Snowden-Dokumente: plausibel und möglich, aber unpraktikabel. Was haben Sie nach Snowden gemacht?

Könen: Haben mit BfV und Bundespolizei Schlüsse gezogen: Bedrohungslage hat sich verändert, Maßnahmen nochmal durchführen und bewerten.

Flisek: Elefanten-Argument: Zusammenarbeit nicht gefährden, weil Terror. Trampelt jede Debatte sofort tot. Wurden Sie auch damit konfrontiert?

Könen: Natürlich überlegt man, was man mit genauerer Überprüfung tut. Wurde diskutiert. Wir weit stört man Kommunikationsverkehr? Hatten auch Bedenken. Konnte ich insgesamt aber nicht feststellen.

Flisek: Was hat sich nach Snowden geändert?

Könen: Mobilkommunikation erneut nachgefasst: Kommunizieren Behörden über gesicherte Netze? Damals nicht alle, aber danach.

Flisek: Welche?

Könen: KA. Hatten Liste erstellt. Durch BSI-Präsident angeschrieben und gebeten wurden, in den IVBB zu migrieren. Kabelverläufe angeschaut und versichert, dass kein Abgriff stattfindet. Mehr Mobilfunk-Basisstationen aufgestellt: weniger Angriffsfläche. Gesamte Geräte-Infrastruktur weiterentwickelt. Auch überlegt, wie man mit Informationen umgeht. Schwachstellen nur fixen, kein Schaden.

Flisek: Datenaustausch BSI mit ausländischen Partnern? Wir haben Fokus auf ND-Austausch. Gab es Zusammenkunft mit BfV und BND über Datenaustausch?

Könen:

Flisek: Konsequenz?

Könen: Prüfmechanismus Datenweitergabe.

Flisek: Wie?

Könen: Mit BND im diskutiert, einzelfallbezogen.

Fragerunde 1: Grüne (12:57)

Notz: Wir haben oft über Unabhängigkeit ihrer Behörde geredet, wir sehen das anders. Erfahrungen beim BND: Was war ihr letzter Stand bei Operation Eikonal bei Abgang Oktober 2006? Wussten Sie, dass man in Frankfurt am Main mit USA an Glasfaser ist?

Könen: In Frankfurt am Main ja, mit USA nein.

Notz: Wussten sie nicht?

Könen: Kann ich nicht einordnen.

Notz: Was heißt das?

Könen: IIRC hatte ich keine Kenntnis.

Notz: Auch im BND geheim gehalten?

Könen: War im Leitungsstab. Hatte Informationsweitergabe zwischen Abteilungen, aber nicht jedes Dokument einzeln gelesen. (!)

Notz: War das eine normale Operation?

Könen: Kann ich nicht beurteilen.

Notz: Kann es sein, dass BND in Deutschland hunderte solcher Operationen durchführt?

Könen: Müsste ich vermuten.

Notz: Erfahrungshorizont. Ist das alltägliche Operation?

Könen: Alltäglich sicher nicht.

Notz: War ihnen bekannt, dass das mit einem AND zusammen gemacht wurde?

Könen: Mit AND zusammen nicht, nein.

Notz: Dass Hard- und Software von AND kamen?

Könen: Nein.

Notz: Hätte auch BND In-House-Entwicklung sein können?

Könen: Ja, war nie in den Bereichen tätig.

Notz: Probleme bei Kooperation bekannt?

Könen: Mir nicht bewusst.

Notz: Problematische Selektoren EADS, Eurocopter?

Könen: Nein. Wusste, dass Kooperation mit NSA bestand, aber nicht, wie genau.

Notz: Aber dass es Kooperation mit NSA war, wussten Sie?

Könen: Ja.

Notz: Probleme wussten sie nicht? Trotz Echelon?

Könen: Nein.

Notz: Sagt ihnen Schwachstellenbericht etwas?

Könen: Bezug?

Notz: Eikonal.

Könen: Nein.

Notz: War nach ihrer Zeit. Meine Lieblingsfollie aus Snowden-Dokumenten: RAMPART A Typical Operation. [MAT A Sek-6d_EN]

Schema eines Glasfaser-Abgriffs, für den sich die NSA beim BND bedankt. Folie: NSA.

Schema eines Glasfaser-Abgriffs, für den sich die NSA beim BND bedankt. Folie: NSA.

Ist das Eikonal? Kennen Sie Akte?

Könen: Kenne ich.

Notz: Haben Sie sich im Sommer 2013 gefragt, ob das Eikonal ist und dass Sie das übersehen haben?

Könen: Habe ich mich nicht gefragt. Hätte ich nur vermuten können. Habe mich damals nicht intensiv mit dieser Folie beschäftigt.

Notz: Kommt man da nicht auf die Idee, das anzugucken? BSI nicht beschäftigt?

Könen: KA, ob da geheime Informationen abfließen.

Notz: War BND Teil der Operation? „Secret Comint Network“ steht da dran. Sagt ihnen „Site A“, „Site B“, „Site C“ etwas?

Könen: Nein.

Notz: Begriffe kennen Sie nicht?

Könen: Nur aus anderen Zusammenhängen.

Notz: Scheint nach Akten gängiges Vokabular im BND zu sein. Wissen Sie etwas über Ende von Eikonal und Glotaic?

Könen: Nein.

Fragerunde 1: Union (13:07)

Schipanski: Zeugen Burkhard Even und Frank Wingerath sagten, BfV und BND griffen auf Expertise des BSI zurück. Zusammenarbeit formalisiert, regelmäßig?

Könen: Mehrere Ebenen der Kooperation. Cyber-Abwehrzentrum. Dort wöchentlich besonders enge Kooperation mit BSI und BfV. Tauschten uns nach Snowden auch zu Einzelfällen aus, auch konzentriert bsp. bei Kanzler-Handy.

Schipanski: Organisiert?

Könen: Seit 2009 macht BSI Schutz der Regierungsnetze.

Schipanski: Nur BfV und BND? Oder auch andere?

Könen: Die beiden auf jeden Fall. Auch BKA zu Cyber-Kriminalität. Auch Bundespolizei. Dann Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. Und verschiedene andere Behörden.

Schipanski: Laut Akten prüfte BSI Snowden-Dokumente. In unseren sehr umfangreichen Akten sind nicht sämtliche Snowden-Dokumente mit einer Bewertung. Warum?

Könen: Gesamtbewertung, nicht nur Einzelberichterstattung.

Schipanski: Nicht jede einzelne Folie?

Könen: Nein, zusammengefasst.

Schipanski: Hatte BSI den Auftrag, sämtliche Dokumente zu prüfen?

Könen: Haben wir aus eigenem Antrieb gemacht.

Schipanski: Wie ist Prüfung passiert, nach Presse-Veröffentlichung?

Könen: Kollegen machen Presse-Monitoring und weisen dann Fachleute darauf hin.

Schipanski: Beispiel: Berichte, dass NSA und GCHQ Protokolle HTTPS bzw. SSL/TLS knacken können. BSI: „Ist davon auszugehen, dass neben versehentlichen Fehlern auch Trapdoors in Implementierungen vorhanden sind.“ Wie wird so etwas bearbeitet?

Könen: Differenzieren, zwei Fragenteile. Wir haben festgestellt, dass kryptografische Kern-Algorithmen weiterhin sicher sind, wie AES. Anders bei Implementierung in Hard- oder Software. Laut Snowden wird sehr konsequent nach Fehlimplementierungen gesucht. Oder auch aktiv, das aber extrem schwer nachvollziehbar. Es gibt Fehler, die werden auch ausgenutzt.

Schipanski: War das neue Erkenntnis?

Könen: Das Problem bei Qualitätsmanagement kennen wir.

Schipanski: In Akten „reaktive Sprachregelung des BSI„: Browser mit neuesten Standards nutzen. Kollege schriebt: „Die Wahrheit ist, wenn ein Produkt mit implementierten Krypto-Standards die USA verlässt, ist es nicht mehr sauber.“ Besonders meinungsstarker Mitarbeiter? Oder ihre Meinung?

Könen: Meinungsstark. Kind nicht mit Bade ausschütten. Wir evaluieren und zertifizieren Produkte. Unternehmen machen Zertifizierung auch mit. Pauschales Urteil wie Kollege ist differenziert nicht durchzuhalten. Aber gibt interne Debatte.

Schipanski: Hat BSI Erkundigungen eingeholt aus USA zu diesem Sachverhalt?

Könen: Ja, Einzelfälle, Netz- und Mobilfunk-Anbieter auch in Deutschland. Neuer Passus bei Zertifizierung, dass Unternehmen vertrauenswürdig sind und Erklärungen abgeben. Zertifizierung hat deutlich zugenommen.

Schipanski: Deutschland stellt keine Hardware her. Politische Förderprogramme für deutsche Unternehmen?

Könen: Definitiv. Hatte ich in Eingangsstatement auch als Schlussforderung. Wir haben Bereiche wie Mobilfunk ohne deutsche oder gar europäische Hersteller.

Schipanski: Regierungskommunikation und beide Netze IVBB und IVBVBVN. Letzteres über zehn Jahre von US-Unternehmen Verizon betrieben, Juni 2014 sagte BSI: „Bundesregierung wird Zusamenarbeit schrittweise beenden, mehr Sicherheit, neuer Partner.“ Gründe für Entscheidung?

Könen: Zusammenarbeit ist noch nicht komplett beendet, Ablösung läuft weiterhin. (!) Beweggründe sind klar: Mit deutschem, nationalen Provider haben wir deutlich bessere Möglichkeiten, deutsche Sicherheitsstandards einzufordern, auch Geheimschutz. Einfacher mit deutschen Unternehmen als mit amerikanischer Mutterfirma. Haben wir bei Fortschreibung IVBB und IVBVBVN nochmal deutlich gemacht. Ist notwendig. Auch auf EU-Ebene?

Schipanski: Hatte BSI konkrete Hinweise auf Ausleitung von Verizon an Five Eyes-ANDs?

Könen: Nein, keine Kenntnisse. Telekom, Verizon und DE-CIX wurden per Brief gefragt, ob sie Erkenntnisse über Datenabgriffe haben. Alle sagten nein.

Schipanski: BSI 21. August 2013 Revision des Netzes. 12. Februar 2014: „BSI hat positiven Gesamteindruck gewonnen. Referat 5 teilt das aber ausdrücklich nicht. Vertragsbeziehungen beenden.“ Wie erklären Sie sich das?

Könen: Unsere Bewertung nach fachlicher Betrachtung vor Ort, das entsprach unseren Anforderungen. Schluss auch unter politischen Anforderungen, aber bitte Referat 5 fragen. Grundsätzlich durchaus besser und leichter, Regularien mit deutschem Anbieter zu treffen.

Schipanski: Bundesregierung erklärte, BND präsentierte XKeyscore im Oktober 2011 in Bad Aibling, da war auch BSI anwesend. Waren Sie damit befasst?

Könen: Bei dem Treffen war ich nicht, aber wurde danach darüber informiert. Konsequenz war: XKeyscore ist für Aufgaben des BSI keineswegs nützlich. Wir brauchen keine Filterung auf Inhalts-Ebene, sondern auf Protokoll-Ebene. (!)

Schipanski: Bis heute nicht geändert?

Könen: Außerhalb des Untersuchungszeitraums gibt es Anordnung des BfV, berührt uns aber nicht. (!)

Schipanski: Außerhalb des Untersuchungszeitraums? Nicht näher eingehen?

Könen: Nein. (!) Viele Technologien können in Deutschland nicht mehr eingekauft werden, nur ausländisch. Wenn das Geheimschutz berührt, betrifft das § 39 VSA. BSI macht dann Sicherheitskonzept und Penetrationstest, dann Freigabe-Empfehlung an jeweiligen Behördenleiter. Der kann dann Nutzung anordnen.

Fragerunde 2: Linke (13:32)

Renner: Ihre Zuständigkeit in Leitungsstab BND im Organigramm?

Könen: 90AD.

Renner: Das sind Sie?

Könen: Das war ich.

Renner: Haben Sie Bad Aibling besucht?

Könen: Außerhalb der Leitungsstab-Zeit. Ja.

Renner: Wann?

Könen: KA.

Renner: Gab es JSA schon?

Könen: KA. Habe BND besucht.

Renner: Keine NSA-Kollegen?

Könen: Nur BND.

Renner: Hatten Sie zu Zeit des Keitungsstabs mit NSA zu tun?

Könen: KA, ob ich bei Besuchen hochrangiger Personen dabei war, aber bei multilateralen Besuchen habe ich NSA-Kollegen getroffen.

Renner: Bei Vorbereitung hatten wir ihre Dienststellen-Bezeichnung nicht. Ging es bei Terminen mit NSA auch über SIGINT?

Könen: Ja. War eine größere Konferenz in dem Bereich. (!) Konkretes Datum nicht erinnerlich.

Renner: Ging es auch um Datenerfassung am Kabel?

Könen: KA. War Begleitung eines Vizepräsidenten auf Veranstaltung SIGINT Seniors Europe. Genaues Programm nicht erinnerlich. (!)

Renner: Kennen Sie Belgacom-Fall?

Könen: Ja, wurde ja mehrfach besprochen.

Renner: Welche Schlussfolgerungen hat BSI gezogen? Angriffe der Five Eyes auf TK?

Könen: Bewertung ist technisch erfolgt. Koinzidenzen im Quellcode verschiedener Angriffe. Selbe Quelle für mehrere Angriffe.

Renner: Konsequenz? Angreifer identifiziert?

Könen: Angreifer nicht identifiziert, nur Werkzeug. Angreifer identifizieren ist Aufgabe des BfV, nicht BSI. Blocken und abwehren.

Renner: Spielte Fall eine Rolle bei Bewertung der Snowden-Dokumente?

Könen: Ja, auch herausragend. Sehr ausgefeilte Version eines APT, Angriffe auf sehr vielen verschiedenen Ebenen, professionelles Tool.

Renner: Vergleichbare Angriffswerkzeuge?

Könen: Durchaus, auch in letzten zwei Jahren…

Renner: Nur Five Eyes?

Könen: Haben viele gesehen, auch in Snowden-Dokumenten.

Renner: NSA-Selektoren damals nicht bekannt, jetzt schon?

Könen: Nur Problematik.

Renner: Teil der Selektoren auf WikiLeaks veröffentlicht, auch Telefonnummern des IVBB. Was bedeutet das?

Könen: Bedrohungslage: Ja, damit ist jegliche Kommunikation, die auf diese Nummer kommt und nicht verschlüsselt ist, zugänglich. Entscheidende Aussage: Geht nur bis zur Grenze des IVBB, keine Indikatoren für Vorfälle hinter der Grenze des IVBB. (!)

Renner: Verizon-Ausgliederung läuft noch. Ginge Angriff nicht darüber? (!)

Könen: Nein. Werden von Verizon verschlüsselt transportiert, per VPN. Auch keine Sichtbarkeit der Metadaten.

Renner: Und an Übergabepunkten an andere Netze?

Könen: Unterliegen Vorschriften, die wir definiert haben. Deutlich sichtbare Grenze.

Renner: Übergabe auch an US-Anbieter?

Könen: Nein, IVBB und BVN nur an deutschem Standort an deutsche Netze, nicht unmittelbar an US-Mutter.

Renner: War immer so?

Könen: Ja, immer deutscher Standort.

Renner: IVBB-Selektoren von NSA von außen eingesetzt? Oder auch durch NSA-Überwachungsmaßnahmen in Deutschland. Geht NSA in Deutschland außerhalb von Eikonal und Nachfolgeprojekten ans Kabel? Alleine, ohne BND?

Könen: Ist außerhalb meiner Zuständigkeit, könnte nicht spekulieren, haben keine Möglichkeit zur Prüfung. Wir haben die Anbieter gefragt, die haben verneint, müssen uns auf Aussage verlassen. (!)

Fragerunde 2: Union (13:44)

Schipanski: Zeuge Ulrich Berzen sagte hier, BSI war eingebunden in Hardware von XKeyscore. Stimmt das?

Könen: Im Untersuchungszeitraum keine eigenen Tests durchgeführt. (!) Haben eine reine Präsentation erhalten und daraus Schlüsse gezogen.

Schipanski: Keine Prüfung und Zertifizierung?

Könen: Damals nicht. Vielleicht bezog sich der Kollege auf das, was jetzt passiert. (!)

Schipanski: Geolokalisierung von Handynummern. Kennen Sie die Problematik?

Könen: Natürlich, verfolge ja was hier diskutiert wird. Wir haben solche Anfragen erhalten, aber ist noch Gegenstand eines Beweisbeschlusses von Ihrer Seite. (!)

Akmann: Sie können sagen, was Kenntnisstand ist.

Könen: BSI hat sich damit deutlich beschäftigt. Auch Positionsbestimmung. Mehrere Ebenen: 1. GSM-Lokalisierung selbst. Studie „Schutz mobiler Kommunikation“ April/Mai 2000. Über reine GSM-Signalisierung kann ein Provider jemand lokalisieren, hängt von Dichte der Basisstationen in Region fest. In einsamen Gebieten einige 10-30 Kilometer ungenau, in Städten im 100-Meter-Bereich. 2. Heute in modernen Mobiltelefonen verschiedene weitere Möglichkeiten, vor allem mit GPS im Telefon. Damit kann durch Software auch Malware Position abgefragt und nach außen transportiert werden. Haben wir immer wieder dargestellt. Gibt kommerzielle Tools dafür.

Schipanski: Grundsätzlich sind Daten geeignet zur Lokalisierung? Ist es unmittelbar zielgenau möglich, zu orten und damit zu töten?

Könen: Ortung ist nach heutigem Stand der Technik mit allen diesen Angriffen auf wenige Meter möglich. (!) Ist sehr diffizile Frage.

Schipanski: Wurde das BSI jemals mit dieser fachlichen Bewertung betraut? BfV teilt ihre Einschätzung nicht.

Könen: Haben uns im Rahmen dieser Studie damit beschäftigt. Studie „Schutz mobiler Kommunikation“ lag 2011 vor.

Schipanski: Studie war bekannt, aber BfV nicht bei BSI gezielt angefragt?

Könen: Nein.

Schipanski: Kanzler-Handy, Oktober 2013 Öffentlichkeit sehr berührt. Was hat BSI unternommen?

Könen: Erhielten am 17. oder 18. Oktober das Dokument, die Abschrift. Plausibilitätscheck: Enthält typische Daten von SIGINT. Wurde schnell klar: In Gesamtschau aus Snowden-Dokumenten und früherer Bewertung: Müssen uns nochmal mit Berlin-Mitte beschäftigen. BSI hat dann angeboten, Gerät selbst zu prüfen. Mit Sicherheitsbeauftragtem des Bundeskanzleramt gesprochen. Leitlinien ausgesprochen.

Schipanski: Haben Sie Gerät physisch untersucht?

Könen: Nein. (!)

Schipanski: Warum nicht?

Könen: KA. Wir haben es angeboten, aber Angebot wurde nicht angenommen. (!)

Schipanski: Haben dann mehr geguckt, was in Berlin-Mitte mit Abhörtechnik möglich ist, Gerät selbst nicht?

Könen: Ja.

Schipanski: Thema Krypto-Handy ist eine sichere Sache. Bild 11. Juni 2016 über China-Reise der Kanzlerin: „Spionage-Alarm auf China-Reise: Handy-Verbot für Merkel“. Chinesen können auch Krypto-Handy lahmlegen. Ist das möglich?

Könen: Angriffe gegen Verfügbarkeit sind riesige Palette. Zugang zu Mobilfunkzelle sperren ist für Provider absolut einfach. Geht auch über verschiedene andere Wege. Kanäle lahmlegen, Jammer. Sehr weites Spektrum. Kenne Bild-Bericht nicht.

Schipanski: Also Krypto-Handy auch kein Schutz?

Könen: Vertraulichkeit ist geschützt, aber Kommunikation kommt nicht zustande.

Schipanski: Wie hat BSI Kanzler-Handy geprüft?

Könen: Anhand von Dokument, Abschrift von Snowden-Dokument. Deutet auf strategische Erfassung. Mehr nicht. Gewisser Anfangsverdacht gegeben.

Schipanski: Halten Sie das für plausibel?

Könen: Ja, so plausibel wie die Dokumente generell. Welche Aktion erfolgt ist, lässt sich aus den Funktionsparametern nicht erschließen.

Fragerunde 2: Grüne (13:59)

Ströbele: Warum behauptet für Spionageabwehr zuständiges BfV, dass man eine Person nicht aufgrund von Handydaten orten kann?

Könen: Wage ich nicht zu bewerten. Ist diffizile Betrachtung, was wann möglich war.

Ströbele: Sie wollten Kanzler-Handy untersuchen, durften aber nicht. Warum? Ging Bundeskanzleramt ohnehin davon aus, dass das stimmt?

Könen: KA.

Ströbele: Snowden-Dokumente sind plausibel. Kennen Sie die Herren Heiß und Fritsche im Bundeskanzleramt?

Könen: Ja, sicher.

Ströbele: Haben Sie denen mal gesagt, dass das plausibel ist?

Könen: Ja. (!) Sehr breite Diskussion. Sie waren ja auch im PKGr, als wir das bewertet und beschrieben haben.

Ströbele: Sie waren bis 2006 im Leitungsstab des BND und hatten Kenntnis von Eikonal und Glotaic. Auch XKeyscore?

Könen: XKeyscore später.

Ströbele: Ab 2013 gab es Besprechungen zu XKeyscore.

Könen: AFAIK waren die früher, so 2012. Ist für BSI kein geeignetes Dokument.

Ströbele: Im Juni 2013 Snowden-Veröffentlichungen. Haben Sie sich da nicht an XKeyscore erinnert?

Könen: Natürlich stellt man Bezug her. Heute umfassender und grundsätzlicher bewerten.

Ströbele: Sie kannten das Wort?

Könen: War tatsächlich ein Problem, wurde mal falsch kommuniziert, als „XKeyStore“.

Ströbele: Haben Sie ihre Erkenntnis an Heiß, Fritsche und BND weitergegeben?

Könen: Klar, gab ja auch parlamentarische Nachfragen. Haben wir mitgeteilt.

Ströbele: Die Verantwortlichen im Bundeskanzleramt wussten, was XKeyscore ist?

Könen: Das weiß ich nicht, da wir über das BMI kommuniziert haben.

Ströbele: Liegt nahe, dass die das wussten.

Wolff: Sie machen Vorhalt, als sei das bestritten wurden. Ist nicht der Fall.

Ströbele: Gehen wir noch an anderer Stelle nach, wollte das vom Zeugen hören. Während ihrer BND-Zeit sind problematische Dinge passiert wie Eikonal. Jetzt sollten Sie das auch noch aufklären. Sind Sie da nicht der Falsche? Bock und Gärtner?

Könen: Das unterstellt, dass ich mal Bock war, das streite ich ab. (!) Es geht um fachliches Wissen. Verantwortungsvolle Tätigkeit im BND. Wesentlich, dieses Wissen auch einzubringen, aber mit klaren Maßstäben und Verantwortlichkeiten. Beide Seiten der Medaille kennen. Genauer hinschauen, aus mehreren Richtungen. Wollte mich nicht zurückziehen, sondern beitragen, gerade um Sicherheit zu fördern.

Ströbele: Es ging um schwere Vorwürfe gegen BND, der in Zusammenarbeit mit NSA Grundrechte verletzt. In dieser Zeit waren Sie in Leitender Stellung beim BND und hatten Kenntnis davon. Jetzt sollen ausgerechnet Sie das aufarbeiten?

Könen: Wenn ich etwas zu Einzelvorwürfen beitragen könnte, würde ich das tun.

Fragerunde 2: SPD (14:12)

Flisek: Vorhalt E-Mail Herr Opfer 22. Januar 2015: [MAT A BSI-2n, Blatt 33-34] „Das Risiko hochqualifizierter ND-Angriffe wurde bisher akzeptiert. Um das abzuwehren, müssen alle IT-Produkte, nicht nur VSA, aus vertrauenswürdiger, nationaler Produktion kommen. Nicht realistisch und umsetzbar.“ Was ist VSA?

Könen: Verschlusssachenanweisung.

Flisek: Was ist das?

Könen: Basierend auf Sicherheitsüberprüfungsgesetz. Herr Opfer beschreibt technische Maßnahmen für ein bestimmtes Schutzniveau: VSNfD und VS-Vertraulich. Entsprechend zugelassenes Gerät einsetzen. Verschlüsselt speichern: Verschlüsselung muss für Schutzniveau zugelassen sein.

Flisek: Okay.

Könen: Knackpunkt ist Unterschied zwischen VSNfD (sehr breit) und VS-Vertraulich: deutliche Sprunghöhe. Ab VS-Vertraulich aufwärts: Nationale Kryptografie mit nationalen Produkten und entsprechendes Zulassungsregime. (!) NfD gängige Tools und Produkte aus Standard-Produkten. Herr Opfer will auch deutsche Hardware für NfD.

Flisek: Gibt es Krypto-Handys aus deutscher Produktion?

Könen: Nein, die Plattform nie, nur gehärtete Software.

Flisek: Nie?

Könen: Die Sprache wird herausgenommen, in Modul verschlüsselt, auf NfD-Ebene, dann verschlüsselte Kommunikation nach draußen.

Flisek: Ist das auch mobil nutzbar?

Könen: Ja, ist das Gerät einer bestimmten deutschen Firma.

Flisek: Wird das auch genutzt?

Könen: Ja, von einer Gruppe an Nutzern in einer bestimmten deutschen Einrichtung, an der Front der Technik. (!)

Flisek: Erhebliches Misstrauen in der E-Mail dokumentiert, gegen ausländische Hersteller?

Könen: Gegen ANDs.

Flisek: Verschärft sich noch durch Hard- und Software aus dem Ausland. Nicht realistisch umsetzbar. Wie gehen wir damit um?

Könen: Da, wo entsprechende Technologie nicht aus Deutschland zur Verfügung steht, andere Schutzmaßnahmen hochgezogen werden. SIM-Karte für Krypto-Telefon aus deutschem Unternehmen. Wirken in Unternehmen hinein.

Flisek: Wie reagieren die?

Könen: Bereitschaft zur Zusammenarbeit hat sich in den letzten drei Jahren sehr erhöht.

Flisek: Bereitschaft unterschiedlich?

Könen: Ja. Aber kann man auch Geld verdienen damit.

Flisek: Abgestufte Sicherheit. EU vertrauenswürdiger als Rest der Welt?

Könen: Ja, vertragliche Basis. Mehr Möglichkeiten, Verstöße zu ahnen.

Flisek: Auch für UK?

Könen: Bis heute Abend mindestens.

Flisek: Thüringische Datenschutzbeauftragte bedankt sich für CALEA [MAT A BSI 1-6m, Blatt 121-122]. Ist ein US-Gesetz. Thüringischer Datenschutzbeauftragte sorgt sich, dass auch US-Verschlüsselung betroffen sein könnte, die in Deutschland von deutschen Behörden eingesetzt wird.

Könen: [Liest Dokument.] Ja.

Flisek: Ist Ihnen bekannt?

Könen: Ich erinnere mich. BSI hat ja auch geantwortet. Wir haben Vermutungen zurückgewiesen, dass nach CALEA Backdoors eingeführt wurden. Ist Gesetzgebung, die Provider anordnet, Abhöranlagen vorzuhalten.

Flisek: Nur Provider?

Könen: IIRC ja. Bin kein Experte für US-Recht.

Flisek: Experte für IT-Sicherheit in Deutschland. Apple, Windows. Backdoors?

Könen: Deswegen nutzen wir keine Verschlüsselungs-Software fremder Länder für VSNfD, nur deutsche. (!)

Flisek: Das sind alles Empfehlungen?

Könen: Nein, gerade bei VSA-Verschlüsselung machen wir Zulassung. Die kann jeder in Bund und Ländern kaufen und installieren.

Flisek: Ob er das macht, ist seine Entscheidung?

Könen: Klar, Entscheidung jedes einzelnen Behördenleiters.

Flisek: Wie hoch ist Durchdringung?

Könen: Für Bund sehr hoch, dank Rahmenverträgen. Durch VSA auch Verpflichtung.

Flisek: Sie sagen, eine Nutzung von US-Hard- und Software ohne BSI-Prüfung ist ein hohes Sicherheitsrisiko in Deutschland?

Könen: Nicht so pauschal. Gegen Fragestellung halten, was sie schützen müssen. Bei VS-Geheim und höher muss ich ausländische Betriebssysteme bereichsweise vollständig abschotten. Immer nur relativ. Gefährdung bewusst werden.

Flisek: Relativierung meiner pauschalen Aussage verstehe ich nicht. Entweder sind die marktgängigen Produkte vertrauenswürdig oder nicht. Wir reden ja auch nicht nur über Behörden-Kommunikation, auch Bürger und Unternehmen. Aus ihrer Expertise: Sagt BSI, marktgängige US-Produkte sind für sichere, geschützte Kommunikation nicht vertrauenswürdig?

Könen: Pauschale Aussage ist keine praktikable Antwort. Anforderungen und Gefährdung gegeneinander halten. Bei Pauschalität müsste man per se darauf verzichten, die Produkte zu nutzen. Der Bund stellt Anforderungen an Unternehmen, wie No-Spy-Erlass.

Flisek: Natürlich erklären die Unternehmen das, was sollen sie denn tun? Es ist aber auch kein Geheimnis, dass US-Gesetze verbieten, darüber überhaupt zu reden. Das ist doch naiv.

Könen: Eine Zusage aus gutem Willen wäre zu wenig.

Fragerunde 3: Linke (14:33)

Renner: Sie waren Leiter des Leitungsstabs im BND?

Könen: Nein, Leitung des Sachgebiets im Leitungsstab.

Renner: Davor?

Könen: Als Leiter des Sachgebiets 90AD 2005 in Leitungsstab gekommen.

Renner: […]

Könen: Zentralstelle für das Chiffrierwesen wurde mit BSI-Gesetz 1991 geteilt: Teil ins BSI, Teil in BND.

Renner: Ab wann finde ich Sie unter diesem Kürzel 90AD?

Könen: Ab 15. März 2005.

Renner: Provider stritten Zusammenarbeit mit ANDs ab?

Könen: Ja, Telekom, Verizon und DE-CIX.

Renner: Die haben alle geantwortet?

Könen: Ja.

Renner: Akte vorhalten: [MAT A BMI-10, Tagebuchnummer 17-14, Seiten 11 ff.]. Trifft ihre Aussage danach noch zu? (!)

Könen: [Zeuge, jemand von BMI und BSI lesen.] Das ist eingestuft. Ist angekommen.

Renner: Das Unternehmen sagte dann später etwas mit Zusammenarbeit mit ANDs?

Könen: Unternehmen verneint es, bezogen auf IVBB.

Renner: Break-Out aus IVBB. Gibt es an Übergabepunkten Anschluss an deutsche Tochterfirmen von US-Mutterfirmen wie MCI WorldCom?

Könen: Das wären deutsche Tochterfirmen.

Renner: Genau.

Könen: Break-Out in andere Rechtsform.

Renner: Findet Break-Out zu MCI WorldCom statt?

Könen: KA. Wurde immer in Betracht gezogen durch Tunnel-Verschlüsselung.

Renner: Andere Akte: [MAT A BND 8b, Tagebuchnummer 54/14, Seite XXX]. Kompromittierte Sicherheitstechnik zur Raumüberwachung sollte an deutsche Behörden herangedient werden.

Wolff: Ist eingestuft!

Renner: Kennen Sie das Papier? Die Generalbundesanwalt hat sich damit beschäftigt.

Könen: [Liest.]

Renner: Kennen Sie den Vorgang? Aus BSI-Zeit? Oder aus BND-Zeit?

Könen: Ist mir nicht bekannt, keine Erinnerung. (!)

Renner: Würde so etwas das BSI interessieren?

Könen: Uns interessiert immer alles zu Manipulation und Datenausleitung.

Renner: Gibt es eine Übereinkunft mit BND und BfV, wann BSI etwas mitgeteilt wird?

Könen: Allgemein.

Renner: Sind Sie Teil der Präsidentenrunde?

Könen: Nein.

Renner: Kennen Sie manipulierte Geräte?

Könen: Immer wieder, aber nicht nur Five Eyes.

Renner: Haben Sie Geräte in BND und BfV untersucht auf Manipulationen?

Könen: Wir kontrollieren Geräte und Möglichkeiten, auf Anfrage.

Renner: Regelmäßig?

Könen: Ja. Auch in Berlin.

Renner: Wenn Sie US-Hard- und Software untersuchen, was haben Sie dann? Gerät, Handbuch?

Könen: Kommt darauf an. Oft auch Unterstützung des Herstellers.

Renner: Kann man Geräte zertifizieren, ohne sie anzusehen?

Könen: Hängt von Evaluierungsstufe statt. Niedrig Black-Box-Zertifizierung, höher Gerät angucken, extrem hohe Stufen auch nur mit Beweisbarkeit.

Renner: Wer legt notwendige Stufe fest?

Könen: Hersteller beantragt Stufe für Zertifizierung.

Renner: Und wenn ein NSA-Gerät kommt?

Könen: Unterschied zwischen Zertifizierung, Zulassung und Freigabe. Zertifizierung ist für Geräte der Wirtschaft. Zulassung ist für Anforderungen der Behörden, das sind Prüfungen beim BSI.

Renner: Bei Zulassung immer Gerät anschauen?

Könen: Nach § 28 VSA: Ja.

Renner: Und wenn ein Gerät beim BND eingesetzt wird?

Könen: Das ist dann nicht nach VSA, sondern entweder § 27 TKÜV bei Providern oder Dienststellenleiter innerhalb von Sicherheitsbehörden. Aber keine explizite Zulassung.

Fragerunde 3: Grüne (14:49)

Notz: Hat Generalbundesanwalt oder Staatsanwaltschaft Wiesbaden mal nach ihren Erkenntnissen zur Geolokalisierung von Handys gefragt?

Könen: KA. Ihr Beweisbeschluss läuft noch.

Sensburg: Welcher?

Könen: BSI-14.

Notz: XKeyscore oder auch POSEIDON: Wie schätzen Sie dieses Instrument ein? Würden Sie das in ihren Rechner stöpseln?

Könen: Nein.

Notz: Könnte das eine Trojaner-Software sein?

Könen: Ist nie auszuschließen.

Notz: Beunruhigt es Sie, dass der BND das in Außenstellen in Deutschland einsetzt? (!)

Könen: Nicht so wie Sie, die prüfen das ja.

Notz: Naja, der BND prüft das nicht so wie der BfV. Könnte XKeyscore Dinge tun, die man nicht auf den ersten Blick sieht?

Könen: Das könnte bei fast jeder Software sein.

Notz: Das ist relativistisch.

Könen: Ich kann das nicht sagen, ohne das konkret anzugucken.

Notz: Sie haben das nie angeguckt?

Könen: Ich nicht.

Notz: Das BSI?

Könen: Prüfung läuft, aber Außerhalb des Untersuchungszeitraums.

Notz: Seit wann prüfen Sie das?

Könen: Seit später als 2014. (!)

Notz: Nichts ist sicher, aber nach Untersuchungszeitraum?

Könen: Mir liegen dir Unterlagen nicht vor, also kann ich Ihnen das nicht sagen.

Notz: Warum?

Könen: Das Verfahren läuft noch.

Notz: Welche Prüfung?

Könen: Prüfung von XKeyscore für das BfV.

Akmann: Nach Untersuchungszeitraum!

Könen: Läuft erst seit nach Juni/Juli 2014. Vorher haben wir uns damit nur einmal kurz 2012 damit beschäftigt.

Notz: Haben Sie das zu etwas schriftlich?

Könen: Ja, liegt auch NSAUA vor.

Notz: Bein BND prüfen sie XKeyscore nicht?

Könen: Nein. (!)

Notz: Belgacom-Geschichte kennen Sie. Was ist das?

Könen: Cyber-Angriff auf TK-Provider, mehrstufige Software installiert.

Notz: Name der Software?

Könen: Z. B. Regin.

Notz: Wer war relevanter Kunde von Belgacom?

Könen: Im einzelnen nicht bekannt.

Notz: EU-Kommission?

Könen: Ist anzunehmen.

Notz: Ist so. Wo haben Sie sich noch mit Regin befasst?

Könen: [Pause.] IIRC ist das eingestuft. (!)

Notz: Standen alle schon bei Spiegel Online: „Trojaner Regin: Cyber-Angriff auf Kanzleramtsmitarbeiterin blieb lange unbemerkt“: „eine damalige Referatsleiterin in der Abteilung Europapolitik des Bundeskanzleramtes“.

Könen: Können nochmal das aus Innenausschuss und BTADA sagen: Regin wurde bei einer Mitarbeiterin des Bundeskanzleramt gefunden. (!)

Notz: Wo hat die gearbeitet?

Könen: Im außenpolitischen Bereich.

Notz: Für die EU zuständig. (!) Zusammenhang nie erwägt?

Könen: Nicht unsere Aufgabe.

Notz: Wessen Aufgabe?

Könen: BfV, BND, BKA.

Notz: Regional wo Regin verortet? Russland oder USA?

Könen: BSI hat Attribution nicht vorgenommen, können das nicht präzise. Ist auch nicht unsere Aufgabe.

Notz: Sehe ich anders, steht auch in geheimen Akten anders.

Könen: Das sind Vermutungen, aber keine Beweise.

Notz: Das kennen wir zur Genüge. Steht alles in der Presse. Es gibt Diskussionen im BSI, welche Kooperationen man deshalb beenden müsse. (!)

Könen: Attribution ist nicht mit technischer Sicherheit durchzuführen.

Notz: Die ist nie sicher durchzuführen. Das ist ja einer der Gags bei Cyberangriffen. Trotzdem treffen Sie doch eine Zuordnung. Im BSI gab es eine klare Zuordnung.

Könen: Manchmal spekulieren wir auch, aber das Ergebnis zählt.

Notz: Die Diskussionen in ihrem Haus sind eindeutig. Machen wir im Detail.

Fragerunde 3: SPD (15:04)

Flisek: Rolle von US-Anbietern von Hard- und Software. Im Cybersicherheitsrat Juli 2013 sagten Sie: Bisher gab es 25 Hilferufe von Behörden. [MAT A BMVg 5-3a] Was ist das?

Könen: Die hatten Cyberangriffe erlitten und uns gemeldet.

Flisek: Was ist das?

Könen: Schadsoftware, Rechner übernehmen, Daten abfließen. Das stoppen.

Flisek: Was wurde ihnen geraten?

Könen: Die schildern konkrete Umstände und erhalten Sofort-Empfehlung und dann Hinweise für Absicherung.

Flisek: Seit Snowden mehr Hilferufe?

Könen: Zahl der Fälle im Bereich Cyber erhöht sich permanent, wird leider Gottes täglich.

Flisek: Wenn die US-Produkte nehmen: Äußert sich BSI dann dazu?

Könen: Wir geben konkrete Hinweise zur Absicherung von Produkten, da spielt Hersteller keine Rolle.

Flisek: Herkunftsunabhängig?

Könen: Ja, Problem muss gelöst werden. Schwachstellen, Fehlkonfiguration.

Flisek: Sind Angriffe kriminell oder auch von Nachrichtendiensten?

Könen: Meistens kriminell.

Flisek: Aber auch Nachrichtendienste?

Könen: Gab extrem fähige, liegt nahe.

Flisek: Auch ANDs der Five Eyes?

Könen: Nein, haben keine Attribution zur Verfügung.

Flisek: Was wird dann aus den Fällen?

Könen: Erfahren wir dann im Cyber-Abwehrzentrum.

Flisek: Haben Five Eyes-Nachrichtendienste Angriffe auf deutsche Unternehmen vorgenommen?

Könen: Keine Erkenntnisse.

Flisek: Gab es Mutmaßungen, dass ND-Angriffe von Five Eyes sein könnten?

Könen: Nicht konkret, seit Snowden aber abstrakt. Wenn eine Schadsoftware dort dargestellt wird und dann auftaucht.

Flisek: BSI hält es für möglich, dass Five Eyes-ANDs gezielt deutsche Unternehmen attackieren?

Könen: Das ist möglich.

Flisek: Mit welcher Motivation würden die das machen?

Könen: Kann ich nicht sagen.

Flisek: Gibt es Austausch mit BfV und Spionageabwehr?

Könen: Natürlich, im Cyber-Abwehrzentrum.

Flisek: Ist deutsche Spionageabwehr gut aufgestellt?

Könen: Kann das insgesamt nicht beurteilen. In manchen Bereichen wie Wirtschaftsschutz haben wir noch viel zu tun.

Flisek: Können sich Unternehmen mit Wirtschaftsgeheimnissen auf US-Produkte verlassen?

Könen: Die sollen sich auf das verlassen, was wir zertifizieren.

Flisek: Kein Produkt von der Stange.

Könen: Nein, genau informieren, welche Sicherheit damit verbunden ist.

Flisek: Das ist bei deutschen oder EU-Produkten anders?

Könen: Die kann BSI besser bewerten. Vertraulichkeitserklärungen.

Flisek: Reicht Beratungen und Empfehlungen angesichts der Marktverhältnisse aus, deutsche Unternehmen zu schützen?

Könen: Müssen es ausbauen. Mehr geprüfte IT nutzen.

Flisek: Ist das BSI richtig für Schutz, unter BMI und mit engen Kontakten zu BfV und BND? Liefert das genug Vertrauen?

Könen: Ja. (!) Wir setzen viele Kapazitäten ein, Schutzmaßnahmen zu definieren und genießen eine sehr breite Vertrauensbasis. Wir haben breite Gesamtkompetenz.

Flisek: Sieht BMWi so?

Könen: Auch Allianz für Cyber-Sicherheit.

Flisek: Sie arbeiten auch mit GHCQ zusammen?

Könen: Ja.

Flisek: Haben dazu mehr Akten als alles andere. Mehr Zusammenarbeit mit UK als mit USA?

Könen: Woher kommt Eindruck?

Flisek: Aus den Akten.

Könen: Ist ja nur ein Ausschnitt.

Flisek: Ich hoffe ein vollständiger.

Könen: Hoffe ich auch.

Flisek: Laut Akten arbeiten sie vor allem mit UK zusammen. Stimmt das?

Könen: Nicht unbedingt. Aber Untersuchungsgegenstand, und UK ist in EU. Aber nicht absolut.

Flisek: Ist ihnen bekannt, dass GCHQ mit anderen Ländern zusammenarbeiten?

Könen: Ja. Auch bei Echelon schon deutlich geworden. Aber auch Zusammenarbeit mit Niederlande, Schweden, Frankreich.

Flisek: Ehemaliger NSA-Mitarbeiter, der jetzt bei New America Foundation arbeitet, sagte uns in Washington, dass NSA viele Fragen verstärkt outsourced.

Könen: Aha.

Flisek: Aha?

Könen: Kann sein.

Flisek: UK vertrauenswürdiger?

Könen: Marktvorschriften, Zusammenarbeit leichter aufbaubar.

Flisek: Für unseren Preis an unkooperativsten Five Eyes-Staat wäre UK heißester Kandidat. (!)

Könen: Kann ich nachvollziehen. Aber in anderen Fragestellungen ist das anders, Zusammenarbeit wie Frankreich und Niederlande.

Fragerunde 4: Linke (15:23)

Renner: Bewertung der Snowden-Dokumente. Wer von BfV, BND, BSI war beteiligt?

Könen: Jede Behörde von sich, dann Austausch auf Arbeitsebene. Einzelne Kontakte nicht im Kopf, aber Herr Eden von BfV, Herr Pauland im BND.

Renner: Schriftlich?

Könen: Mündlich. Jour Fixe.

Renner: Gab es nach 2013 Besuche bei BND, um sich Dinge zeigen und erklären zu lassen?

Könen: In welchem Zusammenhang?

Renner: Snowden-Dokumente.

Könen: Nein. (!) Regelmäßige Zusammenarbeit mit BND.

Renner: Geolokalisierung mit verschiedenen Methoden. Was weiß BSI zur Ortung von Personen mit mobilen IMSI-Catchern wie auf Drohnen?

Könen: Auf Drohnen keine Erkenntnisse. Aber mit IMSI-Catcher ist man in unmittelbarer Zelle der Person und kann GSM-Daten oder App-Daten abgreifen.

Renner: Wurde das BSI mal von einer anderen Behörde gefragt, wie Geolokalisierung von Drohnen stattfindet?

Könen: Nein.

Renner: Hätten Sie dazu etwas sagen können?

Könen: Spezifisch zu Drohnen nein, grundsätzlich wie ausgeführt ja.

Fragerunde 4: Grüne (15:28)

Ströbele: Sie sagten ja, dass Sie verfolgen, was wir treiben. Haben Sie Aussage von Zeuge Brandon Bryant mitbekommen, wie Geolokalisierung mit IMSI-Catchern auf Drohnen zur Zielerkennung funktioniert?

Könen: Einiges in Presse gelesen, zur speziellen Thematik nicht.

Ströbele: Reicht eine Telefonnummer aus?

Könen: Beantwortung von Lokalisierung per IMSI-Catcher im Zusammenhang mit Drohnen ist eher schwierig, da das nicht zu unseren Handlungsszenarien zählt.

Ströbele: Beim BND wussten sie von Eikonal. Als das in der Presse stand, haben Sie sich dann mal erkundigt, wie das funktioniert und wie sicher das ist? Sie sind ja für Ausleitung zuständig.

Könen: Sind diesem Fall nicht nachgegangen. Prüfung nach § 27 TKÜV bezieht sich auf Vorab-Prüfung.

Ströbele: Wissen Sie, ob das nach Ende 2008 weiter läuft?

Könen: BSI ist nicht in Einsatz involviert, keine Aussage.

Ströbele: Wie sicher ist das? Können andere mithören?

Könen: Gehört nicht zu unserem Auftrag und wurde nicht beauftragt. Haben auch kein Zugang.

Notz: Wird XKeyscore heute von deutschen Behörden noch eingesetzt?

Akmann: Kein Untersuchungszeitraum.

Notz: Interessiert mich unabhängig von NSAUA als Parlamentarier, ist ja eine Trojaner-Software, immer noch beim BND. Kann das Bundeskanzleramt das verneinen?

Wolff: Wenn es Sie als Parlamentarier interessiert, können Sie die entsprechenden Anfragen stellen.

Notz: Regin bei Belgacom. Snowden-Dokumente sind authentisch?

Könen: Soweit es technische Aussagen betrifft, ist es weitgehend plausibel.

Notz: The Intercept 13. Dezember 2014: „Operation Socialist: The Inside Story of How British Spies Hacked Belgium’s Largest Telco“. Ganz klarer GCHQ-Bezug. Steht da auch GCHQ-Folie.

Könen: [Liest.]

Notz: GCHQ hat Belgacom mit Regin infiziert, um EU-Kommission und EU-Verantwortlicher im Bundeskanzleramt anzuhören, um Verhandlungsposition der EU zu erfahren. Machen vor diesem Hintergrund Treffen und Zusammenarbeit mit GCHQ Sinn?

Könen: Die Diskussion gab es.

Notz: Ausgang?

Könen: Wir müssen unseren Verpflichtungen nachkommen und beschränken sonstige Kontakte auf ein Minimum. (!)

Notz: Hätte UK auch so reagiert?

Könen: KA.

Notz: Hat BSI mit dem GCHQ darüber gesprochen?

Könen: Ja. Weder Bestätigung noch Dementi, professionelles Verhalten der Kollegen.

Zeuge 2: Martin Schallbruch, BMI, IT-Direktor 2002-2016 (15:50)

Zeuge Martin Schallbruch im Europasaal vor Beginn der Sitzung.

Zeuge Martin Schallbruch im Europasaal vor Beginn der Sitzung.

Name Martin Schallbruch. Geboren am 30.09.1965. Bin Wissenschaftler, Informatiker, Schnittstelle IT und Recht. Anschrift geht BMI in Berlin-Moabit.

Eingangsstatement (15:55)

Zeuge Martin Schallbruch. Bild: Sebastian Frank. Lizenz: Creative Commons BY 2.0.

Zeuge Martin Schallbruch. Bild: Sebastian Frank. Lizenz: Creative Commons BY 2.0.

$Begrüßung. $Danke.

War seit Februar 2002 bis Februar 2016 IT-Direktor im BMI. Netzpolitk, Digitalisierungspolitik, IT in Verwaltung, IT- und Cyber-Sicherheit. Ich hatte Fachaufsicht über BSI. Bin zu ganzem Untersuchungsgegenstand geladen, ist sehr weit. Auch IT-Systeme des Bundes.

Vorbemerkung: Haben hohe Komplexität der IT. Qualität von Soft- und Hardware nicht wirklich gebessert. Abhängigkeit zugenommen. Komplexe Bedrohungslage entwickelt. Verantwortung von IT-Sicherheit kann kein Akteur alleine. Unterschiedliche Akteure zusammenwirken. IT-Sicherheit vs. Nutzbarkeit, bedingt einander. Ein sicheres Smartphone ist nicht so einfach zu benutzen, wie es viele Nutzer gewohnt sind. IT-Sicherheit läuft Geschwindigkeit der Innovation hinterher, Sicherheit nicht von Anfang an, sondern zugekauft.

IT-Sicherheit der Bundesverwaltung: Sind abhängig von Funktionsfähigkeit. Seit 2004 haben wir stetige Zunahme von Angriffen auf IT-Systeme: Spam, Trojaner, Hacker. Urheber schwer auszumachen. Mir ist kein Fall der Five Eyes-Nachrichtendienste bekannt geworden. Bundes-IT bietet mehr Angriffsfläche, weil mehr IT und mehr Komplexität. Grundsätzlich sind Ressorts selbst verantwortlich, BMI koordiniert neu. Weite Versplitterung des Bundes, 200 Server-Farmen, 40 unterschiedliche Netze. Unterschiedliche Vorkehrungen in den einzelnen Behörden. BMI machte Druck auf Ministerien, mehr zu tun.

Wesentliche Sicherheitsmaßnahmen:

1. Nationaler Plan zum Schutz der Informationsinfrastrukturen 2005. Erweiterung Aufgaben BSI. 2009 BSI-Gesetz, zusätzliche Befugnisse und Aufgaben. 2011 Cyber-Sicherheitsstrategie des Bundes, bis heute gültig. Cyber-Sicherheitsrat seit 2011.

2. Sicherheit der IT des Bundes: Vor 2007/08 kein übergreifender Plan. 2007 IT-Sicherheitslinie „Umsetzungsplan Bund“ beschlossen. Sicherheitsmanagement, Sicherheitsbeauftragte, Sicherheitsrichtlinien. Ab 2008 Beschlüsse im IT-Rat. Kern-Thema Sicherheit der Regierungsnetze: Sicherheitsstrategie des IVBB immer wieder aktualisiert. Seit 2009 BSI automatische Systeme installiert. Seit 2011 Konsolidierung der Netze in gemeinsame Netzplattform. Alle auf gleiches, hohes Sicherheitsniveau. Mobile Kommunikation: Seit 2005 Warnungen an Bundes-Ressorts, die nur eingeschränkt einzusetzen. Haben 2007 begonnen, ein sicheres Smartphone zu entwickeln. Pilotprojekt. Zwischen 2010 und 2011 10.000 Geräte beschafft.

3. Wirtschaft und Gesellschaft: Ausbau der BSI-Angebote. Bürger-CERT. Intensivere Kooperation mit Unternehmen. IT-Gipfel seit 2006. Gründung des Vereins Deutschland sicher im Netz: Bildung in Schulen und Mittelstands. Anti-Botnet-Beratungszentrum. Allianz für Cybersicherheit: BSI und BITKOM. KRITIS: Seit 2007 Umsetzungsplan KRITIS. IT-Sicherheitsgesetz, 2013 ins Verfahren, diese Wahlperiode abgeschlossen.

4. Behördliche Sicherheit: 2002/03 Europäische Agentur für Netz- und Informationssicherheit, seit 2010 deutscher Direktor. Cyber-Sicherheitsstrategie 2011, Nationales Cyber-Abwehrzentrum.

5. Förderung vertrauenswürdiger IT: Zentrale Fragestellung für präventive IT-Sicherheit. Nur wenig belastbar geprüft. Hohe Abhängigkeit von ausländischen Herstellern. Schachstellen und Backdoors. Entwicklung vom Consumer-Markt getrieben, mehr Endkunden als Sicherheitsbereich. Reihe von Maßnahmen vom BSI. Bildungsprojekte für Krypto-Projekte. Sammelbeschaffung des BSI für Bund. Unternehmen bei Auslandsvertrieb unterstützt. Hohe Anforderung an IT-Sicherheit bei Vergaben. Und Ausnahmen bei IT-Sicherheit in EU-Vergabeverfahren zu erhalten, haben uns zweimal erfolgreich gewehrt. Außenwirtschaftsgesetz: Auch Krypto-Unternehmen darunter fallen. Gab mehrere Fälle, wo BMWi und BMI Übernahme deutscher Krypto-Unternehmen untersagte. E-Mail made in Germany. gefördert. Förderprogramme beschlossen.

Zusätzliche Maßnahmen seit Snowden. Ich habe etliche Dokumente angeguckt, nicht alle. Mich hat Methodenvielfalt und Umfang des Eisatzes sehr überrascht. Hat mich aber auch bestätigt, dass Einsatz von Krypto und vertrauenswürdiger Technologie Schlüssel zum Schutz ist, egal wer Angreifer ist. Nach Snowden:

  1. Aufklärung: Provider, die vertraglich mit Bund gebunden sind, mit Daten gut umgehen. In Einzelfällen Revisionen. Haben keine Erkenntnisse, die belegen, dass es Maßnahmen der Five Eyes gegen Regierungsnetze gab.
  2. Weitere Absicherung der Regierungsnetze: Beitritt zum IVBB. Informierungsveranstaltungen, neue Geräte.
  3. Snowden-Dokumente in Gremien diskutiert: IT-Rat des Bundes, IT-Sicherheitsrat.
  4. September 2013: Runder Tisch IT-Sicherheitstechnik mit Ressorts und Unternehmen. Forderungs-Katalog erarbeitet.
  5. Vertragliche und Vergabe-Entscheidungen: Zusätzliche Vertragsklauseln in Musterverträge. Unternehmen müssen uns sagen, wenn sie an ANDs Daten übertragen müssen. Ein konkretes Vergabeverfahren für nationale Vergabe bemüht. Einmal habe ich mich persönlich bei EU-Kommission dafür eingesetzt.

Komplexer gewordene Bedrohungslage: Angreifer, Motive und Angriffsvektoren. Wir stellen uns immer darauf ein, was technisch möglich ist. Stärkere Konsolidierung von Netzen, konsequenter Einsatz von Sicherheitstechnik, enge Zusammenarbeit von Wirtschaft und Staat, starke Förderung sicherer IT.

Fragerunde 1: Union (16:18)

Zeuge Martin Schallbruch während seiner Aussage. Zeichnung: Stella Schiffczyk. Lizenz: nicht frei.

Zeuge Martin Schallbruch während seiner Aussage. Zeichnung: Stella Schiffczyk. Lizenz: nicht frei.

Wendt: 2002 bis 2016 IT-Direktor im BMI. Aufgaben?

Schallbruch: Zu Beginn Zuständigkeit beschränkt auf Koordinierung und Fachaufsicht BSI. Damals wesentliche Punkte vor allem: Digitalisierung der Behörden fördern. Habe in der Bundesverwaltung für Digitalisierung geworben. In den letzten Jahren habe ich vor Digitalisierung gewarnt und für Sicherheit geworben. Sicherheit immer wichtiger. Digitalisierung 2005, 06, 07 angenommen, dann Sicherheit hinterher, nicht mitgedacht. Frage, wie Staat Sicherheit gewährleisten kann, wenn alle großen Anbieter ausländisch sind.

Wendt: Hatten Sie Kontakt zu BND oder BfV?

Schallbruch: BND unregelmäßig, wie alle Behörden der Bundesverwaltung. BfV regelmäßig, fällt in Geschäftsbereich des BMI.

Wendt: Was war regelmäßiger Inhalt bei Treffen mit BfV?

Schallbruch: Meistens IT-Ausstattung der Behörden, Haushaltskram. Seit Cyber-Sicherheits-Strategie 2011 auch Zusammenarbeit bei Cyber-Sicherheit. BSI war federführend, BfV war beteiligt. Zusammenarbeit der Behörden im Cyber-Abwehrzentrum.

Wendt: Wie hat sich Cyber-Sicherheitslage verändert?

Schallbruch: Technisch Bedrohungslage erheblich ausdifferenziert: Mobilgeräte und Clouds bieten neue Angriffsformen. Motivlage: Kriminalität, Nachrichtendienste, politische motivierte Aktivitäten. Cyber-Angriffe auf Bundes-Netze aus politischen Motiven. Und Militärs.

Wendt: Nach Snowden weniger?

Schallbruch: Anzahl der Angriffe nimmt stetig zu.

Wendt: Nur Nachrichtendienste?

Schallbruch: Attribution ist meistens unmöglich, jedenfalls sehr sehr schwierig. Ab einem bestimmten Professionalisierungsgrad werden Nachrichtendienste das tun. Aber Zuordnung kenne ich aus keinem Fall.

Wendt: Sicherheit von Behörden, Wirtschaft und Bürger. 2006 IT-Stab Ziele: nationale Anbieter. Welche Beschlüsse? Welche Ziele?

Schallbruch: Hatte ich erwähnt und Maßnahmen aufgezählt. Nationale Anbieter fördern bei Export, Schutz vor Übernahme.

Wendt: Auch 2006 informierten BMI, BSI, BfV, BND das Bundeskanzleramt: Sensibilisierung IT-Sicherheit.

Schallbruch: Kann mich erinnern.

Wendt: Was war Hintergrund des Treffens?

Schallbruch: Kann mich nicht erinnern. IT-Sicherheit.

Wendt: Konkreter Anlass?

Schallbruch: Nein. IIRC war die Präsentation eine umfassende Abhandlung eines ganz breiten Themas zu Beginn einer Wahlperiode.

Wendt: Dezember 2012 richteten Sie im IT-Stab des BSI eine Gruppe Gesellschaft für IuK [PDGSI?] ein. Anlass?

Schallbruch: Kompliziert. BMI entschied 2008, Initiative zu starten, alle Behörden-Netze des Bundes zu konsolidieren. Von Haushaltsausschuss des Bundestages 2011 beschlossen und unterstützt. Dann brauchten wir einen vertrauenswürdigen nationalen Provider, mit dem wir langfristig zusammenarbeiten können. Ergebnis war die Quergruppe, die Möglichkeit prüfte, eine Gesellschaft zu gründen, um Behörden-Netze des Bundes zu betreiben.

Wendt: Wie Alcatel-Lucent?

Schallbruch: Da mehr technischer Betrieb als Verantwortung.

Wendt: Regierungskommunikation geht über Netze IVBB, IVBVBVN und [BOI?]. Lange von MCI und Verizon betrieben. Juni 2014: Trennung von Verizon. Warum mit Verizon zusammengearbeitet?

Schallbruch: Europaweite Ausschreibung, Verizon gewann 2003.

Wendt: Konkreter Anlass für Trennung? Datenabfluss?

Schallbruch: Keine Erkenntnisse für Datenabflüsse. Aber zukünftige Strategie wollten wir Datenabflüsse auch ausschließen. Deutsches Tochterunternehmen von US-Mutterfirma hat kritische Steuerungseinrichtungen naturgemäß nicht in Deutschland, Einfluss von außen nicht auszuschließen. Wir haben uns entschieden, den Einfluss auszuschließen. Keine Sonderkündigung, sondern einfach Vertrag nicht mehr fortführen. IVBB von Telekom betrieben.

Wendt: 2003 hatte Bundesregierung Bedenken, Regierungskommunikation über MCI zu leiten. BMI wies das zurück. (!) Was passierte dazwischen?

Schallbruch: Das Dokument von 2003 kenne ich nicht. 2014 keine Entscheidung gegen ein bestimmtes Unternehmen, sondern für Architektur der IT-Systeme des Bundes. Wollten Risiko nicht mehr eingehen. 2001 leitete EU-Kommission Vertragsverletzungsverfahren gegen BRD zur freihändigen Vergabe des IVBB ein, daher danach Zusage, alles zu vergeben, also 2003 an Verizon, 2014 nach schwierigen Verhandlungen mit EU-Kommission freihändige Vergabe von Behörden-Netz abgerungen. (!)

Wendt: Welche Risiken?

Schallbruch: Hohe Sicherheitsanforderungen bei wettbewerblichen Verfahren einhaltbar? Nein. Also konnten wir nicht mehr europaweit ausschreiben. Andere Sicherheitsbewertung, andere Vergaberechts-Bewertung.

Wendt: Bin inhaltlich bei Ihnen. Aber Erkenntnis 15. Februar 2006 [MAT A BMI-7_1g_2, Blatt 71]: „Mit Bezugsvorlage wurde Minister unterrichtet, dass mit massiven Anstieg von ND-Angriffen auf Netze gerechnet werden muss. […] Systeme stören.“ Trotzdem Vertrag mit MCI nicht gekündigt. Erst nach 2013. War das ein Kampf? Bedenken abgewiegelt?

Schallbruch: Konkretes Dokument kenne ich nicht. Ich hatte immer wieder Hinweise, dass Zusammenarbeit von ANDs und Unternehmen nicht ausgeschlossen werden kann. Gleichzeitig hatte ich nie harte, justiziable Fakten, die es rechtfertigen würden, einen Vertrag mit einem ausländischen Provider zu kündigen.

Wendt: Sicherheitsintersse der BRD?

Schallbruch: Wenn das justiziable Fakten wären, wäre das so, hatten wir aber nicht. Also Verschlüsselung mit Krypto, dass auch Anbieter nicht auf Daten zugreifen kann. Krypto-Management macht Deutscher Wetterdienst. (!) Haben Vertrag mit MCI 2008 nicht gekündigt, weil das technisch nicht möglich war, gab die Infrastruktur von heute noch nicht.

[Pause, namentliche Abstimmung.]

Fragerunde 1: Linke (17:13)

Renner: März 2004 Treffen mit USA zu Cybersicherheit. Wussten Sie da, dass es Eikonal gibt?

Schallbruch: Nein.

Renner: Gab es Überlegungen, dort auch vorsichtig sein zu müssen?

Schallbruch: Das war zwischen BMI und neu gegründetem DHS. Inhalt war Schutz von KRITIS. Ging nicht um IT-Sicherheit von Regierungen.

Renner: Keine Regierung oder Bürger?

Schallbruch: Nein.

Renner: Gab es später Überlegungen, dass man skeptisch sein muss?

Schallbruch: Kann mich nicht an Skepsis erinnern. USA sind wichtige Partner bei Cyber-Sicherheit. (!) Haben immer ausgetauscht, wie man IT-Sicherheit verbessern kann.

Renner: Spiegel 01. Fezember 2014: „Geheimdienste: Fern bedient“. BND: Anlagen zur Raumüberwachung von US-Anbieter auf deutschem Markt tun etwas anderes, als sie vorgeben. Routet Daten an die USA aus. Sollte auch an Behörden verkauft werden. Von BND 2005 untersucht und in Präsidentenrunde besprochen. (!) Kennen Sie Vorgang?

Schallbruch: Kann mich nicht erinnern, aber vergleichbare Vorgänge, in denen wir Hinweise hatten, dass bestimmte Anbieter Produkte in sicherheitsrelevante Bereiche bringen wollten. Bedenken von BND wegen Hintergrund der Firma oder Bedenken von BSI wegen Architektur der Produkte.

Renner: Uns interessieren Five Eyes. Bericht BND titelte: „Nachrichtendienstliche Aufklärung deutscher Behörden und Hochtechnologieunternehmen durch US-Nachrichtendienste mithilfe von Sicherheitstechnik zur Raumüberwachung“. (!)

Schallbruch: Kann mich nicht erinnern. Allgemeine Vorsicht.

Renner: Mal Methodik angeguckt und anderes gefunden?

Schallbruch: Ich kenne den einen Vorgang nicht. BSI hatte für alle kritischen IT-Bereiche der Bundesregierung ständig Sicherheit überprüft. Wenn wir Erkenntnisse hatten, dass Produkte fragwürdig sind, dann Bewertung. BND sah Smartphones eines bestimmten Herstellers als fragwürdig an, dann haben wir die nicht mehr eingesetzt und Alternativen angeschafft. (!)

Renner: MCI WorldCom/Verizon. Warum Verizon bis heute nicht vollständig ausgeschlossen?

Schallbruch: Entscheidung erst 2014 getroffen. Geht nicht Wechsel auf nächsten Tagen wie Getränkelieferung. Geht um tausende Standorte und Liegenschaften, in denen Technik ausgetauscht werden muss. (!)

Fragerunde 1: SPD (17:22)

Flisek: Sie machten im Spätsommer 2013 Vorschläge bei Koalitionsverhandlungen für Verbesserung der IT-Sicherheit. Welche?

Schallbruch: Dutzende von Einzelvorschlägen. Förderung vertrauenswürdiger IT. Konsolidierung der IT des Bundes.

Flisek: Was wurde nicht berücksichtigt?

Schallbruch: Konsolidierung der IT der Bundesverwaltung bei einem IT-Dienstleister. Jetzt haben wir 119 Rechenzentren, ich hätte gerne einen Dienstleister mit fünf Rechenzentren. Heute sehr heterogene Landschaft.

Flisek: Wildwuchs über Jahre ergeben?

Schallbruch: Ja.

Flisek: Warum ist das dann aus Koalitionsvertrag rausgeflogen? Wegen den einzelnen Ressorts?

Schallbruch: Ich war nicht Teilnehmer der Koalitions-Verhandlungen. Aus meiner Perspektive ist das, wie sie das beschreiben.

Flisek: Sie sind Architekt eines CIO-Konzept des Bundes. Bundes-CIO und Ressort-CIOs schlugen Sie vor. Befindlichkeiten der Ressorts?

Schallbruch: Ja. Konzept wurde umgesetzt, aber nur sehr schwach. IT-Beauftragte der Ressorts und IT-Beauftragte der Bundesregierung, aber keine Entscheidungsbefugnis, sondern Leitung eines Gremiums. Auch kein zentrales Budget.

Flisek: Bestandsaufnahme. Gewachsener Wildwuchs. Was bedeutet das für Sicherheit der dort verarbeiten und gespeicherten Daten? Haben wir Daten, die auf US-Servern liegen können?

Schallbruch: Ich kann das nicht ausschließen, dass es innerhalb der Bundesverwaltung Behörden gibt, die Daten auf US-Servern speichern. (!) Es gibt keinen zentralen Überblick. Was es gibt, sind die Regierungsnetze wie IVBB. Viele andere Staaten haben das nicht. USA haben 2.000 Übergänge ihres Regierungsnetzes ins Internet, wir haben zwei. Die kann man ganz anders sichern.

Flisek: Hat sich die Bewertung nach Snowden geändert?

Schallbruch: Ja. Haushaltsausschuss des Bundes macht Druck, seit Snowden. Sehr viel größere Akzeptanz bei Beschaffern im Bund, Möglichkeiten für nationale Beschaffungslösungen auch zu nutzen.

Flisek: Ausschreibungen verstärkt Anforderungen auf nationale Lösungen? Quantifizierung?

Schallbruch: Gibt keine zentrale Beschaffung, kann nicht quantifizieren. Klauseln, die ausländische Anbieter nicht erfüllen können.

Flisek: Reaktionen von Lobbyisten der betroffenen US-Unternehmen?

Schallbruch: Starker Anstieg von Lobby-Druck. Reaktion der Unternehmen unterschiedlich. Manche haben sich darauf eingestellt und beispielsweise deutsche Rechenzentren gebaut oder genutzt.

Flisek: Konkret: Microsoft und Telekom, europäische Kommunikationsdaten in der EU zu speichern?

Schallbruch: Ich habe damals solche Lösungen gefordert, mittlerweile setzen das die ersten um.

Flisek: Ist das vertrauenswürdig?

Schallbruch: Ist relativ, nicht absolut. Ist vertrauenswürdiger. Innentäter kann immer alles zerstören. Aber schon guter Schritt. Wird auch von Unternehmenskunden nachgefragt.

Flisek: Tagung bei Stiftung Wissenschaft und Politik vor zwei Wochen: Deutschland nimmt zentrale Rolle in Europa ein bei Internet-Knoten, auch beispielsweise aus Nahost. Spezifische Vorkehrungen für Schutz von Internet-Backbone in Deutschland?

Schallbruch: Ganz einfach: verschlüsseln.

Flisek: Mich freut das, wenn ich das aus dem Hause des Innenministers hören.

Schallbruch: Verschlüsseln aller Daten und Kommunikationsverkehre. So einfach ist das. (!) Man kann das überall machen und noch mehr.

Flisek: Verschlüsseln heißt verschlüsseln, ohne Zweitschlüssel?

Schallbruch: Ja.

Flisek: Wie wurde das im BMI aufgenommen? Die Sicherheitsbehörden haben ja auch Begehrlichkeiten, den Schlüssel in den Händen zu halten.

Schallbruch: Man hat das diskutiert. Zu meiner Zeit bestimmt vier, fünf Grundsatzdiskussionen bis zum Minister, beginnend 2002.

Flisek: Wer?

Schallbruch: Schäuble, Schily, Maiziere. Am Ende hat sich die von mir propagierte Lösung durchgesetzt: Kein Krypto-Verbot.

Flisek: Letztes Dokument zu Krypto sind Kryptro-Endpunkte von 1999. Noch gültig?

Schallbruch: Ja. Bis heute.

Fragerunde 1: Grüne (17:40)

Notz: Welche Diskussionen gab es im Sommer 2013 mit Snowden bei Ihnen?

Schallbruch: Nicht alle, waren viele.

Notz: Waren Sie aus den Latschen? Oder haben Sie das schon immer gedacht?

Schallbruch: In der Mitte. Ich ging davon aus, ANDs stecken möglicherweise hinter Angriffen. Hatte das gewaltige Ausmaß der technischen Vorbereitung von der NSA nicht erwartet. Hat mich als Techniker überrascht.

Notz: Teil der Kooperation auch mit BND und in Deutschland? War das bei ihnen bekannt?

Schallbruch: Kooperation BND und AND war mich nicht bekannt.

Notz: Eikonal, Glotaic? Nie gehört?

Schallbruch: Nein.

Notz: Belgacom auch erst aus Snowden?

Schallbruch: Ich glaube früher, vom BSI. (!)

Notz: Wir haben deutsche Behörden da drauf geguckt?

Schallbruch: Bei mir kam Analyse des BSI an: Ausgefeilte Methoden. Mussten prüfen, ob wir ausreichend geschützt sind. BSI sagte: Im Grundsatz ja. Bei jedem einzelnen Vorfall hat BSI seine Abwehrmechanismen nochmal nachjustiert.

Notz: Auch Mitarbeiterin aus Bundeskanzleramt 2012 angegriffen bei Belgacom?

Schallbruch: Eingestuft?

Notz: Stand auf Spiegel Online: „Trojaner Regin: Cyber-Angriff auf Kanzleramtsmitarbeiterin blieb lange unbemerkt“.

Schallbruch: Nur Abstrakt. Mir sind neben Belgacom weitere Fälle mit vergleichbaren Angriffsvektoren bekannt. Für Schutzaufgabe des BSI von besonderer Bedeutung.

Notz: In beiden Fällen Schadsoftware Regin. Laut Snowden zuordnenbar zu GCHQ. Wann ging Bundesregierung aus von „der Feind in meinem Bett“? Kooperationspartner auch Teil des Sicherheitsproblems?

Akmann: Wer das war, ist eingestuft.

Notz: Regin?

Akmann: Ja.

Notz: Ich habe die Intercept-Folie vom 13. Dezember 2014 vorgelegt, die ist öffentlich: „Operation Socialist: The Inside Story of How British Spies Hacked Belgium’s Largest Telco“. Da steht, dass es der GCHQ war.

Sensburg: Folie geht, Sachverhalt ist eingestuft.

Notz: Eine Farce.

Schallbruch: Kenne das Dokument nicht. KA, ob das irgendwas beweist. Aber ich gehe seit Snowden davon aus, dass man nicht ausschließen kann, dass ANDs, auch von Five Eyes, derartige Angriffe auf unsere Bundesnetze durchführen. Also habe ich versucht, die Infrastruktur in Deutschland zu schützen. Ich habe mich nicht mit einzelnen Urhebern beschäftigt. Kooperation mit USA und EU-Partnern ist von großer Bedeutung. Auch Wirtschaftsspionage können wir nicht beweisen. Seit Snowden haben wir eine nationalere beschaffung und Krypto-Qualität als vorher.

Notz: Sie sind als BMI hier, wir haben auch BND diskutiert. Gibt es da keinen Widerspruch zwischen Grundvertrauen und Kooperation an der Glasfaser, aber Zäsur und Vertrauensbruch? Software XKeyscore bis heute nicht klar, ob das nicht ein gigantomanisches Trojaner-Programm ist.

Schallbruch: XKeyscore weiß ich nicht. Mit welchen Staaten man kooperiert, ist eine politische Frage. Immer auch nationale Sicherheitsinteressen.

Fragerunde 2: Union (17:51)

Wendt: 08. November: „BMI liege keine Erkenntnisse vor.“ Wie waren sie als Fach- und Dienstaufsicht in Vorgang eingebunden, Schreiben von Generalbundesanwalt?

Schallbruch: Ging über meinen Tisch.

Wendt: Von wem wurde Info zur Verfügung gestellt?

Schallbruch: Habe es an BSI weitergegeben. Die hatten dann mit Bundeskanzleramt kommuniziert.

Wendt: Folgen sie der Auffassung?

Schallbruch: Ja.

Wendt: Kanzler-Handy 05. Januar Bundeskanzleramt „Bewertung Angriffsvektoren“ Verschiedene Angriffsmethoden analysiert und bewertet. Dokument vorlegen: [MAT A BSI-1_6e, Blatt 40 ff.]

Schallbruch: [Liest.] Ist mir bekannt.

Wendt: Was waren wesentliche Ergebnisse der BSI-Analyse?

Schallbruch: Unmittelbar nach Kanzler-Handy haben wir BSI gebeten, Angriffsvektoren für Handy-Überwachung aufzuschreiben. BSI hat fünf identifiziert. Und Gegenmaßnahmen vorgeschlagen. Haben dann „Schutzschriftprogramm Regierungskommunikation“ entworfen.

Wendt: Damit war sichergestellt, dass alle fünf Vektoren abgedeckt waren?

Schallbruch: Sicherstellen geht nicht. Wenn man offene Leitung statt Krypto-Handy nutzt, kann man mit Technik nichts machen. In ausländischen Mobilfunknetze können wir auch wenig machen.

Wendt: Maßnahmenplan? Werden die Krypto-Handys auch genutzt? Mensch ist ja Hauptproblem bei IT-Sicherheit.

Schallbruch: Gab Maßnahmenplan vom BMI. Nov/Dez 2013 vom Minister gebilligt. Zusätzliche Geräte, Server und Indoor-Anlagen. Aber Ressorts entscheiden, welche Mitarbeiter die Geräte bekommen. Gibt Behörden, wo bis Referatsleiter alle das bekommen, andere nur ganz oben. Nutzung ist ganz andere Frage. 2007-2012 hatten wir ziemlichen Gegenwind aus Ressorts. Rückmeldungen: „Funktioniert nicht so gut wie ein iPhone, Akku zu gering, zu umständlich.“ Starker Widerstand nach Snowden gewichen, höhere Akzeptanz.

Wendt: Gleiche Analyse: Angriffsmöglichkeiten mit passiven Empfangsantennen. „Sehr wahrscheinlich, zentral, wenige Standorte (ausländische Botschaften). Gezielte Erfassung bekannter Telefonnummern ist technisch möglich, ohne dass das nachweisbar wäre.“ Und „Insbesondere Aufenthaltsorte mit hoher Aufenthaltswahrscheinlichkeit von Regierungsvertreters weisen hohe Mitschnittquote auf.“ War Ausmaß vorher schon bekannt?

Schallbruch: Wirklichkeit war mir seit 2002/03 bekannt und fand auch immer Eingang in unsere Argumentation gegenüber Ressorts. Ein Ergebnis auch die vorhin angesprochene Regierungsveranstaltung, in der wir darauf hingewiesen haben.

Wendt: Auch BfV sagte, die haben schon lange darauf hingewiesen. Sie auch. Hat Sie das demotiviert?

Schallbruch: Demotiviert ist keine Kategorie in dem Zusammenhang. Mich hat das motiviert., das Bemühen zu verstärken, auch Lösungen anzubieten. Habe mich sehr intensiv um Weiterentwicklung sicherer Smartphones gekümmert. Nutzung von Sicherheit erreicht man nur durch alltagstaugliche, nutzbare Technik. Komfort.

Wendt: Warnungen von Fachleuten schon bekannt, Snowden nochmal letzter Anstoß?

Schallbruch: Ja.

Wendt: Bundesregierung hat in den letzten Jahren viel für den Schutz der Privatsphäre bewegt. (!) Bei Vereinten Nationen. Wie bewerten Sie das?

Schallbruch: Liegt außerhalb meiner Zuständigkeit. Wir brauchen globalen Standard für vertrauenswürdige Kommunikation.

Fragerunde 2: Grüne (18:04)

Ströbele: Nutzen Sie ein Krypto-Handy?

Schallbruch: Immer im BMI. Jetzt an der Hochschule wird mir keins zur Verfügung gestellt.

Ströbele: Wie viele Prozent im BMI sind ihrem Rat gefolgt?

Schallbruch: Kann nicht schätzen. Haben eine hohe Anzahl Krypto-Handys im BMI. 250.

Ströbele: Nur Krypto-Handy oder auch andere?

Schallbruch: Das Gerät bei uns ist ein abgesichertes Smartphone, das auch E-Mail, Kalender und Adressen verschlüsselt. Aber es kann auch normale Gespräche offen führen. Gerät für alle Zwecke. Wenn der Partner das auch kann.

Ströbele: War nicht meine Frage. Hatten Sie auch ein anderes, nicht kryptiertes Handy? Merkel hat auch ein Krypto-Telefon, aber nutzt auch das private.

Schallbruch: Da ich mit dem Dienst-Handy nicht privat kommunizieren kann, habe ich auch ein privates, ja.

Ströbele: Grenzen fließend?

Schallbruch: Wir wissen ja, was sensibel ist und man nur verschlüsseln kommunizieren sollte.

Ströbele: Aber Krypto gilt ja für alle, nicht nur BMI?

Schallbruch: Genau. Mensch ist das Problem. Tagtäglich mehr verschlüsseln.

Ströbele: Verschlüsselt auch Bundestag?

Schallbruch: KA. Bundestag ist eigenständig. Regierung hat 5.000 Krypto-Smartphones und 4.500 Krypto-Telefone beschafft.

Ströbele: Habe noch nie eins gesehen.

Schallbruch: Erkennt man ja nicht. Das aktuell verbreitetste Gerät sieht ja nicht anders aus als ein BlackBerry.

Ströbele: Waren Sie befasst, wer Daten an fremde Mächte weitergegeben hat?

Schallbruch: Nein.

[Ende der Sitzung. (18:20)]


Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende.

by Andre Meister at June 23, 2016 09:37 AM

netzpolitik.org auf dem Fusion-Festival

leadvisual-2016Kommende Woche findet von Mittwoch bis Montag in Lärz das Fusion-Festival statt, eines der größten nicht-kommerziellen Kultur- und Musikfestivals in Deutschland. Im Rahmen einer kleinen Kooperation bieten wir am Donnerstag Abend im sogenannten ConTENT(-Zelt) vier Vorträge zu netzpolitischen Themen an.

Das ConTENT findet sich auf dem Fusion-Gelände nahe dem See (auf der anderen Seite der Anfahrtsstrasse). Das See-Gelände ist über eine Treppe über diese Straße einfach erreichbar. Einen Plan vom diesjährigen Gelände gibt es noch nicht, das wird es aber vor Ort geben. Kommt vorbei, wenn Ihr was lernen oder einfach nur uns treffen wollt. Vielleicht haben wir auch Aufkleber dabei.

Unser Programm am Donnerstag Abend:

  • 20:00 – 21:00: Fight for your digital rights – Eine kurze Einführung in die Netzpolitik (Markus Beckedahl, netzpolitik.org)
  • 21:00 – 22:00: I have something to hide. Und das ist auch gut so! (Anna Biselli, netzpolitik.org)
  • 22:00 – 23:00: The battle on free speech on corporate platforms (Jillian C. York, Electronic Frontier Foundation)
  • 23:00 – 00:00: Hacking with care – a guide for activists (Jeremie Zimmermann, La Quadrature du net)

Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende.

by Markus Beckedahl at June 23, 2016 09:00 AM