Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

September 09 2013

Im Dickicht der Daten: Was der „Tatort” lehrt

Die Cloud hat Einzug im „Tatort” gehalten. Zwischen Funkzellenabfrage, Handy-Bildern im Laptop-Backup und Überwachungskameras zapften die Ermittler am Sonntagabend im Ersten alle denkbaren Datenquellen an. Des Rätsels Lösung lag nicht darin.

Kaum etwas macht ein Thema so zur gesellschaftlichen Realität wie der „Tatort”. Ob Zwangs-Prostitution, assistierte Selbsttötung oder schlichtweg das Wort „Scheiße“: Der Sonntagabend-Krimi etabliert gesellschaftliche Realität in deutschen Wohnzimmern. Dass sich die Berliner Tatort-Ermittler diesmal ganz auf Datenberge und die Cloud konzentrierten, setzt zumindest neue Maßstäbe in der Welt der deutschen Polizei-Serien.

Der eigentliche Fall ist schnell erzählt und passt zu den Boulevardschlagzeilen der letzten Jahre: Betrunkene Jugendliche pöbeln in der U-Bahn, greifen Passanten an und erschlagen am Ende einen Mann im U-Bahnhof, während die Passanten wegsehen. Als die Täter schließlich ermittelt werden, stehen die Ermittler vor der Frage: Wer von ihnen ist der Mörder?

Eins zu Null für Fahndung 1.0

Damit die digitalen Spuren so richtig zur Geltung kamen, konstruierte Autor und Regisseur Stephan Wagner den Fall sehr sorgfältig um die klassischen Ermittlungsansätze herum: So war der U-Bahnhof vor Eintreffen der Spurensicherung gereinigt worden, Fingerabdrücke oder Blutspuren vernichtet. Um die Täter zu finden, werteten die Berliner Ermittler zuerst die Kameras an der U-Bahn-Station aus, um schließlich über eine Funkzellenabfrage Täter und Zeugen zu identifizieren. Ohne Erfolg: Der Haupttäter stellte sich selbst, als ein unscharfes Bild von ihm in der Presse veröffentlicht wurde. Eins zu Null für die Fahndung 1.0.

Im Verlauf der anderthalb Stunden machten die Ermittler eine um die andere Datenquelle aus: Die Smartphones von betrunkenen Touristinnen in Partystimmung, die Kamera eines entgegenlaufenden Zuges. Dann die GPS-Ortung des Smartphones des Opfers; schließlich sogar die Fotos, die das Opfer in der Cloud abgelegt hatte. Schritt für Schritt wird dem Publikum präsentiert, wo wir überall Daten hinterlassen und wie jeder Schritt digital nachvollzogen werden kann, wenn man nur genug Datenquellen abgreift. Sekundengenau.

Wo die Ermittler gar zwei Datenquellen – wie Handydaten und Personalausweis-Register – abgleichen, lassen sich Zeugen recht zuverlässig identifizieren. Selbst wenn die staatlichen Datenbanken versagen, gibt es genug private Daten – man muss nur nach ihnen suchen. Das alles hielten die Tatort-Macher auf laientauglichem Niveau, angefangen mit der Frage: „Cloud-fähig – was war das nochmal?“

Im Wald vor lauter Daten

Die Tatort-Macher wollten sich klar nach allen Seiten absichern. Um nicht in unkritische Cloud-Begeisterung zu verfallen, zeigten sie Polizisten, die beim Auswerten der Bilder feiernder Asiatinnen in hysterisches Kichern verfallen; ein Sondereinsatzkommando stürmt dann versehentlich die falsche Wohnung.

Auch juristisch hatte Wagner den Fall abgesichert: Die Kommissare erzählen so oft vom Richtervorbehalt bei der Abfrage der Daten, dass die Dialoge an Anfang geradezu hölzern wirkten. Nicht einmal der Tatort-Watch-Account der Grünen hatte große Einwände. Spannung hingegen kam kaum auf, ein Motiv blieb das Drehbuch achselzuckend schuldig.

Lehrreich scheint vor allem die Verwirrung der Beamten, die sich in den digitalen Daten schlichtweg verfangen und den Wald vor lauter Bäumen nicht mehr sehen. Denn die Lösung des Falls lag weder in den Daten aus der Cloud noch in Überwachungskameras – der Anrufbeantworter der Geliebten des Toten hatte die Tat aufgezeichnet. Das aber hätte er schon im analogen Zeitalter gekonnt.

Reposted bykrekkpharts

May 13 2013

Wie funktioniert Strafverfolgung in der Cloud?

Ob persönliche Dokumente im Webspeicher oder Telefonieren über das Internet: „Die Cloud” lockt Strafverfolgungs- und Sicherheitsbehörden mit umfangreichen Daten und stellt sie zugleich vor neue Herausforderungen. Wer kann was einsehen, welche Regeln gelten hierfür?

Früher war es für Ermittler einfach: Dokumente wurden in Aktenordnern gespeichert, Gespräche über das gute alte Telefonnetz geführt. Heutzutage werden immer mehr Dokumente im Web gespeichert, das Telefonnetz wird vor allem für’s Internet genutzt; viele neue internetbasierte Kommunikationswege und Dienste sind entstanden. Aber viele Dienste nutzen verschlüsselte Verbindungen und stellen damit Polizei, Strafverfolger & Co. vor Herausforderungen.

Unklarer Rechtsrahmen

Clouddienste operieren über Kontinente hinweg. Welche Daten wo genau liegen und welches Recht für welche Dienste eigentlich gilt, ist häufig noch ungeklärt. Auf der anderen Seite locken die Dienste Ermittler mit Datenspuren in ganz neuer Größenordnung: Persönliche Kommunikation, Dokumente und Unterlagen, Gruppenkonversationen, Standortdaten – immer mehr sammelt sich bei den Anbietern. „Big Data” wird auch für die Strafverfolgung zum Thema.

Zugleich wird es schwieriger, Clouddienste – und damit auch die Zugriffsbefugnisse – rechtlich einzuordnen. Telefongespräche und E-Mail-Übertragungen etwa zählen zur „Individualkommunikation” und unterliegen dem grundrechtlich geschützten Fernmeldegeheimnis. Wann und bei welchen Cloud-Diensten das gilt, ist aber schon umstritten. Einige kommen in ihrer Funktionalität klassischer Telekommunikation nahe, viele liegen in einem Zwischenbereich. Das bedeutet zum Beispiel, dass man häufig nicht recht weiß, ob im Einzelfall das Telekommunikations- oder das Telemediengesetz als rechtlicher Rahmen gilt.

Für viele Diskussionen sorgte der US-amerikanische „Patriot Act“ und seine Folgen für Daten in der Cloud. Das Gesetz hat die Befugnisse für US-Behörden erweitert und die Richterkontrolle reduziert. US-Ermittler können demnach auf Daten nicht nur bei US-Unternehmen, sondern auch bei deren Tochterfirmen in Europa zugreifen, wie Recherchen des Portals ZDNet ergeben haben. Im Business-Bereich haben einige Cloud-Anbieter darauf schon reagiert und vermarkten ihre Produkte als sichere, europäische Alternative zu US-Anbietern.

Aktenordner vs. Cloud

Der Umkehrschluss, dass Daten bei rein europäischen oder deutschen Anbietern vor Zugriffen automatisch besser geschützt seien, sei aber falsch, konstatiert Ian Walden, Professor für Informationsrecht an der Uni London. Regelungen für den Zugriff von Strafverfolgungs- und anderen Behörden gebe es in allen Ländern. Gesetzliche Hürden sollen dabei sicherstellen, dass rechtsstaatliche Verfahren und die Grundrechte der Betroffenen eingehalten werden. Ein Problem dabei: Die Regelungen stammen noch aus der Aktenordner-Zeit. Im Ergebnis stehen sich zum Beispiel US- und EU-Regeln zur Strafverfolgung ebenso wie die zum Datenschutz gegenüber.

In Bezug auf den Schutz privater Daten vor möglichem Missbrauch kommt eine Studie des EU-Parlaments zum Schluss: Die Rechtsunsicherheit ist groß, die Daten europäischer Bürger seien nicht hinreichend geschützt. Die Gefahren durch Betrug oder Identitätsdiebstahl dagegen seien vergleichsweise gering. „Sowohl Cloud-Nutzer als auch Cloud-Anbieter können nur schwer nachvollziehen, wann und wie Regierungen Nutzerdaten einsehen können”, hält eine Studie der Kanzlei Hogan Lovells fest, die die Möglichkeiten für Strafverfolgungsbehörden für verschiedene Länder untersuchte.

Das liegt neben der häufig ungeklärten Rechtslage auch daran, dass einige Zugriffe der Geheimhaltung unterliegen und versteckt erfolgen – etwa bei den „National Security Letters” des FBI, die solche Stillschweige-Vereinbarungen enthalten. Einige Unternehmen veröffentlichen inzwischen immerhin Statistiken über die Anfragen von Strafverfolgungsbehörden, so etwa Microsoft, Google oder – in sehr überschaubarer Form – Dropbox. Die US-Bürgerrechtsorganisation EFF hält das und weitere Punkte beim Umgang der Firmen mit staatlichen Stellen in einem jährlichen Bericht fest. In Deutschland wiederum warnt etwa der Strafrechtler Tobias Singelnstein, Professor an der FU Berlin, vor einer „Vergeheimdienstlichung” der Strafverfolgung, weil durch die technische Entwicklung zunehmend heimlich auf Informationen zugegriffen werden kann.

Wo Polizei & Co. ansetzen

Übersicht: Datenerhebung zur Strafverfolgung. Illustration: Tigerworx.

Klicken für Großansicht: Datenerhebung zur Strafverfolgung. Illustration: Tigerworx.

Bei der Vielzahl an unterschiedlichen Clouddiensten und Nutzungskonstellationen sind auch die Möglichkeiten und Grenzen für Strafverfolger und Behörden vielfältig. Als ersten Überblick kann man aber drei Ansatzpunkte unterscheiden, wenn Polizei & Co. sich für die Daten von Nutzern interessieren: Die Nutzer, die Übertragung im Netz und die Diensteanbieter. Die verschiedenen Ansatzpunkte bringen auch unterschiedliche technische und rechtliche Bedingungen mit sich.

(1) Daten beim Nutzer

Gewissermaßen noch „vor” oder „nach” der Cloud steht die Datenerhebung beim Nutzer. Im Rahmen etwa einer klassischen Durchsuchung können Ermittler Daten auf dem Computer beschlagnahmen. Dabei können sie auch auf Daten bei Cloudspeicherdiensten zugreifen: In der Strafprozessordnung werden sogenannte „räumlich getrennte Speichermedien” ausdrücklich aufgeführt. Das gilt allerdings nur, wenn die Daten im Inland liegen, was bei Cloudspeicherdiensten eher die Ausnahme ist. Liegen sie im Ausland, müssen Strafverfolger sich erst an die jeweiligen Staaten wenden. Im Rahmen der sogenannten Cybercrime-Konvention muss dann der jeweilige Staat die Daten vorläufig sichern. Darüber hinaus gibt es für solche Rechtshilfe innerhalb der EU weitere Verträge.

Ein Sonderfall beim Nutzer ist die Onlinedurchsuchung und die sogenannte Quellen-Telekommunikationsüberwachung. In beiden Fällen installieren Behörden heimlich Software beim Nutzer. Für die Onlinedurchsuchung hat das Bundesverfassungsgericht hohe rechtliche Hürden festgelegt. Die Entscheidung war sogar die Geburt des neuen, sogenannten „IT-Grundrechts”, das Computersysteme vor verdeckten staatlichen Eingriffen schützt. Die technisch ähnliche „Quellen-TKÜ” – sie zielt vor allem auf verschlüsselte Gespräche übers Internet – ist kaum weniger umstritten.

(2) Daten bei der Übertragung

Sind Daten noch unterwegs in „die Cloud” – also die jeweiligen Rechenzentrem – scheinen Ermittler im Moment oft im Dunkeln zu tappen. Durch zunehmende Verschlüsselung bei internetbasierten Diensten sind Daten nicht mehr ohne Weiteres einsehbar, während Gespräche übers klassische Telefonnetz vergleichsweise einfach abhörbar waren. Im Bereich der Telekommunikationsdienste sind solche Abhör-Möglichkeiten schon lange normiert. Die Normen für die sogenannte lawful interception (erlaubte Überwachung) regeln technisch, wie Behörden die Dienste abhören können. Ohne die entsprechenden Schnittstellen dürfen die Dienste auch gar nicht angeboten werden. Wann sie rechtlich eingesetzt werden dürfen, regelt vor allem die Strafprozessordnung und das sogenannte Artikel-10-Gesetz.

Für Clouddienste wird an einheitlichen technischen Standards noch gearbeitet. So erforschen mehrere Arbeitsgruppen beim Europäischen Institut für Telekommunikationsnormen (ETSI), wie sich die Abhör- und Überwachungsmöglichkeiten staatlicher Stellen bei Clouddiensten normieren lassen. Der Journalist Erich Möchl macht in einem entsprechenden Entwurf zwei Ansatzpunkte dafür aus: Neben den Cloudanbietern sollen auch Internet-Zugangsanbieter verschlüsselte Datenverbindungen auf Verlangen wieder „aufbohren” müssen.

Solche verschlüsselte Verbindungen kennt man im Alltag zum Beispiel vom Homebanking oder von Facebook (es heißt dann „HTTPS” im Browser). Um sie zu umgehen, müssten allerdings Sicherheitszertifikate, mit denen sich die Übertragungsrechner ausweisen, gefälscht werden. Technisch gesprochen handelt es sich dabei um eine sogenannte „Man-in-the-middle”-Attacke. Was von den Entwürfen umgesetzt wird, ist derzeit noch offen.

In Deutschland arbeitet darüber hinaus das „Strategie- und Forschungszentrum Telekommunikation“ an einem Forschungsprojekt „Cloud“. Es untersucht „Fragestellungen zu Cloud-Computing und dessen Implikationen auf die Telekommunikationsüberwachung“ und soll dazu eine Studie erstellen. Beteiligt sind das Bundeskriminalamt, die Bundespolizei und der Verfassungsschutz.

(3) Daten beim Cloud-Anbieter

Die Anbieter von Clouddiensten sind wahrscheinlich der wichtigste Ansatzpunkt für Datenerhebungen. Der Internetrechts-Professor Peter Swire sieht hier sogar einen Paradigmenwechsel: An die Stelle des Abhörens in Echtzeit trete für Strafverfolgungsbehörden immer mehr der Zugriff auf die bei Cloudanbietern gespeicherten Daten.

Soweit es dabei um Kommunikationsinhalte geht, lässt sich die Situation bei Clouddiensten mit E-Mail-Anbietern vergleichen. Hier haben die rechtlichen Grundlagen dafür bereits das Bundesverfassungsgericht beschäftigt. Demnach greifen solche Erhebungen zwar in das Fernmeldegeheimnis ein, können aber nach den Regelungen zur Beweissicherung erlaubt sein. In der Regel muss der Nutzer allerdings vorab über eine solche Erhebung informiert werden, der Diensteanbieter immer. Daten darüber, wer wann welche Dienste verwendet hat – sogenannte Nutzungsdaten – können leichter herausgegeben werden, weil der Eingriff in Grundrechte hier geringer ist. Allerdings müssen Diensteanbieter sie auch nicht speichern, wenn sie sie selbst nicht benötigen.

Für Behörden sind außerdem die sogenannten „Bestandsdaten“ interessant, die sie nach dem Telekommunikationsgesetz von den Diensten abfragen dürfen. Das sind Daten, die die Anbieter erheben, um mit ihren Kunden Verträge schließen zu können – zum Beispiel Name und Anschrift. Nach einer jetzt beschlossenen Neuregelung wurden die Hürden dafür abgesenkt. Zugleich wurde der Anwendungsbereich im Internet erweitert: Auch Zugangsdaten und Passwörter für Clouddienste sollen nun davon betroffen sein. Nach Belieben in der Cloud schnüffeln dürfen die Behörden deshalb allerdings noch nicht. Nach dem von Rechtswissenschaftlern so genannten Doppeltür-Modell ist eine weitere rechtliche Grundlage nötig, damit die Behörden die von den Diensten zu übermittelnden Daten auch tatsächlich nutzen dürfen.

In der Praxis ist der Zugriff auf die Daten von Nutzern kompliziert, vor allem weil die meisten von privaten Nutzern verwendeten Clouddienste nicht in Deutschland sitzen. Neben der erwähnten Cybercrime-Konvention des Europarats mit 47 Unterzeichnern sind es vor allem gegenseitige Rechtshilfeabkommen, die die grenzüberschreitende Rechtsdurchsetzung regeln. Diese gelten in der Praxis allerdings als schwerfällig, so dass Ermittlungsbehörden wohl häufig auch informelle Formen der Kooperation suchen.

Ein prominentes – und von vielen kritisiertes – Beispiel für solche informelle Kooperation ist aus der Geschichte der Plattform Wikileaks bekannt. Nach der Veröffentlichung der sogenannten Diplomatendepeschen soll der Anbieter Amazon den Cloud-Webspeicher für Wikileaks auf politischen Druck hin abgeschaltet haben, was Amazon allerdings bestritten hat.

Fazit

Bei der Strafverfolgung in der Cloud sind derzeit noch mehr Fragen ungeklärt als geklärt. Wann und wo welches Recht gilt, ist bei den grenzüberschreitenden Diensten nicht leicht zu bestimmen. Etwas mehr Klarheit dürfte die EU-Datenschutzreform bringen, die auch eine neue Richtlinie für Polizei und Justiz enthält. Behörden wollen neue Zugriffsmöglichkeiten auf Daten; dem stehen die Bedenken von Datenschützern und Bürgerrechtlern gegenüber. So oder so dürften Cloud-Anbieter für die Strafverfolgung zunehmend wichtiger werden, versammeln sie doch immer mehr Daten. Andere Wege – Überwachung beim Nutzer, „Knacken” der Übertragung – erweisen sich zumindest im Moment noch als schwieriger, da sowohl die technischen als auch die rechtlichen Hürden hier höher sind.

October 23 2012

Wie Facebook mit den Ermittlungsbehörden zusammenarbeitet

Wer https://www.facebook.com/records aufruft, gelangt auf eine Seite mit dem Titel “Law Enforcement Online Requests”. Dort kann man als Polizeibehörde eine Abfrage der von Facebook gespeicherten Bestands- und Verkehrsdaten beantragen. Wenn man dort eine E-Mail-Adresse die zu einer deutschen Polizeibehörde gehört, eingibt – z.B. …@polizei.hessen.de – dann erhält man eine automatische Antwortmail mit einem Tokenlink. Wenn man diesen Link aktiviert, gelangt man anschließend auf ein internes Portal von Facebook für die Abfrage von Bestands- und Nutzungsdaten. Es gibt dort eine Suchfunktion namens “Record Request” in der u.a. Angaben zur anfragenden Stelle und zum Tatvorwurf gemacht werden müssen, sowie dazu, aus welchem Zeitraum man Daten benötigt.

Im Anschluss erhält die anfragende Stelle von Facebook eine Eingangsbestätigung und eine Fallnummer. Über das Portal lässt sich der Status der Anfrage bis zur Beantwortung durch Facebook nachverfolgen. Das Prozedere ist u.a. in einem Infoblatt des hessischen LKA – das mir vorliegt – detailiert beschrieben.

Daneben hat Facebook für Polizei- und Strafverfolgungsbehörden ein Formular zum Anfordern von Daten eines Facebook-Profils sowie ein gesondertes Formular zur Offenlegung von Daten in Notfällen entwickelt. Die Details sind in den “Facebook-Richtlinien für Strafverfolgungsbehörden” erläutert, einem Dokument, das Facebook als vertraulich und rechtlich geschützt bezeichnet.

Wie großzügig oder restriktiv Facebook mit diesen Tools umgeht und inwieweit hier Unterschiede nach der Art der anfragenden (nationalen) Behörden gemacht werden, ist mir leider nicht bekannt. Facebook kooperiert jedenfalls äußerst eng mit den Sicherheits- und Strafverfolgungsbehörden. Wenn man außerdem berücksichtigt, dass Facebook möglicherweise auch die Chatkommunikation seiner Nutzer belauscht und aufzeichnet, dürfte sich hier für Ermittler ein interessanter Datenpool auftun.

April 20 2011

02mydafsoup-01

When the Deepwater Horizon disaster killed 11 men at sea last April and set off the worst oil spill in U.S. history, the tragedy exposed a number of weaknesses—not least of which were decades-old laws that limited the liability of major players.

The Oil Pollution Act capped the amount BP owed in damages for the spill at $75 million—a legal limit that, under public pressure, BP ultimately volunteered not to invoke.

BP and its contractors also were shielded by maritime laws that limited how much victims’ families could win by filing lawsuits. Because the deaths took place offshore, the companies could only be sued for future wages, minus taxes and expected living costs, and not for pain and suffering or other punitive damages commonly recoverable in fatal onshore accidents.

Transocean, the owner of the sunken rig, also has invoked a 160-year-old maritime law to limit its liability to about $27 million—the value of the rig—in personal injury and wrongful death cases. Whether that holds up in court remains to be seen.

A Year After Gulf Tragedy, Offshore Oil Companies Still Shielded by Liability Limits - ProPublica
Reposted fromSigalon02 Sigalon02
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl