Blogs

Cybercrime Convention: Wie die EU-Kommission den EuGH umgehen will

netzpolitik.org - 18 November, 2022 - 06:30

Zwischen der EU-Kommission und dem Innen- und Justizausschuss des Europäischen Parlaments gibt es Streit über eine Ausweitung der Cybercrime Convention. Datenschutz versus Kriminalitätsbekämpfung – was innerhalb der Union Vorrang hat, muss nun das EU-Parlament entscheiden. Der Ausgang ist derzeit offen.

EU-Parlamentspräsidentin Roberta Metsola wird entscheiden: soll das EU-Parlament darüber abstimmen, ob der EuGH den geplanten Zusatzartikel prüft – oder nicht? – IMAGO / NurPhoto

Die EU-Kommission möchte das EU-Parlament davon abhalten, dem Europäischen Gerichtshof eine geplante Ausweitung der Cybercrime Convention zur Prüfung vorzulegen. Die Cybercrime Convention, auch als Budapester Abkommen zur Cyberkriminalität bekannt, erleichtert die Zusammenarbeit der Staaten des Europarates bei der Bekämpfung von Straftaten im Internet. Weil im Europarat auch autoritäre Staaten wie Aserbaidschan vertreten sind, fordern EU-Abgeordnete eine gerichtliche Überprüfung des geplanten Abkommens.

Der Europarat ist kein institutionelles Organ der EU, sondern eine europäische internationale Organisation. Er ist leicht zu verwechseln mit Europäischen Rat oder dem Rat der EU, die jedoch beide die Regierungen der EU-Mitgliedsstaaten repräsentieren. Der Europarat versammelt – mit Ausnahme von Russland, Belarus und dem Kosovo – zahlreiche europäische Staaten und kann selbst keine Gesetze erlassen. Um in der EU Gültigkeit zu erhalten, muss der Zusatzartikel zur Cybercrime Convention daher den üblichen Gesetzgebungsprozess auf EU-Ebene durchlaufen.

Das vom Europarat entwickelte Abkommen wurde 2001 beschlossen und 2006 schon einmal erweitert. Damals wurde es um das erste Zusatzprotokoll erweitert, das die unterzeichnenden Staaten zur Bekämpfung von rassistischem und fremdenfeindlichen Inhalten verpflichtet.

Der Innen- und Justizausschuss des EU-Parlaments (LIBE) hat Zweifel daran geäußert, dass das nun geplante zweite Zusatzprotokoll vereinbar mit geltendem EU-Recht ist. Denn die Vertragsparteien des Budapester Übereinkommens gehören nicht alle der EU bzw. dem Europarat an. Auch Staaten, die in keiner der beiden Institutionen vertreten sind, können sich dem Budapester Übereinkommen anschließen. Außerdem sind im Europarat auch autoritäre Staaten wie Aserbaidschan vertreten.

Zudem haben nicht alle Mitglieder des Europarats das „Übereinkommen zum Schutz von Individuen bei der automatischen Verarbeitung personenbezogener Daten“ unterzeichnet. Daher könnten durch das Zusatzprotokoll auch jene Länder Zugriff auf Daten von EU-Bürger:innen erhalten, die den Konsens der EU in Bezug auf Datenschutz und Persönlichkeitsrechte nicht teilen.

Staaten, in denen die Service-Provider stehen, auf denen die Daten gespeichert sind, könnten deren Abruf zwar verhindern, dies würde jedoch freiwillig erfolgen. Somit könnte das zweite Zusatzprotokoll unter anderem gegen Artikel 8 der Grundrechtecharta verstoßen, der den Schutz personenbezogener Daten vorsieht.

Gesetzesvorhaben auf Eis

Wie es nun weitergeht, ist offen. Üblicherweise wäre es nun an dem EU-Parlament, direkt über das Zusatzprotokoll abzustimmen. Allerdings hat LIBE Einwände gegen dieses Verfahren. Der Ausschuss will das Zusatzprotokoll stattdessen vorab dem EuGH zur Prüfung vorlegen. Den Weg dahin muss jedoch das EU-Parlament ebnen. In diesem Sinne hatte sich der Justizausschuss in einem Brief an die Präsidentin des EU-Parlaments Roberta Metsola gewandt und gefordert, dass das Parlament über eine gerichtliche Vorabprüfung durch den EuGH entscheidet – in der Hoffnung, dass es dieser zustimmt.

Ebendies will die EU-Kommission allerdings verhindern. Sie ist an einer schnellen Verabschiedung des Zusatzprotokolls interessiert – ungeachtet der Tatsache, dass damit Länder wie Aserbaidschan Zugriff auf Daten europäischer Bürger:innen erhalten könnten. EU-Innenkommissarin Ylva Johansson legte der Parlamentspräsidentin in einem Brief nahe, diese Abstimmung zu verhindern. Der Grund: Auch auf Ebene der Vereinten Nationen gebe es derzeit Verhandlungen zu einem vergleichbaren Abkommen, die Russland und China für ihre eigenen Interessen nutzen wollen. „Eine solche verzögerte Ratifizierung durch die EU-Mitgliedstaaten“, so die Kommissarin in dem Brief, „würde auch die Position der EU bei den UN-Verhandlungen über ein neues internationales Übereinkommen zur Bekämpfung der Cyberkriminalität untergraben, bei denen Russland und China einen Ansatz vertreten, der nicht mit den Errungenschaften des Übereinkommens des Europarats und seiner Protokolle übereinstimmt.“ Deshalb brauche es eine gemeinsame europäische Linie.

Eine solche Vorabprüfung komme nur selten vor, kommentiert Patrick Breyer, Piraten-Abgeordneter der Grünen-Fraktion, den Vorgang. Sie würde voraussichtlich ein bis zwei Jahre andauern, so Breyer gegenüber netzpolitik.org. Für diesen Zeitraum läge das zweite Zusatzprotokoll also auf Eis, denn das EU-Parlament kann erst nach abgeschlossener Prüfung entscheiden, ob es den Gesetzesvorschlag annimmt.

Moritz Körner, FDP-Abgeordneter im Europaparlament und Mitglied des LIBE, ist überzeugt, dass der EuGH das Zusatzprotokoll in seiner jetzigen Form wahrscheinlich kippen werde. Er sagt gegenüber netzpolitik.org: „Nach den peinlichen rechtlichen Fiaskos, die die EU-Kommission bei der Vorratsdatenspeicherungsrichtlinie, PNR und dem Privacy Shield erlitten hat, hat der Innenausschuss des Europäischen Parlaments kein Vertrauen mehr, dass die EU-Kommission den Schutz der Grundrechte bei internationalen Abkommen ernst nimmt.“ Die EU-Kommission habe mit ihren über Jahre getätigten politischen Entscheidungen bezüglich des Datenaustausches ihre rechtliche Glaubwürdigkeit verspielt, so Körner weiter.

Würde der EuGH das Zusatzprotokoll für unvereinbar mit dem europäischen Recht erklären, würde der Vetrag damit das gleiche Schicksal erleiden wie zuvor schon das Datenaustauschabkommen „Privacy Shield“ mit den USA, das der EuGH 2020 kippte.

Diese Sorge hat Kommissarin Johansson laut ihres Briefes offenkundig nicht: Sowohl die juristischen Dienste des EU-Parlaments als auch der Kommission hätten das Zusatzprotokoll bereits geprüft und für vereinbar mit dem europäischen Recht befunden, ebenso wie der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte.

Es bleibt nun abzuwarten, wie Parlamentspräsidentin Metsola entscheiden wird. Und ob das Parlament, falls sie nicht über die Vorabprüfung abstimmen lässt, dem Zusatzprotokoll zustimmt – und damit über die Bedenken des Justizausschusses hinweggeht.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

Neues EU-Kontrollsystem: Wartezeiten an deutschen Grenzen könnten sich verdreifachen

netzpolitik.org - 17 November, 2022 - 16:42

In einem halben Jahr müssen Reisende aus Drittstaaten Reisepass, Fingerabdrücke und Gesichtsbilder automatisch auslesen lassen. Wegen der zeitaufwändigen Prozedur hofft die Bundespolizei auf die rechtzeitige Lieferung von Automaten zur Selbstbedienung und erwägt einen Hilferuf an Frontex.

Auch das teilautomatisierte EasyPASS-System wird in das EES integriert. – Bundespolizei

Ende Mai 2023 nimmt die Europäische Union eine neue biometrische Datenbank in Betrieb. Alle Reisenden in die EU müssen dann im Rahmen des Ein-/Ausreisesystems (EES) vier Fingerabdrücke und ihr Gesichtsbild abgeben sowie ihren Pass automatisch einlesen lassen. Davon betroffen sind Bürger:innen jener Staaten, die von der Visafreiheit für Kurzaufenthalte im Schengen-Gebiet profitieren. Dabei macht es keinen Unterschied, aus welchem Grund die Reise angetreten wird.

Mit dem EES wollen die EU-Mitgliedstaaten sogenannte „Overstayer“ ermitteln. Damit sind Personen gemeint, die ihre Kurzaufenthalte von höchstens 90 Tagen überziehen und nicht im vorgeschriebenen Zeitraum wieder ausreisen. Mit dem neuen System entfällt auch das manuelle Stempeln von Reisedokumenten. Im EES erfolgt die Registrierung nur noch elektronisch.

Erstmalige Erfassung „zeitaufwändig“

Wegen der verpflichtenden Abgabe der biometrischen Daten erhöht sich die Zeit für jede einzelne Grenzkontrolle deutlich. Für die Bundespolizei wird beispielsweise mit einer Verdreifachung gerechnet, schreibt das Bundesinnenministerium auf Anfrage von netzpolitik.org. Zwar geht das Ministerium nur von einer Erhöhung der Kontrollzeit um rund 40 Prozent aus. Simulationen mit der Luftverkehrsindustrie hätten jedoch in manchen Konstellationen eine Erhöhung bis zum Faktor drei errechnet.

Bislang sind öffentlich keine Szenarien bekannt, wann sich die Wartezeiten wieder normalisieren könnten. Vielreisende müssen jedoch nicht bei jedem Grenzübertritt mit der langen Prozedur rechnen. Einmal registriert, sind die Daten für drei Jahre im System gespeichert. Eine „Neuanmeldung“ innerhalb dieses Zeitraums ist also für diesen Personenkreis nicht mehr notwendig, schreibt der Flughafenverband ADV auf Anfrage.

Eine Prognose zu den erwarteten Verzögerungen für alle übrigen Reisenden wollte die Sprecherin des ADV nicht abgeben. Die erstmalige Erfassung der Daten sei aber „zeitaufwändig“, heißt es dort. Um die langen Wartezeiten und -schlangen zu kontern, arbeiteten die internationalen Flughäfen laut dem Verband eng mit der Bundespolizei und dem Bundesinnenministerium zusammen.

Lieferung von „Selbstbedienungsautomaten“ unbestimmt

„Eine Normalisierung sollte nach einer kurzen Übergangsphase eintreten, sobald die eingeleiteten Maßnahmen ihre Wirkung entfalten und die betroffenen Reisenden mit den Veränderungen der Grenzkontrolle vertraut sind“, gibt sich das Innenministerium zuversichtlich. Mit „Kommunikationsmaßnahmen“ soll die Bundespolizei auf die erhöhten Wartezeiten und möglichen Gegenmaßnahmen aufmerksam machen.

Um Zeit zu sparen, sollen die Reisenden die Abnahme ihrer Daten möglichst selbst erledigen. Die Bundespolizei stellt dazu insgesamt 500 „Selbstbedienungsautomaten“ auf. Ihre Anzahl geht auf eine Bedarfsmeldung der Flughäfen zurück. Welche Firmen den Zuschlag erhielten, erläutert das Ministerium nicht. Bis Ende 2022 sollen zunächst 120 Systeme an zwei großen deutschen Flughäfen installiert werden.

Zu welchem Zeitpunkt all diese Automaten verfügbar sind, bleibt unklar. Die Inbetriebnahme hänge „von der Lieferfähigkeit des Auftragnehmers“ ab, so das Ministerium vage. Auf diesem Markt gibt es allerdings größere Schwierigkeiten. Wegen des globalen „Mangel an Chips“ hatte sich der einst für Ende September 2022 geplante Start des EES bereits um mehrere Monate verzögert.

EasyPASS wird aufgemöbelt

Zusätzlich zu den neuen „ Selbstbedienungsautomaten“ soll das bereits bestehende Grenzkontrollsystem EasyPASS weiterentwickelt werden. Bislang handelt es sich dabei nur um teilautomatisierte Kioske für Personen mit einer EU-Staatsangehörigkeit. Die Bundespolizei will diesen Nutzerkreis um Drittstaatsangehörige mit deutschem Aufenthaltstitel erweitern.

Über ein „Registrierte Reisende Programm“ (EasyPASS RTP) kann das deutsche EasyPASS-System auch vollautomatisiert genutzt werden, wenn Reisende aus einem Nicht-EU-Land kommen. Voraussetzung ist, dass der Staat elektronische Reisepässe ausstellt und mit der Bundesregierung eine „Gegenseitigkeitserklärung“ zur Nutzung automatisierter Grenzkontrollverfahren abgeschlossen hat.

Für die Installation von EasyPASS-Spuren sowie „umfangreiche Erneuerungen von Hard- und Softwarekomponenten“ erhielt die Bundespolizei EU-Finanzhilfen in Höhe von knapp 16 Millionen Euro aus dem Fonds für Innere Sicherheit.

„Registrierungsapps“ für Abgabe von Personendaten

Wartezeiten könnten außerdem mit Hilfe von „Registrierungsapps“ oder einer „digitalen Web-Anwendung“ abgebaut werden, schreibt das Innenministerium. Damit sollen auch „Sprachbarrieren“ bei der manuellen Grenzkontrolle der Vergangenheit angehören. Die EU-Kommission hatte dazu angekündigt, dass Reisende ihre Fingerabdrücke und Gesichtsbilder auf dem Handy einlesen und vor dem Grenzübertritt an die Behörden des Ziellandes übermitteln können. Bislang wurde eine solche App zur „Vorverlagerung der Erfassung von Daten“ aber noch nicht veröffentlicht.

Mit besonders erhöhten Wartezeiten rechnet das deutsche Innenministerium „für die Peak-Zeiten“. Gemeint sind vermutlich Wochenenden. Im Juni, kurz nach Inbetriebnahme des EES, beginnen in einigen EU-Staaten außerdem die Sommerferien. Reiseanbieter sind von dem Termin deshalb wenig begeistert. Einige EU-Mitgliedstaaten wollen deshalb Frontex zur Entsendung von EU-Beamt:innen ersuchen.

Ob auch das Bundesinnenministerium die Grenzagentur um Hilfe bitten will, bleibt offen. In seiner Antwort an netzpolitik.org heißt es ausweichend, der Ausbau der Grenzkontrollinfrastruktur gehe „mit einer Personalbedarfserhebung und der bedarfsgerechten Anpassung personeller Ressourcen“ einher. Ein EU-Dokument, das die britische Bürgerrechtsorganisation Statewatch veröffentlicht hat, wird deutlicher. „Es wird erwogen, Frontex um die Entsendung von Mitgliedern der Ständigen Reserve an den größten deutschen Flughäfen zu bitten“, heißt es dort zu Deutschland.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

We fight for your digital rights!: „Für manche Leute ist das lebensbedrohlich.“

netzpolitik.org - 17 November, 2022 - 08:03

„Alles, was Sie je gesagt haben, kann und wird in der Zukunft gegen sie verwendet werden.“ Was klingt wie Dystopie, ist längst real. Andre Meister, Redakteur bei netzpolitik.org, geht seit mehr als zehn Jahren den Spuren nach, denen niemand folgen soll – zu Messen, technischen Artefakten und geheimen Verträgen. Währenddessen spielt irgendwo auf der Welt Alexa den größten Hit von „The Police“.

Kommt mit uns in den Maschinenraum von netzpolitik.org: In sechs Videos und persönlichen Einblicken zeigen wir euch, mit welchen Prinzipien und mit welchen Mitteln unsere Redaktion arbeitet. – CC-BY-NC-SA 4.0 – Foto: Darja Preuss, Bearbeitung: netzpolitik.org – owieole

Wenn ich es zynisch sage: Wir leben in einer Welt, in der es niemanden mehr juckt, dass wir alle überwacht werden. Ich erinnere an Edward Snowden 2013. Das ist jetzt neun Jahre her, da haben wir das schwarz auf weiß bekommen: Die Geheimdienste überwachen alle auf der ganzen Welt. Sämtliche technische Kommunikation. Aber heutzutage interessiert das die Leute nicht mehr großartig. Es gibt keine Demos, keine Aufreger.

Aber die Arbeit muss gemacht werden, und sie ist wichtig. Wir kämpfen ja nicht nur Kämpfe, die aussichtsreich sind. Doch wenn wir nicht kämpfen würden, dann sähe es noch viel schlimmer aus.

Überall Bettwanzen

Heute geht es bei Weitem nicht mehr nur um Smartphones. Jeder Computer – und Computer sind überall – kann gehackt werden, wird von Kriminellen gehackt, wird von Geheimdiensten gehackt. Wir reden auch von ganzen Servern. Wir reden von Internetroutern, wir reden von Autos, von Internet of Things, von Smart-TVs. Alles, was einen kleinen Computerchip enthält und bestenfalls auch noch ans Internet angeschlossen ist, kann gehackt werden.

Und was man dann nach dem Eindringen machen kann, ist auch nicht nur Überwachung, ist auch nicht nur Spionieren, sondern man kann es auch sabotieren. Man kann es herunterfahren, man kann gefälschte Beweise drauf platzieren.

Geräte sind heutzutage mehr als irgendein Laptop vor zehn Jahren. So ein Smartphone weiß mehr über uns, als wir das manchmal selber wissen. Das enthält nicht nur all die Dinge, die im Detail darauf gespeichert sind, sondern auch die Kameras und Mikrofone und alle die anderen Sensoren, auf die das Gerät Zugriff hat. Die ganzen Accounts, wo das Smartphone eingeloggt ist – das weiß, wo wir schlafen, das weiß, bei wem wir schlafen und mit wem wir schon mal geschlafen haben. Auch wenn wir das vielleicht selbst nicht mehr so genau wissen.

Wir haben uns in den 80er- und 90er-Jahren in diesem Land über die akustische Wohnraumüberwachung, über Mikrofone im Schlafzimmer gestritten. Heutzutage hat jeder ein Mikrofon im Schlafzimmer – und lädt es über Nacht auf. Das ist einfach ein komplett neues Einfallstor für Überwachung. Es gibt Sicherheitslücken in Smartphones, die Apple und Google nicht gemeldet werden. Und Milliarden iPhones und Androids auf der Welt haben diese Lücke. Jeder kann mit diesen Lücken gehackt werden.

https://netzpolitik.org/wp-upload/2022/11/Andre_Meister.mp4

Die Welt sicherer machen

Es werden so viele Weichen gestellt, die enorm wichtig sind für die Zukunft. Unsere Welt wird immer digitaler und technischer. Und wir besitzen immer weitere Computer und die uns den ganzen Tag umgeben.

Der Umgang damit ist elementar für so viele Menschen auf der ganzen Welt. Gerade staatliche Befugnisse sollten daher beschränkt sein auf das, was sinnvoll, notwendig, angemessen, verhältnismäßig ist. Wir haben ja gerade bei dem Thema Staatstrojaner gesehen, wie viel Missbrauch, wie viel Schaden, wie viel Überwachung von Journalist:innen, Aktivist:innen, Politiker:innen, Menschenrechtsverteidiger:innen weltweit passiert. Das bedeutet eine immense Gefahr für Menschenrechte, für Freiheitsrechte, für die Demokratie – bei manchen Leuten sogar für ihr Leben.

Deutschland ist ein Rechtsstaat und es gibt ein Grundrecht auf Gewährleistung der Integrität von IT-Systemen. Das muss der Staat gewährleisten. Die Dinge können sich auch politisch verändern: Nur weil sich heute niemand für einen interessiert, heißt das nicht, dass das morgen auch noch so ist. Wer weiß denn, ob Leute, die heute fürs Klima kleben, in drei Jahren nicht bereits als Terrorist:innen gelten? Gegen die wird dann vielleicht das ganz große Besteck von Polizei und Geheimdiensten rausgeholt.

Wer sagt mir denn, dass der polnische Geheimdienst, der ungarische Geheimdienst, die italienische Polizei oder sonst irgendjemand aus einem anderen Land mich nicht auf dem Schirm hat, wenn ich etwas Kritisches darüber schreibe, vielleicht einen kritischen Zeitungsartikel retweete oder ich einfach nur jemanden dort kenne? Ich möchte meinen Teil dazu beitragen, die Welt ein bisschen sicherer und besser zu machen. So pathetisch das klingt, aber dafür ist netzpolitik.org ja auch da.

Wir überwachen die Überwacher WE FIGHT FOR YOUR DIGITAL RIGHTS Jetzt Spenden Mehr erfahren Was technisch möglich ist, ist gar nicht so geheim.

Eine Frage bei Überwachungstechnologie ist: Wer kauft was? Das sieht man ja nicht. Nicht direkt. In welchem Tool steckt was drin? Wer hat genug Ressourcen? Wer hat welche Lizenz?

Es gibt auch berüchtigte internationale Messen, wo diese Unternehmen ihre Produkte ausstellen und bewerben. Polizei, Geheimdienste, Militärs aus der ganzen Welt, die Überwachungstechnologie brauchen oder wollen, gucken sich dort um, was es so gibt, schütteln Hände, nehmen Visitenkarten mit und Broschüren, in denen steht, was die Produkte alles so Tolles leisten, lassen sich das dann vorführen und kaufen das dann irgendwann auch. Wir dürfen leider nicht auf diese Messen. Es waren mal Journalist:innen drin, aber irgendwann sind sehr viele Werbebroschüren von denen auf Wikileaks gelandet und seitdem dürfen keine Journalist:innen mehr rein.

Ganz am Anfang haben die Leute von FinFisher auch noch mit uns geredet. Am Anfang hat auch NSO noch mit Medien geredet und die haben dann irgendwann einfach nur gesagt: „Es reicht. Presse geht nie gut für uns aus. Wir reden jetzt gar nicht mehr mit euch.“

Es gibt viele Unternehmen in diesem Bereich, die wahrscheinlich nur einer kleinen Fachöffentlichkeit bekannt sind. Und nur sehr wenige dieser Unternehmen machen aktive Pressearbeit. Der Markt wandelt sich gerade rasant, was auch damit dazu zu tun hat, dass die drei großen Firmen der vergangenen zehn Jahre – Hacking Team, FinFisher und NSO – gerade entweder schon tot sind oder im Sterben liegen. Aber es ist eine Hydra, ein Unternehmen ist tot und fünf neue tauchen auf.

Inhalt von spenden.twingle.de anzeigen

Hier klicken, um den Inhalt von spenden.twingle.de anzuzeigen

Inhalt von spenden.twingle.de immer anzeigen

Inhalt direkt öffnen

var _oembed_966484020600362eff38b3d80a9f0446 = '{\"embed\":\"<iframe style="width: 100%; border: none; overflow: hidden; height: 450px; position: relative; z-index: 2;" src="https:\\/\\/spenden.twingle.de\\/netzpolitik-org-e-v\\/wefight\\/tw636cd5863913b\\/widget"><\\/iframe>\"}';

Wir stehen auf den Schultern von Giganten

Um Schadsoftware und die dazugehörenden Unternehmen ausfindig zu machen, gibt es zum Glück eine kleine, internationale Community von Menschenrechtsaktivist:innen, Akademiker:innen, NGOs – Citizen Lab und Amnesty International sind da die ganz Großen. Aber auch IT-Sicherheitsfirmen sind darunter, die jegliche Schadsoftware analysieren und beobachten, die dann auch staatliche Schadsoftware untersuchen. Die stellen mit Hilfe technischer Analysen fest, dass jemand zum Beispiel mit Schadsoftware gehackt und überwacht wurde. Die Analysen helfen dann auch dabei festzustellen, dass die Überwachung mit diesem oder jenem Produkt von diesem oder jenem Unternehmen erfolgte. Das ist eine sehr komplexe, aufwändige Arbeit.

Wer ist denn dieses Unternehmen, wo sitzen die? Was arbeiten da für Leute? Wie funktioniert das? Wer könnte deren Kunden sein? In welchem rechtlichen Rahmen? Halten die alle Gesetze ein? Sind diese Gesetze ausreichend oder müssen die angepasst werden? Und eben deshalb setzen wir uns ja nicht nur mit den konkreten Tools und den einzelnen Unternehmen, sondern auch mit der Gesetzgebung auseinander.

Wenn aus Klagen Klagen werden

Dann haben wir in zurückliegenden Fällen – etwa bei FinFisher – nachgebohrt. Durften die das damals überhaupt exportieren? Wir fragten Abgeordnete. Ach, es gab überhaupt keine Exportgenehmigungen. Dann haben wir gedacht: Na, wenn es das nicht gab und das trotzdem in diesem Land gelandet ist, dann müsste das ja illegal sein. Haben mit Anwälten gesprochen von ECCHR, Gesellschaft für Freiheitsrechte und Reporter ohne Grenzen und haben uns dann zusammengetan und gesagt: Es sieht so aus, als ob ein Produkt aus Deutschland in der Türkei eingesetzt wurde, obwohl es dafür nicht die erforderlichen Exportgenehmigungen gab. Also haben wir jede Menge Indizien und aus unserer Sicht Beweise zusammengetragen, eine Strafanzeige formuliert und die dann bei der Staatsanwaltschaft in München eingereicht.

Die meisten Strafanzeigen zum Fall FinFisher in Deutschland und in der EU, die ich kenne, sind eingestellt worden oder im Sande verlaufen. Sie sind zumindest nicht erfolgreich gewesen und deswegen waren wir auch nicht allzu zuversichtlich. München ist außerdem ein wichtiger Wirtschaftsstandort, digitales Isar-Valley. Aber die haben unsere Recherchen tatsächlich ernst genommen, haben angefangen zu ermitteln und dann bei FinFisher eine Razzia gemacht. Und jetzt ist das Büro dicht und FinFisher in Deutschland, wie wir es kannten und kennen – die ja auch einen Vertrag mit dem BKA hatten –, gibt es so nicht mehr.

Wir bei netzpolitik.org sind ein Puzzle-Stück im Gefüge und tun unseren Part mit unserem besonderen Ansatz, mit unseren Ressourcen. Ich wüsste jetzt nicht, welches andere Medium das in dieser Form – so langfristig, so beharrlich und so detailliert – machen könnte, wie wir es tun. Schon allein die Idee, dabei mitzumachen, eine Strafanzeige einzureichen. Welches Medium würde so was einfach mal mitmachen?

Wobei das bei uns auch eine lustige Geschichte war. Ich habe damals in der Redaktionskonferenz gefragt: Wollen wir das eigentlich machen? Und so groß war das Echo nicht. Und im Endeffekt haben wir, glaube ich, fast eine Münze geworfen. Mir war es gar nicht so wichtig, dass netzpolitik.org namentlich auf dieser Strafanzeige steht. Wichtig war es mir und uns, dass es überhaupt gemacht wird. Und wir hatten ja schon richtig coole Kooperationspartner:innen mit Reporter ohne Grenzen, der Gesellschaft für Freiheitsrechte, dem ECCHR plus all die anderen drumrum, die Techies, die anderen NGOs, die Opfer, die Betroffenen. Hauptsache, es wird gemacht – und wir tragen unseren Teil dazu bei.

Der Text basiert auf einem Gespräch, das Stefanie Talaska geführt und aufbereitet hat.

Kommt mit uns in den Maschinenraum von netzpolitik.org: In sechs Videos und persönlichen Einblicken zeigen wir euch, mit welchen Prinzipien und mit welchen Mitteln unsere Redaktion arbeitet.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

Rede im Europaparlament: „Staatstrojaner gefährden die nationale und die europäische Sicherheit“

netzpolitik.org - 16 November, 2022 - 12:27

Staatliches Hacken schafft keine Sicherheit, sondern Unsicherheit. Die Europäische Union muss handeln und den Verkauf und Einsatz von Staatstrojanern verbieten. Das habe ich dem Pegasus-Untersuchungsausschuss im Europaparlament gesagt. Wir veröffentlichen das Video und mein Eingangsstatement. Update: Und ein Transkript.

Andre Meister und der Ausschuss-Vorsitzende. – Alle Rechte vorbehalten Pegasus-Untersuchungsausschuss

Seit April tagt im Europaparlament ein Untersuchungsausschuss zum Einsatz von Pegasus und ähnlicher Überwachungs- und Spähsoftware. Am Montag, den 14. November, veranstaltete der Ausschuss eine Anhörung zum Thema des Ausschusses in Deutschland. Ich durfte dort als Sachverständiger sprechen.

Von der Anhörung gibt es eine Video-Aufzeichnung. Hier veröffentlichen wir die übersetzte Version meines Eingangsstatements.

Update: Wir veröffentlichen auch ein inoffizielles Transkript der Sitzung. (Danke, Julien.)

https://netzpolitik.org/wp-upload/2022/11/2022-11-14_PEGA_Germany_Meister.mp4 Eingangsstatement

Sehr geehrte Abgeordnete

Vielen Dank für die Einladung, über staatliches Hacken und sogenannte Spyware in Deutschland zu sprechen.

Ich bin investigativer Journalist und arbeite für das Medium netzpolitik.org in Berlin. Wir recherchieren und berichten seit über einem Jahrzehnt über staatliches Hacken. In meiner Freizeit bin ich auch Mitglied im Chaos Computer Club und Beobachter bei European Digital Rights, aber heute spreche ich nicht in deren Namen.

Ich bin überrascht, dass ich der einzige Experte in der heutigen Anhörung bin. Ich verstehe, dass meine Kolleg:innen aus der Zivilgesellschaft einfach nicht genug Ressourcen hatten. Die Staatsanwaltschaft München war zwar interessiert, darf aber aus rechtlichen Gründen nicht öffentlich über die laufenden Ermittlungen gegen FinFisher sprechen.

Aber dass die Bundesregierung und das Bundeskriminalamt die Einladung dieses Ausschusses abgelehnt haben, ist beschämend. Mit der Weigerung, hier auszusagen, reiht sich Deutschland in die lange Liste der Länder ein, die nicht bereit sind, bei Ihren wichtigen Untersuchungen mitzuarbeiten.

Ich werde zeigen, dass dieses Verhalten symptomatisch ist und dass Deutschland viele der Probleme in den anderen Ländern, die Sie untersuchen, teilt.

Da das heutige Thema sehr umfangreich ist und ich der einzige Experte bin, der erschienen ist, hat mir der Vorsitzende freundlicherweise erlaubt, etwas länger zu sprechen.

In meinem Beitrag werde ich mich auf den Einsatz von Staatstrojanern in Deutschland konzentrieren, da das Kapitel dazu im Entwurf ihres Berichts noch kurz und oberflächlich ist. Ich bin auch gerne bereit, Informationen über deutsche Firmen wie FinFisher und andere zu geben. Aber mit Rücksicht auf die Zeit werde ich das für die Fragen und Antworten aufheben.

Ich werde zunächst die Geschichte des staatlichen Hackens in Deutschland skizzieren und die Fälle, in denen es eingesetzt wird. Dann werde ich den rechtlichen Rahmen und ein spezielles neues Grundrecht in Deutschland erklären. Drittens werde ich die Produkte nennen, die Deutschland gekauft und entwickelt hat. Dann werde ich die Geheimhaltung und mangelnde Rechenschaftspflicht des staatlichen Hackens in Deutschland verdeutlichen. Abschließend werde ich eine lobenswerte Initiative der deutschen Regierung vorstellen, einen wichtigen Aspekt dieses Problems zu regulieren.

Definition: Staatstrojaner statt Spähsoftware

Lassen Sie mich mit einer Bemerkung zur Definition beginnen. Im öffentlichen Diskurs in Deutschland sprechen wir nicht von „Spyware“. Dieser Begriff ist unpräzise und überspezifisch.

Stattdessen sprechen wir von „Staatstrojanern“ oder „staatlichem Hacken“. Das trifft besser, worum es geht: in IT-Systeme einzudringen, heimlich, ohne Wissen des Besitzers, indem man sie hackt, ihre Integrität und Vertraulichkeit bricht und die Kontrolle über sie übernimmt.

Natürlich ist das Hauptziel Überwachung, aber staatliches Hacken wird auch eingesetzt, um IT-Systeme zu sabotieren und zu stören oder um belastende Beweise zu platzieren, wie wir es bei der Polizei in Indien gesehen haben. Der Unterschied besteht, wenn überhaupt, nur in einer Handvoll Zeilen Code.

Außerdem geht es nicht nur um Smartphones, auch wenn diese die meiste Aufmerksamkeit auf sich ziehen. Jedes erdenkliche digitale Gerät kann und wird gehackt werden. Das reicht von Laptops und Armbanduhren über Fernseher und Hausautomatisierung bis hin zu Servern und Routern und natürlich dem Internet der Dinge. Es umfasst sogar Autos und Flugzeuge, die jetzt Computer sind, in die wir unseren Körper stecken, und medizinische Implantate, also Computer, die wir in unseren Körper stecken.

Um all dies zu berücksichtigen, verwende ich den Begriff „Staatliches Hacken“.

Geschichte: 20 Jahre staatliches Hacken

Deutsche staatliche Stellen hacken schon seit mindestens 20 Jahren.

Im Jahr 2005 hackte der Auslandsgeheimdienst BND die afghanische Regierung und las E-Mails zwischen einem afghanischen Minister und einer deutschen Journalistin mit – was illegal ist. Im Jahr 2006 hackte der BND ein Hotel in der Demokratischen Republik Kongo. Dabei las ein deutscher Spion die E-Mails eines deutschen Soldaten, der mit der Ehefrau eines anderen deutschen Agenten flirtete – was ebenfalls illegal ist.

Der Auslandsgeheimdienst hackt nicht, um Verbrechen aufzuklären. Es ist auch nicht seine Aufgabe, Terrorismus zu bekämpfen – das ist Aufgabe der Polizei. Spione hacken meist für klassische Spionage. Die Geheimdienste führen wahrscheinlich die Liste der staatlichen Hacks an. Im Jahr 2009 hatte der BND bereits über 2.500 Geräte gehackt.

Ein weiterer wichtiger staatlicher Hacker ist das Militär. Im Jahr 2015 hackte die Bundeswehr einen afghanischen Mobilfunkbetreiber. Dies beweist, dass es beim Hacken nicht nur um einzelne Ziele geht, sondern auch um ganze Infrastrukturen und Netzwerke.

Leider gibt es nur sehr wenige Informationen über Hacks von Geheimdiensten und Militärs, obwohl diese den Großteil des staatlichen Hackens ausmachen. Die wenigen Fälle, von denen wir wissen, wurden nur dank investigativem Journalismus bekannt, weil es sich in diesen Fällen um illegale Aktivitäten handelte, die zu Aufsichtsmaßnahmen führten.

Fälle: Drogen und Betrug statt Terror und Mord

Der Zoll und die Polizei in Deutschland hacken seit mindestens 2008. Die ersten Ziele, die bekannt wurden, waren Verdächtige, die Anabolika, gefälschtes Viagra und geschmuggelte Zigaretten verkauften. Der letztgenannte Fall war erfolglos, weil der Staatstrojaner unbeabsichtigt die Festplatte des Zielcomputers beschädigte.

Wie Sie sehen, handelt es sich hier nicht um den Terror oder die Schwerstverbrechen, die Befürworter:innen als Rechtfertigung für staatliches Hacken anführen. Und es funktioniert auch nicht problemlos.

Aber das sind bis heute typische Fälle. Im Jahr 2013 wurde die Polizei beauftragt, ihre Forderung nach staatlichem Hacken zu begründen. Sie sammelten eine Liste von fast 300 Ermittlungsverfahren mit schweren Straftaten, bei denen die Polizei behauptete, sie müsse Verdächtige hacken.

Diese Stichprobe ist wissenschaftlich nicht zuverlässig. Die Daten belegen auch weder die Notwendigkeit noch die Verhältnismäßigkeit, da sie nicht berücksichtigen, ob die Ermittlungen auch ohne staatliches Hacken erfolgreich waren oder ob die Verdächtigen unschuldig waren.

Aus der Statistik ging jedoch hervor, wofür die Polizei die Staatstrojaner wirklich einsetzen wollte. Bei über der Hälfte der Fälle handelte es sich um Drogendelikte. Fast ein Viertel waren Eigentumsdelikte, Betrug, Raub und Erpressung.

Im Parlament wurden die Staatstrojaner-Gesetze mit „Bildung einer kriminellen Vereinigung, Straftaten gegen die sexuelle Selbstbestimmung, Kinderpornografie, Mord und Totschlag“ begründet. Die eigenen Daten der Polizei zeigten jedoch null Fälle von Bildung einer kriminellen Vereinigung, null Fälle von Straftaten gegen die sexuelle Selbstbestimmung, null Fälle von Kinderpornografie und null Fälle von Mord und Totschlag.

Diese Zahlen sind vergleichbar mit dem klassischen Abhören von Telefon- oder Internetverbindungen. Und jedes Jahr bestätigen die offiziellen Statistiken, dass sie auch in der Praxis zutreffen.

Im Jahr 2019 durfte die deutsche Polizei 64 Mal hacken und tat dies auch 15 Mal. In mehr als einem Drittel der Fälle ging es um Erpressung, in einem weiteren Drittel um Drogen. Es gab null Fälle von Terror und null Fälle von Mord.

Im Jahr 2020, dem Jahr, für das uns die aktuellsten Zahlen vorliegen, wurden der deutschen Polizei 48 Staatstrojaner-Einsätze bewilligt, von denen 22 tatsächlich durchgeführt wurden. Wiederum waren mehr als ein Drittel der Fälle Drogen, ein weiteres Drittel waren Erpressungen, es gab null Fälle von Mord.

Das zeigt, dass staatliches Hacken von Anfang an öffentlich mit Terror und Mord begründet wird, aber fast nie wegen Terror und Mord eingesetzt wird.

Zivilgesellschaft: Landesverrat und Klima-Proteste

Erlauben Sie mir eine persönliche Geschichte. Im Jahr 2015 hat der Präsident des Bundesverfassungsschutzes persönlich Strafanzeige gegen mich und meine Kollegen erstattet und uns nichts Geringeres als Landesverrat vorgeworfen, weil wir unseren Job gemacht haben: wahrheitsgemäße Informationen im öffentlichen Interesse zu berichten über die Internet-Überwachung seiner Behörde.

Die strafrechtlichen Ermittlungen wurden später eingestellt, aber die extremen Anschuldigungen gaben der Polizei das gesamte Arsenal an Überwachungsmöglichkeiten – zu denen zwei Jahre später auch staatliches Hacken gehören sollte.

Das vorliegende Thema ist für mich also mehr als nur theoretisch. Deshalb möchte ich diese Gelegenheit nutzen und meine Solidarität mit allen Journalist:innen und Menschenrechtsverteidiger:innen auf der ganzen Welt zum Ausdruck bringen, die von staatlichem Hacken ins Visier genommen wurden, um sie einzuschüchtern, zu unterdrücken und zum Schweigen zu bringen. Kämpft weiter.

Die Fälle, die wir kennen, liegen alle in der Vergangenheit, aber wir müssen an die Zukunft denken.

In Deutschland spioniert der Verfassungsschutz antifaschistische Menschenrechtsverteidiger und Klimaaktivist:innen aus. In diesem Moment sitzen in Deutschland zwölf Klimaaktivist:innen im Gefängnis, ohne dass sie wegen eines Verbrechens verurteilt oder auch nur angeklagt wurden. Die Polizei hat sie einen ganzen Monat lang in so genannten „Präventivgewahrsam“ genommen, um sie davon abzuhalten, auf der Straße zu protestieren.

In diesem politischen Klima braucht man nicht viel Fantasie, um sich vorzustellen, dass auch in Deutschland Journalist:innen, Menschenrechtsverteidiger:innen und Aktivist:innen früher oder später zur Zielscheibe staatlicher Hackerangriffe werden.

Es ist Ihre Aufgabe, zu handeln und dies zu verhindern.

Gesetz: Immer wieder Ausweitung

Werfen wir einen Blick auf den rechtlichen Rahmen in Deutschland. Das erste Bundesgesetz, das der Polizei ausdrücklich Staatstrojaner erlaubt, war das Bundeskriminalamtgesetz 2008. Es beschränkte das staatliche Hacken auf das Bundeskriminalamt, auf den internationalen Terrorismus und die Verhinderung von Terroranschlägen.

Seitdem haben Landes- und Bundesgesetze den Anwendungsbereich und die Nutzung von staatlichem Hacken kontinuierlich erweitert. Seit 2017 erlaubt die Strafprozessordnung staatliches Hacken für alle Strafverfolgungsbehörden und für eine lange Liste von 42 Straftaten, darunter Steuerhinterziehung, die Verleitung zur missbräuchlichen Asylantragstellung – und natürlich Drogendelikte.

Letztes Jahr hat ein neues Gesetz das staatliche Hacken für alle 19 deutschen Geheimdienste offiziell legalisiert, obwohl mindestens die Geheimdienste des Bundes dies bereits ohne ein spezielles Gesetz getan haben.

Dieses Gesetz verpflichtet auch Kommunikationsanbieter, den Staat beim Hacken zu unterstützen, indem sie staatliche Hardware in ihren Netzen installieren, um Machine-in-the-Middle-Angriffe gegen ihre Kund:innen zu ermöglichen. Die Kommunikationsanbieter kritisierten dies vehement und beklagen Risiken für die Integrität ihrer Infrastruktur, einen Vertrauensverlust und einen Angriff auf die IT-Sicherheit.

Grundrecht auf Vertraulichkeit und Integrität

Die deutschen Staatstrojaner-Gesetze werden regelmäßig vor Gericht angefochten. Als Reaktion darauf hat das Bundesverfassungsgericht 2008 ein neues Grundrecht geschaffen: das „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität von IT-Systemen“.

Das höchste deutsche Gericht sagt, dass staatliches Hacken nur dann legal sein kann, „wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Überragend wichtig sind Leib, Leben und Freiheit der Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt.“

Das ist der Terrorismus und die schwerste Kriminalität, von der wir immer hören. Das ist jedoch nicht, was tatsächlich passiert.

Juristischer Trick: Zwei Arten des Hackens

Um dieses wegweisende Urteil und das neue Grundrecht zu umgehen, hat sich die deutsche Polizei einen juristischen Trick einfallen lassen. Sie erfand zwei verschiedene Arten des Hackens. Bei der einen hacken sie ein Gerät und haben Zugriff auf alle Daten auf diesem Gerät. Sie nennen dies „Online-Durchsuchung“.

Bei der anderen hacken sie ein Gerät, und obwohl sie technisch gesehen Zugang zu allen Daten auf diesem Gerät haben, beschränken sie sich auf das Abhören und Aufzeichnen von laufender Kommunikation. Sie nennen dies „Quellen-Telekommunikationsüberwachung“. Sie wurde sogar in denselben Paragraf der Strafprozessordnung aufgenommen, in dem die klassische „Telekommunikationsüberwachung“ beschrieben wird.

Diese absichtliche Umdeutung des aktiven staatlichen Hackens zu wenig mehr als passives Abhören von Telefonen ist eine Verhöhnung des vom Verfassungsgericht verkündeten neuen Grundrechts. Es bleibt abzuwarten, ob es vor Gericht Bestand haben wird, da verschiedene Verfassungsbeschwerden noch anhängig sind.

Die Neuregelung hat auch in der Praxis zu Fehlern und Irrtümern geführt. Die Staatsanwaltschaften haben bei ihren Ermittlungen immer wieder die klassische Telefonüberwachung mit dem aktiven staatlichen Hacken verwechselt. Dabei sind sie Strafrechts-Experten.

Aus technischer Sicht ist die Unterscheidung zwischen zwei Arten von Hacken, die darauf beruht, welche Art von Daten man nach dem Hacken ausleitet, künstlich und willkürlich. Sobald man ein Gerät gehackt hat, hat man Zugriff auf das gesamte Gerät, einschließlich aller Daten und Sensoren. Um sich auf die Kommunikation in bestimmten Apps zu beschränken, braucht man neuen, zusätzlichen Quellcode und neue Funktionalitäten.

Deshalb gibt es in Deutschland besondere Anforderungen beim Kauf von kommerziellen Staatstrojanern. Im Jahr 2013 kaufte das Bundeskriminalamt FinSpy von FinFisher. Standardmäßig war FinSpy jedoch nur in der Lage, alle Daten auf dem Zielgerät auszuleiten. Daher forderte die Polizei FinFisher auf, zusätzlichen Quellcode zu entwickeln, um die Leistung des Produkts zu begrenzen. FinFisher brauchte fünf Jahre und drei Versionen, bis das Produkt den gesetzlichen Anforderungen entsprach.

Das ist auch der Grund, warum die deutsche Polizei Pegasus nicht sofort gekauft hat. BKA und NSO trafen sich zum ersten Mal im Jahr 2017. Aber auch hier dauerte es Jahre der Verhandlungen und der zusätzlichen Arbeit von NSO, um eine modifizierte Version zu entwickeln. Die deutsche Polizei kaufte Pegasus schließlich Ende 2020. Seitdem haben sie Pegasus mindestens ein halbes Dutzend mal eingesetzt.

Produkte: DigiTask, RCIS, FinFisher, Pegasus

Das bringt mich zu den in Deutschland verwendeten Produkten. Leider haben wir so gut wie keine Informationen über das Militär und die Geheimdienste, abgesehen davon, dass der BND auch NSO Pegasus verwendet, wahrscheinlich neben vielen anderen Produkten. Die Regierung verweigert jede Information darüber, auch gegenüber dem Parlament.

Der erste Staatstrojaner in Deutschland wurde 2011 entdeckt. Experten des Chaos Computer Clubs bekamen die kommerzielle Schadsoftware eines ehemaligen deutschen Unternehmens namens DigiTask. Sie analysierten die Software und deckten eine Reihe von Problemen auf: Es beschränkte sich nicht ausreichend auf laufende Kommunikation, erlaubte die Übernahme des infizierten Geräts durch andere Akteure und hatte verschiedene IT-Sicherheitsprobleme.

Offizielle Untersuchungen bestätigten die CCC-Enthüllungen. DigiTask wurde als illegal eingestuft, und die Strafverfolgungsbehörden kündigten das Produkt. Die Firma wurde inzwischen an den deutschen Elektronikriesen Rohde & Schwarz verkauft – ein Sponsor der „Abhör-Ball“ genannten Messe ISS World.

Nach diesem Desaster entwickelte die deutsche Polizei ihren eigenen Staatstrojaner namens „Remote Communication Interception Software“ oder RCIS. In vier Jahren programmierten 29 Polizeibeamte eine erste Version, RCIS Desktop, die Windows hacken und Skype-Kommunikation abhören kann. Ein Update für eine zweite Version, RCIS Mobile, wurde 2017 fertiggestellt und wird verwendet, um Smartphones und Tablets zu hacken.

Wie ich bereits erwähnt habe, hat die deutsche Polizei auch die Staatstrojaner FinSpy von FinFisher und Pegasus von NSO gekauft. Aber es ist unwahrscheinlich, dass dies die einzigen Werkzeuge sind, die der deutschen Polizei zur Verfügung stehen.

Im Jahr 2017 errichtete der Bundesinnenminister eine neue Agentur mit der Bezeichnung „Zentralstelle für IT im Sicherheitsbereich“ (ZITiS). Diese Agentur ermöglicht sowohl die Forschung und Entwicklung von Staatstrojanern durch den Staat selbst als auch den Kauf von Staatstrojanern von kommerziellen Unternehmen.

Die Regierung gab zu, dass ZITiS folgende Unternehmen getroffen und bewertet hat: das österreichische Unternehmen DSIRF mit seinem Produkt Subzero, das italienische Unternehmen RCS und sein Produkt Hermit sowie die israelischen Unternehmen Quadream und Candiru. Die Regierung weigert sich jedoch, eine umfassende Liste der Unternehmen vorzulegen, die ZITiS getroffen hat, geschweige denn Produkte, die es für den Einsatz bei Polizei und Geheimdiensten gekauft hat.

Geheimhaltung: Regierung verhindert Kontrolle

Damit komme ich zu einem übergreifenden Problem: dem Mangel an Kontrolle. Im Entwurf des Berichts dieses Ausschusses heißt es: „Ein Haupthindernis bei der Aufdeckung und Untersuchung des unrechtmäßigen Einsatzes von Spähsoftware ist die Geheimhaltung.“ Und „‚Nationale Sicherheit‘ wird häufig als Vorwand für die Beseitigung von Transparenz und Rechenschaftspflicht angeführt.“ Diese beiden Sätze treffen definitiv auf Deutschland zu.

Regierung und Polizei verweigern unter dem Vorwand der „nationalen Sicherheit“ jede aussagekräftige Information über Staatstrojaner. Bis zum heutigen Tag weigert sich das BKA, öffentlich zuzugeben, NSO Pegasus gekauft zu haben. Es behauptet, sein Vertrag mit NSO erlaube dies nicht. NSO hat jedoch vor diesem Ausschuss erklärt, dass seine Kunden diese Informationen sehr wohl sagen öffentlich dürfen, sie müssen nur wollen.

Die deutsche Regierung verweigert diese Informationen sogar dem Deutschen Bundestag. Abgeordnete haben immer wieder wichtige Fragen gestellt, aber die Regierung verweigert die Antwort.

Um notwendige Geheimnisse zu schützen, könnte die Regierung einige wichtige Informationen schwärzen oder Dokumente als vertraulich oder geheim oder sogar streng geheim einstufen und nur Abgeordneten mit entsprechender Sicherheitsfreigabe zeigen. Aber selbst das verweigert sie.

Vor zwei Jahren kündigten Abgeordnete zweier Parteien an, die Regierung wegen dieser Informationen zu verklagen. Leider haben sie das nicht getan. Inzwischen sind sie Teil der Regierungskoalition.

Es bleibt also, wie überall, an der Zivilgesellschaft, an Aktivist:innen und Journalist:innen, für Aufklärung zu sorgen.

Als Journalist:innen nutzen wir Instrumente wie Pressegesetze und Informationsfreiheitsgesetze. Dies hat einen gewissen, aber begrenzten Erfolg.

Als wir aufgedeckt haben, dass das BKA 2013 FinFisher gekauft hat, haben wir den Vertrag angefordert. Das BKA verweigerte aussagekräftige Informationen, also verklagten wir sie – und haben gewonnen. Später stellten wir einen weiteren Antrag zur Aktualisierung dieses Vertrags. Wieder verweigerte das BKA aussagekräftige Informationen, also verklagten wir sie erneut – und wieder haben wir gewonnen.

Ja, wir müssen die Polizei verklagen, damit sie sich an das Gesetz hält.

Vor vier Monaten haben wir den Vertrag mit NSO für Pegasus beantragt. Das BKA verweigert erneut jegliche Auskunft. Der Streit dauert an, aber es sieht so aus, als müssten wir die Polizei erneut verklagen.

Aber selbst wenn wir gewinnen, bekommen wir meist nur das, was bereits öffentlich ist oder von geringer Relevanz. Diese Seite ist der Vertrag mit FinFisher, den uns die Polizei nach unserem Sieg vor Gericht gegeben hat. Wie sie sehen, sehen sie nichts.

Nachdem die Polizei ihren eigenen Staatstrojaner RCIS programmiert hatte, prüfte der deutsche Datenschutzbeauftragte das Produkt. Nach vier Anträgen und fünf Jahren des Wartens hat uns der Datenschutzbeauftragte diese Seite gegeben. Sie wird bis zum Jahr 2080 geschwärzt und geheim bleiben. Wahrscheinlich lebt von uns dann niemand mehr.

Viele andere Dokumente werden uns überhaupt nicht zur Verfügung gestellt. Ein paar Beispiele. Erstens: Die Polizei hat eine Studie über „Grundrechtsschonende Alternativen zur Quellen-TKÜ“ in Auftrag gegeben. Das ist superrelevant, aber das Dokument ist eingestuft und wird uns verweigert. Zweitens: Die Polizei hat NSO Pegasus analysiert. Aber dieser Bericht ist geheimer als geheim und wird allen verweigert. Drittens: Die Polizei hat ihre anderen Staatstrojaner extern prüfen lassen. Aber auch dieses Dokument ist geheim und wird uns verweigert.

Dilemma: Sicherheit gegen Sicherheit

Aufschlussreich ist, dass einer der Gründe für die Verweigerung dieses Berichts darin besteht – ich zitiere die Polizei -, dass „die Anbieter kommerzieller Hard- und Software in die Lage versetzt [würden], die von der Überwachungssoftware genutzten Angriffsvektoren (Schwachstellen etc.) zu schließen und den Einsatz der Software unter Umständen zu verhindern“.

Normalerweise versuchen sowohl kommerzielle Anbieter als auch staatliche Akteure, der Frage nach Zero-Day-Schwachstellen auszuweichen. Hier gibt die Polizei offen zu, dass sie von Zero-Day-Schwachstellen in kommerzieller Hard- und Software weiß, und anstatt die Hersteller zu informieren, damit sie diese Schwachstellen für alle schließen, hält sie sie offen und geheim.

Dies ist das grundlegende Sicherheitsdilemma des staatlichen Hackens. Um ein gewisses Maß an öffentlicher oder nationaler Sicherheit zu erlangen – und sei es nur ein Dutzend Drogendelikte – schafft staatliches Hacken immense Unsicherheit in der IT-Sicherheit. Um die iPhones von ein paar Dutzend mutmaßlichen Kriminellen zu hacken, halten Staaten und Unternehmen alle zwei Milliarden iPhones auf diesem Planeten unsicher und anfällig für Hackerangriffe durch jedermann.

Sicherheitslücken sind eine Gefahr für die nationale Sicherheit. Dieses Argument war lange Zeit theoretisch, aber jetzt haben wir ein Beispiel in der EU: Der spanische Staat hat Katalanen gehackt, und mit genau derselben Schwachstelle hat Marokko den spanischen Premierminister und die Verteidigungsministerin gehackt.

IT-Sicherheit ist binär. Niemand ist sicher, bis alle sicher sind.

Die Technologiebranche weiß das. Die EU-Agentur für Cybersicherheit weiß das. Und die deutsche Regierung weiß das auch. In ihrem Koalitionsvertrag hat sie letztes Jahr beschlossen: „Die Ausnutzung von Schwachstellen von IT-Systemen steht in einem hochproblematischen Spannungsverhältnis zur IT-Sicherheit und den Bürgerrechten. Der Staat wird daher keine Sicherheitslücken ankaufen oder offenhalten, sondern sich […] immer um die schnellstmögliche Schließung bemühen.“

Dies ist ein dringend notwendiger erster Schritt. Leider hat die Bundesregierung ihr Versprechen noch nicht umgesetzt. Aber dieser Ausschuss sollte nicht hinter der Bundesregierung zurückbleiben. Ihr Abschlussbericht sollte sowohl staatliche als auch private Akteure verpflichten, ausnahmslos alle Sicherheitslücken so schnell wie möglich zu schließen.

Fazit: Staatliches Hacken verbieten

Zusammengefasst: Staatliches Hacken hat grundlegende Probleme. Das ist überall so, auch in Deutschland.

Hätte die deutsche Polizei den Mut gehabt, heute hierher zu kommen, hätte sie behauptet, staatliches Hacken sei: notwendig, verhältnismäßig, gut kontrolliert und werde nur gegen Terror und schwerste Verbrechen eingesetzt. Alle diese Behauptungen sind falsch, und ich kann gerne weitere Fakten vorlegen, die das belegen.

Stattdessen stimme ich dem Europäischen Datenschutzbeauftragten zu, der sagt, staatliches Hacken birgt „beispiellose Risiken … nicht nur für die Grundrechte und -freiheiten des Einzelnen, sondern auch für die Demokratie und die Rechtsstaatlichkeit“.

Darüber hinaus ist staatliches Hacken auch eine Gefahr für die IT-Sicherheit, eine Gefahr für kritische Infrastrukturen, eine Gefahr für die öffentliche Sicherheit, eine Gefahr für die nationale Sicherheit und – wie das Hacken von EU-Institutionen gezeigt hat – eine Gefahr für die europäische Sicherheit.

Handeln Sie und bekämpfen Sie diese Gefahr.

Mit diesen Worten schließe ich mein Eingangsstatement.

Ich bin gerne bereit, weitere Themen wie deutsche Unternehmen oder mögliche Handlungsfelder in den Fragen und Antworten zu diskutieren.

Ich danke Ihnen für Ihre Aufmerksamkeit und freue mich auf Ihre Fragen.

Transcript (inoffiziell)
  • Datum: 2022-11-14
  • Ort: Brüssel
  • Institution: Europäisches Parlament
  • Ausschuss: PEGA
  • Vorsitz: Jeroen Lenaers
  • Experte: Andre Meister, investigativer Journalist netzpolitik.org

Jeroen Lenaers (Chair): Afternoon, colleagues. If everybody would like to take their seats. Then we can start with today’s hearing.

First of all, a warm welcome to all the colleagues here today. We have interpretation in the following languages: German, English, French, Italian, Greek, Spanish, Hungarian, Polish, Slovakian, Slovenian, Bulgarian and Romanian.

Two other short announcements. We are still trying to find a suitable date for a coordinators meeting this week where all coordinators can be present. I will inform you if we manage to find such a slot, but it would be important.

Secondly, as already announced during our visit to Greece, the Greek government has informed me today that they will send their draft proposal for legislation on legal surveillance later today. So we can hopefully also already share that with you later this evening.

Then the programme for today is a country hearing on Germany.

Before we get started, I would like to make one comment. We have invited Ms. Martina Link, which was also a request from all the groups, who is the Vice President of the German Federal Police. We invited her three times and each time she was unavailable.

We also invited the Munich prosecutor that investigates the FinFisher case. However, the prosecutor immediately took contact with our secretariat and explained that as they have not shared the content of the investigation with the suspects and therefore they were prevented by law to share it with anyone else before that as well. Now, of course, in that sense, we respect it because any criminal investigation must have its proper run.

But I have to say that the response from the prosecutor was a short, sharp contrast to that of Ms. Link. I’m not sure whether she cannot make it or she is not allowed by her boss. But it’s not a very good sense of cooperation we received from the German authorities.

In this sense, however, it means that we have a lot of time. I know that Mr. Meister also has a lot of information to share with us. So I’m very grateful that you are here to share it with us. You have a lot of experience investigating FinFisher, but also the wider context of these kind of technology in Germany. So I would give you the floor for normally ten minutes, but if you want to take longer, be our guest because we have the time and then we start a round of questions and answers with the colleagues. But thank you very much for being here. And you have the floor.

Andre Meister: Thank you. Dear members of the PEGA Committee:

Thank you for inviting me to speak about state hacking and so-called spyware in Germany.

I am an investigative journalist working for the digital rights media outlet netzpolitik.org in Berlin. We have been investigating and reporting on state hacking for over a decade. In my free time, I am also a member of Chaos Computer Club and an observer at European Digital Rights, but today I do not speak on their behalf.

I am surprised that I am the only expert in todays hearing. I understand my colleges from civil society just didn’t have enough resources. And the Munich Public Prosecutor was interested, but is legally restricted to talk publicly about ongoing investigations.

But that the German government and police turned down the invitation of this committee is disgraceful. With their refusal to show up and testify today, Germany joins the long list of countries unwilling to cooperate with your important inquiry. I will show that this behaviour is symptomatic and Germany shares many of the problems in the other countries you are investigating.

Because today’s topic is broad and I am the only expert that showed up, the chair graciously gave me permission to speak for 20 minutes. Thank you.

In my intervention, I will focus on the use of state hacking tools in Germany, as that is where this committees draft report from last week is still short and shallow. I am also happy to provide information on German companies like FinFisher and others. But with regards to the time, I will keep that for the Q&A.

I will first outline the history of state hacking in Germany and the cases it’s used for. Then, I will explain the legal framework and a special new fundamental right in Germany. Third, I will name the products that Germany has bought and developed. I will then illustrate the secrecy and lack of accountability of state hacking in Germany. Finally, I will present a laudable initiative of the German government to regulate an important aspect of this problem.

First, a remark on terminology. In German public discourse, we don’t use the term „spyware“. This word is imprecise and overspecific.

Instead, we speak of „state malware“ or „state hacking“. This captures more accurately what these tools are about: intruding into IT-systems, in secret, without the knowledge of the owner, by hacking them, breaking their integrity and confidentiality, and taking control over them.

Of course, the primary goal is surveillance, but state hacking is also used to sabotage and disrupt IT-systems, or to plant incriminating evidence on them, as we have seen police in India do. The difference, if any, is only a few of lines of code.

Also, it’s not just about smartphones, they just have the most publicity. Any digital device imaginable can and will be hacked. This ranges from laptops and watches to televisions and home automation to servers and routers, and of course the Internet of Things. It even includes cars and aeroplanes, which are now computers we put our bodies in, and medical implants, which are computers we put into our bodies.

To reflect all this, I use the term „state hacking“.

German state entities have been hacking for at least 20 years.

In 2005, the foreign intelligence agency BND hacked the government of Afghanistan, where they exfiltrated emails between an Afghan minister and a German journalist. This is illegal. In 2006, they hacked a hotel in the Democratic Republic of Congo, where a German spy read the emails of a German soldier flirting with another German spy. This is also illegal.

The foreign intelligence agency doesn’t hack to solve crimes, and it’s not their job to fight terrorism – that’s the job of police. Spies mostly hack for classic espionage. Foreign intelligence likely top the list of state hacks. In 2009, they had already hacked over 2.500 devices.

Another important state hacker is the military. In 2015, the German military hacked a mobile network operator in Afghanistan. This proves that state hacking is not limited to individual targets. They also hack entire communication networks and critical infrastructure.

Unfortunately, there is extremely limited information about the hacking operations of intelligence agencies and military, even though that is the bulk of state hacking. The few cases we do know about only became public thanks to investigative journalism, because the hacking involved illegal activity which led to oversight actions.

Customs and police in Germany have been hacking since at least 2008. The first three targets that became public were suspects selling anabolic steroids, fake Viagra, and contraband cigarettes. The latter case was unsuccessful, because the hacking software unintentionally damaged the target computers hard drive.

As you can see, this is NOT the terror or most serious crime that advocates use to justify state hacking. Nor does it work flawlessly.

But these cases are typical to this day. In 2013, the police was tasked to justify their demands for state hacking. They came up with a list of almost 300 investigations into serious crime where the police claimed they needed to hack suspects. This sample is not scientifically reliable and the data does not show that state hacking was necessary or proportionate, as police didn’t say whether they were able to solve the cases without state hacking or if the suspects were innocent.

But the survey did reveal what the police really wanted to use state hacking tools for. Over half of the cases were drug crimes. Almost a quarter were property crimes, fraud, robbery, and extortion. In Parliament, hacking laws were justified with: „forming criminal organizations, crimes against sexual self-determination, child pornographic content, and murder“. But the police’s own data showed zero cases of forming criminal organizations, zero cases of crimes against sexual self-determination, zero cases of child pornographic content and zero cases of murder.

These numbers are similar to classic taps of telephone or internet connections. And each year, official statistics confirm that they are also true in practice.

In 2019, German police were granted to hack 64 times and actually did 15 times. More than a third of cases were extortion, another third were drugs. There were zero cases of terror and zero cases of murder.

In 2020, the must current numbers we have, German police were granted to hack 48 times and actually did 22 times. Again, more than a third of cases were drugs, another third were extortion. Again, there were zero cases of murder.

This shows that state hacking is always publicly justified with terror and murder, but it is almost never actually used for terror and murder.

Allow me a personal story. In 2015, the president of the German domestic intelligence agency personally filed a criminal complaint against me and my colleagues, accusing us of nothing less than treason for doing our job: reporting truthful information in the public interest on the internet surveillance capabilities of his agency. These criminal investigations were later dropped, but the extreme allegations allowed police the entire arsenal of surveillance capabilities against us. Only two years later, this would include state hacking.

So the issue at hand is more than theoretical for me. Therefore I want to take this opportunity and express my solidarity with all the journalists and human rights defenders around the world that have been targeted by state hacking to intimidate, repress, and silence them. Keep fighting.

The cases we know about are all in the past, but we must think about the future. In Germany, domestic intelligence agencies spy on anti-fascist human rights defenders and climate activists. In this very moment, twelve climate activists are prison in Germany, without being sentenced or even charged for a crime. The Police put them in so-called „preventive custody“, for an entire month, to keep them from protesting on the streets.

In this political climate, it doesn’t take much fantasy to imagine that journalists, human rights defenders and activists will be targeted by state hacking in Germany sooner or later.

It is your job to act and stop this from happening.

Let’s look at the legal framework in Germany. The first Federal German law explicitly granting state hacking powers to police was passed in 2008. It limited state hacking to the Federal Police, to international terrorism, and to the prevention of terrorist attacks.

Since then, state and federal laws have continuously expanded the scope and use of state hacking. A 2017 law allows state hacking for every law enforcement agency and for a long list of 42 criminal offences – including tax evasion, submitting fraudulent asylum applications and, of course, drug offences.

Last year, a new law officially legalized state hacking for all 19 German intelligence agencies, although at least the Federal agencies had been doing this already without a specific law.

This law also obliges communication providers to assist the state in hacking by installing government hardware in their networks to allow machine-in-the-middle attacks against their customers. The communication providers vehemently criticized this, citing risks for the integrity of their infrastructure, a loss of trust, and an attack on IT security.

The German hacking laws are regularly taken to court. In response, the Federal Constitutional Court created a new constitutional right in 2008: the „fundamental right to protection of the confidentiality and integrity of IT-systems“.

The Highest German Court says that state hacking can only be legal, „if there are factual indications of a specific danger to an exceptionally significant legal interest. Exceptionally significant legal interests are life, limb and liberty of the person or public interests that are of such significance that a threat to them would affect the foundations or existence of the state, or the foundations of human existence.“

That’s the terrorism and serious crime we often hear about. However, that is not what is happening in reality.

To get around this landmark ruling and this new fundamental right, German police came up with a legal trick. They invented two different kinds of hacking. In one, they hack a device and have access to any and all data on that device. They call this „covert remote search of IT systems“.

In the other, they hack a device and even though they technically have access to any and all data on that device, they restrict themselves to intercept and record live communication only. They call this „telecommunications surveillance at the source“. It was even amended to the same section of the criminal law specifying classic „telecommunications surveillance“.

This intentional re-framing of active state hacking being little more than a passive phone tap makes a mockery of the new fundamental right proclaimed by the Constitutional Court. It remains to be seen if it holds up in court, as various constitutional complaints are still pending.

The re-framing has also resulted in practical mistakes and errors. Public prosecutors have repeatedly mixed-up classic phone surveillance and active state hacking in their investigations. And they are criminal justice experts.

From a technical perspective, the distinction between two types of hacking, based on what kind of data you exfiltrate after the hacking, is artificial and arbitrary. Once you hack a device, you have access to the entire device, including all its data and sensors. To limit yourself to communication in certain Apps only requires new, additional source code and functionality.

This is why Germany has special requirements when purchasing commercial hacking tools. In 2013, the police bought FinSpy from FinFisher. But, by default, it was only able to exfiltrate all data on the target device. So the police made FinFisher develop additional source code to limit the power of its product. It took FinFisher five years and three versions, until the tool was in line with the legal requirements.

This is also the reason why German Police did not immediately buy Pegasus. Police and NSO met for the first time in 2017. But again, it took years of negotiations and additional work by NSO to develop a modified version. German Police only bought Pegasus in late 2020.

That brings me to the products used in Germany. Unfortunately, we have virtually no information about the military and intelligence agencies. Only that the foreign intelligence agency uses NSO Pegasus among probably many others. The government denies any and all information about this, even to Parliament.

The first state hacking tool was discovered in Germany in 2011. Chaos Computer Club experts obtained the commercial malware of a former German company called DigiTask. They analysed the tool and uncovered a list of problems: it did not sufficiently limit itself to communication only, it allowed the takeover of the infected device by anyone else, and it had various other IT security issues.

Official investigations verified the CCC revelations. DigiTask was found to be illegal, and law enforcement abandoned the product. The company has since repeatedly been sold, most recently to German electronics giant Rohde & Schwarz, which is also a sponsor of the Wiretappers Ball ISS World.

After this disaster, German police developed their own hacking tool called „Remote Communication Interception Software“ or RCIS. In four years, 29 police officers programmed a first version, RCIS Desktop, to hack Windows and exfiltrate Skype communication. An update to a second version, RCIS Mobile, was finished in 2017. It is used to hack smartphones and tablets.

As I mentioned previously, German Police have also bought the mercenary hacking tools FinSpy from FinFisher and Pegasus from NSO. But these are not the only tools that German police have at their disposal.

In 2017, the Federal Minister of Interior created a new Agency called „Central Office for IT in the Security Sector“ or ZITIS. This agency facilitates both research and development of hacking tools by the state itself, and the purchase of hacking tools from commercial companies.

The government admitted that ZITIS met and evaluated: the Austrian company DSIRF and its product Subzero, the Italian company RCS Labs and its product Hermit, and the Israeli companies Quadream and Candiru. However, the government refuses to provide a comprehensive list of companies ZITIS met, let alone products it bought for police and intelligence to use.

This brings me to an overarching problem: the lack of accountability. The draft report of this committee says „A major obstacle in detecting and investigating the illegitimate use of spyware is secrecy.“ And „’National security’ is frequently invoked as a pretext for eliminating transparency and accountability.“ These two sentences are definitely true for Germany.

Government and police refuse to provide any meaningful information about state hacking tools, with the excuse of „national security“. To this day, the police refuses to publicly acknowledge that they have bought NSO Pegasus. They claim their contract with NSO doesn’t allow this. But NSO told this very committee that their customers are free to reveal that information, if they want to.

The German government even denies this information to Federal Parliament Bundestag. Members of Parliament have time and again asked important questions. But the government refuses to answer.

To protect necessary secrets, the government could redact some vital information or classify documents as confidential or secret or even top secret, and show them only to MPs with proper security clearance. But they deny even this.

Two years ago, MPs from two parties said that this blanket refusal is illegal and announced that they would sue the government for this information. Unfortunately, they didn’t. Now they are part of the government.

So, like everywhere else, it’s up to civil society, activists and journalists to provide some insight.

As journalists, we use tools like press laws and Freedom of Information laws. This has some, but limited success.

When we revealed that the police bought FinFisher in 2013, we requested the contract. The police denied meaningful information, so we sued them – and won. Later, we filed another request for updates to this contract. The police again denied meaningful information. So again, we sued them – and again, we won.

Yes, we have to sue the police to make them abide by the law.

Four months ago, we filed another request for their contract with NSO for Pegasus. The police again denies to provide any information. The dispute is ongoing, but it looks like we will have to sue the police again.

But even when we win, mostly we get what’s already public or of little relevance. This the contract with FinFisher the police gave us after we won in court. As you can see, you can’t see anything.

When the police programmed their own hacking tool RCIS, the German Data Protection Commissioner reviewed the product. After four requests and five years of waiting, this what they gave us. It will remain redacted and classified like this until the year 2080. I don’t know if any of us will still be alive then.

Many other documents they don’t give us at all. A few examples. One: The Police has commissioned a study „alternatives to state hacking respecting fundamental rights“. This is super relevant. But the document is classified and locked away. Two: The Police has analysed NSO Pegasus. But this report is beyond classified and locked away. Three: The Police commissioned an external report on its other hacking tools. But this document is also classified and locked away.

Revealingly, part of the reason to deny this report is – and I quote the police – „the providers of commercial hardware and software attack vectors used by the surveillance software (like vulnerabilities) and prevent the use of the spyware“.

Usually, both commercial vendors and state actors dodge the question of zero-day-vulnerabilities. Here, police openly admit that they know about zero-day-vulnerabilities in commercial hard- and software and instead of informing the vendors to close these vulnerabilities for everyone, they keep them open and secret.

This is the fundamental security dilemma of state hacking. In order to gain some level of public security – even if that is just a dozen drug crimes – state hacking creates immense insecurity in our digital environment. To hack the iPhones of a few dozen alleged criminals, states and companies keep all two billion iPhones on this planet insecure and vulnerable to hacking by anyone.

Security vulnerabilities are a danger to national security. This argument was theoretical for a long time, but now we have an example in the EU: The Spanish state hacked Catalans, and with the exact same vulnerability Morocco hacked the Spanish prime minister and defence minister.

IT security is binary. No-one is safe until everyone is safe.

The tech industry understands this. ENISA understands this. And the German government understands this. In their coalition agreement last year they wrote: „Exploiting vulnerabilities in IT systems is highly problematic in terms of IT security and civil rights. The state will therefore not buy or keep open any vulnerabilities, but will always strive to close them as quickly as possible.“

This is a much needed first step. Unfortunately, the German government still didn’t implement their promise. But this committee should not fall behind the German government. Your final report should mandate both state and private actors to fix all vulnerabilities as quickly as possible, without exception.

To sum up: State hacking has fundamental problems. This is true everywhere, also in Germany.

If the German Police had the courage to come here today, they would have claimed that state hacking is: necessary, proportionate, accountable, and used only against terror and the most serious crimes. All of these claims are false, and I can gladly provide more facts to support that.

Instead, I agree with the EDPS, who said that state hacking „poses unprecedented risks … not only to the fundamental rights and freedoms of the individual, but also to democracy and the rule of law.“

Beyond that, state hacking is also a danger to IT security, a danger to critical infrastructure, a danger to public security, a danger to national security, and – as the hacking of EU institutions has shown – a danger to European security. Let’s fight this danger.

With this, I want to conclude my intervention.

I am happy to discuss further issues like German companies or possible areas of action in the Q&A.

Thank you for your attention. I look forward to your questions.

Jeroen Lenaers (Chair): Thank you very much, Mr. Meister. And thank you also for giving such an elaborate introduction. And we have the time. So I’m happy you you took it to inform us about all of this. And I’m sure there will be many questions that will also give you the opportunity to to dive in a little bit deeper in the other subjects that you mentioned.

We start the round with our rapporteur, Sophia in ‚t Veld.

Sophia in ‚t Veld: Yes, thank you, Chair. And thank you, Mr. Meister, for your very detailed intervention.

As with many speakers, I think many of us would be interested to get your speaking notes through, to have some time to go through it again, and check out in particular all the figures and statistics and years that you mentioned, because it’s it was very rich in information.

I think I, personally at least, agree very much with your many of your conclusions on the use of state hacking, state malware, etc. And I think the problem is indeed that citizens get less and less information about what states are doing with their power. And then if you try and ask questions, they say „Oh, but you’re asking the wrong questions or you’re making the wrong assumptions“, but you can only make assumptions if you don’t have all the facts on the table. So I entirely agree with you.

A few questions in random order. So you mentioned two kinds of state hacking, and one basically allows what what to do, what we call spyware here, basically extracting everything from from your phone, monitoring your communications, but also accessing your documents, etc., etc. And the other one is more like conventional wiretapping, real time listening into conversations. If I understood correctly what you say, but due to two kinds of state hacking, do they require the same kind of judicial authorisation? Because they’re very different types of of spying or hacking, if you want, then, uh. All in order.

Another source of information. If the authorities are stonewalling, you are stonewalling. The Parliament as well are stonewalling this parliament as well.

Then another source would of course, be people who who have the feeling that they have been targeted with spyware. Can you say something about people who’ve come forward in Germany? Maybe journalists, maybe activists or politicians even who have been targeted?

Then can you say something, because you’ve mentioned a lot of different brands. One is DSIRF, which is produced in in Austria, and you have published about that fairly extensively. But can you say something about where the German authorities are now in using that or not using that to say something about the connexions between German personalities and the company ideas?

And if and finally, maybe something about RCIS, if I understood correctly, the police’s own hacking tool, because we have been focussing, of course, very much on commercial spyware tools, but there are plenty of authorities all around the world who are developing their own stuff. And do you have more information about the capabilities of that tool, how it’s being used? Can it be detected? Are any of the targets already known?

Yeah, those would be my questions for now.

Jeroen Lenaers (Chair): Thank you, Sophie in ‚t Veld. Mr. Meister.

Andre Meister: I can gladly provide my speaking notes. And if you want, feel free at any time to drop me a mail. I can also provide sources to every single sentence I have said.

With regards to the two types of hacking in Germany: This is only a legal distinction. Technically, there is not that much of a difference. And there’s an academic paper doubting it’s possible to develop a restricted hacking tool at all.

In German law the telecommunications surveillance at the source and the remote forensic full search, they have slightly different legal authorisations. I can gladly provide them to you, even in English. I think they are linked already in the draft report of this committee.

But both have a long list of crimes that they are used against. The telecommunications at the source, the classic phone surveillance by hacking, is used for everything that classic phone surveillance is used, for a long list of 42 crimes. The remote forensic search is used for slightly less crimes. Both require, as far as I know, I’m not a lawyer, prior approval. It’s used by police in investigations, but they are probably also used by secret services, where the authorisation is, of course, different.

You asked about victims in Germany. Unfortunately, we publicly know very few victims that have come forward. The first victim that came forward in 2011 and allowed Chaos Computer Club to investigate the German tool called DigiTask was some bodybuilder. He was accused of exporting anabolic steroids, which are legal in Germany but not legal in neighbouring countries. His lawyer found in the court documents the police had printed hundreds of pages of screenshots of his, back then, computer and only because the lawyer was smart enough to understand where the only place they could have obtained it is the computer itself. He went to the CCC to analyse this. So it’s hard for people to to know, even in criminal investigations and court proceedings, that these tools are being used. Police don’t advertise that, even after criminal investigations and proceedings.

We have been trying to find more victims in Germany. We don’t know. We do know it is being actively used. But so far, we don’t publicly know of victims. We now know that there are people involved in the so-called Catalan Gates scandal, Catalan activists and politicians and lawyers being targeted by Candiru and Pegasus, while in Germany. This also touches Germany. I think one of them is also a German citizen. But as far as we know, they were not targeted by German entities.

This only shows the transnational aspect of these tools. Anyone from anywhere in the world can use these kinds of tools to hack any device. Borders, national borders, even EU borders, don’t matter.

I’m still reaching out to them. There are some legal problems because of ongoing investigations, where I they have a hard time speaking publicly. But of course, we’d be happy to hear the stories of any victims. If you’re hearing this, please come forward to me.

The Austrian company DSIRF. We do not know whether it’s used in Germany. Police and government just flat out deny any information about this. The only thing we know is that the government agency called ZITiS had talks with them. We don’t know whether they bought it. We don’t know which agencies they gave it to. We don’t know if they’ve used it. How many times against whom? We don’t know. Government knows this, but it is not telling us.

In my reporting on DSIRF. Unfortunately, it had lots of Russians connections, but it was in December 2021 – when those didn’t really interest a lot of people. The Russian connections are, I think, the most intriguing and most important.

But yes, there is also a strong link to Germany with the person of Jan Marsalek, the COO of Wirecard Company. Actually, I found the document advertising this product in his mailbox. He was giving it to someone else, advertising to use this product possibly for commercial espionage, not for government espionage. But we don’t know.

RCIS, the German police’s own product. Again, we only know very few things I have said in my introductory statement. We do not know the exact capabilities. I believe I said that since 2017 it is used to hack smartphones. That is five years ago. That’s an eternity in the IT development world. We just do not have any updates. Any time a Member of Parliament or anyone else asks, they are refused this information. We would like to know, but we just do not know.

Also, we do not know how to detect it because if you don’t have a sample, you can also not create tools to find this. We also do not know who was targeted by RCIS or any other specific tool. The only information we have, is that German police hacked such and such many times. I have said the numbers. But they do not say with which tool, whether it’s their own tool or one of the many commercial tools that they are able to purchase or have purchased.

German police knows this. They could have shown up here today and told you. But they chose not to. I don’t know it.

Jeroen Lenaers (Chair): Thank you. Karolin Braunsberger-Reinhold.

Karolin Braunsberger-Reinhold: Vielen Dank. Ich werde Deutsch sprechen. Ich vermute das ist kein Problem.

Erst mal vielen Dank, dass Sie heute hier sind. Sie haben eine sehr intensive Arbeit, um es mal so zu beschreiben. Ich weiß, dass das absolut nicht einfach ist. Ich finde es auch sehr, sehr schade, dass Sie der Einzige sind, der heute hier ist. Ich finde es nicht schade, dass Sie hier sind, sondern dass die anderen nicht da sind, um das mal klarzustellen. Trotzdem habe ich da ein paar Nachfragen. Sie mögen es mir verzeihen.

Zum Beispiel: Sie haben darauf hingewiesen, dass der Einsatzbereich schwerpunktmäßig im Drogen-Bereich auch stattfindet. Wenn ich Sie richtig verstanden habe, wir haben in Deutschland eine Klassifizierung der Verbrechen und gerade der Drogen-Bereich ist ein Schwerpunkt im Geldwäsche-Bereich. Im Geldwäsche-Bereich, der die Grundlage für die organisierte Kriminalität zum Beispiel auch ist. Das heißt da wirklich die Frage und nehmen Sie es mir nicht übel, ist nicht in dem Fall ein früheres Einschreiten besser als ein späteres Einschreiten? Da habe ich aber dann die Herausforderungen: Schreite ich erst ein, wenn ich wirklich in die Ecke gehe, damit ich es als OK klassifizieren kann? Oder schreite ich vorher schon ein? Dann wird es aber bei uns in Deutschland als Geldwäsche klassifiziert.

Frage: OK?

Karolin Braunsberger-Reinhold: Entschuldigung. Organisierte Kriminalität. OK ist die organisierte Kriminalität. Entschuldigung. Danke für den Hinweis.

Dann der Bereich Klima-Proteste. Ich weiß, dass das in Deutschland bei uns sehr hohe Wellen geschlagen hat. Es gibt mehrere Klima-Protestler, männlich-weiblich-sächlich, die jetzt 30 Tage erst mal in Haft genommen wurden. Vorbeugend. Aber hier möchte ich darauf hinweisen: Es gab vorher Anhörungen dazu und es gab Androhungen weiterer Straftaten und da ist es deutsches Recht. Dafür gibt es Rechtsgrundlagen, dass diese Personen bei Androhung weiterer Straftaten nun mal in Gewahrsam genommen werden, damit diese Straftaten nicht durchgeführt werden können. Kann man halten von was man will. Aber grundsätzlich ist in dem Punkt alles rechtlich sauber abgelaufen.

Moment, jetzt muss ich hier noch mal gucken. Und Sie wiesen darauf hin, das fand ich grundsätzlich sehr interessant, dass in Deutschland kaum Opfer bekannt sind. Da würde mich tatsächlich mehr interessieren, woran das liegt. Wir haben aus anderen Ländern Opfer, die bekannt sind. Wir haben Leute, die wirklich an die Öffentlichkeit gehen, die mit uns reden, die auch hier sind. Wo ist die Herausforderung, speziell bei uns in Deutschland, dass sich Leute bekannt machen, dass es bekannt wird? Woran liegt das Ganze? Vielleicht können Sie da noch weitere Fragen oder uns weitere Informationen geben.

Und grundsätzlich würde ich mich sehr darüber freuen, was Sie auch angeboten hatten, uns weitere Fakten und Informationen zur Verfügung zu stellen, gerne durch Links, Anhänge oder was auch immer Sie da haben, damit wir weiterarbeiten können. Danke schön.

Jeroen Lenaers (Chair): Thank you. Mr. Meister.

Andre Meister: Sie haben recht. In Paragraf 100a Strafprozessordnung stehen Drogendelikte als schwere Straftaten. Aber das sind nicht die schwersten Straftaten, mit denen diese Tools im Parlament begründet wurden, als die Gesetze verabschiedet wurden. Ich habe viele Beispiele genannt, die diverse Abgeordnete im Bundestag gesagt haben, was sie damit verfolgen werden, nämlich internationaler Terrorismus, Verhütung von internationalem Terrorismus, Mord, Totschlag, Straftaten gegen die sexuelle Selbstbestimmung und sogenannte Kinderpornografie.

Wenn Sie es für Drogen einsetzen wollen, sagen Sie das doch im Parlament. Das haben die Abgeordneten im Parlament nicht getan. Und jetzt wird es dafür eingesetzt, weil es so im Gesetz steht. Sie haben recht, es steht im Gesetz. Es ist legal. Aber in meinen Augen passt das nicht ganz zusammen.

Ja, wir sollten jetzt wahrscheinlich nicht in die Untiefen der deutschen Klimaschutz-Proteste-Debatte einsteigen. Straßen blockieren kann eine Straftat sein. Ich erwarte aber trotzdem, dass früher oder später auch Klima-Proteste, mögen sie strafbar sein oder nicht, mögen sie ziviler Ungehorsam sein, die Grenze ist fließend, mit mindestens Telefonüberwachungen oder auch Tools wie diesen oder der Überwachung durch den Verfassungsschutz zu tun haben. Wenn Sie das politisch wollen, dann sagen Sie das öffentlich, rechtfertigen Sie sich dafür. Es wird aber immer nur gesagt: Terror und Mord, nicht Drogen und Proteste.

Warum keine Opfer bekannt sind, kann ich Ihnen leider nicht sagen. Ich würde mich sehr freuen, wenn Opfer an die Öffentlichkeit gehen und an Journalisten wie mich, an den Chaos Computer Club, um technische Analysen zu machen. An viele andere Sachverständige von NGOs, von juristischen Vereinigungen oder auch Abgeordneten. Das ist mir egal. Sie können das. Warum diese Opfer diese Möglichkeiten nicht nutzen, kann ich Ihnen leider nicht beantworten. Ich würde mich freuen, wenn es so wäre.

Jeroen Lenaers (Chair): For S&D, it’s Katarina Barley.

Katarina Barley: Vielen Dank, vor allem für das Lob des Koalitionsvertrages. Ich hatte die Ehre in der Verhandlungsgruppe dabei zu sein und diese diese Formulierung mit zu beschließen. Ich freue mich auch darauf, wenn die umgesetzt wird.

Ich wollte noch mal fragen, vielleicht etwas komprimierter. Die Zeit, der Zeitraum, innerhalb dessen Sie wissen, dass solche Spyware entweder angekauft oder entwickelt worden ist, ob Sie den einmal eingrenzen könnten?

Dann habe ich eine Frage, weil Sie sagten, dass die Regierung keine Auskünfte gibt. Nach meiner Kenntnis hat es eine Anhörung gegeben im Innenausschuss des Deutschen Bundestages am 7. September 2021, die natürlich nicht öffentlich war, logischerweise, aber die stattgefunden hat in dem Gremium, das dafür zuständig war, meine Kenntnis.

Dann die Frage des Rechtsschutzes. Sie haben mehrfach gesagt, dass geklagt wird, dass auch Sie geklagt haben. Haben Sie den Eindruck, dass das funktioniert? Das ist jetzt keine keine rechtlich irgendwie bindende Aussage. Haben Sie den Eindruck, dass Sie das, dass das System, wenn man sich in seinen Rechten verletzt wird, fühlt, dann klagt man auf der Basis der geltenden Gesetze, dass das in Deutschland funktioniert?

Der Hintergrund meiner Frage, Sie werden es sich wahrscheinlich schon denken können, ist, dass wir hier Fälle aus anderen Ländern hören, wo sich ihnen die Nackenhaare aufstellen. In allen möglichen Zusammenhängen. Und ich weiß nicht, inwieweit sie sich mit den Fällen in Griechenland zum Beispiel oder so auseinandergesetzt haben. Und ich glaube, da ist es schon sinnvoll, vielleicht eine gewisse Relation herzustellen, meiner Meinung nach. Ich bin jetzt auch nicht ganz objektiv, gebe ich zu, aber der Rechtsschutz in Deutschland funktioniert schon sehr gut.

Dass die Opfer so wenig bekannt sind, das wundert mich auch. Ich fand es sehr bemerkenswert, dass sie sagten: Zwei Mal hat Deutschland Spyware oder Malware gekauft, das aber quasi runter programmieren lassen. Und dafür sieben Jahre gewartet. Gibt es so was auch von einem anderen Land, dass das bekannt ist, dass die quasi von den ganzen Möglichkeiten offensichtlich nicht Gebrauch machen wollten?

Und dann kann man doch sagen. Wenn man Sorge hat, kann man doch sein Handy oder bei uns hier zum Beispiel auch im Europäischen Parlament untersuchen lassen. Deswegen verstehe ich auch nicht. Leute, die die Sorge haben, dass sie vielleicht ausspioniert worden sind, können das doch tun, machen das doch auch, oder? Also ich kann mir das auch wirklich sehr, sehr schwer erklären.

Und ich teile viele Sorgen, die sie artikuliert haben, auch aus meiner früheren Tätigkeit. Aber ich muss doch wirklich noch mal klarstellen, weil manchmal in der Übersetzung auch was verloren geht. Bei diesen Protesten gibt es bisher keinerlei Anzeichen dafür, dass da, dass da irgendeine Software eingesetzt worden ist und dass die das vermuten. Dass das irgendwann der Fall sein könnte, ist eine reine Spekulation.

Das wäre mir noch mal sehr wichtig, weil ich, wie gesagt, ich war Mitglied der deutschen Bundesregierung im Justizbereich. Und wenn ich mitkriegen würde, dass wegen solcher Fragen Schadsoftware eingesetzt werden würde, dann würde ich im Kabinett ziemlichen Ärger anfangen. Um es mal so zu formulieren. Also das möchte ich hier nur noch mal, einmal ganz, ganz klar machen, dass das wirklich eine reine Spekulation ist.

Jeroen Lenaers (Chair): That was it Katarina? Yeah. Okay. So you didn’t shut the microphone. I wasn’t sure whether there were more questions.

Andre Meister: Vielen Dank auch für die Passage im Koalitionsvertrag. Ich habe mich sehr gefreut. Ich bin gespannt, wann die umgesetzt wird. Die letzten Signale aus dem Bundesinnenministerium waren leider nicht so, als ob das demnächst passiert. Ganz im Gegenteil.

Zum Zeitraum der Einsätze in Deutschland, die Ankäufe. Wir wissen von DigiTask, dass das mindestens seit 2008 eingesetzt wurde, bis 2011. Ob es ein paar Jahre eher gekauft wurde, wissen wir nicht. Ich dachte, sie hatten auch nach den Einsätzen und auch nach RCIS gefragt. Ich hatte die Zahlen genannt, seit wann FinFisher seit wann FinFisher gekauft wurde, nämlich 2013. Aber eingesetzt wird es glaube ich erst seit, ich müsste nachgucken, 2019 oder 2020. Und auch NSO Pegasus wurde seit 2017 verhandelt, wurde erst 2020 gekauft und wird seit Anfang 2021 in Deutschland eingesetzt. Alle anderen kommerziellen Produkte wissen wir einfach nicht. Wir müssen davon ausgehen, dass es mehr gibt.

Ja, nach dem massiven Druck durch die Pegasus-Projekt-Enthüllungen ist das Bundeskriminalamt in den Innenausschuss gekommen und hat zähneknirschend Fragen beantwortet, weil es einfach nicht mehr anders ging. Aber die Sitzung war eingestuft. Und bis heute weigert sich das Bundeskriminalamt öffentlich zuzugeben, dass sie NSO Pegasus gekauft haben.

Außerdem: Ich kann Ihnen eine Reihe an zwölf parlamentarischen Anfragen geben, wo die Bundesregierung sagt „Danke für die Frage, aber nein, wir werden Ihnen nicht antworten.“ Nicht mal eingestuft, nicht mal geheim, nicht mal streng geheim in der Geheimschutzstelle. Der Bundestag darf von diesen Fakten nicht erfahren. Ich halte das nicht für angemessen.

Sie haben recht, dass wir in Deutschland keine so krassen Fälle haben wie in anderen europäischen und weltweiten Staaten. Das wäre ja noch schlimmer. Das heißt aber nicht, dass der Rechtsstaat perfekt ist. Wir haben zum Beispiel gesehen, es gibt jährlich eine Statistik vom Bundesamt für Justiz über die eingesetzten Maßnahmen von Telekommunikationsüberwachung, die seit zwei Jahren auch die sogenannte Quellen-Telekommunikationsüberwachung, den kleinen Trojaner und die Online-Durchsuchungen, den großen Trojaner, umfassen.

Staatsanwälte und Ermittlungsbehörden haben wiederholt falsche Zahlen geliefert, weil sie verwechselt haben den Unterschied zwischen einer normalen Telekommunikationsüberwachung und einer Quellen-Telekommunikationsüberwachung, zwischen dem Anzapfen einer Telefonleitung und dem Hacken eines Geräts. Sie haben den Fehler 2019 gemacht, und das war sehr peinlich. Und 2020 machen Sie denselben Fehler wieder. Das heißt doch, dass Sie diese Tools auch in der Praxis verwechseln, weil eben das Hacken nur ein Unterpunkt in dem Paragraf zur Telekommunikationsüberwachung ist. Ich glaube nicht, dass das rechtsstaatlich sauber ist.

Die Quellen-TKÜ, der sogenannte kleine Trojaner, scheint mir eine sehr deutsche Erfindung zu sein. Ich kenne kein anderes Land, das eine ähnliche rechtliche Regelung oder ähnliche Anforderungen beim Ankauf solcher Tools hat. Es ist aber auch nur in Deutschland notwendig, weil in Deutschland das Bundesverfassungsgericht gesagt hat: Das Hacken von Geräten geht nur unter extrem begrenzten Umstanden, nämlich nur für den Bestand des Staates. Also genau der Terror und die wirklich, wirklich schlimmsten Straftaten. Dann hat die Polizei, um das zu umgehen, die Quellen-TKÜ quasi erfunden, damit sie sich nicht daran halten müssen. So erklärt sich, dass es diese Quellen-TKÜ nur im deutschen Recht gibt, aus der Herleitung des Bundesverfassungsgericht-Urteils.

Ja, es gibt in Deutschland und in der ganzen Welt jede Menge Stellen, die Opfern anbieten, Geräte zu untersuchen. Jetzt möchte ich mal ein bisschen freundlich formulieren. Die Quote an wirklich relevanten und interessanten Einsendungen über eine öffentliche Ansage „Du wirst überwacht, kommt zu uns, wir überprüfen.“ Das ist nicht wirklich sehr hoch. Man braucht ordentliche Filter für so was.

Glücklicherweise gibt es NGOs wie das Amnesty International Security Team, oder Access Now. Reporter ohne Grenzen hat mittlerweile ein eigenes Lab. Die sind in der Lage, in ihren eigenen Netzwerken Leute aufzurufen, bei Verdacht zu ihnen zu kommen und Geräte untersuchen zu lassen und auch diese Art von Filterung vorzunehmen. Aber weltweit ist Deutschland jetzt wahrscheinlich nicht ganz oben in der Anzahl der Einsätze und auch in dem Missbrauch gegenüber Journalistinnen, Aktivistinnen, der Zivilgesellschaft und so fort.

Es gibt in Deutschland jedes Jahr Dutzende Einsätze dieser Tools und diese Opfer kommen nicht zum Chaos Computer Club und sie werden nicht öffentlich. Warum das so ist, kann ich Ihnen nicht sagen. Aber es kann durchaus sein, dass auch nicht jeder Strafverteidiger, jede Strafverteidigerin aus Ermittlungsakten herauslesen kann, dass dort Geräte gehackt werden. Ich bin kein Jurist, erst recht kein Strafverteidiger. Ich weiß nicht, wie das heutzutage in Ermittlungsakten aussieht, ob da steht, die Polizei hat am Tag X Tool Y eingesetzt. Wenn das so ist, dann dürfen diese Strafjuristinnen gerne zum Chaos Computer Club, zu mir oder zu anderen Organisationen kommen.

Aber ich befürchte nicht in allen Strafverfahren ist das so deutlich. Sondern da sind dann einfach ein Ausdruck der WhatsApp-Nachrichten, ein Ausdruck der Telegram-Nachrichten oder was auch immer einfach in der Akte, ohne zu beschreiben, woher die kommen.

Noch mal kurz zu den Klima-Protesten: Ja, derzeit wüsste ich nicht, dass Klima-Aktivistinnen von solchen Tools betroffen wären. Aber es wäre doch schön, wenn sie sagen, das wird auch nicht passieren. Wenn sie sich heute hier hinstellen und versprechen, dass das auch nicht passieren wird. Denn ich habe da so meine Zweifel, ob jedes Landesamt für Verfassungsschutz und jedes Landeskriminalamt, das in den nächsten drei, fünf, zehn Jahren genauso sehen wird. Meinetwegen können wir nach der Session noch eine Wette abschließen.

Jeroen Lenaers (Chair): Róża Thun had to go and vote in the ITRE-Commitee. So we have Mr. Lebreton.

Gilles Lebreton: Firstly, I would like to thank Mr. Meister for his very interesting contribution. The key subject is the data hacking in Germany in particular. You gave us a picture which is really worrying. You’re saying that this country claims that this surveillance is just for serious crimes, for child pornography, for example, for national security purposes. But in fact, you are saying that you’ve seen majority of cases are abuses. This surveillance is conducted for other reasons in most cases.

So in your view, why is this happening in a country, which is usually seen as a good country in terms of respect for the rule of law? Why is this being used for other purposes? This kind of spying is very worrying. In countries, which are not governed by the rule of law, you may expect this. But it’s very worrying in a country like Germany, at least for me.

Secondly, what’s the urgent solution? What do you advocate? Do you think the solution would be to ensure that in each states their national legislation has some kind of interlocutor for the police or for those networks practising this kind of spying? Could it be a specialised committee of the National Parliament, for example? Thank you in advance for your answer.

Andre Meister: I am not sure I claim that most of the cases in Germany were abuses of these tools. There are uses of this tools, and they are legal, because the lawmaker parliament has written it into law. They have proclaimed in parliament, it’s only used against terrorism and the most serious crimes. But they have written in law that it’s legal to use it against a whole list of 42 serious crimes, which includes all kinds of drug crimes, frauds, extortions and similar similar crimes. So I’m not sure I would call them abuses, but it’s what German parliament decided to write into law. So that’s what they are using it for. They have, in my view, just not been very open before writing it into law, because that’s not what they in their speeches in Parliament actually used as examples.

I am not sure I understood the second question. If we are talking about the use of these tools by police, there is, in almost every case, a court order to use this. This is not true for the secret services, which have their own systems of granting these uses. They are not public. They’re different in every of the 16 states and again, different for the domestic, the external or the military spy agency on a federal level. But there is some kind of accountability to either mostly before, but in urgent cases after these cases have been happening, to get approval. So these are these cases that you call abuses. They are not only written into law, but also approved by some government body.

Now, these are the cases we know about. As I said, there is a ton of cases we do not know about, that have no public scrutiny. And every time there’s real scrutiny, independent scrutiny, public scrutiny, we find that there are also illegal uses. I have said two examples from the external spy agencies from the early 2000s, which used these tools illegally. Even way before they had a specific law allowing them to use this.

Whether there is sufficient oversight for this by agencies, especially the foreign intelligence agency BND, we cannot know. We cannot say, because we just don’t have the data. Only the agencies themselves have this.

Jeroen Lenaers (Chair): Thank you, Ms. Novak.

Ljudmila Novak: Thank you very much. Thank you for the floor. I’d like to thank you for your presentation. I’d like to ask you a question. What is better, in your view: A ban on the use of Pegasus or better regulation when using Pegasus?

And if, on the one hand, we introduced a ban in the EU of this spyware, it’s not a given that other countries, third countries, will ban it as well. And this will basically give an advantage to these third countries. So would you say that these programmes need to be banned or regulated? And what needs to be included in the regulation that would make it more likely to be for it to be used lawfully?

Andre Meister: If you ask for my personal opinion, I agree with the EDPS, David Kaye, a former UN special rapporteur, the IT tech companies and various members of this committee like Carles Puigdemont, that a ban on these tools is necessary.

You cannot put the genie back into the bottle. You have to ban this. There are so many fundamental problems, especially the zero-day-problem, which causes a real security dilemma for national security, for European security, for public security. I think a ban is overdue.

You have options to regulate, so that Europe will not in some way fall behind. Of course, regulating things like zero-day-vulnerabilities should be a global effort. And the EU, if it decides to do that, can lead a global effort. I mean, we have seen awesome initiatives of the EU, like the GDPR, which are now a global beacon, and everyone is running to copy that.

The EU and its member states can on UN and various other levels, advocate for a ban on an international ban on the use of zero-day vulnerabilities. Just like there are international bans on other things like weapons.

Now, I have said that I would advocate for a ban of these tools, because I think as long as they exist, they will always be abused. And they have a fundamental security dilemma.

But there are minimum safeguards and conditions that, if you choose not to advocate for a ban, you should do at the very minimum. My friends at Privacy International have, I think already in 2018, published a paper, including ten safeguards for government hacking. And European Digital Rights, just two weeks ago published a paper with eleven conditions for state hacking. I can resend you those papers. And I agree with every single one of those conditions.

The most important, I think, is the security problem. You have the security dilemma. You must not allow any public or private entity to deal, trade or use zero-days. I understand you will have a hearing on this very issue next week.

Also, every member state in the EU should impose a limit on the transnational use of these tools without the consent of the target country. If these tools are only used for terror and the most serious crimes, every target country will agree with these tools being used on their soil. So let’s make it illegal to use these tools without the target country’s consent.

A technical and slightly underlooked point is impersonation. States and other hackers use impersonation, claiming to be someone else to phish people into installing state hacking tools on their devices. We have seen concrete example in Spain. The Spanish agency sent SMS messages saying „We’re the Social Security service of Spain. Here’s your Social Security number. You need to click on this link.“ You cannot do that. That undermines trust in the very institutions of the state.

I understand similar phishing cases impersonating state entities have happened in Poland, although I do not understand the details.

If you’re also asking me for my opinion, I think states should not oblige internet service providers or any kind of internet technology companies to assist in installing these tools. Our infrastructure, our networks, they have to be neutral. They can’t be attacked by everyone and anyone. We should treat them like the Red Cross and Red Crescent in war zones. I think states should never hack a telecommunications provider or make them hack their own customers.

Another important aspect is: no bulk hacking. If you have to hack, if you have to decide that a ban is for some reason not an option, please target only individuals, never entire infrastructure, networks or providers.

And also, you have the power to make these rules global. If any company or any customer of any company breaks these provisions, breaks these safeguards, anywhere in the world, you can sanction them. You can stop them from doing business in the EU. The US has sanctioned NSO. You can do the same for Europe.

So I don’t see a race with third countries. It’s the other way around. The EU can lead in this.

Jeroen Lenaers (Chair): Thank you. Hannes Heide.

Hannes Heide: Danke, Herr Meister. Ich möchte aber schon feststellen, dass ich bedaure, dass wir heute nicht mehrere Auskunftspersonen zur Verfügung haben, um auch andere Zugänge, andere Einschätzungen und Informationen zu bekommen.

Meine erste oder generelle Frage über den Rechtsrahmen in der Bundesrepublik Deutschland, wie weit der ausreichend ist, ist so halbwegs beantwortet, wenn ich das so sagen darf. Um es zusammen zu fassen: Sie kritisieren vor allen Dingen die Informationspolitik, zu wenig Transparenz, die Geheimhaltung in diesen ganzen Fällen.

Aber womit wir zu einer Frage kommen. Sie haben in Ihrem Statement mehrere Anbieter erwähnt und auch dann die Eigenproduktion, wenn ich so bezeichnen darf, is also spezifischer Pegasus. Sie haben auch erwähnt. Was mag der Grund sein, dass mehrere Systeme gleichzeitig im Einsatz sind? Haben sie unterschiedliche Fähigkeiten oder Möglichkeiten? Ist das der Grund oder gibt es andere Gründe?

Eine andere Frage: Sie haben ja die Arbeit dieses Ausschusses sehr genau verfolgt und auch darüber berichterstattet. Mich würde interessieren. Sie haben viele Auskunftspersonen gehört, auch von Unternehmen. Ist Ihnen da irgendetwas aufgefallen, was mit Ihrer Recherche oder Ihren Wissen nicht übereinstimmt? Auskünfte, die uns gegeben wurden, also speziell von Unternehmen.

Und eine weitere Frage betrifft dieses DSIRF. Das erste Mal habe ich gelesen in einem Beitrag von Ihnen. Mich würde interessieren, wie Sie darauf aufmerksam geworden sind und wie Sie auch zu dieser Präsentation gekommen sind, in der sich das Unternehmen vorstellt. Danke schön.

Andre Meister: Ich bin mir nicht sicher, ob das deutsche Rechtssystem ausreichend ist. Ja, die Transparenz ist ausbaufähig, um es mal so zu formulieren. Es ist notwendig, dass da mehr Transparenz herrscht. Denn jedes Mal, wenn irgendeines dieser Tools unabhängig evaluiert wurde, wurde massiver Missbrauch, Illegalität und anderes bewiesen. Immer, wenn der Chaos Computer Club, Citizen Lab oder Amnesty Tech diese Tools findet, gibt es Missbrauch.

Wir können den staatlichen Institutionen, die dann solche Berichte schreiben, nicht erlauben, sich selbst zu kontrollieren. Zumal es keinen Grund für eine Geheimhaltung gibt. Kriminelle wissen auch heute, dass ihr Telefon abgehört wird oder ihre Wohnung durchsucht werden kann. Sie wissen auch heute, dass Smartphones gehackt werden können. Es gibt keinen Grund für diese Geheimhaltung.

Und wie angemerkt, ich würde mich freuen, wenn der klare Satz im Koalitionsvertrag, den Frau Barley dankenswerterweise da mit reingeschrieben hat, auch umgesetzt wird. Wie gesagt, derzeit sind die Signale aus dem Bundesinnenministerium, dass das Gegenteil der Fall ist und dass sie jetzt doch den Koalitionsvertrag brechen wollen und explizit das Ausnutzen und Geheimhaltung von Sicherheitslücken erlauben wollen.

Warum kaufen Staaten verschiedene Produkte und entwickeln ihre eigenen? Am Anfang, nach dem DiGiTask offensichtlich illegal war und nicht mehr eingesetzt wurde, hat der deutsche Staat begonnen, sein eigenes Produkt zu programmieren. Man hat gesagt, nur so können wir sicherstellen, dass es tatsächlich alle legalen Ansprüche einhält, alle gesetzlichen Vorschriften.

Das hat aber ein Stück gedauert und am Anfang hieß es, wir kaufen FinFisher mal für die Übergangszeit, bis wir unser eigenes Produkt fertig haben. Hat nicht ganz geklappt, denn FinFisher musste so oft überarbeitet werden, dass das überarbeitete FinFisher länger gebraucht hat, als das BKA ihr eigenes Tool programmiert hat. Sie nutzen es weiterhin oder haben es bis vor einiger Zeit weiterhin nutzen wollen. Dann mit der veränderten Begründung: als Backup-Plan, falls unser eigenes Tool nicht funktioniert. Und das ist der eigentliche Grund.

Diese Tools sind alle verschieden. Sie tun nicht dasselbe. Es fängt schon bei Smartphones an, es gibt zwei große Betriebssysteme. Aber wie gesagt, diese Tools zielen nicht nur auf Smartphones. Candiru zielt auf Windows-Rechner. Auch DSIRF hat mit Windows angefangen, wollte macOS später, und dann erst iOS und Android. Andere dieser Systeme hacken Internet Router. Wir wissen, dass die ZTIiS daran forscht, Autos zu hacken.

Für jedes Zielsystem, für jede Intrusion, um da reinzukommen, brauchen Sie spezielle Sicherheitslücken. Es muss speziell auf das Betriebssystem angepasst werden. Und mit den aktuellen Versionen mitgezogen werden, in dem ewigen Katz-und-Maus-Rennen.

Also aus einer technischen Sicht kann ich verstehen, warum staatliche Behörden mehrere dieser Tools haben. Ich würde mich freuen, wenn auch der Bund der Steuerzahler oder der Bundesrechnungshof mal eine Analyse davon macht, ob das auch angemessene Verwendung von Steuergeldern ist. Aber auch die werden eine schwere Zeit haben, angemessene Informationen bekommen.

Auskünfte von Unternehmen, habe ich mir noch notiert. Können Sie mir ein Stichwort geben?

Hannes Heide: In den Hearings waren verschiedene Unternehmen auch präsent oder oder verschiedene Auskunftspersonen. Und mit ihrem Wissen, ob ihnen da eklatant etwas aufgefallen ist, dass etwas mit Ihren Recherchen nicht übereinstimmt oder andere Kenntnisse.

Andre Meister: Ich muss gestehen, dass ich nicht die Zeit hatte, sämtliche 13 oder 14 Hearings, die es mittlerweile gab, zu gucken. Und da möchte ich diese Gelegenheit auch mal nutzen: Warum produziert dieser Ausschuss keine Transkripte? Niemand hat die Zeit, sich vier Stunden Video anzugucken. Sie nicht, ich nicht, und erst recht die Öffentlichkeit nicht. Warum gibt es keine Text-Transkripte ihrer Anhörungen? Dann hätte ich mir sehr gerne in der Vorbereitung auch die Aussagen der ganzen Firmen hier angeguckt. Das, was ich von den Texten gelesen habe, nichts davon kann ich widersprechen. Aber ich habe nicht die vollständigen Sessions angeguckt.

Hannes Heide: Sie haben nämlich eins transkribiert. Nämlich mit Pegasus, mit NSO. Ist da nichts aufgefallen?

Andre Meister: Von NSO Pegasus gab es ein Transkript. Das haben wir erhalten und veröffentlicht. Es ist mir nichts präsent. Das war das zweite Hearing. Das ist Monate her.

In der Tat sind mir da schon komische Dinge aufgefallen. Aber Edin von Privacy International, der direkt danach gesprochen hat, hat glaube ich die Punkte besser gekontert, als ich das jetzt so viel später tun kann.

Ich dachte, Sie meinen die Big-Tech-Firmen.

DSIRF, das ist eine sehr illustre Firma. Ich bin auf die aufmerksam geworden. Ich war gar nicht der Erste. Vor uns war der Focus, ein deutsches Nachrichtenmagazin, das über einen anderen Teil des Business von DSIRF berichtet hat. Und zwar über biometrische Überwachungssysteme in großen Anlagen bis hin zu Einkaufszentren und Flughäfen und so weiter und so fort. Gesichtserkennung, Verknüpfen mit Kundenkarten und echten Identitäten von Menschen.

Der Focus hat es entdeckt und darüber berichtet und in einem Nebensatz erwähnt: „Und Sie tun auch so, als ob sie Spyware herstellen.“ Ich habe das gelesen und gedacht „Das ist ja interessant.“ Und fange an zu recherchieren.

Ich kann und werde jetzt hier meine Quellen nicht offenlegen. Aber ich glaube, ich habe vorhin schon gesagt, wir haben die Präsentation von DSIRF und ihrem Produkt Subzero in einer E-Mail von Jan Marsalek entdeckt. Und ich glaube, ich habe die E-Mail dann auch veröffentlicht. Und die Produktwerbung, die Produktbroschüre sowieso, mit weiteren Hintergrundinformationen zu der Firma.

Mehr als das, was wir damals veröffentlicht haben und was bisher in Österreich und durch andere Berichte raus gekommen ist, kann ich leider auch nicht öffentlich beitragen.

Jeroen Lenaers (Chair): Thank you. Katarina.

Katarina Barley: Ja, es gab zwei Fragen, die noch offen waren von mir. Das eine, ob ihnen bekannt ist, andere Staaten, die solche Programme quasi bestellt haben, abgespeckt haben, damit sie zu ihrem nationalen Regelungsrahmen passen. Und das zweite noch mal zu der Funktionsfähigkeit des Rechtsschutzes.

Andre Meister: Ich dachte, ich hatte beide beantwortet.

Ich kenne kein anderes Land, dass so etwas wie eine Quellen-TKÜ konzeptionell juristisch hat. Deswegen hat auch kein anderes Land das als Anforderungen in ihren Kaufverträgen und auch das mit dem Rechtsschutz.

Wir hatten schon eine politische Debatte. Ich bin kein Jurist. Verzeihen Sie mir, dass ich jetzt nicht detailliert analysieren werde, wo im deutschen Rechtssystem noch nachjustiert werden könnte.

Wie ich auf die anderen Anfragen gesagt habe: Ich glaube nicht, dass wir großartig versuchen sollten, im Nachhinein einzelne Stellschrauben nachzujustieren. Aus unserer Perspektive sind diese Tools so gefährlich und auch nicht notwendig, weil es gibt ja Alternativen, dass wir nicht nachträglich irgendeinen Rechtsschutz einbauen sollten, sondern dafür sorgen sollten, dass die in der EU und in der ganzen Welt nicht mehr genutzt werden.

Jeroen Lenaers (Chair): Thank you. Just a couple of questions from my side.

One thing you said was interesting. When you look at the statistics, you said both for last year and this year, there are a number of issues where the police was granted the permission to use hacking and then a number of cases where it was used. So I think for this year it was 48 times granted, 22 times they actually used it. So what what contributes to this difference between the 48 and the 22? Is those 26 times factors that they feel to do it or they chose not to do it. What what is the reasoning behind that?

Secondly, on victims, we’ve heard that at least in the majority of EU member states with two, I think, notable exceptions, targets or victims of this kind of spyware have the right constitutionally to be informed. After the spying, when the hacking has ended. So at least when there is no more national security or whatever legal reason to do the spying, they have the right to be informed. And therefore, I’m surprised about the lack of victims known in that sense, because there’s no such such mechanism in Germany?

And then thirdly, on the legislation. You mentioned the 42 grounds for hacking that are in the legislation. Are these all at the same level? Are they is there a hierarchy? And is there certain types of spyware or hacking that you can use for terrorism or murder, but not for extortion or drugs? Or is all of these 42 grounds for using state hacking, regardless of what kind of technology can be used to do the hacking?

Andre Meister: Yes. Thank you.

Very sharp to observe the difference between how many times police were granted to use these tools and actually use them in practise. Again, unfortunately, we do not have official answers of this difference in official answers.

It is hard to install state hacking tools. It is hard to hack devices. It is technically complicated. You need to know a lot of information about the target device. If it is up to date, if it is following all the security precautions. Especially with German police’s own developed software, it does probably not have a full list of all zero-day vulnerabilities usable against most currently patched iPhone. It’s a technological race, a cat and mouse game between defenders and offenders.

Jeroen Lenaers (Chair): With Pegasus.

Andre Meister: We don’t know how many times German police have used NSO Pegasus. They have only cleared it for use last year. The statistics we have were for 2020, so the statistics were Pre-Pegasus.

Pegasus, as I understand it, was or is, we don’t really know, exceedingly good. Attacking, fully patched, especially iPhone and Android devices. But maybe the target had a BlackBerry. Maybe they had a feature phone. Maybe they had a hardened Linux system. Maybe they wanted to hack their email service provider. It’s not just about two types of smartphones. It’s about any digital device people are communicating with. So we don’t know what the difference is. And I would be glad if the police were here to tell us.

Yes. In Germany, we also have a system, that people who are surveilled by police and even by secret services, have to be notified of their surveillance after the proceedings ended. That’s in the law. However, that is also not the practise. It is not the case that every single victim in every single case is actually concretely notified of how specifically they were targeted. I have yet to see such an information. I would be highly interested in that.

We have an example. There are legal battles in Germany about the duty to inform people after they have been surveilled. We have this thing called „Funkzellenabfrage“ or cell tower dumps, which has also been a pet project of mine. I’ve been working on that for many years. There the police gather thousands and millions of cell tower call data records from areas of crime, creating a de facto data retention for a certain place and time.

By law, they have to notify every single individual whose data they collect with it. But they don’t. They claim that these people don’t have an interest to be informed about that. And they claim that they don’t know who these people are, even though they have their phone number. So this is a legal battle in Germany and a political battle, too.

Maybe we should go back to the law and maybe have some kind of statistics. I don’t know of any statistics of how many of those surveillance where has happened were notified. I would be glad if the notification quota is 100%, but I fear that’s not the case.

And if people were notified, it is still a question how understandable and detailed they are told what has actually happened. Because they might just be told „We have done telecommunications surveillance on you with this section of the Criminal Code.“ But it does not differentiate between a classic phone tap and active hacking of their device. That’s the legal trick they use. It’s the same paragraph in the law. So they might have said, we’ve done surveillance, communications surveillance on you. And not even lawyers will know for sure that they’ve been targeted by state hacking.

There’s only one difference in German spyware between a small state hacking just exfiltrating communications and big state hacking exfiltrating everything and anything on a device. But beyond that, there is no further distinction. There is one list of 42 serious crimes which allow police to tap a phone and also to hack the device. There is no distinction between the formation of a terrorist organisation, the formation of a criminal organisation, murder or drug crimes or the other not so grave crimes I have mentioned.

Yeah, I think that answers the question.

Jeroen Lenaers (Chair): Yes. Maybe one additional question, because there is no distinction made in the law in the sense is the distinction made when requesting a court order, as we’ve seen from other countries, for instance, that where court orders were there for the surveillance or the installing of spyware on certain targets, but these targets were only known by a number the technology used to do the hacking was not disclosed through the courts. Is there a need in Germany? If you ask for a court order, the police ask for a court order to to use this legislation to to hack. Do they need to inform the judge whether this is classic wiretapping or using technology to target a device? And if so, which technology used? Or is it something that could be done also without the knowledge of the courts?

Andre Meister: That’s a very good question. I am not a lawyer or a judge myself. As far as I know, the investigators only specify the section of the criminal code, saying we want to do surveillance on this, we used to call them, selectors, on this phone number, an email address or whatever identifier of a target. I am pretty sure that most of these applications do not clarify between a difference of we want to do a classic phone tap or active hacking of a device because it’s at the exact same legal code. They will say, and we’ll do a communications interception according to section 100a of the Criminal Procedure Code. That’s it.

Then it is highly unlikely and I would doubt that they ever voluntarily disclose the actual tool they use. They don’t even do that for classical surveillance system. We use our classical phone tapping surveillance. I forgot the name. I published the name once. Something similar to Pegasus actually. But they will not disclose. We want to surveil this person and we were going to use RCS or Pegasus or FinFisher. That will not be in a court order and it will especially not be in the possible notifications these people might get later.

On this, allow me a recourse to my introductory statement. The very fact that in the reporting of how many times this has happened, the prosecutors have mixed up a classic phone tap and active hacking of devices in their statistics, shows that in practise that difference is interesting to us and integral to this committee, but not to the day -to-day work of criminal justice courts. I don’t know if you’ve been. Most would claim they read every word of every application they get on their desk. But I hear that with the workload they have, that might not always be the case.

Jeroen Lenaers (Chair): A comment from Katarina Barley.

Katarina Barley: Yes, I couldn’t answer that question. The times when I was a judge, are way past this technique. But I would just be grateful to indicate when it’s a presumption that you’re making and not a knowledge. It was pretty clear, but it then got kind of confusing. So I couldn’t answer that question myself. I have been I have ordered this kind of but very conventional surveillance at the time. And yes, you do have a workload as a judge but you know that this is the most serious operation that you can allow. So I would presume that judges are acting responsibly with that. But I’m also in the field of presumption here, so I think we should make that clear.

Jeroen Lenaers (Chair): Thank you for the comment. And to be honest, I think it was very clear that Mr. Meister spoke of presumptions when he indicated that. Also, because he was very clear that he was not a lawyer or a judge and that he’s here as an expert, as a journalist.

And I’m very, very happy that you also provide your opinion on these on this matter, also, because we keep, including myself, keep asking him questions that maybe fall in the domain of lawyers or judges. So and we I expect him to to answer our questions. So thank you. Thank you very much.

Another Member has arrived. I’m not sure if you… we are at the end of our Q&A. So if you have any more questions. No, then thank you very much.

Thank you very much, Mr. Meister, for being here. I have noted your your offer also to to send us some some additional information. Also with regards to the papers that are already distribution about the ten point plan, etc. I very much appreciated that you took the time to spend this Monday afternoon with us.

I share your your disappointment, which was also shared by many of the members, that you were the only guests here and that the German police authorities, even though they were invited, did choose not to participate in our hearing.

It’s not a unique case in in Germany. We have this with other member states as well. But it is disappointing.

But this is a little bit the fate of our committee. We will have to do a work against the resistance of some official authorities. But that shall only encourage us, just like it encourages you to keep on doing your job, your very important job that you do in investigating these issues in Germany. So thank you. Thank you very much.

Thank you for the colleagues. We meet again on, I believe, next week, Thursday, the 24th, if I’m not mistaken. Yes, I get the confirmation from Mr. Meister, that we meet again on Thursday 24th of November from 9 to 12.

Thank you all very much and have a nice evening.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

Spionageskandal Pegasus: Deutschland mauert gegen EU-Abgeordnete

netzpolitik.org - 15 November, 2022 - 17:46

Auch deutsche Behörden setzen den umstrittenen Staatstrojaner Pegasus ein, um Smartphones auszuspähen. Vor einem Ausschuss im EU-Parlament hätte die Regierung dazu viele offene Fragen beantworten können. Doch die Verantwortlichen bleiben fern – und stellen sich damit in eine Reihe mit Staaten wie Polen.

Abgeordnete Katarina Barley nutzte ihre Redezeit vor allem, um die Ampel-Regierung gegen Kritik zu verteidigen. – Alle Rechte vorbehalten Screenshot: Europäisches Parlament

Es hat ja schon eine gewisse Tradition, dass Verantwortliche aus den unterschiedlichen EU-Staaten, die im Skandal um den Staatstrojaner Pegasus mit drinhängen, die Zusammenarbeit mit dem Untersuchungsausschuss im Europa-Parlament verweigern. Die polnische Regierung hat den Ausschuss schon versetzt, auch in Spanien, wo der bislang größte Abhörskandal in der EU bekannt wurde, kamen keine Regierungsvertreter zum Termin mit den Abgeordneten. Doch irgendwie hatte man gehofft, dass die deutsche Regierung verantwortungsvoller handeln würde.

Diese Hoffnung wurde enttäuscht. Zu einem Anhörungstermin am Montag, der sich um den Einsatz von staatlichem Hacking in Deutschland drehen sollte, erschien niemand aus dem Bundeskriminalamt (BKA) und schon gar nicht aus dem zuständigen Innenministerium. Seit vergangenem Oktober ist bekannt, dass auch das BKA eine Version der umstrittenen Spähsoftware Pegasus gekauft hat und einsetzt, um damit Smartphones auszuspähen. Bei einer als geheim eingestuften Sitzung im Innenausschuss soll Vize-Behördenchefin Martina Link das den Parlamentarier:innen bestätigt haben.

BKA kommt trotz Einladung nicht

So aber bleiben sehr viele Fragen offen. Etwa jene danach, wie es überhaupt möglich ist, eine Version der Spähsoftware so einzusetzen, dass sie mit deutschen Gesetzen vereinbar ist. Diese erlauben das gerichtlich genehmigte Ausspähen in einer Reihe festgelegter Straftaten, darunter Drogendelikte, setzen zugleich aber klare Grenzen und unterscheiden zwischen zwei verschiedenen Arten des Abhörens. Staatstrojaner wie Pegasus, die der israelische Hersteller NSO offiziell nur an staatliche Behörden verkauft, unterscheiden hier technisch gesehen nicht. Ist die Software einmal heimlich auf dem Handy installiert, lässt sich damit aus der Ferne alles überwachen, was Menschen auf ihren Geräten tun, selbst in verschlüsselten Nachrichten.

Die Pressestelle des Ausschusses des Europäischen Parlaments schrieb, das BKA sei eingeladen gewesen und hätte aus Termingründen abgesagt. Auch das BKA bestätigte auf Anfrage, Vize-Chefin Link hätte die Einladungen zu mehreren möglichen Terminen „aus terminlichen Gründen“ nicht wahrnehmen können. Der Ausschuss hat in solchen Fällen keine Möglichkeit, dies zu sanktionieren. So kam es am Montag zu der skurrilen Situation, dass ein Kollege aus unserer Redaktion als einziger Sachverständiger im Ausschuss vor den Abgeordneten auftrat und sprach. Andre Meister recherchiert für netzpolitik.org seit Jahren zum Einsatz von Staatstrojanern in Deutschland.

Seine Zusammenfassung machte vor allem deutlich, dass es dabei um weit mehr geht als Pegasus. Das Spähprogramm ist nur eines unter vielen im Portfolio der deutschen Geheimdienste und Ermittlungsbehörden, die unter anderem in den vergangenen zwanzig Jahren auch eigene Programme entwickelten und zahlreiche weitere hinzukauften.

Neben der Polizei hacken in Deutschland vor allem der Auslandsgeheimdienst und das Militär im Namen des Staates, berichtete Meister, doch ausgerechnet über die Hacking-Operationen dieser beiden Akteure sei nur äußerst wenig bekannt. Er plädierte dafür, statt von Spionagesoftware von staatlichem Hacking zu sprechen, weil der Begriff präziser benennt, worum es geht: das Eindringen des Staates in IT-Systeme.

Barley als Deutschland-Verteidigerin

Anders als in Spanien, Griechenland, Ungarn oder Polen sind hierzulande bislang keine Fälle bekannt, in denen Oppositionelle, Anwält:innen oder Menschenrechtsvertreter:innen mit Staatstrojanern ausgespäht wurden. Mehr noch: Es sind fast gar keine Betroffenen bekannt. Ein Umstand, der auch viele der anwesenden Parlamentarier:innen verwunderte, vor allem, da es in Deutschland eine gesetzliche Pflicht gibt, Ausgespähte nach Abschluss der Maßnahme über das Hacking zu informieren. Eine Frage, die auch Meister nicht beantworten konnte. Seine Vermutung: Das Informieren funktioniert nicht immer. Und technisch weniger versierte Strafverteidiger:innen merken womöglich nicht, dass ausgedruckte WhatsApp-Nachrichten und andere Beweise gegen ihre Mandant:innen per Hacking sichergestellt worden sein könnten.

Einen geradezu skurrilen Auftritt im Ausschuss hatte Katarina Barley, ehemalige deutsche SPD-Bundesministerin und heute Vizepräsidentin des EU-Parlaments. Sie nutzte ihre Redezeit vor allem dazu, um Andre Meister mehrmals beharrlich um Klarstellungen zu bitten: Dazu, dass das Rechtssystem in Deutschland doch gut funktioniere. Dass es in Deutschland keinen belegten Missbrauch von Spähsoftware gebe. Und dass die Vermutung des Sachverständigen, die Spähsoftware könnte früher oder später auch gegen Klimaaktivist:innen eingesetzt werden, reine Spekulation sei.

Während andere Abgeordnete vor allem interessierte Rückfragen zu den Besonderheiten der Situation in Deutschland stellten, ging es Barley dabei offenkundig vor allem um eines: die Ampel-Regierung und die eigenen Parteifreund:innen gegen allzu lästige Fragen und Kritik zu verteidigen. Ähnliches hat man bislang vor allem bei Politiker:innen aus jenen Staaten gesehen, denen im großen Stil politischer Missbrauch des Spähsoftware nachgewiesen worden war. Barley gehört wie die zuständige Bundesinnenministerin Nancy Faeser der SPD an.

Abschlussbericht im Frühjahr

Dabei hatte Meister das gar nicht behauptet. Er machte lediglich eines sehr deutlich: Die grundsätzlichen Probleme, die staatliches Hacking mit sich bringt, bestehen auch in Deutschland. Auch in der Bundesrepublik verweigert die Regierung jegliche Auskunft zum Kauf und Einsatz von Staatstrojanern unter Verweis auf „nationale Sicherheitsinteressen“. Auch in Deutschland halten Behörden Sicherheitslücken absichtlich offen und schaden damit der IT-Sicherheit – entgegen eines anders lautenden Versprechens aus dem Koalitionsvertrag der Ampel-Koalition. Barleys Hinweis, sie selbst habe den Abschnitt im Koalitionsvertrag mitverantwortet, ließ der Sachverständige damit auflaufen.

Der im März eingerichtete Ausschuss im EU-Parlament arbeitet planmäßig noch bis ins kommende Jahr und soll zum Abschluss auch eine Reihe von Empfehlungen vorlegen, wie der Einsatz der Spähsoftware in der EU reguliert werden soll, um Missbrauch und Gefahren für die Demokratie einzudämmen. Einen ersten Entwurf hat die zuständige Berichterstatterin, die niederländische Liberale Sophie in ´t Veld, vergangene Woche vorgelegt. Er wird nun in den nächsten Sitzungen im Ausschuss zunächst debattiert.

Hinweis: Andre Meister gehört der Redaktion von netzpolitik.org an.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

Fußball: Bundesdatenschutzbeauftragter zeigt WM-Apps die rote Karte

netzpolitik.org - 15 November, 2022 - 17:29

Wer zur Weltmeisterschaft nach Katar reist, muss sich zwei Zwangs-Apps auf das Smartphone installieren. Vor diesen warnt nun auch der Bundesdatenschutzbeauftragte eindringlich.

Wer nach Katar einreist, muss zwei potenziell gefährliche Apps installieren. Auf dem Bild: Ein Journalist mit Bundestrainer Hansi Flick (rechts im Bild). – Alle Rechte vorbehalten IMAGO / Ulmer/Teamfoto

Der Bundesdatenschutzbeauftragte warnt vor der Nutzung der katarischen Smartphone-Apps „Ehteraz“ und „Hayya“. Die zur Einreise nach Katar verpflichtenden Apps waren zuletzt wegen des Zugriffs auf persönliche Daten in die Kritik geraten. Die App „Ehteraz“ soll der Bekämpfung von Covid dienen, die App „Hayya“ ist die offizielle WM-App des Landes. Beide Apps sind in den gängigen App-Stores erhältlich und downloadbar.

In einer Meldung des Bundesdatenschutzbeauftragten heißt es:

So wird bei einer der Apps unter anderem erhoben, ob und mit welcher Nummer ein Telefonat geführt wird. Hierbei handelt es sich um mitunter sensible Telekommunikationsverbindungsdaten, die in Deutschland unter das Fernmeldegeheimnis fallen. Die andere App verhindert unter anderem aktiv, dass das Gerät, auf dem sie installiert wird, in den Schlafmodus wechselt. Es ist zudem naheliegend, dass die von den Apps verwendeten Daten nicht nur lokal auf dem Gerät verbleiben, sondern an einen zentralen Server übermittelt werden.

Der Bundesdatenschutzbeauftragte rät daher dazu, die beiden Apps nur dann zu installieren, wenn es absolut unumgänglich sei. Zudem sollte laut der Behörde erwogen werden, für die Installation ein eigenes Telefon zu verwenden, das ausschließlich für die Apps genutzt wird. Insbesondere sollten auf diesem Gerät keine weiteren personenbezogenen Daten, wie etwa Telefonnummern, Bild- oder Tondateien gespeichert sein. Im Nachgang der Nutzung der Apps sollten auf dem verwendeten Telefon das Betriebssystem und sämtliche Inhalte vollständig gelöscht werden.

Vor der Covid-App des Landes hatte schon im Jahr 2020 die Menschenrechtsorganisation Amnesty International gewarnt. Die App sei „menschenrechtlich problematisch bis gefährlich in Bezug auf willkürliche Überwachung und Verletzungen von Privatsphäre sowie Datenschutz“. 

Gefährliche Zwangs-Apps für Fußballfans

Anhaltende Menschenrechtsverletzungen 

Katar ist eine absolute Monarchie und steht wegen anhaltender Menschenrechtsverletzungen in der Kritik. Die Rechte von Frauen sind stark eingeschränkt, Homosexualität wird strafrechtlich verfolgt und für Kritik an der Regierung drohen lebenslange Freiheitsstrafen. Die Nichtregierungsorganisation Freedomhouse stuft das Land als „nicht frei“ ein.

Auch die Austragung der Weltmeisterschaft hat für Proteste gesorgt. So wurden die von Arbeitsmigrant:innen neu errichteten Stadien und die weitere Infrastruktur „auf einem Berg von Menschenrechtsverletzungen gebaut“, kritisiert die Menschenrechtsorganisation Human Rights Watch. In Deutschland fordern verschiedene Organisationen den Fan-Boykott der Weltmeisterschaft. Kritik gibt es auch an der Position des Deutschen Fußball Bundes (DFB), in dem ein Klima vorherrsche, der den Nationalspielern einen unsichtbaren Maulkorb verpasse.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

COP27: Ägypten überwacht Teilnehmende der Weltklimakonferenz

netzpolitik.org - 15 November, 2022 - 16:45

Das ägyptische Regime überwacht die Weltklimakonferenz und seine Teilnehmenden engmaschig. Ägyptische Sicherheitskräfte sollen regelmäßig ihre Befugnisse überschreiten und Gespräche, Panels und Protestaktionen filmen. Das Konferenzzentrum befindet sich dazu ausgerechnet in der Hand des ägyptischen Auslandsgeheimdienstes.

Bei der Weltklimakonferenz sollen sich die Teilnehmenden eigentlich auf die Bekämpfung des Klimawandels konzentrieren können. Dieses Jahr ist der Austausch aber nur eingeschränkt möglich. – Hintergrund: IMAGO / NurPhoto, Kamera: IMAGO / Dean Pictures, Montage: netzpolitik.org

Noch bis zum kommenden Freitag findet die diesjährige Weltklimakonferenz Cop 27 im Schatten der autoritären Realität des Gastgeberlandes Ägypten statt. Seit Beginn der Veranstaltung gibt es Vorwürfe, dass Teilnehmer:innen überwacht oder in ihrer Arbeit behindert werden. Auch die deutsche Delegation soll ausspioniert worden sein. Nun haben die Vereinten Nationen bekanntgegeben, die Vorwürfe zu prüfen.

Ägyptische Sicherheitskräfte stehen im Verdacht, eine Veranstaltung im deutschen Pavillon beobachtet und gefilmt zu haben. Wie Zeit Online berichtet, sollen sie den Ablauf der Veranstaltung zudem durch längere Redebeiträge gestört haben. Bei der Veranstaltung sprach unter anderem die Schwester des Bloggers und Demokratie-Aktivisten Alaa Abdel Fattah. Er ist einer der prominentesten von rund 60.000 politisch Inhaftierten in Ägypten. Zu Beginn der Konferenz trat er in einen Hunger- und Durststreik, um auf seine unmenschlichen Haftbedingungen aufmerksam zu machen. Den Hungerstreik hat er nun beendet.

Nach der Veranstaltung hat sich die deutsche Botschaft Medienberichten zufolge bei den ägyptischen Behörden beschwert. „Wir erwarten, dass alle Teilnehmenden der UN-Klimakonferenz unter sicheren Bedingungen arbeiten und verhandeln können“, wird ein:e Sprecher:in des Auswärtigen Amtes von der Nachrichtenagentur MEE unter Verweis auf die dpa zitiert. Vergangenen Samstag soll das Bundeskriminalamt (BKA) laut Informationen der Nachrichtenagentur Reuters dann eine Mail an die deutsche Delegation verschickt und sie vor ägyptischer Spionage gewarnt haben.

Ägyptische Polizist:innen als UN-Sicherheitspersonal

Die Ereignisse legen nahe, dass Ägypten seine Sicherheitskräfte vor allem dort einsetzt, wo die Lage der Menschenrechte in Ägypten zur Sprache kommt. Das Regime des Militärs as-Sisi unterdrückt schon seit Jahren Demokratiebestrebungen und Aktivismus, hat im Vorfeld der Cop 27 seine Überwachungsmaßnahmen aber noch ausgeweitet. Auf dem Konferenzgelände selbst kann das Land nicht ohne Weiteres hart durchgreifen, da es sich um UN-Gelände handelt.

Manche UN-Sicherheitskräfte seien jedoch ägyptische Polizeibeamt:innen, wie eine Stellungnahme des UN-Klimabüros bestätigt, die der Associated Press vorliegt. Grund hierfür seien „Umfang und Komplexität“ des Vorhabens, Sicherheit bei einer Veranstaltung von dieser Größe zu gewährleisten. Diese Sicherheitskräfte unterstünden aber der Abteilung für Sicherheit der Vereinten Nationen.

Auch außerhalb des Geländes sind Delegierte wie Einheimische vor Überwachung nicht sicher. In allen 800 Taxis Scharm al-Scheichs sollen Überwachungskameras installiert werden, die sowohl Video- als auch Tonaufnahmen erstellen, berichtet die Menschenrechtsorganisation Human Rights Watch. Die Aufnahmen würden laut dem Bericht an das ägyptische Innenministerium geschickt. Die Regierung begründet diese Maßnahme mit dem Ziel, das Verhalten der Taxifahrer:innen beobachten zu wollen.

In den letzten Tagen haben sich Teilnehmende vermehrt dahingehend geäußert, dass sie sich auf der Klimakonferenz beobachtet fühlten. „Sobald du Aktivismus in einem Gespräch erwähnst, kommen „Reinigungskräfte“ und technisches Personal zu dir“, sagt ein:e anonyme:r Teilnehmer:in gegenüber dem Guardian. Von kurzfristig stornierten Hotels bis zu Kreuzverhören am Flughafen – Betroffene berichten davon, dass sie sich alles andere als erwünscht fühlen.

Zu Gast beim Geheimdienst

Schließlich kommt noch hinzu, dass das Konferenzgelände offenkundig dem ägyptischen Auslandsgeheimdienst General Intelligence Service (GIS) gehört. Nach Recherchen der Stiftung Wissenschaft und Politik befindet es sich seit 2017 in der Hand des Geheimdienstes und wird von einem „undurchsichtigen Event-Unternehmen“ betrieben. Dieses Unternehmen organisiere die Logistik der Weltklimakonferenz, an der der GIS über diesen Weg vermutlich mitverdient.

Wie die Nachrichtenagentur Middle East Eye berichtet, fänden sogar Telefonkontrollen statt. So sei das Handy des Anwalts Makarios Lahzy wegen Verbindungen zu einem ägyptischen Umweltaktivisten konfisziert worden. „Auch wenn [die Telefonkontrollen] zufällig gestreut wirken, sind sie sehr gezielt.“ Die Anschuldigungen häufen sich also, überprüfen lassen sie sich leider nicht so einfach. Es bleibt nur die Hoffnung, dass die Vereinten Nationen ihrer Aufgabe nachkommen und die Vorwürfe prüfen.

Auch die App, die Teilnehmenden einen Überblick über das Konferenzgelände sowie Abläufe verschaffen soll, stand jüngst in der Kritik. Nutzer:innen müssten der App Berechtigungen gewähren, für die es technisch keine Erklärung gebe, warnten Expert:innen. Diese könnten laut dem Bericht dazu genutzt werden, Telefonate und selbst verschlüsselte Nachrichten zu überwachen. Ob diese Möglichkeiten auch genutzt werden, ist bisher noch unklar. Entwickelt wurde die App vom ägyptischen Ministerium für Kommunikation und Informationstechnologie.

Protestieren gegen Deutschland, ohne das Wort Deutschland zu benutzen

Dass sie zu Gast bei einem autoritären Regime sind, spüren vor allem Klimaktivist:innen, deren Aktionen strengen Regeln unterliegen. Es gibt sogenannte „designated protest areas“, die sicherlich nicht zufällig in der prallen Sonne liegen. Proteste müssen frühzeitig angemeldet werden und dürfen nur zwischen 10 und 17 Uhr stattfinden. Luisa Neubauer, deutsche Klimaktivistin und Sprecherin von Fridays for Future, erzählt auf Instagram von dem Gefühl, permanent überwacht zu werden. An Plastikpalmen seien Überwachungskameras angebracht. Während der Reden auf Demonstrationen dürften keine Länder oder Politiker:innen mit Namen genannt werden. „Wir gehen davon aus, dass unser Internet und unsere Chats überwacht werden“, sagt sie. Das ist nicht weit hergeholt, da WLAN-Betreiber:innen auf alle unverschlüsselten Inhalte zugreifen können und das WLAN höchstwahrscheinlich von einem regierungsnahen Unternehmen bereitgestellt wird.

Im Moment ist es keine Seltenheit, dass international viel beachtete Events in autoritär regierten Staaten ausgerichtet werden. Für die Diskussionskultur der Konferenz ist eine solche Atmosphäre besonders schädlich. Bei vielen Teilnehmenden ruft die potenzielle Überwachung großes Unwohlsein hervor. Gleichwohl stellt sie für diejenigen aus freiheitlichen Demokratien ein erheblich geringeres Risiko dar als für Menschen aus autokratisch regierten Staaten. Sie müssen befürchten, nach der Klimakonferenz verhaftet zu werden. Auch in Bezug auf Ägypten fürchten Beobachter:innen eine Welle der Repressionen. Ausgerechnet zu einem Zeitpunkt, zu dem die Welt vermutlich zur Fußball-Weltmeisterschaft nach Katar blicken wird.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

Netzneutralität bedroht: Entzauberte Mythen der Industrie

netzpolitik.org - 15 November, 2022 - 13:06

Netzbetreiber lobbyieren seit Jahren für ein Gesetz, das ihnen mehr Geld in die Taschen spülen soll. Nächstes Jahr könnte ihnen die EU nachgeben. Jetzt haben Expert:innen ein Papier vorgelegt, das zeigt: Das Vorhaben basiert auf Mythen und könnte das Internet bedrohen.

Mit den Märchen großer Tele­kommunikations­unternehmen will ein Papier zivilgesellschaftlicher Organisationen aufräumen. (Symbolbild) – Gemeinfrei-ähnlich freigegeben durch unsplash.com Anthony Tran

Zumindest einen Mythos haben große Tele­kommunikations­unternehmen einigermaßen erfolgreich in die Welt gesetzt: Es sei ungerecht, dass IT-Konzerne wie Netflix viel Datentransfer verursachen, sich aber nicht am Netzausbau beteiligen würden. Große Inhalteanbieter müssten deshalb einen „fairen Beitrag“ leisten, damit der europäische Sprung ins Gigabit-Zeitalter besser gelingt, so die Erzählung einschlägiger Lobbyorganisationen.

Damit ist die Industrie in Brüssel bislang gut durchgekommen. Unter dem von ihr geprägten Schlagbegriff „Fair Share“ denkt die EU-Kommission derzeit über Modelle nach, mit denen sie den Wünschen großer Netzbetreiber entgegenkommen will. Es könnte darauf hinauslaufen, dass betroffene Inhalteanbieter Geld an große europäische Tele­kommunikations­unternehmen ausschütten müssten, damit sie auch künftig ihre Nutzer:innen erreichen können. Ein konkreter Gesetzesvorschlag der EU-Kommission wird für Anfang nächsten Jahres erwartet.

Entzauberte Mythen

Bevor es dazu kommt, räumen nun zivilgesellschaftliche Organisationen mit den gängigsten Mythen dieser Debatte auf. Ein letzte Woche veröffentlichtes Papier (Englisch) greift dabei die Argumente der Betreiberlobby auf und liefert sachliche Antworten. Verfasst von der österreichischen NGO epicenter.works und unterstützt von neun weiteren NGOs, darunter dem Chaos Computer Club und Digitalcourage, will es „über die vielen Falschinformationen der Industrie“ aufklären.

So seien etwa die diskutierten Ansätze nicht mit der Netzneutralität vereinbar – anders, als es die Industrie und die Kommission darstellen. Erst im Vorjahr hatte der Europäische Gerichtshof festgestellt, dass sogenannte Zero-Rating-Modelle gegen EU-Recht verstoßen, weil sie bestimmte Datentransfers benachteiligen. Dies sei mit einer Zugangsgebühr in die Netze von Telekommunikationsunternehmen kaum anders, schließlich müssten dann Transfers zwangsläufig unterschiedlich behandelt werden, heißt es in dem Papier.

Grundsätzlich falsch sei auch die Überlegung, etwaige Zwangsgebühren an den Datenverbrauch zu koppeln: „Der Bandbreitenbedarf eines Online-Dienstes korreliert nicht mit seinem Umsatz“. Wenn man schon über Umverteilung und „Fair Share“ diskutiere, müsste man Marktriesen wie die Handelsplattform Amazon oder Suchmaschinen wie Google in den Blick nehmen, die indes gerade mal 1 Prozent des weltweiten Traffics verursachten.

Im Unterschied zu den von der Industrie finanzierten Studien stützt sich das NGO-Papier vor allem auf Untersuchungen von Regulierungsbehörden wie dem Gremium Europäischer Regulierungsstellen für elektronische Kommunikation (GEREK) und auf unabhängige wissenschaftliche Arbeiten.

„Virtuous Cycle“ des Internet-Ökosystems

Die hatten sich das Thema schon vor rund einem Jahrzehnt näher angesehen, als eine ähnlich gelagerte Debatte lief. Ältere wie aktuelle Untersuchungen zeigen etwa, dass die wahren Engpässe beim Infrastrukturaufbau bei mangelnden Baukapazitäten und komplizierten Genehmigungsverfahren liegen. Ohne Lösung dieser Probleme würden bereits geplante Ausbauprojekte schlicht teurer werden, argumentiert das Papier. Zudem sei alles andere gesichert, dass Mehreinnahmen für die Telco-Industrie auch tatsächlich in den Infrastrukturausbau fließen würden.

Ebenso gebe es keine belastbaren Beweise für die Behauptung, Netzneutralitätsregeln würden Investitionen in den Breitbandausbau verhindern. Stattdessen warnt unter anderem GEREK davor, dass das diskutierte „Sending Party Network Pays“-Modell das Internet-Ökosystem „signifikant beschädigen“ könnte.

Unter die Räder würde dabei nicht nur die Netzneutralität kommen, sondern auch der sogenannte „Virtuous Cycle“ des Internets. Es ist der Treiber für den gesamten Markt: Datenverbrauch entsteht ja in erster Linie deswegen, weil Online-Dienste attraktive Produkte anbieten, die von Nutzer:innen nachgefragt und aufgerufen werden. Dafür bezahlen sie bereits eine monatliche Rechnung, vielleicht bestellen sie sogar einen leistungsfähigeren Internetanschluss. Das wiederum macht neue Internet-Dienste möglich, die mehr Bandbreite benötigen.

Von diesem etablierten Kreislauf hat die Branche bislang prächtig profitiert: Erst kürzlich vermeldete der deutsche Marktführer Deutsche Telekom Wachstumsraten von knapp 9 Prozent und kündigte höhere Dividendenzahlungen an. Die US-Tochter wirft sogar so viel Gewinn ab, dass das Unternehmen Aktienrückkäufe im zweistelligen Milliardenbereich angekündigt hat. Am Geld, so scheint es, liegt es also nicht.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

We fight for your digital rights!: Verleiht uns Superkräfte – spendet jetzt!

netzpolitik.org - 15 November, 2022 - 07:26

Wir kämpfen für digitale Grund- und Freiheitsrechte. Für eine lebenswerte digitale Welt – für alle. Und dafür brauchen wir euch!

Team von netzpolitik.org (fast vollständig) – CC-BY-NC-SA 4.0 owieole

netzpolitik.org ist hierzulande das einzige Online-Medium, das Netzpolitik im Zusammenhang mit Freiheitsrechten betrachtet. Wir setzen uns konsequent ein – für die Zivilgesellschaft, für jeden einzelnen Menschen und seine Grundrechte. Wir wollen eine lebenswerte digitale Welt für alle.

Wir kämpfen gegen Giganten

Auch wenn wir über weniger Ressourcen als andere verfügen – seien es Behörden, Ministerien, Geheimdienste, Parlamente oder Unternehmen –, so nehmen wir doch seit Jahren zunehmend Einfluss auf netzpolitische Debatten und Entwicklungen. Und weil wir stetig gewachsen sind, können wir heute mehr Themen in den Blick nehmen als noch vor einigen Jahren – und mit langem Atem behandeln: Denn wir recherchieren dort, wo derzeit kaum jemand sonst hinschaut. Wir haken unermüdlich nach, auch wenn uns das keine Klicks bringt. Und am Ende bekommen wir exklusiv Dokumente zugesteckt, erfolgen Razzien in Überwachungsunternehmen, gewinnen wir Kämpfe vor Gericht.

Das alles geht nur dank euch! Ihr gebt uns die Möglichkeit, mit eurer Spende einen Unterschied in der Welt zu machen. Viele von euch unterstützen uns schon seit langem. Das macht uns glücklich und dankbar, denn es zeigt uns, dass unsere Prinzipien für Euch nach wie vor Gültigkeit haben. Dieses Vertrauen in unsere Werte und unsere tägliche Arbeit ist uns überaus wichtig.

Wir kämpfen für alle

Finanzielle Unterstützung erhalten wir nur von einem Teil derer, die uns lesen. Das ist völlig in Ordnung. Denn alle Menschen haben – unabhängig von ihrem Geldbeutel – ein Recht auf informationelle Teilhabe. Umso wichtiger ist es, dass diejenigen, die aktuell mehr als andere haben, für jene einspringen, die netzpolitik.org finanziell nicht fördern können.

In diesem Jahr wird es nicht leicht, unser gestecktes Spendenziel zu erreichen. Viele Menschen stellen ihre Spende ein, weil das Leben teurer wird. Solidarität ist eines unserer wichtigsten Prinzipien. Jeder Mensch kann alle Inhalte von uns lesen, ohne dafür mit den eigenen Daten bezahlen oder eine Paywall überwinden zu müssen. Und das soll auch so bleiben.

Wir brauchen deine Unterstützung

Vor allem aber ist unser Kampf für eure digitalen Rechte noch lange nicht am Ende, und auch unsere Widersacher werden nicht schwächer, ganz im Gegenteil.

Im vergangenen Jahr haben wir mit euch gemeinsam unser Spendenziel in Höhe von einer Million Euro erreicht. Das war gigantisch! Um unser diesjähriges Spendenziel in Höhe von 1.116.000 Euro zu erreichen, fehlen uns bis zum Jahresende noch 529.000 Euro.

Spende jetzt! Für ein netzpolitik.org, das stark und unabhängig ist und sich konsequent für digitale Grund- und Freiheitsrechte einsetzt. Euer Beitrag ist unser Auftrag! Eure Unterstützung ist unsere Superkraft!

Inhalt von spenden.twingle.de anzeigen

Hier klicken, um den Inhalt von spenden.twingle.de anzuzeigen

Inhalt von spenden.twingle.de immer anzeigen

Inhalt direkt öffnen

var _oembed_d92dec21bf90e631d9a8dfe47a915191 = '{\"embed\":\"<iframe style="width: 100%; border: none; overflow: hidden; height: 450px; position: relative; z-index: 2;" src="https:\\/\\/spenden.twingle.de\\/netzpolitik-org-e-v\\/wefight\\/tw636cd5863913b\\/widget"><\\/iframe>\"}';

Wir zeigen jeden Tag auf netzpolitik.org, was wir mit Hilfe eurer Spenden machen. Die größten Erfolge wollen wir euch in den nächsten Wochen mit exklusiven Hintergrundtexten einiger Redakteur:innen zeigen. Die Beiträge verdeutlichen, wofür wir uns engagieren, mit welchen Motiven und Mitteln wir recherchieren, schreiben und kämpfen – dank eurer Unterstützung.

Helft uns, weiter zu kämpfen – für eine lebenswerte digitale Welt, die allen Menschen dient.

Vielen Dank vom gesamten Team!

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

Sicherheit des Internets: Zertifizierungsstelle könnte Hintertür für US-Geheimdienst öffnen

netzpolitik.org - 14 November, 2022 - 19:24

Chrome, Safari und Firefox vertrauen den Zertifikaten von TrustCor Systems. Laut einem Bericht hat das Unternehmen jedoch Beziehungen zur US-Regierung und zu einem Spyware-Hersteller. Das könnte die Sicherheit von Webseitenaufrufen massiv gefährden.

Die Zertifikate stellen einen wichtigen Baustein für die Sicherheit im Internet dar. (Symboldbild) – Apps: IMAGO / ZUMA Wire; Ketten: IMAGO / Imaginechina-Tuchong; Montage: netzpolitik.org

Recherchen der Washington Post haben Zweifel an einem Unternehmen aufgeworfen, dass sicherheitskritische Zertifikate an Webseiten vergibt, um deren Vertrauenswürdigkeit nachzuweisen. Dem betroffenen Unternehmen TrustCor Systems vertrauen unter anderem die Browser Google Chrome, Safari und Firefox. Der Bericht legt nun unter anderem nahe, dass TrustCor Systems Beziehungen zu Vertragspartnern der US-Geheimdienste und zu einem Hersteller von Überwachungssoftware unterhält.

Wer eine Website im Browser aufruft, setzt dabei aufwändige Verschlüsselungsprozesse in Gang. Diese wiederum benötigen sogenannte TLS-Zertifikate, welche häufig von Drittunternehmen an Websites vergeben werden. Ihnen kommt damit eine kritische Rolle in der Sicherheit des Internets zu, denn sie signalisieren den Browsern, dass eine Website vertrauenswürdig ist. Missbrauch könnte dann zum Beispiel so aussehen, dass das Unternehmen Zertifikate an eine Website vergibt, die sich fälschlicherweise als Online-Banking-Portal einer Sparkasse ausgibt.

Fragwürdige Beziehungen

TrustCor Systems ist durch seine besondere Stellung als Root-Zertifizierungsstelle sogar in der Lage, andere Stellen zur Vergabe von Zertifikaten zu authorisieren und soll bereits an etwa 10.000 Webseiten Zertifikate vergeben haben. Das ist zunächst nichts Ungewöhnliches. Ungewöhnlich ist jedoch, dass das Unternehmen offenbar in Panama registriert ist und laut Bericht der Washington Post eine „identische Liste von Beamten, Bevollmächtigten und Partnern“ aufweist wie ein anderes Unternehmen, das Überwachungssoftware herstellt: Measurement Systems.

Das Spyware-Unternehmen fiel in der Vergangenheit dadurch auf, dass es Entwickler:innen dafür bezahlte, Überwachungscode in ihre Apps zu integrieren. Die betroffenen Apps, die um Funktionen zur Weitergabe von Telefonnummern, Email-Adressen und GPS-Daten modifiziert wurden, wurden nach Schätzung von Sicherheitsforscher:innen mehr als 60 Millionen Mal heruntergeladen. Measurement Systems wiederum gehört laut Bericht zu einem Anbieter von Abhördiensten aus Arizona namens Packet Forensics, der seit mehr als einem Jahrzehnt die US-Regierung beliefert.

Dafür, dass TrustCor tatsächlich die Zertifikatsvergabe missbraucht hätte, gibt es bislang keine Beweise. Wissenschaftler:innen zweier Universitäten, auf deren Forschung sich der Beitrag stützt, halten es aber durchaus für denkbar, dass das System gegen einzelne, besonders wichtige Ziele und über kurze Zeiträume eingesetzt werde. Laut einer anonymen Quelle mit Verbindungen zu Packet Forensics sei genau das bereit geschehen: Packet Forensics habe demnach den Zertifizierungsprozess von TrustCor genutzt, um Kommunikation für die US-Regierung abzufangen.

Unternehmen kann verschlüsselte Mails mitlesen

TrustCor bietet auch den Email-Dienst MsgSafe.io an, der vom Unternehmen als Ende-zu-Ende verschlüsselt beworben wird. Die Wissenschaftler:innen warnten jedoch, dass das Unternehmen die Mails lesen könne. Für eine echte Ende-zu-Ende Verschlüsselung müssten allein Nutzer:innen des Dienstes über die privaten Schlüssel verfügen, TrustCor generiere und verwalte die privaten Schlüssel jedoch selbst. Außerdem habe TrustCor in einer Testversion den Spyware-Code von Measurement Systems integriert, ein weiterer Überschneidungspunkt der beiden Unternehmen.

In Reaktion auf den Bericht hat Mozilla TrustCor aufgefordert, innerhalb von zwei Wochen Stellung zu beziehen. Unter anderem soll das Unternehmen über seine Beziehungen zu Measurement Systems und Packet Forensics aufklären und berichten, wie der Spyware-Code in seinen Email-Dienst gelangte. Von Packet Forensics hieß es bereits, dass es aktuell keine Geschäftsbeziehungen zu TrustCor unterhalte. Nicht sagen wollte das Unternehmen jedoch, ob es in der Vergangenheit Verbindungen gab.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

Nach investigativer Iran-Recherche: EU verhängt Sanktionen gegen ArvanCloud

netzpolitik.org - 14 November, 2022 - 16:01

Etwa drei Wochen nach einer gemeinsamen Recherche von taz, Correctiv und netzpolitik.org hat die EU heute Sanktionen gegen ein iranisches Cloud-Unternehmen verhängt. Unsere Recherchen hatten die Rolle des Unternehmens beim Aufbau eines abgeschotteten Netzes im Iran offengelegt.

Eine Frau protestiert für die Demokratisierung des Iran bei einer Demonstration in Köln am 5. November 2022. – Alle Rechte vorbehalten IMAGO / aal.photo

Die Europäische Union hat das iranische Cloud-Unternehmen ArvanCloud auf seine Sanktionsliste (PDF) gesetzt, die heute veröffentlicht wurde.

In der Begründung der EU heißt es zu ArvanCloud:

Seit 2020 ist es ein wichtiger Partner bei dem Projekt der iranischen Regierung im Allgemeinen und des iranischen Ministers für Informations- und Kommunikationstechnologie im Besonderen, um eine separate iranische Version des Internets einzurichten. Ein solches nationales Intranet mit Verbindungspunkten zu dem globalen Internet wird dazu beitragen, den Informationsfluss zwischen dem iranischen Intranet und dem globalen Internet zu kontrollieren.

Als solches ist ArvanCloud an der Zensur und den Bemühungen der iranischen Regierung beteiligt, das Internet als Reaktion auf die jüngsten Proteste im Iran abzuschalten. ArvanCloud wird auch mit Personen in Verbindung gebracht, die für schwere Menschenrechtsverletzungen im Iran verantwortlich sind, insbesondere mit dem in der EU gelisteten iranischen Minister für Informations- und Kommunikationstechnologie.

Gemeinsame Recherchen von taz, Correctiv und netzpolitik.org sowie unabhängig davon ein Bericht des Tagesspiegels hatten im Oktober gezeigt, dass das deutsche Unternehmen aus Meerbusch in Nordrhein-Westfalen zusammen mit ArvanCloud in den Aufbau eines abgeschotteten Internets im Iran verwickelt ist. Softqloud betrieb zum Zeitpunkt der Recherche und darüber hinaus mehrere Datenzentren in Europa, die bei einer Abschottung des Internets den Betrieb des internen iranischen Netzes hätten gewährleisten können.

Deutsche Firma in Aufbau des abgeschotteten Internets im Iran verstrickt

Verbindungen zum iranischen Regime

Die Firma Abr Arvan, die im Internet als ArvanCloud.com auftritt, ist in ein dichtes Netz iranischer Unternehmen und Banken eingebunden. Ein Tochterunternehmen der FANAP hat Beteiligungen an Abr Arvan. Die FANAP ist ein Technologie-Unternehmen der iranischen Pasargad Bank mit vielen Untergliederungen. Die Pasargad Bank wurde von den USA auf die Sanktionsliste gesetzt, weil sie die Revolutionsgarden unterstützen soll. Auf der Webseite der FANAP gibt es eine eigene Seite über ArvanCloud, auf der es heißt, dass das Unternehmen 200 Mitarbeiter:innen habe. Die Recherchen konnten zeigen, dass es enge Verbindungen zwischen dem iranischen Regime und ArvanCloud gibt.

Eng waren auch die Verbindungen zwischen ArvanCloud und der deutschen Softqloud GmbH. Unsere Recherchen legen nahe, dass es sich nicht um eine eigene Firma handelte, sondern dass diese unter der Kontrolle des iranischen Internetunternehmens stehen oder gestanden haben könnte. Dies bestritten Abr Arvan und Softqloud damals. Softqloud selbst sagte, dass ArvanCloud ein gemeinsames Projekt von Abr Arvan und Softqloud gewesen sei. Diese Version vertritt auch ArvanCloud.

Nach den Recherchen von taz, Correctiv und netzpolitik.org sind die Unternehmen ArvanCloud und Softqloud daran beteiligt, ein funktionierendes iranisches „Intranet“ zu bauen. Dies belegen unter anderem Verträge, die netzpolitik.org teilweise veröffentlicht hat. ArvanCloud bestreitet, dass es eine bedeutende Rolle beim Aufbau dieses Netzes spielt.

Iranische Internetaktivisten haben schon seit Längerem auf die Rolle von ArvanCloud hingewiesen. Einige von ihnen sind derzeit in Haft im Iran.

Aufbau eines nationalen Intranets

Seit 2005 will der Iran ein so genanntes „National Information Network“ (NIN) aufbauen – eine Art Intranet im Iran, das vom weltweiten Internet unabhängig ist. Als Vorbild dient China, das mit der „Great Firewall“ ein solches Netz schon aufgebaut hat. Mit Hilfe des nationalen Netzes könnte das Teheraner Regime das internationale Internet blockieren, während iranische Unternehmen und Regierungsinstitutionen dank des Intranets weiterarbeiten könnten.

Derzeit bringen die Internetabschaltungen, mit denen das Regime regelmäßig Proteste, Mobilisierungen und Informationsflüsse behindert, das Land digital zum Erliegen – mit entsprechenden Kosten für die iranische Wirtschaft. Allein der Online-Handel macht nach Angaben der iranischen Handelskammer in jeder Stunde, in der das Internet abgeschaltet wird, Verluste in Höhe von etwa 1,5 Millionen Euro.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

Alltägliche Wahrheiten: Goodbye Twitter!

Blogs - 28 August, 2018 - 19:42

Soeben habe ich meinen Twitteraccount deaktiviert. Gerne hätte ich ihn komplett „gekillt“. Das ist erst nach weiteren 30 Tagen möglich.

Screenshot meines Twitterprofils

 

 

 

 

 

Weil man acht digitale Jahre nicht so einfach auf den persönlichen Müllhaufen werfen kann, hatte ich mich jetzt zwei Wochen lang damit schwergetan. Das persönliche Faß zum Überlaufen gebracht hat die Twitterblockade der Tweets von Digitalcourage e.V. zum Aktionstag #SaveYourInternet am letzten Wochenende.

Auch ohne meinen Account bei mastodon hätte ich das jetzt gemacht. Dort erreicht man mich jetzt unter Oreo_Pirat@mastodon.social in einer vom Umgangston her wesentlich entspannteren und freundlicheren Atmosphäre.

Ich will und kann niemandem Vorschriften machen, ob und wie er/sie Twitter weiter nutzt. Meine Weggefährten aus den letzten Jahren habe ich charakterlich und politisch so in Erinnerung, dass auch sie bald das Richtige mit ihrem Twitteraccount machen werden.

 

 

 

Kategorien: Blogs

Bewild-Online.de - Mein Stift, mein Zettel, mein Blog!: Deutschland im Jahr 2018

Blogs - 28 August, 2018 - 13:04

Ein Mensch ist ermordet worden. Das wäre der Zeitpunkt, am Ort des Geschehens eine Kerze zu entzünden, Hinterbliebene zu unterstützen, dem Opfer zu gedenken. Die Strafverfolgung, die Verurteilung und die Vollstreckung des Urteils ist und bleibt in Deutschland Angelegenheit der Polizei, der Staatsanwaltschaft und der Gerichte.

Statt dessen macht sich ein Mob auf den Weg in die Innenstadt um allen zu zeigen „wer in der Stadt das Sagen hat“. Mit dabei: polizeibekannte gewaltbereite Hooligans. Ein MdB der AFD ruft auf Twitter zur Selbstjustiz als Bürgerpflicht auf, Augenzeugen berichten von Gruppen die durch die Stadt laufen und zum „Kanakenklatschen“ aufrufen. Jagdszenen. 26 Jahre nach den Anschlägen von Rostock-Lichtenhagen, fast auf den Tag genau.

Mit dem Mord an einem 35jährigen hat das alles zu diesem Zeitpunkt schon nichts mehr zu tun. Ich verwette meinen Hintern darauf, dass beträchtliche Teile der fast 1000 „besorgten Bürger“ die in Chemnitz aufmarschierten, erst im Nachhinein überhaupt von dem Mordfall erfahren haben. Das war den meisten wohl auch völlig egal.

Wir sprechen nicht von einer legitimen Demonstration die einen Mangel an öffentlicher Sicherheit anprangert. Wir sprechen hier von einem wütenden Mob, der nur auf den richtigen Moment wartete, um endlich zu starten.

Wir sprechen hier nicht mehr von „besorgten Bürgern“, „Islamkritikern“, „Fußball-Ultras“ oder „Verlierern des Systems“. Wir sprechen von Leuten wie Frau Faschner [1], die ihre Abneigung gegen Ausländer mit „Weil man ja gegen irgendwen sein muss, und mit denen ist es einfach“ begründet. Wir sprechen von Menschen die „Ausländer raus“, „Deutschland den Deutschen“ und „Schlagt den Roten die Schädeldecke ein“ brüllen [2] und/oder in aller Öffentlichkeit und bestimmt nicht in satirischem oder künstlerischem Kontext den Hitlergruß zeigen [3].

Wir sprechen von Rechtsradikalen und Nazis!

Niemand der am Sonntag oder gestern dort mitgelaufen ist, Verständnis oder gar Sympathie für die Handlungen zeigt, kann es sich mehr verbitten als Nazi bezeichnet zu werden.

Es ist an der Zeit, das Kind endlich beim Namen zu nennen. Es ist an der Zeit einzusehen, dass es nichts mit Verunglimpfung der Personen oder einer Verharmlosung dunkler Teile unserer Geschichte zu tun hat, wenn man diesen Begriff benutzt.

Wir leben in Zeiten, in denen ein Videospiel zensiert wird, bzw. für den deutschen Markt bis zur erzählerischen Sinnentleerung umprogrammiert werden muss, weil der Protagonist gegen Nazis kämpft und zur Kulissendarstellung Hakenkreuze im Spiel auftauchen [4]. Gleichzeitig marschieren Rechte auf und zeigen öffentlich und in eindeutigem Kontext den Hitlergruß und die Polizei schaut zu. Währenddessen brechen Journalisten in einer deutschen Stadt ihre Arbeit ab, weil die Sicherheitslage es nicht mehr zulässt [5]. Deutschland im Jahr 2018.

Am Rande bemerkt: Die Polizei überlässt quasi ganze Straßenzüge Rechtsradikalen, weil sie personell nicht in der Lage ist, die Situation zu handlen [1]. Ob allgemeiner Personalnotstand oder eine katastrophale Fehleinschätzung der Lage im Vorfeld dafür verantwortlich ist, lässt sich nicht eindeutig beantworten. Eindeutig ist jedoch, dass eine Ausweitung der Polizeigesetze, wie sie in nahezu jedem Bundesland derzeit angestrebt oder umgesetzt wird, nicht die Problemlösung sind, als die sie uns verkauft werden sollen.

UPDATE (15:40 Uhr): Ein Freund des Opfers erklärt auf Facebook [6]:

[…] Diese Rechten die das als Plattform nutzen, mit denen mussten wir uns früher Prügeln, weil sie uns nicht als genug deutsch angesehen haben. Jeder der Daniel Hillig gekannt hat, weiß das dies unmöglich sein Wille gewesen wäre. Lasst euch nicht Benutzen, sondern trauert… […]

 

[1] http://www.spiegel.de/politik/deutschland/chemnitz-wie-die-polizei-eine-stadt-den-rechten-ueberliess-a-1225238-amp.html

[2] https://twitter.com/Chronik_ge_Re/status/1034181409416638471

[3] https://twitter.com/cschellhorn/status/1034126675280310275 , https://twitter.com/LennartPfahler/status/1034166867504627712

[4] https://de.wikipedia.org/wiki/Wolfenstein_II:_The_New_Colossus#%C3%84nderungen_der_deutschen_Version

[5] https://twitter.com/Lieber_Bunt/status/1034172536878247936

[6]: https://www.facebook.com/daniel.winderlich.5/posts/2131211603609523?__xts__[0]=68.ARBjY8SpiHg6OSBZYJ0VZHAN9sWn_9XZcRUXY0LIvLt9itAPfebpoadytVAZYrlW2vEtgZO8JPjB6yNRj2TSWXXdvsld_ppIpzz5NVq8WgdgrMFaH1YuFJpHUN2nX_VqWO7lPOE&__tn__=-R

Kategorien: Blogs

Pirat Aleks A.: Interessante Links und Nachrichten 20.08.2018ff

Blogs - 24 August, 2018 - 18:50
Kategorien: Blogs

Alltägliche Wahrheiten: Was mache ich eigentlich jetzt?

Blogs - 24 August, 2018 - 12:50

Bekanntlich reichte es für uns Piraten 2017 nicht zum Wiedereinzug in den schleswig-holsteinischen Landtag. Lange Zeit deswegen traurig zu sein, hatte ich nicht. Etwas mehr als zwei Wochen nach der Wahl sorgte ein ziemlich heftiger (gibt´s andere?) Herzinfarkt dafür, dass ich aus meinem bisherigen Leben aussteigen musste. Direkt nach der etwa siebenstündigen Bypass-OP konnte ich gerade mal 20 Meter gehen. Danach war erst einmal Pause angesagt. Heute, 15 Monate später, lege ich täglich auf dem Ergometer zwölf bis dreizehn Kilometer zurück und mache gerne ausgedehnte Spaziergänge. Geholfen hat dabei natürlich, dass ich weg bin von den circa 40 Zigaretten am Tag.

So ein Schuss vor den Bug ordnet – wenn man ihn denn richtig deutet – vieles neu. Man setzt andere Prioritäten. Politik spielt entsprechend nur noch eine sehr untergeordnete Rolle in meinem Leben. Mein Dienstherr hat mich vorzeitig in den Ruhestand versetzt, nachdem amtsärztlich feststand, dass ich nicht wieder die Fitness erreichen werden würde, die man als Ermittlungsbeamter bei der Zollfahndung nun einmal braucht.

Ganz und gar ohne Einmischen geht es allerdings auch nicht. Helfe mit Rat (öfter) und Tat (seltener) gerne in meiner Partei und an anderen Stellen. Nach wie vor haben Whistleblower genug Vertrauen zu mir und melden sich. Gerne helfe ich ihnen beim richtigen Unterbringen ihrer Informationen. Dabei helfen die „alten“ Kontakte aus dem Parlament natürlich. Das Schöne daran ist, dass ich die „Schlagzahl“ bestimmen kann. Nach dem Tod vom Jürgen Roth im letzten Jahr versuche ich in seinem Sinne handelnd „Dinge auf den Weg zu bringen“.

Dass ich nun wesentlich mehr Zeit für gute Musik und vor allem natürlich guten Blues habe, werdet Ihr noch merken, wenn ich von Konzerten berichte oder nur mal so auf Musiker hinweise.

Kategorien: Blogs

Piraten Ulm: Kommunalwahl 2018 in Ulm

Blogs - 24 August, 2018 - 09:47

Es war wohl keine so gute Idee mitten in der Urlaubszeit eine Mannschaft anzuheuern. Wir sagen hiermit die Aufstellungsversammlung am Samstag, den 25.08 ab und melden uns diesbezüglich wieder, wenn wir die Leute beisammen haben.

Wenn du also möchtest, dass in Ulm piratige Politik gemacht wird, melde dich doch bitte bei uns unter
vorstand(at)piratenpartei-ulm.de. Je schneller desto eher können wir aufstellen und je mehr sich melden, umso eher bekommen wir jemanden in den Stadtrat!

Liebe Grüße,
Dein Vorstand

Kategorien: Blogs

Piraten Offenburg: Uploadfilter gefährden Spielerezensionen und Let’s Plays

Blogs - 23 August, 2018 - 21:05

Am 12. September werden die Europaabgeordneten abstimmen, wie mit der neuen Urheberrechtsrichtlinie weiter verfahren werden soll. Auch Let’s Plays, Spielerezensionen und Abandonware sind von dieser Richtlinie betroffen, erklärt unsere Abgeordnete Julia Reda:

Uploadfilter sind absolutes Gift für die Spielekultur! Videospielrezensionen oder Let’s Plays, die Gameplay enthalten, sind oftmals (zumindest teilweise) vom Zitatrecht abgedeckt und somit keine Urheberrechtsverletzung, obwohl die Grafiken im Gameplay urheberrechtlich geschützt sind. Uploadfilter können aber nicht unterscheiden, ob es sich um eine Urheberrechtsverletzung oder ein legales Zitat im Rahmen einer Rezension oder Spielkritik handelt.”Julia Reda

Außerdem sind auch Plattformen für Abandonware betroffen, weil diese oft zwar technisch gesehen noch urheberrechtlich geschützte Spiele zur Verfügung stellen (auch im Bereich Software gilt eine Schutzdauer von 70 Jahren nach dem Tod des Autors), die Spiele aber so alt und obsolet sind, dass es sehr unwahrscheinlich ist, dass sich die Rechteinhaber beschweren.

“Niemandem entsteht ein wirtschaftlicher Schaden, wenn auf solchen Plattformen Spiele geteilt werden, die gar nicht mehr kommerziell auf dem Markt erhältlich sind. Dennoch wären solche Plattformen mit Artikel 13 unmittelbar für die Urheberrechtsverletzungen ihrer Nutzer*innen haftbar und würden damit ein großes wirtschaftliches Risiko eingehen – und sie könnten zum Einsatz von Uploadfiltern gezwungen werden.”Julia Reda

Wir organisieren deshalb gemeinsam mit anderen Gruppenn von Parteien, Bündnissen und Einzelpersonen europaweite Proteste gegen die Einführung von Uploadfiltern sowie eines europäischen Leistungsschutzrechtes. Am 26. August sind derzeit Demonstrationen in 20 europäischen Städten geplant, darunter Berlin, Hamburg, München, Paris und Stuttgart. Eine Übersicht über alle Demonstrationen kann man auf einer eigens eingerichteten Karte finden.

Kategorien: Blogs

Piraten Offenburg: Aufruf zur Fortsetzung der Proteste gegen Uploadfilter in Stuttgart und ganz Europa

Blogs - 23 August, 2018 - 05:38

Wie angekündigt mobilisieren die Piratenpartei und verschiedene andere Gruppen von Parteien, Bündnissen und Einzelpersonen europaweite Proteste gegen die Einführung von Uploadfiltern sowie eines europäischen Leistungsschutzrechtes. Am 26. August sind derzeit Demonstrationen in 20 europäischen Städten geplant, darunter Berlin, Hamburg, München, Paris und Stuttgart. Eine Übersicht über alle Demonstrationen kann man auf einer eigens eingerichteten Open-Street-Map finden.

“Vor einem Monat haben wir Geschichte geschrieben: Wir haben ein Gesetz aufgehalten, das unsere Meinungsfreiheit massiv eingeschränkt hätte. Es war eine noch nie dagewesene Niederlage für mächtige Lobbys, die stets auf eine weitere Verschärfung des Urheberrechts pochen.”Julia Reda

Nach der Abstimmung im Juli werden die Inhalte des Gesetzesentwurfs nun neu verhandelt. Im September wird es deshalb erneut zu Abstimmungen im EU-Parlament kommen, bei denen wieder Uploadfilter und Leistungsschutzrecht zur Debatte stehen werden. Die Piratenpartei will deshalb auch in Baden-Württemberg erneut zu Protesten aufrufen.

Die Öffentlichkeit hat mit fast einer Million Unterschriften deutlich gezeigt, dass sie Uploadfilter und Linksteuer ablehnt. Nun werden wir diesen Protest erneut auf die Straße bringen. Deshalb werden wir am 26.08 auf dem Marienplatz in Stuttgart stehen und zeigen, was wir von diesen unangemessenen Eingriffen in die Grundrechte jedes Einzelnen halten. Durch den öffentlichen Druck konnten wir die erste Abstimmung gewinnen. Diesen Erfolg werden wir im September hoffentlich wiederholen!”Michael Knödler

Weitere Informationen
Kategorien: Blogs

Pirat Aleks A.: Interessante Links und Nachrichten 13.08.2018ff

Blogs - 19 August, 2018 - 19:30
Kategorien: Blogs

Alltägliche Wahrheiten: Scheibchenweise, weil es sonst zu viel ist

Blogs - 18 August, 2018 - 13:50

Nach über 20 Monaten bin ich also mal wieder in meinem Blog unterwegs. In meinem Leben ist seit Januar 2017 so viel passiert, dass ein Blogpost dafür einfach nicht geht. Dafür hat sich zu viel geändert – äußerlich wie innerlich.

Ich zäume das Pferd mal von hinten auf und beginne damit, Euch mitzuteilen, dass ich seit ein paar Tagen so etwas wie eine digitale Frischzellenkur erlebe. Wegen der mittlerweile ja unerträglichen Policy von Twitter bin ich auf eine Fediverse-Instanz umgezogen. Genau gesagt bin ich nun auf einer Mastodon-Instanz zu Hause und dort unter Oreo_Pirat@mastodon.social erreichbar. De facto hat Twitter seine API für Drittanbieter geschlossen, denn die horrenden Gebühren – umgerechnet für Tweetbot-Nutzer 16 US-Dollar monatlich – sind unbezahlbar. Ich hatte von Twitter ohnehin schon lange die Faxen dicke. Die Timeline lief nicht mehr chronologisch, Bots zuhauf, Nazis mit Pöbellizenz, Werbung, Willkür usw. machten den Aufenthalt dort seit lange schon mehr unangenehm als Informationen vermittelnd. Bis vor zwei Wochen wusste ich nicht, dass es für all das eine tolle Alternative gibt, die in Userhand dezentral aufgestellt und doch miteinander per Open Source verknüpft funktioniert.

Vom ersten „Toot“ (Name für Tweet), den ich „getrötet“ (Name für „twittern“) habe, bis jetzt ging es dort sehr freundlich, sehr hilfsbereit und sehr respektvoll zu. Dass ich über 3.200 Follower auf Twitter aufgebe, um wie vor neun Jahren komplett neu anzufangen in einem Social Media-Kanal, fiel mir wahrlich nicht leicht. Das hat ja auch etwas mit gefühlter Bedeutsamkeit und angenommener Reichweite zu tun – andere nennen es Eitelkeit (und sie haben Recht!). Innerhalb von drei Tagen fanden 53 Menschen meine Toots interessant genug, um mir zu folgen. Umgekehrt folge ich 78 Menschen. Weil jedoch in meiner lokalen Timeline viele andere Menschen unterwegs sind, die sehr unterschiedliche Interessen haben und von überall her kommen, breche ich gerade aus meiner alten Filterbubble aus. Das ist etwas, von dem ich in dieser Qualität genauso überrascht wie angetan bin. Einer meiner ersten Toots bringt es, wie ich glaube, auf den Punkt:

Viele aus meiner alten Twitter-TL sind schon zu einer der Fediverse-Instanzen gewechselt. Wir haben Spaß und freuen uns auf Euch!!!

Kategorien: Blogs
Inhalt abgleichen