1 Punkte von GN⁺ 2023-10-23 | 1 Kommentare | Auf WhatsApp teilen
  • Während es in den USA kein umfassendes bundesweites Datenschutzgesetz gibt, fließen personenbezogene Daten, die von Smartphone-Apps gesammelt werden, über die Targeted-Advertising-Branche in staatliche Überwachungsinstrumente
  • Regierungen können selbst auf Nutzerdaten, für die ursprünglich eine gerichtliche Anordnung oder ein Durchsuchungsbefehl nötig wäre, zugreifen, indem sie sie von Datenbrokern kaufen; dadurch verschwimmt die Grenze zwischen Unternehmensüberwachung und staatlicher Überwachung
  • Eine Untersuchung des Wall Street Journal ergab, dass Near Intelligence von Datenbrokern für Werbezwecke Daten von mehr als 1 Milliarde Geräten kaufte und Verträge abschloss, über die diese Daten über Regierungsauftragnehmer an militärische und nachrichtendienstliche Bundesbehörden weitergegeben wurden
  • Standortdaten können genutzt werden, um Demonstrationsteilnehmer, Besucher bestimmter Einrichtungen sowie Kontakte zwischen Journalisten und Whistleblowern zu verfolgen, was über Verletzungen der Privatsphäre hinaus auch Risiken von Vergeltung und Fehlverdächtigungen erhöht
  • Die Lösung besteht im Fourth Amendment is Not For Sale Act, der verhindern soll, dass der Staat Daten kauft, die er ohne Durchsuchungsbefehl nicht erhalten dürfte, sowie in einem umfassenden Datenschutzgesetz für Verbraucherdaten

Wie Werbedaten zu staatlicher Überwachung werden

  • In den USA gibt es keine umfassende bundesweite Datenschutzgesetzgebung, und die Targeted-Advertising-Branche funktioniert auf Basis personenbezogener Daten, die von Smartphone-Apps gesammelt werden
  • Der zentrale Grund dafür, dass die Grenze zwischen Unternehmensüberwachung und staatlicher Überwachung schwächer wird, liegt in der Struktur des Datenkaufs
    • Wenn Daten nicht vollständig verschlüsselt sind oder vom Nutzer lokal selbst gespeichert werden, kann der Staat Daten von Kommunikations- und Computing-Unternehmen erhalten
    • Traditionell war dafür eine gerichtliche Anordnung erforderlich, doch inzwischen gibt es immer mehr Fälle, in denen der Staat Daten direkt von Brokern kauft, die sie aus der Adtech-Branche bezogen haben

Fall Near Intelligence

  • Eine Untersuchung des Wall Street Journal machte die Datenhandelsstruktur des Unternehmens Near Intelligence öffentlich
  • Near Intelligence kauft Personen- und Gerätedaten, die normalerweise an Werbekunden verkauft werden, von Brokern
    • Das Unternehmen gab an, Daten zu mehr als 1 Milliarde Geräten gekauft zu haben
    • Es schloss Verträge mit Regierungsauftragnehmern, und diese Daten wurden an militärische und nachrichtendienstliche Bundesbehörden weitergegeben
  • Auf diese Weise kann der Staat auch Zugriff auf Standortinformationen kaufen, für die er normalerweise einen hinreichenden Tatverdacht darlegen und einen Durchsuchungsbefehl einholen müsste
  • Viele Entwickler von Smartphone-Apps wollen Nutzerdaten aus Umsatzgründen an den Höchstbietenden verkaufen, und zu den Käufern kann auch der Staat gehören

Schäden, die Standortverfolgung ohne Durchsuchungsbefehl verursachen kann

  • Die Polizei kann mit solchen Überwachungswerkzeugen die Geräte von Menschen identifizieren, die an Protesten teilnehmen, ihnen bis zu ihren Wohnorten folgen und sie zum Ziel weiterer Überwachung, Schikanen oder Vergeltung machen
  • Auch eine Methode, bei der nur Geräte verfolgt werden, die sich an einem bestimmten Ort befanden, ist möglich
    • Kanzlei für Einwanderungsrecht
    • Klinik für reproduktive Gesundheit
    • Einrichtung für psychische Gesundheit
  • Auch geheime Treffen zwischen Journalisten und Whistleblower-Quellen können mit solchen Werkzeugen überwacht werden
  • Es gibt zudem Fälle, in denen Strafverfolgungsbeamte Überwachungstechnologie aus privaten böswilligen Gründen missbraucht haben

Überpolizierte Gebiete und Risiko von Fehlverdächtigungen

  • Diese Art von Überwachung macht Menschen, die in Gebieten mit intensiver Polizeipräsenz leben oder arbeiten, anfälliger dafür, ins Visier polizeilicher Verdächtigungen zu geraten
  • Schon wer neben einer Pizzeria war, in der ein Raubüberfall stattfand, oder nur in der Nähe eines Graffitis eine Kaffeepause machte, kann als Gerät in der Nähe eines Tatorts eingeordnet und zum Ziel weiterer Überwachung werden

Fog Data Science und Forderungen nach Gesetzgebung

  • Der Fall Near Intelligence wurde ein Jahr nach der Untersuchung von Fog Data Science durch die EFF bekannt
    • Fog Data Science war ein Unternehmen, das Strafverfolgungsbehörden auf Ebene der Bundesstaaten und Kommunen Zugang zu präzisen, kontinuierlichen Standortinformationen von Hunderten Millionen Amerikanern verschaffte
    • Diese Daten wurden von Smartphone-Apps gesammelt und anschließend von undurchsichtigen Datenbrokern aggregiert
    • Der Zugriff ist einfach und erfolgt oft ohne Durchsuchungsbefehl
  • Die entscheidende Lücke, die der Kongress schließen muss, ist das Datenbroker-Schlupfloch
  • Der Kongress und die Bundesstaaten sollten außerdem umfassende Datenschutzgesetze für Verbraucherdaten erlassen
    • Wenn Unternehmen weniger Nutzerdaten sammeln, gibt es auch weniger Daten, die der Staat von diesen Unternehmen kaufen kann
  • Es braucht institutionellen Druck, damit der Staat Informationen, für die eigentlich ein Durchsuchungsbefehl nötig wäre, nicht durch Käufe umgeht

1 Kommentare

 
GN⁺ 2023-10-23
Meinungen auf Hacker News
  • Ich stimme der Problemstellung des Artikels zu, denke aber, dass es auch Druck geben sollte, Mobilfunkanbieter daran zu hindern, Standortdaten zu verkaufen
    Es ist sinnvoll, Smartphone-App-Entwickler zu kritisieren, aber ISPs können den Standort auch ohne Smartphone kennen und müssen ihn tatsächlich auch rechtlich melden können (https://en.wikipedia.org/wiki/Communications_Assistance_for_... usw.)
    Ich frage mich, ob die EFF Versuche, Letzteres gesetzlich zu verhindern, bereits für aussichtslos hält

    • Ganz und gar nicht. Die EFF leistet auch in dieser Richtung viel gute Arbeit
      https://www.eff.org/issues/cell-tracking
    • Stimmt. Es sollte Regeln geben, die die Erhebung dieser Daten selbst verhindern
      Auch sollte verhindert werden, dass Geräte, die Menschen „besitzen“, so abgeriegelt werden, dass sie keine Gegenmaßnahmen nutzen können
      Die private Nutzung dieser Daten ist genauso besorgniserregend wie die staatliche, vielleicht sogar noch mehr. Der Staat ist immerhin oft demokratisch rechenschaftspflichtig
    • Ich habe eines der frühen Systeme zur Standortaggregation gebaut. Vielleicht war es sogar das erste, aber sicher bin ich mir nicht
      Damals hatte mein Unternehmen enge Beziehungen zu US-Mobilfunkanbietern und entwickelte vor allem White-Label-Apps unter dem Vorwand der Familiensicherheit. Viele Nutzer interessierten sich allerdings mehr für den Standort von Ehepartnern oder Partnern als für den ihrer Kinder
      Etwa zur gleichen Zeit kam OAuth 1a auf, und ich dachte, es wäre gut, diese Beziehungen zu nutzen, um App-Entwicklern eine Plattform anzubieten, über die sie Standorte auf Basis von Zustimmung verkaufen können. Wir wollten auch viele Datenschutzfunktionen einbauen
      Am Ende gab es nur einen App-Entwickler, der auch nur ansatzweise erfolgreich war, und als Aggregationsanbieter, die weniger Wert auf Datenschutz legten, mit der nächsten Generation von App-Entwicklern zusammenarbeiteten, war die Zukunft des Produkts dahin. Die Erinnerungen daran sind interessant
    • Der Satz, dass CALEA nach seiner Verabschiedung stark auf sämtlichen VoIP- und Breitband-Internetverkehr ausgeweitet wurde, klingt so, als könnten Strafverfolgungsbehörden beliebige VoIP-Anrufe frei abhören. Mich würde interessieren, wie das in der Praxis möglich ist
      Soweit ich weiß, läuft ein VoIP-Anruf normalerweise so ab, dass per SIP die Gegenseite klingelt (teilweise abgesichert), beide Seiten über ICE/STUN/TURN den direktesten Pfad finden und dann den eigentlichen Audiostream austauschen
      Verschlüsselt der Client den Audiostream einfach nicht? Oder fängt der Anbieter nach dem ersten SIP-Hop alles per Man-in-the-Middle ab? Das scheint nicht zu einem rein lesenden Überwachungsansatz zu passen, bei dem „eine Kopie der Netzwerkdaten über Hardware-Taps oder Mirror-Ports an Switches/Routern an dedizierte IP-Probes weitergeleitet wird“
    • Es braucht auch bessere Aufklärung über die Risiken, einen ständig eingeschalteten GPS-Empfänger mit sich herumzutragen, der den Standort fortlaufend an Dritte übermittelt
      Das kann wie Victim-Blaming klingen. Trotzdem hat man die Möglichkeit, das Telefon auszuschalten
  • Auch das Konzept AdInt ist einen Blick wert. Es wurde unter https://www.theregister.com/2023/09/16/insanet_spyware/ erwähnt; genauer erklärt wird die Funktionsweise in der ursprünglichen Recherche der israelischen Zeitung Haaretz: https://archive.ph/7dbaV
    Das wurde schon einmal gepostet, hatte aber nur 2 Kommentare: https://news.ycombinator.com/item?id=37542097

  • Ich glaube, diese Sache wird viel schlimmer enden, als die Leute denken
    Ist die Verflechtung von Unternehmen und Regierung nicht die Definition von Faschismus? Wenn ja, ist das, was wir gerade sehen, doch genau das, oder?

    • Typischerweise würde man das nicht als Faschismus bezeichnen, aber das Bauchgefühl, dass all das böse enden wird, dürfte wahrscheinlich stimmen
      Nach den Snowden-Enthüllungen haben wir gesehen, dass mehrere Staaten Schwachstellen horten und ein digitales Machtgefälle aufbauen, das sich auch für triviale Zwecke einsetzen lässt
      Die NSO Group hat gezeigt, dass man praktisch jedes Telefon ohne zusätzliche Software still infiltrieren kann, und jüngere Fälle wie die Mordermittlungen Kanada/Indien deuten ebenfalls darauf hin, dass selbst als sicher geltende Kanäle am Ende abgefangen werden können
      Es ist schwer, sich vorzustellen, wozu China oder die NSA heute tatsächlich in der Lage sind. Eine Katastrophe großen Ausmaßes ist bisher ausgeblieben, aber es fühlt sich zunehmend so an, als seien die Linien bei Überwachung und Internetkontrolle bereits gezogen. Wenn jemand aber eine deutlich optimistischere Deutung überzeugend verteidigen kann, würde ich sie gern hören
    • Die Definition „Wenn Regierung und Unternehmen unter einer Decke stecken, ist das Faschismus“ höre ich zum ersten Mal
      Üblicherweise wird Faschismus durch autoritären Nationalismus, einen zentralisierten diktatorischen Führer, Militarismus, die gewaltsame Unterdrückung von Opposition, die Unterordnung individueller Interessen unter das vermeintliche Interesse von Nation oder Ethnie sowie Propaganda zur Aufrechterhaltung des Glaubens an eine natürliche soziale Hierarchie definiert
    • Früher hätte ich zugestimmt, dass solcher Missbrauch böse enden wird, aber nach den Snowden- und Wikileaks-Enthüllungen haben wir gesehen, wie nihilistisch und bösartig unser Establishment sein kann, ohne dass sich viel geändert hätte
      Der wichtigste Effekt dieser Enthüllungen war der Aufstieg des Populismus, aber abgesehen davon, dass das Weiße Haus für eine Amtszeit verloren ging, gab es keine nachhaltigen Folgen, und auch diese populistische Reaktion wurde faktisch niedergeschlagen
      Wenn man etwas verändern will, muss man vielleicht viel früher eingreifen, solange nur der verrückte Rand darüber redet – etwa vor 25 Jahren oder in 25 Jahren –, um die nächste Welle in eine andere Richtung zu lenken
    • Die heutige Web-Überwachung wird im Vergleich zu dem, was kommt, harmlos wirken
      Dinge wie Quest 3 und Apple Vision sind erst der Anfang, und wenn alle mit AR-Geräten herumlaufen, gibt es kein Entkommen mehr aus der Punktwolke (point cloud)
      Diese Unternehmen werden einen Echtzeit-Graphen darüber haben, wo sich alle im öffentlichen Raum aufhalten und was sie dort tun – sogar einschließlich Menschen, die nie irgendeinen ihrer Dienste genutzt haben. Beängstigend
    • Eher das Gegenteil. Bei einer faschistischen Regierung würde ich erwarten, dass die Exekutive den Markt und die Unternehmen faktisch kontrolliert
      Diese Entwicklung scheint aber eher darauf hinauszulaufen, dass Unternehmen die Regierung faktisch kontrollieren und ersetzen wollen. Es ist die verdrehte Idee des Stakeholder-Kapitalismus, bis zu ihrer natürlichen Konsequenz weitergedacht
  • Der Kern ist die Stelle: „Wenn Daten nicht vollständig verschlüsselt sind oder direkt lokal gespeichert werden, kann die Regierung diese Daten von Telekommunikations- oder Computing-Unternehmen bekommen. Traditionell war dafür ein Gerichtsbeschluss nötig, aber zunehmend kaufen Regierungen sie einfach bei Datenbrokern, die sie aus der Adtech-Branche gekauft haben.“
    Ich sehe Meta und Google ebenfalls als Teil der Adtech-Branche. Manche werden jedoch wütend und sagen: „Meta verkauft deine Daten nicht wirklich“ oder „Google verkauft deine Daten nicht wirklich“.
    Wenn diese Unternehmen an diesem Ökosystem teilnehmen und bei Datenbrokern einkaufen, sind sie genauso schlimm wie die Datenbroker. Meta und Google sollten nicht so tun, als seien sie Heilige, die wegen solcher Beziehungen den Großteil ihres Geldes verdienen und Überwachung ermöglichen, aber nicht kritisiert werden dürfen.

    • Noch ärgerlicher ist, dass die Regierung diese Dienste auf ihren eigenen Websites direkt nutzt.
      Zum Beispiel verwenden sowohl dmv.ca.gov als auch irs.gov auf der gesamten Website Google.
      Wenn die Regierung bei Dingen wie Identitätsprüfung oder CAPTCHA Google als Lösung heranzieht, bricht die Struktur zusammen.
  • Ich habe einmal den Satz gehört: „Eine Demokratie mit Hochtechnologie ist weniger frei als eine Diktatur mit primitiver Technologie.“

    • Die Person, die das gesagt hat, war töricht. Sie sollte einmal etwas über das Leben im alten Ägypten, im Spanien der Inquisition, in Nazi-Deutschland oder in der DDR lesen.
      Diese waren technologisch rückständiger als die heutige Schweiz, Neuseeland, Dänemark, Estland oder Irland, aber nicht freier [1].
      [1] https://worldpopulationreview.com/country-rankings/freedom-i...
  • Ich finde nicht, dass meine persönlichen Daten etwas sind, das die FTC „schützen“ oder „regulieren“ sollte.
    Die einzige wirksame Gesetzgebung wäre ein vollständiges Verbot aller Verkaufsstellen für persönliche Nutzerdaten ohne ausdrückliche Zustimmung der Nutzer (z. B. Cookie-Bestätigung), aber das wird niemals passieren.
    Und wenn das so offensichtlich ist, frage ich mich auch, warum es noch keine Klagen gegeben hat. Die US-Regierung ist bereits an die Verfassung und den vierten Verfassungszusatz gebunden. Ich glaube nicht, dass wir ein schlecht gemachtes Gesetz brauchen, das von Leuten geschrieben wurde, die nicht einmal wissen, was sie tun.