Brief von Senator Wyden bestätigt, dass die NSA Daten von US-Bürgern bei Datenbrokern kauft
(techdirt.com)- Durch von Senator Ron Wyden veröffentlichte Dokumente wurde der Kauf von Internetprotokollen durch die NSA offengelegt; diese Protokolle können zeigen, welche Websites Nutzer besucht und welche Apps sie verwendet haben
- Wyden fordert, die Praxis zu beenden, dass Nachrichtendienste persönliche Daten von US-Bürgern bei Datenbrokern kaufen, und nur noch legale Datenverkäufe zuzulassen, die die FTC-Standards erfüllen
- Die NSA bestritt zwar den Kauf und die Nutzung von Standortdaten, die von innerhalb der USA erfassten Mobiltelefonen stammen, räumte aber den Kauf und die Nutzung kommerzieller netflow-Nichtinhaltsdaten zu inländischer Internetkommunikation sowie zu ausländischer Kommunikation mit US-IP-Adressen ein
- Bis diese Informationen veröffentlicht wurden, vergingen fast drei Jahre; die Freigabe erfolgte erst, nachdem Wyden die Nominierung eines NSA-Direktorkandidaten blockiert hatte
- Der staatliche Kauf persönlicher Daten über Datenbroker kann Gerichte und die Anforderungen an richterliche Anordnungen umgehen und so den Datenschutz von US-Bürgern sowie die Kontrolle inländischer Überwachung schwächen
Bestätigung des Kaufs von Internetprotokollen durch die NSA
- Aus von Senator Ron Wyden veröffentlichten Dokumenten geht hervor, dass die NSA Internetprotokolle von US-Bürgern kauft
- Diese Internetprotokolle können offenlegen, welche Websites Nutzer besuchen und welche Apps sie verwenden
- In einem Schreiben an die Direktorin des Nationalen Nachrichtendienstes, Avril Haines, forderte Wyden die Einführung einer Richtlinie, die Nachrichtendiensten den Kauf personenbezogener Daten von US-Bürgern untersagt, die von Datenbrokern rechtswidrig beschafft wurden
- Wyden erklärte: „Die US-Regierung darf keine zwielichtige Industrie finanzieren und legitimieren, die die Privatsphäre der Amerikaner offen verletzt.“
Wie Datenbroker einen Weg zur Umgehung von richterlichen Anordnungen schaffen
- Der staatliche Kauf inländischer Daten bei Datenbrokern ist bereits wiederholt vorgekommen
- Bundesbehörden und lokale Strafverfolgungsbehörden haben inländische Daten von privaten Unternehmen gekauft; das kann als Mittel funktionieren, um vom Supreme Court gesetzte Grenzen zu umgehen
- Die Regierung geht davon aus, dass die Third Party Doctrine angewendet werden kann, doch viele Apps und Dienste sammeln Daten, ohne dass Nutzer sich dessen ausreichend bewusst sind
- Selbst scheinbar einfache Mobile Games können den Standort eines Mobiltelefons abfragen und ihn mit einer bestimmten Geräte-ID verknüpfen
- Solche Datenerfassung kann tief in den Nutzungsbedingungen verborgen sein
Wydens Offenlegungsprozess und Forderungen
- Wyden erklärte, dass es fast drei Jahre dauerte, bis die Freigabe zur Veröffentlichung von Informationen über den Kauf inländischer Internet-Metadaten durch die NSA erteilt wurde
- Im März 2021 stellte das Verteidigungsministerium Wydens Team Informationen zur Verfügung, nachdem es um die Identifizierung von Bestandteilen des Ministeriums gebeten hatte, die personenbezogene Daten von US-Bürgern kaufen
- Anschließend beantragte Wyden im Mai 2021 die Freigabe nicht klassifizierter Informationen zur Veröffentlichung, doch das Verteidigungsministerium lehnte dies ab
- Erst nachdem Wyden die Nominierung eines NSA-Direktorkandidaten auf Eis gelegt hatte, wurde die Veröffentlichung der betreffenden Informationen genehmigt
- Wydens Schreiben fordert von jedem Bestandteil der Intelligence Community (IC) Folgendes
- Einleitung von Untersuchungen zum Datenkauf bei Datenbrokern
- FTC-Untersuchung der Geschäftspraktiken von Datenbrokern
- Bereitstellung einer Liste personenbezogener Daten, die von Datenbrokern gekauft wurden
Was die NSA bestritt und was sie einräumte
- In einem Schreiben an Wyden aus dem Jahr 2023 erklärte die NSA, dass sie Standortdaten, die von Mobiltelefonen erfasst wurden, von denen bekannt ist, dass sie innerhalb der USA genutzt werden, unabhängig vom Vorliegen einer gerichtlichen Anordnung weder kauft noch verwendet
- Dieses Dementi beschränkt sich auf Standortdaten und ist keine pauschale Zurückweisung von Wydens Bedenken hinsichtlich des Kaufs von Internetprotokollen insgesamt
- Im selben Schreiben räumte die NSA ein, kommerziell verfügbare netflow-Nichtinhaltsdaten zu kaufen und zu nutzen
- Daten, die sich ausschließlich auf inländische Internetkommunikation beziehen
- Daten zu Internetkommunikation, bei der eine Seite eine US-Internetprotokolladresse hat und sich die andere Seite im Ausland befindet
- Dieses Eingeständnis zeigt, dass sich der Umfang inländischer Überwachung durch die NSA über den Markt der Datenbroker ausweiten kann
Section 702 und Sorgen über inländische Überwachung
- Die NSA ist bereits als Behörde bekannt, die über die Erfassung nach Section 702 Daten und Kommunikation von US-Bürgern „versehentlich“ in großem Umfang mit einsammeln kann
- In diesem Zusammenhang wird auch erwähnt, dass das FBI Section 702 wiederholt für inländische Überwachung missbraucht hat
- Unter diesen Umständen bleibt die Frage, warum die NSA überhaupt zusätzlich Daten von Datenbrokern kaufen muss
- Der Kern der Kritik ist, dass es nicht so aussieht, als sammle die NSA mehr wegen eines nachgewiesenen Bedarfs der nationalen Sicherheit, sondern weil sich schlicht ein weiterer Zugangsweg eröffnet hat
- Wenn der Kauf von Daten von US-Bürgern über Datenbroker zum Alltagsgeschäft der Regierung wird, wird eine wirksame Kontrolle der Überwachungsbefugnisse noch schwieriger
1 Kommentare
Meinungen auf Hacker News
Dass die Regierung ohne hinreichenden Grund auf Informationen über Bürger zugreift, scheint – selbst wenn es durch Kauf geschieht – zwar vielleicht nicht dem Wortlaut, aber doch dem Geist des 4. Verfassungszusatzes zu widersprechen. Heute kann man enorme Mengen an Informationen über eine Person sammeln, ohne „Durchsuchung und Beschlagnahme“ im klassischen Sinn. Es scheint daher eine Verfassungsänderung nötig, die den 4. Zusatzartikel an die Gegenwart anpasst. Datensammlung ist eines der großen Themen unserer Zeit, aber zumindest dürften die meisten zustimmen, dass die Regierung unsere Rechte nicht legal mithilfe unserer Steuern oder Schulden umgehen sollte.
Mir ist nicht ganz klar, warum es so viel kontroverser sein soll, dass Behörden kommerziell verfügbare Daten kaufen. Ist nicht das größere Problem, dass diese Daten überhaupt gesammelt und gegen Bezahlung jedem angeboten werden?
Im Artikel hieß es zur NSA: „Wenn sie ausreichend in der Lage ist, inländische Überwachung zu betreiben, und das tatsächlich häufig tut – warum sollte sie dann Daten kaufen und damit riskieren, Teile ihrer Erfassungsmethoden offenzulegen, statt sie aus ihrem eigenen Massenüberwachungsnetz legitimer zu gewinnen?“ Ich glaube nicht, dass die NSA befürchten muss, dass Gegner die Technik des Austauschs von Geld gegen Informationen lernen. Das Hacken von Datenbrokern birgt ein größeres Risiko, eigene Methoden offenzulegen.
Ich wünschte, die USA hätten eine Art Datenschutz wie die EU. Das EU-System ist nicht perfekt, aber ich wünschte trotzdem, es gäbe so etwas. Nach meinem Verständnis blockiert ein einzelner Senator, Chuck Schumer, im Ausschuss sinnvolle Datenschutzgesetze. Er wirkt wie eine Ein-Mann-Abrissbirne gegen die Privatsphäre. Ich habe irgendwo gelesen, dass seine beiden Töchter hochbezahlte Jobs bei Unternehmen wie Meta und Microsoft haben. Der Punkt ist: Stärkerer Datenschutz würde bedeuten, dass Unternehmen weniger Informationen verkaufen können.
Auch wenn es Bürgerrechte beeinträchtigt, kann man Behörden kommerzielle Datenbroker nicht völlig unbeobachtet lassen. Zumindest müssen sie in der Lage sein, das Risiko krimineller Aktivitäten im Inland einzuschätzen und zu verhindern.
Das Problem ist, dass es hier um die NSA geht. Die NSA ist keine Behörde, die US-Bürger ermitteln soll, sondern sollte für Auslands-Signalaufklärung zuständig sein. Wenn das FBI oder die CIA so etwas täten, wäre das durchaus zu erwarten, und ich bin mir nicht einmal sicher, ob das falsch wäre. Zumindest lässt sich schwer sagen, dass es schlimmer wäre als bei anderen Akteuren, die Daten zu Werbezwecken kaufen.
Es ist schwer vorstellbar, sich nur darüber aufzuregen und nicht schon darüber, dass Datenbroker all diese Informationen überhaupt verkaufen können.
Ich verstehe nicht ganz, wie die Daten mit einem konkreten Menschen in der realen Welt verknüpft werden. Nehmen wir mein Auto als Beispiel: Das Auto gehört mir, aber wenn du damit fährst und zu schnell bist, bekommst du den Strafzettel. Bei Daten ist es ähnlich: Es mag stimmen, dass dieser Beitrag von einem Gerät aus der realen Welt hochgeladen wurde, das auf meinen Namen registriert ist, aber das bedeutet nicht, dass ich selbst es tatsächlich benutzt habe.
Facebook hat so etwas auch gemacht. Es hat alle Website-Daten gekauft, die es kaufen konnte, und weil es wusste, dass sie für Werbeschaltungen nutzbar waren, machte es den Datenkauf zu einem profitablen Geschäft. Wenn die US-Regierung oder Geheimdienste dasselbe tun, frage ich mich, ob man das „illegal“ oder falsch nennen kann. Wenn sie dafür umfassend staatliche Befugnisse eingesetzt hätten, wäre das ein Rechtsverstoß, aber sie kaufen etwas, das ohnehin bereits verfügbar ist.
Ironisch ist, dass das nicht China oder Russland getan haben. Ich verstehe nicht, warum die Empörung so viel geringer oder fast gar nicht vorhanden zu sein scheint, wenn es die eigenen Behörden tun.