Demokratische und autoritäre Staaten liefern sich einen Wettlauf um Massenüberwachung

• Staatliche Massenüberwachung hat sich in Demokratien wie in autoritären Systemen ausgebreitet und wird nicht nur wegen Verletzungen von Menschenrechten und Privatsphäre, sondern auch wegen ihrer Ineffizienz bei der tatsächlichen Problemlösung kritisiert
• Das Überwachungssystem der USA ermöglichte über FISA Section 702, PRISM, Upstream und XKeyscore den Zugriff auf enorme Mengen an Internetaktivitäten und Metadaten ohne gerichtliche Entscheidung
• In Europa und Großbritannien prallen der Ausbau von Überwachung und der Druck zum Schutz personenbezogener Daten aufeinander – etwa bei Tempora, der Fourteen-Eyes-Kooperation, der EU-Chatkontrolle, Frankreichs KI-Videoüberwachung und Ungarns Geräten für ISP-Zugriffe
• Autoritäre Staaten nutzen Zensur und Überwachung offen als Herrschaftsinstrument; Irans SIAM, Russlands SORM und Safe City sowie Chinas Great Firewall, Police Cloud, Sharp Eyes und Skynet dienen der Kontrolle der Bürger
• Zum Schutz freier Gesellschaften muss die Grenze zwischen gezielter Überwachung von Tatverdächtigen und Massenüberwachung der gesamten Bevölkerung klar gezogen werden

Grundsätzliche Position zu Massenüberwachung

• Massenüberwachung lässt sich in kommerzielle Überwachung und Überwachung durch Staaten bzw. Herrschende unterteilen; beide verletzen die Menschenrechte des Einzelnen und die Privatsphäre als Grundlage einer freien Gesellschaft
• Überwachung sollte bei Verdacht auf eine Straftat auf Grundlage einer unabhängigen Gerichtsentscheidung und nach dem Grundsatz der Verhältnismäßigkeit als gezielte Überwachung erfolgen; Massenüberwachung der gesamten Bevölkerung oder von Bürgern anderer Länder sollte vermieden werden
• Menschenrechte existieren, um Individuen vor dem Staat zu schützen; da Regierungen wechseln und Macht falsche Entscheidungen treffen kann, darf der Staat keine unkontrollierbare Macht besitzen
• Heutige Massenüberwachung hat je nach Land unterschiedliche Ursprünge und Formen, funktioniert aber zu einem erheblichen Teil über die globale Internetinfrastruktur

USA: Section 702 und globale Überwachungsinfrastruktur

• Snowdens Enthüllungen von 2013 zeigten, dass US-Behörden Hunderte Millionen Menschen weltweit überwachten
• FISA Section 702 ist ein Gesetz, das die USA alle fünf Jahre verlängert haben; es wurde mit der Überwachung von Ausländern begründet, kann aufgrund der Struktur des Internets aber zur Überwachung sowohl von Ausländern als auch von US-Bürgern führen
• Die Snowden-Dokumente zeigen, dass die NSA weltweit 200 Millionen Textnachrichten pro Tag sammelte und faktisch die Fähigkeit besaß, nahezu jeden Menschen auf der Erde zu überwachen
• XKeyscore war eine Datenbank, die „fast alles, was ein gewöhnlicher Nutzer im Internet tut“ abdeckte, darunter E-Mails, Chats, private Facebook-Nachrichten, Suchverläufe und besuchte Websites
  • Analysten konnten mit starken Suchbegriffen wie IP-Adressen oder E-Mail-Adressen die Online-Aktivitäten bestimmter Personen einsehen
  • Mit schwachen Suchbegriffen wie Keywords oder Phrasen konnten sie Listen von Personen erstellen, die ein bestimmtes Internetverhalten zeigten
  • Suchen waren ohne Entscheidung eines Gerichts oder eines Vorgesetzten innerhalb der NSA möglich

PRISM, Upstream, TURMOIL, TURBINE

• Section 702 ermöglichte FBI, CIA und NSA über PRISM und Upstream den Zugriff auf große Datenmengen
• PRISM war eine Struktur zum Zugriff auf Daten US-amerikanischer Unternehmen wie Microsoft, Yahoo!, Google, Facebook, Paltalk, YouTube, Skype, AOL und Apple
  • Snowden schrieb in Permanent Record, PRISM habe die Sammlung von E-Mails, Fotos, Video- und Audio-Chats, Web-Browsing-Inhalten, Suchanfragen und in der Cloud gespeicherten Daten ermöglicht
  • Die betreffenden Unternehmen bestritten, dass FBI, CIA und NSA direkten Zugriff auf ihre Systeme und Server hatten; zugleich wurde erklärt, dass es aufgrund gesetzlicher Vorgaben illegal sein könne, eine Beteiligung einzugestehen
• Upstream war eine Methode, bei der Internetverkehr durch direkte Anbindung an die Backbones amerikanischer Telefon- und Internetanbieter gesammelt wurde
  • Dazu gehörten US-Telekommunikationsanbieter wie AT&T, und es gab auch Enthüllungen, wonach einige Router-Hersteller Überwachungsfunktionen für die NSA in ihre Produkte eingebaut hatten
  • Snowden erklärte, Upstream erfasse direkt den Traffic, der über Satelliten, Untersee-Glasfaserkabel, Switches und Router läuft
• TURMOIL und TURBINE wurden genutzt, um massenhaften Traffic zu filtern und anzugreifen
  • TURMOIL markierte Traffic anhand von Kriterien wie E-Mail-Adressen, Kreditkarten, Telefonnummern, geografischem Ausgangs- und Zielort sowie Keywords wie „anonymous internet proxy“ und „protest“
  • TURBINE leitete markierte Anfragen an NSA-Server weiter, und Algorithmen entschieden, welcher Malware-artige Exploit eingesetzt werden sollte
  • Sobald ein Exploit auf einen Computer gelangt, kann er nicht nur auf Metadaten, sondern auch auf die Daten selbst zugreifen

Metadaten und der Kauf kommerzieller Daten

• Staaten spielen Massenüberwachung herunter, indem sie sagen, sie sammelten „nur Metadaten“, doch Metadaten können besuchte Websites und Suchverläufe enthalten
• Bruce Schneier erklärte, Metadaten legten enge Freunde, Arbeitsbeziehungen, Interessen und wichtige Bezugspersonen offen; Stewart Baker, ehemaliger Rechtsberater der NSA, sagte, bei genügend Metadaten brauche man keine Inhalte
• Metadaten können auch genutzt werden, um Journalisten zu identifizieren, die den US-Überwachungsapparat kritisieren
  • Laura Poitras und Glenn Greenwald, mit denen Snowden in Kontakt stand, kritisierten die NSA und erlebten persönliche Nachteile
  • Der GCHQ fing E-Mails von Journalisten der New York Times, Le Monde, Washington Post und anderer Medien ab und stufte investigative Reporter als Bedrohung auf einer Stufe mit Terroristen und Hackern ein
• Der US-Überwachungsapparat wurde nicht nur gegen Terroristen und Kriminelle eingesetzt, sondern auch für Industriespionage, gegen Menschenrechtsorganisationen wie Amnesty und Human Rights Watch, zur Überwachung von 70 Millionen Telefonaten pro Monat in Frankreich sowie zur Überwachung von Politikern und Staats- und Regierungschefs weltweit
• Zuletzt wurde auch bekannt, dass US-Behörden wie das FBI gesammelte Daten von Datenbrokern gekauft haben
  • Daten, deren direkte Erhebung durch Behörden verfassungsrechtliche Probleme aufwerfen würde, können über kommerzielle Käufe auf einem anderen Weg beschafft werden
  • Ein Berater der US-Regierung bezeichnete das Ad-Tech-Ökosystem als „das größte Informationssammelunternehmen, das die Menschheit je erfunden hat“
  • Michael Morell, ehemaliger CIA-Direktor, sagte, kommerziell verfügbare Informationen wären als streng geheime, sensible Informationen behandelt worden, wenn sie mit traditionellen nachrichtendienstlichen Methoden gesammelt worden wären

Debatte um die Verlängerung von Section 702 und Ausweitung 2024

• Section 702 rückte 2023 erneut ins Zentrum der Verlängerungsdebatte, und das Repräsentantenhaus konnte ein Verlängerungsgesetz dreimal nicht verabschieden, wodurch die Entscheidung auf das Frühjahr 2024 verschoben wurde
• Zu den vorgeschlagenen wichtigen Änderungen gehörten eine Pflicht zur gerichtlichen Genehmigung bei der Überwachung von US-Bürgern sowie ein Verbot der abouts collection, bei der auch Kommunikation ins Visier genommen wird, in der ein Überwachungsziel lediglich erwähnt wird
• Letztlich verabschiedeten Repräsentantenhaus und Senat die Verlängerung von Section 702, allerdings nicht wie üblich um fünf Jahre, sondern nur um zwei Jahre
• Gleichzeitig wurde das Gesetz ausgeweitet, und der Kreis der Unternehmen und Organisationen, die zur Unterstützung staatlicher Massenüberwachung gezwungen werden können, wurde vergrößert
  • Die neue Definition kann auch Akteure einschließen, die physischen Zugang zu Ziel-Kommunikationsinfrastruktur wie Routern haben
  • Senator Ron Wyden nannte dies „dramatisch und entsetzlich“, und Edward Snowden sagte, „die NSA übernimmt das Internet“

Großbritannien, Fourteen Eyes und die Debatte um VPN-Standorte

• Tempora des britischen GCHQ war direkt an Glasfasernetze zwischen den USA und Europa angeschlossen und hatte Zugriff auf Internetverkehr auf beiden Seiten des Atlantiks
• 2013 analysierten 300 GCHQ-Mitarbeiter und 250 NSA-Mitarbeiter eingehende Daten anhand von 40.000 Schlüssel-Triggern, und 850.000 NSA-Mitarbeiter konnten auf das britische System zugreifen
• Tempora verarbeitete über 200 Glasfaserkabel täglich 600 Millionen Telefonereignisse und sonstigen Traffic; Snowden nannte es „das größte anlasslose Überwachungsprogramm in der Geschichte der Menschheit“
• Five Eyes begann als Bündnis zur elektronischen Abhörung zwischen Australia, Canada, New Zealand, UK und USA; Snowdens Enthüllungen zeigten die Erweiterung zu Fourteen Eyes, zu dem Belgium, Denmark, France, Germany, Italy, Netherlands, Norway, Spain und Sweden gehören
• Die Behauptung, ein VPN-Anbieter sei besser, nur weil er außerhalb der Fourteen Eyes sitzt, ignoriert, dass Internetverkehr mehrere Grenzen und Infrastrukturen durchläuft
  • Zweck eines VPN ist es, Traffic so zu verschlüsseln, dass Behörden ihn auch dann nur schwer lesen können, wenn sie an Glasfaserkabel angeschlossen sind
  • Entscheidend am Standort eines VPN-Anbieters sind nicht die Geheimdienstabkommen selbst, sondern die Gesetze des jeweiligen Landes, die Vorratsdatenspeicherung und Herausgabe von Daten erzwingen
  • Die Liste der 14 Länder basiert auf mehr als zehn Jahre alten Enthüllungen; heutige Zahl und Umfang der beteiligten Länder können VPN-Anbieter nicht kennen

Widersprüchliche Entwicklungen in Europa

• 2018 entschied der Europäische Gerichtshof für Menschenrechte, dass Tempora rechtswidrig und nicht mit den Erfordernissen einer demokratischen Gesellschaft vereinbar sei; 2020 stellte ein US-Gericht fest, dass die Überwachung Hunderter Millionen Menschen durch die NSA rechtswidrig und verfassungswidrig war
• Innerhalb der EU gibt es Entscheidungen oberster Gerichte, die Massenüberwachung als illegal betrachten, sowie Bestrebungen, mit Regeln wie der DSGVO Druck auf Big Tech auszuüben
  • Die DSGVO hat bislang vor allem symbolische Bußgelder und schlechtere Cookie-Erfahrungen hervorgebracht, beginnt aber, tatsächlichen Druck auf Unternehmen wie Meta und Google auszuüben
  • Das Risiko bleibt, dass Tech-Unternehmen neue Formen der Datenerhebung entwickeln
• Auf der anderen Seite will Frankreich KI-Videoüberwachung einführen, und Ungarn installiert Blackboxes, die ohne Gerichtsentscheidung Zugriff auf ISP-Netze und das Internetverhalten der Nutzer ermöglichen
• Der EU-Vorschlag zur Chatkontrolle könnte zu Massenüberwachung führen, die einem umfassenden Verbot privater Kommunikation nahekommt
• Der Entwurf der britischen Online Safety Bill wird als Versuch behandelt, verschlüsselten Traffic zu schwächen, der seit den Snowden-Enthüllungen breiter genutzt wird
• Die Spyware Pegasus wurde in Europa und anderen Regionen gegen Oppositionelle, politische Aktivisten und Journalisten eingesetzt

Überwachung und Zensur in autoritären Staaten

• Weltweit gibt es mehr als 4,5 Milliarden Internetnutzer; 76 % von ihnen leben in Ländern, in denen Menschen inhaftiert werden, weil sie online über politische, soziale oder religiöse Themen geschrieben haben
• In autoritären Staaten ist ein VPN nicht nur ein Mittel, um Massenüberwachung zu verringern, sondern auch ein Werkzeug für den Zugang zu einem unzensierten, freien Internet
• Iran schaltet das Internet vollständig ab oder nutzt SIAM, um die Nutzung von Mobiltelefonen über Mobilfunknetze zu kontrollieren, zu filtern und zu überwachen
• Die Regierung von Egypt überwacht Journalisten, Aktivisten und Anwälte, und Behörden in Morocco überwachen Menschenrechtsorganisationen mit Pegasus
• Russlands FSB hat mit SORM Telefongespräche abgehört sowie E-Mails und Nachrichten gelesen; Moscows Safe City kombiniert Hunderttausende Überwachungskameras, Gesichtserkennung und die Überwachung mobiler Daten
  • Safe City wird genutzt, um Demonstranten, politische Gegner und Journalisten zu verfolgen und inhaftieren zu lassen
  • Auf dem digitalen Schwarzmarkt namens Probiv lassen korrupte oder unzufriedene Beamte Daten aus Datenbanken der Massenüberwachung durchsickern
  • Dadurch wurden selbst Informationen über Putins engste Vertraute für geringe Beträge kaufbar, was Oppositionelle, ausländische Akteure und investigative Journalisten nutzen

China: Great Firewall, Police Cloud, Sharp Eyes, Skynet

• China kontrolliert, auf welche Websites 750 Millionen Internetnutzer zugreifen können, blockiert VPN-Dienste und verlangt eine Registrierung mit Klarnamen für das Veröffentlichen von Inhalten
• Soziale Medien und Messaging-Apps unterliegen staatlicher Überwachung, ausländische Apps sind verboten, und auch das in China gegründete TikTok hat eine eigene Version, die internationale Inhalte blockiert
• Alle Mobiltelefone werden über Standortdaten kontinuierlich überwacht, und Internetdienstanbieter müssen mit dem Staat kooperieren
• Die Great Firewall of China kontrolliert und zensiert das Interneterlebnis der chinesischen Bevölkerung; schon 2013 zensierten 2 Millionen „Analysten für Internet-Meinung“ Online-Nachrichten manuell
• „public opinion analysis software“ sammelt Daten und reagiert per KI auf „sensible Materialien“
  • Es gibt fortlaufend Fälle, in denen Aktivisten, Journalisten und gewöhnliche Bürger inhaftiert wurden, weil sie China online kritisierten
  • Wer „Helden und Märtyrer“ beleidigt, riskiert eine dreijährige Haftstrafe
• Police Cloud ist ein Big-Data-basiertes System, das verborgene Strömungen und Beziehungen visualisiert, Beziehungskarten erstellt und „extreme Meinungen“ erfasst
• China sammelt Stimmabdrücke, hat mehr als die Hälfte der weltweit eine Million Überwachungskameras installiert und neben Gesichtserkennung auch Technologien zur Emotionserkennung eingeführt
• Die Dokumentation Total Trust zeigt, wie 4,5 Millionen „grid officers“ Verhaltensaufzeichnungen über Bewohner nach Bezirken führen
  • Sharp Eyes kombiniert staatliche Überwachungskameras mit Nachbarschaftsmeldungen von „Freiwilligen“
  • Skynet überwacht über zahllose Überwachungskameras Straßen, die Umgebung der Wohnungen von als Überwachungsziele eingestuften Personen, Treppenhäuser und Hauseingänge
  • Biometrische KI wie Gesichts-, Augen- und Spracherkennung sowie die Überwachung des Online-Verhaltens werden mit Bewegungen in der physischen Welt kombiniert
• Beim 709 Crackdown von 2015 wurden Hunderte Menschenrechtsanwälte inhaftiert und gefoltert; auch diejenigen, die nicht inhaftiert wurden, werden weiter überwacht

Massenüberwachung und die Grenzen freier Gesellschaften

• Autoritäre Staaten nutzen Massenüberwachung als Kontrollinstrument, um Gegner zu verfolgen, Informationen zu zensieren und Proteste zu unterdrücken
• Demokratien stellen Massenüberwachung weniger zur Schau, und die Folgen für Betroffene sind weniger hart, doch es gibt Fälle, in denen sie bei Wahlen sowie zur Überwachung von Journalisten und Gegnern eingesetzt wurde
• Massenüberwachung ist Kontrolle und steht auf der Gegenseite von Freiheit
• Eine freie Gesellschaft kann an einem bestimmten Punkt ihren Status als freie Gesellschaft verlieren; deshalb ist der Kampf für ein freies Internet notwendig