Die Geheimdienste überwachten 2010 37 Millionen E-Mails und Datenverbindungen
Da ging heute eine von der BILD-Zeitung initiierte Meldung durch die Presse, wonach 37 Millionen E-Mails (und andere Datenverbindungen) überwacht wurden. Mehrere Leute fragten mich, ob ich dazu was schreiben könnte.
Die Sache beruht auf dem sogenannten G10-Gesetz, das die Beschränkung des Brief-, Post- und Fernmeldegeheimnisses gegenüber den Geheimdiensten unter gewissen Voraussetzungen erlaubt. Anlaß ist ein Bericht gegenüber dem parlamentarischen Kontrollgremium, in dem die genaueren Angaben zu finden sind.
Hört sich schrecklich an, oder? Ist aber viel von Panikmache und Suggestion.
37 Millionen E-Mails und andere Datenverbindungen hört sich nach schrecklich viel an, ist es aber nicht. Das entspricht von der Größenordnung her der Zahl der Internet-Nutzer in Deutschland, macht ungefähr eine Größenordnung von 1 E-Mail pro Benutzer und Jahr. Ich weiß von einem Mail-Relay von ein paar Privatleuten, der alleine schon bei einem Durchsatz von ungefähr 10 Millionen Mails pro Jahr liegt. Und bedenkt man, daß der E-Mail-Verkehr zu über 90% aus Spam besteht (was sich durchaus auch nachteilig ausgewirkt hat, wie im Bericht erwähnt wird), relativiert sich das noch einmal.
Übrigens entfielen nur etwa 10 Millionen davon auf den Bereich Terrorismus, der Rest auf Proliferation und Rüstung (also Lieferung von Massenvernichtungswaffen usw.). (Manche Blogger wie z. B. Annalist wunderten sich, wie die Bild-Zeitung auf die Zahl 37.292.862 käme. Addiert man aber die im Bericht für die beiden Bereiche angegebenen Zahlen kommt man direkt auf das Ergebnis: 10213329 + 27079533 = 37292862) Deshalb erlaube ich mir die Nebenbemerkung, daß man sich überlegen sollte, was man eigentlich will. Man kann sich durchaus vertretbar auf den Standpunkt stellen, daß der Terrorismus übertrieben wird und für alles als Ausrede herhalten muß. (Man kann aber, was vielen nicht gefallen wird, durchaus ebenso vertretbar anderen Standpunktes sein.) Daß (insbesondere heimlicher oder krimineller) Waffenhandel nicht gut ist und bekämpft werden muß, darüber besteht aber wohl ein gesellschaftlicher Konsens. Man bedenke etwa, daß noch immer nicht klar ist, wie Gadaffis Truppen an so viele Sturmgewehre aus deutscher Produktion kommen konnten. Nun machen sie was, und es ist auch wieder nicht gut. Momentan gibt es so eine sehr staatskritische, linkstendenzielle Meinungswelle, alles was der Staat macht, als böse hinzustellen. Gleichzeitig gegen Waffenhandel und gegen Telekommunikationsüberwachung zu sein hat was von „Wasch mich, aber mach mich nicht naß!” Man kann gegen vieles sein, aber nicht plausibel gegen alles. Irgendeine Handlungsweise muß man übrig lassen, die man nicht kritisiert, sonst setzt man sich dem Vorwurf aus, willkürliches Kritisieren als Masche einzusetzen.
Eine Frage, die an mich herangetragen wurde, war
Vielleicht können Sie technisch erklären, was “gebündelte Übertragung” bedeutet, wie man dabei geheimdienstlich Suchworte findet (z.B. Bombe) und was man dann machen kann, um aus 37 Mio Emails die angeblich 12 relevanten (Drucksache 17/8639, S. 6) herauszufiltern. Und wie man die dann lesen und weiterverfolgen kann.
Ich weiß nicht, wie sie es konkret machen. Aber ich weiß, daß da eigentlich nur eine Methode übrig bleibt, eine solche Überwachung durchzuführen. Ich war über gewisse Zeit bei einem Telekomunikatiosanbieter vertretungsweise für die TKG-Angelegenheiten wie Ausleitungen zuständig, und dabei sind mir diese G10-Überwachungen nicht untergekommen. Es wäre technisch auch nicht sinnvoll, sich für Massenüberwachungen an die Endkunden-Provider zu wenden. Das wäre viel zu komplex, aufwendig und störanfällig.
Dabei ist zu beachten, daß es hier – anders als etwa bei der gezielten Überwachung einer bestimmten Person oder eines bestimmen Anschlusses – mehr um eine Stichprobenartige Überwachung des gesamten Querschnittes geht, und sowas macht man an den großen Backbones und Austauschknoten. Da wird man vermutlich die übertragenen Sprach-, Fax- und Internet-Daten einfach an die entsprechenden Überwachungseinrichtungen anschließen. (Bis vor 10 Jahren war ich Security-Heini beim ersten und damals größten deutschen Internet-Provider. Mich sprach auf einer Veranstaltung damals jemand von den Geheimdiensten an, sie würden würden das gerne überwachen, wie sie das anstellen könnten. Ich habe ihm damals lachend gesagt, daß wir gerade unsere neuen Glasfaser-Euro-Ringe fertig haben und die 77 Terabit pro Sekunde machen, und gefragt, ob sie einen Hobel hätten, der das abhören und aufzeichnen könnte. Da ist er ziemlich blaß geworden und hat nichts mehr gesagt. Heute sieht das technologisch aber anders aus. Man muß sich nur mal anschauen, was schon die öffentlich und gar nicht geheim verfügbaren Border Controller für Internet Provider so drauf haben.)
§ 5 des G10-Gesetzes bezieht sich explizit auf internationale Telekommunikationsverbindungen. Da bietet es sich geradezu an, an die Verbindungsstellen zum Ausland zu gehen (vgl. auch die sogenannte „Auslandskopfüberwachung”, die etwas ähnliches, nur eben mit genau bestimmter Kommunikation treibt).
Man wird sich also an diese Verbindungsstellen hängen. Für Telefonverbindung muß man eben eine akkustische Spracherkennung einsetzen. Für Faxe eben OCR. Und für E-Mail muß man aus dem Internet-Strom die Pakete rausfischen, die an Port 25 gehen bzw. erkennbar SMTP sprechen, um direkt den Text zu gewinnen.
Hat man solche SMTP-Pakete, kann man ohne weiteres den TCP-Strom wieder zusammensetzen und dann ganz normal den Inhalt der E-Mail gewinnen. Darin dann nach den gesuchten Stichworten zu suchen ist eine Aufgabe für die einschlägigen Algorithmen (die z. B. darauf beruhen, endliche Automaten zu bauen) oder ein cluster schneller Vergleicher an einem Schieberegister. Auf diese Weise kann man aus einem großen Strom von E-Mails sehr schnell die herausfinden, die mit einem ersten schnellen automatischen Mustervergleicher anschlagen und diese dann einer weiteren, langsameren aber genaueren Untersuchung zuführen. Und genau das beschreiben sie ja hier auch, nämlich daß sie diese 37 Millionen Verbindungen, die automatisch detektiert wurden, weiter untersucht haben und dann nur 180 übrig blieben.
Das heißt nicht notwendigerweise, daß die weitere Bewertung der 37 Millionen Verbindungen durch Menschen erfolgte, die das gelesen haben. Sondern daß man mit anderen Verfahren weitergemacht hat. Beispielsweise könnte man darauf Software mit Heuristiken und ausführlicher Textanalyse loslassen, viel zu langsam wäre, um den vollen E-Mail-Strom zu untersuchen. Und die beispielsweise kontextsensitiv arbeitet oder weitere Bewertungen vornimmt. Man wird also mit schnellen, aber ungenauen Verfahren anfangen, um eine immer engere Auslese zu erreichen und auf immer weniger Nachrichten immer bessere aber aufwendigere Verfahren anwenden, bis am Ende tatsächlich Menschen sitzen, die das lesen. Aus dem Inhalt der Mails und den Verbindungs- und Header-Daten wird man Rückschlüsse darauf ziehen können, was wann wo passiert. Suchkriterien für weitere Mails finden und so weiter. Kann man so pauschal nicht sagen, weil das sehr vom Einzelfall abhängt.
Manche Leute machen sich gerade über die Zahlenverhältnisse lustig oder geben sich schockiert, daß es eben unter 37 Millionen Nachrichten nur 180 waren, die wirklich relevant waren. Das ist aber eigentlich sehr laienhaft, um nicht zu sagen dumm, denn um aus dieser großen Menge von Nachrichten die relevanten herauszufinden, muß man notwendigerweise ein mehrstufiges Verfahren einsetzen, das in der ersten Stufe sehr einfach und schnell arbeitet und damit notwendigerweise viele False Positives liefert. Da herrscht viel Propaganda, Desinformation und Panikmache. Um sich wirklich eine Meinung zu bilden, sollte man eher überlegen, was einem die 180 Treffer dann tatsächlich qualitativ gebracht haben und ob das den Aufwand und den Eingriff in das TK-Geheimnis im Sinne rechtsstaatlicher Verhältnismäßigkeit rechtfertigen kann. Dummerweise steht aber gerade das nicht in dem Bericht. Ein wesentlicher Kritikpunkt muß meines Erachtens sein, daß sich die Berichtspflicht auf quantitative Angaben beschränkt, obwohl man die Sache meines Erachtens gerade nicht anhand der Quantität, sondern anhand des qualitativen Ergebnisses beurteilen muß. Und diese Informationen fehlen schlichtweg. Das heißt noch nicht, daß die Überwachung selbst unverhältnismäßig ist, sondern daß deren Kontrolle durch den Bundestag nicht funktioniert und man nicht feststellt ob es verhältnismäßig ist. Vielleicht tut man das auch, nur außerhalb dieses Berichtes. Vielleicht gibt es noch einen geheimen Anhang. Ich weiß es nicht.
Hüten sollte man sich aber vor den Agitatoren, die jetzt – wie auch schon bei der Vorratsdatenspeicherung – allein mit irgendwelchen Zahlenverhältnissen Meinung und Stimmung machen. Der untrainierte Mensch fällt so gut wie immer auf Zahlenverhältnisse herein. Das ist aber falsch. Wenn man von der Vorratsdatenspeicherung in einem Jahr vielleicht 10 Kriminalfälle aufdeckt, kommt es nicht auf die Zahl 10 an, sondern ob es Beleidigungen oder Kindermorde waren. Es ist aber sehr leicht, ein breites Publikum durch Zahlen zu beeindrucken, obwohl man eigentlich gar nichts gesagt hat. (Buchtipp: „So lügt man mit Statistik”.) Da hat die Bevölkerung echte Lücken im Allgemeinwissen und der Medienkompetenz. Und viele Leute machen sich Volkes Oberflächlichkeit zu Nutze.
Was mich an der Sache auch stört, ist die aufgesetzte und geheuchelte Überraschung. Seit mindestens 10 Jahren beten wir in den Medien rauf und runter, daß E-Mails ungeschützt übertragen werden, wenn sie nicht vom Absender bewußt verschlüsselt werden, und den Eintütungswert einer Postkarte haben. Man muß schon das Gemüt eines BILD-Lesers haben, um sich nun davon überraschen zu lassen, daß E-Mails abhörbar sind und abgehört werden. Millionen von Deutschen schicken jeden beliebigen Kram über Facebook, E-Mail usw. durch die Gegend, und keinen juckt’s.
Ich habe während des Studiums, weiß nicht mehr so genau, wann das war, Ende 80er, Anfang 90er irgendwann, damals noch im Studentenwohnheim mit meinem Amiga, erste Versionen von PGP ausprobiert, und am EISS haben wir damals auch Verschlüsselungssoftware entwickelt. Und damals gab es noch kein Internet außerhalb der Universitäten, und auch da nur für Eingeweihte. Trotzdem hatte ich damals mehr E-Mail-Partner, mit denen ich PGP-verschlüsselt gemailt habe, als heute. Kaum jemand hält es heute noch für angebracht, sich über die Verschlüsselung seiner Kommunikation Gedanken zu machen. In jedem noch so versifften Hotel- oder Tagungs-WLAN volles Rohr, immer drauf, und natürlich alles immer über das Ausland.
Man könnte sich schon relativ einfach gegen solche Überwachung schützen indem man TLS einschaltet. Gegen einen rein passiven Angreifer, der nur abhört und nicht eingreift, nützt es schon in der dümmsten Betriebsart ohne Verifikation der Zertifikate. Aber: Lächerlich wenige Firmen und Provider nutzen TLS. Kümmert in Deutschland kaum eine Sau. Ich habe unlängst als Security-Manager eines Telekommunikationsunternehmens (und da geht es immerhin auch um Datenschutz, Kontendaten, TKG-Angelegenheiten usw.) angeordnet, TLS für SMTP einzuschalten. Nöh, machten die nicht. Wäre ja Aufwand. Sie fanden das ganz toll und vom Aufwand her gerade noch akzeptabel, daß als äußerer Mail-Relay zum Internet hin der E-Mail-Spam/Virenscanner steht. Da nochmal was richtiges davorzuschalten wäre ja nur eine zusätzliche Fehlerquelle, meinten sie. Der Hersteller des Mail-Scanners unterstützte seinerseits aber kein TLS, weil’s dafür eigentlich auch nicht gedacht war. Und deshalb gibt es da halt kein TLS.
PGP-Verschlüsselung gab es auch nicht, weil man dort Microsoft Outlook einsetzt, und die PGP-Software für Outlook ist so übel schlecht, daß nicht mal ich damit richtig klargekommen bin, noch weniger natürlich Mitarbeiter anderer Berufsgruppen.
S/MIME wäre was gewesen. Ging aber auch nicht, weil man noch eine alte Version von Microsoft Exchange eingesetzt hatte, die mit Signaturen usw. nicht umgehen konnte. Aus rechtlichen Gründen mußte das Ding so eingestellt werden, daß er an jede Mail unten ein Impressum (Steuernummer, bei welchen Gericht, Geschäftsführer und all der Kram) dranklatschte, und damit alle Signaturen zerschlug.
Und zu kompliziert war’s den Leuten sowieso. Bestenfalls die Attachments wurden gelegentlich als ZIP-Archive mit Verschlüsselung verschickt.
Deshalb wird hier die allermeiste E-Mail-Kommunikation unverschlüsselt geführt. Obwohl seit mindestens 10 Jahren gepredigt wird, daß unverschlüsselte E-Mail Freiwild ist. Das wird ignoriert wie ein Tempo-70-Schild an einer bayerischen Landstraße. Steht aber dann in der Presse, daß abgehört wird, dann sind plötzlich alle überrascht. So wie man darüber überrascht ist, daß Facebook Daten sammelt. Der eigentliche Skandal ist nicht das Abhören, sondern die Inkompetenz des Volkes im Umgang mit modernen Medien, und die Unfähigkeit der Informatik, brauchbare Verschlüsselungssoftware zu produzieren.
Wie naiv und törricht muß man eigentlich sein, um seine Mails über Google, Hotmail, Facebook und wie sie alle heißen, abzuwickeln, die alles verwursten, und sich dann darüber aufzuregen, daß der deutsche Geheimdienst gerade mal 37 Millionen Mails untersucht hat?
Nur mal zum Vergleich: Vor 6-8 Jahren hatte ich diverse Kunden aus dem Pharmabereich, denen ich Firewalls und Mail-Relays installiert habe. Die Relays auf Basis von Postfix, selbstverständlich TLS entsprechend eingeschaltet. Das hat sie aber nicht interessiert. Vorher schon hatten sie ihre vertraulichen E-Mails unverschlüsselt über ein öffentliches Stadtnetz-WLAN rausgeblasen. Einige Monate später schloß der Vorstand einen Joint-Venture-Vertrag mit zwei amerikanischen Pharma-Firmen. Und sofort kam von den Amis eine mehrseitige präzise Anforderung, das man jede E-Mail-Konfiguration mit ihnen ausnahmslos per TLS verschlüsseln müsse. Weil’s ganz, ganz, ganz dringend und eilig war, rief man mich und verlangte, daß ich ganz, ganz, ganz schnell mache, daß das geht. Und sie haben sich wie die Schneekönige gefreut, als ich ihnen sagte, daß sie das bereits haben, daß ich nur noch schnell die Zertifikate in die Liste eintragen muß. Die Amis haben es durchgesetzt, die Deutschen hat es eigentlich nicht interessiert. Hauptsache Vertrag erfüllt, Joint-Venture kann losgehen.
Eines aber stößt mir dabei sehr sauer auf:
Ich bin mit meiner E-Mail nicht bei einem großen Massenprovider, sondern mache das mit ein paar Leuten selbst. Allerdings mit begrenztem Zeit- und Geldaufwand. Perfekte Sicherheit können wir da auch nicht liefern. IMAP gibt es nur SSL-verschlüsselt. Und aus diversen Gründen haben wir kein Zertifikat von einer offiziellen CA, sondern selbstgebastelte. Kostet halt nix, soll ja billig sein.
Unterwegs verwende ich ein Android-Handy. Zu Hause einen iPod und ein iPad. Seit dem Upgrade des iOS auf die Version 5 kann ich nicht mehr auf den IMAP-Server zugreifen, die Dinger brechen einfach die Verbindung ab. Obwohl ich die Zertifikate eingespielt habe und es mit Version 4 noch ging. Ich habe den Bug vor Monaten an Apple gemeldet, und sie haben ihn sofort als „serious” eingestuft. Und nach einiger Zeit den Bug als Doppel notiert, es handele sich um einen schon bekannten Bug. Das führte aber nur dazu, daß ich im Bug-System von Apple den früheren Bug nicht einsehen kann, weil ich an dem nicht beteiligt bin. Also sehe ich überhaupt nicht mehr, was sie da machen und woran es liegt. Ich sehe nur, daß gar nichts mehr passiert. Auch der Web-Browser kann nicht auf die HTTPS-Seiten zugreifen. Gleiches Problem.
Anfangs habe ich es für einen Bug gehalten. Bugs passieren, sowas kommt vor.
Nachdem Apple aber schon seit Monaten nicht in der Lage sein will, einen solchen fundamentalen serious bug, der ja schon länger bekannt sein soll, in Ordnung zu bringen, es inzwischen eine neue iOS-Version gab und man mich da komplett von den Informationen zum Bug abgeschnitten hat, kommt mir so langsam der Gedanke, ob da nicht vielleicht Absicht dahinterstecken könnte, um die Leute vom Einsatz selbstgebastelter Mailserver ab- und sie zur Nutzung großer Standardanbieter zu bewegen, bei denen man staatlichen Zugriff auf die Mails hat.
48 Kommentare (RSS-Feed)
@Erbloggtes: Naja, in Talkshows kann man nicht einfach so hingehen, die müssen einen einladen…
Kleiner Hinweis zum technischen Ablauf:
jeder deutsche E-Mailprovider ist nach TKü Verordnung verpflichtet eine sogenannte SiNA Box des Herstellers Secunet bereitzustellen.
Über die SINA-Box habe die verschiedenen Geheimdienste direkten live-Zugriff auf alle E-Mails eines jeden Accounts den sie wünschen.
@Daniel: Na, das stimmt so wohl nicht. Da gibt es ja Einschränkungen, siehe etwa § 3. Zweitens ist es eine Verordnung und kein Gesetz, und sie regelt nur den Ablauf, gibt nicht selbst das Recht zum Zugriff. Drittens taugt das nicht zur Massenüberwachung, weil man da immer vorher dazusagen muß, daß man die Kommunikation von X überwachen will und nicht einfach sagen kann, gibt mir mal stichprobenweise 3% der Kommunikation rüber (auch wenn sich die Verordnung auf G10 bezieht).
Hi Hadmut!
Ich nutze für private Zwecke die gratis Zertifikate con startssl.com als Alternative zu den selbsterzeugten/selbstsignierten Certs.
Vielleicht auch was für Dich?
Pete
@Pete: Nein, weil dies bei unserem Einsatzzweck derzeit keinerlei Vorteil, aber Aufwand bringt. Etwa daß die Zertifikate nach einem Jahr schon wieder ablaufen. Trotzdem danke für den Hinweis.
Danke für die Erläuterung.
Schönen Dank T.W. für den Hinweis auf diese Seite;-))
Herr Danisch, Sie haben einen neuen Leser.
🙂
Ich habe hier die gleiche Konstellation (iOS 5, selber gehosteter IMAPS) und mit dem iPhone keine Probleme. Rennt.
@Kai: Es hat weniger mit dem IMAPS, als vielmehr mit dem SSL und den Zertifikaten selbst zu tun. Aber ich weiß nicht, was die Ursache ist. Man kann ja nicht reingucken oder debuggen, brauchbare Fehlermeldungen gibt’s nicht und Apple kommt nicht in die Pötte.
Ich vergas zu erwähnen: auch die Zertifikate sind bei uns selber gemalt. Das gibt beim einrichten die übliche Fehlermeldung, wird nach „Fortfahren” aber anstandslos akzeptiert.
Naja, es kann irgendein blödes Detail sein, irgendeine Extension, oder irgendein Rechenfehler, der sich nur bei manchen Zahlen auswirkt. Das ist halt verdammt schwer zu sagen, wenn man nicht reingucken und nicht vernünftig testen kann. Ich verstehe nur überhaupt nicht, warum Apple bei einer so wesentlichen Komponente auch nach Monaten nicht in die Gänge kommt. Da iOS ja nicht einfach nur Mist rechnet, sondern die Verbindung mittendrin einfach abbricht, muß es ja irgendeinen Fehlerzustand geben, der sich eingrenzen läßt.
Mich interessiert eigentlich nur eins. Könnten meine E-Mails unter den Millionen sein, die verdachtsunabhängig gescannt wurden. Wenn das so ist, dann ist das nicht akzeptabel. Da sind mir auch ungeklärte Waffenlieferungen an Syrien egal. Das ist der Kern der Angelegenheit und auch durch Relativierungen aller Art nicht zu entschärfen.
Das E-Mails nicht sicher sind ist klar. Ob aber ein Krimineller meine E-Mails abfängt oder Ermittlungsbehörden ist was völlig unterschiedliches. Z.B:
Nur weil ein Einbrecher in meine Wohnung eindringen kann, verzichte ich noch lange nicht auf mein Grundrecht der Unverletzlichkeit meiner Wohnung.
@Coolpic: Was ist das für eine Aussage? Akzeptabel, solange die Mails anderer Leute gescannt werden, aber wenn es auch eine von Dir erwischt, dann ist es nicht mehr akzeptabel? Hältst Du Dich irgendwie für was besseres oder ausgzeichnetes? So ne Art Digital-Adel?
Inwieweit könnte die Akzeptabilität davon abhängen, ob es nun zufällig auch eine von Dir trifft oder nicht? Meinst Du der Staat darf nur da nach Kriminellen suchen, wo er schon weiß, daß die kriminell sind? Das ist ein Henne-Ei-Problem.
Versteh mich nicht falsch, Deine Meinung ist vertretbar und respektabel. Aber unlogisch.
Und der Vergleich mit der Wohnung hinkt so sehr, daß er nicht haltbar ist. Denn Du akzeptierst durchaus, daß der Staat in Deine Wohnung eindringt. Wenn Du mit einem Herzinfarkt am Boden liegst, akzeptierst Du, daß der Notarzt reinkommt. Wenn es brennt, Hochwasser gibt, oder das Gebäude einzustürzen droht, dann kommt die Feuerwehr in Deine Wohnung. Wenn die Einbrecher da waren, dann kommt die Polizei zur Spurensicherung, oder vielleicht sogar, um den Einbrecher noch festzunehmen. Und wenn sich ein Geiselnehmer in Deiner Wohnung verschanzt, wird die Polizei da ebenfalls eingreifen. Ich weiß von mehreren Fällen, in denen die Polizei notfallmäßig Wohnungen geöffnet hat, weil der Verdacht von Selbstmord, Epileptischem Anfall oder Herzanfall vorlag. Und wenn man seine Miete nicht zahlt, kommt früher oder später der Gerichtsvollzieher und befördert einen hinaus. Und einen Durchsuchungsbeschluß kann man sich auch auf die ein oder andere Weise einhandeln.
Alle diese Zugriffe beruhen auf einem gesellschaftlichen Konsens und – mehr oder weniger – auf Gesetzen. Insofern ist die Aussage einfach nicht haltbar, daß die Unverletzlichkeit der Wohnung gegenüber dem Staat so überragend wäre. Im Gegenteil, wenn man mal drüber nachdenkt und das entemotionalisiert, dann zeigt gerade das Beispiel der Wohnung, daß es eben eine ganze Reihe von Ausnahmen gibt, die Eingriffe erlauben.
Ich habe auch nicht gesagt, daß man das hinnehmen oder gut finden muß. Aber davon überrascht zu sein, das ist naiv.
Wenn ich mein Fahrrad in die Stadt stelle und nicht abschließe, wird es geklaut. Das ist nicht rechtmäßig, man muß es nicht hinnehmen und nicht gutfinden. Aber davon überrascht zu sein ist ein Merkmal von Naivität.
Du mußt dann eben eine Partei wählen, die im Programm hat, das G10-Gesetz zu streichen.
Das Problem ist doch, dass wir verfassungsrechtlich in Sachen Sicherheit der global-systemischen Realität hinterherhinken als Bundesrepublik Deutschland…..ob das nun G10 oder Art. 87 ist.
Dieses ewige Nachjustieren mittels Gesetzesnovellen oder Erlassen etc. ist doch jämmerlich. Warum unterstellen wir eigentlich den Sicherheitsorganen immer, dass sie weniger gesetzestreu sind als die Mafia.
Also ich hatte mir eine zeitlang angewöhnt, prinzipiell alles was ich verschicke per gpg und/oder s/mime zu verschlüsseln, sofern ich einen öffentlichen Schlüssel vom Empfänger habe (web.de und andere freemailer bieten die Zertifikate übrigens kostenlos an, man könnte mit den meisten freemailer-Nutzern also durchaus verschlüsselt kommunizieren).
Nur hat das oft zu Beschwerden seitens der Empfänger geführt, die es lieber bequem als sicher haben wollten (auch Hadmut war mal drunter :-)) . Seitdem verschicke ich i.d.R. die Mails nur noch signiert und in wichtigen Fällen verschlüsselt.
@yasar: Das ist eben die Unlogik darin. Denn einerseits erwartet man, daß jemand die E-Mail von überall lesen kann, andererseits soll sie verschlüsselt sein.
Obwohl es PGP-Software dafür gibt, habe ich meine PGP-Schlüssel grundsätzlich nicht auf einem Android-Handy oder einem Rechnern, die nicht in meinem Eigentum stehen (z. B. am Arbeitsplatz). Das bedeutet, daß ich PGP-verschlüsselte E-Mail mitunter erst mit deutlicher Verzögerung lesen bzw. verschlüsselt antworten kann.
Nun ist es aber so, daß eine Mail von Dir an mich grundsätzlich – aus anderen Gründen, die ich hier jetzt nicht vertiefen will – verschlüsselt sein sollte, ohne daß es PGP bedürfte. Eigentlich sollte die von vornherein gegen Abhören geschützt sein.
Frei nach dem Apple Motto:
“”Wer benutzt den auch eigene Stammzertifikate?””
Mir ist schon klar, daß das ein grundsätzloche Problem ist, den Schlüssel immer mit dabei haben zu müssen, um an seine mails zu kommen und auch ich lege keine Schüssel auf System ab, die ich nicht unter meiner Kontrolle (oder jemandes Kotrolle, zu dem ich vertrauen habe).
Ansonsten richte ich alle MTAs/MDAs, für die ich verantwortlich bin, so ein, daß die mit TLS/SSL arbeiten und nur als Fallback Klartext nehmen.
26.2.2012 14:31
Kommentarlink
[…] E-Mails und Datenverbindungen betreffen nur 0,0000656% des gesamten E-Mail-Verkehrs. Der Blog Danisch.de erklärt zudem, wie die Sache mit der Überprüfung von statten […]
Das ist mir auch sofort aufgefallen, dass die Zahl sehr gering ist. Was ich dabei nicht verstehe ist, dass es doch diese Blackboxen (Und ich meine nicht das Durchleitungsequipment für polizeiliche Abhörmaßnahmen.) geben soll, die jeder Provider aufstellen muss, für den Geheimdienstzugriff auf alles. Da müsste doch viel mehr drüber laufen. Vor allem, wie wissen die wo es um was geht, da müsste doch erstmal alles gescannt werden, oder? Sonstige Ermittlungen gibt es doch immer weniger, seit die Möglichkeiten der automatisierten Erfassung von allem möglichen existieren.
Ah, erst zu Ende lesen, dann kommentieren, genau diese Zugriffsmöglichkeiten an den Knoten und dass sie erstmal alles lesen müssen um auszusortieren meinte ich.
Das ursächliche Problem bei deutschen Waffen sonstwo ist dass sie produziert werden. Wäre Deutschland nicht am Waffenhandel interessiert, würden die gar nicht erst produziert und könnten auch nciht sonstwo landen.
Ein Androidhandy? Jetzt bin ich aber entsetzt, dem kriegt man gegenüber Google doch gar nciht den Mund verboten.
Ein Android-Handy zu benutzen heißt ja noch nicht, auch Google-Mail zu verwenden.
Und ich kann halt auch nur das verwenden, was verfügbar ist.
Ja, das mit der Verfügbarkeit ist so eine Sache. Aber Android selbst sol doch plappern wie ein Papagei. Ich meine wer braucht Google-Mail wenn Android schon Adressbücher und was weiß ich weitergibt?
@Schlapphut: Gegenfrage: Hätten die Deutschen oder Europäer jemals eine Alternative zu Google/Facebook/Apple hinbekommen?
[…] Danisch: Die Geheimdienste überwachten 2010 37 Millionen E-Mails und Datenverbindungen Gefällt mir:Gefällt mir4 bloggers like this post. […]
@Hardmut: Du hast mich da teilweise mißverstanden, ich hätte es aber auch detailierter schreiben sollen.
Für mich ist eine pauschale E-Mailüberwachung nicht akzeptabel, ob ich betroffen bin oder nicht. Anscheinend gab es bei den E-Mailscanns noch nicht mal einen Anfangsverdacht, denn diesen setze ich vorraus um Post anderer auszuwerten. Das war mir so nicht bewußt, das es so etwas gibt, einfach ins Blaue hinein E-Mails nach Stichworten zu überprüfen. Ich bin in solchen Sachen eigentlich recht gut informiert, doch das ist völlig an mir vorbeigegangen.
Was den Vergleich mit der Wohnung angeht. Einen staatlichen Eingriff in die unverletzlichkeit der Wohnung zum Zwecke von Ermittlungen und Strafverfolgung hab ich damit gemeint. Das ist doch wohl was ganz anderes, als die Beispiele die Du aufzählst.
@Coolpic: Es geht darum, daß die Wohnung keineswegs so unverletzlich ist, wie Du sie hinstellst, und du fälschlich von einer „gefühlten” Sicherheit ausgehst, um den Vergleich zu ziehen.
Mag sein, daß Du einen Anfangsverdacht als Rechtfertigung voraussetzt. Darum geht es aber nicht. Es geht darum, was das Gesetz voraussetzt.
Ich sehe das Problem gar nicht mal so sehr darin, *daß* Emails überwacht werden; ich frage mich nur, welche Sorte von Terroristen oder Waffenhändlern oder ganz allgemein von Kriminellen man derart fangen will. Wer nicht nur seine illegalen Geschäfte in unverschlüsselten Emails abwickelt, sondern außerdem noch unverblümt mit Reizworten wie Bombe hantiert – auf diese Art und Weise kann man doch nur die Idioten, das Fußvolk abfischen?
@Daniel: Sag ich doch! Es geht nicht um die Quantität, sondern um die Qualität des Ergebnisses.
Danke für die Klarstellung! Und für die Motivation, Mails zu verschlüsseln 😉
Gegen die Massenfilter hilft eigentlich schon eine rot13-Verschlüsselung. Oder man schickt das Password im Klartext mit – der Filter bekommt es nicht mit.
Mails bekomme ich etwa 200 am Tag: Mailingliste und Notifications von Blogs und Foren, dass neue Beiträge eingetroffen sind. 365*200 geht schon auf die 100 000 Mails im Jahr zu. Mit 500 Leuten wie mir käme man also in die Gegend von 37 Millionen E-Mails.
Aber das sind ja wohl nur die mit gewissen Schlüsselwörtern gewesen.
@Hadmut Nein, aber inwieweit ist das relevant? Zu Android gibt es verschwiegenere Alternativen. Zu Apple auch. Und Facebook, naja, wir sprechen hier doch nicht von der Facebookgeneration, oder?
@Hadmut Art. 6 Abs. 2 der Europäischen Menschenrechtskonvention, sieht die Unschuldsvermutung explizit vor. Unter anderem bedeutet dies auch, dass nicht ohne Anfangsverdacht ermittelt werden darf.
Ein Massenscan von Emails ist aber eine solche Ermittlung ohne Anfangsverdacht. Außer man geht davon aus, dass die Beteiligten sich kriminellen Verhaltens zuschulden kommen lassen. Dies wäre aber wieder im Widerspruch zur Unschuldsvermutung.
Ich möchte damit nicht sagen, dass die Geheimdienste nicht gezielt einzelne Konten überwachen dürfen, aber eben nicht pauschal einfach mal alle Konten.
@Phil: Nein, genaugenommen ist ein Massenscan von Emails nicht notwendigerweise eine Ermittlung. Zumal es (noch) eine Trennung von Geheimdiensten und Strafverfolgungen geht. Es geht um Nachrichten und Aufklärung, und das häufig wegen Vorgängen, die nicht in ein Strafverfahren münden oder auf eine formale Straftat hinauslaufen. Prävention ist auch keine Ermittlung. So einfach ist es also nicht, sich das zur eigenen Meinung passend zu reden. Du kannst nicht etwas willkürlich umbenennen, damit es die von Dir gewünschte Rechtswidrigkeit hat.
Davon abgesehen verbietet die Unschuldsvermutung auch keine Ermittlungen, sondern nur die Verurteilung, denn sie gilt zunächst mal für Gerichte/Richter und nicht unmittelbar für Behörden. Sonst dürften Polizisten ja auch nicht Streife laufen, sondern erst dann kommen, wenn jemand den Notruf gewählt hat.
Außerdem ist dein Argument sehr unlogisch. Wenn wenn sie nicht pauschal, sondern gezielt hinter bestimmten Leuten nachsuchen würden, dann wäre es ja eine gezielte Ermittlung. Du widersprichst Dir also schon selbst.
Ich will damit nicht sagen, daß ich die Kommunikationsuntersuchung für gut, verhältnismäßig oder für rechtmäßig halte. Ich will sie nicht generell verteidigen.
Ich will damit aber sagen, daß ich die derzeit vorgebrachte Kritik für nicht valide halte und man sich gefälligst nochmal eines gewissen Maßes geistiger Disziplin befleißigen möge, weil ich diese Bauern-Regel-Denkweise absolut nicht abkann und in gesellschaftlicher Weise für noch viel gefährlicher als einen Geheimdienst halte.
Hadmut, es heißt in der Meldung dass 37 Millionen Emails überprüft wurden “weil” darin bestimmte Schlagwörter vorhanden waren. Das heißt dann aber auch dass man gar keine Aussage dazu treffen kann wie viele Emails von Geheimdiensten ingesamt (zumindest automatisch) gesichtet wurden.
Wenn man sich überlegt dass Wörter wie “Bombe” in deutschen Emails (auch SPAMs) wohl nicht sehr häufig auftauchen, müssen exorbitant mehr als 37 Millionen Emails durch die Filter gelaufen sein.
Vor diesem Hintergrund finde ich die aktuelle Situation nicht haltbar.
@Uwe: Im Prinzip hast Du Recht, aber Du ziehst die falschen Schlußfolgerungen. Wenn Du die Situation für nicht haltbar hältst, dürftest Du konsequenterweise gar keine Mails mehr ins Ausland verschicken, also auch nicht an Deutsche, deren Provider im Ausland steht.
Tust Du das?
Btw, kennt irgendjemand ein freies oder OSS-Produkt, um PGP in Outlook (bei Nutzung eines Exchange-Servers) zu integrieren. Alles, was ich bisher getestet habe (auch Gpg4win), hat ausnahmslos nicht funktioniert.
Ich nehme bei der elektronischen Kommunikationen keinerlei Rücksicht auf tatsächlich oder mögliche Landesgrenzen.
Ich finde massenhafte anlasslose (automatische) Überwachung der Kommunikation unabhängig von der Gesetzeslage aber eben nicht in Ordnung.
Auch nicht wenn es 199 andere Geheimdienste ebenso machen.
Hadmut, Du hast sicherlich recht, dass man die Probleme mit Mails die unsere Mauern überqueren nicht ausblenden solte, weil diese gewaltig sind.
Aber _wir_ leben nunmal in Deutschland, und daher müssen wir zunächst mal um jene Dinge aufregen, die unserer Hoheit entsprechen.
Wenn dass dann immernoch nicht reicht, kann man ja andere Länder sanktionieren oder ähnliches.
“Think global, act local”
Jedenfalls finde ich es abwegig, mit den globalen “Problemen” zu argumentieren, wenn sich über lokale Mißstände empört wird.
Für mich nicht ganz abwegiges Beispiel: Wenn ich gegen Kernkraft bin, dann protestiere ich als erstes gegen Kernkraftwerke in meinem eigenen Land;
@Alex: Was ist besser: Ein Kernkraftwerk in Deutschland, auf das man durch Wahlen und damit Gesetzgebung Einfluß nehmen kann, oder eines, das 20 km weiter im Ausland steht und man dann keinen Einfluß mehr darauf hat, und das erst gebaut wird, weil der Strom dann woanders herkommen muß?
Ich habe nicht mit globalen Problemem argumentiert. Ich habe kritisiert, daß und in welcher Art und Weise man sich über lokale Mißstände empört. Denn lokale Mißstände rechtfertigen nicht lokale Blödheit in der Art der Empörung.
Manchmal habe ich den Eindruck, daß unglaublich viele Leute der Meinung sind, daß ein Mangel beim Staat es rechtfertigt, diesen Mangel in jeder beliebig dämlichen Weise zu attackieren.
Freilich kannst Du lokale Probleme lokal angehen. Aber eben nicht auf jede beliebige Art. Das ist das Problem. Verstehen bloß viele nicht.
super artikel.
ich habe bei weitem nie so tief ins digitale glas geschaut, aber da, wo es sich überschneidet, entspricht es komplett meinen erfahrungen. null sensibilität in den firmen und null bereitschaft für mehr sicherheit geld aus zu geben. und auf der verkäufer, der anbieter seite: hauptsache schnell und einfach geld gemacht. hauptsache firewall, spamfilter und kontrolle darüber, wo (auf welcher site) die mitarbeiter in der mittagspause ihre zeit verbringen – aber die mails mit allen wichtigen infos über smtp raus hauen…genau so schaut’s aus… wobei ich hier eher an staatlich organsierter industriespionage denke, als an privaten datenschutz. absurd.
Danke für die detailierte Beschreibung, wie “natürlich” die systematische Überwachung des email Verkehrs ist.
Auch wenn man sowas immer wieder vermutet hat, bin ich davon ausgegangen, der Eingriff in meine Privatleben wäre die Ausnahme um Straftaten aufzuklären. Du schreibst aber sehr strigent den Fall, dass der Wunsch private Kommunaktion komplett zu scannen ein natürliches Bedürfnis des Staates ist und auch getan wird, was Technisch möglich ist.
Mit dem Argument, vorbeugend oder präventiv Straftaten zu verhindern wollen, werden mittlerweile auch Menschen eingesperrt. z.b. vor Fußballspielen
Insofern hilft der Artikel für die Argumentation, dass man sehr wachsam gegen diesen Staat sein muss. Für mich stellt sich bei dieser Sache immer die Frage, wovor muss ich als Bürger mehr Angst haben? Davor von Straftätern oder Terroristen angegriffen zu werden oder davor, dass mich der Staat angreift, weil ich eine Meinung vertrete die ihm nicht paßt.
Von der zweiten Konstellation ging im Laufe der Geschichte auf jeden Fall deutlich mehr Gefahr für die Menschen aus. Das ist aber etwas, was eher rechts gerichtete Menschen nicht wahrhaben wollen. Terror geht auch von Staaten aus.
@Struppi: So ganz richtig habt Ihr mich immer noch nicht verstanden.
Es geht mir nicht darum, das zu verteidigen oder als unbedingt notwendig hinzustellen. Aber es ist eben auch nicht der Blödsinn oder die Willkür, als die es viele hinstellen. Der Staat hat – wie Du schreibst – tatsächlich ein natürliches Bedürfnis, die Aufgabe und in Folge seiner Sicherheitsaufgabe auch die Pflicht, „so etwas” zu tun. Denn das übersehen alle die, die hier mit dem „Heile-Welt-Syndrom” herangehen. Wozu Kernkraftwerke? Bei uns kommt der Strom aus der Steckdose. Wozu Überwachung? Bei uns ist die Sicherheit doch gegeben.
Das heißt nicht, daß man das für gut halten oder akzeptieren muß.
Es heißt aber, daß man das nicht mit den Abwehrrechten des Einzelnen erschlagen kann, sondern daß es einen demokratischen Meinungsbildungsprozeß geben muß, in dem wir uns mehrheitlich entscheiden, ob wir das wollen oder nicht. Ich sehe es nicht als juristisches sondern als demokratisches Thema. Und Demokratie treibt man nicht mittels einiger Schreihälse. Demokratie treibt man, indem man objektiv und mit Sorgfalt die Gründe dafür und dagegen abwägt und sich dann entscheidet und abstimmt, was man will.
@Hadmut
Kleiner Nachtrag zur demokratischen Vorgehensweise:
Man kann sich zusätzlich aber auf den Standpunkt stellen, dass Geheimdienste nur das dürfen, was ihnen explitzit erlaubt wurde, und nicht prinzipiell alles, bis auf verbotenes.
Und wie dem auch sei, es ist haarsträubend, wenn unsere Polizei/ Geheimdienst sich illegal bezüglich unserer Gesetze verhält.
(Und das könnte hier in diesem Fall mal wieder der Fall sein)
@Alex: Suggerierst Du das nur, daß sie sich illegal verhalten haben, oder verstößt das wirklich gegen das G10-Gesetz?
Auf den ersten Blick, ohne nähere Prüfung, hätte ich nämlich vermutet, daß das G10-Gesetz ihnen das explizit erlaubt.
Daß etwas illegal/verboten ist, muß man schon erklären, und darf das nicht nur als Meinungs-Empörungs-Verstärker-Buzzword verwenden.
Zur Ergänzung:
“Es wurde deutlich, dass aufgrund von Verfahrenssicherungen der inländische E-Mail-Verkehr nicht betroffen ist. Der Aufklärung unterliegt lediglich ein eingeschränkter Teil internationaler Verkehre, der automatisiert stark gefiltert wird. Nur ein geringer Anteil dieser E-Mails wird manuell bearbeitet.”
http://www.bundestag.de/presse/pressemitteilungen/2012/pm_1203011.html
Vielen herzlichen Dank!
Wollen Sie nicht diese Woche mal jeden Abend in eine öffentlich-rechtliche Talkshow gehen und denen ein paar der hier aufgeschriebenen Geschichten erzählen, damit die wenigstens eine Ahnung von dem vermitteln, worum es geht?
Ich als Laie habe auch ein paar Erlebnisse mit Verschlüsselungen, die am Ende immer darauf hinaus liefen, dass es nicht geklappt hat und dann halt unverschlüsselt gehen musste.
Zum “Abhör”-Verfahren: Dem PKG-Bericht entnehme ich zumindest andeutungsweise, dass die 37 Mio. Mails keine Zufallsstichprobe sind, dass aber die G-10-Kommission auch nicht sowas sagen kann wie “ja, überwacht halt mal alles, was ihr kriegen könnt”, sondern in irgendeiner Weise Einsatzgebiete definieren muss. Wie die definiert sind, habe ich im Bericht aber auch nicht gefunden. Das kann daran liegen, dass er – wie Sie richtig feststellen – rein quantitativ (uninformativ) ist.