Ein kürzlich eingereichter Antrag nach dem Freedom of Information Act (FOIA) betrifft einen weiteren Fall, in dem die US-Regierung Überwachungsinstrumente von Dritten kauft.
Dieser – Augury genannt – ist jedoch etwas anders gelagert, da er von der für die “nukleare Abschreckung” zuständigen Behörde des Landes, der Defense Threat Reduction Agency (DTRA), genutzt wird.
Gleichzeitig behaupten die Hersteller des Tools, dass es Zugang zu über 90 Prozent der weltweiten Internetdaten hat.
Die DTRA steht damit in einer Reihe mit der US Army, dem FBI, dem zivilen NCIS (Naval Criminal Investigative Service) der Marine, dem IRS, dem Cyber Command und der Defense Counterintelligence and Security Agency.
In früheren Berichten wurde der Gesamtwert dieser Verträge auf “mindestens” 3,5 Millionen Dollar beziffert, ohne den Zeitraum zu nennen.
Die Art der Daten, um die es geht, macht die Enthüllungen interessant: Es handelt sich um Netflow-Daten, ein Protokoll, das Metadaten des IP-Verkehrs zwischen Netzwerkgeräten sammelt.
Zu diesen Geräten gehören Router, Switches und Hosts, und normalerweise sind IPS und Serverbesitzer die einzigen, die darauf zugreifen können (sollten).
Daher findet die scheinbar umfassende Überwachung hier auf der Ebene des Internet-Backbones statt.
Aus früheren Dokumenten geht hervor, dass Augury auch mit Web-Browsing-Daten (besuchte URLs, Cookies), E-Mail-Daten, Packet Capture (PCAP) und Routing-Daten (aktuell oder historisch) handelt – und diese angeblich “stündlich aktualisiert”.
Die neuesten Enthüllungen, die aus FOIA-Dokumenten hervorgehen, nennen den Hersteller des Tools und das Unternehmen, das die besagten Daten verkauft, als Argonne Ridge Group (ARG), eine Tochtergesellschaft von Team Cymru.
Auf seiner Website wirbt Team Cymru damit, dass seine Produkte “unmittelbare Einblicke in Bedrohungen” bieten und gleichzeitig schnell auf Warnungen “in einer einzigen Glasscheibe mit Echtzeit-IP-Intelligenz” reagieren.
Team Cymru beschäftigt nach eigenen Angaben ehemalige Mitglieder nationaler und industrieller CSIRT-Teams (Computer Security Incident Response Teams), ehemalige Strafverfolgungs- und Militärbeamte, ISP-Backbone-Ingenieure, Netzwerkingenieure von Fortune-500-Unternehmen usw.
Obwohl es sich um einen Vertrag zwischen einer Regierungsbehörde und einer Drittpartei handelt, scheint es, dass dieses Geschäft im Großen und Ganzen “in der Familie” bleibt.
Entwickler und Systemingenieure für Spiele, Webanwendungen, Kernel, Hochleistungsrechner und Big Data arbeiten ebenfalls für das Unternehmen.
Und der Vertrag, den die DTRA mit ARG (Team Cymru) abgeschlossen hat, wird den US-Steuerzahler allein im Jahr 2023 490.000 Dollar kosten, wie aus denselben Quellen hervorgeht.
Aus einem der FOIA-Dokumente geht hervor, dass die DTRA die Notwendigkeit der Lizenzierung von Augury als Mittel zur Überwachung der Kommunikation zwischen Servern, einschließlich privater Server, mit der Notwendigkeit begründet, “Infrastrukturen zu identifizieren”, die ihrer Ansicht nach böswilligen Akteuren gehören.
In einem anderen Bericht heißt es, die DTRA müsse “laufende Bewertungen der Verwundbarkeit kritischer nationaler und alliierter Systeme, Netzwerke, Architekturen, Infrastrukturen und Vermögenswerte der USA und ihrer Verbündeten unterstützen”.
Augury verspricht, dass es täglich mehrere Dutzend Millionen Datensätze erfassen kann, ein “leistungsstarkes” Tracking- und Mapping-Tool ist und “das einzige Software-Tool ist, das eine derart umfassende Datenverarbeitungs- und Datenerfassungslösung bietet”.
In einer früheren Ausschreibung der US-Regierung war von “mindestens 100 Milliarden neuen Datensätzen pro Tag” die Rede, während 550 Sammelstellen auf der ganzen Welt, auf allen Kontinenten mit Ausnahme der Pole, angepeilt wurden.
Unabhängig davon, welche dieser Behauptungen zutrifft, zeigen die Geschäfte der US-Regierung mit Augury ihre enormen Überwachungskapazitäten; und man könnte sagen, dass die Vielfalt der Daten und das Interesse so vieler Bundesbehörden eine weitere Möglichkeit darstellen, wie die US-Regierung in kontroversen Szenarien mit privaten Unternehmen “kooperiert” – oder “kollaboriert”, wenn man so will.
Aus den FOIA-Dokumenten geht hervor, dass die “Partnerschaft” zwischen Team Cymru und den Internet Service Providern so funktioniert, dass letztere dem Unternehmen ihre Daten zur Verfügung stellen und im Gegenzug “Bedrohungsinformationen” erhalten. Die Vereinbarung wurde in der Vergangenheit gegenüber Senator Roy Wyden offengelegt.
Dies geschah, nachdem Wyden bekannt gegeben hatte, dass sich ein Informant an sein Büro gewandt hatte, weil der NCIS diese Daten angeblich ohne Genehmigung gekauft und verwendet hatte.
Es sei “ziemlich verrückt”, zitiert die Zeitung Experten, die auf die Tatsache reagierten, dass diese Daten gesammelt und dann auf diese Weise verkauft werden könnten.
Der Vertrag, den die DTRA mit Augury geschlossen hat, beinhaltet Schulungen und mehrere Klauseln, die das Lieblingsmotto der US-Spionagegemeinschaft infrage stellen, nämlich dass man nichts zu befürchten hat, wenn man nichts zu verbergen hat.
Den aufgetauchten E-Mails zufolge enthält der Vertrag jedoch eine Art NDA, die die Weitergabe von Rohdaten verhindern soll, wenn dadurch die Quelle ARG aufgedeckt werden könnte.
Außerdem “darf keine Partei ohne vorherige schriftliche Zustimmung der anderen Partei Pressemitteilungen oder öffentliche Erklärungen über die andere Partei oder die ausgetauschten Daten abgeben”, heißt es in einem Dokument.
Es scheint, dass keine der beiden Parteien derzeit bereit ist, etwas davon zu tun, da unsere Bitten um eine Stellungnahme bisher sowohl von der DTRA als auch von Team Cymru ignoriert wurden.
Das Sammeln von Internet-Überwachungsdaten durch Regierungen und Dritte stellt eine Landschaft voller technologischer Raffinesse und erheblicher ethischer Herausforderungen dar. Diese Praxis, die häufig mit der nationalen Sicherheit begründet wird, umfasst verschiedene Methoden und Instrumente, mit denen riesige Mengen an Internetdaten gesammelt werden, was problematische Auswirkungen auf die Privatsphäre, die Rechtmäßigkeit und die öffentliche Transparenz haben kann.
Das Rückgrat der modernen Internetüberwachung bilden häufig Werkzeuge, die in der Lage sind, verschiedene Arten von Daten, die über das Internet übertragen werden, abzufangen und zu analysieren. Zu den am häufigsten gesammelten Daten gehören:
Netflow-Daten: Hierbei handelt es sich um Metadaten über den IP-Verkehr zwischen Netzwerkgeräten. Sie werden in der Regel von Internet Service Providern (ISPs) und Netzwerkadministratoren verwendet, um den Verkehrsfluss zu verstehen und die Netzwerkleistung zu verwalten.
Web-Browsing-Daten: Das Sammeln von Informationen über die von Nutzern besuchten URLs zusammen mit Cookie-Daten gibt Aufschluss über individuelle Surfgewohnheiten und -vorlieben.
E-Mail-Metadaten: Dazu gehören Daten über Absender, Empfänger und Zeitpunkt von E-Mails, die Kommunikationsmuster abbilden können, ohne den Inhalt der E-Mails preiszugeben.
Paketdaten (PCAP): Hierbei handelt es sich um granulare Aufzeichnungen ganzer Datenpakete, die das Netz durchlaufen, und die einen tiefen Einblick in den Inhalt und die Art des Internetverkehrs ermöglichen.
Routing-Daten: Informationen darüber, wie Datenpakete durch das Internet geleitet werden, können Aufschluss über die Struktur und die betrieblichen Eigenschaften von Netzinfrastrukturen geben.
Diese Methoden sind zwar technologisch beeindruckend, werden aber in einem Umfang und in einer Art und Weise eingesetzt, die häufig die Grenzen des rechtlichen Rahmens und ethische Grenzen überschreiten.
Bedenken hinsichtlich der Privatsphäre
Die größte Sorge im Kontext der großangelegten Datensammlung sind die Auswirkungen auf die Privatsphäre des Einzelnen. Überwachungsinstrumente können potenziell die Aktivitäten von Millionen von Internetnutzern überwachen, oft ohne deren ausdrückliche Zustimmung. Diese Möglichkeit wirft ernsthafte Fragen über das Gleichgewicht zwischen der Gewährleistung von Sicherheit und dem Schutz der Privatsphäre der Bürger auf. Das Eindringen in die Privatsphäre kann weitreichend sein und die Interessen, Gewohnheiten und Kommunikationsmuster einer Person offenlegen.
Juristische und ethische Herausforderungen
Die Rechtmäßigkeit von Überwachungsmaßnahmen wird häufig infrage gestellt. In den einzelnen Ländern gelten unterschiedliche Überwachungsgesetze, und internationale Operationen können die Rechtsprechung zusätzlich erschweren. Darüber hinaus kann die Partnerschaft zwischen Regierungsbehörden und Privatunternehmen bei diesen Operationen zu Interessenkonflikten und mangelnder Rechenschaftspflicht führen, da kommerzielle Motive die öffentlichen Interessen und Rechte überlagern können.
Transparenz und Verantwortlichkeit
Ein weiteres wichtiges Thema ist die Transparenz. Überwachungsmaßnahmen werden oft geheim gehalten, und die Öffentlichkeit erfährt nur wenig darüber, welche Daten gesammelt werden, wie sie verwendet werden und wer Zugang zu ihnen hat. Diese Geheimhaltung untergräbt die demokratische Kontrolle und verringert die Rechenschaftspflicht der Regierung gegenüber ihren Bürgern. Geheimhaltungsvereinbarungen und Verschlusssachen können sinnvolle Diskussionen und politische Entscheidungen verhindern, die die Interessen und Anliegen der Öffentlichkeit widerspiegeln.
Regierungen, insbesondere in Ländern wie den Vereinigten Staaten, befinden sich häufig in einem komplexen Spannungsfeld zwischen den Erfordernissen der nationalen Sicherheit und den verfassungsrechtlichen Schutzbestimmungen, die insbesondere im Vierten Verfassungszusatz verankert sind. Dieser schützt die Bürger vor unangemessenen Durchsuchungen und Beschlagnahmungen und verlangt, dass jede Durchsuchung oder Beschlagnahmung von einem Gericht genehmigt werden muss und durch einen hinreichenden Grund gerechtfertigt sein muss. In einer Zeit, in der die digitale Überwachung zur Norm geworden ist, können die Methoden, mit denen Regierungen Daten sammeln, manchmal die Grenzen dieses Rechtsrahmens überschreiten.
Strategischer Einkauf zur Umgehung rechtlicher Kontrolle
Eine Methode, die Regierungen anwenden können, um direkte Anfechtungen des Vierten Verfassungszusatzes zu umgehen, ist der Kauf von Überwachungsdaten von Dritten. Dieser Ansatz nutzt eine rechtliche Grauzone: Es wird oft argumentiert, dass Daten, die von unabhängigen kommerziellen Unternehmen gekauft werden, nicht unter denselben verfassungsrechtlichen Schutz fallen wie Daten, die direkt von Regierungsbehörden gesammelt werden.
Im Allgemeinen funktioniert dies wie folgt:
Drittparteien-Doktrin: In der Vergangenheit hat der Oberste Gerichtshof der USA entschieden, dass Informationen, die freiwillig an Dritte weitergegeben werden, nicht durch den Vierten Verfassungszusatz geschützt sind (wie in Fällen wie Smith v. Maryland). Regierungen können argumentieren, dass der Kauf von Daten von Dritten keine “Durchsuchung” darstellt, da der Einzelne durch die Weitergabe seiner Daten an Dritte (z. B. Internet Service Provider und Technologieunternehmen) bereits jegliche Erwartung auf Privatsphäre aufgegeben hat.
Verträge mit Datenmaklern: Regierungen schließen Verträge mit privaten Unternehmen, die auf die Sammlung und Analyse von Daten spezialisiert sind. Diese Unternehmen sind in der Lage, auf legale Weise große Datenmengen zu sammeln, die sie dann an Regierungsbehörden verkaufen können. Die Daten enthalten oft detaillierte Informationen über die Nutzer, die aus verschiedenen Online-Aktivitäten gewonnen werden.
Vermeidung direkter Überwachung: Durch den Kauf von Daten von Dritten können Regierungsbehörden den Einsatz eigener Überwachungsinstrumente vermeiden, für die möglicherweise Durchsuchungsbefehle erforderlich sind oder die der öffentlichen und gerichtlichen Kontrolle unterliegen. Diese Methode kann die direkte Beteiligung der Regierung an der Datenerhebung verschleiern.
Rechtliche und ethische Fragen
Obwohl diese Praxis nach derzeitiger Rechtsauffassung potenziell legal ist, wirft sie erhebliche ethische und datenschutzrechtliche Fragen auf:
Aushöhlung der Privatsphäre: Diese Methode kann zu weit verbreiteten Überwachungspraktiken führen, bei denen riesige Mengen personenbezogener Daten ohne direkte Zustimmung oder Wissen der Betroffenen gesammelt werden, was möglicherweise Millionen ahnungsloser Personen betrifft.
Rechenschaftspflicht und Transparenz: Der indirekte Charakter der Datenerhebung durch Dritte kann zu einem Mangel an Transparenz und Rechenschaftspflicht führen. Ohne strenge Aufsicht besteht ein erhebliches Risiko des Missbrauchs oder der missbräuchlichen Verwendung der Daten.
Potenzial für Missbrauch: Die weitreichenden Möglichkeiten, die die Daten Dritter bieten, können Behörden dazu verleiten, über das Ziel hinauszuschießen und die Daten für Zwecke zu nutzen, die über den ursprünglichen Rahmen der nationalen Sicherheit oder der Strafverfolgung hinausgehen.
Rechtliche Herausforderungen und eine sich entwickelnde Rechtsprechung: In dem Maße, in dem das Bewusstsein für diese Praktiken wächst, werden sie zunehmend vor Gericht angefochten. Die Rechtsauffassungen über die Anwendbarkeit des Vierten Verfassungszusatzes auf digitale Daten entwickeln sich weiter, und künftige Gerichtsentscheidungen könnten diesen Praktiken neue Grenzen setzen.
