Das geheime Web-Überwachungsprogramm des Vereinigten Königreichs wird
hochgefahren
Die Bemühungen der Regierung, die
Internetaufzeichnungen der Menschen zu sammeln, gehen über ihre
Testphase hinaus, aber viele Details bleiben der Öffentlichkeit
verborgen.
DIE REGIERUNG DES VEREINIGTEN KÖNIGREICHS expandiert und entwickelt
still und leise eine umstrittene Überwachungstechnologie, die in der
Lage sein könnte, die Webverläufe von Millionen von Menschen zu
protokollieren und zu speichern.
Offizielle Berichte und Ausgabendokumente zeigen, dass die britische
Polizei im vergangenen Jahr die Erprobung eines Systems, das die
"Internetverbindungsaufzeichnungen" von Menschen sammeln kann, als
Erfolg gewertet hat und mit der Arbeit begonnen hat, das System
möglicherweise landesweit einzuführen. Wenn es umgesetzt wird, könnte es
den Strafverfolgungsbehörden ein mächtiges Überwachungsinstrument an die
Hand geben.
Kritiker sagen, dass das System sehr aufdringlich ist und dass Beamte in
der Vergangenheit die Daten der Menschen nicht richtig geschützt haben.
Ein Großteil der Technologie und ihres Betriebs ist in Geheimnisse
gehüllt, und die Behörden weigern sich, Fragen zu den Systemen zu
beantworten.
Ende 2016 verabschiedete die britische Regierung den Investigatory
Powers Act, der weitreichende Reformen der Überwachungs- und
Hacking-Befugnisse des Landes einführte. Das Gesetz fügte Regeln hinzu,
was Strafverfolgungsbehörden und Geheimdienste tun und worauf sie
zugreifen können, aber es wurde weithin wegen seiner Auswirkungen auf
die Privatsphäre der Menschen kritisiert, was ihm den Namen
"Schnüffler-Charta" einbrachte.
Besonders umstritten war die Erstellung sogenannter Internet Connection
Records (ICRs). Nach dem Gesetz können Internetanbieter und
Telefongesellschaften angewiesen werden – wobei ein hoher Richter die
Entscheidung genehmigt – die Browserverläufe von Personen 12 Monate lang
zu speichern.
Ein ICR ist keine Liste aller Online-Seiten, die Sie besuchen, kann aber
dennoch eine beträchtliche Menge an Informationen über Ihre
Online-Aktivitäten preisgeben. ICRs können z.B. beinhalten, dass Sie
Wired.com besucht haben, aber nicht, dass Sie diesen einzelnen Artikel
gelesen haben. Ein ICR kann auch Ihre IP-Adresse, eine Kundennummer, das
Datum und die Uhrzeit des Zugriffs auf die Informationen und die
übertragene Datenmenge sein. Die britische Regierung sagt, dass ein
Internetverbindungsdatensatz angeben könnte, wann beispielsweise auf die
Reise-App EasyJet auf dem Telefon einer Person zugegriffen wird, aber
nicht, wie die App verwendet wurde.
"ICRs sind hochgradig aufdringlich und sollten vor einer übermäßigen
Vorratsspeicherung durch Telekommunikationsbetreiber und Geheimdienste
geschützt werden", sagt Nour Haidar, Anwältin und Rechtsreferentin bei
der britischen Bürgerrechtsgruppe Privacy International, die die
Datenerhebung und -verarbeitung nach dem Investigatory Powers Act vor
Gericht angefochten hat.
Über die Entwicklung und den Einsatz von ICRs ist wenig bekannt. Als der
Investigatory Powers Act verabschiedet wurde, sagten
Internetunternehmen, dass sie Jahre brauchen würden, um die Systeme zu
bauen, die zum Sammeln und Speichern von ICRs erforderlich sind. Einige
dieser Teile könnten sich jetzt jedoch zusammenfügen. Im Februar
veröffentlichte das Innenministerium, ein Regierungsministerium, das die
Sicherheit und Polizeiarbeit im Vereinigten Königreich beaufsichtigt,
einen obligatorischen Bericht über die bisherige Anwendung des
Investigatory Powers Act.
In der Überprüfung heißt es, dass die britische National Crime Agency
(NCA) die "operativen, funktionalen und technischen Aspekte" von ICRs
getestet und einen "erheblichen operativen Nutzen" der Sammlung der
Aufzeichnungen festgestellt hat. Eine kleine Studie, die sich auf
Websites konzentrierte, die illegale Bilder von Kindern enthielten, fand
120 Personen, die auf diese Websites zugegriffen hatten. Es stellte sich
heraus, dass "nur vier" dieser Personen den Strafverfolgungsbehörden
aufgrund einer "Geheimdienstüberprüfung" bekannt waren.
WIRED berichtete erstmals im März 2021 über die Existenz der ICR-Studie,
als es noch weniger Details über den Test gab. Es ist noch unklar,
welche Telekommunikationsunternehmen beteiligt waren. Der Bericht des
Innenministeriums vom Februar ist der erste offizielle Hinweis darauf,
dass der Prozess für die Strafverfolgung nützlich war und dazu beitragen
könnte, den Grundstein für die Ausweitung des Systems auf das gesamte
Vereinigte Königreich zu legen. In der Überprüfung des Innenministeriums
heißt es auch, dass die Studie ergeben habe, dass "ICRs derzeit für
einige potenziell wichtige Ermittlungen unerreichbar zu sein scheinen",
was die Möglichkeit aufwirft, dass das Gesetz in Zukunft geändert werden
könnte.
Im Mai 2022 gab das Innenministerium eine Ausschreibungsbekanntmachung
heraus, aus der hervorging, dass an zukünftigen Studien "jetzt
gearbeitet wird", um einen "nationalen ICR-Dienst" zu schaffen. Über die
Existenz der Bekanntmachung berichtete zunächst die
Technologiepublikation PublicTechnology des öffentlichen Sektors. In der
Mitteilung heißt es, dass die Regierung über ein Budget von bis zu 2
Millionen Pfund verfügte, um ein technisches System zu schaffen, das es
Strafverfolgungsbeamten ermöglichte, für Ermittlungen auf ICR-Daten
zuzugreifen.
Der Auftrag für das technische System wurde im Juli 2022 an den
Rüstungskonzern Bae Systems vergeben. Als Antwort auf eine Anfrage von
WIRED nach dem Freedom of Information Act stellte das Innenministerium
einige Seiten des Vertrags mit Bae zur Verfügung, weigerte sich jedoch,
technische Details aus kommerziellen Interessen zu nennen. (Ein Sprecher
von Bae sagte, es könne aus Vertraulichkeits- und Sicherheitsgründen
nicht über bestimmte Verträge sprechen.)
Die FOIA-Antwort des Innenministeriums weigerte sich auch, Details zu
einer internen Überprüfung der ICRs zu nennen, und berief sich dabei auf
Gründe der nationalen Sicherheit und der Strafverfolgung. Ein Sprecher
des Innenministeriums sagte, das Vereinigte Königreich habe "eines der
robustesten und transparentesten Aufsichtssysteme für den Schutz
personenbezogener Daten und der Privatsphäre auf der ganzen Welt" und
bestätigte, dass die Tests von ICRs noch nicht abgeschlossen sind.
Erfahren Sie, was in der Tech-Branche als Nächstes ansteht, mit dem Fast
Forward-Newsletter
Eine wöchentliche Botschaft aus der Zukunft von Will Knight, in der er
sich mit KI-Fortschritten und anderen Technologien befasst, die unser
Leben verändern werden. Wird jeden Donnerstag geliefert.
Ihre E-Mail-Adresse
Geben Sie Ihre E-Mail-Adresse ein
SENDEN
Mit der Anmeldung erklären Sie sich mit unserer Nutzungsvereinbarung
(einschließlich der Bestimmungen zum Verzicht auf Sammelklagen und zum
Schiedsverfahren), unserer Datenschutzrichtlinie und Cookie-Erklärung
sowie dem Erhalt von Marketing- und kontobezogenen E-Mails von WIRED
einverstanden. Sie können sich jederzeit wieder abmelden.
Auf die Frage, ob ICRs im gesamten Vereinigten Königreich eingeführt
werden, verwies der Sprecher des Innenministeriums auf die FOIA-Antwort,
in der es heißt, dass die Bereitstellung zusätzlicher Informationen die
Strafverfolgungsaktivitäten gefährden kann. "Informationen über die
Fähigkeiten der Strafverfolgungsbehörden und die Zielerfassung sind sehr
sensibel, insbesondere im Bereich der digitalen Kommunikation, wo es
häufig der Fall ist, dass kriminelle Gruppen oder Einzelpersonen selbst
ein hohes Maß an technischer Raffinesse und Bewusstsein aufweisen",
heißt es in der FOIA-Antwort. Aus diesem Grund, so heißt es weiter, "ist
es von entscheidender Bedeutung, dass sensible Informationen darüber,
wie sie ihre Ermittlungen durchführen könnten, oder die Art ihrer
technischen Fähigkeiten nicht öffentlich bekannt sind".
Das Investigatory Powers Commissioner's Office (IPCO), das
Geheimdienste, Polizei und lokale Behörden beaufsichtigt, sagt, dass die
Sammlung von ICRs bisher dazu diente, "kleine Versuche" zu unterstützen,
und dass es "nicht in der Lage" ist, Zahlen über die Anzahl der
ausgestellten Benachrichtigungen zur Vorratsdatenspeicherung zu nennen.
Eine separate unabhängige Überprüfung des Investigatory Powers Act soll
in diesem Sommer veröffentlicht werden. Die National Crime Agency sagt,
dass sie immer noch an den ICR-Versuchen teilnimmt, um die Verwendung
von ICRs zu bewerten, und dass "die Datenauswertung für ihre Arbeit
unerlässlich ist".
Trotz des bisher möglicherweise begrenzten Einsatzes von ICRs gab es
bereits einen dokumentierten Fehler. In seinem Jahresbericht 2020, der
im Januar 2022 veröffentlicht wurde, hob IPCO hervor, dass ein
ungenanntes Telekommunikationsunternehmen, das aufgefordert wurde,
Internetverbindungsanfragen bereitzustellen, "Daten lieferte, die über
die autorisierten Daten hinausgingen". Der Grund? Es ist ein technischer
Fehler aufgetreten. Es wurden keine zusätzlichen Details angegeben.
WIRED kontaktierte neun der britischen Internetdienstanbieter und
Telekommunikationsunternehmen und fragte nach ihren Fähigkeiten, die
Internetverbindungsaufzeichnungen von Menschen zu erstellen und zu
speichern. Acht reagierten nicht auf die Bitte um Stellungnahme.
TalkTalk, das einzige Unternehmen, das dies tat, sagte, es werde "seinen
Verpflichtungen nachkommen" nach britischem Recht, könne aber nicht
"bestätigen oder dementieren", ob es ICRs gebe.
Die mögliche Ausweitung der ICR-Erfassung in Großbritannien kommt zu
einem Zeitpunkt, an dem Regierungen und Strafverfolgungsbehörden
weltweit versuchen, Zugang zu immer größeren Datenmengen zu erhalten,
insbesondere im Zuge des technologischen Fortschritts. Mehrere Nationen
drängen darauf, Verschlüsselungs-Hintertüren zu schaffen, die
möglicherweise den Zugriff auf die privaten Nachrichten und die
Kommunikation der Menschen ermöglichen. In den USA braut sich ein Sturm
über die Anwendung von Abschnitt 702 des Foreign Intelligence
Surveillance Act (FISA) durch das FBI zusammen, der es ihm erlaubt, die
Kommunikation von Zielen in Übersee abzufangen.
Haidar von Privacy International sagt, dass die Schaffung von
Befugnissen, um mehr Daten von Menschen zu sammeln, nicht zu "mehr
Sicherheit" für die Menschen führt. "Der Aufbau der
Datenspeicherungskapazitäten von Unternehmen und einer Vielzahl von
Regierungsbehörden bedeutet nicht, dass die Geheimdienstoperationen
verbessert werden", sagt Haidar. "Tatsächlich argumentieren wir, dass es
uns weniger sicher macht, da diese Daten anfällig für Missbrauch oder
Missbrauch werden."
https://www.wired.com/story/internet-connection-records-uk-surveillance/
