Yes We Scan

In der Kategorie "Weltweiter Datenhunger" wurden nominiert:

Wie jedes Jahr haben alle Nominierten die Möglichkeit, sich mit Kommentaren an info@bigbrotherawards.at zu wenden. Wir veröffentlichen dann die Reaktionen unter der jeweiligen Nominierung.

Irische Datenschutzbehörde: Partner in Crime

Billy Hawkes

  • Irland bietet nicht nur einen "sicheren Hafen" für Unternehmen, die keine oder nur wenige Steuern zahlen wollen, sondern wird zunehmend auch zum Hafen für Unternehmen, die sich über die europäischen Datenschutzgesetze hinwegsetzen wollen.
    Billy Hawkes, der Chef der Behörde, hat unlängst im Rahmen der PRISM - Diskussionen erklärt, es gäbe keinen Grund die involvierten Unternehmen zu überprüfen. Die EU hätte im Jahr 2000 bei der Verabschiedung des "Safe Harbor" "vorausgesehen" und akzeptiert, dass Daten welche aus der EU in die USA exportiert werden für Systeme wie PRISM verwendet werden können. Eine kühne Interpretation, die von der EU umgehend zurückgewiesen wurde, aber da war das Verfahren in Irland schon eingestellt.
    Im Fall um Facebook hat die Behörde nach zwei Jahren noch immer jede Rechtsdurchsetzung durch die Verweigerung eines rechtsstaatlichen Verfahrens verunmöglicht. Sogar Angela Merkel merkte unlängst in einem TV-Interview an, dass EU Datenschutz nicht funktioniert, wenn Irland die Regeln nicht durchsetzt.

  • Quellen:
    • [PDF] Unbelievable: Facebook and Apple may forward data to PRISM under EU law. Irish Authority rules that Europeans’ data is adequately protected.
      The Irish ODPC has now ruled in its response that PRISM is in line with the so-called “Safe Harbor” decision by the EU. The ODPC is of the opinion that the European Commission has “envisaged and addressed the access to personal data for law enforcement purposes” (including the PRISM program) in the “Safe Harbor” decision from 2000.
    • youtube RTE - Billy Hawkes (Irish DPC) on PRISM
      "In the case of companies that do have data centers here - like Microsoft and Google - these are US companies subject to US law."
      Q: "Do you not have any obligations to - I mean under the description of your job as 'data protection commissioner' - is non of your data protected?"
      A: "The type of exercise here goes beyond what data protection law is designed for, which is essentially the normal world, which is not the world of intelligence and security."
      A "I would expect that data held in data centers in Ireland are indeed anywhere else, because these companies typically have centers in different part of the world."
      A "To be fair to the intelligence community, they get blamed when some terrorist act happen. And says 'Why didn't you discover these people?' Their argument is: 'How did you expect us to find a needly in the hay stack - at least give us the power to access communications data'"
      Q: "Do you have any questions to ask of some of these large internet companies based in Ireland on the basis of what you have heard over the last week?"
      A: "Well, they have all denied that they voluntary give out this information. They have been very clear that they only comply with legally enforceable instructions from law enforcement authorities."

Android Backup sendet WLan Zugangsdaten unverschlüsselt an die Google Server

Eric Schmidt, Google

  • Google speichert die Android - Passwörter unverschlüsselt auf den eigenen Servern und führt außerdem eine weltweite Datenbank mit den Bezeichnungen (SSID) von Wlan-Netzwerken, um so auch ohne GPS-Signal beispielsweise für Navigations-Apps die aktuelle Position eines Users bestimmen zu können. Führt man diese Datensätze zusammen, steht theoretisch jedes Wlan offen, in das sich einmal ein Android-Gerät eingeloggt hat.
    Gerade von einem Internet-Konzern, der sich über die staatlichen Zugriffe der NSA beklagt sollte es eine Selbstverständlichkeit sein nur jene Daten im eigenen Netzwerk zu speichern, die für den Betrieb unabkömmlich sind. Moderne IT Anwendungen folgen dem Prinzip der Datensparsamkeit. Die NSA oder staatliche Institutionen können nur auf etwas zugreifen, was auch gespeichert wurde. Völlig unverständlich ist, warum die WLan Passwörter nicht lokal mit dem User-Passwort verschlüsselt werden, dann könnten weder die NSA noch Google Mitarbeiter verführt werden, diese Daten zu missbrauchen zu wollen.

  • Quellen:
    • Heise: Android und die WLAN-Passwörter: Google löscht nicht
      Android verspricht, die Daten von den Google-Servern zu löschen. Seit über zwei Tagen versuchen wir, den Google-Servern ein von Android standardmäßig gesichertes WLAN-Passwort wieder zu entreißen – vergeblich. Auch zwei Tage, nachdem wir das Backup deaktiviert und der Löschung der Passwörter zugestimmt haben, spielt uns Google bei einer Synchronisierung mit dem Account das Passwort wieder aufs Smartphone. Gelöscht kann es also nicht sein.
      Der Anwender kann nicht einmal optional ein spezielles Passwort für seine wichtigen Kennwörter vergeben. Dass die dabei nicht durch ein persönliches Geheimnis gesichert werden, sondern lediglich einen Schutz genießen, wie ihn Google auch einer normalen E-Mail oder einem Adressbucheintrag zukommen lässt und somit durchaus auch Dritten zugänglich sind, erfährt er überhaupt nicht.
    • Spiegel: W-Lan-Daten: Google kopiert Passwörter unverschlüsselt auf eigene Server
      Das Passwort zum eigenen Drahtlos-Netzwerk sollte man nie mit Fremden teilen, rät Google. Der Konzern warnt in einer Anleitung, man würde ja auch nie einem Fremden "den Schlüssel zum eigenen Haus geben". Bei der eigenen Backup-Funktion des Android-Systems missachtet Google diesen Hinweis: Der Dienst kopiert die W-Lan-Passwörter standardmäßig unverschlüsselt auf Google-Server. Betroffen sind alle Netzwerke, mit denen das jeweilige Android-Smartphone oder Tablet je verbunden war.

ITU Technischer Standard zur inhaltlichen Überwachung der Netze

Hamadoun Touré, ITU

  • Seit dem Aufdecken der Schüffelorgien von NSA und GCHQ wissen wir wie schlecht es bereits heute um das Recht auf Privatsphäre im Internet und den moderen Telekommunikationsnetzen steht. Bedenklich ist, wenn eine Sonderorganisation der Vereinten Nationen, die ITU, ein Regelwerk erstellt das die eigenen Prinzipien der UN Menschenrechtscharta auf technischer Ebene aushebelt. Mit Hilfe von „Deep Package Inspection“ ist die Umsetzbarkeit der Forderungen der Artikel 12, „Schutz der Freiheitssphäre des Einzelnen“, und Artikel 19, „Meinungs- und Informationsfreiheit“, in der modernen Welt verloren gegangen.
    Nicht verwunderlich ist, dass diese Initiative von Ländern wie China, Russland, ... eingebracht wurden. Wie wir heute jedoch wissen, ist zu befürchten, dass diese Technik auch von den Geheimdiensten der westlichen Welt für ihre Geheimaktivitäten genutzt werden wird.
    Als weltweite Standardisierungsstelle werden die technischen Anforderungen ITU-T Y.2770 "Requirements for deep packet inspection in next generation networks" in zukünftigen Geräten weltweit implementiert sein. Da die Hersteller von Geräten zur Netzwerksteuerung diesen Standard möglichst vollständig in ihren Geräten implementieren werden, können in Hinkunft an allen Stellen eines Netzes die maximalen Funktionen zur detaillierten Datenanalyse auf Knopfdruck aktiviert werden.

  • Quellen:
    • ITU: T-REC-Y.2770 Summary
      Recommendation ITU-T Y.2770 specifies the requirements for deep packet inspection (DPI) in next generation networks (NGNs). This Recommendation primarily specifies the requirements for deep packet inspection (DPI) entities in NGNs, addressing, in particular, aspects such as application identification, flow identification, inspected traffic types, signature management, reporting to the network management system (NMS) and interaction with the policy decision functional entity.
      Although aimed at the NGN, the requirements may be applicable to other types of networks.
    • FM4.ORF.at: ITU-Weltgipfel bestätigt die Befürchtungen
      "Aufspüren einer bestimmten Datei"
      Unter Federführung Chinas wurde ein Antrag auf eine ITU-Überwachungsnorm für Glasfasernetze eingereicht.
      Erst nach ausführlicher Beschäftigung mit verschlüsseltem Verkehr kommt das Pflichtenheft zu den weitaus häufiger verwendeten Protokollen. An den Fallbeispielen aber lässt sich unschwer erkennen, wie feinkörnig diese Art von Totalüberwachung funktionieren kann, wenn es der Netzbetreiber denn so (müssen) will.
      II.3. "Beispiel einer Anwendung für Visitenkarten - Korrelation von Mitarbeiter und Unternehmen". Erklärung: "Überwachung von E-Mailverkehr mit angehängten Visitenkarten". Fallbeispiel
      II.3.6: "Aufspüren einer bestimmten Datei, die von einem bestimmten Benutzer übertragen wird".
    • Allgemeine Erklärung der Menschenrechte:
      UN-Menschenrechtscharta
      Artikel 12 - Schutz der Freiheitssphäre des Einzelnen
      Artikel 19 - Meinungs- und Informationsfreiheit