Die US-Bundespolizei Federal Bureau of Investigation (FBI) hat Internet Service Provider (ISP) dazu zu bringen versucht, eine Abhörsoftware zu installieren. In einigen Fällen wurden den Anbietern bei einer Weigerung rechtliche Konsequenzen angedroht. Als Grundlage für seine Forderung nannte das FBI das US-Terrorabwehrgesetz Patriot Act, das nach den Anschlägen vom 11. September 2001 verabschiedet worden war.
Bei der Software handelt es sich nach Informationen von News.com um einen „Port Reader“, der in der Lage sein soll, vollständige Kommunikationsströme abzufangen und zu analysieren. Ziel der Software ist es, Metadaten in Echtzeit einzusammeln. Ein ehemaliger Regierungsvertreter sagte im Gespräch mit News.com, die Software sei intern als „Ernte-Programm“ bezeichnet worden.
Nach Angaben eines Branchenvertreters lehnen die Internetanbieter die Installation der Port-Reader-Software ab. Grund dafür seien datenschutzrechtliche und sicherheitstechnische Bedenken gegenüber einer unbekannten Überwachungstechnologie in einem internen Netzwerk. Es handle sich „per Definition um ein Abhörgerät“, sagte die Quelle von News.com. „Wenn Richter mehr darüber wüssten, dann würden sie weniger genehmigen.“ Unklar ist, ob ISPs die Software tatsächlich installiert haben. Mindestens ein Anbieter wehrt sich jedoch aktiv gegen die Installation.
In einer Stellungnahme des FBI heißt es, man sei berechtigt, alternative Methoden anzuwenden, um Internet-Metadaten zu sammeln. Dazu zählten auch IP-Adressen. „In Situationen, in denen ein Anbieter nicht in der Lage ist, mit seinen eigenen technischen Mitteln einen Gerichtsbeschluss umzusetzen, könnten ihm Strafverfolger technische Unterstützung anbieten, um die Auflagen des Beschlusses zu erfüllen.“
AT&T, T-Mobile USA, Verizon, Comcast und Sprint wollten die Vorwürfe nicht kommentieren. Eine der US-Regierung nahestehende Quelle, die mit der Abhörsoftware vertraut ist, erklärte, diese werde nicht branchenweit eingesetzt, sondern nur dann, wenn die Abhörtechnik eines Anbieters nicht ausreichend sei, um die von den Ermittlern geforderten Daten zu liefern.
Bei strafrechtlichen Ermittlungen muss die Polizei in den USA grundsätzlich eine richterliche Genehmigung einholen, bevor sie elektronische Kommunikation wie E-Mail- und Facebook-Nachrichten einsehen darf. Ähnliche Verfahren existieren auch für nachrichtendienstliche Ermittlungen nach dem US-Gesetz Foreign Intelligence Surveillance Act (FISA), das vor allem seit den Enthüllungen von Edward Snowden über das NSA-Abhörprogramm PRISM in der Kritik steht.
In beiden Fällen gibt es jedoch Ausnahmen für Metadaten, die in großen Mengen auch ohne oder nur mit einer geringen richterlichen Kontrolle abgeschöpft werden können. Zu den Metadaten gehören IP-Adressen, E-Mail-Adressen, die Identitäten von Chat-Partnern sowie der Browserverlauf und möglicherweise auch Internet-Suchbegriffe.
Schon 2003 hatte der US-Branchenverband Internet Service Provider Association seinen Mitglieder mitgeteilt, dass Strafverfolgungsbehörden laut einer Neufassung des Patriot Act auch Abhörsoftware einsetzen dürfen, um bestimmte Daten zu erhalten. Datenschützer kritisieren jedoch, dass die Grenzen zwischen den erlaubten Metadaten und nicht erlaubten Inhalten unklar seien. Weder Richter noch der ISP selbst wüssten, was die Software des FBI genau mache. „Wie kann irgendjemand außer dem Techniker genau wissen, was passiert“, sagte Alan Butler, Appellate Advocacy Counsel des Electronic Privacy Information Center.
[mit Material von Declan McCullagh, News.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
1 Kommentar zu FBI drängt ISPs zur Installation von Spionagesoftware
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Wenn man die URLs bei HTTP Requests abschnorchelt möchte, dann wird man zwangsläufig auch auf Cookies, User-Agent und alle anderen Headerlines treffen.
Ausserdem bekommt man alle per Browser gesendeten Daten z.B. User + Passwort mit.
Es ist technisch wesentlich einfacher den gesamten HTTP-Request zu speichern als nur die realative URL und zusätzlich den Host aus dem Request zu isolieren.
Die Behauptung man würde nur Metadaten speichern ist aus technischer Sicht Unsinn; man speichert einfach den kompletten Request.