Die Kommunikation über Satelliten ist weiterhin unsicher: Für eine aktuelle Studie haben Forscher aus den USA die Daten abgehört, die über geostationäre Satelliten verbreitet werden. Ein großer Teil davon sei unverschlüsselt, das gelte auch für sicherheitsrelevante Kommunikation.

„Ein erschreckend großer Teil des Datenverkehrs wird unverschlüsselt übertragen“, schreibt das Team der University of California in San Diego (UCSD) und der University of Maryland in College Park auf seiner Website. Darunter seien die Daten von kritischen Infrastrukturen, die interne Kommunikation von Unternehmen und Regierungsstellen sowie Telefonate, SMS oder Internet-Traffic aus Flugzeug-WLANs und Mobilfunknetzen gewesen.

Für die Studie installierte das Team um Wenyi Morty Zhang auf einem UCSD-Gebäude eine handelsübliche Satellitenschlüssel; die gesamte Ausrüstung kostete rund 800 US-Dollar. Die Schüssel richteten die Forscher jeweils auf einen der 39 von ihrem Standpunkt aus sichtbaren, geostationären Satelliten und analysierten die aufgefangenen Daten. Das Projekt lief über drei Jahre.

Etwa die Hälfte der abgefangenen Daten seien unverschlüsselt übertragen worden, teilt das Team mit. Dazu gehörten Telefonate, Textnachrichten oder normaler Internet-Traffic über Mobilfunknetze, inklusive Hardware-Daten wie etwa der IMSI. Ebenfalls über Satelliten laufen Bord-WLANs von Flugzeugen, die sich entsprechend ebenfalls belauschen lassen. Viele Voice-Over-IP-Anbieter (VoIP) wickeln ihre Kommunikation über Satelliten ab und ermöglichen es, mitzuhören.

Daten von Banken, Energieversorgern und dem Militär

Besonders bedenklich sei, dass auch sicherheitsrelevante Kommunikation unverschlüsselt sei. So konnten die Forscher die Daten von Banken und anderen Finanzunternehmen abfangen, darunter Login-Daten, Mails und Daten von Geldautomaten. Auch Daten von Energieversorgern oder Infrastrukturen wie Pipelines werden unverschlüsselt über geostationäre Satelliten übertragen. Offizielle Stellen waren nicht ausgenommen: Das Team konnte die Kommunikation von Militär und Polizei aus den USA und Mexiko belauschen.

„Das hat uns völlig schockiert“, sagt Aaron Schulman, Teammitglied und Professor an der UCSD, dem US-Technologiemagazin Wired. „Einige wirklich wichtige Teile unserer Infrastruktur sind auf dieses Satelliten-Ökosystem angewiesen, und wir sind davon ausgegangen, dass alles verschlüsselt ist.“ Stattdessen hätten sie immer mehr nicht verschlüsselte Daten gefunden.

Stellten sie eine Schwachstelle fest, kontaktierten die Forscher die betroffene Stelle und wiesen darauf hin. Einige haben inzwischen reagiert und Maßnahmen ergriffen. Bei T-Mobile, Walmart und KPU konnten die Forscher das verifizieren, nachdem sie mit Zustimmung der drei Anbieter die Kommunikation erneut untersuchten. Andere Stellen sind demnach noch dabei, ihre Systeme abzusichern. Das Team stellt die Studie, die den Titel Don’t Look Up: There Are Sensitive Internal Links in the Clear on GEO Satellites trägt, auf der ACM Conference on Computer and Communications Security vor, die derzeit in Taipei, stattfindet.

Neu ist das nicht: 2020 wies ein Team um James Pavur vom Systems Security Lab der Oxford University darauf hin, dass ein großer Teil der Kommunikation über geostationäre Satelliten unverschlüsselt abgewickelt wird.

(wpl)

Der mittlerweile bundesweit bekannte Protestbus „Adenauer SRP+“ der Künstlergruppe Zentrum für politische Schönheit, der auch das Sommerinterview von Alice Weidel öffentlichkeitswirksam gestört hatte, steht weiter im Fokus der Polizei. Die Künstler:innen beklagen fortlaufende Schikanen – nun durch die sächsische Polizei.

Im Bundesland Sachsen war der Bus am 20. September eigentlich als Lautsprecherwagen beim Christopher Street Day in Döbeln vorgesehen. Er wurde dann aber von der Polizei gestoppt und wegen angeblicher Sicherheitsmängel aus dem Verkehr gezogen und beschlagnahmt.

Seit das Fahrzeug auf der Straße ist, scheint es ein Lieblings- bzw. Hassobjekt von Polizeien aller Art zu sein. Es ist nicht das erste Mal, dass der Bus von der Polizei durchsucht, beschlagnahmt, beschädigt, technisch überprüft oder mit besonderen Auflagen belegt wird.

Ärger mit dem TÜV

Im neusten Fall in Sachsen ließ die Polizei das Fahrzeug in Folge der Beschlagnahme bei der TÜV-Stelle Dekra in Chemnitz am 26. und 29. September untersuchen. Die Dekra erklärte das Fahrzeug für verkehrsunsicher, die Aktionskünstler ließen es deshalb per Tieflader zurück nach Berlin holen. Laut dem Zentrum für politische Schönheit liegt der Künstlergruppe allerdings bis heute kein schriftliches Gutachten der Dekra vor.

Ein Pressesprecher der Dekra sagt auf Anfrage, dass nur der Auftraggeber des Gutachtens, also die Polizei, etwas dazu sagen könne. Die Polizei hat eine entsprechende Anfrage von netzpolitik.org nicht beantwortet. Gegenüber der Freien Presse (€) heißt es hingegen seitens der Polizei, dass nur eine Kurzinfo vorliege und die Dekra das Gutachten noch nicht fertiggestellt habe.

Bislang ist der Bus nach technischen Prüfungen jedes Mal wieder auf die Straße zurückgekehrt. Die Aktionskünstler sprechen vom „am meisten geprüften Fahrzeug des Landes“. In Folge stand die Polizei mehrfach so da, als habe sie nicht wegen Sicherheitsaspekten, sondern aus politischen Beweggründen gehandelt.

Ermittlungen gegen Künstlergruppe und deren Unterstützer:innen

Das ist nicht unbemerkt geblieben. In sozialen Medien machten manche Nutzer:innen ihrem Ärger Luft – und könnten deshalb nun Probleme mit der sächsischen Polizei bekommen. Die hat inzwischen eigens eine beim Staatsschutz angesiedelte vierköpfige Ermittlungsgruppe aus der Taufe gehoben, um gezielt gegen Beleidigungen und Ähnliches in sozialen Medien vorzugehen.

Mehr als 200 Kommentare soll die Polizei nach der sächsischen Beschlagnahme des Busses laut eigenen Angaben aufgespürt haben, bei denen der Anfangsverdacht einer Straftat bestehe. In dutzenden Verfahren ermittelt sie nun unter anderem wegen Beleidigung, Bedrohung, übler Nachrede, der Androhung von Straftaten oder auch wegen Verstößen gegen das Kunsturhebergesetz. Auf die Frage, welche der Delikte wie häufig vorgekommen wären, hat die Polizei Chemnitz nicht geantwortet.

Im Visier dieser mutmaßlichen Straftaten steht ein Polizeihauptkommissar, der die Verkehrskontrolle geleitet hatte – und der aus Funk und Fernsehen schon vorher bekannt war. Diesen nahm das Zentrum für politische Schönheit in Instagram-Posts und in ihrer Kommunikation besonders aufs Korn, veröffentlichte auf Instagram und in anderen sozialen Medien Ausschnitte von Videos, die während der Verkehrskontrolle aufgenommen wurden.

Die Ermittlungen wegen des mutmaßlichen Verstoßes gegen das Kunsturheberrecht und wegen Verletzung der Vertraulichkeit des Wortes dürften sich deswegen gegen das Zentrum für politische Schönheit richten. Die Polizei Chemnitz hat auf eine entsprechende Presseanfrage, ob diese Straftaten die Videos der Aktionskünstler betreffen, nicht geantwortet.

In der Regel darf die Polizei in der Öffentlichkeit gefilmt werden, nur müssen Gesichter von Polizist:innen bei einer Veröffentlichung unkenntlich gemacht und der Ton ausgeblendet werden – außer, es besteht ein besonderes öffentliches Interesse.

Interne Ergebnisse an rechten Youtuber weitergegeben?

Doch nicht nur die bemerkenswert aufwändigen Ermittlungen gegen die Aktionskünstler und ihr Umfeld verwundern in diesem Fall. Es steht auch der Verdacht im Raum, dass Informationen aus der Dekra-Untersuchung an den rechten Youtuber und TikToker Maurice Klag mit seinen 230.000 Abonnent:innen weitergegeben wurden.

In einem Video auf seinem YouTube-Kanal „Politik mit Kopf“ trifft er Aussagen zu der Dekra-Untersuchung des Protest-Busses, die weder von der Polizei noch von der Dekra offiziell öffentlich verbreitet wurden – und die der rechte Influencer eigentlich nicht haben kann. Hierbei handelt es sich um eine Information über die maximale Dachlast des Protest-Busses. Ein Sprecher des Zentrums für politische Schönheit bestätigte, dass die Dachlast in der Dekra-Untersuchung am 29. September Thema war. Sie wurde allerdings nirgendwo öffentlich kommuniziert.

Die Aktionskünstler gehen deshalb davon aus, dass jemand von Dekra oder der Polizei dem Youtuber interne Informationen weitergeleitet hat. Die Polizei Chemnitz dementiert das: „Seitens der Polizei wurden keine weiteren Veröffentlichungen über die bekannten Medieninformationen hinaus getätigt“, so die Jana Ulbricht, Sprecherin der Polizei Chemnitz. Gegenüber der Freien Presse (€) sagte sie zudem: „Es scheint sich durch den ganzen Beitrag zu ziehen, dass man hier und da etwas aufgeschnappt und offensichtlich zusammengeschnitten hat. Die angeblichen Fakten seien falsch, ihre Herkunft unklar.“ Auch die Dekra sagt auf Anfrage von netzpolitik.org, keine Details nach außen gegeben zu haben.

Aufrufe zu Straftaten gegen die Aktionskünstler

Während die Polizei in Chemnitz gegen vermeintliche Unterstützer:innen des Protestbusses ermittelt, wird unter dem Video von Maurice Klag zu Straftaten gegen das Zentrum für politische Schönheit aufgefordert. „Warum habt ihr die Dreckskarre nicht längst abgefackelt?“ fragt da einer, während ein anderer dazu auffordert „Redet nicht so viel, bei nächster Gelegenheit eine Drohne mit 10 kg Semptex [sic!] und der Bus schläft mit seinen Terroristen“. Unter einem anderen Video zur Beschlagnahme des Busses schreibt jemand unter Klarnamen: „Nehmt einen Kanister Benzin. Und der Bus hat sich erledigt ich geb auch noch ein Feuerzeug.“

Es sind nur einige Beispiele von vielen, die netzpolitik.org nach kurzer Recherche gefunden hat. Ein Sprecher des ZPS sagt: „Die Polizei Chemnitz hat mit ihren Presseinformationen eine Welle von Hass und Gewaltdrohungen gegen uns ausgelöst. Da traut sich jetzt jeder Nazi aus seinem Loch. Wir bezweifeln, dass die Polizei dagegen eifrig ermittelt.“

Auf die Presseanfrage von netzpolitik.org, ob auch gegen diese mutmaßlichen Straftaten im Zusammenhang mit dem Adenauer-Bus ermittelt wird, antwortet die Polizei: Im Rahmen der Ermittlungen seien zahlreiche Kommentare und Posts im Zusammenhang mit verschiedenen Veröffentlichungen, die sich in der Hauptsache gegen den die Kontrolle durchführenden Polizeibeamten richteten, gesichert worden. Gleichwohl hätten sich nicht alle Posts auf den Beamten bezogen. Aus „ermittlungstaktischen Gründen“ könne man nicht mehr sagen.

Spätestens nachdem Journalist:innen mit einer Gesichtersuchmaschine fast das Ex-RAF-Mitglied Daniela Klette aufgespürt hatten, forderten Sicherheitspolitiker:innen und Polizeiangehörige: Auch die Ermittlungsbehörden sollen entsprechende Software nutzen dürfen. Ihr Ruf blieb nicht ungehört: Mit dem sogenannten Sicherheitspaket wollte die Ampel-Regierung im vergangenen Jahr dem Bundeskriminalamt erlauben, biometrische Daten wie Fotos im Internet zu nutzen, um damit Verdächtige oder Opfer schwerer Straftaten zu suchen. Damit kam sie im Bundesrat letztlich nicht durch, weil den Ländern einige der anderen Überwachungsbefugnisse im Paket nicht weit genug gingen.

Doch die amtierende schwarz-rote Regierung hat bereits eine Neuauflage des tiefgreifenden Befugnisbündels in Vorbereitung. Das stand heute auf der Tagesordnung für das Bundeskabinett, von der es dann aber wie schon zuvor wieder gestrichen wurde. Nichtsdestotrotz legten heute die Grundrechtsorganisationen AlgorithmWatch und Amnesty International, der Chaos Computer Club, die Gesellschaft für Freiheitsrechte sowie der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber bei einer Pressekonferenz dar, warum der bislang bekannte und von netzpolitik.org veröffentlichte Entwurf in dieser Form verfassungs- und europarechtswidrig sei.

„Rechtswidrig, egal wer es betreibt“

„Biometrische Massenüberwachung ist rechtswidrig, egal wer sie betreibt“, sagte dabei Matthias Marx vom Chaos Computer Club. Der IT-Sicherheitsexperte erklärte eindringlich, dass keine Person sich biometrischer Überwachung entziehen könne. Biometrische Merkmale seien nun mal einmalig für eine Person und konstant. „Die Körperdaten von Menschen sind keine freie Verfügungsmasse, weder für Staat noch für kommerzielle Stalking-Dienstleister wie PimEyes oder Clearview“, so Marx. Die letzteren beiden sind die wohl bekanntesten kommerziellen Gesichtersuchmaschinen. Marx selbst wehrte sich bereits dagegen, dass etwa Clearview Daten zu seinem Gesicht gespeichert hatte.

Während bei den privaten Anbietern Konflikte mit der Datenschutzgrundverordnung offenkundig sind, stehen bei der polizeilichen Nutzung von biometrischen Daten aus Internetquellen andere Hindernisse im Weg. Allen voran die KI-Verordnung der EU. Sie verbietet es in Artikel 5, „Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungsaufnahmen“ zu erstellen oder zu erweitern. Matthias Spielkamp, Geschäftsführer von AlgorithmWatch, berichtete, dass immer wieder darauf verwiesen worden sei, die Suche könne auch ohne Datenbank funktionieren.

Dazu hat AlgorithmWatch ein Gutachten von dem Suchmaschinen-Experten Dirk Lewandowski anfertigten lassen, der Professor für Information Research & Information Retrieval an der Hochschule für Angewandte Wissenschaften Hamburg ist. Lewandowski kommt darin zum Ergebnis, dass es technisch nicht umsetzbar sei, frei verfügbare Bilder aus dem Netz „für einen Abgleich praktikabel durchsuchbar zu machen, ohne eine Datenbank“ zu erstellen. Etwa weil Anfragen sehr lange dauern würden, wenn die notwendige Verarbeitung der Bilder immer erst ad hoc erfolge.

Aus Sicht von Spielkamp bestätigt das Gutachten damit die Bedenken von Menschenrechtsverteidiger:innen: „Die angestrebten biometrischen Erkennungsverfahren würden zwangsläufig gegen EU-Recht verstoßen, weil sie ohne den Einsatz von Datenbanken nicht umsetzbar sind. Diese Bundesregierung kann diese Tatsache nicht länger bestreiten und sollte ihre Gesichtserkennungspläne endgültig begraben.“

Nicht nur europarechtliche Probleme

Doch selbst wenn es dieses rechtliche Problem nicht gäbe, stünden den Biometrieplänen im Gesetzentwurf weitere im Wege. Die Juristin Simone Ruf von der Gesellschaft für Freiheitsrechte sieht auch verfassungsrechtlich hohe Hürden, denn das Vorhaben greife tief in die informationelle Selbstbestimmung von Menschen ein. „Es wären biometrische Daten von Milliarden von Menschen betroffen“, so Ruf. Am Ende ließe sich fast jede Person überall identifizieren, es ergäbe sich das Potenzial für Massenüberwachung. Aus Rufs Perspektive sei es „sehr wahrscheinlich“, dass ein derartiger biometrischer Abgleich vor dem Bundesverfassungsgericht keinen Bestand haben würde.

Dem pflichtete auch Ulrich Kelber bei: „Immer wieder musste das Bundesverfassungsgericht aufgrund von Klagen aus der Zivilgesellschaft überschießende Überwachungs- und Fahndungsgesetzgebung stoppen“, so der ehemalige Bundesdatenschutzbeauftragte. „Das Bundesinnenministerium hat daraus nichts gelernt und will erneut gesetzliche Regelungen, die erkennbar gegen Vorgaben der Verfassung, des Datenschutzes und der KI-Regulierung verstoßen.“

Abschreckung und Diskriminierung

Lena Rohrbach von Amnesty International ging zusätzlich auf die gesellschaftlichen Folgen des geplanten Gesetzes ein. Es käme zu Abschreckungseffekten, sich im öffentlichen Raum zu bewegen. „Für die Bevölkerung ist gar nicht nachvollziehbar, welche Datenspuren korreliert werden und was verdächtig ist“, so die Referentin für Menschenrechte im digitalen Zeitalter. Das könne Personen davon abhalten, sich politisch zu engagieren und an Demonstrationen teilzunehmen. Und das wäre ein Problem, besonders heute: „Demokratie braucht eine aktive Zivilgesellschaft und keine eingeschüchterte“, so Rohrbach.

Überdies gebe es im Gesetzentwurf keinerlei Vorkehrungen, um Auswirkungen potenziell diskriminierender Technologien zu verhindern. Das kann beispielsweise der Fall sein, wenn bestimmte Personen häufiger falsch erkannt und eventuell damit vermehrt zu Unrecht verdächtigt werden.