Skip to content

Warum kannte die Polizei die Terroristen und fing sie nicht?

Die Nachrichten über die schlimmen Terroranschläge in Brüssel ziehen am Nachrichtenticker vorbei und schon beginnen wieder die üblichen Diskussionen. Die Innenpolitiker fordern mehr Überwachung, andere machen die Flüchtlinge oder Angela Merkel verantwortlich, wieder andere weisen darauf hin, dass Flüchtlinge gerade vor dem Terror geflohen sind etc. Es tauchen auch, wie bei anderen Anschlägen, Meldungen auf, dass die Kriminellen schon vorab den Behörden bekannt waren und es wird die Frage gestellt, warum nichts gemacht wurde. Einer der Gründe ist die Mathematik, die gegen die Behörden spielt. Warum ist das so?

Zu Anfang treffe ich ein paar Annahmen: Ich verwende Belgien als Beispiel. Das Land hat ca. 11 Millionen Einwohner. Weiterhin bräuchte ich eine Zahl potenzieller Terroristen. Jetzt nehme ich mal an, es gäbe nur islamistischen Terrorismus. In Deutschland meldet das Bundesamt für Verfassungsschutz ein islamistisches Personenpotenzial von knapp 44.000 Menschen. Angenommen die Zahl lässt sich 1:1 auf Belgien übertragen, so leben dort gerundet 5.500 Menschen mit einem islamistischen Personenpotenzial. Das Ziel der Behörden ist nun, diese Personen zuverlässig zu filtern und ggf. zu beobachten.

Dazu werden Überwachungs-, Datenauswerte- und Kontrollmaßnahmen installiert. Das System ist so leistungsfähig, dass es 99,9% aller Terroristen erkennt. Also nur in einem Tausendstel der Fälle wird ein Terrorist nicht als solcher erkannt. Aber es erkennt auch Normalbürger in einem Prozent der Fälle fälschlicherweise als Terroristen.

Das System ist in Betrieb und bringt einen Alarm, dass es einen Terroristen erkannt hat. Aber ist dies wirklich einer und wie hoch ist die Wahrscheinlichkeit? Geht mal in euch und versucht, eine Schätzung abzugeben.

Um die Frage zu beantworten, stellen wir uns vor, dass System würde ganz Belgien durchleuchten. Es würden also 5.495 Terroristen erkannt werden. Daneben erkennt das System auch 110.000 Einwohner als Terroristen, die keine sind. Das heißt, insgesamt wird 115.495 Mal Alarm geschlagen. Aber der Alarm war nur in 4,7 % der Fälle korrekt. Das heißt, das System schlägt in mehr als 95 % der Fälle falschen Alarm.

Das heißt, dass zwar viele Personen und besonders viele Terroristen von so einem System erkannt würden. Dennoch sind auch hier die Mehrzahl unbescholtene Bürger und die Strafverfolger haben die Arbeit, korrekt zu filtern. Diese Arbeit sieht im Nachhinein sehr einfach aus. Aber üblicherweise fehlen bei der Suche vor einem Anschlag viele konkrete Hinweise. Letztlich müssen wir akzeptieren, dass es perfekte Sicherheit nicht herstellbar ist. Ich bin der Meinung, dass nicht mehr Überwachung, Datenaustausch und Repression die Lösung ist, sondern die Politik (»wir«) sollte sich Gedanken machen, wo die Gründe liegen und diese beseitigen.

Podiumsdiskussion zur NSA mit Martina Renner

Heute gibt es wieder eine Veranstaltungsankündigung. Am morgigen Dienstag, dem 09. September 2014, werde ich zusammen mit Martina Renner einen Vortrag mit anschließender Podiumsdiskussion in Jena halten. In der Veranstaltung geht es um den NSA-Untersuchungsausschuss. Zu Anfang werden wir einige Details zur NSA, zu deren Überwachungsprogrammen und zu den Entwicklungen beim Untersuchungsausschuss erzählen. Anschließend stellen wir uns den Fragen aus dem Publikum.

Wer teilnehmen mag, sollte vor 18 Uhr im Hörsaal 8 im Unigebäude in der Carl-Zeiss-Str. 3 sein.

Podiumsdiskussion zu Snowden und NSA mit Ströbele und Dreyer

Die Räume der Friedrich-Schiller-Universität Jena hatte heute zu ungewöhnlicher Zeit ungewöhnliche Gäste. Zur Mittagszeit, wo sonst der Vorlesungsbetrieb in vollem Gange ist, trafen sich verschiedene Politiker, Wissenschaftler und interessiertes Publikum. Die Fraktion von Bündnis90/Grüne hatte zusammen mit der Heinrich-Böll-Stiftung Thüringen, den Politiker Hans-Christian Ströbele und den Politikwissenschaftler Prof. Dr. Michael Dreyer. Beide sollten gemeinsam eine Podiumsdiskussion zum Thema Snowden und NSA bestreiten.

Ströbele erzählte zu Beginn seines Vortrages von seinem Besuch in Moskau bei Edward Snowden. Währenddessen oder kurz danach hatte er sich vorgenommen, den Whistleblower zu unterstützen. Dies sollte zum einen durch die Errichtung eines Untersuchungsausschusses wie auch durch einen Aufenthalt Snowdens in Deutschland passieren.

Der NSA-Untersuchungsausschuss lag zu Beginn der Legislaturperiode in weiter Ferne. Die SPD, die vor der Wahl noch einen anderen Zungenschlag hatte, verlor mit Regierungsbeteiligung das Interesse an Snowden. Interessanterweise war es die CDU, die den Weg zu dem Untersuchungsausschuss ebnete. Ströbele machte hierfür den Druck aus den Reihen der Bevölkerung verantwortlich. Im Verlaufe des Vortrages versuchte er immer wieder klar zu machen, dass politischer Druck »von der Straße« durchaus in die Politik einwirkt. Die Schritte, die dann passieren, sind leider klein, manchmal zu klein.

Mittlerweile wurden erste Juristen im Untersuchungsausschuss angehört. Auch hier erwähnte Ströbele, dass alle drei Juristen einhellig meinten, dass die Überwachung des BND verfassungswidrig ist. Hier gilt es nun, die Gesetze und auch die Arbeit des parlamentarischen Kontrollgremiums anzupassen. Dies soll nach dem Vorbild des United States Senate Select Committee on Intelligence sowie ähnlicher Behörden passieren. Diese haben neben den eigentlichen Gremiumsmitgliedern eine Reihe von unterstützenden Mitarbeitern. Die Mitarbeiter helfen dann beispielsweise bei der Einschätzung technischer Fragen.

Ströbele erwähnte einige Male stolz das Unternehmen Posteo. Das kümmert sich um gute Verschlüsselung und sitzt in Kreuzberg. Ich war ja versucht, noch mailbox.org zu erwähnen. Auch das Unternehmen sitzt in Berlin und verschlüsselt die Daten auf dem Transportweg wie auch in der Inbox. :-)

Insgesamt regte Ströbele an, dass sich US-Unternehmen, die Probleme wegen starker Verschlüsselung bekommen haben, in Deutschland ansiedeln.

Zum Abschluss seines Vortrages klebte er einen Ein-Bett-für-Snowden-Aufkleber in den Hörsaal und überließ Prof. Dreyer das Wort.

Dreyer bemühte sich um Gegenrede. Denn nach seinem Bekunden ist ein Podium mit gleichen Meinungen langweilig. Nachdem er einen Werbeblock für diverse andere Veranstaltungen abgespult hatte, fragte er das Publikum, wer denn Jonathan Pollard kenne. Erwartungsgemäß meldete sich (fast) niemand. Pollard gab Dokumente an den israelischen Geheimdienst (oder, wie die offizielle Bezeichnung lautete, das Büro für wissenschaftliche Verbindungen) weiter. Dafür wurde Pollard zu lebenlänglicher Haftstrafe verurteilt. Seit der Verurteilung setzte sich ziemlich jeder israelische Premier bei dem jeweiligen US-Präsident für die Freilassung ein. Bisher waren alle ohne Erfolg. Dreyer nahm dies als Beispiel oder Parallele für ein eventuelles Vorgehen gegen Snowden. Aus meiner Sicht hinkt dieser Vergleich jedoch. Denn Pollards Veröffentlichungen sorgten für die Enttarnung diverser CIA-Agenten und vermutlich sogar für Hinrichtungen einiger Agenten. Das Damage Assessment besteht aus diversen Dateien. Auf der anderen Seite versuchte Snowden Dokumente zu wählen, die niemandem einem Risiko aussetzen und die auch keine legitime nachrichtendienstliche Tätigkeit aufdeckt. Stattdessen versuchte er nur den ungesetzlichen Teil aufzudecken und mit Dokumenten zu belegen. Daher würde ich erwarten und hoffen, dass er im Falle eines Gerichtsverfahrens wenig streng bestraft wird.

Die anderen Argumente Dreyers bezogen sich auf die Auslieferungsabkommen, die Deutschland natürlich einhalten muss. Ströbele wandte ein, dass einerseits die Regierung sich gegen eine Auslieferung aussprechen kann und andererseits die Auslieferung für politische Vergehen verboten ist. Die Bundesregierung wurde angefragt, ob es sich bei Snowden um einen solchen handelt. Daraufhin fragte die Regierung in den USA nach deren Meinung. Das sorgte für einige Lacher im Publikum.

Dreyer schlug weiterhin vor, statt Snowdens lieber Glenn Greenwald oder Laura Poitras einzuladen. Hier stellte sich heraus, dass er diesen Aspekt nicht gut vorbereitet hatte. Denn beide sind bereits eingeladen. Allerdings werden sie wohl keine Aussage machen, sondern als Journalisten Quellen schützen.

Die Empfehlung von Dreyer war, dass sich alle umfassend Gedanken über Vor- und Nachteile machen sollten. Diese Gedanken sollten als Grundlage einer Entscheidung stehen und eventuelle Emotionen sollten zurücktreten.

Insgesamt fand ich die Veranstaltung sehr schön. Gerade dadurch, dass Prof. Dreyer versuchte, einen Kontrapunkt zu setzen, wurde die Diskussion interessanter und einige Argumente traten stärker zu Tage. Ich würde mir mehr solcher Veranstaltungen wünschen. :-)

Woher kommen die neuen Tor-Nutzer?

Tor-Nutzer
Diagramm der geschätzten Tor-Nutzer

Die Users-Seite im Tor Metrics Portal gibt derzeit große Rätsel auf.Seit Mitte August 2013 gibt es etwa dreimal soviele Tor-Nutzer wie sonst. Der Anstieg ist ungebrochen und mittlerweile merkt man als Nutzer einen deutlichen Performance-Einbruch. Das heißt, gerade das Surfen im Web fühlt sich deutlich langsamer an. Doch woher kommen die neuen Nutzer?

Roger Dingledine warf diese Frage auf der tor-talk-Mailingliste auf. Das wurde später von Ars Technica und auch Heise Online aufgegriffen. Aber niemand lieferte bisher eine Antwort.

Der erste Verdächtige hieß PirateBrowser. Diese Anonymisierungslösung aus dem Dunstkreis von The Pirate Bay nutzt Tor. Nun könnte man annehmen, dass der PirateBrowser unglaublich viele Nutzer anzieht und dadurch der Anstieg zustande kommt. Das würde aber bedeuten, dass alle diese Leute vorher kein Tor nutzten. Das halte ich bei dem »Kundenkreis« für recht unplausibel. Ich denke, die meisten nutzen schon jetzt Tor oder andere Lösungen. Weiterhin untersuchten einige die wahrscheinlichen Nutzerzahlen vom PirateBrowser. Die liegen meilenweit von dem Anstieg der Tor-Nutzer weg.

Collin Anderson analysierte die Nutzerzahlen in verschiedenen Ländern (Google-Docs-Dokument). Der Anstieg geht quer durch alle Länder (Diagramm). Ausnahme ist Israel. Dort gingen die Tor-Nutzer im betrachteten Zeitraum sogar etwas zurück.

Das stützt die These, dass hier ein Botnet zugange ist. Es könnte sein, dass Schadsoftware verteilt wird und diese nutzt Tor zur internen Kommunikation. Wenn die Software auf vielen Rechnern »installiert« ist und genutzt wird, dann steigen natürlich die Nutzerzahlen an. Diese Nutzer scheinen Tor mittlerweile wirklich zu nutzen. Denn ich stellte in den letzten Tagen eine deutliche Verlangsamung der (gefühlten) Geschwindigkeit bei Tor fest. Falls das also wirklich ein Botnetz ist, sollten die Tor-Clients als Relay umfunktioniert werden. Das hilft dann wieder dem gesamten Netz. ;-)

Eine andere Theorie lässt sich zunächst dem Bereich der Verschwörungstheorien zuordnen. Aber da in letzten Zeit so viele Wahrheit wurden, brauchen wir mal neue. ;-)
Durch die Enthüllungen von Snowden ist es durchaus möglich, dass mehr Leute Verschlüsselung und Anonymisierungswerkzeuge wie Tor nutzen. Eventuell ist es nun für die NSA wirklich schwerer uns zu überwachen. Also wird Tor durch eine unglaubliche Zahl an Clients wieder »verlangsamt«. Viele Nutzer stellen fest, dass das zu unbequem ist und gehen zur alten überwachten Leitung zurück. Voila.

Was ist eure Theorie?

Betreibt die NSA Tor-Relays?

Seit Juni 2013 kommen in regelmäßigen Abständen Veröffentlichungen über Lauschprogramme der NSA und anderer Geheimdienste. In den letzten Tagen gab es dann noch einen Angriff gegen Nutzer von Tor. Der Angriff wird auch der NSA zugeschrieben und heizte mal wieder die Diskussion an, ob die NSA Tor-Knoten betreibt und damit die Anonymität der Nutzer schwächt. Doch was ist da dran? Betreibt die NSA wirklich Tor-Relays?

Die kurze Antwort ist: »Nobody knows«.
Die lange Antwort erfordert ein wenig Abwägung. Stellt euch vor, die NSA betreibt in größerem Umfang Relays. Dann gibt es prinzipiell die Chance, dass die Verbindungen eines Nutzers über drei NSA-Knoten geht und die Daten damit deanonymisiert werden. Bei Exitknoten gibt es zusätzlich die Möglichkeit, persönliche Daten abzugreifen. Dan Egerstad zeigte 2007, wie einfach es ist, an Passworte von Botschaften zu kommen.

Ein Blick auf die Liste der Tor-Relays, sortiert nach Bandbreite zeigt, dass sehr viele der Knoten von TorServers.net, DFRI und anderen Organisationen betrieben werden. Diese stehen für mich nicht im Verdacht, NSA-nah zu sein. Weiterhin versucht das Tor-Projekt »bösartige« Exits bzw. solche, die merkwürdiges Verhalten zeigen, zu finden. Hier konnten in der Vergangenheit wenige gefunden werden. Derzeit gibt es keinen Hinweis, der den Verdacht erhärten könnte.

Wenn man weiter annimmt, dass die NSA Tor-Knoten betreibt und sie sicher auch weiß, dass verschiedene Leute versuchen dies aufzudecken, ist klar, dass sie ein großes Risiko fährt. Denn wenn nur ein NSA-Relay aufgedeckt würde, erzeugt das wegen des Skandalisierungspotentials einen großen medialen Aufschrei. Aus den Überlegungen ist das also nicht empfehlenswert.

Des Weiteren hat die NSA Zugänge zu den großen Netzknoten und kann Kommunikation übergreifend mitlesen. In der Anonbib findet sich die PDF-Datei »AS-awareness in Tor path selection«. Die Autoren beschreiben, wie vergleichsweise einfach es ist, für einen Angreifer mit einer weiten Netzwerksicht, die Anonymität zu minimieren oder zu brechen. Das heißt, die Daten, die die NSA durch den Betrieb von Tor-Relays erhalten würde, hat sie jetzt schon als »Abfallprodukt« der Überwachung. Fefe schrieb recht melodramatisch, dass Tor tot ist. Seine Argumente finden sich bereits im Design-Paper von Tor aus dem Jahr 2003: »[…] Tor does not protect against such a strong adversary. Instead, we assume an adversary who can observe some fraction of network traffic …«. Das bedeutet, dass Tor gegen einen starken Angreifer nicht sicher ist.

Letztlich ist es natürlich auch möglich, dass in bestehende Relays eingebrochen wird und die Daten ausgeleitet werden. Spiegel Online hatte letztens einen Artikel zu einem Einbruch in ein »Wasserwerk«. Das Werk war hier nur eine Falle und der Betreiber beobachtete die Aktionen der Angreifer. Die NSA würde durch einen Einbruch in existierende Tor-Server ebenfalls interessante Erkenntnisse über die Tor-Nutzer gewinnen.

Alles in allem glaube ich, dass der massenhafte Betrieb von Tor-Relays für die NSA derzeit von Nachteil ist. Die Informationen können sie wahrscheinlich auf anderem Wege gewinnen. Warum sollte die Agency also das Risiko eingehen?

Die Frage wurde auch in Blogs diskutiert. Folgende englischen Beiträge fand ich recht interessant:

Update: Link zum DK25: National Security Agency eingebaut. Ein wenig Eigenwerbung muss sein. :-)

Spamschutz bei S9Y

Im Hintergrund tut Serendipity oder kurz S9Y seinen Dienst. Vor mehr als sieben Jahren stieg ich von Wordpress auf die Software um. Die Software tut im wesentlichen ihren Dienst. Außer, wenn wie heute, ein Plugin merkwürdige Sachen macht.

Ich hatte bis heute abend das Autosave-Plugin installiert. Das speichert die Einträge zwischen und soll eigentlich vor Datenverlust schützen. Bei mir sorgte es dafür, dass die Rezension mehrfach verschwand. Der Grund war, dass ich auf Speichern im Artikelfenster drückte und das Fenster offen liess. Das Plugin wollte einfach alte Werte speichern und löschte so den Beitrag.

Seit dem Jahreswechsel bereitet mir nicht die Blogsoftware Kopfschmerzen, sondern der Spam der eintrudelt. Anfangs hatte ich den Spamschutz aktiviert, den S9Y von Haus aus mitbringt. Dazu setzte ich ein paar Worte auf die Blacklist. Das reichte aus. Nebenan im Datenkanal habe ich noch das Bayes-Plugin im Einsatz. Das wurde von Beginn an angelernt und verrichtet gute Dienste.

Das S9Y Infocamp hat sich nun dem Thema Spamschutz bei S9Y angenommen. In dem Podcast besprechen sie verschiedene Mechanismen. Dabei kommt die Rede auf die SpamBee. Die arbeitet unter anderem mit versteckten CAPTCHAs. Die vier Podcaster sind voll das Lobes. Ich habe den Podcast glücklicherweise zur rechten Zeit gehört. Denn direkt nachdem ich die Biene hier installierte, traf das Blog eine Spamwelle. Von den Lesern hat das vermutlich niemand bemerkt. Die Spambiene hat den Spam wirklich sehr gut abgefangen. Wer also da draußen mit Spam bei S9Y zu kämpfen hat, sollte unbedingt SpamBee probieren. Vermutlich bringt das Plugin Linderung.

tweetbackcheck