Skip to content

Protokoll der mündlichen Anhörung zur VDS beim europäischen Gerichtshof

Bastien Le Querrec von La Quadrature du Net fertigte ein Protokoll der mündlichen Anhörung vor dem europäischen Gerichtshof an. Die klagenden Verbände sowie die Beklagten bekamen Zeit Stellung zu nehmen und Fragen der Richterinnen und Richter zu beantworten. Das Originaldokument gibt es nur in französisch. Ich habe es daher mit Hilfe von DeepL, Google Translate und von Chloé Berthélémy ins Deutsche übersetzt. An einigen Stellen ist die Übersetzung noch etwas holprig. Solltet ihr Verbesserungen haben, hinterlasst bitte einen Kommentar oder schickt mit eine E-Mail.

Im erweiterten Eintrag unten findet ihr den gesamten Text des Protokolls. Alternativ könnt ihr diesen auch als PDF-Datei herunterladen.

Continue reading "Protokoll der mündlichen Anhörung zur VDS beim europäischen Gerichtshof"

Von Saudi-Arabien gehackt

Im Dezember 2015 erhielt ich eine Nachricht von Twitter. Der Dienst informierte mich, dass ich Opfer staatlichen Hackings wurde. Die Nachricht selbst war recht allgemein gehalten:

Rein vorsorglich möchten wir Sie darüber informieren, dass Ihr Account zu einer kleinen Gruppe von Accounts gehört, die Ziel eines staatlich motivierten Hackerangriffs geworden sein könnte. Das bedeutet, dass die Hacker möglicherweise mit einer Regierung in Verbindung stehen. Wir vermuten, dass Daten und Informationen wie zum Beispiel Email-Adressen, IP-Adressen und Telefonnummern ausspioniert werden sollten.

Durch meinen Blogeintrag und die Suche auf Twitter fand ich damals weitere Betroffene. Wir waren alle recht ahnungslos, wer uns aus welchem Grund hacken sollte. Netzpolitik.org warf damals einen Blick auf die Twitterkonten und fand wenig Gemeinsamkeiten. Am ehesten war ein Großteil der Betroffenen als Aktivisten tätig. Die Zusammensetzung an Sprachen, Ländern etc. war jedoch sehr divers.

Mittels eines offenen Briefes versuchten wir Antworten von Twitter zu erhalten. Doch weder gegenüber uns noch gegenüber Journalisten äußerte sich Twitter. Damit könnte die Geschichte zu Ende sein.

Mitte Oktober 2018 gab es nun neue Bewegung. Die New York Times veröffentlichte den Artikel »Saudis’ Image Makers: A Troll Army and a Twitter Insider«. Der Aufhänger des Artikels ist der Mord an Jamal Kashoggi. Dieser wurde vermutlich in der saudi-arabischen Botschaft in Istanbul auf brutale Weise getötet. Der Artikel berichtet, dass sich eine Troll-Armee mit dem Ziel an ihm festgebissen, ihn zum Schweigen zu bringen. Er selbst plante Gegenmaßnahmen:

Before his death, Mr. Khashoggi was launching projects to combat online abuse and to try to reveal that Crown Prince Mohammed was mismanaging the country. In September, Mr. Khashoggi wired $5,000 to Omar Abdulaziz, a Saudi dissident living in Canada, who was creating a volunteer army to combat the government trolls on Twitter. The volunteers called themselves the “Electronic Bees.”

Diese Troll-Aktivitäten wurden im Artikel auf das saudische Königshaus zurückgeführt. Daneben gab es auch Bestrebungen, Twitter direkt zu infiltrieren. Eine Person namens Ali Alzabarah wurde 2013 bei Twitter eingestellt und stieg dort Stück für Stück auf. Irgendwann hatte er direkten Zugang zu personenbezogenen Daten und saudische Geheimdienstler kontaktierten ihn. Er sollte diese Daten an die Saudis weitergeben. Twitter begann eine Untersuchung und entließ die Person. Im Rahmen der Untersuchung fand Twitter keine Hinweise, dass Daten an Saudi-Arabien weitergegeben wurden.

Damit sind zumindest einige der Fragen beantwortet. Jedoch frage ich mich immer noch, warum Saudi-Arabien gerade Interesse an meinen Daten haben könnte.

Fehler beim Aktualisieren in F-Droid

Beim letzten Update von F-Droid gab es Probleme. Updates wurden nicht mehr geladen und stattdessen zeigte das Telefon die Meldung »error getting index file« an. Nach einigem erfolglosen Herumprobieren stieß ich auf den Mastodon-Account von F-Droid. Laut der letzten Meldung versuchten die Entwickler einen anderen Fehler zu beheben. Dies löste dann dieses Problem aus.

Doch wie lässt sich das nun beheben? Ein Hinweis liefert der Blogbeitrag der Entwickler. Sie schreiben, man solle das alte Indexformat aktivieren. Dazu geht ihr im F-Droid auf Optionen. Recht weit unten in den Einstellungen müsst ihr den Expertenmodus aktivieren und dann findet ihr ganz unten den Menüeintrag «Altes Index-Format erzwingen«. Nun lassen sich, wie gewohnt, die Updates herunterladen und installieren.

Viel Spass mit aktueller freier Software auf euren Smartphones.

Schreibt eure Provider wegen der Vorratsdatenspeicherung an!

Seit nun mehr als zehn Jahren wird um die Vorratsdatenspeicherung gerungen. Verordnungen und Gesetze wurden verabschiedet, Klagen dagegen bestritten und gewonnen. Es gab unzählige Demonstrationen und Aktionen gegen diese Form der Überwachung. Am 1. Juli 2017 soll es nun soweit sein, dass wieder ein Gesetz zur Vorratsdatenspeicherung eingeführt und umgesetzt wird. Auch hier gibt es einige laufende Verfassungsbeschwerden. Digitalcourage plant am 29. Juni 2017 Proteste gegen das Gesetz. Die SpaceNet AG klagte gegen das Gesetz und nun beschloss das Oberverwaltungsgericht des Landes Nordrhein-Westfalen, dass das Gesetz gegen europäisches Recht verstösst. Diese Entscheidung betrifft nur die SpaceNet AG. Andere Provider müssen entsprechend nachziehen. Um an der Stelle etwas Druck aufzubauen, will ich verschiedene Provider anschreiben und diese auffordern oder bitten, es der SpaceNet gleich zu tun. Unten findet ihr mein Musterschreiben. Ihr könnt es gern verwenden oder verbessern.

Sehr geehrte Damen und Herren,

das Oberverwaltungsgericht des Landes Nordrhein-Westfalen (OVG) hat mit Beschluss 13 B 238/17 vom 22. Juni 2017 entschieden, dass die zum 1. Juli 2017 umzusetzende Vorratsdatenspeicherung (VDS) gegen europäisches Recht verstößt. Damit wurde die Klägerin von der Speicherpflicht entbunden. Ich möchte Sie hiermit bitten, sich ebenso für die Grundrechte Ihrer Kundinnen und Kunden einzusetzen und eine ähnliche Entscheidung für Ihr Unternehmen zu erwirken.

Das Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten (VerkDSpG) verpflichtet Internetserviceprovider (ISP) spätestens ab dem 1. Juli 2017 anlasslos eine Reihe von Verkehrsdaten zu speichern. Diesem Gesetz geht die Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten und die deutsche Umsetzung im Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG zuvor. Das Bundesverfassungsgericht erklärte diese Regelungen in dem Urteil 1 BvR 256/08 vom 2. März 2010 für verfassungswidrig und damit nichtig. Am 8. April 2014 hob dann der europäische Gerichtshof (C-293/12, C-594/12) die Richtlinie auf, da diese gegen verschiedene Rechte aus der europäischen Grundrechtscharta verstößt.

Der deutsche Provider SpaceNet AG klagte nun gegen das im Dezember wieder eingeführte Gesetz und bekam am 22. Juni 2017 vor dem OVG NRW Recht. Das Gericht beschloss, dass die Vorratsdatenspeicherung gegen europäisches Recht verstößt. Die SpaceNet AG muss damit die VDS nicht umsetzen.

Das Urteil betrifft allerdings nur einen Provider. Ohne eine ähnlich gelagerte Entscheidung müssen andere ISP die VDS umsetzen. Daher möchte ich Sie bitten, sich für die Grundrechte Ihrer Kundinnen und Kunden einzusetzen und ein ähnlich gelagertes Urteil zu erwirken. Ich bitte Sie, mir mitzuteilen, ob Sie für Ihr Unternehmen derartige Schritte planen oder ob Sie ggf. anderweitig gegen die VDS vorgehen wollen.

Ich danke Ihnen vorab für Ihre Bemühungen und verbleibe

mit freundlichen Grüßen

Hoffen wir, dass sich möglichst viele Provider gegen die VDS stark machen und das Gesetz endlich gekippt wird!

Update: Golem berichtet, dass Vodafone keinen Eilantrag stellen will und Telefónica/O2 die Sachlage prüft.

Gründe des Hackingangriffs auf Twitter-Nutzer weiter im Dunkeln

Vor über einem Monat erhielt ich zusammen mit einigen anderen eine E-Mail von Twitter. Darin informierte uns das Unternehmen, dass wir Ziel eines staatlichen Hackingangriffs wurden. Insgesamt fand ich 51 betroffene Accounts. Netzpolitik analysierte die Accounts und fand keine Gemeinsamkeiten, die für alle Konten gültig sind. So tappen wir alle im Dunkeln, warum wir die Mail von Twitter bekamen und was der Grund dafür ist.

Wir haben daher eine Liste von Fragen erarbeitet, die wir gern von Twitter beantwortet hätten. Schließlich möchten alle gern wissen, warum gerade sie Ziel der Angriffe waren. Auch wenn ein Teil der Antworten uns verunsichern würde.

Bei unserem Treffen auf dem 32C3 haben wir alle mögliche Theorien und Phantasien hin und hergewälzt. Aber gefühlt sind wir dem Thema nicht näher gekommen. Kennt jemand von euch noch Leute, die eine ähnliche Mail bekamen? Habt ihr vielleicht Ideen, warum Twitter diese Mails verschickte? Hinterlasst doch hier oder auf unserer Seite einen Kommentar.

Weitere Blogpostings:

#StateSponsoredActors-Meetup at 32C3

Starting in mid-december several Twitter users received a mail from the company telling them that they were target of state-sponsored hacking. I blogged in German about it. Today it is still unclear why Twitter sent out this mail.

Did you ask Twitter and received an answer? Do you have an explanation? Let’s meet at 32C3! Come at 20:00 to Hall 13. We’ll sit down and try to find some answers or develop strategies to find answers. ;-)

Ich bin Opfer staatlichen Hackings

Heute morgen öffnete ich mein Postfach und fand eine E-Mail von Twitter vor. Darin stand, dass ich vermutlich Opfer eines staatlichen Hackerangriffs wurde.

Rein vorsorglich möchten wir Sie darüber informieren, dass Ihr Account zu einer kleinen Gruppe von Accounts gehört, die Ziel eines staatlich motivierten Hackerangriffs geworden sein könnte. Das bedeutet, dass die Hacker möglicherweise mit einer Regierung in Verbindung stehen. Wir vermuten, dass Daten und Informationen wie zum Beispiel Email-Adressen, IP-Adressen und Telefonnummern ausspioniert werden sollten.

Zunächst ging ich von Spam aus. Aber die ganze E-Mail war in gutem Deutsch verfasst. Auch die Header der Mail legten nahe, dass der Absender wirklich Twitter war.

Dann setzt Überraschung und Schock ein. Warum sollte ich Ziel eines Hackingangriffs sein und was kann ein Angreifer erkennen? Um die erste Teilfrage beantworten zu können, müsste man wissen, welcher Staat dahinter steckt. Die zweite ist schon leichter zu beantworten. Die E-Mail-Adresse, die ich für die Anmeldung bei Twitter und zur Kommunikation benutze, ist twitter@ (plus meine Domain natürlich). IP-Adressen sollten jeweils Tor-Exitknoten sein. Allerdings hatte die Twitter-App kürzlich Schluckauf. Daher sind dort vermutlich, ein paar Nicht-Tor-URLs zu finden. Ja, OPSEC ist eben schwer. :-) Telefonnummer müsste keine zu finden sein. Denn bisher habe ich es geschafft, nie eine Nummer angeben zu müssen.

Ich werde das Mal im Auge behalten und ein Update bringen, wenn es etwas Neues gibt. Auf Twitter fand ich bisher 10 Accounts, die betroffen sind.

Update: Laut der Meldung bei der Frankfurter Rundschau bestätigte Twitter nochmals die Echtheit der E-Mail. Sie sagte, dass sie den Vorfall aktiv untersuchen und machten ansonsten keine weiteren Angaben dazu.

tweetbackcheck