ravenhorst - Chips

Von Datenbriefen und Internet-Führerscheinen

nospam@example.com (Kai Raven) — Mon, 01 Mar 2010 15:39:27 +0100

Bundesinnenminister De Maizière hat im Tagesspiegel vom 28.02.2010 den Gastbeitrag Digitaler Datenverkehr veröffentlicht, den man – da als Meinung und Kommentar deklariert – wie andere Statements zuvor, als seine persönlichen "Eckpfeiler der Internet- und Netzpolitik" bezeichnen kann oder in Anlehnung an die Arbeitsliste, die der CCC vor den Koalitionsverhandlungen ausgestellt hatte, als aktuelle Sammlung der Punkte, die er gerade auf seinem "Spickzettel" notiert hat.

Was davon in die tatsächliche Internet- und Netzpolitik der Bundesregierung einfließen wird, steht noch auf einem anderen Blatt, denn dazu wird der Koalitionspartner FDP auch ein Wörtchen mitreden wollen, es gibt jenseits von De Maizière in der CDU auch noch andere Leute wie Uhl und Bosbach und die Realpolitik sieht dann auch wieder anders aus, wie zum Beispiel De Maizière Abstimmungsverhalten zur SWIFT-Geschichte zeigte.

"Ich hätte mir ein anderes Urteil gewünscht, aber das Urteil des Bundesverfassungsgerichts gilt. Das Gericht hat gesagt: So geht es nicht, aber anders geht es. Und ich füge hinzu: Und so muss es dann auch gehen."

Bundesinnenminister De Maizière in seiner Stellungnahme zum Urteil des Bundesverfassungsgerichts zur Vorratsdatenspeicherung am 02.03.2010.

Aber wenn wir mal davon absehen und uns an den reinen Wortlaut dieser Veröffentlichung halten, was steht denn so in diesem Spickzettel?

Zuerst einmal, dass der Bundesinnenminister nichts von "Internet-Führerscheinen" und einem "Internet-TÜV" hält.

Der Begriff des "Internet-Führerscheins" hat aus meiner Sicht zwei Ausformungen: Im Zusammenhang mit einem "Internet-TÜV" eine zwingend vorgeschriebene oder freiwillige Ausbildung "am Gerät", sprich die Erlernung des Umgangs mit dem Computer, der Software im Zusammenhang mit der Nutzung von Internetanwendungen und -diensten, mit anschließender Prüfung und Auffrischungen erworbener Kenntnisse und Ausstellung einer "Nutzungs- und Betriebserlaubnis". Auf Anbieter von Internetinhalten bezogen, könnten das Kennzeichnungspflichten oder gar Anmeldepflichten wie in China sein, mit Kontrolle durch staatliche Behörden, die regelmäßig nachschauen, ob auch alles seine Richtigkeit hat.

Über die erste Ausformung könnte man sogar in anderer Gestalt nachdenken. An einigen Schulen laufen ja bereits Projekte, um Schülern die nötige Kompetenz im Umgang mit dem Computer, dem Internet, den Medien und den eigenen Daten zu vermitteln, besonders auf "Silver Surfer" abgestellte Kurse oder Kurse für interessierte Bürger an Volkshochschulen vermitteln "Senioren" und "Newbies" Kenntnisse und Tipps für den Umgang mit dem Internet. Das kann man ruhig ausbauen und wenn Teilnehmer am Ende ein nett gestaltetes Zertifikat mit dem Titel "Internet-Führerschein" erhalten, dass sie sich an die Wand pinnen oder abheften können, warum nicht. Da man es in Deutschland gerne mit Zwängen, Verordnungen, Prüfung und Kontrolle hat, verbunden mit der Absage, auch daraus wieder ein Fach zu machen, für das es Noten, Bestrafung oder staatliche Sanktionen und Kontrolle für diejenigen gibt, die nicht in das Bild des korrekten Internetnutzers passen. Es wäre auch absurd und nicht umsetzbar, die Internetnutzung jedes Bürgers vom Erhalt eines staatlichen "Internet-Führerscheins" oder "Internet-Zeugnisses" abhängig zu machen. Das wären mit den Worten des Innenministers gesprochen die "Karten", "Navigationssysteme", "Orintierungshilfen" und "Aufklärung", die sich die Bürger "selbtbestimmt" in "Privatautonomie" aneignen können.

Über die zweite Ausformung denke ich gar nicht nach, sondern lehne es ab, bis vielleicht auf die bekannten und expliziten "ab 18 Bereiche". Zwangskennzeichnungen, Anmeldepflichten wie in China und Betriebsprüfungen von Inhalteanbietern wären auch in Deutschland entweder Vorstufen und Vorbereitungen oder Bestandteile von Zensur-Infrastrukturen.

Die zweite Form des "Internet-Führerscheins", so wie er zum Beispiel auch von Leuten aus den Branchen für Biometrie- und Netzwerksicherheit-Lösungen oder Bereichen der Cyber-Kriminalitätsbekämpfung immer wieder angedacht wird, wäre die technische Umsetzung einer Identifizierungs- und Authentifizierungs-Infrastruktur, die vor jedem Internet-Zugang und bei jeder Nutzung von Internet-Diensten den permanenten Identitäts-Nachweis und die Möglichkeit der jederzeitigen Rückverfolgbarkeit und Aufdeckung der Identität zwingend voraussetzt – u. a. mittels eines "Identitäts-Token" wie dem auch vom Bundesinnenministerium geförderten elektronisch-biometrischen Personalausweises (ePA) oder "neuen Personalausweises" (nPA), wie er jetzt im Neusprech-Sprachgebrauch heißt und kontrollierter Internet-Dienste wie der De-Mail.

Ob sich der Einzug biometrischer Identifizierungsmittel und elektronischer Identitäts-Dokumente nicht in diese Richtung mit den möglichen Kollateralschäden in Gestalt weiterer Eingriffe in das Telekommunikationsgeheimnis und Aushebelung anonymisierter Nutzungsmöglichkeiten des Internets auswirken wird, kann auch der aktuelle Bundesinnenminister weder garantieren, noch ausschließen. Es bleibt auf lange Sicht gesehen fraglich, ob es in Zukunft dabei bleiben wird, dass "die Bürger selbstbestimmen, ob und in welchem Umfang sie diesen elektronischen Identitätsnachweis nutzen" und ob staatlich kontrollierte und reglementierte Dienste, wie es die De-Mail nun mal ist, langfristig nur "zusätzlichen Möglichkeiten" bleiben.

Zum Komplex Datenschutz, Rechtsschutz Datenkontrolle nehme ich mal die Diskussion um den Datenbrief heraus, einer Idee des CCC, die De Maizière nach seinem "Dialog mit der Netz-Community" auch in diesem Spickzettel aufgreift.

Zuerst einmal ist positiv zu vermerken, dass der Bundesinnenminister feststellt, dass "die Nutzer eine echte Wahl haben müssen, ob sie etwa die Weitergabe ihrer Daten akzeptieren oder nicht", denn wenn dieser Feststellung gefolgt wird, bedeutet sie die grundsätzliche Absage an jede Opt-Out Stategie und das grundsätzliche Opt-In, sprich es können Daten nicht erst erhoben, gesammelt und weitergegeben werden und der Kunde, Nutzer muss seine Verneinung äußern, sondern es ist immer die Einwilligung des Kunden und Nutzers nötig. Würde aber auch bedeuten, dass Opt-In in vollem Umfang gilt und man keine Ausnahmen gewährt, wodurch sich wieder Schutzlücken auftun und Datenschutz verwässert wird. Das kennen wir ja bereits.

Ob er sich damit immer gegen Lobbys wie die der Werbeindustrie und die Kollegen der eigenen Partei und des Koalitionspartners durchsetzen wird, bleibt abzuwarten. Ich würde auch nicht defensiv darauf warten und setzen, dass sich auf Seiten der Datensammler aller Art "freiwillig" und "selbstverpflichtend" in der Hinsicht etwas bewegt. Das mag dem eigentlich positiven Grundtenor entsprechen, zuerst den Dialog zu suchen und Überlegungen anzustellen, anstatt alles sofort mit Gesetzen und Verordnungen regeln zu wollen und es entspricht auch den politischen Prinzipien der CDU und FDP, den privatwirtschaftlichen Bereich möglichst nicht zu behelligen und erst einmal selbst wurschteln zu lassen. Aber ich kann mich leider nicht an positive Entwicklungen und Resultate erinnern, die auf Selbstverpflichtungen und den Willen basierten, sich freiwillig zu reglementieren und zu beschränken. Das bleibt nicht zielführend und erfolgversprechend.

Was mir zu diesem Punkt, wie auch zum Punkt der nachträglichen Datenschutzkontrolle per Datenbrief in den Ausführungen De Maizières fehlen, sind eindeutige Positionen zur staatlichen Datensammelei und Kontrolle der Daten, die staatliche Stellen gesammelt haben. Die Prinzipien der Datensparsamkeit und Datenvermeidung werden zwar angetippt, aber sie zu Eckpfeilern staatlichen Handelns zu machen und darzustellen, wo und wie sie umgesetzt werden sollen, war für mich nicht erkennbar. Dabei wäre es gerade im Angesicht der SWIFT-Debatten, dem Flugpassagierdatenaustausch, der Vorratsdatenspeicherung und auch dem von De Maizière verfolgtem Ziel, den europäischen und internationalen Datenaustausch und Vernetzungsgrad der Sicherheitsbehörden weiter voranzutreiben, äußerst interessant gewesen, wie dazu De Maizières Positionen aussehen.

Was den Datenbrief angeht, zeichnen sich De Maizières Ausführungen wiederum dadurch aus, dass er zu gleichartigen Verpflichtungen von Stellen und Behörden des Bundes, der Länder und Kommunen nichts ausführt. Ich kann mich an die Veröffentlichungen von Datenschutz-Checkheften der Landesdatenschutzbehörden erinnern, in denen der Bürger Karten finden kann, mit denen er bei einzelnen Stellen manuell anfordern muss, welche Daten von ihm gespeichert wurden. So sollte es nicht weitergehen, sondern die staatliche Sektoren müssen auch in das Datenbrief-Konzept integriert sein – wenn es zu einer Umsetzung des Datenbrief-Konzeptes kommen würde.

Generell finde ich die Idee des Datenbriefs positiv. Schon alleine deshalb, weil an die Stelle der Holschuld des Bürgers und Kunden, um an die Auskunft zu den Daten zu gelangen, die erhoben, gespeichert, gesammelt und weitergegeben wurden, die Bringschuld des Staates und der Wirtschaft gesetzt würde. Das betrifft zum Beispiel auch die Daten einer Schufa, die man sich ab dem 1. April einmal im Jahr selbst abholen muss.

Beim Datenbrief steckt laut De Maizière "der Teufel im Detail". Es werden mehrere Teufel sein.

Ein Teufel wäre die Frage, wie ich an den oder die Datenbriefe komme? Ein zentraler Datenbrief, der alle Datensätze, Quellen und Ziele von der Datenerhebung bis zur Datenweitergabe in sich vereinigen würde, verbietet sich schon von selbst, denn ein besseres Gesamtprofil könnte man sich nicht vorstellen. Datenbriefe dürften nicht zu neuen Möglichkeiten führen, direkt oder über Verknüpfungen Gesamtprofile zu erstellen. Ein zentraler Datenbrief-Index, ähnlich wie man es uns bei den Antiterrordatenbanken vorgemacht hat, der Querverweise zu den eigentlichen Datenbriefen oder Meldungen zu neuen Datenbriefen enthält, die aber so gestaltet wären, dass sich trotzdem ein Dritter, der Einsicht haben könnte, kein Gesamtprofil erschließen kann, sondern nur der eigentliche Datenbriefempfänger (pseudonyme Kennungen, die der Datenbrief-Empfänger zu Klartext-Verweisen entschlüsselt?), schon eher, wenn dieser Index technisch so abgesichert werden kann, dass er nur dem Datenschutz-Empfänger zugänglich ist.

Oder setzt man sofort oder besser auf vollständige Dezentralisierung? Dann würde man entweder von jedem Unternehmen und jeder staatlichen Stelle entweder postalisch per Brief oder per signierter und verschlüsselter E-Mail die jeweiligen Datenbriefe zugestellt bekommen. Eigentlich eine der möglichen "Killer-Anwendungen" für die De-Mail und De-Datentresore, wenn man denn vom nPA und den De-Mail und De-Datentresor Konzepten überzeugt ist.

Daraus dann aber die Wege und Weitergaben wirklich nachzuvollziehen, was ja auch ein Anstoß des Datenbriefs war, dürfte sich schwierig gestalten, genauso wie das Management aller erhaltenen Datenbriefe. Geht man den elektronischen Weg, wären dafür neue Anwendungen nötig, aber aus meiner Sicht auch möglich. Geht man den Papierweg, sind volle Aktenordner und Aktenwälzen angesagt.

Für den Staat, aber auch für den Bürger, ist auch hier die Frage der Ausnahmen von Interesse. In den Sicherheitsgesetzen und innerhalb der politischen Kontrollstrukturen gibt es ja Regelungen, die für den Erfolg von Ermittlungen und nationalen Sicherheitsinteressen, Geheimhaltungspflichten und -möglichkeiten den Zugang zu Daten behindern, einschränken oder versagen. Hier den Ausgleich zwischen legitimen Sicherheitsinteressen des Staates und der Gefahr, dass sich der Staat zu sehr von einer Datenbrief-Pflicht herausnimmt, zu finden, wäre ein weiteres Teufelchen. Das war nur eine kleine Auswahl von Teufeln, die mir auf Anhieb einfielen. Es gibt mit Sicherheit mehr davon, aber keine Teufel, die man aus meiner Sicht nicht im Dialog, mit den vom CCC angesprochenen Beratungen mit Datenschutz- und Datensicherheitsexperten, politisch wie auch praktisch-technisch bewältigen könnte.

Doch, einen dicken "Teufel" in Sachen Datenbrief gibt es noch und das ist die sogenannte "Bürgerrechtspartei" FDP. Deren innenpolitische Sprecherin der FDP-Bundestagsfraktion, Gisela Piltz, ist im Ergänzungsartikel CDU: Mehr Kontrolle von Internetdaten (warum hat man ihr nicht die Gelegenheit einer ausführlichen und differenzierten Gegen-Meinung gegeben?) mit den Statements zu vernehmen, dass "'ein solcher bürokratischer Aufwand, der mit hohen Kosten für die Unternehmen verbunden ist, durch nichts gerechtfertigt ist.' Zwar teile sie die Forderung des Innenministers nach mehr Transparenz, aber 'man muss prüfen, ob es nicht weniger bürokratische und effektivere Wege als den Datenbrief gibt'. Piltz forderte, in erster Linie müssten die Unternehmen möglichst kostenlos Daten zur Verfügung stellen, diese sollten aber von den Firmen nicht ungefragt und automatisch versendet werden müssen."

Es überrascht mich natürlich nicht, dass die FDP dort mit Bürgerrechten und Datenschutz Halt macht, wo die Interessen ihrer Klienten anfangen. Zu den Statements von Gisela Piltz ist zu sagen, dass "Unternehmen" auch keine Kosten und keinen bürokratischen Aufwand scheuen, wenn es darum geht, für Werbezwecke, Kundenprofile, Verbesserungen der Marktpositionen und Erhöhung des Profits Daten zu erheben, zu speichern, zu sammeln, weiterzugeben oder zu verschachern. Und ohne vorherige Klärung des tatsächlichen Umsetzungaufwandes eines Datenbriefes oder den Möglichkeiten, Datenbrief-Funktionen in bestehende Strukturen zu integrieren, sofort von einem ungerechtfertigten Aufwand loszuplärren, spricht genauso eine deutliche Sprache wie ihr Bild vom Bürger und Kunden, der weiterhin als Bittsteller mit Holschuld seiner Daten habhaft werden soll. Und wo sie gerade von Transparenz spricht, sei an dieser Stelle an den von ihr eingebrachten Bundesparteitagsbeschluss Datenschutz im nicht-öffentlichen Bereich verbessern der FDP von Mitte 2008 erinnert. Wie heißt es dort so schön:

Die FDP fordert, die gesetzlichen Regelungen zum Datenschutz im nicht-öffentlichen Bereich mit dem Ziel zu überarbeiten, den Grundsatz der Datensparsamkeit zu stärken und seine Achtung zu gewährleisten, die Transparenz der Datenverarbeitung größtmöglich zu erhöhen und somit mehr eigenverantwortliches Handeln der betroffenen Personen zu fördern.

Datenschutzrechtliche Regelungen im nicht-öffentlichen Bereich sollen vor allem das Fundament für Transparenz und Überprüfbarkeit der Verarbeitungsprozesse legen. Nur dann können die Beteiligten eigenverantwortlich über ihre Daten bestimmen. Für die FDP ist daher insbesondere zentral, dass die Verbraucher darüber informiert werden, welche Daten zu welchem Zweck erhoben, gespeichert und verwendet werden, wie sie diese einsehen und ggf. korrigieren können und wer die verantwortliche Stelle für die Datenverarbeitung ist.

Ich denke, eine Umsetzung des Datenbrief-Konzepts würde gehörig zu einer "größtmöglichen Transparenz der Datenverarbeitung" beitragen und "zentral" für die Information der Verbraucher sein. Aber schöne Worte und Forderungen kann man für die Profilierung als "Bürgerrechtspartei" vor Wahlen und Teilhabe an der politischen Macht immer aufstellen, danach gelten das Gegenteil und die Interessen anderer Kreise.

Siehe auch:
tageszeitung (CCC) - Denn sie sagen nicht, was sie tun (12.03.2010)
FDP-Bundestagsfraktion - Piltz: Klares "Ja" für mehr Transparenz (01.03.2010)
tageszeitung - Kritik aus Wirtschaftsflügeln, vier Minister für Datenbrief (04.03.2010)

Zukunftsreport Ubiquitäres Computing

nospam@example.com (Kai Raven) — Mon, 15 Feb 2010 10:38:44 +0100

Der Ausschuss für Bildung, Forschung und Technikfolgenabschätzung des Bundestages hat den informativen und mit 128 Seiten umfangreichen Zukunftsreport Ubiquitäres Computing veröffentlicht, der sich mit der Geschichte, dem aktuellen Stand der Technik und Diskussionen und den möglichen zukünftigen Entwicklungen der Techniken befasst, die mit den Begriffen des "Ubiquitären Computing" (UbiComp), "Pervasive Computing", "Ambient Intelligence" und dem "Internet der Dinge" verbunden sind. Eines der "Icons" dieser Techniken ist der mittlerweile allseits bekannte RFID Funkchip. Aus dem Bericht:

Unter dem Begriff "Ubiquitäres Computing" (UbiComp) wird die Allgegenwärtigkeit von Informationstechnik und Computerleistung verstanden, die in prinzipiell alle Alltagsgegenstände eindringen. Computerleistung und Informationstechnik können damit auf einem neuen Niveau gesellschaftliche Bereiche erfassen – von der industriellen Produktion bis in den privaten Alltag.

Der vorgelegte TAB-Bericht konzentriert sich auf wirtschaftlich und gesellschaftlich besonders wichtige und zukunftsweisende Anwendungen in Handel, Logistik, Industrie, Verkehr, Gesundheitsversorgung sowie der Personenidentifikation. Dabei wurden jeweils die Entwicklungspotenziale des Ubiquitären Computings aufgezeigt, Bedingungen für ihre Realisierung herausgestellt sowie untersucht, wo Handlungsbedarf mit Blick auf sich bietende Chancen aber auch Fragen der informationellen Selbstbestimmung, Daten- und Verbraucherschutz besteht.

Auf den ersten Blick fehlt mir die Einbeziehung von "UbiComp" Techniken, Projekten und Anwendungen in militärischen Bereichen oder die Einbeziehung experimenteller Projekte an Unis, von denen neue Anstöße in Richtung "UbiComp" ausgehen und die Auswertung der Presselandschaft reduziert sich auf die gängigen Publikationsorgane, während z. B. Heise Newsletter und Telepolis überhaupt nicht vorkommen, obwohl dort "UbiComp" öfters und detaillierter Thema war, als in eher oberflächlichen Artikeln der anderen Zeitungen, aber als Einstieg, zur Übersicht und zum Nachschlagen kann man die Technikfolgenabschätzung dennoch gut verwenden.

Aktuell und passend dazu will Vodafone laut einem Financial Times Artikel die gleiche RFID Chiptechnik wie im ePA und ePass mit SIM-Karten im Handy verbandeln, um auch das "Handy zum Ausweis zu machen". Die Idee ist nicht neu, sondern war absehbar und korrespondiert mit den zahlreichen Vorschlägen, uns allen irgendwann und irgendwie einen "Internetausweis" verpassen zu wollen.

Nächste Generation der biometrischen Vollerfassung in den USA gestartet

nospam@example.com (Kai Raven) — Fri, 13 Feb 2009 14:13:30 +0100

Wie die Biometrics Task Force des US-Verteidigungsministeriums in ihrer aktuellen Aussendung mitteilte, wurde am 30. Januar 2009 das "Next Generation Automated Biometric Identification System" (ABIS) (NGA) in Betrieb genommen und das bisherige "Automated Biometric Information System" (ABIS) aufs Altenteil geschickt, sprich es wird als Backup für das ABIS NGA dienen.

Das militärische ABIS NGA für alle US-Streitkräfte und das zivile "Next Generation Identification System" (NGI) für alle Polizei- und Geheimdienstbehörden sind die beiden Multimilliarden-Dollar "Manhattan Projekte" auf dem Gebiet der Biometrie, die unter der Bush-Regierung angestoßen wurden und für die Bush Mitte 2008 noch schnell eine unterstützende Direktive erlassen hatte. Im Grunde sind ABIS NGA und NGI nur zwei Seiten eines Systems zur Erfassung, Speicherung, dem Austausch und der Nutzung aller biometrischen Merkmale, deren man habhaft werden kann, denn beide System sollen aufgrund der gleichen Datenbanken, Protokolle und Formate vollständig komplementär zueinander funktionieren.

Langfristig sollen die beiden Systeme mit weiteren Datenbanken in einer gigantischen Plattform fusionieren, an die dann in einem weiteren Schritt Biometrie-Datenbanken von Staaten oder Gemeinschaften wie der EU angebunden werden, um so zu einem verteilten, den Globus umspannenden Biometrie Datenbank-Verbund zu mutieren, der sich dann zum Beispiel für Identifizierungs- und Authentifizierungszwecke über biometrische Erkennungssysteme in Videoüberwachungskameras, mit mobilen Überprüfungsgeräten, in Kontroll-Stellen an Grenzübergängen, Sicherheits-Schleusen in Gebäuden und dem Abgleich biometrischer Merkmale, die in elektronischen ID-Dokumenten gespeichert sind, von jedem angeschlossenen Staat und Streitkräften nach der Okkupation eines Landes nutzen ließe. Bedingung und Unterstützung der ehrgeizigen Langzeit-Pläne stellt die Angleichung und Harmonsierung der eingesetzten Datenbankstrukturen, Datenformate und Protokolle in allen Staaten und Staatengemeinschaften dar, die sich eines Tages in der Form zusammenschließen wollen. Ein Prozess, der zum Beispiel in der Europäischen Union mit dem Vetrag von Prüm und bilateralen Austausch-Abkommen eingesetzt hat.

Zum jetzigen Anwerfen der ABIS NGA Maschinerie heißt es im Next Generation ABIS Improves Biometric Response to Warfighter Beitrag der Biometrics Task Force, dass das alte ABIS ausgelegt war, 2 Millionen Einträge zu speichern und 2000 Datentransaktionen pro Tag zu bewältigen. Die ABIS Datenbanken verzeichnen aber bereits jetzt 3 Millionen Einträge, die für zu lange Antwortzeiten bei Abfragen sorgten. Demgegenüber wird ABIS NGA 4,2 Millionen Einträge speichern und 8000 Datentransaktionen pro Tag handeln können bei einer erwarteten Antwortzeit von 2 - 10 Minuten, auch wenn eine Abfrage zum Abgleich oder zur Speicherung im Irak oder in Afghanistan erfolgt, mit deren Bevölkerung die biometrische Erfassung und der Abgleich gegen das militärische Biometrie-System durchexerziert wird.

Anders als das alte ABIS ist das ABIS NGA von Anfang an multimodal und modular ausgelegt. Das heißt, es speichert und verarbeitet neben den biografischen persönlichen Daten biometrische Fingerabdrücke, Gesichtsbilder, Irismuster und Handabdrücke parallel nebeneinander – mit der Option weitere biometrische Merkmaldaten in den Prozess einzufügen und das ABIS NGA Netzwerk mit seinen Datenbanken beliebig zu erweitern. Daneben heben die am Projekt beteiligten Techniker und Offiziere hervor, dass man neue "Fusions"-Algorithmen integriert habe, die zu einer geringeren Sichtung und Nachbearbeitung der biometrischen Daten durch menschliche Experten führen und den Vorgang der Durchsuchung aller biometrischer Merkmale, des Abgleichs über alle Merkmale und der Zuordnung zu einer Person drastisch automatisiert. In der Mitteilung drückte das der Produkt-Direktor für die "Biometric Enterprise Core Capability (BECC)" Greg Fritz so aus:

"The new technology and the fusion algorithm are the kickers, not only does the new system provide better matching algorithms against four distinct biometric modalities, it is also able to synthesize what would formerly be 'maybe' matches (yellow resolves) in a single modality into automatic matches across multiple modalities. This means that, around the clock, NGA will make more 'lights out' automatic identifications, dramatically improving biometric support to Warfighters around the globe."

Final Countdown Startschuss für biometrische Vollerfassung und Elektro-Perso

nospam@example.com (Kai Raven) — Fri, 13 Feb 2009 12:03:02 +0100

Rein nach Datum hat jeder Bundesbürger nur noch bis zum 31. Oktober 2010 Zeit, den alten Personalausweis zu beantragen. Nach der heutigen Billigung des Gesetzentwurfs über Personalausweise und den elektronischen Identitätsnachweis durch den Bundesrat, gibt es ab dem 1. November 2010 nur noch den elektronischen Personalausweis (ePA) mit elektronischer Identifizierungsfunktion (eID), RFID Funkchip, zwingend vorgeschriebener Erfassung eines biometrischen Gesichtsbildes, zunächst freiwilliger Erfassung biometrischer Fingerabdrücke mit Speicherung und Nutzung der biometrischen Mermale über den Chip des neuen ePA. Auch mit allen langfristigen Konsequenzen.

Rein nach Datum verlieren somit am 31. Oktober 2020 die letzten Pesonalausweise herkömmlicher Art ihre Gültigkeit und am 1. November 2020 beginnt die letzte Phase der biometrischen Totalerfassung der Bevölkerung und ihre Ausstattung mit elektronisch-funkenden ID-Dokumenten. Unter Berücksichtigung von Verzögerungen und vergesslichen Bundesbürgern dürfte diese Phase spätestens 2025 abgeschlossen sein – viel Zeit, um noch einige "Änderungen" am ePA selbst, am Gesetz und zur Erfassung, Speicherung und Nutzung der biometrischen und elektronischen Identitäts-Daten zu erreichen.

Siehe auch:
IT-Beauftragter der Bundesregierung - Finales Muster des neuen Personalausweises vorgestellt (17.12.2009)
heise Newsticker - Sicherheitsbeweis zum elektronischen Personalausweis veröffentlicht (14.01.2010)

No De-Mail

nospam@example.com (Kai Raven) — Wed, 04 Feb 2009 15:09:20 +0100

Zur "De-Mail", den sogenannten "Bürgerportalen", dem "Datensafe", dem damit verbundenen elektronischen Personalausweis (ePA) mit dessen elektronischer Identifizierungsfunktion (eID) habe ich u. a. in den Beiträgen E-Gov 2.0 Perso 2.0 für Big Brother 2.0, Elektronische Ausweise und Portale für den kontrollierten Portalbürger, Gesetzentwurf zu elektronischem Personalausweis und elektronischer Identifizierung oder Bitte halten Sie Ihren ePA an das Lesegerät mehr als genug geschrieben und ihnen auch nichts weiter hinzuzufügen.

Zum heutigen Beschluss des Gesetzentwurfs zur Regelung von Bürgerportalen und zur Änderung weiterer Vorschriften des Bundesinnenministeriums durch die Bundesregierung, erklärte unser Bundesinnenminister in der Pressemitteilung des BMI:

"Mit De-Mail wollen wir für alle Bürgerinnen und Bürger eine einfache Möglichkeit schaffen, im Internet zuverlässig, sicher und vertraulich zu kommunizieren. Jede und Jeder soll in die Lage versetzt werden, sich gegen unerwünschtes Mitlesen, Diebstahl wichtiger Daten, Betrug im Internet und gegen Spam besser zu schützen. De-Mail steht für Fortschritt, IT und IT-Sicherheit made in Germany."

Ich erkläre dagegen, dass ich Euren ePA mit RFID Funkchip, biometrischer Erfassung, eID und Eure "De-Mail Infrastruktur" nicht benötige, denn mit TLS/SSL verschlüsseltem Versand und Erhalt meiner E-Mails für den Transport, der Anwendung von OpenPGP für die Inhaltsverschlüsselung und dem Gebrauch von Tor, I2P Mail und Remailern kann ich genauso gut und dazu weniger kontrolliert "zuverlässig, sicher und vertraulich" per E-Mail ohne "unerwünschtes Mitlesen" kommunizieren. Wenn es sein muss, auch per S/Mime, aber hier kamen nie S/Mime verschlüsselte E-Mails an. Ich brauche genauso wenig wie die Anti-Spam "Features" bei irgendwelchen E-Mail Providern Euer "De-Mail" Anti-Spam System, um von Spam unbelastet meine E-Mails und Mailinglisten zu lesen. Und schon gar nicht brauche ich irgendeinen "Datentresor" bei irgendeinem Bürgerportal-Provider, denn ich verlasse mich lieber auf meine eigene Datensicherung und -verschlüsselung.

Insbesondere, wenn solche Angebote von den gleichen Leuten kommen, die Vorratsdatenspeicherung, das BKA-Gesetz, das BSI-Gesetz und all die anderen Sicherheitsgesetze verbrochen haben.

Das Einzige, was ich damit nicht kann, ist der Erhalt und Versand von E-Mails mit Verschlüsselung und Signaturen durch "rechtssichere" Zertifikate. Aber sollte ich die eines Tages benötigen, würde ich mir lieber eine Signaturkarte und ein Lesegerät kaufen, als mir Euren ePA und Eure "De-Mail" andrehen zu lassen, wenn es sie dann noch gibt oder sie erlaubt sind. Ihr werdet schon alles daransetzen, dass die "De-Mail" und "ePA" Verweigerer irgendwann direkt oder indirekt diskriminiert werden.

Die rhetorische Frage "Geht mit De-Mail die E-Post ab?", die Ihr durch Euren "Bundes-CIO" ausrichten lasst, beantworte ich deshalb für mich ganz einfach mit:

Siehe auch:
Bundesbeauftragter für Datenschutz / Informationsfreiheit - Schaar sieht Verbesserungsbedarf beim Bürgerportalgesetz (04.02.2009)
beck-Blog - Entwurf zum Bürgerportalgesetz liegt vor: De-Mail für Alle soll pro Jahr bis zu 1,4 Mrd € sparen (04.02.2009)
sicherheitsblog - Das Bürgerportalgesetz: De-Mail im Detail (04.02.2009)
BMI - De-Mail geht in die Testphase: So einfach wie E-Mail und so sicher wie die Papierpost (08.10.2009)

P.S.: Da nicht alle den Links folgen: Die obige Grafik ist ohne "No" Bestandteil der BMI-Pressemitteilung zum Beschluss des Bürgerportal-Gesetzes.

"Schulprojekt" zur Gesichtserkennung in Großbritannien

nospam@example.com (Kai Raven) — Sat, 10 Jan 2009 10:36:16 +0100

Es begann an britischen Schulen mit der Einführung von Fingerabdruck-Scannern und dem nachfolgenden Freifahrtschein für Schulen durch die britischen Schulbehörden, jede biometrische Technik einführen zu dürfen, wenn sie den Datenschutz der gesammelten und genutzten Biometrieprofile "gewährleistet". Für Schüler und Eltern gab es keine Mitbestimmungsrechte. Da hatte man in Großbritannien schon begonnen, die Fingerabdrücke der Eltern für Besuche im Pub einzufordern, noch bevor der Staat sie für die nationale Identitätskarte und das Identitätssystem erfassen wird. Parallel begann die britische Regierung mit dem Auf- und Ausbau von Datenbanken zur Speicherung von Profilen über Schüler und Minderjährige.

Dem folgten wie in vielen anderen Staaten kurz darauf Tests mit RFID Funkchips, um Schüler zu kontrollieren und zu überwachen, wenn sie nicht eh von ihren Eltern mit GPS- und Handy-Tracking auf Schritt und Tritt verfolgt werden. Die Hardcore-Varianten werden in Haftanstalten angewendet oder spielerisch und kritisch in Forschungsprojekten ausprobiert.

Nur ein paar Schlaglichter, warum es trotz der noch bestehenden Umgehungstaktiken und technischen Schwächen bei einzelnen Techniken zur biometrischen Identifizierung, Lokalisierung und Verfolgung, dem regelmäßigen Strom aufgedeckter Datenlecks und -verluste in Firmen und Behörden, der aufmerksam gewordenen Presse und trotz vereinzelter Proteste und Widerstände nicht überrascht, dass man sich in Großbritannien wieder einmal an Schülern vergeht, um sie an ihre biometrische Überwachung heranzuführen und sie an ihnen zu erproben.

Diesmal ist es die Gesichtserfassung und -wiedererkennung, die der britische Hersteller für Gesichtserkennungsprodukte Aurora laut des Artikels Face scanners to be installed in schools im Telegraph – etwas ausführlicher im Artikel Face scanners to be introduced in British schools in new 'Big Brother' row der Daily Mail – mit Rückendeckung der britischen Regierung am St. Neots Community College installieren und erproben darf.

Auroras Clockface Gesichtsscanner, den man zusammen mit dem Überwachten auch in in Auroras Integrated Biometric Turnstile Sicherheitskäfig stecken kann.

Nähere Details zur Funktionsweise der Technik spare ich mir. Nur so viel: Der Hersteller verspricht die Wiedererkennung bei einem 1:N Abgleich mit den gespeicherten Gesichtsprofilen der Datenbank in 1,5 Sekunden, wenn sich Personen kooperativ vor dem Gesichtsscanner aufbauen und laut der Artikel soll das Gesicht per Infrarot abgetastet werden, um die markanten Punkte der Gesichtsgeometrie zu messen und abzugleichen. Andernorts wird mit Lasern experimentiert, um sich an besseren Erkennungsraten zu versuchen. Letztendlich sind oder werden die verwendeten Funktionen und Techniken nebensächlich, entscheidend sind Fortschritte bei der Optimierung der Überwachung, wie die alle Lebensbereiche immer mehr durchsetzt und wie die so Überwachten damit umgehen oder ihr Widerstand entgegensetzen könn(t)en.

In Schulen werden Identitätserkennungssysteme wie Auroras System an Schulaus- und -eingängen verwendet, um das pünktliche Erscheinen und regelwidriges Verlassen festzustellen, in Schulfluren, um den Aufenthalt von Schülern zu verfolgen, zur Zugangskontrolle an den Eingängen von Schulbibliotheken, in Cafeterias und Mensen zur Abrechnung oder in Schulklassen bei Prüfungen. Ergänzen lassen sie sich durch Schüler Identätskarten mit RFID Funkchip und Kombinationen aus Videoüberwachungskamera und Mikrofonen in Unterrichtsräumen und auf den Fluren, wie bei den Produkten von Classwatch, die speziell für die Überwachung in Schulen hergestellt werden, über die der Artikel Big Brother CCTV to spy on pupils aged four - complete with CPS evidence kit der Daily Mail vom 29. Dezember berichtete. Ähnliches ist ja auf britischen Straßen zu finden. Damit ähneln manche Schulen bereits ihren Vorbildern – den mit High-Tech Überwachungstechniken vollgepumpten Haftanstalten und Hochsicherheitsbereichen in Behörden und Unternehmen.

Wie auch bei den anderen Überwachungsprojekten an Schulen kommen Vertreter der Schulen und Schulbehörden mit den gleichen Argumenten daher, um die Überwachungstechnik Schülern und Eltern zu verkaufen: Sie erleichtere und beschleunige Verwaltungstätigkeiten, diene dem Schutz der Schule und der Schüler vor Pädophilen, die in die Schule eindringen wollen oder vor Schülern, die zum Beispiel Schuleigentum entwenden oder beschädigen. Versichert wird bei jedem neuen "Schulprojekt", wie sicher doch biometrische Identätsmerkmale und die mit ihnen verknüpften persönlichen Daten der Schüler in den Datenbanken der Schulen und Dienstleister gespeichert und verwaltet würden und das auch nie, nie Datenaustausch und -weitergabe an britische Polizei- und Sozialbehörden stattfindet. Bis zum nächsten Sicherheitsgesetz, das genau das zum Wohle des Landes und der Kinder den staatlichen Behörden erlaubt.

Mal sehen, wie sich die Techniken mit gefälschten Fingerabdrücken, geklonten RFID Chips oder Gesichtsfotos und -masken bewähren, mit denen sich Schüler nach Vorbild von "Little Brother" technisch bewehren könnten, was das Einsammeln und Ausnutzen ihrer biometrischen Identitätsmerkmale allerdings nicht verhindert.

Aktive RFID Überwachung für Migranten in US-Übergangslagern

nospam@example.com (Kai Raven) — Wed, 03 Dec 2008 06:42:06 +0100

Wie RFID Update in der Meldung DHS to Track Immigration Detainees with RFID berichtet, wird zum ersten Mal durch eine Sicherheitsbehörde auf Bundesebene wie dem US-Heimatschutzministerium die aktive RFID Funktechnik zur Überwachung im zivilen Bereich ausgetestet.

Diesmal sind es keine Schüler oder Häftlinge, sondern 20000 Migranten in 20 Übergangslagern. Dafür erging vom US-Heimatschutzministerium ein Auftrag an Northrop Grumman über 44,35 Millionen US$ zur Umsetzung der Überwachungsinfrastruktur in den Übergangslagern und zur Lieferung von Hunderten von RFID Lesegeräten und 22000 Armbändern mit aktiven RFID Funkchip an das Amt für Internierung und Ausweisung der Einwanderungs- und Grenzschutzbehörde, die von den Insassen getragen werden müssen. Das RFID Überwachungssystem stammt von TSI Prism und wurde ursprünglich für US-Gefängnisse entwickelt, wo es auch landesweit im Einsatz ist. Beschrieben habe ich das TSI Prism System im Beitrag Im Tracking-Netz der Bluetooth-Sensoren.

Für aktive RFID Funkchips, die vor allem auf größere Distanzen mit einem grobmaschigerem Netz von RFID Lesegeräten kommunizieren, wird nach Analysen aller Marktbeobachter ein ähnlicher Boom in den nächsten Jahrzehnten vorausgesagt, wie es heute schon bei der passiven RFID Funktechnik der Fall ist. Neben der weitflächigen Überwachung können mit Systemen wie von TSI Prism präventiv und akut Gruppenbildungen erkannt und soziale Beziehungen zwischen Einzelpersonen beobachtet und gespeichert werden. Wahlweise in Kombination mit Videoüberwachungskameras, die Personen und Gruppen von Interesse auch im Bild aufnehmen.

Damit werden sich aktive RFID Funkchips und Lesegeräte neben Gefängnissen oder jetzt in Übergangslagern zukünftig in weiteren Bereichen wiederfinden, die einen "Lager" oder "Gefängnis" Charakter aufweisen (können): In Psychatrien, in Krankenhäusern, Schulen, Altenheimen, Flughäfen, Flüchtlingscamps, Internierungslagern, wie sie in den ersten Tagen nach den Anschlägen vom 11. September ad hoc in den USA eingerichtet wurden oder für Käfige, die von Sicherheitskräften nach Großdemonstrationen für Festgenommene verwendet werden.

Verpflanzte Funkchips und miteinander gekreuzte Datenbanken

nospam@example.com (Kai Raven) — Wed, 26 Nov 2008 08:43:29 +0100

Peter Mühlbauer gibt im Beitrag Zwischen Steinaxt und RFID eine gute Übersetzung zu den merkwürdigen und erschreckenden Plänen in Papua wieder, mit AIDS infizierten Kranken, die laut der Politiker ein "aggressives Sexualverhalten" aufweisen, einen RFID Funkchip einzupflanzen.

Was mögen sich die Politiker unter einem "aggressiven Sexualverhalten" von AIDS Kranken vorstellen? Ist das für die Politiker schon der Kranke, der trotz AIDS sein Sexualleben auslebt, anstatt still und asketisch auf Behandlung oder Tod zu warten, wie es sich vielleicht der eine oder andere Politiker wünscht oder vorstellt, der Kranke, der es ungeschützt mit seinen Sexualpartnern treibt, weil a) er gar nicht weiß, dass er krank ist, da es keine ausreichenden Tests und Testangebote gibt, b) es ihm egal ist, ob er andere Personen infiziert oder c) keine Kondome benutzt, die für ihn zu teuer sind, nicht verfügbar oder aufgrund gesellschaftlicher und religiöser Moralzwänge schwer zu beschaffen sind. Ist es der AIDS-Kranke als Vergewaltiger? Egal, "der AIDS-Kranke mit aggressivem Sexualverhalten" ist das Böse, eigentlich fast kein Mensch und als solches auch mit RFID Chips zu implantieren, wie es bei Tieren seit Jahren üblich ist.

Mal abseits der Problematik unzureichender Gesundheitspolitik, fehlender oder falscher Aufklärungskampagnen und den ethischen Fragen, die von den Politikern nicht beantwortet werden, ist der Plan an sich absurd. Denn bei dem RFID Funkchip wird man an die implantierbaren passiven RFID "Reiskorn" Funchips gedacht haben, wie sie als Erste von der VeriChip Corporation angeboten wurden, die sich u. a. von Entführungsängsten geplagte Mexikaner oder Club-Besucher für einfache Zugangsberechtigungen einpflanzen lassen. Die eignen sich aber nicht im Gegensatz zu aktiven RFID Chips zur Bewegungsverfolgung und Feststellung des Aufenthaltsortes, die zu diesem Zweck neben GPS-Fußschellen und -Armbändern auußerhalb und innerhalb von Gefängnissen im Einsatz sind. Es sei denn, die Polizei Papuas will ständig eine Armee von Kontrolleuren mit ausreichend starkem Empfangsequipment durch die Straßen und an den Häusern vorbei patrouillieren lassen, was aber keine lückenlose Profile gewährleisten würde.

Diese Tage hat das indische Unternehmen Orizin zwar den nach eigenen Aussagen kleinsten aktiven RFID Funkchip der Welt mit einer Lese-Reichweite bis zu 20 Metern vorgestellt, aber auch der ist noch nicht geeignet, um ihn in Menschen zu verpflanzen und würde ebenfalls eine Kontrollarmee oder dichte Netzwerke mit RFID Empfängern in den Städten benötigen. Man sieht Orizins Chip mit integrierter Energieversorgung an, dass er für das Tracking von Objekten gedacht ist und nicht für unter die Haut:

Der 2,6cm x 2,3cm große und 7.3mm dicke aktive RFID Funkchip von Orizin.

So absurd und technisch inkompetent die Pläne der Politiker in Papua auch sein mögen, zeigen sie doch exemplarisch, wie leichtfertig mit der großen Bereitschaft umgegangen wird, soziale und politische Problematiken mit dem Einsatz von Kontroll- und Überwachungstechnik zu kontern, sobald eine neue Technik am Horizont erscheint und an welche Potentiale und Zwecke Politiker angesichts von Techniken wie RFID und GPS denken.

Wenn man sich auf RFID versteifen wollte, könnte solchen Plänen etwas von ihrer Absurdität genommen werden, wenn man weitere aktuelle Entwicklungen hinzunimmt. Angenommen jeder Bürger oder die dazu zwangsverpflichteten Menschen hätte einen passiven Reiskorn RFID Chip eingepflanzt und ein RFID Lesegerät in seiner Wohnung oder wie die Fingerabdruckleser im Computer verbaut. Dann könnte (oder müsste) jeder und nicht nur die Polizei einen gechippten "Verdächtigen" identifizieren und ihn anhand seiner persönlichen Daten überprüfen, zu denen auch Daten über Krankheiten wie AIDS gehören können.

Das Erschreckende an dieser Idee ist, dass es solche Infrastrukturen bis auf die Zwangs-Implanatation bereits gibt. Die taz berichtete in den Artikeln Patientendaten bald auch online und Krankendaten im Internet einsehbar - Patienten kommen Microsoft zuvor über die Internetdienste HealthVault von Microsoft, Health von Google und weitere Angebote, mit denen Bürger jenseits der Datenbankserver für elektronische Gesundheitskarte & Co freiwillig den Teil ihrer Identität auf fremde Datenbanken übers Internet auslagern, der ihre Rolle als Patient und Kranker ausmachen.

Der Schluß zum verpflanzten RFID Chip ist schnell vollzogen. Denn nicht nur Microsoft hat seinen HealthVault Dienst, sondern die VeriChip Corporation hat auch ihren VeriMed Health Link Dienst. Der besteht neben dem erwähnten VeriChip RFID Funkchip aus der "VeriMed Patient Registry" Datenbank, in die VeriChip Kunden Informationen über chronische Erkrankungen und Allergien, die Ergebnisse von Untersuchungen und Diagnosen oder Angaben zur Medikation abspeichern können.

Geht der VeriChip Kunde als Patient zum Arzt, der über ein RFID Lesegerät verfügt oder in Krankenhäuser, die besonders in den USA immer mehr RFID Technik einsetzen oder ein Notarzt sucht den Kranken auf, kann über das "VeriMed Health Link System" mit der ID-Nummer des Chips die Identität des Patienten festgestellt und seine Krankendaten übers Internet aus der VeriMed Patient Registry Datenbank abgerufen werden. Dazu muss der Patient seine gespeicherten Daten für den Zugriff freigeben oder Ärzte für den Zugriff autorisieren. Mit VeriChip hat Microsoft vor einer Woche einen Deal abgeschlossen:

VeriMed Health Link Kunden erhalten ein kostenloses HealthVault Konto bei Microsoft und können ihre Daten aus der VeriMed Datenbank mit Microsofts HealthVault Datenbank verknüpfen, sprich über HealthVault können Daten in VeriMed abgespeichert und abgerufen werden, über VeriMed Daten aus der HealthVault Datenbank. Das Microsoft nebenbei auch Produkte wie FusionX zum Datenaustausch und zur Zusammenarbeit in den Fusionszentren der Sicherheitsbehörden anbietet, die auf zahlreiche Datenbanken zugreifen können und ihre Daten auswerten, sei hier nur am Rande erwähnt.

Politiker wie die in Papua könnten auf den Gedanken kommen, freiwillige und kommerzielle Dienstleistungen wie HealthVault und VeriMed in die staatliche Domäne zu übertragen und zu einem Zwangssystem umzufunktionieren, dann hätten sie eine Infrastruktur, wie aktuell herbeifantasiert. Sie müssten nur die Bevölkerung mit ausreichend Internetanschlüssen versorgen, in die Lage versetzen, sich Computer und RFID Lesegeräte anzuschaffen und über "Informations"-Kampagnen dafür sorgen, dass sich im Bewustein der Bevölkerung verankert, dass es für jeden Einzelnen und zum Wohle der Gesellschaft doch besser sei, wenn alle RFID Chips in sich tragen und jeder Bürger jeden anderen Bürger überprüft oder überprüfen lässt, bevor er zum Beispiel mit ihm ins Bett steigt. Die "Überwachungsgesellschaft" als Normalzustand.

Die HealthVault und VeriMed Systeme und Infrastrukturen lassen sich jenseits des Gesundheitsaspekts natürlich beliebig auf alle Rollen und Lebensumstände ausweiten. Statt oder neben Patientendaten ist es dann der Auszug aus dem Strafregister im "CrimeVault", biometrische Merkmale im "MyIdentityVault", Verdienstdaten, Konsumprofile, Lebensläufe, Google Earth und Street Aufnahmen des eigenen Hauses und der Wohngegend usw. usf. In die gleiche Richtung beginnt auch der Staat zu marschieren, wenn man sich den "Datentresor" im Rahmen der Bürgerportal und De-Mail Infrastrukturen anschaut, dem der Bürger freiwillig persönlichste Dokumente und Daten anvertrauen soll.

Die komplette Identität eines Menschen abzubilden, zu speichern und zum Beispiel per RFID und Internet an jedem Ort zu jeder Zeit abrufbereit zu halten, entweder freiwillig oder per Zwangsverfügung, ist machbar und wird von Konzernen auch gewünscht und vorangetrieben, wie Symantecs "Lifelog-Identität" oder Microsofts MyLifeBits Projekt ausreichend demonstrierten. Das es Unternehmen wie der VeriChip Corporation und einigen Sicherheitspolitikern aus Profit- und Machtinteressen am liebsten wäre, wenn ganze Gesellschaften mit verpflanzten RFID Funkchips ausgestattet würden, versteht sich von selbst.

Ihnen spielt das Heer der Freiwilligen in die Hände, die Angebote und Dienstleistungen in dieser Richtung bereitwillig nutzen. Sie und das hoffentlich genauso große Heer der Verweigerer zu schützen, kann nur noch durch ethische Grundsatzklärungen, eine strenge Datenschutz-Gesetzgebung für RFID, Datenbank-Diensteanbietern mit einem massiven Ausbau von Instanzen zur Datenschutzkontrolle statt Kleinwagen-Zuschüssen und dem Standpunkt, bestimmte Techniken und Infrastrukturen erst gar nicht einzusetzen, gewährleistet werden.

Siehe auch:
ScienceDaily - RFID Chips: A Privacy And Security Pandora's Box? (25.11.2008)

Geheime Deals und Technik für den schmutzigen Drohnen-Krieg in Pakistan

nospam@example.com (Kai Raven) — Sun, 16 Nov 2008 20:01:09 +0100

Die Washington Post berichtete am 16. November 2008 in ihrem Artikel Pakistan and U.S. Have Tacit Deal On Airstrikes, gestützt auf die Aussagen hochrangiger Amtspersonen, über einen informellen Deal, der im September 2008 zwischen der Bush-Administration und der Regierung Pakistans für den roboterisierten Drohnen-Krieg in Pakistan geschlossen wurde, über den schon lange bezüglich der Drohnen-Angriffe Vermutungen angestellt wurden.

Nach den Aussagen lautet dem Deal gemäß die Linie der CIA, des US-Militärs und der US-Regierung, keine Angriffe mit Predator, Reaper und Global Hawk Drohnen in den Stammesgebieten zu bestätigen und Stillschweigen zu bewahren, während die Regierung Pakistans die Linie verfolgt, die Angriffe öffentlich für die pakistanische Öffentlichkeit zu missbilligen, die Desinformation zu streuen, die Angriffe würden sich auf die afghanische Seite der pakistanischen Grenzregion richten, aber im Hintergrund den Angriffen genauso stillschweigend zuzustimmen und Militärs wie auch den pakistanischen Geheimdienst mit den Amerikanern koopererieren zu lassen.

Für die enge Zusammenarbeit und gemeinsame Nutzung der Drohnen unter dem Kommando der US-Streitkräfte und Geheimdienste spricht auch die Aussage von General David McKierman, Kommandeur der US-Truppen und zur Zeit der ISAF Verbände in Afghanistan, in seiner Rede beim Atlantic Council Think Tank am 18. November zum "Dreier-Ausschuss", der sich aus ihm selbst, ISI-Geheimdienstchef General Pasha (s. u.), seinem Vorgänger und jetzigen Generalstabschef der Pakistanischen Armee General Ashfaq Parvez Kayani und Vertretern der Armee Afghanistans zusammensetzt: "Wir tauschen Frequenzen aus, wir tauschen geheimdienstliche Informationen aus. Wir haben einen Videostream für Predator Drohnen, der im gemeinsamen Grenzkoordinationszentrum am Torkham Gate [Anm.: wichtiger Grenzkontrollpunkt am Chaiber-Pass] von der Pakistanischen Armee, der Afghanischen Armee und der ISAF genutzt wird. Wir koordinieren uns also auf verschiedenen Ebenen."

Wie es in dem Artikel weiter heißt, folgten dem geheimen Deal im September ein intensiver Besuchsverkehr hochrangiger Militärs und Geheimdienstler beider Seiten. Pakistans Präsident Zardari war im gleichen Monat des Deals "auf Besuch" bei Bush, General Pasha, Chef des pakistanischen militärischen Geheimdienstes ISI traf Ende Oktober mit seinen amerikanischen Kollegen in Washington zusammen, US-General Petraeus, ab Ende Oktober Chef des Zentralkommandos (CENTCOM), machte Anfang November eine Stippvisite in Pakistan und am 12. November gab es ein informelles Treffen zwischen CIA-Direktor Michael Hayden und Präsident Zardari. Zweck der Gespräche war wohl, die Details des Deals und verdeckten Drohnen-Krieges auszuhandeln und auszuloten, wie es nach der US-Wahl weitergehen würde.

Nicht mehr direkt, aber indirekt zwischen den Zeilen wird die Vermutung geäußert, dass die enge Kooperation und Deckung Pakistans neben den 10 Milliarden US$ US-Militärhilfe seit 2001 auch mit den 7,6 Milliarden US$ erkauft wurde, die Pakistan vom IWF zur "Bewältigung der Finanzkrise" erhält.

Interessant ist auch ein Gespräch Zardaris mit dem demokratischen US-Senator John F. Kerry, dass an die Washington Post herangetragen wurde. Laut des Gesprächs habe Zardari Kerry darauf hingewiesen, dass die US-Regierung erkennen müsse, dass Pakistan mehr geleistet habe, als die US-Regierung anerkenne und Pakistan ein Opfer des gleichen Aufruhrs sei, den die USA bekämpfe. Ein Wink mit dem Zaunpfahl, dass weiter Waffen und Geld nach Pakistan fließen muss, auch unter Obama. In dem Gespräch soll Zardari auch das Interesse Pakistans angemeldet haben, mit den gleichen Waffen beliefert zu werden, mit denen amerikanische Streitkräfte und Geheimdienste ihren Krieg in Afghanistan und Pakistan führen, sprich Killer-Drohnen und weiteres High-Tech Kampfgerät für Pakistans Militär und Geheimdienste – "geben sie [Anm.: die Killer-Drohnen] sie uns, wir sind ihre Verbündete" soll Zardari Kelly gesagt haben.

Von dort spannt der Artikel den Bogen zu den neuen militärischen Systemen, die laut Vertretern der Antiterror-Behörden und -Abteilungen der USA in Pakistan verwendet werden und Gegenstand des Beitrags Rätselraten über geheimes Kill-Programm des US-Militärs waren. Neben den Raketen, die von den Predator Drohnen der CIA abgefeuert werden, so der Artikel, habe man laut der Antiterrorvertreter während des Jahres "neue Hardware in der afghanisch-pakistanischen Grenzregion zum Einsatz gebracht, die es erlaube, die Bewegungen vermuteter Kämpfer sehr genau zu verfolgen".

Zur "neuen Hardware" für die "Identifizierung, Aufspürung und Lokalisierung", von der "viel unter Geheimhaltung" stehe, gehöre demnach der konzertierte Einsatz "leistungsfähiger Sensoren an Spionagesatelliten, von Flugzeugen, Luftschiffen und Drohnen jeder Größe verschiedenster Typen." Oder wie es der Staatssekretär für Geheimdienste im Pentagon James R. Clapper Jr., während einer Konferenz (wohl dem Geospatial Intelligence Symposium 2008) umschrieb: "Die neuen Produkte der Kriegsführung sind sehr Laser-ähnlich und präzise geworden. Mit ihnen hat man die Möglichkeit, sobald man weiß, hinter was man her ist, das sehr lückenlos und ununterbrochen zu beobachten und zu überwachen – beharrlich. Und dann, im richtigen, kritischen Augenblick, mit der nötigen Rücksicht zur Reduzierung von Kollateralschäden, dieses Individuum auzuschalten." Das es Unterschiede zwischen der Realität des verdeckten Drohnen-Krieges in Pakistan und den Umschreibungen des Geheimdienstlers gibt, zeigt der steigende Body Count ziviler Opfer mit jedem Drohnen-Angriff.

Ein Modul zur Zielmarkierung und für die Zielerfassung durch die Raketen der Drohnen aus dem Text Guidance on the Ruling of the Muslim Spy des Al Qaida Führers Abu Yahya al-Libi (Quelle: FAS - Al Quaida: Western Spies Multiply "Like Locusts", 13.07.2009)

Ein Bestandteil der eingesetzten Hardware, den der Geheimdienstchef nicht erwähnt, wird im ABC News Artikel U.S. Drone Strikes With Deadly Accuracy vom 19. November beschrieben. Demnach werfen angeworbene Informanten (oder Mitglieder von Special Forces Einheiten) nachts kleine Sender in Häuser, die mit den Raketen der Drohnen beschossen werden sollen. Die Sender übermitteln den Drohnen per Funk die Koordinaten des Ziels. Genaue Details der Sender werden nicht genannt, aber es könnte sich um eine Kombination aus einem GPS-Empfänger, der die Position des Ziels ermittelt und sie dann per Funk oder direkt über einen aktiven "Super RFID-Radar" Chip, wie er von Gentag und den Sandia National Laboratories für das US-Militär entwickelt wurde, an die Drohne oder den Empfänger in der Rakete weitergibt. Die Kollaboration einheimischer Informanten hat, wie der Artikel berichtet, bereits zu Lynchmorden in den Dörfern der Stammesgebiete geführt, während einzelne Hausbewohner in den Dörfern mittlerweile die Nacht im Freien verbringen, um Wache zu halten.

Wir haben hier also alle Merkmale und Bestandteile eines schmutzigen Krieges, der mit neuen Mitteln der Überwachungs- und Kriegstechnik aufgrund geheimer, stillschweigender Vereinbarungen zwischen den USA und Pakistan geführt wird, bei dem die Bevölkerung auch als Versuchtiere für den Einsatz der Technik herhalten muss, wie sie in Zukunft in anderen Konflikt- und Kriegsgebieten zu sehen sein wird – alles nur, um eine Handvoll zu ersetzender Taliban und Al Qaida Kommandeure auszuschalten? Das es in der restlichen Presse, insbesondere der deutschen Presse, keine ähnlichen Berichte und Artikel gibt, kann ich mir nur noch mit dem stillschweigenden Einverständnis erklären, dass diese Handvoll es wert sind, dass in Pakistan der neue Typ des "Globalen Krieges gegen den Terror" durchexerziert wird und er auch deshalb legitim ist, weil er den Sicherheitsinteressen Deutschlands dient.

Siehe auch:
C-Span - Videojournalist David Axe Vignette (embedded with the U.S. Air Force at Kandahar Air Base in southern Afghanistan) on Reapers & Predator Drones (23.12.2009)
The Nation - Blackwater's Secret War in Pakistan u. a. über den Drohnen-Krieg der US-Söldnerfirma Xe (ehemals Blackwater) im Auftrag des US Joint Special Operations Command (JSOC) in Pakistan (23.11.2009)
Washington Post - U.S.-Funded Intelligence Center Struggles in Khyber Region (11.01.2009)
New Yorker - The Predator War - What are the risks of the C.I.A.’s covert drone program? (26.10.2009)
Washington Post - CIA base attacked in Afghanistan supported airstrikes against al-Qaeda, Taliban (01.01.2010)

Ein echter Binninger - schwach im Zugang, schwach im Abgang

nospam@example.com (Kai Raven) — Fri, 17 Oct 2008 13:32:58 +0200

Zur Studienreihe des BSI über die "Messung der Abstrahleigenschaften von RFID-Systemen" (MARS) ein "echter Binninger" anlässlich der nicht geführten Debatte zur ersten Lesung des Gesetzentwurfs für die Einführung des elektronischen Personalausweises im Bundestag, der die Ergebnisse der 1. BSI Studie direkt für seine Zwecke zu nutzen wusste. Der CDU-Politiker Clemens Binniger, immer am Start, wenn es etwas zu verschärfen gibt, in der Heise Meldung:

Sicherheitsbedenken über das geheime Mitlesen der sensiblen persönlichen Daten bei einer Kontrolle mit Lesegerät bezeichnete der frühere Polizeibeamte als "jenseits aller Realität". Man müsste dazu in nächster Entfernung eine Abhöranlage mit Mikrofonen einrichten und bräuchte leistungsstarke Rechner zu Entschlüsselung der Mitschnitte.

Der Binninger unterschlägt damit natürlich nicht nur die anderen Aussagen der BSI-Studie, sondern er blendet wie das BSI selbst aus, dass es kein Problem darstellt, eine 20 - 40 cm große Abfangantenne am Körper zu tragen, sie mit einem leistungsfähigen Kleincomputer oder auch einem Laptop zu verbinden, das eh kein Aufsehen mehr erregt und sich in gebührender Entfernung zur Zielperson zu positionieren. Was er mit Mikrofonen zum Abfangen der Kommunikation zwischen RFID Chip und Lesegerät anfangen will, bleibt mir auch ein Rätsel. Binninger, Wiefelspütz und die anderen Internetausdrucker der Großen Koalition sollten einen Club gründen, in dem sie sich gegenseitig beibringen, wie das ganze Technik-Zeugs eigentlich funktioniert.

Gesetzentwurf zu elektronischem Personalausweis und elektronischer Identifizierung

nospam@example.com (Kai Raven) — Tue, 14 Oct 2008 11:31:13 +0200

Gerade reingetrudelt: Der Entwurf eines Gesetzes mit Begründung der Bundesregierung in der Fassung vom 7. Oktober 2008 über (elektronische) Personalauseise (ePA) und den elektronischen Identitätsnachweis (eID) sowie zur Änderung weiterer Vorschriften. Die Heute im Bundestag Redaktion schreibt dazu im Beitrag Personalausweise auch für die "virtuelle Welt":

Der herkömmliche Personalausweis soll zu einem "biometriegestützten Identitätsdokument" werden. Auf Wunsch der Bürger könnten die gespeicherten Daten, darunter ein Foto des Ausweisinhabers, um zwei Fingerabdrücke erweitert werden, heißt es in der Begründung zum Gesetz über Personalausweise und den elektronischen Identitätsnachweis. Mit dem Gesetzentwurf zieht die Bundesregierung auch Konsequenzen aus der Föderalismusreform und überführt bisher von den Ländern geregelte Tatbestände in das Bundesrecht. Darüber hinaus soll der Ausweis "zum elektronischen Identitätsnachweis in der virtuellen Welt" werden.

Deutsche Personalausweise gehörten zu den fälschungssichersten Dokumenten der Welt, schreibt die Regierung in der Begründung des Entwurfs. Täter würden daher die Ausweise seltener fälschen, sondern vermehrt Dokumentenmissbrauch betreiben. Ausweise würden ihren Inhabern gezielt gestohlen und dann von fremden Personen verwendet, die den Inhabern ähnlich sehen oder sich ein ähnliches Aussehen durch Änderung von Frisur oder Brille verschaffen würden. Bei biometrischen Kontrollen sei dieser Missbrauch nicht mehr möglich, hofft die Regierung. Die Bürger könnten überdies durch die freiwillige Speicherung von Fingerabdrücken in dem Dokument "zur Verkleinerung dieses Missbrauchsrisikos beitragen".

Ich habe dazu geschrieben und schreibe es wieder: Alles Blödsinn! – alter Personalausweis ohne RFID Funkchip, "Bürgerportale" und "De-Mail", Speicherung biometrischer Körpermerkmale, Verknüpfung zum Bundesmelderegister, eID und ohne Milliardenkosten und weitere Datenschutzlochpotentiale reicht, zweckgebundene Smartcard mit elektronischer Signatur fürs Einkaufen, offiziellen "Briefverkehr" und eGovernment im Netz, wer es braucht. Punkt.

Dazu noch eine kleine Anekdote aus einem Gespräch (in einem Wagen, ging schnell):

"Wir haben einen Brief von der Krankenkasse bekommen – da sollten wir Fotos von unseren Gesichtern machen und für diese neue Karte einsenden"

"Sollten die biometrisch sein oder normal?"

"?"

"Kurzerklärung, was biometrisch bedeutet."

"Nee, ganz normal. Haben wir unsere Digicam genommen und gemacht, war lustig."

"Das ist für die Gesundheitskarte. Das ist aber nicht so toll, weil da Deine Krankheitsdaten über zentrale Server laufen und auch da gespeichert werden. Wer weiß, wer darauf alles Zugriff hat oder bekommen kann."

" -- "

"Das wirst Du auch für den neuen Perso machen müssen, nur das die dann biometrisch sind."

"Ach ist das der, der so groß wie 'ne EC-Karte ist und dann prima ins Portemonnaie passt?"

" -- "

Wie Heute im Bundestag am 17. Dezember 2008 mitteilte, wurde der Gesetzentwurf zur Einführung des elektronischen Personalausweises (ePA) mit den Stimmen der CDU/CSU und SPD im Innenausschuss des Bundestages angenommen, während die Vertreter der Grünen, FDP und der Linken den Gesetzentwurf ablehnten. In der Mitteilung heißt es weiter, "durch das gesetzliche Benachteiligungsverbot [Anm.: keine Nachteile wg. Verzicht auf Fingerabdruckergebung und -speicherung] werde auch faktischer Druck verhindert. Das Benachteiligungsverbot ist Teil eines Änderungsantrags, den der Ausschuss ebenfalls am Mittwochvormittag mit den Stimmen der Koalitionsfraktionen gegen die Stimmen von Linksfraktion und Grünen bei Enthaltung der FDP angenommen hat."

Wie in der Mitteilung wurde in letzter Zeit öfters die Nutzung der eID-Funktionen auch in "lokalen Verarbeitungsprozessen, etwa an Automaten" in die öffentliche Diskussion eingeschmuggelt. Man kann erwarten, dass über kurz oder lang der ePA zum Beispiel auch an Bankautomaten, Zigarettenautomaten o. ä. verwendet werden muss, langfristig dann, wenn man die Bürgerkarten- mit Kreditkarten- oder Kundenkarten-Funktionen verknüpfen wird, was zu weiteren Verkettungen und Verknüpfungen zwischen Daten, Identität und Nutzungsprofilen führt.

Die CDU/CSU benutzte die Datenschutzskandale und Datenmissbrauchsvorfälle in der Witschaft (Krankenkassen, Banken, Telekommunikationsunternehmen, Call-Center) während des Jahres 2008, die sie durch jahrzehntelange Untätigkeit mit zu verschulden hat, zur Werbung für die eID- und Signatur-Funktionen des ePA in ihrer Pressemitteilung Elektronischer Personalausweis bringt Sicherheitsgewinn, in der es heißt: "Nach den bekanntgewordenen Datenmissbrauchsfällen in den letzten Monaten erhalten die Bürgerinnen und Bürger mit dem neuen E-Personalausweis ein Instrument, das die sichere Verwendung ihrer Daten im Internet gewährleistet". Das ist wie immer irreführender Unsinn, denn die Skandale hatten so gut wie nichts mit E-Commerce und Logins im Internet zu tun und der ePA wird solche Skandale auch in Zukunft nicht verhindern. Aber von den beiden CDU/CSU Herren Binninger und Uhl kann man auch nichts anderes erwarten als billige Propaganda.

Der Gesetzentwurf wurde laut Tagesordnung des Bundestages schon einen Tag später am 18. Dezember 2008 unter Tagesordnungspunkt 12a vom Bundestag beschlossen. Ab 1. November 2010 kann also niemand mehr dem ePA mit biometrischem Gesichtsprofil und (noch) freiwilligem Fingerabdruckprofil, RFID Funkchip und angekoppelten eID-Funktionen entkommen, wenn er bis dahin nicht bereits seinen alten Personalausweis erneuern musste. Das bedeutet auch, spätestens ab 2020 - 2022 ist der ePA und die biometrische Erfassung aller Bundesbürger durchgesetzt.

DARPA will mit GANDALF zaubern

nospam@example.com (Kai Raven) — Wed, 08 Oct 2008 23:48:26 +0200

The Register hatte im Beitrag DARPA to begin mysterious 'Project GANDALF' über ein neues, unter Geheimhaltung stehendes Projekt aus der Hexenküche der DARPA berichtet, das nach dem Magier im Herrn der Ringe mit dem Codenamen Gandalf" belegt wurde.

Der Beitrag gibt eine spärliche Information der DARPA zu "Gandalf" wieder:

The Gandalf program is an advanced technology and development and demonstration program that is seeking solutions to ... radio frequency (RF) geolocation and emitter identification using specific emitter identification (SEI) for specific signals of interest. The ultimate goal of the Gandalf program is to enable a set of handheld devices to be utilized to perform RF geolocation and SEI on RF signals of interest to the Gandalf program. The specific goals and performance objectives associated with RF geolocation and SEI for the Gandalf system are classified.

Also eine Reihe von Handgeräten, die Funkfrequenzen und spezielle Daten oder Identifizierungsdaten, die vom Sender abgestrahlt werden, ab- oder auffangen, um den Sender zu identifizieren und zu lokalisieren.

Im Artikel wird gemutmaßt, dass Mobilfunkgeräte das Ziel sind, deren Träger man mit Hilfe der Handgeräte lokalisieren und verfolgen möchte. Wahrscheinlich hat man die Handys von "Terroristen" im weitesten Sinne und Kämpfern in Palästina, Pakistan, Afghanistan und im Irak im Auge, deren Funkverkehr bereits mit Drohnen überwacht wird.

Da man alle Handys erfassen können möchte, denke ich nicht, dass man von Handys spricht, die bereits RFID Funchips enthalten oder GPS-Module. Hört sich fast danach an, als wollte die DARPA IMSI-Cather auf Handgerät-Größe schrumpfen lassen, die man dann drei Personen von Spezialkräften mitgibt, die dann "Basisstation" spielen, die IMSI abfangen und das Handy per Triangulation lokalisieren und verfolgen. Der Gedanke kommt mir jedenfalls nach Artikeln wie Tracking a suspect by mobile phone der BBC aus dem Jahr 2005. Würde auch in Woodwards geheime Militärprogramme zur Lokalisierung und Verfolgung mit anschließender Eliminierung hineinpassen. Oder ist das eine abwegige Spekulation?

Diese Information könnte eine mögliche Erklärung bieten, in welche Richtung "Gandalf" auch gehen könnte. Im Budgetantrag der U. S. Army für Forschung und Entwicklung, der im Februar 2007 für das Jahr 2008 eingericht wurde, findet sich das Projekt 906 "TAC EW TECHNIQUES" (Taktische Techniken der Elektronischen Kriegsführung), das laut Antrag bis 2013 angelegt ist. Darin heißt es:

This project researches and applies key electronic warfare (EW) technologies to intercept and locate current and emerging threat communications and non-communications emitters to provide vital, quality combat information directly to users in a timely actionable manner in accordance with concepts for Future Force intelligence operations. This project contributes to the commanders ability to see the enemy, both as a unit and as part of a complex, adaptive organization, allowing a "See First, Understand First, Act First" standard of operations. This project investigates radio frequency (RF) collection and mapping technologies to offer real time emitter detection, location, and identification. Efforts include adding an autonomous RF collection capability and algorithms into tactical software defined radios to detect, locate and display enemy RF emissions. It also evolves electronic attack (EA) components into smaller, lower power, lightweight, common modules that counter modern threat Command, Control, Communications, Computers, Intelligence, Surveillance, and Reconnaissance (C4ISR) systems. In addition, this project enables a remote capability to disrupt, deny, or destroy threat communication signals. Other research areas include fusion (automated assimilation and synthesis) of battlefield intelligence data to enable interpretation of current and future enemy activities and allowing development of courses of action in time to act decisively and in a pre-emptive manner.

In FY06, developed electronic support for the Future Force sensor model; integrated electronic support measure (ESM)/signals intelligence (SIGINT) algorithms into ground sensor systems; developed and investigated adaptive/smart antenna processing techniques to enhance baseline information operations system; investigated novel radio frequency probing and other techniques for detection, location, and selective neutralization of triggering devices. In FY07, collect target vulnerability data, continue development of adaptive array processors for use in a tactical setting to counter problems associated with multipath, co-channel, and co-site interference, and to provide a precise geolocation capability; develop more effective techniques using broad range of target focused information operations (IO) algorithms based on individual target transmission parameters rather than brute force techniques; begin development of effects based IO deception techniques to influence a potential targets plan of action. In FY08, will continue algorithm development for an expanded range of potential targets, as well as software development for data thinning and nodal analysis applications; will expand algorithms development for larger range of targets; will continue deception and effects algorithm development. In FY09, will investigate and develop techniques to engage emergent communications technologies for inclusion into IO techniques database; will refine IO techniques database for access and use by other users including Joint Service and other members of intelligence community

Siehe auch:
Danger Room - Darpa Launches Secret 'Gandalf' Project