Der Snowden Effekt? Interessante Punkte aus dem NSA Reformpapier von 2013

Gestern hat die NSA bekannt gegeben, ihre offensiven und defensiven Cyberwarfähigkeiten zusammen zu legen. Diese Entscheidung verstärkt den Trend zur Vermischung von Cyberwar, Spionage und Überwachung weiter. Diese Entscheidung steht auch im starken Gegensatz zu den Empfehlungen der Kommission zu Reformvorschlägen der NSA Massenüberwachung ( Clarke, R. A., Morell, M. J., Stone, G. R., & Sunstein, C. R. (2014). The NSA Report: Liberty and Security in a Changing World. The President’s Review Group on Intelligence and Communications Technologies). Ich las den Report kürzlich im Zuge meiner Dissertation. Präsident Obama hatte diese Kommission am 27. August 2013 einberufen, um die NSA Überwachungspraxis analysieren zu lassen und um Reformvorschläge auszuarbeiten. Zu diesem Zeitpunkt waren bereits einige der kontroversen Programme bekannt, etwa die Überwachung von EU und UN Institutionen (Dropmire) sowie das PRISM und Xkeyscore Program. Die Kommission war selbstverständlich kein unbeschriebenes Blatt, kann aber als ausgewogen betrachtet werden. Neben dem ehemaligen US Cyber-Zar Richard Clarke und dem ehemaligen CIA-Chef bzw. Director of National Intelligence Michael J. Morell, nahmen auch zwei renommierte Verfassungsrechtler/Professoren sowie ein Technologieexperte daran teil. Es sind also beide Perspektiven enthalten, die militärische/nachrichtendienstliche, aber auch eine eher zivile, privatrechtliche Perspektive, was den Report zu einer interessanten Lektüre macht. Im Dezember 2013 veröffentlicht, schlägt der 300 Seiten lange Bericht 46 sehr detaillierte Veränderungen vor, die sich allesamt auf die ausufernde Überwachungspraxis seit 9/11 beziehen und der Expansion der NSA kritisch gegenüber stehen. Im Folgenden sollen ein paar erhellende Punkte aus dem Bericht herausgegriffen werden, welche auch für den deutschen Überwachungsdiskurs interessant sind.

Zunächst zur Verortung. Der Report ist relativ ausgewogen und argumentiert, dass Nachrichtendienste und eine eingeschränkte und streng kontrollierte nachrichtendienstliche Praxis wichtig für die Sicherheit von US Staatsbürgern und internationalen Partnern ist (11). Gleichzeitig betont er aber die Wichtigkeit von Privatsphäre, welche seit 9/11 zu oft für die nationale Sicherheit geopfert wurde. Die USA und auch andere Staaten haben historisch gesehen zu oft bei Terrorangegriffen überreagiert (53) und wichtige Freiheiten geopfert. Rechtsstaatliche Prinzipien (wie z.B. die Unschuldsvermutung, Richtervorbehalte, Information von Überwachungsbetroffenen und Klagemöglichkeiten gegen Geheimdienste) wurden zu leichtfertig aufgegeben. Viele dieser Prinzipien wurden aber ursprünglich deswegen eingeführt, um die tendenziell immer ausufernde Exekutive zu beschränken (FISA in den USA). FISA wurde verabschiedet, gerade weil Regierungen eine inhärente Tendenz zum Machtmissbrauch haben und Geheimdienste eine Tendenz haben, über den legalen Rahmen hinaus zu gehen und immer mehr Daten und Rechte zu fordern. Wenn einmal Daten erhoben werden ist die Gefahr groß, dass Druck entsteht, diese zu nutzen (58). Der Bericht betont gleich zu Anfang, dass Geheimdienste sich an rechtsstaatliche Prinzipien halten müssen und wenn sie das nicht tun, Vertrauen in den Staat verloren ginge (12). Ferner analysiert der Report nicht alle veröffentlichen Programme, sondern konzentriert sich insbesondere auf die NSA Metadatenüberwachung legitimiert durch den Patriot Act (Section 215) und den FISA Amendment Act 2008 (Section 702).

Der Report beginnt mit der Diagnose, dass Sicherheit zwei Seiten hat. Die wohlbekannte nationale Sicherheit, aber auch die oft ignorierte Privatsphäre, also das Recht vom Staat in Ruhe gelassen zu werden, welches in der Verfassung verankert ist. Privatsphäre ist Sicherheit vor dem ausuferndem Staat (ein Schutzrecht würde man in Deutschland sagen) (44). Der Staat darf sich nicht einseitig auf die Risiken für die  nationale Sicherheit konzentrieren, sondern muss Risiken für die Privatsphäre, die Freiheit, die Beziehungen zu anderen Nationen sowie für den Freihandel mit berechnen und abwägen. Zu viel Überwachung erzeugt somit selbst Risiken (wie z.B. Vertrauensverlust von Alliierten).

         Ferner argumentiert er, dass die Metapher der rechten Balance zwischen Sicherheit und Freiheit fehlgeleitet ist, denn in modernen Rechtsstaaten dürfen bestimmte Rechte gar nicht angetastet bzw. abgewogen werden. Bestimmte Prinzipien dürfen kein adäquates Subjekt dieser Abwägung („Balancing“) sein. Dazu gehört, dass Überwachung niemals gegen politische Gegner, (religiöse) Minderheiten oder Kritiker verwendet werden darf. Sie darf auch nicht für wirtschaftlichen Vorteil oder die Bevorzugung einer Gruppe gegenüber einer anderen verwendet werden. Das unterscheidet Demokratie von autoritären Staaten (49).

Der Report argumentiert gleich zu Beginn, dass die massenhafte Metadatensammlung Risiken für das Vertrauen der Öffentlichkeit in den Staat, Risiken für die Privatsphäre und persönliche Freiheitsrechte enthält und nicht von der NSA betrieben werden sollte (wohl aber von einer privaten Instituten mit Abfrage durch Richtererlass). Als generelle Regel wird aufgestellt: ohne detailliertes Review darf die Regierung keine massenhaften Daten über US Personen erheben, um diese evtl. in der Zukunft auswerten zu können (17).

        Ferner wird argumentiert, dass nur weil heute mehr Daten erhoben werden könnten, nicht daraus folgt, dass Regierungen dies auch tun sollten (48). Der Versuchung, immer mehr Daten zu erheben, nur mit der Hoffnung, dieses in Zukunft analysieren zu können, sollte widerstanden werden. Auch die abstrakte Hoffnung, dass diese Daten evtl. einmal nützlich sein könnten, ist keine ausreichende Legitimierung von Überwachung. Es müssen immer Kosten und Nutzen abgewogen werden und Freiheiten sollten nicht für ein bisschen mehr Sicherheit geopfert werden (Proportionalität).

 Der Bericht kritisiert, dass viele Überwachungsmaßnahmen unter dem Deckmantel der Geheimhaltung am Parlament vorbei eingerichtet wurden und fordert daher eine umfassende Berichterstattung an die Parlamente (61). Wenn Firmen der Regierung Kundendaten weitergeben, sollte diese die Öffentlichkeit und Betroffene darüber informieren und dies nicht mittels ‘gag orders’, also Geheimhaltungsklauseln unterbinden. Insbesondere die Kooperation privater Firmen unter dem PRISM Programm wurde mit ‘gag orders’ sichergestellt, gegen welche die Firmen nicht einmal klagen durften.

Daraus leiten sich folgende Empfehlungen ab, die hier nur skizzenhaft wiedergegeben werden:

Empfehlung 3) argumentiert, dass ohne das Wissen des Präsidenten bzw. Senior Officials, die massenhafte Datensammlung sowie data-mining nicht stattfinden darf (Empfehlung 4). Wenn Geheimdienste diesen Praktiken nachgehen, sollten enge Regeln gelten und die Öffentlichkeit darüber informiert werden. Gleichzeitig sollten Amerikaner nicht blind der Regierung vertrauen (114), da die massive Zentralisierung von Daten Begehrlichkeiten zur illegitimen Nutzen erzeugt. Die Leitfrage für solche Programme sollte nicht sein, ob Überwachung uns sicherer macht, sondern ob die zusätzliche Sicherheit es Wert ist, Rechte dafür zu opfern (Proportionalität). Mehr Sicherheit darf niemals das einzige Ziel von Politik sein.

Empfehlung 5) empfiehlt den Stop von massenhafter Metadatensammlung durch die NSA und die Auslagerung an private Carrier, nach europäischen Modell. Die Geheimdienste dürfen nur nach einem Richterbeschluss auf diese Daten zugreifen.

Empfehlung 6) kritisiert die veraltete Unterscheidung von Metadaten und Inhaltsdaten, welche aus einer Zeit stammt, in der Metadaten nur wenig sensible Informationen enthielten (Telefon). Internetmetadaten enthalten viel mehr Informationen (mit IPV6 ganze 200 Datenfelder) die sehr detaillierte Rückschlüsse auf das Leben einer Person zulassen, z.B. politische Präferenzen, sexuelle Orientierungen oder aber auch psychische Störungen. Es sollte daher evaluiert werden, ob diese Trennung noch zeitgemäß ist bzw. ob nicht Metadaten ebenfalls in den Bereich der Privatsphäre gehören geschützt werden sollten. Auch in Deutschland wird immer wieder fälschlich behauptet, dass Metadaten harmlos seien, weil diese keinen Inhalt enthielten.

 Empfehlung 9) will Firmen erlauben, gegen National Security Letters juristisch vorgehen zu können und der Öffentlichkeit Transparentberichte zu erstellen (123).

Empfehlung 11) sagt, dass massive Überwachungsprogramme nur unter sehr engen Grenzen geheim gehalten werden sollten. In demokratischen Gesellschaften müssen die Bürger über alle Prozesse informiert werden, damit die Regierung Legitimität erhält (124). Bleibt dies aus, ist der demokratische Prozess bedroht. Whistleblower sind für diesen Prozess enorm wichtig und sollten Mechanismen erhalten, staatliches Fehlverhalten zu veröffentlichen (126).

In Empfehlung 13 wird festgehalten, dass auch nicht US-Bürger zu einem gewissen Grade Freiheitsrechte haben (im Sinne der Menschenrechte). Es wird klar darauf hingewiesen, dass unbeschränkte Massenüberwachung durch die USA befreundete Nationen befremdet und das Internet als solches gefährde (155).

Empfehlung 22 fordert, dass der NSA Chef vom Senat und nicht vom Präsidenten bestimmt werden sollte, und auch eine Zivilperson sein darf (und nicht nur ein General). NSA sollte wieder ein nach außen-orientierter Dienst sein und nationale Überwachung auf den Stand von vor 9/11 reduzieren. Es solle zudem wieder mehr gezielte und weniger Massenüberwachung geben.

Empfehlung 25 fordert, dass die NSA nicht für die nationale Cybersicherheit zuständig sein soll, da es hier konkrete Interessengegensätze gibt. Die NSA lebt von Cyber-unsicherheit und Sicherheitslücken und hat ein Interesse an der Ausnutzung dieser, weshalb sie ein ungeeigneter Kandidat für die Cybersicherheit ist (192). Die Praxis, Sicherheitslücken zu sammeln und nicht zu dokumentieren wird kritisiert.

Es sollte einen Interessenausgleich geben. Im Bereich der Nationalen Sicherheit wird zu einseitig auf die Intelligente Community und das Militär gehört, während zivilrechtliche Fragen kaum behandelt werden. Insofern sollte es umfassende zivile Repräsentationen geben. Innerhalb der NSA sollte es einen Civil Liberties Beauftragten geben, welcher die NSA Programme evaluiert (Empfehlung 26). Empfehlung 27 spricht sich für die Erschaffung einer Civil Liberties Agency aus, welche z.B. Whistleblower leaks empfangen kann. Diese Behörde soll auch Technikfolgenabschätzung leisten und prüfen, inwiefern z.B. Big Data und data-mining Programme (von Diensten und Firmen wie Google) die Privatsphäre beschädigen. Der FISA Court solle auch einen Public Interest Anwalt bekommen. Bisher ist dort nur die Intelligence Community repräsentiert, welche den FISA Richtern nur ihre Seite vorträgt.  Das Prinzip des gegensätzlichen Anwalts ist die Norm an allen US Gerichten, außer eben am FISA Court (203). Oftmals haben die Richter aber keine technologische Kompetenz um kritisch zu evaluieren, was sie dort per Beschluss erlauben. Dies Kompetenz sollte ausgebaut werden werden (Empfehlung 28).

Empfehlung 29 fordert, dass die NSA Sicherheitstechnologie (wie z.B. VPN oder TOR) und Verschlüsselung nicht unterminieren sollte, etwa um Hintertüren in Verschlüsselung zu bauen. Diese Technologie ist der wirksamste Schutz gegen Cyberkriminalität und darf nicht von der NSA kompromittiert werden, was unser aller Sicherheit gefährde (217). Die NSA sollte gefundene Sicherheitslücken, gemäß den geltenden best-practices, an die Industrie melden (219) und auch nicht in VPN Netzwerke eindringen.

Empfehlung 31 argumentiert, dass Überwachung nicht zur Wirtschaftsspionage genutzt werden darf. Genau so wie Cyberangriffe nicht für wirtschaftlichen Nutzen benutzt werden sollten (221). NSA sollte zudem nicht gleichzeitig für Überwachung, Netzwerksicherheit und offensiven Cyber-war zuständig sein, da es auch hier Interessengegensätze gibt.

Empfehlung 41 fordert, dass gesammelte Überwachungsdaten nicht an jedwede Behörde bzw. private Firmen weitergegeben werden dürfen, wie dies seit 9/11 normale Praxis ist (need to share). Hier sollte es ein Zugangsmodell geben, welches regelt, wer was sehen darf, so dass nicht niedere Beamten sensible Informationen einsehen können (246).

Empfehlung 45 argumentiert, dass erhobene Überwachungsdaten verschlüsselt werden sollten, damit diese nicht so einfach gestohlen werden können. Dass dies bisher noch nicht der Fall ist, ist etwas überraschend und irritierend.

Diese Empfehlungen zeigen eine große Skepsis an der Praxis der nationalen Sicherheit, die seit 9/11 geschieht und darauf abzielt mit immer mehr Technologie, immer mehr Daten zu erheben. Der Bericht kritisiert die Technikgläubigkeit der Exekutive, mit mehr Daten die Zukunft vorhersehen zu wollen und dabei Risiken für Demokratie und Privatsphäre zu ignorieren. Immer mehr Freiheiten werden für einen minimalen Zugewinn an Sicherheit geopfert. Kosten-Nutzen Rechnungen bleiben im Bereich der nationalen Sicherheit weitgehend aus, während dies in allen anderen Gesellschaftsbereichen die Norm ist. Der Bericht warnt konkret vor sogenannten chilling-effects: mehr Überwachung erhöht das Misstrauen der Bürger in den Staat, was sich in sinkender Wahlbeteiligung und dem Anstieg radikaler Ideen zeigt. Wenn Bürger fürchten, dass all ihre Kommunikation abgehört wird, werden diese nicht mehr am demokratischen Prozess teilnehmen, z.B. ihre Meinung nicht äußern. Wenn Bewegungsprofile mittels immer mehr biometrischer Kameras erzeugt werden, ist die Versammlungsfreiheit in Gefahr. Letztlich ist Überwachung eine konkrete Gefahr für die offene Gesellschaft (117).

Interessant ist nun die Frage, wieviele dieser Vorschläge umgesetzt worden. Die Antwort – bisher nur ein einziger, nämlich die Metadatensammlung an die Telekommunikationsprovider auszulagern. Allerdings kann die NSA immer noch relativ einfach auf diese Daten zugreifen.

https://www.whitehouse.gov/sites/default/files/docs/2013-12-12_rg_final_report.pdf

Advertisements
This entry was posted in politics, technology, Uncategorized and tagged , , , , , , , . Bookmark the permalink.

One Response to Der Snowden Effekt? Interessante Punkte aus dem NSA Reformpapier von 2013

  1. Pingback: ZITIS – oder wie deutsche Beamte das Internet unsicher machen | percepticon

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s