Die von der privaten Cybersicherheitsfirma Team Cymru entwickelte Software „Augury“ dient der Massenüberwachung des Internets. Aufgrund der Unmengen von Daten, die gesammelt werden, finden sich immer wieder interessierte Käufer, so nun auch das US-amerikanische Militär.
Der Inhalt im Überblick
Massenüberwachung durch Augury
Augury oder auch Pure Signal RECON genannt,
„ermöglicht es Sicherheitsteams, die Aktivitäten externer Gefahrenakteure mit einem ähnlichen Maß an Klarheit zu überwachen und zu untersuchen, wie sie es von ihren internen Netzwerktelemetrien erwarten würden.“
So wird die Funktion auf der Website von Team Cymru beschrieben. Was sich aber genau dahinter verbirgt, wird nicht eindeutig. Durchstöbert man allerdings die Seite ein bisschen weiter, wird man unter dem Reiter „Dragon Blog“ fündig. Zunächst beschreiben sie, dass ihnen bereits Unmengen von Daten zur Verfügung stehen und sie in der Lage sind, E-Mail-Daten, der Browserverlauf, aber auch sensible Internet-Cookies der Nutzer lückenlos zu erfassen.
Augury wird überwiegend dafür benutzt, um die weltweiten Aktivitäten von Hackern zu verfolgen oder um Cyberangriffe zuordnen zu können. Zu den Kunden von Team Cymru gehören nicht nur Unternehmen, sondern auch unterschiedliche Branchen des US-amerikanischen Militärs.
90% des weltweiten Internetverkehrs – auch Europa
Bekannt wurde das Ganze nachdem sich ein Whistleblower an Senator Ron Wyden gewandt hatte. In einem offenen Brief des Senators bittet dieser um Aufklärung. Es geht um die angeblich unbefugte Nutzung und den Kauf von Daten durch die NCIS, eine zivile Strafverfolgungsbehörde, die Teil der Navy ist, nachdem eine Beschwerde über das offizielle Meldeverfahren beim Verteidigungsministerium eingereicht wurde.
Doch was genau wurde gekauft und soll genutzt werden? Aus einem anderen Dokument geht hervor, dass angestrebt wird, durch Augury einen webbasierten Zugriff auf ein Onlinespeicher mit Petabytes an aktuellen und historischen Netzwerkdaten, darunter BGP Origin ASN/BGP Peer ASN/BGP Prefix, DNS, NMAP-Scans, Pastebin-Archive, Botnet-Daten, IMAP-, POP- und STMP pcap-Daten, RDP/FTP pcap-Daten und x509-Zertifikate. Um das Ausmaß besser darzustellen: Ein Petabyte entspricht 1024 Terabyte oder 1.048.576 Gigabyte.
Aus dem gleichen Dokument wird ebenfalls ersichtlich, wie groß die Datenbank von Augury ist. Demnach handelt es sich um hierbei um ein Massenüberwachungstool, welches über 550 Erfassungsstellen in Europa, dem Nahen Osten, Nord- und Südamerika, Afrika und Asien verfügt. Dadurch kann es 90% des weltweiten Internetverkehrs überwachen.
Für die Erfassung der Daten arbeitet Team Cymru unteranderem mit weltweiten Internetdienstanbietern. Wie das im Einzelfall genau aussieht, ist nicht ersichtlich. Laut Motherboard sieht das Zusammenspiel folgendermaßen aus:
„Augury enthält auch so genannte Netflow-Daten, die ein Bild des Verkehrsflusses und -volumens in einem Netz vermitteln. Dazu kann auch gehören, welcher Server mit einem anderen kommuniziert hat. Diese Informationen sind normalerweise nur dem Eigentümer des Servers selbst oder dem Internetdienstanbieter, der den Datenverkehr überträgt, zugänglich. (…)
Team Cymru erhält diese Netflow-Daten von Internetdienstleistern; im Gegenzug stellt Team Cymru den Internetdienstleistern Bedrohungsdaten zur Verfügung.“
Hierbei stellt sich ebenfalls die Frage, ob bereits deutsche Internetdienstanbieter mit Team Cymru zusammenarbeiten.
Rechtsgrundlage für die Datenverarbeitung?
Durch Augury kommen vereinzelt Fragen auf, wie solche Mengen an Daten sichergestellt werden können. Wann werden diese verarbeitet und hat jemals ein Betroffener davon erfahren, geschweige denn eingewilligt? Oder basiert das Ganze auf das berechtigte Interesse? So genau kann das keiner sagen. Aus einer Quelle von Motherboard geht die Aussage hervor:
„Die Nutzer wissen mit ziemlicher Sicherheit nicht, dass ihre Daten an das Team Cymru weitergegeben werden, die dann den Zugang zu diesen Daten weiterverkauft.“
Während in Deutschland vor allem das Konzept der Vorratsdatenspeicherung sehr lange ein großes Thema war, wirkt das im Vergleich zu Augury, schon unbedeutend.
Für die Datenweitergabe an Augury dürfte demnach keine Rechtsgrundlage vorhanden sein. Auch die Informationspflichten werden hierzu nicht eingehalten werden. Grundsätze der Transparenz, Datenminimierung, Rechtmäßigkeit und Speicherbegrenzung werden ebenfalls missachtet.
Es könnte angeführt werden, dass für bestimmte Fallkonstellationen gewisse Daten notwendig sind, um bestimmte Gefahren abzuwehren. Allerdings bleibt es sehr fraglich und im gleichen Zuge auf dubios, warum und für was die Menge an Daten (wir befinden uns hier im Pentabyte-Bereich) hilfreich sein sollen.
Gerade die Daten, die aus Europa kommen, werden ohne weiteres in ein Drittland verkauft (hier USA). Grundsätzlich halten Behörden den Datentransfer nur unter bestimmten Voraussetzungen für zulässig. Grund dafür ist der Foreign Intelligence Surveillance Act (FISA 702), der den Ermittlungsbehörden weitgehende Datenzugriffe ermöglicht. Durch diese Regelungen wird das Schutzniveau innerhalb der EU unterschritten, so dass weitere Maßnahmen bei US-Datentransfers erforderlich seien. Diese sind hier nicht gegeben, wenn das US-amerikanische Militär Daten kauft und diese dann einfach nutzt – ohne richterlichen Beschluss.
Ein Fass ohne Boden
So lässt sich Augury am besten beschreiben. Unmengen von Daten jeglicher Art, die mit dem Vorwand der Gefahrenabwehr verkauft werden. Nun hat das US-amerikanische Militär diese Daten gekauft und nur durch einen Whistleblower konnten die ersten Nachfragen gestellt werden. Dass der Datenschutz hierbei keine große Rolle spielt, ist ersichtlich.
Was Sie über Augury und das dahinterstehende Unternehmen „Team Cymru“ berichten, riecht mir nach dem bisher größten bekannten Datenskandal. Die Medien als vierte Gewalt sollten ihrem Auftrag gerecht werden und so schnell und so tief wie möglich recherchieren (z.B.: welche Provider geben nachweislich Nutzerdaten preis?), damit wir als Nutzer der Dienste in die Lage versetzt werden, mit konkreten Beschwerden auf die Datenschutzbehörden zuzugehen.