Geheimdienstaufsicht: CSIS und RCMP stehen vor „erheblichen Herausforderungen“ bei der Beschaffung privater Daten

Kanadas Sicherheits- und Geheimdienste stehen bei der Erkennung und Reaktion auf Sicherheitsbedrohungen vor „erheblichen Herausforderungen“, da Gesetzeslücken und veraltete Ressourcen den Zugriff auf private Nachrichten einschränken, warnt eine der Geheimdienstaufsichtsbehörden des Landes.

Ein kürzlich vorgelegter Bericht des National Security and Intelligence Committee of Parliamentarians (NSICOP) untersuchte die heftig umstrittene Frage des rechtmäßigen Zugriffs – das gerichtlich genehmigte Abfangen elektronischer Kommunikation.

Der Bericht weist zwar auf berechtigte Datenschutzbedenken hin, stellt jedoch fest, dass Organisationen wie der Canadian Security Intelligence Service (CSIS) und die RCMP behindert werden, weil ihnen die Instrumente, Richtlinien und Befugnisse fehlen, um im Rahmen von Ermittlungen legal auf die Kommunikation zuzugreifen.

„Der Ausschuss ist besorgt über die von der Sicherheits- und Geheimdienstgemeinschaft beschriebenen Herausforderungen im Hinblick auf den rechtmäßigen Zugriff und über die langjährige Unfähigkeit aufeinanderfolgender Regierungen, diese zu bewältigen“, heißt es in dem Bericht.

„Sie geben an, dass die Verschlüsselung und die zunehmende Menge, Vielfalt und Geschwindigkeit digital generierter Daten es schwierig und manchmal unmöglich machen, die für die Durchführung effektiver Ermittlungen erforderlichen Informationen zu sammeln.“

Der Ausschuss warnte, dass diese Herausforderungen, wenn sie nicht angegangen würden, „die nationale Sicherheit Kanadas langfristig gefährden“ und „Kanada daran hindern könnten, weiterhin von den Bemühungen der Five Eyes zu profitieren … wenn es nicht in der Lage ist, einen sinnvollen Beitrag zu dieser Partnerschaft zu leisten.“

Der Bericht erscheint zu einem Zeitpunkt, an dem das Unterhaus über einen Gesetzesentwurf der Regierung debattiert, der den Strafverfolgungsbehörden weitreichende neue Befugnisse einräumen soll, darunter auch den rechtmäßigen Zugriff auf die Daten.

Recht auf Privatsphäre vs. öffentliche Sicherheit

Eine vertrauliche Version des Berichts wurde dem Premierminister am 4. März vorgelegt und eine redigierte öffentliche Version wurde letzte Woche im Unterhaus vorgelegt.

Es befasst sich mit einem der umstrittensten Themen der nationalen Sicherheit: der Abwägung des individuellen Rechts auf Privatsphäre mit der Wahrung der öffentlichen Sicherheit.

Ein Schild für das Gebäude des Canadian Security Intelligence Service ist am 14. Mai 2013 in Ottawa zu sehen. — Der CSIS erklärte dem Ausschuss, dass das Fehlen einer Gesetzgebung zur Abhörfähigkeit „der größte Unterschied zu unseren [Five Eyes]-Partnern ist, die alle erfolgreicher sind als wir.“ (Sean Kilpatrick/The Canadian Press)

Der Zugriff von Sicherheitsorganisationen auf persönliche Informationen, etwa private Nachrichten, sei „eine der eingreifendsten Befugnisse des Staates“, und die Kanadier erwarteten, dass dieser Zugriff nur dann genutzt werde, wenn dies „gesetzlich vorgeschrieben ist, einem legitimen Zweck dient und notwendig und verhältnismäßig ist“, heißt es in dem Bericht.

Es hieß, die Kanadier erwarteten von ihnen auch, dass sie über „die Mittel, Richtlinien und gesetzlichen Befugnisse“ für einen solchen Zugriff verfügten.

„Die Kanadier wären überrascht, wenn sie wüssten, wie schwierig dies für die Sicherheits- und Geheimdienste tatsächlich ist“, hieß es.

Der Ausschuss stellte fest, dass es in diesem Land im Gegensatz zu einer Reihe von Verbündeten Kanadas keine Gesetze gibt, die die Dienstanbieter dazu verpflichten, Systeme zu entwickeln, einzusetzen oder zu warten, die diese Informationen schnell bereitstellen, wenn CSIS und RCMP mit einer gerichtlichen Genehmigung anklopfen.

Laut NSICOP birgt diese Lücke Risiken wie Verzögerungen, rechtliche Unklarheiten und finanzielle Ineffizienzen und hat „für Verwirrung und Frustration bei allen Beteiligten gesorgt“.

Der CSIS teilte dem Ausschuss mit, dass das Fehlen einer Gesetzgebung zur Abhörfähigkeit „der größte Unterschied zu unseren [Five Eyes]-Partnern ist, die alle erfolgreicher sind als wir.“

Zugriff auf US-Daten führt zu Verzögerungen

Ein weiteres Thema, das im Bericht angesprochen wurde, war der Zugriff auf außerhalb Kanadas gespeicherte Informationen.

Datenschützer erklärten den Ausschussmitgliedern, dass die Fülle potenziell enthüllender persönlicher Daten, die vom privaten Sektor gesammelt wurden, eine ungenutzte Chance für Sicherheits- und Geheimdienste darstelle.

CSIS entgegnete, dass es manchmal nicht in der Lage sei, auf diese Informationen zuzugreifen, da diese Unternehmen überwiegend außerhalb Kanadas ansässig seien.

ANSEHEN | Strong Borders Act wirft Datenschutzbedenken auf:

Bürgerrechtsgruppen sind besorgt, dass der von der Bundesregierung vorgeschlagene Gesetzentwurf C-2, der „Strong Borders Act“, den Strafverfolgungsbehörden weitreichende neue Befugnisse verleihen wird. So könnte es der Polizei beispielsweise leichter gemacht werden, Ihre Internetaktivitäten und Daten ohne Ihr Wissen oder einen Haftbefehl zu durchsuchen.

Viele der weltweit größten Technologieunternehmen haben ihren Sitz in den USA. Wie der Bericht feststellt, ist es amerikanischen Unternehmen gemäß dem US Stored Communications Act verboten, den Inhalt ihrer Kommunikation an ausländische Behörden weiterzugeben, es sei denn, sie erhalten eine entsprechende Anordnung durch das amerikanische Gerichtssystem.

Die RCMP kann diese Daten im Rahmen eines Rechtshilfeabkommens anfordern. Benötigen die Mounties Informationen von Facebook oder Apple, senden sie eine Anfrage an das kanadische Justizministerium, das diese wiederum an das US-Justizministerium weiterleitet. Wird die Anfrage angenommen, stellt ein stellvertretender US-Staatsanwalt bei einem US-Richter einen Antrag auf Erlass eines Haftbefehls. Das FBI kann den Haftbefehl nach Erlass durch den US-Richter vollstrecken.

Sobald das Unternehmen die Informationen an das FBI übergibt, gelangen diese über die beiden Justizministerien zurück zur RCMP. Nach Angaben der RCMP kann dieser Prozess drei bis sechs Monate dauern, was sich negativ auf die Ermittlungen auswirken kann.

NSICOP stellte fest, dass die Daten möglicherweise gelöscht wurden, bevor der Haftbefehl eintrifft, selbst wenn das Gerichtsverfahren erfolgreich ist.

So umgehen Sie die Verschlüsselung

Der Bericht untersuchte, wie CSIS und RCMP das „Going Dark“ (Verstecken) umgehen, bei dem die Opfer verschlüsselte Kommunikation und das Darknet nutzen, um ihre Aktivitäten zu verschleiern.

Die RCMP verwendet ein „On-Device Investigative Tool“ (ODIT), eine Software, die auf einem Ziel-Smartphone oder -Computer installiert wird und den Mounties den direkten Zugriff auf Informationen ermöglicht, bevor diese verschlüsselt oder nachdem sie entschlüsselt wurden.

Die RCMP beschreibt es als „eines der komplexesten und teuersten technischen Sammelprogramme, die wir unterhalten.“

Einer im Bericht zitierten erfolgreichen Fallstudie zufolge alarmierte das US-amerikanische FBI 2018 die RCMP über einen Kanadier, der angeblich eine Bombe baute und einen Anschlag auf eine Neujahrsfeier plante. Die RCMP setzte einen ODIT ein, der Nachrichten und Baupläne für eine Schnellkochtopfbombe lieferte.

Der Kanadier wurde schließlich angeklagt und bekannte sich in vier Fällen terroristischer Straftaten schuldig.

Die Ausschussmitglieder äußerten ihre Besorgnis darüber, „wie sehr diese erfolgreiche Schadensbegrenzung derzeit auf dem Einfallsreichtum des CSIS und der RCMP beruht und nicht auf der richtigen Konfiguration von Werkzeugen, rechtmäßigen Befugnissen und Ressourcen.“

Für ODITs seien mehrere Genehmigungen erforderlich, darunter eine Abhörmaßnahme zum Abfangen privater Kommunikation sowie ein allgemeiner Durchsuchungsbefehl und ein Durchsuchungsbefehl zur Aufzeichnung von Übertragungsdaten, heißt es in dem Bericht.

Die Technik beruht außerdem auf der erfolgreichen Ausnutzung von Schwachstellen – was jedoch nicht immer eine Garantie ist.

„Der Ausschuss erfuhr, dass diese Tools teuer und oft unzuverlässig sind, da die Ziele immer versierter in Sachen Cybersicherheit werden und die Unternehmen daran arbeiten, die Schwachstellen in Betriebssystemen und Verschlüsselungsplattformen zu identifizieren und zu beheben“, heißt es in dem Bericht.

Datenschützer warnten den Ausschuss, dass jegliche Maßnahmen, die Polizei und Geheimdiensten die Möglichkeit geben, verschlüsselte Kommunikation oder Daten zu umgehen, „die Cybersicherheit insgesamt grundlegend schwächen, das Vertrauen der Öffentlichkeit untergraben und grundlegende demokratische Werte bedrohen“ würden.

ANSEHEN | Die Infiltration eines großen verschlüsselten Netzwerks:

Der in Vancouver ansässige Mobilfunkanbieter Sky ECC versprach seinen Kunden Vertraulichkeit mit seinen verschlüsselten Mobiltelefonen. Diese waren nicht nur ein Hit für Kriminelle, sondern auch Ziel einer internationalen Polizeiaktion. Die Ermittlungen brachten Tausende Kriminelle und Sky zu Fall.

CSIS und die RCMP erfassen nicht systematisch, wie oft sie bei ihren Ermittlungen zur nationalen Sicherheit auf technologische Herausforderungen wie Verschlüsselung stoßen. Dem Bericht zufolge handelt es sich dabei um ein „wichtiges Versäumnis“, da sie „die Regierung beraten und versuchen, die Kanadier davon zu überzeugen, dass neue Gesetze und Ressourcen erforderlich sind“.

In dem Bericht heißt es, die Agenturen könnten „nur Anekdoten und keine konkreten Zahlen vorlegen“.

Dennoch sind die Mitglieder des NSICOP der Ansicht, dass es „erhebliche Herausforderungen“ für CSIS und die RCMP gebe, zeitnah auf relevante digitale Beweise und Informationen zuzugreifen.

„Diese Herausforderungen sind nicht neu. Die aufeinanderfolgenden Regierungen sind sich ihrer schon seit einiger Zeit bewusst“, so das Fazit des Berichts.

„Es ist Zeit, dass die Regierung handelt und den Sicherheits- und Geheimdiensten die Instrumente, Richtlinien und rechtlichen Befugnisse zur Verfügung stellt, die sie benötigen … und die ihre Privatsphäre berücksichtigen und schützen.“

Der Bericht enthält sieben Empfehlungen. Unter anderem soll die Regierung eine umfassende Strategie entwickeln und umsetzen, um Kanadas Herausforderungen im Bereich des rechtmäßigen Datenzugriffs zu bewältigen. Außerdem soll sie der Unterzeichnung und Umsetzung des kanadisch-amerikanischen Datenzugriffsabkommens Priorität einräumen. Laut Bericht würde dieses Abkommen „seit langem bestehende, durch das US-amerikanische Recht errichtete rechtliche Hindernisse beseitigen“.

Darüber hinaus forderte es die Regierung auf, ihre Haltung zum Ausnahmezugang zu verschlüsselter Kommunikation öffentlich klarzustellen.

In einer Erklärung erklärt CSIS, dass es mit den meisten Empfehlungen des NSICOP einverstanden sei.

Die RCMP verwies auf das Ministerium für öffentliche Sicherheit, das mitteilte, es habe die Antwort des CSIS zur Kenntnis genommen und habe nichts weiter hinzuzufügen.

Umstrittenes Grenzgesetz enthält Bestimmungen zum rechtmäßigen Zugang

Der Gesetzentwurf C-2 der Liberalen, der Änderungen zum rechtmäßigen Zugang enthält, dürfte im Herbst im Parlament auf schwere Zeiten stoßen.

Es würde die Dienstanbieter dazu zwingen, grundlegende Informationen ohne richterliche Genehmigung an die Polizei und den CSIS weiterzugeben. Zudem würde es eine neue Anordnung schaffen, die die Herausgabe detaillierterer Teilnehmerinformationen im Rahmen einer strafrechtlichen Untersuchung mit richterlicher Genehmigung vorschreibt.

Der Gesetzentwurf hat eine Welle der Gegenreaktion von Bürgerrechtsgruppen, Akademikern und einigen Abgeordneten der Opposition hervorgerufen. Sie argumentieren, dass er neue Überwachungsbefugnisse schafft, die die Privatsphäre des Einzelnen und die Charta der Rechte und Freiheiten verletzen.

NSICOP besteht aus Abgeordneten und Senatoren, die eine strenge Sicherheitsüberprüfung durchlaufen müssen, um streng geheime Informationen einsehen und hören zu können.

Seit der Bericht über den rechtmäßigen Zugang verfasst wurde, hat der Ausschuss seine NDP-Stimme verloren, da die Partei im Repräsentantenhaus keinen anerkannten Status mehr hat.

cbc.ca

Geheimdienstaufsicht: CSIS und RCMP stehen vor „erheblichen Herausforderungen“ bei der Beschaffung privater Daten